Daten-Leak bei Politikern und Prominenten Sechs Mythen über den "Hackerangriff"

Private Daten Hunderter Politiker, Prominenter und Webstars stehen im Netz: Der Donnerstagabend bekannt gewordene Daten-Leak sorgt weiter für Wirbel. Doch nicht alles, was man dazu hört, ergibt Sinn.
Foto: imago/ photothek

Mythos 1: Es handelt sich um einen besonders spektakulären Hackerangriff.

"Mega-Cyber-Angriff", "Mega-Hack", "der größte Hackerangriff Deutschlands": Viele Medien überbieten sich mit aufregenden Formulierungen rund um den Daten-Leak, der vor allem Politiker sowie Fernseh- und YouTube-Stars betrifft. Was die mediale Resonanz angeht, ist der Vorfall für deutsche Verhältnisse einzigartig, zum eigentlichen Geschehen jedoch passen solche Überhöhungen nur bedingt:

  • So stammen die Daten nach allem, was bisher bekannt ist, aus verschiedenen Quellen, manches Material ist mehrere Jahre alt. Die Daten scheinen teils kuratiert erneut veröffentlicht worden zu sein, sie dürften aus einem Mix aus recherche-artiger Datensammlung und einzelnen Hackerangriffen stammen.

    Von "einem Hackerangriff" zu sprechen (wie es anfangs auch SPIEGEL ONLINE tat), ergibt daher nur bedingt Sinn, denn weder stammen die Daten aus nur einem einzigen großen Angriff, noch aus einer Quelle, noch ist die Veröffentlichung an sich ein klassischer Hackerangriff.

  • Der treffendere Begriff, für das was geschehen ist, lautet "Doxing". Doxing steht für das Öffentlichmachen von Daten über Personen - meist mit dem Ziel, ihnen zu schaden oder sie angreifbar zu machen. Doxing geschieht auch in anderen Kontexten, etwa, wenn sich jemand nach einer gescheiterten Beziehung an einem Ex-Partner rächen will und Material über diesen ins Netz stellt. Auch in der Gaming- und YouTube-Szene ist Doxing ein altbekanntes Problem, ebenso im Kontext des politischen Meinungskampfes.

    Was in solchen Bereichen passiert, macht allerdings selten über die jeweiligen Szenen hinaus Schlagzeilen. Über jenen Twitteraccount, der den Daten-Adventskalender ausgespielt hat, etwa und über weitere, ähnliche Konten waren zuvor schon mehrfach erbeutete Daten zu Webstars verbreitet worden.

  • Auch was die Größe und Bedeutung des Vorfalls angeht, ist Einordnung wichtig: Mit mehr als tausend betroffenen Politikern und Stars plus weiteren erwähnten Kontakten dürfte es sich um den größten bekannt gewordenen Doxing-Fall handeln, der deutsche Bekanntheiten betrifft. Es gab aber allein in der jüngeren Vergangenheit schon viel größere, tatsächliche Hackerangriffe, bei denen auch viele Deutsche betroffen waren - darunter vermutlich auch Politiker und Prominente: Dazu zählen Datenlecks bei Yahoo, Facebook und Marriott.

Mythos 2: Es sind so viele Daten erbeutet worden - der oder die Täter müssen doch Profi-Hacker sein.

Ein Journalist der "Bild" mutmaßte früh , der Leak deute auf eine Gruppe mit hoher Professionalität hin. Der YouTuber Tomasz Niemiec dagegen glaubt, dass ein Einzelner hinter der Datenveröffentlichung steht - er meint auch zu wissen, wer. In einem Interview mit Süddeutsche.de  kommentiert Niemiec auch die Aktualität der Daten, und betont, dass die Handynummer von Martin Schulz bisher nicht bekannt gewesen sei: "Das ist echt eine Leistung, davor habe ich schon Respekt."

Von der Anbiederung abgesehen, bleibt unklar, wie schwierig es wirklich ist, Martin Schulz' Telefonnummer herauszufinden, die hier beispielhaft für Informationen aus dem Datensatz steht. Denn wer sie finden will, muss dafür nicht unbedingt den SPD-Spitzenpolitiker persönlich hacken. Im Grunde reicht es an die Kontaktliste von jemandem zu kommen, der Schulz eingespeichert hat - so hat es im konkreten Fall wohl auch funktioniert, denn zu Schulz findet sich im Datensatz sonst kaum etwas.

