: Wie enttäuschte Hacker die neue SPD-Chefin empfangen

von Peter Welchering
29.12.2019 | 11:59 Uhr
Viele Digital-Aktivisten fühlen sich von der Politik verraten. Nun kam die neue SPD-Chefin Esken zum Chaos Communication Congress - und wurde überraschend freundlich begrüßt.
Der 36. Chaos Communication Congress findet zurzeit in Leipzig statt.Quelle: DPA
Als die neue SPD-Vorsitzende Saskia Esken den Chaos Communication Congress in Leipzig am Samstagnachmittag verspätet und nach langer Zugfahrt erreicht, wird sie unerwartet freundlich empfangen. Und der Empfang ist beileibe kein Ausdruck der Solidarität unter den Betroffenen von ICE-Verspätungen. Er ist ein netzpolitisches Signal.

Digital-Aktivisten fühlen sich missbraucht

Die Bereitschaft zum Dialog zwischen Netzpolitikern und Digital-Aktivisten wächst gerade wieder. Um den war es vor einem Jahr noch schlecht bestellt. Viele Digital-Aktivisten fühlten sich von der Politik ignoriert oder sogar verraten.
"Die Digitalgipfel der Bundesregierung finden ohne Beteiligung der Zivilgesellschaft statt", bringt Anke Domscheit-Berg, Bundestagsabgeordnete der Linken, die Kritik der Netzgemeinde auf den Punkt. Sie besucht seit Jahren regelmäßig den Chaos Communication Congress und bemühte sich, den Gesprächsfaden nicht abreißen zu lassen.
Doch im vergangenen Jahr wurde die Kritik an den politischen Entscheidungsprozessen besonders heftig. "Wenn wir denn mal eingeladen werden, etwa in einen Bundestagsausschuss, dann ist das doch eine bloße Alibi-Funktion, die uns da zugedacht wird", brachte ein Mitglied des Chaos Computer Club seine Enttäuschung zum Ausdruck.
Saskia Esken nimmt diese harsche Kritik bei ihrem Wochenendbesuch auf dem Kongress auf. "Ich erlebe auch sehr oft, etwa bei der Diskussion über die Vorratsdatenspeicherung, dass gute technische Gründe gegen diese Überwachungspraxis vorgetragen, gehört und ignoriert werden", erklärt sie.

Netzpolitik als sehr dickes Brett

Oftmals würden Politiker dann tatsächlich argumentieren, sie nähmen die Gegenargumente zur Kenntnis, aber weil die Sicherheitsbehörden diese Maßnahmen für notwendig hielten, müsse das eben auch durchgezogen werden. Esken rief die Kongressteilnehmer und die anderen zivilgesellschaftlichen Gruppen dazu auf, sich davon nicht entmutigen zu lassen. "Ich muss als Netzpolitikerin auch oft ganz dicke Bretter bohren", meint sie.
Die persönliche Enttäuschung vieler Aktivisten kann sie nachvollziehen, setzt aber die gesellschaftliche Verantwortung dagegen. "Wir alle müssen bestimmen, wie unsere Gesellschaft auch mit digitalen Mitteln gestaltet werden soll; da darf man nicht aufgeben", appelliert Esken.
Die Kongressteilnehmer reagieren unterschiedliche darauf. Einige laden sie spontan zu weiteren Veranstaltungen und Gesprächsrunden ein. Andere sehe darin nur eine weitere Charme-Offensive des Establishments.
Dass Esken gelernte Informatikerin ist, sorgt allerdings bei einigen Kongressteilnehmern für etwas mehr Bereitschaft, sich auf ein Gespräch mit der Politikerin einzulassen. Ihre Argumentation über Passwortschutz und Hashes sowie den untauglichen Versuch der Bundesregierung, beim Gesetz gegen Hasskriminalität den Passwortschutz aufzuweichen, bringt ihr einen Achtungserfolg ein.

Informatik-Fachgespräch als Chance

Die Netzgemeinde ist an solchen technischen Diskussionen interessiert. Mit Politikern, die hier etwas Kompetenz mitbrächten, würde sie ja reden, meint eine Kongressteilnehmerin. Mit den ahnungslosen Politikern allerdings nicht.
Auch den Vortrag von Ulrich Kelber, dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, haben sich einige Kongressteilnehmer vorgemerkt. "Da macht eine Diskussion Sinn, der Mann ist Informatiker", lautet die knappe Begründung eines Konferenzteilnehmers.

