Seit Tagen überschlagen sich die Nachrichten: es soll einen großen Hackerangriff gegeben haben, tausende Politiker sollen gehackt worden sein und - wie gerade sehr gern genommen - die sozialen Medien sind schuld.
Es lassen sich hieran so viele Dinge und Zusammenhänge erklären, dass ich das zum Anlass nehme, eine neue lose Reihe "Digitalisierung erklärt" zu starten. Ich erkläre Begriffe und Zusammenhänge und will so die analoge und digitale Welt ein wenig besser machen.
Was ist passiert?
Seit Dezember wurden Daten von PolitikerInnen, SchauspielerInnen und anderen mehr oder weniger prominenten Menschen veröffentlicht. Diese veröffentlichten Daten sind nicht generell öffentlich gewesen. Bei den meisten Daten handelt es sich um keine "schlimmen" Geheimnisse, sondern um (geheime) Telefonnummern und ähnliches.
In ca. 50 Fällen sind deutlich persönlichere Informationen erbeutet worden.
Haben sich zunächst die Vermutungen überschlagen und vor allem der Boulevard schnell einen groß angelegten und von Russland gesteuerten Hackerangriff vermutet haben die Ermittlungen ergeben, dass es das Werk eines einzelnen 20jährigen ohne bedeutenden Hackerkenntnisse aus seinem heimischen Kinderzimmers heraus war.
Was sind Hacker, was ist Doxing und welcher soziale Engineer hat seine Finger im Spiel? - Ein paar Begriffsklärungen
Was sind Hacker?
Hacker sind Menschen, die umfassende IT Kennnisse haben und nach Schwachstellen in Computersystemen (Hard- und Software) suchen. In der Hackerszene wird häufig zwischen guten und schlechten Hackern (die werden dann Cracker genannt oder - wenn sie wenig Kenntnisse haben - Scriptkiddies) unterschieden. Das ist durchaus umstritten, aber nicht unwichtig.
Nach den bisherigen Kenntnissen ist es kein Hack gewesen, sondern das sammeln von Daten und - dank schlechter Passwörter - die Erlangung von Zugang zu verschiedenen accounts.
Unter Hacking versteht man rechtswidrige Eindringen in accounts oder Systeme unter Ausnutzung von Sicherheitslücken.
Was ist Doxing?
Doxing beschreibt das sammeln von persönlichen Informationen und Daten, die dann kuratiert gegen die Personen verwendet werden. Dabei geht es nicht unbedingt um geheime Informationen, sondern um Informationen, die zB Menschen diskreditieren sollen. Diese Informationen werden dann als "Beweis" genommen. Ziel ist es, dass diese Personen Ziel von Trollen werden, Opfer von shitstorms etc.
Was ist Social Engineering?
Beim social Engineering geht es um die Erlangung von Daten oder Informationen oder Geld durch Manipulation der Menschen.
Der social engineer gibt sich als vertrauensvolle Person oder Organisation oder Institution aus, die nach der Kontaktaufnahme erst Vertrauen aufbaut und dann die Personen dazu bringt, Geld zu senden, Informationen preis zu geben oder auf links in emails zu klicken, was sie normalerweise nicht gemacht hätten.
Drei Beispiele:
- Zurzeit gibt es häufig Anrufe von (natürlich nicht, aber so geben sie sich aus) Microsoft (vertrauensolles Unternehmen), den Menschen wird erzählt, dass sie ein Problem mit ihrer windows-Insatallation hätten (wer hatte das noch nicht?) und sie mit diesem Anruf das Problem lösen wollen. Im Laufe das Gesprächs werden Zugangsdaten abgefragt und / oder Zugriff auf den Computer gewährt. Und schon sind Datendiebe im System.
- Auf Facebook und viel häufiger noch auf Datingseiten werden Menschen kontaktiert und durch intensive und emphatische Kommunikation so manipuliert, dass sie zB Geld senden, um der Person eine Reise zu ihnen zu ermöglichen.
