Daten-Affäre Thema einer Sondersitzung
Berlin: (hib/LBR) Die Anfang Januar bekannt gewordene unberechtigte Veröffentlichung personenbezogener Daten von Bundestagsabgeordneten und Personen des öffentlichen Lebens waren Thema einer Sondersitzung im Ausschuss Digitale Agenda. Andreas Könen vom Bundesministerium des Inneren (BMI), die Präsidenten des Bundeskriminalamtes (BKA) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Holger Münch und Arne Schönbohm sowie der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber (SPD), informierten die Abgeordneten über den aktuellen Stand der Ermittlungen und beantworten Fragen. Auch Vertreter der sozialen Netzwerke Google, Facebook und Twitter sowie des Webportals GMX stellten sich den Fragen der Parlamentarier.
Andreas Könen betonte, dass die Behörden weiterhin an der Aufklärung des Falles arbeiteten und Betroffene unterstützen. 994 Politiker aller Parteien mit Ausnahme der AfD seien betroffen. Weiterhin gebe es derzeit keine Belege dafür, dass es neben dem beschuldigten 20-Jährigen auch Mittäter gegeben habe. Im Hinblick auf die Konsequenzen des Falles brachte er eine Früherkennungs-Struktur zum Schutz vor Datenabfluss ins Gespräch sowie eine stärkere Sensibilisierung der Bürger vor Gefährdungen im Netz. Zudem sei im ersten Halbjahr 2019 ein IT-Sicherheitsgesetz geplant.
Holger Münch berichtete Details zu den Ermittlungen und betonte, dass noch nicht gesagt werden könne, wann die Ermittlungen abgeschlossen seien. Aktuell gehen über 40 Beamte 58 Hinweisen mit Täterbezug nach und versuchten Zeugen ausfindig zu machen. Auch die technische Auswertung laufe noch, da vom Beschuldigten umfangreiche Löschungen vorgenommen worden seien. Man habe bis jetzt keine Spur, die ins Darknet hineingehe, gefunden, berichtete Münch weiter. Auch das Motiv des Beschuldigten sei noch nicht vollständig geklärt. In dieser Woche ständen weitere 16 Vernehmungen an, berichtete er den Ausschussmitgliedern.
Arne Schönbohm sagte, dass 30 Abgeordnete das BSI um Beratung gebeten haben. Die Größenordnung des Falles sei von der Quantität überschaubar, aber von der Qualität bemerkenswert, sagte er und berichtete, dass vergangene Woche Sensibilisierungsveranstaltungen bei den Fraktionen stattgefunden hätten.
Der Datenschutzbeauftragte Ulrich Kelber (SPD) schlug vor, durch stärkere Vorgaben im Rahmen vorhandener Gesetze Sensibilisierung zu institutionalisieren. Dies betreffe etwa stärkere Passwortvorgaben, höhere Hürden für das Zurücksetzen von Passwörtern sowie auch die Zwei-Faktor-Authentisierung.
Ein Vertreter von Facebook berichtete, dass man noch am 3. Januar 2019 eine Taskforce aktiviert habe, die spezialisiert auf gehackte und geleakte Informationen sei. Diese habe Analysen durchgeführt und dabei festgestellt, dass kein direkter Angriff auf Facebook stattgefunden habe, sodass an die Passwörter der betroffenen Konten auf andere Art und Weise gelangt worden sein müsse.
Auch bei GMX habe man eine Prüfung der Systeme durchgeführt, die zu dem Ergebnis geführt habe, dass technische Sicherheitslücken auf Seite des Unternehmens ausgeschlossen würden, sagte ein Vertreter des Unternehmens. Man gehe davon aus, dass die Daten aus älteren Sicherheitsvorfällen, wie etwa Fishing-Angriffen, stammen. Unabhängig davon prüfe man, wie Sicherheitstechnologien erweitert werden können - dies aber immer auch mit Blick auf die Nutzerfreundlichkeit, so der GMX-Vertreter.
Die Aufklärung des Falles sei zentral, erklärte eine Vertreterin von Google. Es müsse beständig Maßnahmen der digitalen Aufklärung geben, sodass ein breites Erreichen der Bevölkerung sichergestellt werden könne, betonte sie.
Die im Fokus der Fragen stehende Vertreterin von Twitter berichtete, dass Ende 2018 neue Regeln eingeführt wurden, die die Verbreitung von gehacktem Material mit persönlichen Informationen verbieten. Sie betonte aber auch, dass dabei sehr umsichtig vorgegangen werden müsse, um Whistleblowing und Hacks voneinander zu unterscheiden.
Die CDU/CSU-Fraktion thematisierte die Frage nach der Zusammenarbeit zwischen Bundes- und Länderbehörden bei der Gefahrenabwehr und Strafverfolgung und fragte nach Details dazu, wie der Täter an die Daten gelangt sei. Die SPD fragte danach, ob ein bestimmter Provider betroffen war, von dem Daten abgeflossen sind und ob sich ein Muster abzeichne. Die AfD-Fraktion wollte wissen, ob das BMI eine Aufklärungs- und Informationskampagne plane und wie eine Früherkennungsmaßnahme genau aussehen solle.
Auch die FDP-Fraktion interessierte sich für den Weg, auf dem die Daten erbeutet wurden und fragte, wie die relevanten IT-Abteilungen zwischen Bundestag und BSI sich bei dem Fall koordiniert haben. Die Fraktion Die Linke berichtete, dass bereits am 21.12.2018 ein Angriff auf den Facebook-Account einer Abgeordneten dem Unternehmen gemeldet wurde, der Informationsweg des sozialen Netzwerks darüber aber unnötig kompliziert sei und eine Rückmeldung auf den Vorfall bis jetzt ausgeblieben sei. Auch die Fraktion Bündnis 90/Die Grünen erkundigte sich nach der Quelle der Daten und fragte Twitter danach, wie die Funktion der Missbrauchsmeldungen bei der Veröffentlichung personenbezogener Daten bislang in Anspruch genommen werde.