SPIEGEL ONLINE

Politiker und Prominente gehackt Was über die Hacker, ihre Methoden und die Opfer bekannt ist

Die Daten von Abgeordneten, Künstlern und Journalisten, die Unbekannte über Twitter verbreitet haben, stammen aus zahlreichen Hacks und verschiedenen Quellen. Antworten auf die wichtigsten Fragen.

Seit dem 1. Dezember haben Unbekannte über Twitter massenhaft Daten von Prominenten und Politikern veröffentlicht. Bekannt wurde das erst jetzt durch einen Bericht des rbb . Der SPIEGEL hat die Daten eingesehen und stichprobenartig überprüft. Hier die wichtigsten Fragen und Antworten, die wir zu diesem Zeitpunkt geben können:

Wer wurde gehackt?

Der oder die Täter hatten am 1. Dezember angefangen, über Twitter nach dem Adventskalender-Prinzip täglich neue Daten über Prominente wie Jan Böhmermann, Til Schweiger, den YouTuber LeFloid und den Rapper Sido zu veröffentlichen. Ab dem 20. Dezember folgten - in unterschiedlichem Ausmaß - Daten von Europa-, Bundes- und Landespolitikern der FDP, der Linken, den Grünen, der SPD und der CDU/CSU. AfD-Politiker sind nicht betroffen.

Seit dem 28. Dezember sind über den Twitteraccount keine weiteren Daten veröffentlicht worden. Am Freitag, den 4. Januar, wurde der Account von Twitter gesperrt.

Wer hat die Daten veröffentlicht und warum?

Es ist derzeit unklar, ob es sich um einen einzelnen Täter oder mehrere handelt. Der Twitteraccount folgte nur wenigen anderen, darunter dem der für Hass und Hetze berüchtigten Website anonymousnews.ru. Ihm "gefallen" diverse Tweets anderer Nutzer, die sich gegen Jan Böhmermann oder auch gegen Geflüchtete richten. W

eil von den Hacks gegen Politiker nur die AfD nicht betroffen ist, entsteht der Eindruck, dass der oder die Täter aus dem rechten bis rechtsextremen Umfeld stammen oder sich damit identifizieren. Allerdings wurden über den Account selbst, wie auch über einige mit ihm verbundene Twitterkonten zunächst Daten von YouTube-Berühmtheiten und TV-Stars verbreitet. Eine politische Botschaft lässt sich daraus kaum konstruieren, es könnte den Tätern einzig um Aufmerksamkeit für ihre Fähigkeiten gegangen sein.

Recherchen von "Heise Online" zufolge  wurde der für den Daten-Adventskalender genutzte Account laut Twitter bereits 2015 eingerichtet. Der Account soll ursprünglich einem YouTuber gehört haben, dieser jedoch könnte 2016 die Kontrolle über das Konto verloren haben. Der oder die neuen Betreiber nutzten das Konto vereinzelt schon 2017, um auf Daten zu YouTubern zu verweisen - einzelnen Betroffenen war der Account daher schon seit längerem bekannt.

Wie wurden Internetnutzer auf den Datenklau aufmerksam?

Am Donnerstagabend war über das Twitterkonto des Webstars Simon Unge auf die veröffentlichten Daten hingewiesen worden - das brachte den zuvor weitgehend unbeachteten Daten einige Aufmerksamkeit. Unge hat auf Twitter rund zwei Millionen Follower, die entsprechenden Beiträge sind mittlerweile entfernt worden. Seinen eigenen Angaben zufolge hatte jemand seinen Account @unge gehackt, der YouTuber berichtet in einem kurzen Video-Statement  auch, dass er gerade versuche, zwei E-Mail-Adressen "wiederzubekommen".

Woher stammen die Daten?

Die veröffentlichten Daten sind nicht die "Beute" eines einzelnen Hacks. Vielmehr stammen sie aus vielen verschiedenen Quellen: Zum Teil lassen sich die Daten - darunter Anschriften und Kontaktdaten - in öffentlich zugänglichen Dokumenten finden, etwa in Rechenschaftsberichten. Andere, wie zum Beispiel Handynummern von Spitzenpolitikern, sind zwar unter anderem Kollegen und Journalisten bekannt, aber oftmals nicht öffentlich. Woher sie stammen, ist unklar.

In einigen Fällen wurden offenbar E-Mail-, Cloud- oder Social-Media-Konten gehackt, die Vorfälle liegen zum Teil viele Monate zurück. In diesen Konten könnten unter anderem Telefonnummern, aber auch persönliche Dokumente hinterlegt gewesen sein. Auch Phishing mit Hilfe von vergleichsweise aufwendig gefälschten Mails wäre eine Methode, um an nicht-öffentliche Informationen und Zugangsdaten zu gelangen. Eine entsprechende Spam-Kampagne gegen Bundestagsabgeordnete war im November bemerkt worden.

