Politiker und Prominente gehackt Was über die Hacker, ihre Methoden und die Opfer bekannt ist

Die Daten von Abgeordneten, Künstlern und Journalisten, die Unbekannte über Twitter verbreitet haben, stammen aus zahlreichen Hacks und verschiedenen Quellen. Antworten auf die wichtigsten Fragen.

Getty Images/ iStockphoto

Von , , und


Seit dem 1. Dezember haben Unbekannte über Twitter massenhaft Daten von Prominenten und Politikern veröffentlicht. Bekannt wurde das erst jetzt durch einen Bericht des rbb. Der SPIEGEL hat die Daten eingesehen und stichprobenartig überprüft. Hier die wichtigsten Fragen und Antworten, die wir zu diesem Zeitpunkt geben können:

Wer wurde gehackt?

Der oder die Täter hatten am 1. Dezember angefangen, über Twitter nach dem Adventskalender-Prinzip täglich neue Daten über Prominente wie Jan Böhmermann, Til Schweiger, den YouTuber LeFloid und den Rapper Sido zu veröffentlichen. Ab dem 20. Dezember folgten - in unterschiedlichem Ausmaß - Daten von Europa-, Bundes- und Landespolitikern der FDP, der Linken, den Grünen, der SPD und der CDU/CSU. AfD-Politiker sind nicht betroffen.

Seit dem 28. Dezember sind über den Twitteraccount keine weiteren Daten veröffentlicht worden. Am Freitag, den 4. Januar, wurde der Account von Twitter gesperrt.

Wer hat die Daten veröffentlicht und warum?

Es ist derzeit unklar, ob es sich um einen einzelnen Täter oder mehrere handelt. Der Twitteraccount folgte nur wenigen anderen, darunter dem der für Hass und Hetze berüchtigten Website anonymousnews.ru. Ihm "gefallen" diverse Tweets anderer Nutzer, die sich gegen Jan Böhmermann oder auch gegen Geflüchtete richten. W

eil von den Hacks gegen Politiker nur die AfD nicht betroffen ist, entsteht der Eindruck, dass der oder die Täter aus dem rechten bis rechtsextremen Umfeld stammen oder sich damit identifizieren. Allerdings wurden über den Account selbst, wie auch über einige mit ihm verbundene Twitterkonten zunächst Daten von YouTube-Berühmtheiten und TV-Stars verbreitet. Eine politische Botschaft lässt sich daraus kaum konstruieren, es könnte den Tätern einzig um Aufmerksamkeit für ihre Fähigkeiten gegangen sein.

Recherchen von "Heise Online" zufolge wurde der für den Daten-Adventskalender genutzte Account laut Twitter bereits 2015 eingerichtet. Der Account soll ursprünglich einem YouTuber gehört haben, dieser jedoch könnte 2016 die Kontrolle über das Konto verloren haben. Der oder die neuen Betreiber nutzten das Konto vereinzelt schon 2017, um auf Daten zu YouTubern zu verweisen - einzelnen Betroffenen war der Account daher schon seit längerem bekannt.

Wie wurden Internetnutzer auf den Datenklau aufmerksam?

Am Donnerstagabend war über das Twitterkonto des Webstars Simon Unge auf die veröffentlichten Daten hingewiesen worden - das brachte den zuvor weitgehend unbeachteten Daten einige Aufmerksamkeit. Unge hat auf Twitter rund zwei Millionen Follower, die entsprechenden Beiträge sind mittlerweile entfernt worden. Seinen eigenen Angaben zufolge hatte jemand seinen Account @unge gehackt, der YouTuber berichtet in einem kurzen Video-Statement auch, dass er gerade versuche, zwei E-Mail-Adressen "wiederzubekommen".

Woher stammen die Daten?

Die veröffentlichten Daten sind nicht die "Beute" eines einzelnen Hacks. Vielmehr stammen sie aus vielen verschiedenen Quellen: Zum Teil lassen sich die Daten - darunter Anschriften und Kontaktdaten - in öffentlich zugänglichen Dokumenten finden, etwa in Rechenschaftsberichten. Andere, wie zum Beispiel Handynummern von Spitzenpolitikern, sind zwar unter anderem Kollegen und Journalisten bekannt, aber oftmals nicht öffentlich. Woher sie stammen, ist unklar.

In einigen Fällen wurden offenbar E-Mail-, Cloud- oder Social-Media-Konten gehackt, die Vorfälle liegen zum Teil viele Monate zurück. In diesen Konten könnten unter anderem Telefonnummern, aber auch persönliche Dokumente hinterlegt gewesen sein. Auch Phishing mit Hilfe von vergleichsweise aufwendig gefälschten Mails wäre eine Methode, um an nicht-öffentliche Informationen und Zugangsdaten zu gelangen. Eine entsprechende Spam-Kampagne gegen Bundestagsabgeordnete war im November bemerkt worden.

Auch die Bundestagsverwaltung geht davon aus, dass die Daten "nicht aus den IT-Systemen des Bundestages stammen und nicht das Ergebnis eines Hackerangriffs auf den Bundestag sind". So ist es im Intranet des Bundestages zu lesen, wie der SPIEGEL erfuhr.

Sind die Daten aktuell und authentisch?

Stichproben des SPIEGEL zeigen, dass mindestens ein Teil der Politiker-Daten echt und aktuell ist. Andere sind nicht mehr aktuell.

Viele der geleakten Dokumente standen auch schon einmal im Netz, etwa im Fall der betroffenen Journalisten von Funk, dem Jugendmedienangebot von ARD und ZDF: "Nach dem derzeitigen Stand handelt es sich bei den veröffentlichten Daten zum größten Teil um veraltete Informationen, die bereits zu einem früheren Zeitpunkt veröffentlicht und nun zusammengetragen wurden", sagt eine Sprecherin von Funk dem SPIEGEL. Mitarbeiter von Funk seien schon in der Vergangenheit öfter von Doxing betroffen gewesen - das gelte besonders für Mitarbeiter von Formaten, die sich mit politischen oder gesellschaftlichen Themen befassen.

