Reichstagskuppel in Berlin
Getty Images/Nikada
Datendiebstahl

Berlin nimmt Vorfall „sehr ernst“

Wenige Stunden nach Bekanntwerden des Diebstahls von Daten Hunderter deutscher Politiker und Politikerinnen sowie Prominenter hat die deutsche Regierung den Fall bestätigt. Ersten Ermittlungen zufolge ist die Veröffentlichung der persönlichen Daten offenbar nicht Folge eines Hackerangriffs auf den Bundestag, sondern die Daten stammen aus öffentlichen Bereichen des Internets und privaten „Clouddaten“, die angezapft wurden.

Diesen Ermittlungsstand des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) erfuhr die dpa Freitagnachmittag. Zuvor war unklar gewesen, ob es sich bei dem Angriff um einen Hack handelte oder ob ein Leak die Ursache war. Die deutsche Regierung nehme den Vorfall jedenfalls „sehr ernst“, betonte Vizeregierungssprecherin Martina Fietz.

Auch Kanzlerin Angela Merkel sei betroffen. Aus dem Kanzleramt seien aber keine sensiblen Daten veröffentlicht worden, bestätigte Fietz. Nach bisherigem Erkenntnisstand seien die aus dem Bundeskanzleramt abgeflossenen Daten „überschaubar“. Donnerstagabend kurz vor Mitternacht sei das Kanzleramt über die Veröffentlichung der Daten informiert worden.

Datenabfluss nicht über Regierungsnetz

Betroffen seien Politiker und Mandatsträger „aller Ebenen“, sagte Fietz – aus dem Bundestag, dem Europaparlament und den Landtagen bis zu den Kommunen. Berichten von RBB Inforadio und „Bild“-Zeitung zufolge wurden Daten von Vertretern aller Parteien bis auf die AfD geleakt. Unter den Opfern sind der „Bild“-Zeitung zufolge auch der deutsche Präsident Frank-Walter Steinmeier, die Moderatoren Jan Böhmermann und Christian Ehring, Bands und Künstler wie der Deutsch-Rapper Materia und die Band K.I.Z sowie Journalisten von ARD und ZDF.

Hack vs. Leak

Bei einem Hack werden Sicherheitsvorkehrungen von Systemen – etwa ein E-Mail-Server – umgangen. Dadurch können die Angreifer das System kontrollieren und auf sensible Daten zugreifen. Im Fall eines Leaks sammelt ein Insider illegal Daten und veröffentlicht sie.

Offen ist allerdings, ob alle Daten authentisch sind. Die veröffentlichten Datensätze könnten auch gefälschte Informationen enthalten, sagte Fietz. Die präzise Aufklärung des Falls werde noch einige Zeit dauern. Laut dem von dem Datendiebstahl betroffenen SPD-Abgeordneten Florian Post sind nicht alle Daten, die ihn betreffen, echt: „Es ist mindestens eine gefälschte Datei dabei. Die gehört mir nicht, sie wurde mir nie geschickt, und ich hab sie nicht gespeichert.“ Diese werde aber in den Listen als seine Datei ausgewiesen.

Laut einem Sprecher des deutschen Innenministeriums enthielten die veröffentlichten Informationen aktuelle – bis November 2018 – sowie ältere Daten. Es seien Hunderte Personen betroffen. Zu möglichen Verantwortlichen wollte er keine Angaben machen. Wie die Daten abgeflossen seien, „lässt sich noch nicht mit Sicherheit feststellen“. Nach bisherigem Erkenntnisstand sei der Datenabfluss nicht über das Regierungsnetz erfolgt.

Veröffentlichung über Twitter-Adventkalender

Über einen inzwischen gesperrten Twitter-Account mit angeblich über 17.000 Followern wurden bereits vor Weihnachten in Form eines Adventkalenders täglich persönliche Daten von Politikern auf Bundes- und Landesebene, Bands und Journalisten veröffentlicht – darunter E-Mail-Adressen, Handynummern, private Chats, Kreditkarteninformationen, Urlaubsfotos und parteiinterne Kommunikation.

