Nach der großen Aufregung Sechs Lehren aus dem Daten-Leak
1. Wir brauchen ein Bewusstsein für Doxing.
Mit Doxing ist eine für viele neue Vokabel in den öffentlichen Diskurs eingezogen. Dabei ist Doxing kein neues Phänomen: Das Veröffentlichen gesammelter oder erbeuteter Daten ist im politischen Meinungskampf im Netz, aber auch in der Gamer- und YouTuber-Szene schon lange ein verbreitetes Mittel, um andere bloßzustellen oder einzuschüchtern. So verwundert es kaum, dass viele Menschen Donnerstag zum ersten Mal von "0rbit", dem mutmaßlichen Datendieb, hörten. Einige YouTuber dagegen berichteten dem SPIEGEL, er sei ihnen schon lange zuvor bekannt gewesen, etwa im Kontext älterer Doxing-Fälle.
So verbreitet Doxing in manchen Szenen ist, so wenig wurde bisher darüber gesprochen: Auf der Seite des Bundesamts für Sicherheit in der Informationstechnik (BSI) führt eine Suche nach dem Wort zu nur zwei Treffern. Und im jüngsten Jahresbericht der Behörde ist der Begriff gar nicht zu finden.
Doxing-Opfer stehen mit ihrem Problem oft allein da. "Wir müssen über die Auswirkungen von Doxing reden", fordert SallyIsG4y, der auf YouTube einen Meinungskanal betreibt. Der 33-Jährige ist einer der Betroffenen des Daten-Leaks von "0rbit": Ein SallyIsG4y gewidmeter Adventskalender-Tweet folgte auf den zu Rapper Sido. Die zu ihm veröffentlichten privaten Daten waren schon im Frühjahr im Netz gelandet, im Dezember wurden sie erneut ins Netz gestellt.
Der YouTuber erzählt, er sei schon beim ersten Vorfall zur Polizei gegangen. Die Reaktion auf seine Anzeige fand er unbefriedigend, SallyIsG4y spricht von "Schulterzucken" und Unwissen der Beamten, ob überhaupt eine Straftat vorliegt. Seinen Alltag habe das Doxing verändert, sagt SallyIsG4y: "Ich habe zum Beispiel weniger Videos gemacht. Und es gab Anrufe auf meiner Arbeit und bei meinen Eltern."
Schlimm sei nach einem Doxing auch die Ungewissheit, ob noch mehr Daten geleakt werden, sagt SallyIsG4y. Er meint: "Wir sollten auch darüber sprechen, weshalb jemand so etwas macht, was seine Motivation dafür ist."
Generell werden Netznischen wie die Welt der Gamer und Webstars oft noch immer zu wenig ernst genommen und beachtet. Das ist ein Problem, denn Teile der Gamer-Szene haben sich in den letzten Jahren politisiert und mitunter auch radikalisiert - ohne, dass die breite Masse davon Notiz genommen hätte.
Zwar bilden die Radikalen nur einen Bruchteil der Spielerschaft. Doch ihre Ideen und Taten nehmen viele junge Menschen über Plattformen wie YouTube, Twitch und Discord wahr. Wenn etwa das Bloßstellen einer Person jungen Menschen als legitimes Mittel erscheint, kann das langfristig das gesamtgesellschaftliche Klima vergiften.
2. Gefahren müssen realistisch eingeschätzt werden.
Der aktuelle Vorfall zeigt wieder einmal: Jeder hat etwas zu verbergen. Selbst wer meint, keinerlei Geheimnisse zu haben, verfügt über Daten anderer, die es zu schützen gilt. Telefonnummern im Adressbuch, E-Mails, Fotos und Dokumente - ein Hack des eigenen Postfachs oder Rechners kann womöglich Dritte härter treffen als den gehackten Nutzer selbst.
Die Bedrohung muss dabei nicht gleich von einem amerikanischen Geheimdienst kommen oder von einem Kollektiv aus russischen Profi-Hackern. Viel realistischer ist etwa ein Angriff von einem eifersüchtigen Ex-Partner, einem persönlichen Feind oder technisch versierten Nachbarn. Es könnte auch einfach irgendwer Unfug treiben - ein gelangweilter Schüler oder eine Horde Trolle mit politischer Agenda, die Daten ungefiltert in irgendeiner Ecke des Netzes ablädt.
