Ein Jahr danach Was haben wir aus dem "Twitter-Hack" gelernt?
Mehr als 150 Journalistinnen und Journalisten berichten rund um die Uhr für Sie über das Geschehen in Deutschland und der Welt.
Zum journalistischen Leitbild von t-online.
News folgen
Vor einem Jahr landeten etliche private Daten von Prominenten und Politikern via Twitter im Netz – Rüdiger Trost von F-Secure schreibt in einem Gastbeitrag, wie sich der Fall heute verhindern ließe.
In der Adventszeit vor genau einem Jahr fand sich auf Twitter ein seltsamer Adventskalender: Über den Account @_0rbit wurden intime Informationen über eine Vielzahl deutscher Prominenter und Politiker verbreitet. Breite Aufmerksamkeit fand diese Aktion erst Anfang Januar 2018, als der Account des YouTubers Simon Unge gehackt wurde und darauf verwies. Betroffen war eine große Anzahl Politiker aus fast allen Parteien und bekannte Personen aus dem öffentlichen Leben wie Jan Böhmermann, Casper oder LeFloid. Was war geschehen? Und was ist seither geschehen?
Doxing – Schaden durch Veröffentlichung
Anders als in den ersten Zeitungsberichten Anfang Januar dargestellt, handelte es sich nicht um einen klassischen Hack und wohl auch nicht um einen "schwerwiegenden Angriff" auf unsere Demokratie. Die Betroffenen wurden "gedoxt", das bedeutet, dass Informationen über die Person gesammelt und veröffentlicht wurden, um dieser Person zu schaden.
Die Informationen können öffentlich zugänglich sein oder illegal durch meist einfache Verfahren erbeutet werden. Manchmal werden öffentliche Datenbanken wie Adressdatenbanken oder soziale Netzwerke durchsucht, manchmal werden geleakte Daten ausgewertet, manchmal werden die Opfer durch Phishing oder Social Engineering ausgespäht. Zum Teil kommen Doxer auch durch das Erraten schlechter Passwörter ans Ziel.
Rüdiger Trost ist Sicherheitsexperte bei F-Secure. In seiner leitenden Funktion berät er Unternehmen zu Themen rund um die IT-Sicherheit. Sein besonderes Anliegen ist die Implementation von Sicherheitskonzepten und Sicherheitslösungen insbesondere bei Unternehmen, die mit großen Kundendaten zu tun haben. Er fordert: "Zurückliegende Datenpannen hätten verhindert werden können. Unser eigentliches Problem ist es aber, dass wir aus solchen Vorfällen nicht lernen, weil wir das Thema Datenschutz nach wenigen Tagen wieder verdrängt haben. Das gilt sowohl für den Endkunden als auch Unternehmen sowie die Politik."
So handelt es sich beim Täter auch nicht um eine gut strukturierte Hackergruppe, sondern vermutlich um einen jungen, rechtsorientierten Aktivisten, der auf eigene Rechnung gehandelt hat. Er hat mit hohem Aufwand Daten zusammengesucht, die wohl bis zum Bundestags-Hack im Jahr 2015 zurückreichen.
Die Auswirkungen des Doxings sind für das Opfer höchst relevant, seine Persönlichkeitsrechte werden durch die unfreiwillige Veröffentlichung verletzt. Da die einmal veröffentlichten Daten nicht so leicht wieder aus dem Netz verschwinden, ist das Opfer gezwungen, Telefonnummern, Social-Media-Zugänge, E-Mail-Konten zu ändern, ja manchmal sogar im echten Leben Konsequenzen zu ziehen und zum Beispiel den Wohnort zu wechseln.
Was geschah nach dem Bekanntwerden?
Nach dem Doxing-Fall regte sich im Januar 2018 Protest, dass Politik und Justiz erst aktiv würden, wenn auch Politiker betroffen seien. Das BSI besaß wohl schon länger Kenntnis von dem Vorfall, das BKA dagegen nicht. Natürlich wurden im Januar die Betroffenen informiert, sie mussten schnellstmöglich ihre Accounts sichern und ihre Privatsphäre wiederherstellen. Der Hamburgische Datenschutzbeauftragte Johannes Caspar kritisierte, dass die sozialen Netzwerke wie Twitter in solchen Notfällen nicht schnell genug erreichbar waren, um die geleakten Informationen zu löschen.
