Es war nur Zufall, dass die Vorstellung der jüngsten Studie des IT-Verbandes Bitkom zur den neuen Milliardenschäden durch Diebstahl, Spionage und Sabotage, allem voran ausgelöst durch Hackerangriffe, und die peinliche Posse um die Anzeige der Bundes-CDU gegen die IT-Expertin Lilith Wittmann in der vergangenen Woche zeitlich zusammenfielen. Und doch haben beide Geschehnisse mehr miteinander zu tun, als es auf den ersten Blick scheint.
Denn ein entscheidender Grund für den neuen Höchststand von rund 223 Milliarden Euro Gesamtschaden für deutsche Unternehmen in den vergangenen beiden Jahren ist die dramatische Zunahme von Attacken mit Erpressungssoftware. Gegenüber der letzten Bitkom-Erhebung 2019, damals lag der Gesamtschaden noch bei 103 Milliarden Euro, haben sich allein die Schäden durch Ransomware-Angriffe mehr als vervierfacht.
Wichtigstes Einfallstor für die Cyberkriminellen sind – neben Leichtsinnigkeit und mangelndem Risikobewusstsein bei den Beschäftigten, die allzu gutgläubig virenverseuchte E-Mail-Anhänge öffnen oder auf zweifelhafte Links ins Internet klicken – Sicherheitslücken in den IT-Systemen der attackierten Unternehmen, Organisationen oder Behörden. Sicherheitslücken, wie etwa die gravierenden Schwachstellen in Microsofts weltweit millionenfach eingesetzter Kommunikationssoftware Exchange.
Über Wochen hatten Hacker die Lücken ausnutzen können und, so befürchten Sicherheitsfachleute, Erpressungsprogramme und andere Schadsoftware in die ungesicherten IT-Systeme einschleusen können, bevor Microsoft Anfang März erste Reparaturprogramme veröffentlichte. Dass der Softwarekonzern überhaupt auf das Problem aufmerksam wurde, verdankt er Experten des IT-Sicherheitsdienstleisters Volexity, die auf die Lücke gestoßen waren – und dem in der Cybersicherheitsszene anerkannten Prinzip der „responsible disclosure“, zu Deutsch der „verantwortungsvollen Veröffentlichung“.
Dabei informiert, wer auf Sicherheitslücken stößt, zunächst die betroffenen Unternehmen oder Institutionen und gibt diesen Zeit, Schwachstellen zu schließen oder verletzbare Systeme vom Netz zu nehmen. Je nach Schwere und Dringlichkeit des Falles können das ein paar Tage oder auch mehrere Monate Vorlauf sein, bevor die Entdecker ihre Erkenntnisse schließlich öffentlich machen.
Responsible disclosure, da sind sich IT-Experten und -Sicherheitsbehörden weltweit einig, ist eines der wichtigsten und wirkungsvollsten Werkzeuge, um riskante Schwachstellen zu beheben. Und damit auch, um die Gefahr teurer Attacken mit Erpressungsprogrammen oder schwerer Datenschutzpannen zu verhindern.
Persönliche Daten ungeschützt bei der CDU im Netz
Und genau hier schließt sich der Bogen zur CDU. IT-Expertin Wittmann war im Frühjahr dieses Jahres auf Sicherheitsprobleme in der von der Partei genutzten Wahlkampf-App CDU-connect gestoßen. Mit dem Programm erfasste die CDU zum einen Daten von rund 18.500 Menschen, die für die Partei werbend durch die Straßen ziehen und unter anderem notieren, wo sie bei Haustürgesprächen auf Interessenten oder Kritiker stoßen. Zum anderen erfasst sie Daten von angeworbenen Unterstützern wie Adresse, Geburtsdatum und Interessen, wie Littmann entdeckte.
Dass all diese Informationen faktisch ungeschützt aus dem Netz erreichbar waren, diesen gravierenden Verstoß gegen grundlegende Datenschutzvorgaben hatte Wittmann am 11. Mai sowohl der CDU als auch dem Bundesamt für Sicherheit in der Informationstechnik gemeldet. Tags drauf nahm die CDU die App offline. Anschließend publizierte die IT-Expertin ihre Erkenntnisse – und ergänzte später, dass sie die gleichen Schwachstellen auch in baugleichen Apps der CSU sowie der Österreichischen Volkspartei gefunden habe.
So weit, so gut. Und ein weiterer Beleg für die segensreichen Wirkungen der „responsible disclosure“.
Bis die CDU Anzeige gegen 'Lilith Wittmann und unbekannt' erstattete und damit erst Ermittlungen des Berliner Landeskriminalamtes und dann einen Aufschrei in der IT-Sicherheitscommunity auslöste. Der Chaos Computer Club (CCC) kündigte an, keine Sicherheitslücken mehr an die CDU zu melden.
Ein Bärendienst für die deutsche IT-Sicherheit
Erst da erkannte auch die CDU, was sie Übles angerichtet hatte. Schließlich sind juristische Schritte gegen den Überbringer der schlechten Nachricht so ziemlich das Letzte, was betroffene Unternehmen, Behörden oder Institutionen tun sollten, wenn sie je wieder von einer Sicherheitslücken erfahren wollen. Mehr noch, wer so vorgeht, leistet der IT-Sicherheit insgesamt einen Bärendienst, denn er schreckt Entdecker von Schwachstellen grundsätzlich ab, diese zu melden.
Am 5. August ruderte CDU-Bundesgeschäftsführer Stefan Hennewig wortreich via Twitter zurück, bezeichnete die Nennung von Wittmann in der Anzeige „einen Fehler“, für den er die IT-Expertin um Entschuldigung gebeten habe und lobte die responsible disclosure als „wichtigen Baustein, um IT-Sicherheit zu erhöhen“.
Der Schaden aber bleibt. Für die CDU ist es vor allem ein Imageproblem, das die ohnehin nicht als überaus technologiekompetent beleumundete Partei weiter ins digitale Abseits manövriert. Viel größer und schwerwiegender aber ist die durch die Anzeige ausgelöste Verunsicherung in der Szene. Schließlich galt das Responsible-Disclosure-Verfahren bisher als wirksamer Schutz, um nach der Entdeckung und Meldung von Sicherheitslücken nicht vom sogenannten Hacker-Paragrafen 202c StGB erfasst zu werden, der das „Ausspähen und Abfangen von Daten“ mit bis zu zwei Jahren Haft belegt.
Dessen Aufnahme ins Strafgesetzbuch hatten SPD und CDU übrigens 2007 gemeinsam beschlossen – trotz Warnungen, dass die neue Regel auch Sicherheitsfachleute treffen könne, die auf Schwachstellen stießen und melden wollten. Den Hackern kann das nur recht sein. Der Bitkom aber, das steht zu befürchten, wird bei der Vorstellung der nächsten Sicherheitsstudie erneut Rekordschäden melden müssen.
Mehr zum Thema: Mit der Cyberagentur will die Regierung Deutschlands „technologische Innovationsführerschaft“ sichern und die IT-Sicherheit stärken. Doch das Zukunftsprojekt droht zu scheitern. Nun geht die Geschäftsführung, die Ministerien wirken überfordert.
