Derzeit erschüttert ein Hackerangriff bzw. Hacking-Skandal die Bundesregierung, Politik und Prominente. Offenbar wurden dabei viele, teilweise auch private Daten wie Fotos, Handynummern, Privatadressen, private Nachrichten und Kreditkarteninformationen von Politikern und Prominenten im Internet veröffentlicht. Man spricht hier von sogenanntem Doxxing. Betroffen sind offensichtlich Politiker, aus fast jeder im Bundestag vertretenen Partei mit Ausnahme der AfD, aber auch Politiker auf Europaebene, Landtagsebene und Kommunalebene und andere Prominente wie Jan Böhmermann, Til Schweiger und der Rapper Sido.
Die Hintergründe zum Hackerangriff sind bislang nicht geklärt. Bekannt ist bisher nur, dass offensichtlich seit dem 1. Dezember 2018 der oder die Hacker die Daten via Twitter im Internet veröffentlichen. Publik wurde der Skandal am 04. Januar 2019. Das Bundesamt für Informationssicherheit wusste bereits seit Dezember von Veröffentlichungen, ging aber nach eigenen Angaben von einem Einzelfall aus. Die Hintergründe der Veröffentlichung sind unklar. Aus Presseberichten lässt sich jedoch entnehmen, dass die Person oder die Personen hinter dem Twitter-Account aufgrund ihres Verhaltens (vergebene Likes und Personen, denen der Account folgt etc.) gegebenenfalls dem rechtspolitischen Spektrum zuzuordnen sind.
Der Skandal gibt Anlass, einmal genauer über Hackerangriffe nachzudenken, wie man gegebenenfalls einen Angriff verhindern oder abwehren kann, Wie man sich verhalten sollte wenn es doch passiert und welche juristischen Möglichkeiten man ggf. hat sich gegen den Angriff und insbesondere das Veröffentlichen von privaten Informationen zu wehren.
1. Hackerangriff
Bevor wir uns mit der rechtlichen Seite beschäftigen, möchten wir zunächst ein paar Fakten zum Thema näher beleuchten.
Kann ich einen Hackerangriff ganz verhindern?
Einen Hackerangriff kann man in aller Regel nur verhindern, wenn man keine IT-Systeme (Handy, Tablets, Smart-Devices jeder Art …) benutzt. Das ist unrealistisch. Unrealistisch ist es auch seine IT-Systeme vollständig von der Außenwelt abzuschirmen, was ebenfalls noch annähernd an absolute Sicherheit herankäme. Beide Szenarien sind heute kaum vorstellbar und für den Normalbürger und Unternehmer eigentlich nicht denkbar.
Einen absoluten Schutz gibt es also nicht. Aber man kann durchaus Maßnahmen ergreifen, die wenigstens die Gefahr eines erfolgreichen Angriffs mindern.
Hierbei sollten sowohl technische als auch organisatorische Maßnahmen zum Schutz der eigenen Daten erfolgen. Dabei kann man sich durchaus an den im Datenschutzrecht vorgeschriebenen Maßnahmen orientieren. Frank Rieger vom Chaos Computer Club (@frank_rieger) hat ein paar nützliche Praxismaßnahmen auf Twitter veröffentlicht. Typische Maßnahmen sind:
- Einsatz einer aktuellen Firewall- und Antivirensoftware
- Laufende Updates des Systems
- Nutzung eines Adblockers
- Nutzung von sicheren Passwörtern (mind. 8 Zeichen und Kombination aus Zahlen, Groß- und Kleinbuchstaben, Sonderzeichen)
- Passwörter jeweils nur für einen Account nutzen (besser 2 Faktor-Authentifizierung)
- Vorsichtiger Umgang mit E-Mail-Anhängen / E-Mail-Anhänge nicht ungeprüft öffnen
- Kein Log-In via Facebook nutzen
- Verschlüsselung von Datenträgern und IT-Systemen
- Regelmäßige Backups
- Passwörter nicht weitergeben
- Zugriff von Apps auf Hardware (Kamera, Mikrofon) beschränken
Je nachdem wie sensibel die Daten sind, sollten weitere Schutzmaßnahmen ergriffen werden. Ein Fundament bilden hier die Empfehlungen zum IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnologie.
