Datendiebstahl bei Politikern - „Extrem gefährlich für unsere ganze Gesellschaft“

Jimmy Schulz ist Bundestagsabgeordneter der FDP und Vorsitzender des Ausschuss Digitale Agenda.

Wie und wann haben Sie davon erfahren, dass persönliche Daten von hunderten Bundestagsabgeordneten, Regierungspolitikern, Youtubern und Prominenten prinzipiell seit Wochen für jeden zugänglich ins Internet geladen wurden?
Gestern am späten Abend kam eine SMS von unserer Fraktion, dass es ein Problem gibt. Zwischendurch habe ich auch kurz geschlafen. Aber seit um 7 Uhr heute morgen sitze ich an dem Thema dran.

Was genau ist passiert?
Wir müssen davon ausgehen, dass über sogenanntes Social Engineering persönliche Daten in großem Stil an die Öffentlichkeit gedrungen sind. Das heißt: Der oder die Angreifer haben die Digitalgeräte, unter anderem von Abgeordneten, gehackt und sind dann über die Adressbücher an weitere Kontakte gekommen, die dann wiederum gehackt worden sein können. Die erbeuteten Daten wurden dann in großem Stil geleakt, also frei zugänglich veröffentlicht.

Können Sie Ihren aktuellen Stand der Kenntnisse beschreiben?
Die Medienberichte und unsere Erkenntnisse in der Fraktion setzen sich allmählich wie eine Art Mosaik zusammen. Wir sind als FDP-Fraktion die Partei, mit Ausnahme der AfD, die wohl am wenigsten betroffen zu sein scheint. Bei uns wurde der Account von einem unserer Abgeordneten gehackt. Und nur die Daten, die bei ihm im Adressbuch auf seinen Geräten waren, konnten ausgelesen werden. Möglicherweise ist noch ein zweiter Abgeordneter von uns betroffen. Zumindest haben wir Indizien.

Sind Sie ebenfalls betroffen, wurde Ihre Handynummer auch veröffentlicht?
Ich bin glücklicherweise nicht betroffen.

Eine Mailadresse und auch Mailverkehr der Bundeskanzlerin, aber auch Familienchats, gescannte Personalausweise, Kreditkartennummern von Abgeordneten sind nach wie vor offen einsehbar. Wie schlecht steht es um die Datensicherheit jener Personen, die immerhin unsere Volksvertreter sind?
Von dem was wir bisher wissen, hat in diesem speziellen Fall der Faktor Mensch wohl eine große Rolle gespielt. Es gibt also Personen, die das Thema Datensicherheit einfach nicht ernst nehmen. Oder zu wenig darüber wissen, wie man sich schützen kann. Hinzu kommt extreme Leichtsinnigkeit: Einfach auf zugesandte Links klicken, Software benutzen, die nicht sicher ist und die gleichen, ebenfalls zu unsicheren Passwörter gleich für mehrere Accounts und Netzwerke zu benutzen, ist nie ratsam.

Wie kann das sein? Nimmt selbst die Bundeskanzlerin das Thema ihrer persönlichen Datensicherheit nicht ernst genug?
Das Problem ist folgendes: Es kann ja sogar sein, dass die Kanzlerin gar nicht gehackt wurde. Ich kann nur vermuten, dass sie und ihre Sicherheitsberater ein verhältnismäßig gutes Gefühl dafür haben, wie man sich gegen Attacken absichert. Aber die Kanzlerin schreibt natürlich Mails an andere, mit einem vielleicht größeren Empfängerkreis. Wenn von denen nur einer ein mangelndes Sicherheitsbewusstsein hat, kann natürlich auch die Mail der Kanzlerin öffentlich werden.

Ein Problem, das schwer lösbar erscheint. Wir können kaum kontrollieren, ob jemand anderes mit seinem digitalen Adressbuch sicher genug umgeht, oder?
Deshalb nutze ich kein Whatsapp. Meiner Meinung nach ist dieser Messengerdienst nicht kompatibel mit unserer Datenschutzgrundverordnung (DSGVO). Haben Sie meine Handynummer? Nutzen Sie Whatsapp?

