Es kann sein, dass der jüngste Fall von Datendiebstahl, der etwa 1000 Politiker, Prominente und Journalisten betraf, eine allerletzte Warnung an alle war. Denn er zeigte abermals und überdeutlich, wie wenig Politik und Gesellschaft davon verstehen, Datensicherheit herzustellen.

Das fängt schon bei der Frage an, wer für diese Datensicherheit zuständig ist. Aus alter Gewohnheit glauben viele Bürger, dass auch diese Sicherheit vom Staat hergestellt werden könnte. Doch die Bedrohung, die von Hacking, Doxing und Datenklau ausgeht, unterscheidet sich in einem Punkt wesentlich von klassischen Cyberwar-Bedrohungsszenarien, denn das System ist so anfällig wie sein schwächstes Glied: ein simples Passwort, ein abgelaufenes Virenprogramm usw.. Sehr anschaulich hatte der US-Informatiker Alex Halderman auf dem Kongress des Chaos Computer Clubs Ende 2018 gezeigt, wie mit kleinen Mitteln Wahlmaschinen in den USA manipuliert werden können. Man müsse nirgendwo einbrechen und brauche keine „Hackerarmeen“, es reiche, wenn man das System einer der vielen Dienstleistungsfirmen hackt, die für die Software auf den Wahlmaschinen verantwortlich sind. Und das ist dort am einfachsten, wo die Mail-Adressen verfügbar sind. Dann muss man nur noch eine Viren-Mail mit einem süßen Tiervideo schreiben, die als Nachricht unter Kollegen getarnt ist, und ist dem Ziel schon sehr nahe. Denn natürlich klicken Leute auf so etwas, wenn sie es nicht anders gelernt haben. Klingt banal – und ist es auch. Aber einfache Fehler können bei der Datensicherheit gigantische Schäden zur Folge haben.

Es gibt politischen Handlungsbedarf

Darum stellt sich die Frage, auch am Mittwoch bei der Sondersitzung des Innenausschusses wieder, ob die Sicherheitsarchitektur Deutschlands geändert werden muss. Fakt ist, dass es viele verschiedene Orte gibt, an denen Cybersicherheit Thema ist und organisiert wird, manche so neu, dass sie kaum funktionieren. Kann das so bleiben? Und was ist mit den gesetzlichen Vorgaben für die Anbieter von Plattformbetreibern? Sie auf schärfere Standards für Passwörter zu verpflichten, wie es bereits von mehreren Politiker vorgeschlagen wurde, ist eine gute Idee. Eine, deren Umsetzung zu einer Gewöhnung an wechselnde und komplizierte Passwörter führen würde, bis die eine Selbstverständlichkeit werden – wie auch ständig aktualisierte Virenprogramme.

Und dennoch bliebe es ein Irrglaube, dass bei Cybersicherheit absolute Schadensvermeidung möglich wäre. Das ist sie nicht. Es geht aber darum, das Ausmaß eines möglichen Schadens so gering wie möglich zu halten. Jeder, der sich im Netz bewegt, muss lernen, sich dort sicher zu bewegen.

Was dringend nötig ist, sind Aufklärungskampagnen über Datensicherheit. Es ist nicht zu begreifen, dass das Bundesinnenministerium Geld hat, Asylbewerber mittels einer Plakatkampagne zur freiwilligen Rückkehr in ihre Heimat zu bewegen, aber an der Aufklärung der Bevölkerung zur Datensicherheit spart. Genau hier gibt es politischen Handlungsbedarf. Denn die Frage, die sich nach dem jüngsten Datenklau abermals stellt, lautet: Wann holt unser Denken über unsere digitalen Daten-Existenzen die Technik endlich ein?