"Wir müssen einfach viel unverzagter wieder unsere Narrative in die politische Diskussion tragen" meint IT-Beraterin Leena Simon, die sich in der Nichtregierungsorganisation Digitalcourage engagiert. Sie hat auf dem Kongress einen Beitrag gehalten mit dem Titel "Aus Sicherheitsgründen muss das Grundgesetz leider abgeschafft werden".
Sie hat bewusst überspitzt, um die in politischen Entscheidungsprozessen so oft strapazierten "Sicherheitsgründe" als unbegründete Annahmen zu entlarven. Das ist nach ihrem Dafürhalten auch durchaus ein weiterer Einstieg in den Dialog mit Sicherheitspolitikern und Netzpolitikern. 

Jahresrückblick: Datensicherheit 2019

Januar: Politikerdaten und gehackte KI-Systeme

Gleich zu Jahresbeginn ab dem 4. Januar bestimmt ein 20-jähriger Schüler die Diskussion über sensible Daten und Privatheit. Der hatte nämlich mit einer Art digitalen Adventskalenders auf Twitter vom 1. bis 28. Dezember 2018 Links zu persönlichen Daten von Politikern und Prominenten veröffentlicht.

Ende Januar wird ein wissenschaftlicher Vortrag über gehackte KI-Systeme mit verfälschten Trainingsdaten bekannt, den der Informatiker Dr. Mathieu Sinn vom IBM-Forschungslabor Dublin in Zürich gehalten hatte. Für autonom fahrende Kraftfahrzeuge kann ein solcher Angriff mit verfälschten Trainings- und Kontrolldaten verheerende Folgen haben.

Februar: Huawei und Alarmanlagensysteme

Quelle: DPA
Große Wellen schlägt ab Februar die Diskussion, ob der chinesische Ausrüster Huawei am Ausbau der 5G-Mobilfunknetze beteiligt werden sollte. Auf der Münchner Sicherheitskonferenz wird die Diskussion zum politischen Top-Thema.

Ende Februar gibt es eine große Überraschung bei Anwendern von Alarmanlagen von Nest Secure: In deren Alarmierungssystem hatte Google ein Mikrofon eingebaut. Aufgefallen war das, weil Google mit einem Update für das Alarmanlagensystem auch einen Patch für den Sprachassistenten Google Assistent ausgeliefert hatte. Google beteuert, das Mikro sei nicht aktiviert gewesen. Es stellt sich dann allerdings heraus, dass Mikrofone gar nicht so selten in Alarmanlagen und sogar in Brandmeldesysteme eingebaut werden.

März: "Beobachtungslisten" und geleakte SMS-Nachrichten

Anfang März wird bekannt, dass Facebook eine "Beobachtungsliste" mit Namen von als "Gegner" bezeichneten Kritikern führt. Diese Kritiker werden weitgehend überwacht. Facebook lässt sogar deren Aufenthaltsort via Smartphone-Ortung ermitteln.

Die Staatsanwaltschaft leitet ein Ermittlungsverfahren gegen den Stuttgarter Sozialbürgermeister Werner Wölfle ein. Das ist eines von mehr als 20 Ermittlungsverfahren im Stuttgarter Klinik-Skandal, bei dem es um Betrug, Bestechung und Untreue in Millionenhöhe geht. Eine wesentliche Grundlage der staatsanwaltschaftlichen Ermittlungen gegen Bürgermeister Wölfle sind geleakte SMS-Nachrichten.

April: Schadsoftware und Unverschüsselte Daten

Details über die Schadsoftware Triton versetzen die Branche in Unruhe. Mit der Angriffssoftware können gezielt Sicherheitssysteme in Fabriken ausgeschaltet werden.

Office365 von Microsoft wird wegen mangelnden Datenschutzes und grober Sicherheitslücken kritisiert. Kennwörter der Nutzer werden bei der ersten Anmeldung unverschlüsselt im Klartext übertragen. Sogenannte Telemetriedaten, mit denen die Arbeit von Office365-Nutzern überwacht werden kann, werden unverschlüsselt an Microsoft gesendet. Die Zertifikate, mit denen Datenübertragung abgesichert werden soll, weisen Schwachstellen auf.

