04.01.2019, Mecklenburg-Vorpommern, Schwerin: Illustration- Das Abfragefenster für Username und Password auf einer Internetseite sind auf dem Monitor eines Laptops zu sehen
Passwörter zu hacken, ist kinderleicht. Viele Internetuser benutzen die Namen ihrer Kinder / picture alliance

Lehren aus dem Datenklau - „Ein verunfalltes Kind landet schneller bei Youtube als im Krankenhaus“

Der Täter, der persönliche Daten von Politikern und Prominenten ins Internet gestellt hat, ist ein Schüler. Aufatmen könnten User deshalb aber nicht, warnt der Cyber-Kriminologe Thomas Rüdiger. Das Netz werde als rechtsfreier Raum wahrgenommen. Was bedeutet das für die Polizei?

Antje Hildebrandt

Autoreninfo

Antje Hildebrandt hat Publizistik und Politikwissenschaften studiert. Sie ist Reporterin und Online-Redakteurin bei Cicero.

So erreichen Sie Antje Hildebrandt:

Thomas-Gabriel Rüdiger ist Kriminologe am Institut für Polizeiwissenschaft und der Fachhochschule des Landes Brandenburg. Seine Spezialgebiete sind Cyber-Grooming und Straftaten in virtuellen Welten.

Herr Rüdiger, vor einigen Tagen hat die Bundesregierung Alarm geschlagen. Es hieß, Unbekannte hätten persönliche Daten von 1.000 Politikern, Prominenten und Journalisten ausgespäht und ins Internet gestellt. Was war Ihr erster Gedanke, wer dahinter stecken könnte?
Im allerersten Moment hab ich gedacht, das könnten professionelle Hacker gewesen sein. So richtige Cyber-Experten, vielleicht sogar welche aus dem Ausland, die versucht haben, politisch Einfluss zu nehmen.

Warum?
Weil ich nicht gedacht hätte, dass es so einfach sein könnte, an die Zugangsdaten von Politikern und Prominenten heranzukommen. Ich war davon ausgegangen, dass deren Kommunikationen und Zugänge besser gesichert sind

Jetzt weiß man: Der Täter war ein 20-jähriger Schüler, der als Motive Langeweile und Geltungsbedürfnis angegeben hat. Heißt das, die Daten waren praktisch für jeden zugänglich?
So würde ich das nicht formulieren. Der Frage wirft wiederum die Frage auf, wie es insgesamt um die Medienkompetenz in Deutschland steht. Wie unreflektiert gehen Nutzer mit ihren eigenen Daten und auch den Risiken im Internet um? Beispielsweise ist eines der beliebtesten Passwörter in Deutschland immer noch „123456“ oder auch der Name des eigenen Haustieres oder Kindes. Solche Informationen können Sie übrigens durchaus in den sozialen Netzwerken finden. Denn viele Internetnutzer sind ja bereit, sich selbst zu präsentieren, um Anerkennung in Form von Followerzahlen oder Likes zu bekommen – auch Politiker. Dabei geben sie immer auch Daten preis. Hier spricht man von digitalem Narzissmus.

Thomas Rüdiger
Thomas-Gabriel Rüdiger / privat

Sind Sie da eine Ausnahme?
Nein, aber ich käme nie auf die Idee, Fotos meiner Kinder auf Instagram zu posten. Ich würde auch nicht mein eigenes Autokennzeichen ins Internet stellen oder verraten, wo ich wohne. Das sind so genannte vulnerable Informationen, und es gibt genug Fälle, die gezeigt haben, wie problematisch und gefährlich eine unreflektierte Preisgabe solcher  Daten sein kann. Wissen Sie, was hier ein Klassiker ist?

Nein.
Jemand postet öffentlich seine regelmäßige Laufstrecke und wird dann überfallen. Oder er postet Aufnahmen von dem Hotel, in dem er gerade Urlaub macht – woraufhin bei ihm zu Hause eingebrochen wird. Für die Sicherheitsbehörden ist dieser digitale Narzissmus Fluch und Segen zugleich. Einerseits können so auch Täter überführt werden. Andererseits hat der Wettbewerb um Aufmerksamkeit teilweise bizarre Ausmaße genommen.

