Was haben die Leute im Netz gelacht, als Donald Trump vor etwas mehr als zwei Jahren während einer Fernsehdebatte im US-Wahlkampf 2016 mit möglichen Verantwortlichen für den kurz zuvor bekannt gewordenen Hack der US-Demokraten nur so um sich warf. "Es könnte Russland gewesen sein", sagte Trump und bestätigte damit scheinbar, was bis heute als wahrscheinlich gilt: dass wohl der Kreml diesen Angriff in Auftrag gegeben hatte. Der später eingesetzte Sonderermittler Robert Mueller hat jedenfalls mittlerweile in dem Fall zwölf russische Staatsangehörige angeklagt. Trump fuhr im Fernsehduell dann jedoch fort: "Es könnte aber auch China gewesen sein. Es könnten viele Leute gewesen sein, zum Beispiel jemand, der auf seinem Bett sitzt und 400 Pfund wiegt, okay?" Auf Twitter machte der Hashtag #400PoundHacker daraufhin mit ziemlich vielen lustigen Beiträgen die Runde.

Wer für die aktuelle Veröffentlichung von Privatdaten von Bundestagsabgeordneten und Prominenten über Twitter verantwortlich ist, für die sich mittlerweile der Hashtag #datenklau etabliert hat, ist bislang unklar. Doch vieles spricht für einen einzelnen Hacker, der womöglich gerade irgendwo auf seinem Bett sitzt und womöglich sogar 400 Pfund wiegt. Besonders viele lustige Tweets gibt es dazu bislang nicht.

Es ist halt auch nicht zum Lachen, wenn zum Teil extrem private Dinge von Menschen frei im Netz herumfliegen. Auch wenn diese Informationen mutmaßlich keine vergleichbare politische Bedeutung entfalten werden wie diejenigen, die im Falle des Angriffs auf den E-Mail-Servern der US-Demokraten bekannt wurden. Die Veröffentlichung der erbeuteten E-Mails hat den Ausgang der US-Präsidentschaftswahl 2016 zumindest mitbeeinflusst.

Wenn digitaler Selbstschutz nicht reicht

Insofern kann einem die politische wie mediale Aufregung, die seit dem Bekanntwerden des Datendiebstahls am Freitag in Deutschland eingesetzt hat, fast etwas übertrieben vorkommen. Ausgelöst hat sie wohl auch nicht die Schwere der Leaks, sondern vor allem, wer ihm zum Opfer gefallen ist – und dass es den Fall einer Veröffentlichung konkreter persönlicher Daten zuvor in diesem Ausmaß nicht in Deutschland gegeben hat. Doch allein von dem Facebook-Hack, der im vergangenen September publik geworden ist und durch den nach Angaben der Social-Media-Plattform potenziell Daten von weltweit 30 Millionen Nutzerinnen und Nutzern kompromittiert wurden, dürften in Deutschland weitaus mehr Menschen betroffen gewesen sein. Veröffentlicht wurden die Daten bislang augenscheinlich nicht, doch irgendwer könnte sie besitzen. So wie viele Firmen das ohne jeden Hack taten, die in der Vergangenheit mit ausdrücklicher Erlaubnis von Facebook Nutzerdaten von der Plattform absaugen konnten.

Diese Fälle haben auch insofern eine gewisse Ähnlichkeit, als dass sich ein Großteil der Betroffenen gar nicht restlos selbst davor schützen konnte, dass ihre Daten in falsche Hände geraten konnten. Ihre Accounts, sei es nun bei Facebook oder einem E-Mail-Anbieter, wurden gar nicht kompromittiert. Es reicht eben oft schon, dass man auf einer Freundes- oder Kontaktliste steht – und schon können die eigenen Daten zum Beifang eines illegalen Angriffs oder einer legalen Weitergabe werden.

Insofern sind erneute Forderungen danach wohlfeil, jeder Mensch müsse nun aber mal endgültig all seine verschiedenen digitalen Accounts besonders schützen, etwa durch originelle Passwörter und Zwei-Faktor-Authentifizierung. Das ist zwar ein verdammt guter Ratschlag, hilft letztlich aber nur, wenn ihn wirklich alle befolgen. Und wenn wir alle begreifen, dass Selbstschutz im Netz auch immer Schutz von Kollegen, Freunden, Verwandten bedeutet. Sucht ein Angreifer im Netz jedoch ein Einfallstor, wird er fast immer eines finden. Es ist bloß eine Frage der Zeit und des Aufwandes, den jemand betreiben kann oder will. Absoluten Schutz gibt es im Netz nicht.

Wenn auch nicht der Datendiebstahl selbst, so hätte sich aber die Veröffentlichung diesmal offenkundig verhindern lassen. Nach einer Recherche des Onlineportals heise.de wurde der Twitter-Account, über den zunächst die erbeuteten Daten verbreitet wurden, bereits Mitte 2016 gekapert. Der YouTuber selbst, dem der Account ursprünglich gehörte, hat wiederum der Frankfurter Allgemeinen Sonntagszeitung (FAS) gesagt, er sei Mitte 2017 gehackt worden. Er habe versucht, dies Twitter mitzuteilen und sogar bei der örtlichen Polizei Anzeige deswegen erstattet, die aber bald fallengelassen worden sei. Die zuständige Polizeibehörde wollte dies gegenüber der FAS aber weder bestätigen noch dementieren – ebenso wenig wie die weiteren Angaben des YouTubers, dass "Wochen nach dem Angriff ein Sondereinsatzkommando der Polizei mitten in der Nacht" bei dessen Mutter vor der Tür gestanden habe. Diese sei von einer Drohmail alarmiert worden, die vom ebenfalls gehackten E-Mail-Konto des YouTubers an den hiesigen Polizeichef geschickt worden sei.