Auch wenn bis heute kein so großer Fall eines Massen-Doxings erneut aufgetreten ist, ist das Problem nicht aus der Welt. Viele Journalisten, kritische Medienschaffende oder politisch engagierte Menschen – häufig Kämpfer für die Rechte von Minderheiten – werden Opfer des Doxings durch Extremisten, die dann ihre "Troll-Armeen" losschicken. Die Betroffenen werden auf Grundlage der bekannt gewordenen Daten mit E-Mails, am Telefon, in den sozialen Netzwerken oder sogar im "echten Leben" bedroht und eingeschüchtert.
Vorbeugen – daran führt kein Weg vorbei
Wer – wie die betroffenen Prominenten vor einem Jahr – einmal mühselig all seine Konten neu einrichten und versuchen musste, verbreitete Daten aus dem Netz löschen zu lassen, der weiß, dass es einfacher ist, vorzubeugen. Die wichtigsten Grundregeln für den Schutz der Online-Identität helfen auch gegen Doxing:
- Phishing vermeiden: Nicht auf E-Mail-Anhänge klicken etc.
- Social Engineering vermeiden: Rechner niemals ohne Sperre unbeaufsichtigt lassen, nicht bei der Passworteingabe beobachten lassen, keine vertraulichen Telefonate im öffentlichen Raum führen etc.
- Niemals vertrauliche Informationen am Telefon oder an der Haustür herausgeben.
- Stets aktuelle Virenschutz-Software nutzen und alle Security-Patches der Betriebssoftware installieren.
- Freies WLAN vermeiden, höchstens mit vertrauenswürdigen VPN nutzen.
- Apps auf dem Smartphone und in den sozialen Netzwerken keine Berechtigungen erteilen, keine Social-Log-ins nutzen.
- Passwortschutz beachten: Sichere Passwörter verwenden, nach Leaks und auch sonst bei Verdacht ändern, nach Möglichkeit Zwei-Faktor-Authentifizierung und Passwortmanager nutzen.
- Generell sparsam mit den Daten umgehen, gegebenenfalls anonyme Accounts nutzen, keine Ortsdaten preisgeben, keine Fotos mit identifizierbaren Objekten posten.
Immer noch die gleiche Gefahr
Trotz der großen Aufmerksamkeit, die der Doxing-Fall im Januar 2018 erzielte, hat sich technisch, rechtlich und netzpolitisch nicht viel geändert. Die damals Betroffenen, davon kann man ausgehen, werden sich persönlich besser abgesichert haben. Dennoch werden immer wieder neue Menschen Opfer dieser Online-Mobbingform, die auf ohne Zustimmung verbreiteten persönlichen Daten beruht. Viele Menschen kümmern sich schlicht zu wenig um den Schutz ihrer Online-Identität.
Dank der Einführung der DSGVO müssen Unternehmen nun verpflichtend auf Datenschutz und -sicherheit achten; in dem Zuge haben sich die SSL-verschlüsselten Internetauftritte durchgesetzt. Und immerhin wurde inzwischen beim Online-Banking die Zwei-Faktor-Authentifizierung verpflichtend, was den Zahlungsverkehr in der Praxis sicherer macht.
Doch all das hilft gegen Doxing nicht viel, solang die Nutzer selbst ihr Verhalten nicht anpassen. Wer schlechte Passwörter nutzt, auf Antivirensoftware verzichtet und die Gefahren des Phishings nicht kennt, der kann auch im Jahr eins nach dem "Twitter-Hack" ganz einfach zum Doxing-Opfer werden.
Und was tun, wenn’s passiert ist?
Wenn sich jemand Ihrer Daten oder Ihrer Accounts bemächtigt hat, versuchen Sie so schnell wie möglich, wieder Zugriff zu bekommen und das Passwort zu ändern. Falls der Log-in nicht mehr funktioniert, nutzen Sie die "Passwort vergessen"-Funktion. Falls auch die E-Mail-Adresse schon geändert wurde, melden Sie sich am besten telefonisch beim Support des jeweiligen Anbieters.
Wenn Sie auf Ihren PC Zugriff haben, prüfen Sie ihn zunächst auf Schadsoftware. Dann untersuchen Sie alle Profile, Kontaktdaten und App-Berechtigungen, um zu vermeiden, dass der Angreifer erneut Zugriff bekommt. Prüfen Sie die Postings in den sozialen Netzwerken und löschen Sie diese, falls sie nicht von Ihnen stammen. Informieren Sie die Empfänger, falls Sie im "Gesendet"-Ordner verdächtige E-Mails finden. Behalten Sie vor allem die Transaktionen auf Ihrem Konto und über die Kreditkarten im Auge.
Wenn alle schädlichen Folgen der Aktivität des Angreifers beseitigt sind, dann bauen Sie Ihr System von Grund auf sicher neu auf, mit Virensoftware, sicherem Passwortmanagement und all den oben genannten Maßnahmen.
