Analyse

Doxing: Das steckt wirklich hinter dem „Hackerangriff“ auf die Bundesregierung

(Foto: dpa)

Lesezeit: 6 Min. Gerade keine Zeit? Jetzt speichern und später lesen

Ein „Hackerangriff“ scheucht Politik, Medien und das halbe Land auf. Zeit, mal durchzuatmen und sich genauer anzusehen, was da eigentlich passiert ist.

Was da unter dem Hashtag #Hackerangriff durch die News rauscht, klingt, als hätten sinistre Meisterhacker einen gezielten Angriff durchgezogen. Angaben wie „Hunderte Politiker und Prominente betroffen“ und „Millionen Datensätze“ scheuchen Politik und Öffentlichkeit auf. Deren Reaktion klingt, als habe ein Daten-Super-GAU stattgefunden oder als sei das Land geradezu unter digitalem Beschuss. Aber das ist so nicht der Fall.

Was ist geschehen? Eine nicht näher bekannte Person hat persönliche Daten Prominenter über eine anonyme Plattform geleaked und im Dezember die Links täglich als eine Art Adventskalender auf Twitter verbreitet. Dies passierte von der Öffentlichkeit unbemerkt, bis der Youtuber Simon Unge darauf aufmerksam wurde, der selber gehackt worden war. Am gleichen Tag wurde bekannt, dass der ebenfalls betroffene SPD-Politiker Martin Schulz Anrufe, SMS und Whatsapp-Nachrichten an seine geheime Telefonnummer bekommen hat.

Bei den Leaks handelt es sich um ein Sammelsurium unterschiedlichster Daten von verschiedensten Personen in diversen Formaten. Mal sind es nur allgemeine Adressangaben oder Telefonnummern, teilweise sind auch Chatverläufe, E-Mails und manchmal Fotos, Video-Dateien oder PDF-Dokumente wie etwa Buchhaltungsdaten darunter.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Die Daten wirken nicht, als würden sie aus einem einzelnen gezielten Angriff stammen, sondern als habe der Leaker sie über einen längeren Zeitraum aus dunklen Kanälen gesammelt. Was wie ein großer Hackerangriff wirkt, besteht aus einer Reihe kleiner Einbrüche, die vermutlich über einen langen Zeitraum geschahen und wahrscheinlich auch von verschiedenen Tätern durchgeführt wurden, die nur bedingt in Zusammenhang miteinander stehen, aber ihre Beute im Darknet verbreiten.

Ein Fall von Doxing

Es ist offen, wie groß der Anteil der Daten ist, die der Leaker wirklich selbst durch Hacken erbeutet hat. Einige Kommentatoren äußerten die Vermutung, es könne sich um Reste aus Dateneinbrüchen im letzten Bundestagswahlkampf handeln, wofür es aber auch keine Belege gibt. Wenn, dann befanden sich diese Daten eher zufällig mit in der Datensammlung. Denn die meisten virtuellen „Türchen“ dieses Adventskalenders betrafen gar keine Politiker, sondern Prominente wie Til Schweiger, Oliver Welke oder Jan Böhmermann. Viele andere stammen aus dem Gamer- und Youtuber-Umfeld.

Die Anzahl der Betroffenen suggeriert, dass entsprechend viele Menschen gehackt worden seien, aber das ist hier nicht der Fall. Gerade bei den veröffentlichten Daten von Politikern oder Fernsehjournalisten der ARD handelt es sich um Adressbücher, Telefonlisten oder ähnlichen Zusammenstellungen, die der Leaker erbeuten konnte, weil er Zugriff auf einige wenige Accounts etwa von Mitarbeitern bekommen konnte.

Was auf den ersten Blick wie ein großer Hackerangriff aussehen mag, ist vielmehr ein Fall von Doxing. Diese Art von Belästigung und Mobbing wird im Darknet geradezu als Sport betrieben. Ein Doxer versucht, möglichst viele private Daten über eine missliebige Person zu sammeln und veröffentlicht diese dann irgendwann – aus Schadenfreude und um das Opfer zu beschämen.