Es könnte sich dabei allerdings auch um einen Fake-Account handeln, denn es sei sonst rätselhaft, warum keiner der mehr als 17.000 Follower Notiz von den veröffentlichten Daten nahm und darauf reagierte, analysierte RBB.

„Viel Fleißarbeit“ bei Öffnung von Mail-Accounts

Die veröffentlichten Daten stammen nach Meinung des IT-Sicherheitsexperten Christoph Fischer nicht aus einer einzigen Quelle: „Da hat jemand offenbar mit viel Fleißarbeit versucht, Mail-Accounts zu öffnen.“ Wer hinter dem Angriff steckt und welches Motiv es gibt, ist noch völlig unklar. Laut dem RBB-Bericht scheint der Angriff keinem Muster zu folgen. Für Fischer liegt nahe, dass der Vorfall „aus der rechten Ecke“ komme. Möglich sei aber, dass er „aus Spaß an der Freude“ erfolgte: „Die Datenlage sieht danach aus.“

Ein Problem sieht Fischer darin, dass auch Mitarbeiter in Unternehmen und Organisationen die Absicherungen der Technikabteilung oftmals aus Bequemlichkeit umgingen. „Je restriktiver die IT gehandhabt wird, umso häufiger werden die Sicherheitseinstellungen umgangen.“ Der Experte geht davon aus, dass die Betroffenen schlechte Passwörter sowie Webmail-Accounts statt der offiziellen Mail-Adresse für die Kommunikation nutzten.

CCC: Angriffe auf verschiedene Systeme

Auch der Chaos Computer Club (CCC) sieht bei dem Onlineangriff einen Weckruf für Computernutzer. „Die Attacke zeigt, was passiert, wenn sich jemand wirklich dahinterklemmt und versucht, systematisch Unsicherheiten und Schlampigkeit auszunutzen, die wir alle im Alltag mit unseren Geräten und Informationen betreiben“, sagte CCC-Sprecher Frank Rieger.

Es sehe so aus, als ob es Angriffe auf sehr verschiedene Systeme wie Facebook und Outlook-Accounts gewesen seien. Dass einige offensichtlich über mehrere Accounts hinweg angegriffen worden seien, „legt zumindest die Möglichkeit nahe, dass sie für unterschiedliche Systeme dasselbe Passwort verwendet haben“.

FDP leitet juristische Schritte ein

Die FDP-Fraktion im deutschen Bundestag leitete inzwischen juristische Schritte ein. Zentrale Systeme der FDP-Fraktion seien nicht betroffen, es seien aber Daten von 28 FDP-Politikern veröffentlicht worden. Die Justizministerin Katarina Barley (SPD) sprach von einem „schwerwiegenden Angriff“: „Die Urheber wollen Vertrauen in unsere Demokratie und ihre Institutionen beschädigen.“

Auch einige andere Bundestagsabgeordnete erstatteten laut einem Bericht der „Heilbronner Stimme“ wegen des Datendiebstahls Anzeige. Es gebe großen Unmut, dass die Informationen über den Angriff nicht vom BSI oder vom Bundesamt für Verfassungsschutz an die Fraktionen herangetragen worden seien, sondern sie zuerst von Bürgern und dem Chaos Computer Club darauf aufmerksam gemacht worden seien. Einige Abgeordnete hätten intern bereits in den vergangenen Wochen über Hackerangriffe berichtet, unter anderem auf Facebook-Konten.

Generalbundesanwalt schaltet sich ein

Freitagfrüh trat auch das deutsche Cyber-Abwehrzentrum zu einer Krisensitzung zusammen. Das Zentrum übernahm die Koordination zu dem Fall. Neben dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind auch der Verfassungsschutz, das Bundeskriminalamt und der Bundesnachrichtendienst involviert.

Darüber hinaus schaltete sich auch der Generalbundesanwalt in die Prüfung des Falles ein. Er überprüft nun die Bedeutung des Datendiebstahls und die kriminelle Relevanz. Danach wird entschieden, ob er weiter tätig wird. Die Bundesanwaltschaft würde vor allem für Ermittlungen bei „geheimdienstlicher Agententätigkeit“ zum Einsatz kommen.