- Über digitale berufliche Netzwerke werden Menschen aus bestimmten Unternehmen kontaktiert und nach einiger Zeit wird eine Mail mit einem (unverdächtig erscheinenden) link verschickt. Durch den bereits aufgebauten Kontakt ist Vertrauen entstanden und der link wird angeklickt. Ein immer wieder schlicht funktionierender Trick.
Was übrigens passiert wenn "Microsoft" beim ChaosComputerClub anruft könnt ihr hier nachlesen. Ganz großes Kino!
Dass es kein Hacker war scheint sicher zu sein. Der Täter ist geständig und hat erklärt, dass er sich über die Betroffenen geärgert habe. Erstaunlicherweise hat er sich über PolitikerInnen aller Parteien geärgert, nur nicht über die AfD.
Zusammenfassend spricht das für Doxing. Nicht mehr oder weniger schlimm, aber trotzdem ist es wichtig, genau zu sein.
Wer hat welche Verantwortung? Wer kann was tun?
Vorweg - es gibt nicht eine einzelne Verantwortung. Es liest sich in den Veröffentlichungen der letzten Tage oft so. Immer sind andere schuld und immer hat jemand eine pauschale, einfache Lösung, für deren Umsatzung er (stimmt, habe nur kluge Ratschläge von Männern dazu gelesen...) nicht zuständig ist.
Also gucken wir mal genauer hin:
NutzerInnen
- Nutzt 2-Faktor-Authentifizierung
- Nutzt sichere Passwörter
- Nutzt sichere PasswortSafes
- Nutzt sichere Messenger (Lass also bitte endlich diese WhatsApp Pest sein, dort werden alle Adressbuchdaten aus euren Kontakten hochgeladen. Ganz egal, ob diese Kontakte überhaupt WhatsApp nutzen - wollen - oder nicht. So landen Daten bei Messenger-Diensten, die dort nicht hingehören.) Alternativen sind Signal oder Telegram oder threema. Ja, es bedeutet viel Überzeugungsarbeit in der Familie und im Freundeskreis, aber irgendwas ist ja immer...)
- Nutzt verschiedene Passwörter
- Hängt eure Passwörter nicht per post-it an den Bildschirm
- Sperrt euren Laptop, euer Smartphone oder was auch immer ihr benutzt bei Nicht-Nutzung ab
Wären alle diese Punkte von den Personen, deren Daten geleaked wurden, eingehalten, wären sie wohl nicht geleaked worden. Damit das in Zukunft nicht mehr einfach so passieren kann ist auch der Gesetzgeber in der Pflicht, siehe unten.
PolitikerInnen auf allen Ebenen
Es ist nicht (mehr) witzig, keine Ahnung von diesem Internet, von SocialMedia und Digitalisierung zu haben. Keine Rede kommt mehr ohne DigitalisierungsBuzzWords aus, das haben mittlerweile alle begriffen. Aber bei mindestens 95% der in politischer Verantwortung Handelnden endet es dann auch schon. Niemand muss Ahnung von allen Politikbereichen haben, das geht nicht. Digitalisierung ist nicht irgendein Politikbereich, sondern Gegenwart und Zukunft und der Rahmen politischen Handelns. Sie findet in allen Politikbereichen statt. Deshalb muss es ein umfassendes Grundwissen und Grundverständnis geben. Kokettieren á la "ich guck lieber in die Bäume als in twitter" oder "das ist ja alles Neuland, das kann ich noch gar nicht wissen..." im Jahr 20 von Google zeugt nicht vom Erreichen einer höheren Sphäre der Existenz, sondern von der Ignoranz der wesentlichen politischen Gestaltungsaufgabe. Digitalisierung muss gestaltet werden. Wer sie nicht selber gestaltet überlässt es anderen. Sie kann ein großer Gewinn für die Gesellschaft sein. Technikfeindlichkeit, Kulturpessimismus und Unlust auf Zukunft sind keine Basis für zukunftsfähige Politik.
