Die Geister, die wir riefen

Digital heißt unsicher. Ganz automatisch. Der aktuelle Datenskandal erlaubt nur eine Schlussfolgerung: Vertraue niemandem.

  18.01.2019 | 6 Minuten  

Troy Hunt ist der Mann der Stunde. Er hat einen weiteren Hack entdeckt, gegen den sich der innerdeutsche Datenskandal um einen 20-jährigen Schüler aus Hessen wie eine Kindergartenübung ausnimmt. Mehr als, sage und schreibe, 770 Millionen E-Mail-Adressen tauchten in einer Liste auf, gemeinsam mit 22 Millionen Passwörtern, so vermeldete beispielsweise die Süddeutsche Zeitung gestern. Nutzer*innen sollten, empfiehlt der ›australische IT-Sicherheitsexperte‹, schleunigst prüfen, ob sie davon betroffen seien — am besten auf seiner eigenen Webseite.

Wer Freund, wer Feind?

Troy Hunt mag auf höchst rechtschaffene Art und Weise genau das tun, wofür er laut der Süddeutschen Zeitung in der Fachszene tatsächlich Anerkennung genießt, nämlich sich um die Sicherheit von Online-Anwendungen zu kümmern. Sein Name mag da nur eine handliche Fügung des Schicksals sein. Dennoch weckt die Causa Misstrauen, nicht unbedingt gegenüber der Person, sondern gegenüber der Sache. Zwei Fragen drängen sich auf:

1. Hinter der Passwortsuch-Webseite, die Hunt betreibt, steht eine riesige Datenbank aus Kombinationen von E-Mail-Adressen und Passwörtern. Sie wurde um die immense Datenmenge aus dem aktuellen Hack ergänzt, bestand aber schon vorher und ist deshalb noch mal viel größer. Die Erfahrung lehrt, das keine Datenbank sich tatsächlich der Unangreifbarkeit rühmen kann. Kann es wirklich als verantwortungsvoll gelten, sich — auch mit den besten Schutz- und Aufklärungsabsichten — selbst als riesige Datensammelstelle zu betätigen und kriminellen Elementen damit ein regelmäßig aktualisiertes Datenset für ihren nächsten Brute-Force-Angriff quasi frei Haus zu liefern?

2. Wer bietet die absolute Gewähr dafür, dass Hunts Webangebot nicht sogar für das Gegenteil missbraucht wird, nämlich überhaupt erst bislang unbekannte E-Mail-Adressen zu sammeln oder diese bzw. verwendete Passwörter zu verifizieren? Steckte darin nicht monumentale Ironie, wenn die Passwort-Suchmaschine zwar dazu gedacht wäre, Betroffene aufzuklären und sie des Selbstschutzes zu befähigen,  sie tatsächlich aber als Phishing-Instrument diente?

Das Kind im Brunnen

Wer solche Fragen wälzt und sich von ihnen gar daran hindern lässt, die eigene Betroffenheit zu prüfen bzw. sich selbst neu und besser zu immunisieren, der spielt ebenfalls mit dem Feuer, nur eben umgekehrt. Dennoch: Ein gesunde Vorsicht gegenüber allen Angeboten, die erst die Eingabe persönlicher Daten erfordern, um anschließend einen Nutzen zu generieren, gehört ganz einfach zur Medienkompetenz dazu; sogar dann, wenn die in Rede stehenden Angebote kritische Probleme zu lösen versprechen und sich in, durchaus auch beleumundete, Seriosität hüllen.

Denn auch sie lassen sich knacken; ganz einfach, weil sie online stehen. Darin aber liegt des Pudels Kern, den zu erwähnen manche vergangene und mit Sicherheit auch noch kommende Hysterie erden sollte. Digitale Daten sind niemals vollständig sicher. Ihre omnilokale Verfügbarkeit bildet überhaupt den Wesenskern von Digitalisierung, aber eben auch den wunden Punkt. Zugangsbeschränkungen können immer besser, aber niemals perfekt funktionieren. Der nächste Datenskandal ist garantiert. Und der danach auch. Statt sich einzig auf Technologien zu verlassen, wären zusätzlich unbedingt belastbare Strategien der Datenpreisgabe und Datenteilhabe zu entwickeln.