Mal ein Beispiel.
Im Zusammenhang mit „Gaffern“ kursiert der Spruch: Ein verunfalltes Kind landet schneller bei YouTube als im Krankenhaus.

Die von dem Datenklau betroffenen Prominenten sind jetzt also Opfer ihres eigenen Narzissmus geworden?
So überspitzt würde ich es nicht formulieren. Noch weiß man nicht genau, wie der 20jährige in jedem Fall vorgegangen ist. Es heißt, dass er Phishing Emails eingesetzt hat, um die Zugangsdaten zu Accounts zu erhalten. Solche Emails sind vor allem dann wirksam, wenn sie auf die angegriffene Person zurechtgeschnitten sind. Wenn jemand beispielsweise postet, dass er in Hotel X untergekommen ist, könnte ein Täter eine entsprechende Phising-Email als Rechnung des Hotels tarnen. Diese Rechnung könnte dann ein Schadprogramm beinhalten, das den Computer infiziert und beispielsweise die Passwörter übermittelt. Je mehr Informationen ein Täter hat, desto wirksamer können solche Angriffe sein. Dem 20jährigen wird aber ja auch teilweise Doxing vorgeworfen. Darunter versteht man das gezielte Nutzen von öffentlichen Informationen, die man in sozialen Medien findet, um jemanden fertig zu machen.

Und dafür reichen schon ein paar Klicks auf den Facebook- oder Instagram-Account des Betroffenen aus?
Nein, es ist die Kombination. Man muss schon ein bisschen recherchieren. Beispielsweise ein altes Foto, das jemanden zeigt, wie er sich in seiner Jugend auf einer Party betrinkt – oder ein sehr alter Kommentar in einem sozialen Netzwerk, der demjenigen heute unangenehm ist. Oder auch Informationen die man beispielsweise über die Social Media Accounts von dessen Freunden findet.

Der Täter braucht nur genug Zeit – aber keine besonderen Kenntnisse?
Genau, das ist kein technisches Hexenwerk, und ich tue mich schwer, das als Hacking zu bezeichnen. Für eine TV-Produktion sollte ich diese Mechanismen einmal mit einem Prominenten vorführen – mit dessen Einverständnis. Wir konnten innerhalb kurzer Zeit herausfinden wo dieser wohnt, wie die Kinder heißen, wo sie zur Schule gehen und an welchen Firmen der Prominente beteiligt war. Diese Informationen hätte man auch für gezielte Angriffe nutzen können.

Die Daten, die der 20-Jährige aus Hessen veröffentlicht hatte, waren jetzt nicht so brisant – sieht man mal von einigen Fotos von Kindern von Politikern ab. Warum hat der Skandal trotzdem so hohe Wellen geschlagen?
Das hat mich auch etwas gewundert. Ich denke, die Empörung war nur deshalb so groß, weil die Leute zunächst nicht wussten, was für Daten veröffentlicht wurden.  Wahrscheinlich dachten sie, es könnten irgendwelche geheimen Informationen aus der Politik sein. Dabei gibt es eine Vielzahl von digitalen Risiken und ungelösten Fragen, mit denen wir uns viel intensiver auseinandersetzen müssten. Dieser Fall könnte aber vielleicht dazu beitragen, diese Risiken stärker in den Fokus zu rücken.

Welche Risiken meinen Sie?
Zum Beispiel werden Kinder im Internet täglich mit Sexualstraftätern konfrontiert. Wir nennen das Cybergrooming. Wie wollen wir in diesem globalen, virtuellen Raum Normen durchsetzen? Auf diese Frage haben wir als Gesellschaft noch überhaupt keine befriedigenden Antworten gefunden. Es fehlt eine grundsätzliche Strategie.