Manchmal geht es um Fehden unter verfeindeten Trollen, manchmal wollen rachsüchtige Zukurzgekommene ihre Ex bloßstellen. Ein gelungener Dox einer prominenten Person ist in dieser Szene eine Trophäe. Und sehr häufig hat das ganze auch eine politische Dimension: Doxing findet international besonders häufig im rechtsextremen Umfeld von Alt-Right, Gamergate oder dem deutschen Sifftwitter statt. Deren Lieblingszielscheibe: Journalisten etablierter Medien, linke Politiker oder auch Feministen.

Über den Täter selbst ist bisher wenig bekannt. Der Youtuber Tomasz „DerTomekk“ Niemiec gibt an, Kontakt zu ihm zu haben, ohne ihn persönlich zu kennen. Er beschreibt ihn als Einzelgänger, der sich schon länger damit beschäftigt, die Accounts bekannter Youtuber zu hacken. Der Doxer habe laut Niemiec den Ruf, „nicht gerade links“ zu sein. Dafür spricht auch, dass unter den Betroffenen des Leaks im Bundestag vertretenen Parteien außer der AFD sind. Außerdem zeigen die Likes und Retweets des benutzten Twitter-Accounts @_0rbit eine Affinität zu Youtubern, Gamern, der rechtsextremen Alt-Right-Bewegung und den als Sifftwitter bekannten Trollaccounts. Der Twitter-Account gehörte ursprünglich dem Youtuber Yannick „Dezztroyz“ Kromer, wurde aber von einer unbekannten Person übernommen.

Hilflose Reaktion von Politikern und Öffentlichkeit

Selbstverständlich ist die Veröffentlichung privater Daten wie geheime Telefonnummern oder Familienfotos mindestens ärgerlich und in manchen Fällen für die Betroffenen auch gefährlich und darf nicht verharmlost werden. Das sollte nicht darüber hinwegtäuschen, dass die geleakten Daten insgesamt eher belanglos und uninteressant sind. Bisher ist nicht bekannt geworden, dass sich in den Daten Skandalöses oder Brisantes fand, was gegen einen gezielten Angriff oder politischen Leak spricht. Die einzige Gemeinsamkeit der Betroffenen ist, prominent zu sein. Von einem gezielten Angriff auf „die Politik“ kann deshalb nicht die Rede sein.

Umso absurder sind die Reaktionen einiger Medien und Politiker auf den Vorfall. Cem Özdemir (Grüne) jazzt den Vorfall zu einem „Angriff auf die offene und freie Gesellschaft“ hoch und auch Politiker anderer Parteien sprachen von einem schweren Anschlag auf die Demokratie, der der Einschüchterung diene. Thorsten Frei, Vizefraktionschef der CDU im Bundestag, forderte fast schon reflexartig ein „Recht zum digitalen Gegenschlag“. Wie ein solcher Gegenschlag aussehen soll ist, nicht ganz klar, aber laut Stuttgarter Zeitung spricht er davon, die Server, auf denen geleakte Daten liegen, zu zerstören, notfalls auch, wenn sie im Ausland stünden. Da zu den genutzten Plattformen unter anderem auch Googles Blogspot gehört, will man sich die Konsequenzen einer solchen Forderung lieber nicht so genau ausmalen.

Derlei markige Sprüche verkennen nicht nur die Lage, sondern klingen schon deshalb albern bis hilflos, weil das zu diesem Zweck ins Leben gerufene „Nationale Cyber-Abwehrzentrum“ gerade mal zehn Mitarbeiter hat. Andere Politiker wie Michael Kellner (Grüne) und Nicola Beer (FDP) fragten sich hingegen öffentlich, warum den zuständigen Sicherheitsbehörden die Leaks nicht früher aufgefallen sind – und übersehen dabei, dass solche Behörden eben erst genau dann anfangen können zu ermitteln, wenn ihnen eine Straftat bekannt wird. Eine frühere Reaktion wäre nur bei Vollüberwachung der Kommunikation im Internet möglich.