Auch die Bundestagsverwaltung geht davon aus, dass die Daten "nicht aus den IT-Systemen des Bundestages stammen und nicht das Ergebnis eines Hackerangriffs auf den Bundestag sind". So ist es im Intranet des Bundestages zu lesen, wie der SPIEGEL erfuhr.

Sind die Daten aktuell und authentisch?

Stichproben des SPIEGEL zeigen, dass mindestens ein Teil der Politiker-Daten echt und aktuell ist. Andere sind nicht mehr aktuell.

Viele der geleakten Dokumente standen auch schon einmal im Netz, etwa im Fall der betroffenen Journalisten von Funk, dem Jugendmedienangebot von ARD und ZDF: "Nach dem derzeitigen Stand handelt es sich bei den veröffentlichten Daten zum größten Teil um veraltete Informationen, die bereits zu einem früheren Zeitpunkt veröffentlicht und nun zusammengetragen wurden", sagt eine Sprecherin von Funk dem SPIEGEL. Mitarbeiter von Funk seien schon in der Vergangenheit öfter von Doxing betroffen gewesen - das gelte besonders für Mitarbeiter von Formaten, die sich mit politischen oder gesellschaftlichen Themen befassen.

SPIEGEL ONLINE

Der SPD-Bundestagsabgeordnete Florian Post sagte der Nachrichtenagentur dpa, bei den zu ihm veröffentlichten Daten sei "mindestens eine gefälschte Datei dabei. Die gehört mir nicht, sie wurde mir nie geschickt, und ich habe sie nicht gespeichert". Sie werde von den Tätern aber als seine Datei ausgewiesen.

Was könnte man mit den Daten anstellen?

Der oder die Täter haben möglicherweise zahlreiche Passwörter der Betroffenen herausgefunden und sich in verschiedene Konten eingeloggt. Sie selbst könnten damit zum Beispiel Produkte im Internet bestellen oder gefälschte Botschaften veröffentlichen. Sie könnten die Betroffenen aber auch erpressen, weil sie zumindest behaupten, mitunter auch sehr sensible private Daten gefunden zu haben. Ob diese authentisch sind, ist unklar.

Außerdem kann sich jeder, der Zugriff auf die kopierten und veröffentlichten Daten hat, bei verschiedenen Internetdienstleistern als einer der Betroffenen ausgeben. Um zum Beispiel Zugriff auf ein Nutzerkonto bei einem E-Mail-Anbieter zu bekommen, ohne das Passwort zu kennen, kann es ausreichen, Sicherheitsfragen zu beantworten. In den Datensätzen könnten Hinweise auf die korrekten Antworten stecken.

Besonders gefährdet sind Betroffene, die das gleiche Passwort für verschiedene Dienste nutzen und auf eine Zwei-Faktor-Authentifizierung verzichten.

Was passiert jetzt?

Die Sicherheitsbehörden wollen laut Bundesinnenminister Horst Seehofer "soweit erforderlich" auf die Betroffenen zugehen, um sie zu informieren und über mögliche Schutzmaßnahmen zu beraten. Seehofer sagte, es werde "mit Hochdruck daran gearbeitet, den Urheber der Veröffentlichung ausfindig zu machen und den Zugriff auf die Daten schnellstmöglich zu unterbinden".

Auch der Generalbundesanwalt hat sich in die Prüfung des Vorfalls eingeschaltet. Dazu sei in der Behörde in Karlsruhe ein sogenannter Beobachtungsvorgang angelegt worden, sagte eine Sprecherin des Bundesjustizministeriums am Freitag in Berlin. Damit untersucht der Generalbundesanwalt die Bedeutung des Falls und die kriminelle Relevanz und prüft, ob er weiter tätig wird.

Hinweis: Der Artikel wurde mehrfach um Details unter anderem zur möglichen Herkunft der Daten sowie zur möglichen Motivation der Täter ergänzt.

SPIEGEL ONLINE berichtet ausführlich über die Hackerangriffe gegen Politiker und Personen des öffentlichen Lebens. Mit Details aus den Datendiebstählen gehen wir allerdings zurückhaltend und vorsichtig um. Privatadressen, Telefonnummern oder weitere Informationen, an denen nach jetzigem Kenntnisstand kein öffentliches Interesse besteht, veröffentlichen wir nicht.