Welchen Anteil hat denn die Cyberkriminalität an der Kriminalität?
Der Begriff Cyberkriminalität ist weit gefasst. Wenn ein Kind im Internet eine sexuell konnotierte Nachricht erhält, dann ist das genauso strafbar wie eine Beleidigung in einem Onlinespiel oder eine Phishing-Email mit der Aufforderung, Geld an jemanden zu überweisen, der Gold in der Wüste versteckt haben soll.

Aber so etwas wird doch kaum angezeigt.
Das stimmt leider. Was würden Sie schätzen: Von 15 Ladendiebstählen im richtigen Leben werden wie viele angezeigt?

Drei.  
Es ist nur einer. Trotzdem haben Sie ja vermutlich nicht das Gefühl, dass der Einzelhandel ein rechtsfreier Raum sei. Das unterscheidet ihn vom Internet. Die Wahrscheinlichkeit, für eine Straftat im Internet angezeigt zu werden, ist so gering, dass der virtuelle Raum als rechtsfreier Raum wahrgenommen wird –  konkreter: als ein Raum mit einer geringeren Strafverfolgungswahrscheinlichkeit.

Gibt es Studien, die das belegen?
Ich habe das mal exemplarisch am Beispiel von technischen Angriffen überschlagen: Von 280 technische Angriffe auf einen Privatanwender – beispielsweise eine Phishing-Email – wird in etwa nur eine angezeigt. Bei Cybergrooming fällt die Quote noch niedriger aus. 2017 gab es deswegen 1080 Anzeigen. Im deutschsprachigen Raum kann aber davon ausgegangen werden, dass ungefähr 3 bis 50 Prozent aller Kinder schon mit solchen Taten konfrontiert worden. Rechnen Sie das mal hoch auf die Zahl der Kinder, die das Internet nutzen, da sind wir im 6-7stelligen Bereich. Warum ist diese Quote so hoch? Weil die Täter offenbar keine oder nur eine geringe Angst vor Strafverfolgung haben müssen.

Erklärt das auch, warum der Diskurs im Internet inzwischen vom Hate Speech geprägt wird?
Es könnte ein Erklärungsansatz sein. Eine 2018 veröffentlichte Studie des Deutschen Instituts für Vertrauen und Sicherheit im Internet kommt zu dem Schluss, dass das Internet von einer Beleidigungskultur geprägt wird. Viele Jugendliche posten demnach gar nichts mehr, um den Beleidigungenoder Volksverhetzungen zu entgehen. Um das nachzuvollziehen, reicht es schon, sich einfach einmal die Kommentare unter Videos von bekannteren Youtubern anzuschauen. Beleidigungen wie „Hurensohn“ können auch strafbar sein. Man kann auch von einer Unrechtskultur sprechen.

Inwiefern ist dieses Ergebnis für Sie als Cyber-Kriminologe relevant?
Kennen Sie die Broken-Windows-Theorie? Wenn eine Fensterscheibe eingeschlagen und nicht repariert wird, und keiner wird dafür sichtbar zur Rechenschaft gezogen, wird irgendwann eine zweite Fensterscheibe eingeschlagen. Im Netz stellt demnach jede Normenüberschreitung eine eingeschlagene digitale Fensterscheibe dar, und jeder kann sie sehen. Es fehlt aber gleichzeitig an den sichtbaren regulierenden Reaktionen. Dies zeigt Nutzern, dass das Risiko der Ahndung offenbar gering ist, und dies kann letztlich zu einer Senkung der Hemmschwelle führen.

Völlig rechtsfrei ist das Internet nicht. Seit 2017 zwingt das Netzwerkdurchsetzungsgesetz die Betreiber von Internetplattformen, strenger gegen Hasskommentare und Fake News vorzugehen. Nach einer Studie der EU-Kommission haben Facebook, Twitter und YouTube im vergangenen Jahr 70 Prozent aller beanstandeter Inhalte sogar freiwillig gelöscht.
Gerade beim NetzDG bin ich etwas zwiegespalten. Auf der einen Seite finde ich es gut, dass überhaupt etwas getan wird. Auf der anderen Seite frage ich mich: Was ist jetzt die größte Gefahr für jemanden, der etwas Strafbares postet? Doch nicht, dass er eine Strafanzeige bekommt. Sondern, dass sein Account gelöscht oder blockiert wird. Warum steht im Gesetz nicht, dass Straftaten bei den Strafverfolgungsbehörden angezeigt werden müssten? Weil die Sicherheitsbehörden mit der Verfolgung überfordert wären.