Ähnliches gilt für andere Teile des Hacks, etwa Promikontakte. Wer ein Promi-Adressbuch hat, hat damit wohl gleich diverse Nummern. Und hat man erstmal neue Informationen, lassen sich damit oft gleich die nächsten gewinnen.

Wer ausreichend kriminelle Energie, Zeit und Kenntnis mitbringt, hat bei vielen Zielpersonen durch klassische Hackerattacken, aber eben teils auch durch Netzrecherche die Chance, an bislang unbekanntes Material zu kommen. Dabei hilft, dass zum Beispiel auch im Darknet oder in weniger versteckten Webforen immer wieder Passwortlisten oder Links zu von Dritten gehackten Daten auftauchen. Und auch legale Onlinewerkzeuge wie Personensuchmaschinen können Anhaltspunkte für gezielte Attacken liefern. Letztlich könnten hinter einer solchen Veröffentlichung also auch Nicht-Profis stecken, die technisch kundig sind, vor allem aber fleißig.

SPIEGEL ONLINE

Mythos 3: So schlimm ist Doxing für die Betroffenen ja auch nicht.

Doxing kann drastische Folgen haben. Durch den Daten-Leak zirkulieren Privatadressen, Telefonnummern, E-Mails, Chats, aber auch Informationen zu Familienmitgliedern sowie persönliche Dokumente von Politikern und Stars im Netz. Selbst wenn der Hacker selbst die geleakten Daten nicht weiter verwerten sollte, können Dritte die Informationen missbrauchen, um die Betroffenen online oder auch offline zu belästigen oder in ihrem Namen Unruhe zu stiften - einfach, weil sich jetzt eine Gelegenheit dafür bietet.

Rechte etwa stellen immer wieder Privatadressen ins Internet und rufen zu Gewalt gegen Kritiker und Personen auf, die sich gegen Rechtsextremismus engagieren. Vergangenen Samstag hatten Unbekannte dem "Neuen Deutschland" zufolge  eine Liste mit mehr als 200 Namen von Politikern, Journalisten, Künstlern und Aktivisten, die sich für Flüchtlinge einsetzen oder linksgerichtet sind, auf dem linken Portal Indymedia veröffentlicht. "Wir kriegen euch alle", wurde dazu gedroht. Ob der Onlinepranger auf Basis von Adressen aus dem aktuellen Leak zusammengestellt wurde, ist unklar.

Je nachdem, wie weit die Angreifer gehen, fühlen sich Doxing-Zielpersonen oft in ihrer Sicherheit bedroht - und fürchten auch um ihre Partner oder ihre Familie. "Man fühlt sich wehrlos und schutzlos", sagte der vom Daten-Leak betroffene SPD-Bundestagsabgeordnete Helge Lindh dem SPIEGEL. Bereits im März 2018 hatten Angreifer sein Facebook- und Twitterprofil übernommen, rassistische Nachrichten verbreitet und bei Amazon "Korane, Hundekotattrappen und weitere Überraschungen" bestellt. "Mir ging immer wieder ein Gedanke durch den Kopf", so Lindh: "Wer weiß, was die noch alles unternehmen? Ich hatte Angst um meine Familie und um meine Mitarbeiter."

Im Extremfall kann Doxing das Leben der Betroffenen zerstören, zumindest zeitweise. Die vom Gamergate-Skandal betroffene YouTuberin Anita Sarkeesian und die feministische Autorin Laurie Penny etwa erhielten Vergewaltigungs- und Morddrohungen und flüchteten aus ihren Wohnungen. Und Gamer schicken ihren Rivalen manchmal beim "Swatting" sogar Sondereinsatzkommandos nach Hause, etwa durch fabrizierte Morddrohungen - mitunter mit tödlichen Folgen.

Mythos 4: "Das BSI hätte..."

Richtig gut sieht das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Zuge des Daten-Leaks nicht aus. Erst teilte BSI-Präsident Arne Schönbohm mit, das Amt sei bereits im Dezember informiert gewesen, dann ergänzte er tags darauf, dabei habe es sich lediglich um einen einzigen Fall gehandelt, in dem ein Bundestagsabgeordneter verdächtige Aktivitäten rund um seine privaten E-Mail- und Social-Media-Konten entdeckt hatte. Souverän wirkte die Informationspolitik von Schönbohm nicht.

Doch wenn im Dezember nichts auf eine breit angelegte Kampagne hinwies, kann man dem BSI keinen Vorwurf machen. Zwar befand zum Beispiel die Grünen-Bundestagsabgeordnete Tabea Rößner, es sei "unerklärlich und verantwortungslos, dass das BSI erst so spät tätig wurde".