Ja, ich benutze Whatsapp.
Sehen Sie, das halte ich für rechtswidrig. Weil Sie meine Handynummer an Whatsapp weitergegeben haben, ohne mich zu fragen. Darum nutze ich sowas nicht. Es gibt brauchbare, sehr gute Alternativen, die auf Open-Source-Technologie beruhen, die auf mehreren Geräten gleichermaßen funktionieren und die man ohne die Eingabe von Telefonnummern verschlüsselt nutzen kann. Auch ich habe Whatsapp, aber auf einem Handy ohne Adressbuch. Dort sind nur Nummern von Leuten, von denen ich vorab die Erlaubnis bekommen habe.

Ein Verhalten, das offensichtlich zu viele Menschen nach wie vor nicht beherzigen.
Ja. Immerhin: Die Fraktionen tauschen sich derzeit auf höchster Ebene miteinander aus und arbeiten zusammen. Das Bundeskriminalamt (BKA) und das Bundesamt für Sicherheit (BSI) in der Informationstechnik sind eingeschaltet, der Generalstaatsanwalt prüft. Das Bundestagsnetzwerk scheint dieses Mal nicht betroffen zu sein. Dieses System wurde tatsächlich inzwischen sehr viel stärker gesichert. Was mich aber wirklich beunruhigt ist, dass die Daten lange vor Weihnachten, den ganzen Dezember über veröffentlicht wurden und es keiner gemerkt hat. Beziehungsweise in bestimmten Kreisen war das ja sogar bekannt. Immerhin hatte der verteilende Twitteraccount zehntausende Follower.

Machen die sogenannten Cyberabwehrsicherheitsbehörden also ihre Arbeit schlampig?
Wir haben offenbar tatsächlich ein großes Problem. So eine Sache, die am Kern der Sicherheit unserer Republik rührt und das Vertrauen in digitale Kommunikation nachhaltig schädigt, hätte dem BSI, dem BKS und all den schönen Behörden, die wir ins Leben gerufen haben, auffallen können und müssen. Wenigstens nachdem sie veröffentlicht wurden. Das ist wirklich erschreckend.

Fehlt es der Regierung schlicht an digitaler Kompetenz?
Es gibt zu viele Zuständigkeiten für Digitales und keinen Digitalminister, bei dem die Fäden zusammenlaufen. Den oder die fordere ich seit Jahren. Ich finde es zum Beispiel höchst befremdlich, dass das BSI dem Bundesinnenministerium (BMI) unterstellt ist. Das BSI wirbt für Verschlüsselung und das BMI versucht naturgemäß sie einzuschränken. Ich bin da sehr skeptisch. Das BSI braucht größtmögliche Unabhängigkeit, um die Sicherheit der Bürger zu schützen.

Können Sie denn inzwischen eingrenzen, woher die Attacke stammen könnte?
Wir tappen noch im Dunkeln. Die erste Reaktion war: Das waren irgendwelche im Staatsauftrag handelnden Hacker aus China, Russland oder Osteuropa. Ich bin da aber nicht sicher. Die Art der Attacke unterscheidet sich stark von den bisherigen Attacken, etwa auf den Bundestag vor zwei Jahren. Das deutet eher auf jemand anderen hin, denn solche Profis wären viel tiefer gegangen. Auch die Art der Veröffentlichung als eine Art Adventskalender passt für mich nicht zu den bisherigen Mustern.

Die Sprache des- oder derjenigen, der oder die veröffentlicht haben, scheint sich gegen die etablierten Parteien zu richten. Die AfD scheint bislang nicht betroffen zu sein. Eine politische Motivation ist also nicht auszuschließen, oder?
Ja, die ist nicht auszuschließen. Aber dass die AfD nicht betroffen ist, kann eben zweierlei bedeuten. Variante eins: Die Attacke kommt aus dem Umfeld rechter oder systemkritischer Gesinnung. Oder Variante zwei: Genau das Gegenteil, jemand versucht, den Verdacht genau in diese Richtung zu lenken. Das weiß man aber jetzt schlicht noch nicht.