Wenn Unternehmen und Behörden nichts merken

Auch wenn diese Angaben bislang weder von Twitter noch von der betroffenen Polizei in Landau kommentiert wurden und schon gar nicht von den mittlerweile in dem Fall tätigen anderen Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI), dem Bundeskriminalamt und der Zentralstelle zur Bekämpfung der Internet- und Computerkriminalität: Sowohl das Privatunternehmen Twitter wie später auch staatliche Organe hätten reichlich Zeit gehabt, zumindest die Weiterverbreitung der durch offenbar diverse Hacks erbeuteten Daten zu verhindern – indem sie die Übernahme dieses ersten Twitter-Accounts durch den oder die Hacker untersucht hätten und dessen oder deren Spur aufgenommen hätten.

Dass die tröpfchenweise Veröffentlichung der erbeuteten Daten über diesen Account spätestens ab Anfang Dezember 2018 zunächst niemandem so recht auffiel, lag offenbar daran, dass dessen ursprüngliche Gefolgschaft zu einem größeren Teil gar nicht aus Menschen, sondern schlicht aus Bots bestand. Erst als der Hacker (so es denn tatsächlich eine Einzelperson ist) einen zweiten, erheblich populäreren Twitter-Account eines weiteren YouTubers kaperte und seine Datenbeute ebenfalls über diesen weiterverbreitete, war auch das zuständige BSI irgendwann mal alarmiert.

So zeigt diese Veröffentlichung privater Daten auch, dass die deutsche Politik bislang diesen Bereich der sogenannten Cyberabwehr eher vernachlässigt hat. Der Schutz von Unternehmen und Behörden vor Attacken aus dem Netz und in letzter Zeit zunehmend auch der Schutz der Infrastruktur (etwa des Stromnetzes) hatten in Deutschland bisher offenkundig höhere Priorität. In den vergangenen zwei Jahren wurden nicht weniger als drei neue Zentren für verschiedene Aspekte der Cybersicherheit von der amtierenden Bundesregierung und ihrer Vorgängerin gegründet. Man mochte darüber streiten, ob die Aufgabenteilung zwischen diesen Stellen wirklich bis ins Letzte durchdacht war und sie sich teilweise nicht gegenseitig und dazu noch dem BSI Konkurrenz machten. Wesentlicher erschien jedoch, dass endlich die Gefahren erkannt worden waren, die etwa von staatlichen Akteuren fremder Mächte wie Russland, China, Iran und Nordkorea ausgehen, die Cyberangriffe als relativ neuen und extrem preiswerten Bestandteil künftiger Kriegsführung begreifen.

Betroffene und Entscheider zugleich

Beim Schutz privater Daten der eigenen Bürgerinnen und Bürger hat man in der deutschen Politik wie auch auf EU-Ebene zuletzt in erster Linie an US-Techunternehmen wie Facebook, Google und Amazon und an deren Datensammelleidenschaft gedacht. Ein Fall wie der des Datendiebstahls zeigt nun: Der 400-Pfund-Hacker auf dem Bett ist womöglich nicht bloß eine komische Erfindung eines US-Präsidenten, dessen mögliche Verbindungen zu Russland offenbar bis heute Gegenstand der Ermittlungen von Robert Mueller sind. Eine ganze Cyberarmee jedenfalls brauchte es zum Erbeuten und Verbreiten der Daten von Bundestagsabgeordneten nicht.

Die sind zugleich aktuelle Betroffene dieses Diebstahls und künftige Entscheider darüber, wie die Interessen der Bürgerinnen und Bürger zur Sicherheit ihrer persönlichen Daten einerseits und die staatlichen Interessen etwa bei der Verfolgung von Kriminalität andererseits weiter austariert werden. Der digitale Selbstschutz der Bürger ist aus staatlicher Sicht eben nicht nur positiv: Accounts, die mit Zwei-Faktor-Authentifizierung gesichert werden, sind ebenso schwer für Strafverfolgungsbehörden einsehbar wie perfekt geschützte Smartphones und digitale Kommunikation, die etwa über Ende-zu-Ende-verschlüsselte Kanäle wie WhatsApp stattfindet.

Absolut nichts rechtfertigt diesen aktuellen Datendiebstahl, den ein offenbar rechtsextremen Ideen nachhängender einzelner Hacker durchgeführt hat (oder eben eine Gruppe, die es so aussehen lassen wollte, als handele es sich um einen Einzeltäter). Häme darüber, dass es diesmal vor allem Bundestagsabgeordnete getroffen hat, ist wirklich nicht angebracht. Doch wenn es irgendetwas Gutes über diesen Fall zu sagen gibt, dann das: Bei der nächsten Abstimmung über neue gesetzliche Regelungen zur Datensicherheit wissen die meisten Abgeordneten des deutschen Parlaments nun aus schmerzhafter Erfahrung besser als zuvor, worum genau es geht.

Anmerkung der Redaktion: In der Berichterstattung über das Leaken privater Daten von Politikern und Prominenten nennt ZEIT ONLINE in aller Regel keine Namen von Betroffenen und trägt keine geleakten Informationen durch Veröffentlichung weiter. Die Daten sind nach derzeitigem Kenntnisstand privater Natur, an ihnen besteht kein öffentliches Interesse.