Wieviele Polizeibeamten sind denn gegen die Cyberkriminalität im Einsatz?
Von etwa 311.000 Polizisten in Deutschland waren es nach 2018 etwa 2000 Polizisten, die Quote liegt demnach bei unter einem Prozent. Hierzu müsste man noch die Social-Media-Accounts der Sicherheitsbehörden zählen, die nach einer letzten Zählung 366 Auftritte umfasste. Hier ist durchaus noch Luft nach oben. In anderen Ländern wie in den Niederlanden sind die Sicherheitsbehörden wesentlich breiter aufgestellt. Dort gibt es nur 65 000 Polizeibeamte, aber 2500 Accounts.

Aber reicht die bloße Anwesenheit dieser Accounts schon aus, um potenzielle Straftäter abzuschrecken?
Gegenfrage: Würden Sie bei rot über eine Straße gehen, wenn ein Polizist in der Nähe steht? Die Sichtbarkeit der Sicherheitsbehörden ist eine wichtige Voraussetzung dafür, dass Normen eingehalten werden.

Aber schafft man wirklich mehr Sicherheit, wenn die Polizei die Präsenz im Internet erhöht?
Die  registrierte Kriminalität würde sogar steigen, da das Vertrauen in die Anzeige als Mittel der Normenkontrolle wachsen würde – und damit auch das Vertrauen in den Rechtsstaat Die Polizei sollte und kann natürlich nicht überall Präsenz zeigen. Es müsste aber eine gewisse Wahrscheinlichkeit geben, auch im öffentlichen Bereich des Internets zufällig auf die Polizei zu treffen. Sie könnte in sozialen Netzwerken zum Beispiel Hinweise posten, dass ein Kommentar strafbar sein könnte und Anzeige erstatten. Wichtig wäre, dass diese virtuellen Streife sichtbar wird. Ob die Gesellschaft das so sinnvoll erachtet muss noch diskutiert werden, aber diese Debatte sollte aus meiner Sicht geführt werden.  

In kaum einem anderen europäischen Land ist die  Angst vor einem Überwachungsstaat so groß wie in Deutschland. Erklärt das, warum der Gesetzgeber nicht schon konsequenter durchgegriffen hat?
Im Moment haben wir im Internet in vielen Bereichen keine Überwachung, sondern eher eine Unterwachung. Viele Menschen, die immer vor einer Überwachung und Regulierung des Internets gewarnt haben, fordern im Gegenzug aber auch häufig, dass etwas gegen Hate Speech im Internet unternommen werden muss. Hier gilt es, einen  Mittelweg zu finden.

Aber hätten Polizei-Streifen im Internet den 20-Jährigen Schüler tatsächlich davon abgehalten, seinen Geltungsdrang auszuleben, indem er Prominente im  Internet stalkt?
Das kann ich nicht sagen, aber wir können feststellen, dass vor allem Minderjährige immer häufiger als Tatverdächtige im Internet in Erscheinung treten. Vor fünf Jahren waren im Bereich des Cybergroomings nur etwa zehn Prozent der Tatverdächtigen Kinder oder Jugendliche. Mittlerweile liegt diese Quote bei 42 Prozent.

Woran liegt das?
Offenbar reden wir zu selten mit den Kindern und Jugendlichen darüber, was sie im Internet nicht dürfen. Wenn man als Jugendlicher in einem digitalen Raum aufwächst, in dem sichtbar Normen verletzt werden ohne das Reaktionen  erfolgen, dann kann das eben auch dazu führen, dass man eher bereit ist, selbst Normen zu überschreiten. Ich könnte mir vorstellen, dass dann auch das Unrechtsbewusstsein gering sein könnte. Uns als Gesellschaft fehlt eine digitale Präventionsstrategie, die zeigt, wie Erwachsenen und Kindern Medienkompetenz vermittelt wird, wie Kinder vor Straftaten im Netz geschützt werden können, welche Verantwortung die Betreiber von sozialen Netzwerken tragen und wer diese Regeln überhaupt durchsetzen soll.