Egal woher der Angriff kommen mag, handelt es sich, weil Zielpersonen vor allem Volksvertreter und die Regierung sind, um einen Angriff auf unsere Demokratie?
Es sind auch jede Menge Youtuber betroffen. Ich halte so eine Zuspitzung für zu verfrüht. Aber Sondersitzungen für den Innenausschuss und den Ausschuss für Digitale Agenda sind beantragt. Davon erhoffe ich mir nähere Informationen, auch eventuell über den Täterkreis. Die ehemalige Justizminsterin Sabine Leutheuser-Schnarrenberger hat den Bundesinnenminister Horst Seehofer aufgefordert, den Tagungsort der CSU, das Kloster Seeon, zu verlassen, um sich des Themas unmittelbar zu widmen. Das halte ich auch für richtig.

Auch der FDP wird stellenweise vorgeworfen, sie habe sich lieber mit Steuersenkungen für ihr Klientel beschäftigt als mit Datenschutz.
Das sehe ich anders. Ich bin in die FDP im Jahr 2000 eingetreten, weil ich gesehen habe, dass Bürgerrechte hier auch im digitalen Zeitalter gut aufgehoben sind. Das Thema Datenschutz ist ein zentraler Mittelpunkt. Seit Snowden finde ich immer mehr Gehör. Als Christian Lindner 2013 die Parteiführung übernommen hatte, hat er den Fokus sehr wohl auf Digitalisierung gelegt. Wir sind die Partei der Digitalen Aufklärung.

Die Kanzlerin wurde vor ein paar Jahren ausgelacht für ihren Satz, das Internet sei für alle Neuland. Offensichtlich hat sie aber noch immer Recht damit.
Kurz nach dem Fall Snowden im September 2013 habe ich im Bundestag eine Kryptoparty für alle Kollegen veranstaltet, also eine Veranstaltung, auf der man sich gegenseitig beibringen soll, Daten zu Verschlüsseln. Gekommen sind keine zehn. Dabei gibt es genügend Techniken, die einen Fall wie den aktuellen hätten verhindern können.

Hilft dieser Vorfall jetzt vielleicht sogar, weil Regierungsmitglieder und Parlamentarier persönlich betroffen sind, dass das Thema endlich ausreichend ernst genommen wird?
Ohne persönliche Betroffenheit, passiert meist nichts. Ein Problem, das wir in vielen Politikbereichen haben. Das gilt im übrigen auch für uns als Bürger selbst. Wir hatten schon viele Weckrufe. Die Snowden-Daten aber etwa haben nur einige wenige betroffen. Ich hoffe, dass dieser Fall jetzt ein weiterer Weckruf ist. Die Parlamentarier sehen, ich bin selbst betroffen. Da hat jemand in meinen Daten herumgefummelt, in meinem Schreibtisch, in meinem Tagebuch und in meinem Fotoalbum. Ich hoffe, dass wir das nutzen können. Die Möglichkeiten sind alle da. Es macht eben nur keiner.

Bei vielen Menschen stellt sich zunehmend ein Gefühl ein, niemandem und nichts mehr trauen zu können im digitalen Raum. Es vergeht kaum eine Woche ohne geklaute Kreditkartendaten, geklaute Handynummern, mitgelesene Kommunikation, Fakenews oder sonstige Leaks. Wie gefährlich ist es, zu denken, nicht mehr angstfrei zu sein bei allem, was man täglich tut?
Das ist extrem gefährlich für unsere ganze Gesellschaft. Genau deswegen kämpfe ich seit fünf Jahren für das Recht auf Verschlüsselung. Mein inzwischen eingebrachter Gesetzentwurf will genau das wegen mangelnder Sicherheit und Vertraulichkeit verloren gehende Vertrauen zurückgewinnen. Ich will darin beispielsweise alle Kommunikationsdienstleister dazu verpflichten, Artikel 10 des Grundgesetzes, also das Brief- und Postgeheimnis endlich auch digital umzusetzen. Als Standardvariante muss verschlüsselte Kommunikation angeboten werden. Letztlich ist derzeit fast jede digitale Kommunikation, die wir betreiben, so als würden wir Postkarten schreiben, die eben jeder mitlesen kann. Ein Brief kann nur unter ganz bestimmten streng geregelten Umständen und auch nicht von jedem geöffnet werden. Dieses Recht fehlt in der digitalen Welt.

Anmerkung der Redaktion: Aus Datenschutzgründen haben wie den Namen des betroffenen FDP-Abgeordneten aus einer Interview-Antwort entfernt.