Mai: Deutsche Informatiker löschen Facebook-Konto

Quelle: imago
Mitte Mai schließt die Gesellschaft für Informatik ihre Facebook-Präsenz. Die Interessenvertretung der Computerwissenschaftler in Deutschland begründet diesen Schritt damit, dass Facebook ein Feind des Datenschutzes sei und durch Datenverkauf und Profilbildung mit persönlichen Daten Demokratie und faire Marktwirtschaft bedrohe.

Facebook muss eine massive Sicherheitslücke bei seinem Messengerdienst Whatsapp einräumen, die es Angreifern erlaubet, Spionagesoftware auf dem Smartphone der Whatsapp-Nutzer zu installieren. Betroffen von dieser Sicherheitslücke sind rund 1,5 Milliarden Menschen weltweit.

Juni: Big-Brother-Award und Alexa

Quelle: dpa
Im Juni diskutieren die Innenminister des Bundes und der Länder über einen großen Lauschangriff mit Alexa & Co. Datenschützer sprechen sich gegen das Anzapfen von Sprachassistenten aus.

Der Journalist Matthias Eberl hat 130 Online-Angebote von Medienhäusern in Deutschland analysiert und herausgefunden: Facebook liest fast überall mit und weiß, für welche Artikel sich welche Nutzer interessieren.

Der Big-Brother-Award 2019 der Bielefelder Datenschutzorganisation Digitalcourage geht in der Kategorie Verbraucherschutz an "Zeit Online", unter anderem weil sie in hohem Ausmaß auf ihren Seiten Werbetracker und Facebook-Pixel einsetzen und personenbeziehbare Meinungen inklusive politischer Äußerungen von Teilnehmern an ihrem Projekt "Deutschland spricht" auf Google-Servern speichern. Eine Sicherheitslücke im Datenaustausch-Protokoll gefährdet dabei alle Anwender von Microsoft Office-Programmen. Daten auf dem Rechner können beliebig manipuliert oder gelöscht werden. Die Sicherheitslücke ist unter Experten schon seit längerer Zeit bekannt

Juli: Risiko Gesundheitsdaten

Bundesgesundheitsminister Jens Spahn will, dass Ärzte Smartphone-Apps auf Kassenrezept verschreiben sollen. Dabei handelt es sich zum Beispiel um Apps, die Patienten daran erinnern, ein Medikament einzunehmen. Oder um eine Tagebuch-App für Diabetiker. Da werden die Messwerte für den Blutzuckerspiegel eingetragen. Die Apps sollen an die elektronischen Patientenakte angebunden werden. Sicherheitsexperten warnen vor unkalkulierbaren Risiken.

August: Datenleck bei Kaspersky

IT-Fachjournalisten decken auf, dass durch ein Datenleck in der Antiviren-Software von Kaspersky viele Nutzer über mehrere Jahre in ihrem Surfverhalten ausspioniert werden konnten.

Riesenmengen persönlicher Daten mit Passwörtern, Login-Daten und private Schlüssel findet ein Sicherheitsforscher frei zugänglich im Netz, weil Kunden des Amazon Web Service ihre virtuellen Festplatten als "öffentlich zugänglich" markiert hatten.

September: Smarthome-Systeme gehackt

Auf der Internationalen Funkausstellung in Berlin werden Anfang September nicht nur Konzepte für die smarte intelligente Wohnung gezeigt, sondern auch wie leicht diese smarten Wohnungen gehackt, deren Bewohner ausspioniert und die Wohnungssysteme von der Heizung bis zur Stromversorgung manipuliert werden können.

Kurz bevor Amazon die Streaming-Box Fire TV Cube auf den Markt bringt, wird bekannt, dass TV-Fernbedienungen über Alexa und Smartphones leicht gehackt und zu Spionagewanzen fürs Wohnzimmer umfunktioniert werden können.

Oktober: Getrackte Gesundheitsdaten

Ada, eine Chat-Software, mit der Smartphone-Nutzer Symptome medizinisch abklären lassen können, sendet nach Recherchen der Fachzeitschrift c’t persönliche Daten ihrer Anwender über Tracking-Dienstleister wie Amplitude, Adjust und über Facebook unbemerkt an Dritte.

