Es gibt Aufreger, die verdienen der Aufregung, des Aufstands und der Empörung. Es gibt Aufreger, die werden wie eine Sau durchs Dorf getrieben. Die Einordnung obliegt dann dem Leser oder der politischen Beobachterin. In der vergangenen Woche wurde Deutschland von einem vermeintlichen Skandal um einen Hacker-Angriff heimgesucht. Ein Computer-Nerd veröffentlichte in den Wochen vor Weihnachten einen Adventskalender mit angeblich brisanten Dokumenten zu Prominenten und Politikern. Alle politischen Parteien waren betroffen – mit Ausnahme der Alternative für Deutschland (AfD). Im Verlauf der Affäre stellte sich heraus, dass es dem Hacker leicht gemacht worden war, um über simple Passwörter an angeblich brisante Informationen heranzukommen. Manche der in jenem Adventskalender veröffentlichten Belege entpuppten sich als veraltet und in öffentlichen Datenbanken und Archiven zugänglicher Inhalt. Brisant wurde es, als sich herausstellte, dass auch gefälschte Dokumente als bare Münze verkauft wurden.
Mittlerweile ist der mutmaßliche Täter gefasst. Ein Heranwachsender aus einem hessischen Flecken Homberg. Dessen sozialdemokratische Bürgermeisterin Claudia Blum ist stolz auf die Taten des Internet-Datenräubers. Er habe schließlich der Gesellschaft einen Spiegel vorgehalten, verkündete sie über jedes Mikrofon, in das sie sprechen konnte. „Das sollte uns alle wachrütteln, besser mit unseren Daten umzugehen.“ Sie selbst sei nicht betroffen, die Sicherheitsmaßnahmen im Rathaus der hessischen Kleinstadt würden dennoch erhöht. Besorgte Anrufer oder nervöse Kolleginnen und Kollegen gebe es nicht, sagte Blum gegenüber dem Redaktionsnetzwerk Deutschland. Im Gegenteil, die Stimmung sei eher positiv. Und: „Wir müssen uns nicht schämen. Es geht ja nicht um Mord und Totschlag.“ Doch es ist und bleibt eine Straftat – unabhängig wie groß und blitzend der vorgehaltene Spiegel auch sein mag.
Der Hacker legte Anfang der Woche ein Geständnis ab. Bei seiner Vernehmung gab er an, er habe Menschen „bloßstellen“ wollen, über deren öffentliche Äußerungen er sich geärgert habe, so das Bundeskriminalamt (BKA). Der Vorfall zeigt vor allen Dingen auch, wozu ein Mensch von 20 Jahren in der Lage ist. Seit dem 1. Dezember veröffentlichte er unbehelligt über Twitter massenhaft private Daten und Dokumente, darunter vom Grünen-Chef Robert Habeck, aber auch von der rheinland-pfälzischen Ministerpräsidentin Malu Dreyer wie der Bundeslandwirtschaftsministerin Julia Klöckner (CDU) – und deren Familien. Aufgeflogen ist er erst am 3. Januar, als erste Medien über den Hackerangriff berichteten und die vermeintlichen Täter – wie Hintergründe der Tat – im rechten Milieu verorteten. Zeugen, Freunde wie Wegbegleiter attestierten dem Datenklauer durchaus eine Affinität zur rechtsradikalen Szene, doch ein großer Masterplan von Rechtsextremisten ließ sich hinter dem Coup nicht recherchieren.
Der Hacker, der sich „Orbit“ oder „God“ nennt, wird sich vor Gericht verantworten müssen. „Ausspähen von Daten“ heißt das dazu einschlägige Delikt im Bürgerlichen Gesetzbuch (BGB). Geahndet wird die Straftat mit einem Freiheitsentzug von bis zu drei Jahren oder einer Geldstrafe. Die entsprechende Strafvorschrift gibt es seit dem Zweiten Gesetz zur Bekämpfung der Wirtschaftskriminalität. Veröffentlicht und Erlassen im Jahr 1986. „Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt sind, unter Überwindung der Zugangssicherung verschafft, wird mit einer Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestrafft.“ Geschützt wird das Recht auf informationelle Selbstbestimmung. Bestraft wird bereits, wer sich Zugang zu den Daten beschafft. Es ist keinesfalls erforderlich, dass der Hacker die Daten dann tatsächlich abgreift, ab- oder aufruft, sie gar veröffentlicht. Bestraft wird demnach das bloße Knacken eines Computers. Früher war – der Gesetzgeber wollte eine Überkriminalisierung vermeiden – erst der Datenklau strafbar. Doch 2007 passte man die Gesetzgebung an.