Wie kommen Hacker an die Daten?
Hacker haben unterschiedliche Möglichkeiten an meine Daten zu kommen:
Bei der Man-in-the-Middle Attacke setzt sich der Hacker zwischen zwei Systeme die miteinander kommunizieren. Die Daten werden auf dem Kommunikationsweg abgefangen oder manipuliert.
Bei einer Bruteforce-Attacke erfolgt der Angriff direkt auf den Login-Bereich einer Webseite. Durch die automatisierte Eingabe von Kombinationen aus Login und Passwort wird versucht Zugang zur Seite zu erhalten. Diese Taktik funktioniert in der Regel nur, wenn eine unbegrenzte Anzahl von Login-Versuchen auf der möglich ist.
Der wohl weit überwiegende Teil von Hackerangriffen erfolgt durch sogenanntes Phishing und Social-Engineering. Dabei werden durch unterschiedliche Aktionen und Tricks betroffene Personen manipuliert und zu einer bestimmten Handlung verleitet. Die Aktionen können dabei unterschiedlich sein. Phishing-Attacken oder Social-Engineering reichen von komplexen Betrugsmaschen, bei denen die betroffene Person selbst eine Überweisung tätigt oder Zugangsdaten preisgibt, bis hin zu simplen Aktionen bei denen einfach nur ein Link in einer E-Mail geklickt oder der Anhang einer E-Mail veröffentlicht wird. Durch den Klick oder das Öffnen des Anhangs wird dann eine Schadsoftware installiert.
Bei sogenannten DDOS-Attacken (Distributed-Denial-Of-Service) geht es weniger um das Abgreifen von Daten. Ziel ist es hier ein System ganz zum Absturz zu bringen. Dabei wird versucht das System mit einer Vielzahl von Anfragen in kürzester Zeit zu überlasten. Hacker bedienen sich dabei oft eines sogenannten Bot-Netzes.
Was wollen die Hacker?
Die Motive der Hacker sind unterschiedlich. Oftmals werden IT-Systeme aus Spaß an der Freude gehackt, einfach weil man es kann. Daneben kommen aber auch politische Motive in Frage, wenn der Hacker zum Beispiel Einfluss auf die politische Stimmung nehmen will. In einer Vielzahl der Fälle, wenn nicht sogar in der überwiegenden Zahl, geht es um Geld. Die Hacker versuchen dabei durch die Angriffe einen finanziellen Vorteil zu erlangen. Die Methoden sind unterschiedlich. Ein Klassiker ist der Erpressungsversuch über sogenannte Verschlüsselungstrojaner. Mit Hilfe einer Schadsoftware wird dabei das gesamte Dateisystem des betroffenen Systems verschlüsselt.
2. Hackerangriff und Recht
Ein Hackerangriff kann nicht nur faktisch unangenehme Folgen haben. Auch aus rechtlicher Sicht kann ich als Betroffener und als Hacker sowieso Probleme bekommen.
Bin ich verpflichtet mich vor einem Hackerangriff zu schützen?
Als Privatperson, wenn es nur um meine Eigenen Daten geht, besteht in der Regel keine Pflicht mich vor Hackerangriffen zu schützen.
Anders sieht das bei Unternehmen und Einzelpersonen aus, bei denen eine Datenverarbeitung nicht lediglich aus privaten Gründen erfolgt. Hier besteht bereits aus datenschutzrechtlichen Gesichtspunkten nach der DSGVO eine Pflicht bestimmte Schutzmaßnahmen zu ergreifen. Nach Art. DSGVO sieht hierbei vor, dass Verantwortliche technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ergreifen.
Muss ich einen Hackerangriff melden?
Betroffene Privatpersonen müssen den Angriff in der Regel nicht melden.