Aber das BSI ist nicht für die Bewachung privater Social-Media-Konten von Politikern zuständig, sondern in erster Linie für den operativen Schutz der Regierungsnetze: "Für die Absicherung parteilicher oder privater Kommunikation von Mandatsträgern kann das BSI nur beratend und auf Anfrage unterstützend tätig werden", erinnerte die Behörde diejenigen, die ihr nun Versäumnisse vorwerfen.

Mythos 5: Für genau solche Fälle fehlt das Recht zum digitalen Gegenschlag.

Thorsten Frei, stellvertretender Vorsitzender der Unionsfraktion im Bundestag, war der erste, der die alte Forderung nach dem sogenannten Hackback vorbrachte. Der "Stuttgarter Zeitung"  sagte er: "Dabei geht es dann nicht mehr nur um defensive Datenabwehr, sondern um die Möglichkeit zu einem aktiven Gegenangriff, der auch dazu führen kann, Server im Ausland, die die abgegriffenen Daten speichern, aktiv zu zerstören."

Die Bundesregierung prüft die rechtlichen und technischen Bedingungen dafür schon lange. Aber in Fällen wie diesem hätte ein Hackback keine Erfolgsaussichten. Der oder die Täter hatten die Datensätze dutzendfach auf verschiedene Server  und bei vielen verschiedenen Anbietern verteilt. Und selbst wenn man die Kollateralschäden eines Angriffs auf alle Server in Kauf nähme, wäre man niemals schnell genug: Irgendjemand hätte die Daten längst gesichert und könnte sie woanders erneut hochladen. Bei dem oder den Tätern selbst liegen sie ja ohnehin auch lokal gespeichert. Kurz: Angriff ist manchmal die unsinnigste Verteidigung.

Mythos 6: Die Sicherheitsbehörden werden daran scheitern, den Täter zu finden.

Auf Twitter zeigen sich einige Nutzer aus der YouTube- und Gaming-Szene skeptisch, dass die Behörden dem oder den Tätern auf die Spur kommen. Diese scheinen sich technisch zumindest so gut geschützt zu haben, dass sie nicht sofort aufgeflogen sind. Doch es gibt für die Spurensuche der Ermittler verschiedene Ansatzpunkte. Dazu zählt etwa, dass der Daten-Adventskalender offenbar nur der neueste von diversen Doxing-Vorfällen gewesen ist.

Nicht klar ist, ob der oder die Täter bei älteren Attacken, bei denen nicht mal unter Optimalbedingungen mit einer solchen Aufmerksamkeit zu rechnen war, ähnlich abgezockt vorgegangen sind. Vielleicht ist es am Ende gar nicht der jüngste Vorfall, der zu einem Fahndungserfolg führen wird.

Eine weitere Schwachstelle ist der Geltungsdrang und das Mitteilungsbedürfnis auf Täterseite. Der YouTuber Thomas Hackner alias "HerrNewstime" geht von einem Einzeltäter aus und glaubt, dass dieser noch aktiv im Netz ist. "Er ist nicht untergetaucht, sondern hat sich auf den Teamspeak-Servern von unterschiedlichen YouTubern herumgetrieben, und ändert auch sein Avatarbild ab", sagt Hackner dem SPIEGEL. "Ich glaube, er fühlt sich sicher, in dem was er tut, und er sucht die Aufmerksamkeit."

Zuvor hatten schon sowohl der YouTuber Niemiec als auch eine weitere Person berichtet, in den letzten Tagen mit dem aus ihrer Sicht Verantwortlichen digital kommuniziert zu haben.

Auch dabei könnten Fehler gemacht worden sein - und ebenso könnten die Nachrichten, die vor und zum Daten-Leak erschienen, noch entscheidende Rückschlüsse auf das Täter-Lebensumfeld liefern. So heißt es im Begleittext zum Leak zum Beispiel, dass zu einem bestimmten Webvideomacher angeblich "aus Respekt" nichts öffentlich gemacht werde.


SPIEGEL ONLINE berichtet ausführlich über die Hackerangriffe gegen Politiker und Personen des öffentlichen Lebens. Mit Details aus den Datendiebstählen gehen wir allerdings zurückhaltend und vorsichtig um. Privatadressen, Telefonnummern oder weitere Informationen, an denen nach jetzigem Kenntnisstand kein öffentliches Interesse besteht, veröffentlichen wir nicht.