SPIEGEL ONLINE

Der SPD-Bundestagsabgeordnete Florian Post sagte der Nachrichtenagentur dpa, bei den zu ihm veröffentlichten Daten sei "mindestens eine gefälschte Datei dabei. Die gehört mir nicht, sie wurde mir nie geschickt, und ich habe sie nicht gespeichert". Sie werde von den Tätern aber als seine Datei ausgewiesen.

Was könnte man mit den Daten anstellen?

Der oder die Täter haben möglicherweise zahlreiche Passwörter der Betroffenen herausgefunden und sich in verschiedene Konten eingeloggt. Sie selbst könnten damit zum Beispiel Produkte im Internet bestellen oder gefälschte Botschaften veröffentlichen. Sie könnten die Betroffenen aber auch erpressen, weil sie zumindest behaupten, mitunter auch sehr sensible private Daten gefunden zu haben. Ob diese authentisch sind, ist unklar.

Außerdem kann sich jeder, der Zugriff auf die kopierten und veröffentlichten Daten hat, bei verschiedenen Internetdienstleistern als einer der Betroffenen ausgeben. Um zum Beispiel Zugriff auf ein Nutzerkonto bei einem E-Mail-Anbieter zu bekommen, ohne das Passwort zu kennen, kann es ausreichen, Sicherheitsfragen zu beantworten. In den Datensätzen könnten Hinweise auf die korrekten Antworten stecken.

Besonders gefährdet sind Betroffene, die das gleiche Passwort für verschiedene Dienste nutzen und auf eine Zwei-Faktor-Authentifizierung verzichten.

Was passiert jetzt?

Die Sicherheitsbehörden wollen laut Bundesinnenminister Horst Seehofer "soweit erforderlich" auf die Betroffenen zugehen, um sie zu informieren und über mögliche Schutzmaßnahmen zu beraten. Seehofer sagte, es werde "mit Hochdruck daran gearbeitet, den Urheber der Veröffentlichung ausfindig zu machen und den Zugriff auf die Daten schnellstmöglich zu unterbinden".

Auch der Generalbundesanwalt hat sich in die Prüfung des Vorfalls eingeschaltet. Dazu sei in der Behörde in Karlsruhe ein sogenannter Beobachtungsvorgang angelegt worden, sagte eine Sprecherin des Bundesjustizministeriums am Freitag in Berlin. Damit untersucht der Generalbundesanwalt die Bedeutung des Falls und die kriminelle Relevanz und prüft, ob er weiter tätig wird.

Hinweis: Der Artikel wurde mehrfach um Details unter anderem zur möglichen Herkunft der Daten sowie zur möglichen Motivation der Täter ergänzt.

SPIEGEL ONLINE berichtet ausführlich über die Hackerangriffe gegen Politiker und Personen des öffentlichen Lebens. Mit Details aus den Datendiebstählen gehen wir allerdings zurückhaltend und vorsichtig um. Privatadressen, Telefonnummern oder weitere Informationen, an denen nach jetzigem Kenntnisstand kein öffentliches Interesse besteht, veröffentlichen wir nicht.

Mehr zum Thema


insgesamt 107 Beiträge
Alle Kommentare öffnen
Seite 1
Bondurant 04.01.2019
1. Offenbar etwas unintelligente Täter
Weil von den Hacks gegen Politiker nur die AfD nicht betroffen ist, entsteht der Eindruck, dass der oder die Täter aus dem rechten bis rechtsextremen Umfeld stammen oder sich damit identifizieren. denn das ist ja doch ein büschen auffällig. Wenigstens die eine oder andere Email-Adresse von Höcke & Co. hätte man doch einstreuen können.
Persipanstollen 04.01.2019
2. Daten immer noch verfügbar
Die Daten sind nach wie vor (Stand 04.01.2019 12:00) über die Links aus dem Account erreichbar. Man schreit nach Digitalisierung und ist nicht mal in der Lage solche Server lahmzulegen. Eine Montenegro-Domäne, da können Sicherheitsprofis natürlich nichts machen.
berther 04.01.2019
3. Aus dem Schema...
...wessen Daten veröffentlicht wurden und wessen nicht, lässt sich das Umfeld des oder der Täter schon recht gut eingrenzen. Rechts!
winterwoods 04.01.2019
4. Das zeigt vielleicht tatsächlich die Richtung...
Diese zwei Fakten sagen schon sehr viel aus: "AfD-Politiker sind nicht betroffen." "...es sei "mindestens eine gefälschte Datei dabei. Die gehört mir nicht, sie wurde mir nie geschickt, und ich habe sie nicht gespeichert". Sie werde von den Tätern aber als seine Datei ausgewiesen." Das könnte tatsächlich auf Täter aus dem Bereich rechter Agitation schließen lassen - und dass das wahrscheinliche Ziel der Aktion ist, unter den vielen echten Daten eben auch bestimmte gefälschte Informationen "an die Öffentlichkeit zu bringen" und bestimmte Stimmungen zu erzeugen.
Ichschonwiederda 04.01.2019
5. Daten immer noch abrufbar!
Den Twitter-Account zu sperren ist ja nur die halbe Miete. Im Google-Cache finden sich noch immer einige Links zu diesem Account, und dort sind dann auch die weiterführenden Links zu den Leaks. War für einen halbwegs versierten Laien wie mich einfach zu finden. Soll ich Neuland-Mutti und ihren Freunden jetzt ne SMS schicken und Bescheid geben?
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.