Dazu gehört auch, politische Kommunikation in digitalen Zeiten analog _und_ digital zu führen, es ist kein Gegensatz, sondern ein notwendiges Zusammenspiel. Das muss erlernt werden.
Digitalisierung ist zu 20% Technik, der Rest sind Prozess, Organisation, Struktur und Kommunikation. Das gilt in Unternehmen wie in der Verwaltung wie in der Politik.
Zum Umgang von PolitikerInnen mit accounts, Zugangsdaten etc. gilt ansonsten das unter "NutzerInnen" angeführte.
Der Gesetzgeber
Es ist zurzeit möglich, ausgesprochen unsichere Anmeldeverfahren zu verwenden. Die empfohlene 2-Faktor-Authentifizierung wird nicht überall angeboten und dort, wo sie angeboten wird, kann sie ausgeschaltet werden. Der Gesetzgeber sollte Plattformbetreiber dazu verpflichten, die technisch vorhandenen Möglichkeiten zur Sicherheit verpflichtend einzusetzen. Das ist bisher nicht der Fall. Wären diese eingesetzt worden wären die meisten der Informationen nicht in die Hände des Täters gelangt.
Die sichere Nutzung von Plattformen muss möglich sein ohne sich umständlich mit Cybersicherheit auseinandersetzen zu müssen. Die Justizministerin hat eine Debatte dazu angekündigt.
Die zurzeit ins Stocken geratene ePrivacy Richtlinie, die in Europa verhandelt wird, geht in diese Richtung.
Digitalisierung verändert auch Kriminalität. Doxing ist kriminell, ebenso wie anderes. Das lässt sich aber nicht durch mehr Videoüberwachung oder den Abbau von bürgerlichen Freiheitsrechten verfolgen, sondern über angemessene Polizeiarbeit. Maßnahmen müssen das Problem wirklich lösen und nicht das Problem als Vorwand für bisher politisch nicht durchsetzbare Maßnahmen missbraucht werden.
Wir brauchen ein Recht auf Verschlüsselung. Ein Staat, der Staatstrojaner einsetzen will, öffnet die Türen für Cyberkriminalität. Was hilft es, wenn die Vordertür eines Hauses ein doppelte Sicherung hat, aber am Kellereingang der Schlüssel unter der Matte liegt?
Diese alten ideologischen aka reaktionären und paternalistischen Reflexe führen in ihrer Konsequenz zu einem demokratiepolitischen Problem einerseits (Überwachung, Einschränkung bürgerlicher Rechte) und zum fahrlässigen Umgang mit privater und öffentlicher Sicherheit (Staatstrojaner) andererseits.
Es muss ein Umdenken passieren, das mit der Einsicht beginnt, dass es keinen absoluten Schutz und auch keine absolute Geheimhaltung gibt. Die gab es übrigens noch nie, aber der Zugriff auf Informationen ist in digitalen Zeiten schneller und umfassender.
Völlig absurd sind dann in diesem Zusammenhänge Vorschläge eines HackBack. Wer soll denn bitte mit welchem Ziel zurückgehackt werden? Und kommen dadurch die Daten wie durch Zauberhand wieder aus dem Netz allein zu den NutzerInnen? HackBack ist wirklich immer Unsinn, aber hier zeigt er sich auch noch richtig deutlich.
Die Antwort auf die Herausforderungen für innere und äußere Sicherheit eines freien und demokratischen Landes in digitalen Zeiten muss noch gefunden werden.
"Software-Hersteller und Plattformbetreiber müssen hohe Sicherheitsstandards und regelmäßige Updates gewährleisten. Wir prüfen, inwieweit hier schärfere gesetzliche Vorgaben sinnvoll und erforderlich sind", erklärt Ministerin @katarinabarley. #Datenklau https://t.co/J7OJev4QVn
— BM der Justiz und für Verbraucherschutz (@BMJV_Bund) 5. Januar 2019
Was ist nun mit Habeck und dem Hacker, der keiner war?