Dilettantischer Umgang mit IT-Sicherheit

Dass die Leaks nicht vom einem Doxer, sondern einer professionellen Hackergruppe durchgeführt wurden, die womöglich noch von einer ausländischen Macht bezahlt wird, ist ziemlich unwahrscheinlich. Trotzdem trafen sich Vertreter des nationalen Cyber-Abwehrzentrums, des Bundeskriminalamtes, des Verfassungsschutzes sowie des Bundesnachrichtendienstes zu einer Krisensitzung. Details über Art und Richtung der gestarteten Ermittlungen wurden nicht bekannt, aber man wolle, „wenn nötig“, auf die Betroffenen zugehen und über eventuell nötige Schutzmaßnahmen beraten. Das sagte Innenminister Horst Seehofer (CSU) und hat für Mittwoch eine Pressekonferenz angekündigt, für die er „volle Transparenz“ verspricht.

In den Köpfen vieler Leute spuken immer noch Vorstellungen von irgendwelchen Meisterhackern herum, die mit ihrem an Magie grenzenden Geheimwissen in alle möglichen Systeme eindringen. Derlei passiert in den seltensten Fällen, wenn in einen Account eingebrochen wird. Fast immer ist es schludriger Umgang mit Zugangsdaten, ein leicht zu erratendes Passwort oder der Hang mancher Menschen, auch im Jahr 2019 noch auf obskure E-Mail-Anhänge oder Links in Phishing-Mails zu klicken. Würden solche Sicherheitsmaßnahmen eingehalten, wäre der größte Teil der Daten nicht im Netz gelandet.

Trotzdem ist es äußerst unfair, in einer Art Schuldumkehr den Opfern des Leaks die Verantwortung zuzuschieben. Schließlich muss die Polizei auch dann einen Autodiebstahl verfolgen, wenn das Auto unabgeschlossen herum stand. Die Login-Mechanismen allzu vieler Dienste machen es den Anwendern immer noch viel zu leicht, schwache Passwörter zu verwenden oder auf Zwei-Faktor-Authentifizierung zu verzichten. Dilettantischer Umgang mit IT-Sicherheit ist oftmals eher Norm als Ausnahme. Das zeigt nicht nur die hilflose Reaktion mancher Politiker oder das Hochstilisieren des Doxxings zum großen „#Hackerangriff“ sondern auch, wie manche der direkt Involvierten damit umgehen.

Mehr Vorsicht und Gelassenheit

Wenn Tomasz Niemiec in verschiedenen Interviews sagt, er erwarte, dass ihn nun die Sicherheitsbehörden kontaktieren, fragt man sich, ob und warum er das seinerseits nicht getan hat, zumal er nach eigenen Angaben wusste, das der Hacker schon früher andere Youtuber gehackt hatte. Und statt sich an die Polizei zu wenden, nennt auch Simon Unge in seinem kurzen Youtube-Beitrag „Ich wurde gehackt“ den Twitter-Account @_0rbit, obwohl zu diesem Zeitpunkt dort sämtliche Leaks noch abzurufen waren – und hat auf diese Weise (wenn auch ungewollt) kräftig dabei mitgeholfen, dass die geleakten Daten Verbreitung fanden, bevor Twitter den Account sperrte.

Um solche Doxings in Zukunft zu verhindern, helfen keine Cyberabwehrzentren und keine Überwachungsfantasien. Hilfreicher wäre vielmehr ein gelassener und zugleich vorsichtiger Umgang mit den eigenen und fremden Daten. Dass ein Account gehackt werden kann, sollte von Anfang an als „Betriebsunfall“ einkalkuliert werden. Aus der Frage, wie schlimm das im Einzelfall wäre, ergibt sich, wie ernst man die üblichen Sicherheitsmaßnahmen nehmen sollte und ob man diese Daten überhaupt einem Cloud-Account anvertrauen will.

Mehr Gelassenheit ist aber auch aus einem anderen Grund nötig: Dieser Fall geht durch alle Medien, etliche Sicherheitsbehörden sind alarmiert, die Politik und das halbe Land sind aufgescheucht. Der Troll – und nichts anderes ist letztlich ein Doxer – schaut zu, lehnt sich zufrieden zurück und futtert genüsslich eine Tüte Popcorn.

Meistgelesen

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 70 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Luca Caracciolo (Chefredakteur t3n) & das gesamte t3n-Team

Anleitung zur Deaktivierung