Anders sieht es ggf. bei Unternehmen aus. Hier kann eine Meldepflicht nach Art. 33 DSGVO bestehen. Unternehmen sind danach verpflichtet eine Datenpanne (wozu auch ein Hackerangriff zählt) der Aufsichtsbehörde zu melden, wenn eine Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die Meldung muss dann in der Regel binnen 72 h erfolgen. Wenn durch Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen droht, ist der Verantwortliche auch verpflichtet die betroffene Person über die Datenpanne zu informieren (Art. 34 DSGVO).
Eine Meldepflicht kann sich auch aus § 8b (4) BSIG ergeben, wenn durch den Hackerangriff ein Betreiber einer Kritischen Infrastruktur (§ 2 BSIG) betroffen ist.
Erfolgt keine Meldung, obwohl hierzu eine Pflicht besteht, kann das ein Bußgeld nach sich ziehen (Art. 83 DSGVO, § 14 BSIG)
Sind Hackerangriffe und das Verbreiten der Daten strafbar?
Hacking an sich ist nicht zwangsläufig strafbar. In dem Moment, in dem ich unerlaubt auf fremde Systeme zugreife oder fremde Daten abgreife kann ich mich strafbar machen. Maßgeblich können dabei folgende Straftatbestände in Frage kommen:
- Computersabotage (§ 303b StGB)
- Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen (§ 201a StGB)
- Verletzung der Vertraulichkeit des Wortes (§ 201 StGB)
- Ausspähen von Daten (§ 202a StGB)
- Abfangen von Daten (§ 202b StGB)
- Vorbereiten des Ausspähens und Abfangens von Daten (§ 202c StGB).
Strafbar macht sich aber ggf. nicht nur wer die Daten selber hackt oder abgreift, sondern auch wer diese Daten weiterverbreitet. Das Verbreiten kann dabei verschiedene Formen haben. Im schlimmsten Fall reicht schon die bloße Verlinkung auf einen gehackten Datensatz aus, um sich strafbar zu machen.
Welche juristische Möglichkeiten haben betroffene Personen?
Als betroffene Person habe ich die Möglichkeit Strafanzeige gegen den Hacker zu stellen. Daneben habe ich noch die Möglichkeit zivilrechtliche Ansprüche gegen den Hackern durchzusetzen. In erster Linie kommen hier ein Unterlassungsanspruch und ein Anspruch auf Schadensersatz in Betracht.
Der Unterlassungsanspruch verhindert, dass der Hacker den Angriff beziehungsweise die Weiterverbreitung der Informationen nicht erneut vornimmt.
Ist mir durch den Hackerangriff beziehungsweise die Weiterverbreitung der Informationen ein Schaden entstanden, kann ich diesen gegebenenfalls ebenfalls beim Hacker geltend machen. Als Schadensersatz können dabei tatsächliche Schäden ersetzt werden. Das sind einfach ausgedrückt messbare, finanzielle Schäden, also wenn mir tatsächlich eine finanzielle Einbuße entstanden ist. Daneben ist aber auch der Ersatz von immateriellen Schäden, also eine Art Schmerzensgeld denkbar.
Unterlassung und Schadensersatz können gegen den Hacker selbst geltend gemacht werden. Die Ansprüche können aber auch gegen die Personen geltend gemacht werden, die die Daten veröffentlicht oder weiterverbreitet haben.
Wurden die Daten über eine bestimmte Plattform wie bspw. Twitter oder Facebook veröffentlicht, kann man im Zweifel auch gegen die Plattform selbst vorgehen. Das gilt jedenfalls, wenn die Plattform von den rechtswidrigen Inhalten Kenntnis hatte und nichts unternommen wurde. Hier muss in der Regel zunächst ein Hinweis an die Plattform ergehen. Wenn personenbezogene Daten betroffen sind, werden die Datenschutzbehörden ggf. auch von selbst tätig, wie im aktuellen Fall.
Wenn durch den Hackingangriff personenbezogene Daten betroffenen sind, können Betroffene auch selbst eine Beschwerde bei der zuständigen Datenschutzbehörde durchführen. Diese wird dann selbst Ermittlungen aufnehmen und ggf. Bußgelder verhängen.
Schreiben Sie uns gerne Ihre Ideen oder Fragen zu diesem Thema!