Über eine massive Sicherheitslücke in der von Unitymedia eingesetzten Connect-Box können mehr als zwei Millionen Unitymedia-Kunden gehackt werden.

In Sicherheitskreisen werden erste Details eines groß angelegten Industriespionageangriffs auf Autohersteller bekannt und diskutiert. Demnach soll eine Hackergruppe namens OceanLotus seit März 2019 es unter anderem auf Produktionsdaten von Hyundai und BMW abgesehen haben. Zwei Monate später, im Dezember berichtet der Bayerische Rundfunk dann, es seien zumindest bei BMW keine sensiblen Daten abgeflossen. Das Ausmaß des Spionagehacks auf die Automobilbauer bleibt unklar.

November: "Digitale Versorgung Gesetz"

Quelle: picture alliance/APA/picturedesk.com
Der Deutsche Bundestag verabschiedet das "Digitale Versorgung Gesetz". Das Gesetz regelt unter anderem die Weitergabe von Patientenabrechnungsdaten an Forschungseinrichtungen, Gesundheits-Apps auf Krankenschein und den elektronischen Arztbrief. Datenschutz und Datensicherheit werden sehr kontrovers diskutiert, weil Datenschutz wie Datensicherheit im Gesetz sträflich vernachlässigt würden.

In mehreren Medienberichten wird über die völlig unzureichende Datensicherheit in deutschen Arztpraxen und Krankenhäusern berichtet. Mal sind Gesundheitsdaten von mehreren zehntausend Patienten via Internet abrufbar, mal gestatten falsch konfigurierte Router der Deutschen Telekom einen Blick in tausende von Patientenakten.

14 Millionen Kundendatensätze werden von Unbekannten bei einem Angriff auf Server der Conrad Electronic SE erbeutet.

Wie viele Internet-Käufer von der Sicherheitslücke des E-Commerce-Systems Magento Marketplace von Adobe betroffen waren, bleibt dagegen im Dunkeln. Da das System gern von Betreibern von Online-Shops eingesetzt wird, dürfte die Zahl der Betroffenen sehr hoch sein.

Dezember: IT-Systeme lahmgelegt

Quelle: DPA
Die Schwachstellen-Plattform Hackerone muss selbst einen Sicherheitsvorfall melden: Durch eine Sicherheitslücke konnte auf aktuelle Schwachstellen-Dokumentationen zugegriffen werden. Auf Hackerone können Sicherheitsforscher von ihnen entdeckte Sicherheitslücken melden und von den betroffenen Herstellern dann Prämien kassieren. Persönliche Daten von 20 Millionen Kunden der Musikstreaming-Plattform Mixcloud werden auf einem Untergrundforum zum Kauf angeboten.

Weil ein Facebook-Angestellter in seinem Auto Festplatten mit unverschlüsselten Mitarbeiterdaten transportierte und Autodiebe in sein Fahrzeug einbrechen, gelangen Sozialversicherungsnummern, Gehälter, Unternehmensbeteiligungen und Kontonummern von 29.000 Facebook-Mitarbeitern in den illegalen Datenhandel.

Auf der Innenministerkonferenz werden Pläne diskutiert, die Melderegister über die Steueridentifikationsnummern der Bundesbürger zu vernetzen. Eine solche Vernetzung war bisher immer ausgeschlossen worden, weil sie einer anlasslosen Totalüberwachung der Bürger Vorschub leiste.

Womöglich durch einen Hackerangriff wird die Uni Gießen lahmgelegt. Weder Internet, E-Mail-Systeme noch interne Netzwerke können genutzt werden. Das Landeskriminalamt sowie die Generalstaatsanwaltschaft Frankfurt/Main werden eingeschaltet.

Nachdem eine E-Mail mit Schadsoftware an einen Mitarbeiter geschickt worden war, ist das IT-System der Stadt Frankfurt gesperrt worden. Mehrere Angebote und Serviceleistungen sind betroffen: Die Internetseite der Stadt ist nicht erreichbar, der Publikumsverkehr in allen Ämtern nicht möglich.

Mehr zum Thema