Allerdings: Die Daten müssen gegen unberechtigten Zugang besonders gesichert sein. Sei es durch Hardware, durch besondere Passwörter, durch elektronische Fingerprints oder biometrische Zugangsverfahren, aber auch herkömmliche Sicherungen, etwa das Aufbewahren in verschlossenen Behältnissen. Um strafrechtlich relevant zu werden, muss es sich um Daten handeln, die nicht für den Täter bestimmt sind. Fragt etwa ein Polizist aus privaten Motiven den Halter eines Pkws ab, fällt dies nicht unter besagtes Gesetz. Zudem müsste er Sperren überwunden haben, was bei einem Datenabgleich nicht geschieht. Unter Überwindung der verlangten Zugangssicherung werden auch die in der Praxis häufigen Fälle, beispielsweise einer künstlich herbeigeführten Systemüberlastung, erfasst.
Doch so weit musste Orbit nicht einmal gehen. Simple Passwörter zu privaten wie geschäftlichen oder dienstlichen E-Mail-Postfächern, Kreditkarten-Konten oder persönlichen Zugängen zu Internet-Portalen machten es dem Hacker leicht. Robert Habeck gab unumwunden zu, dass er zu leichtfertig und fahrig mit dem Schutz seiner Privatsphäre im Internet umgegangen sei. „Qwertz“ oder „1234“ sind noch immer die beliebtesten Passwörter. Dass der Hacker Orbit die abgegriffenen Daten publiziert hat, fällt weiter nicht ins strafrechtliche Gewicht. Dies ist lediglich eine Ordnungswidrigkeit nach dem Bundesdatenschutzgesetz. Vergleichbar dem Schwarzfahren im Öffentlichen Nahverkehr oder dem Falschparken. Geht jedoch mit der Veröffentlichung der gehackten Daten ein wirtschaftliches Interesse einher, dann können wiederum bis zu zwei Jahre verhängt werden. Auf Datenhehlerei stehen drei Jahre Freiheitsentzug – wenn sich der Delinquent bereichern wollte. All diese Delikte sind ein Antragsdelikt und so Bedarf es erst der Anzeige des Opfers, bis dass die Staatsanwaltschaft tätig wird. Es sei denn, es liegt ein öffentliches Interesse vor.
Der Skandal hat vor allen Dingen zufolge, dass das Bewusstsein für Daten und Datensicherheit geschärft wird. Bundesinnenminister Horst Seehofer (CSU) will nun umgehend Maßnahmen zur Verbesserung der IT-Sicherheit präsentieren. Ein Frühwarnsystem soll kommen, zudem eine Novelle des IT-Sicherheitsgesetzes – beides noch in der ersten Jahreshälfte 2019. Ein einheitliches IT-Sicherheitskennzeichen soll kommen, das die IT-Sicherheit für Anwender sichtbar macht. Auch die Zertifizierung beispielsweise von Routern ist angedacht.
Dies sind altbekannte Forderungen und Projekte, die bereits nach dem Hackerangriff auf den Deutschen Bundestag im Jahr 2015 aufgestellt wurden. Mit dem Cybersecurity Act wurde bereits Ende letzten Jahres der gesetzliche Rahmen geschaffen. Die Datenschutz-Grundverordnung bringt Pflichten und Richtlinien für Unternehmen im Umgang mit dem Schutz und der Sicherheit von Daten. Dazu müssen Mitarbeiter geschult und etwa Cyberangriffe gemeldet werden. Doch was für Firmen gilt, gilt noch lange nicht für Banken, Behörden, Krankenhäuser und Verwaltungen. Letztendlich steht und fällt die ganze Sicherheitsarchitektur jedoch mit den Anwendenden: Wenn die User aus Bequemlichkeit unsichere Passwörter benützen, dann bringen Gesetze und Systeme nichts.