Bei älteren Beiträgen wie diesem wird die Kommentarfunktion automatisch geschlossen. Wir bedanken uns für Ihr Verständnis.

gabriele bondzio | Do., 10. Januar 2019 - 10:35

vielleicht sogar welche aus dem Ausland, …
und trotzdem war es ein junger Mann, der auf seine Art-und Weise gegen ein System protestiert hat. Meiner Meinung nach hochintelligent , sich trotz seiner Jugend auf dieser Strecke, besser auskennend, als so mancher hochdotierte Datenspezialist.
Erinnert sei an Edward Snowde, der Journalisten im großen Stil vertrauliche Dokumente über massive Abhörpraktiken des US-Geheimdienstes NSA und anderer Dienste zugespielt hat. Seine Enthüllungen über systematische Massenüberwachung von Telefonen, Smartphones und dem Internet haben die Welt verändert.
Aber nicht die IT Sicherheit in DE .Mit jeder neuen Enthüllung aus den Snowden-Papieren, jedem neuen Sicherheitsleck, wird uns eigentlich vorgeführt. Wie komplett verwanzt wir sind und das Datenlecks auch nicht behoben werden um dies weiter zu gewährleisten.
Und hier war es doch eigentlich ein begabter Jugendlicher, der seine Neugier/ Langeweile/ Frust mit technischem Sachverstand auslebte.

Hans Herzberger | Do., 10. Januar 2019 - 10:51

Der Vorfall, zeigt einmal mehr, dass die Intelligenz nicht unbedingt in Berlin wohnen muß ! Selbst eine kleine ländliche Region (ohne Brandband, schnelles Internet) ist im Stande die Republik aus den Angeln zu heben und den gehackten Unfähigkeit mit den modernen Medien vor Augen zu führen. Der junge Mann, hat einen Weckruf in das Land gesendet, der mehr Vorsicht walten lassen sollte. Die Politik und ihre Behörden, haben sich über alle Maßen blamiert und werde zurecht mit Spott überzogen. Wie will uns diese "Elite" in das digitale Zeitalter führen ? Es sind große Zweifel angebracht ?

Mathias Trostdorf | Do., 10. Januar 2019 - 14:32

Wie auch immer:
Die Auflösung des Falls in dieser Form ist frustrierend für Teile von Politik und Medien.
War doch gleich nach bekanntwerden des Datenklaus geklagt worden, die AfD müsse dahinterstecken.

Ernst-Günther Konrad | Do., 10. Januar 2019 - 18:10

Die Politiker und Promis leben es doch in den sozialen Netzwerken vor. Diffamierungen, Beleidigungen, Unterstellung, ausgetragene poltische Konflikte bis hin zu privaten Zwistigkeiten. Inzwischen glaubt jeder, alles und jeden öffentlich zu machen. Wir beherrschen das Internet nicht, es beherrscht uns. Ich glaube
nicht an sicheres Internet, ich glaube nur an mich. Ich versuche, so wenig wie möglich an persönlichem ins Netz zu stellen. Meine Generation hat noch gelernt mit anderen von Angesicht zu Angesicht zu reden.
Das Internet ermöglicht bzw. täuscht Anonymität vor. Da kann man sich mal richtig austoben und all das sagen, was im persönlichen Gespräch unmittelbare Folgen hätte. Es ist leicht zu beleidigen, zu moppen oder zu hassen, wenn man "unbekannt" zu sein scheint. Der Staat ist überfordert. Kein ausreichendes Personal bei Polizei und Justiz. Fehlende Fachleute und Equipment und damit der Wille, die Bürger zu schützen. Wie sagte einst Frau Merkel. Das Internet ist Neuland.