Mails, Fotos, Chats und Dokumente – Unbekannte haben persönliche Daten Hunderter Politikerinnen und Politiker und anderer bekannter Persönlichkeiten ins Netz gestellt, darunter Schauspieler, YouTuberinnen, Moderatoren, Journalistinnen. Noch ist wenig darüber bekannt, wie genau der oder die Urheber an diese Daten gekommen sind: War es ein aktueller Hack? Politische Spionage? Ein Erpressungsversuch? Oder schlicht die Veröffentlichung schon früher abgegriffener Daten? Was hinter dem Leak stecken könnte und wie man sich vor solchen Angriffen besser schützen kann, haben wir Norbert Pohlmann, Experte für IT-Sicherheit, gefragt.

ZEIT ONLINE: Herr Pohlmann, wie ordnen Sie den aktuellen Leak ein?

Norbert Pohlmann: Fakt ist, dass gerade eine Menge Personen ihre privaten Daten im Internet finden. Jetzt ist die Frage: Was steckt dahinter? Wenn ich China, Russland oder die USA wäre und ich hätte deutsche Politikerinnen und Politiker ausspioniert, würde ich die Dokumente nicht veröffentlichen. Also kann man wohl ausschließen, dass es sich um politische Spionage handelt. Auch ein Erpresserszenario ist eher unwahrscheinlich. Denn das Druckmittel wäre damit ja bereits veröffentlicht. Ich würde sagen, da steckt jemand dahinter – typischerweise ein original Hackertyp – der aufzeigen möchte, dass Computer gehackt werden können und dass man auf persönliche Daten zugreifen kann.

ZEIT ONLINE: Wie ist derjenige oder sind diejenigen, die jetzt auf Twitter die Daten preisgegeben haben, denn Ihrer Meinung nach an sie herangekommen?

Pohlmann: Ich gehe davon aus, dass hier mithilfe von Malware auf überwiegend private Rechner zugegriffen wurde. Denn wem es gelingt, eine solche Schadsoftware einzuschleusen, kann Dokumente einsehen, die jemand auf seinem Rechner hat. Ich vermute, auf allen Rechnern der Betroffenen würde man so eine Malware finden. Auf ähnliche Weise können auch Daten aus der Cloud mitgelesen oder kopiert werden.

ZEIT ONLINE: Wobei man sich ja schon vor Malware schützen kann, oder? Erstaunt es Sie nicht, wenn private Daten von Politikerinnen und Politikern offenbar so leicht abzugreifen sind, wie es im Moment aussieht?

Pohlmann: Das Problem ist, dass wir in der Digitalisierung rasant voranschreiten und mit Technologien arbeiten, die angreifbar sind. Unsere Rechner sind nicht sicher genug. Und wir haben nicht die Kompetenz, Angriffe wie den aktuellen zu erkennen und zu verhindern. Das gilt eben auch für Menschen in wichtigen Positionen. Wir alle müssen lernen, zu erkennen, welche Anhänge Schadsoftware enthalten. Wenn eine Mail von Bernd kommt und ich kenne Bernd nicht, dann öffne ich die Mail nicht. Viele Menschen haben aber dieses Bewusstsein nicht. Und auch Politikerinnen und Politiker sind nur Menschen.

ZEIT ONLINE: Wie kann denn jede und jeder Einzelne sicherer im Netz unterwegs sein?

Pohlmann: Mit der digitalen Sicherheit ist es wie mit dem Autofahren. Als Autofahrer muss ich mich fragen: Ist mein Fahrzeug funktionstüchtig? Gleiches gilt für meinen Rechner. Ich sollte mein Antivirenprogramm aktuell halten, mir eine passende Firewall einrichten. Ich sollte gute Passwörter verwenden und nicht einfach auf jeden Anhang klicken. Außerdem sollte ich wichtige Daten verschlüsseln. Dann können Leute, die sie mir klauen, nichts damit anfangen, weil sie nicht darauf zugreifen können. All das ist gar nicht so schwer. Es passiert auch immer mehr, aber nicht genug.

ZEIT ONLINE: Sehen Sie denn die Verantwortung für die Sicherheit allein bei den Nutzerinnen und Nutzern?

Pohlmann: Nein. Auch die Politik ist für die Sicherheit der Bürgerinnen und Bürger im Netz verantwortlich. Erst Ende November hat sich das Parlament mit der Forderung der FDP auf ein Recht auf Verschlüsselung beschäftigt. Wenn einfach alle Daten verschlüsselt wären, wäre ein Hackerangriff wie der jetzige ohne Effekt.

ZEIT ONLINE: Und wieso ist Verschlüsselung dann noch nicht Standard?

Pohlmann: Die Bundesregierung stellt sich dagegen. Sie will nicht verschlüsseln, weil sie auf Computer zugreifen will, um Straftäter zu identifizieren. Das ist ein lähmender Zielkonflikt. Was wir bräuchten, ist aber, dass alle in Sachen IT-Sicherheit in die gleiche Richtung schauen. So wie vor 20 Jahren bei der Verkehrssicherheit. Da hat sich die Politik gefragt: Was können wir tun, um weniger Verkehrstote zu haben? Dann wurden Straßen verbessert, Bäume gefällt, die Führerscheinprüfung angehoben, Hersteller wurden per Gesetz motiviert, Sicherheitsgurte einzubauen. Und für nur ein bisschen mehr Geld bekam man bald schon ein Auto mit Airbag. Gleiches sollte für Rechner gelten. Momentan rasen wir alle ohne Airbag durchs Netz. Forscher haben die Technologie dafür, also die Knautschzone für Computer längst entwickelt, aber Microsoft, Apple und Co bauen sie noch nicht in ihre Produkte ein.

ZEIT ONLINE: Wie sähe so ein Airbag für den Computer denn aus?

Pohlmann: Wenn ich momentan ein Notebook kaufe, ist da zum Beispiel das Betriebssystem von Microsoft drauf. Das hat 50 Millionen Zeilen Code, also potenziell sehr viele Schwachstellen. Sicherer wäre es, ein Betriebssystem zu nutzen, das viel kleiner ist, also weniger Zeilen und damit weniger potenzielle Programmierfehler enthält. Zusätzlich gibt es weitere Methoden, mit denen man ein Betriebssystem sicherer machen kann und durch die der Zugriff auf die Hardware erschwert wird.

ZEIT ONLINE: Würden Hacker nicht entsprechend aufrüsten, wenn alle so ein Airbag hätten?

Pohlmann: Natürlich wird es nie eine hundertprozentige Sicherheit geben. Allein schon, weil private Informationen ja auch ganz anders verfügbar sind. Ich kann mir eine Kopie Ihres Personalausweises über Ihren Rechner beschaffen oder ich greife auf einer Fete in Ihre Tasche und mache ein Foto des Dokuments. So gesehen wird man die Datenkriminalität nicht verhindern können, aber die Massenkriminalität, die durch flächendeckend unsichere Technologie ermöglicht wird. Und der aktuelle Fall hat seinen Ursprung genau dort: Im Moment ist unsere gesamte digitale Nutzung unsicher.

Die Entwicklung im Fall des aktuellen Datenlecks können Sie hier in unserem Liveblog nachlesen.