Robert Habeck ist einer derjenigen, von dem deutlich mehr und auch sensible Informationen erbeutet wurden. Chatverläufe mit seiner Familie sind öffentlich geworden. Das ist erst einmal sehr ärgerlich und schockiert sicherlich auch.
Niemand möchte private chats in den Händen anderer oder im Internet veröffentlicht sehen.
In seiner Erklärung, dass er Facebook und twitter verlässt vermischt er allerdings ne Menge.
Er sieht selber ein, dass er Fehler in der digitalen Kommunikation gemacht hat. Kann passieren, beim richtigen Umgang damit vergisst und verzeiht die Netzgemeinde recht schnell. Das ist auch ein Vorteil der schnellen Kommunikation.
Robert Habeck ist ein Typ Politiker, der online viel Unterstützung und bisher kaum Gegenwind erfahren hat. Sein cooles und positives Image rührt auch von seiner digitalen Kommunikation. Die sozialen Medien scheinen wie für den Schriftsteller gemacht. Allerdings sind sie schneller als ein Text, der für ein Buch geschrieben und im Zweifel noch mehrfach redigiert und lektoriert wird.
Dass er sich nur deswegen von Facebook und Twitter zurückzieht ist nicht wirklich nachvollziehbar. Zumal er auch erst einmal nur die Kommentare hätte abstellen können oder eine Pause von einer Woche einlegen können.
Mein Tipp ist, dass er zurückkommen wird. Ich freu mich jetzt schon auf das wording, das selbstkritisch und gleichzeitig offensiv sein wird. Er hat tatsächlich viel mehr zu verlieren wenn er nicht mehr in den sozialen Medien ist (abgesehen von Instagram, das aber auch zu Facebook gehört; das muss ihm vielleicht mal jemand erzählen) und digital nur noch über seinen Blog kommuniziert.
Er mischt das mit dem Datenleak.
Das hat nur wirklich nichts miteinander zu tun. Beides hat etwas mit Digitalisierung zu tun, einmal geht es um Kommunikation in digitalen Zeiten und einmal geht es um den sicheren Umgang mit Smartphone, Laptop & Co. In einem Interview im Fernsehen (link finde ich leider nicht mehr) stellte er einerseits fest, dass er wohl nicht den klügsten Umgang mit Passwörtern hatte, gleichzeitig empört er sich, dass er das aber auch nicht von seiner Familie und Freunden erwarten könne.
Und an der Stelle wird es spannend. Die Antwort lautet nämlich: doch, lieber Robert Habeck, genau darum geht es. Wenn PolitikerInnen Sicherheitsunterweisungen bekommen wird auch die Familie mit einbezogen. Warum soll das für digitale Kommunikation nicht gelten? Und wie kann es überhaupt sein, dass ein Politiker einer Partei, die sich das mit der Digitalisierung so dick auf die Fahnen geschrieben hat, das nicht auf dem Schirm hat?
Ein gutes Beispiel dafür, dass der tägliche Umgang mit Digitalisierung noch viel Luft nach oben ist. Da hilft nur lernen, neugierig sein, ausprobieren, mit Fehlern (und die passieren unweigerlich) professionell umgehen und ansonsten: Digitalisierung gestalten.
Ihr wollt wissen, ob ihr selber betroffen seid?
Es finden täglich Cyberangriffe auf persönliche Daten statt. In den Blickwinkel der Öffentlichkeit kommen diese Angriffe meist nur wenn entweder sehr viele NutzerInnen oder PolitikerInnen oder Prominente betroffen sind.
Hier könnt ihr eure Mail-Adressen überprüfen.
Für den Fall, dass ihr ein "positives" Ergebnis habt solltest ihr schnellstens die Passwörter des Mail-accounts ändern. Wenn ihr dann noch überall wo es möglich ist eine 2-Faktor-Authentifizerung einrichtet seid ihr schon ziemlich auf der sicheren Seite.
Wie das geht?
Kommentar schreiben