Datenschützer haben oft Schwierigkeiten zu vermitteln, warum ihnen der Datenschutz so wichtig ist. Weil viele Nutzer immer noch glauben, ihre Daten würden niemanden "interessieren". Allerdings hat ein großer Leak wie dieser mit einem konkreten Interesse an bestimmten Daten nur bedingt etwas zu tun: Vieles von den veröffentlichten Informationen war für Außenstehende sterbenslangweilig - und trotzdem unangenehm für die Opfer.
3. Schluss mit dem Daten-Voyeurismus.
Doxing kann nur Wucht entfalten, wenn sich jemand die veröffentlichten Daten ansieht. Nur einer leakt die Daten - aber viele machen sich zu Gehilfen, indem sie die intimen Daten anderer Menschen ansehen, sich durch private E-Mails oder Chatverläufe wühlen, die Betroffenen bedrohen oder belästigen oder die Informationen weiterverbreiten.
"Ich gehe davon aus, dass die persönlichen Daten aus dem aktuellen Leak gerade zehntausendfach geteilt auf den Privatrechnern von Menschen in ganz Deutschland liegen - obwohl es das Persönlichkeitsrecht verletzt, wenn sie etwa Nacktfotos aus der Dropbox eines Politikers behalten", sagt der Rechtsanwalt Peter Hense SPIEGEL ONLINE.
Wer ein Recht auf Privatsphäre haben möchte, sollte dies auch anderen zugestehen. Deshalb: Finger weg von geleakten Daten.
4. Wir müssen uns schützen - und damit auch andere.
Internetnutzer sollten versuchen, ihre Daten möglichst gut zu sichern: Sie können die Zwei-Faktor-Authentifikation aktivieren, sich gute Antworten auf Sicherheitsfragen ausdenken oder starke Passwörter verwenden - die jeweils nur bei einem Dienst zum Einsatz kommen.
Ebenso kann man überprüfen, ob seine eigenen Daten vielleicht schon Teil eines größeren Datenlecks waren . Digitale Selbstverteidigung schützt nicht nur den Nutzer selbst - sondern auch Dritte.
5. Sicherheit muss die Grundeinstellung sein.
Auch Anbieter sind in der Pflicht. Sie sollten zum Beispiel Mindeststandards für sichere Passwörter vorgeben und Nutzer vor dämlichen Fehlern warnen, etwa davor, "passwort" als Passwort zu verwenden, wie es etwa bei den populärsten deutschen Mailanbietern GMX und Web.de möglich ist.
Allgemein ließe sich das Ausmaß von Doxing-Fällen oft zumindest eingrenzen, wenn Tech-Firmen auf Hinweise dazu schneller reagieren würden - etwa, indem sie Konten sperren, die eindeutig fürs Doxing genutzt werden. Der Daten-Adventskalender von "0rbit" beispielsweise war zum Entsetzen der Betroffenen noch bis zum Freitag abrufbar.
Betroffene - erst recht, wenn sie große Accounts betreiben - brauchen zudem Ansprechpartner für den Fall, dass ihre Konten gekapert wurden. Beim SPD-Bundestagsabgeordneten Helge Lindh hat es vier Wochen gedauert, bis er die Kontrolle über sein privates E-Mail-Konto wiedererlangt hatte.
6. Die Politik braucht einen Plan.
Auch Politik und Sicherheitsbehörden könnten effizienter arbeiten als bisher: Die Ankündigung, das Cyberabwehrzentrum in Bonn zu einem "Cyberabwehrzentrum plus" auszubauen , hilft nicht gegen Doxing, solange die Regierung das Phänomen nicht ernst nimmt.
Der Leak könnte aber ein Weckruf sein. Damit einzelne Vorfälle und Anzeigen von Betroffenen schneller als Teil eines größeren Angriffs erkannt werden, ist es wichtig, Kompetenzen zu bündeln und die Koordination zwischen den Strafverfolgungsbehörden zu verbessern. Doxing-Fälle sollten zentral erfasst werden.
Der IT-Sicherheitsexperte Sven Herpig vom Thinktank Stiftung Neue Verantwortung hält zudem "eine behördenübergreifende permanente Task Force zum Schutz der Wahlen, Parteien und Politiker" für sinnvoll. Er schlägt zudem höhere IT-Sicherheitsstandards für Parteien und beruflich genutzte Accounts von Politikern vor. "Auf freiwilliger Basis könnten diese Vorgaben dann auch auf private Accounts angewendet werden", sagt Herpig dem SPIEGEL.
