| BR24

 
 

Bild

Hackerangriff (Symbolbild)
© BR

Autoren

Bernd Martin Paulus
Wolfgang Vichtl
© BR

Hackerangriff (Symbolbild)

Am 03. Januar 2019 wurde bekannt, dass eine Person unter dem Twitternamen _0rbit den ganzen Dezember hinweg persönliche Daten von deutschen Politikern und Prominenten veröffentlicht hat, in einer Art "Adventskalender". Die vom Täter erstellten Übersichten zeigen persönliche Daten von etwa 1.000 Personen.

Nicht all diese Personen wurden wirklich "gehackt". Der mutmaßliche Täter hat die Online-Accounts von rund 50 Betroffenen geknackt. Große Teile der veröffentlichten Daten – wie Telefonnummern oder Adressen – sind aus den Dateien (etwa Telefonbüchern) der Betroffenen entnommen und dann zusammengefasst worden. Diese Form der Veröffentlichung persönlicher Daten im Internet wird als "Doxing" bezeichnet und ist ein in verschiedenen Formen bereits bekanntes Problem.

Die veröffentlichten Daten können grob in zwei Kategorien eingeteilt werden: Die vom Täter erstellten Übersichtsdateien für den "Adventskalender" zu den einzelnen Opfern und Parteien sowie Teile der Daten, die durch "Hacks" gestohlen wurden.

Der "Adventskalender"

Im "Adventskalender" des Täters wurde für jede Tür eine Übersichtsdatei erstellt und als Einstiegspunkt in die erbeuteten Daten verbreitet. Diese Übersichten enthalten reinen Text, sind jedoch gespickt mit sogenannter "ASCII-Kunst" - aus Buchstaben und Ziffern gestalteten kleinen Bildern. Bei mindestens einem Betroffenem wurde diese Textdatei wie eine Art Lebenslauf veröffentlicht. Bei mehreren Übersichten zu einzelnen politischen Parteien sind Namen durch "ASCII-Kunst" unterschiedlich hervorgehoben.

Bei den in den Übersichten zusammengefasste Daten handelt es sich meist um Telefonnummern und Privatadressen von Politikern und Prominenten. Bei den direkt "gehackten" Betroffenen sind Links zu erbeuteten Dateien und Hinweise vom Hacker auf bestimmte Ausschnitte in den privaten Daten enthalten.

Auffällig ist, dass einzelne Personen in den Listen vom mutmaßlichen Täter persönlich kommentiert wurden. Namen sind in "ASCII-Kunst" hervorgehoben und Passwörter für die erbeuteten Dateien weichen vom Standardpassworts des Täters ab . Vereinzelt sind auch schriftliche Kommentare zu Details in den geleakten Daten vorhanden.

Die Daten - zu wenig geschützt?

Die gestohlenen Dateien sind - auch das bestätigen die Behörden - überwiegend persönliche Dateien, wobei das Bundesamt für Sicherheit in der Informationstechnik einen Hack von Regierungsservern ausgeschlossen hat. Nichts deutet im Moment auf das Gegenteil hin. Viele der gestohlenen Daten stammen aus Facebook oder Facebook Messenger. Das dürfte heißen, dass die Betroffenen ihre Accounts unzureichend gesichert haben.

Der SPD-Politiker Florian Post hat gegenüber dem BR die Echtheit der erbeuteten persönlichen Daten bestätigt. Er weist aber ausdrücklich darauf hin, dass ihm dabei mindestens eine Datei zugeordnet worden sei, die nicht von ihm stamme. Deshalb gibt es erhebliche Zweifel, ob alle vom mutmaßlichen Täter veröffentlichte Dateien wirklich echt sind. Außerdem wurden viele Dateien offenbar aus ihren Zusammenhängen gelöst.

Wen wollte der Täter erreichen?

Offenbar wollte der mutmaßliche Täter möglichst viele erreichen. Es gibt viele Hinweise, wie die Daten möglichst effizient durchsucht werden können, zudem weist er auf ein Programm hin, mit dem die geleakten Dateien entschlüsselt werden können. Beides Hinweise, die bei einem technisch versierten Ziel-Publikum nicht nötig wären. Auch Medien scheinen nicht im Fokus gestanden zu haben. Der mutmaßliche Täter hatte manche betroffenen Personen mit Sternchen markiert, um hervorzuheben: "Wichtig". Für Journalisten ein unnötiger Hinweis.

Unerfahrener Täter?

Der Schaden hätte größer sein können, denn: der mutmaßliche Täter hat den "Adventskalender", der öffentlich Zugang zu den gestohlenen Dateien freigab, erst eher versteckt veröffentlicht. Viele der ersten Follower des entsprechenden Twitter-Accounts waren schlicht Bots.

Erst als der Leak über den ebenfalls erbeuteten Twitter-Account des bekannten Youtubers Unge verbreitet wurde, wurden mehr auf den Daten-Skandal aufmerksam. Das war an einem späten Donnerstagabend - über das folgende Wochenende kühlte das Interesse zunächst ab.

Was lernen wir daraus?

Dass es sich hier - wie die ermittelnden Behörden bestätigen - um einen eher unerfahrenen Hacker handelte ist keine wirklich beruhigende Erkenntnis. Dem mutmaßlichen Täter reichten wenige - aus dem Kinderzimmer heraus "gehackte" - Accounts, um zum Teil sehr persönliche Daten von rund 1.000 Prominenten und Politikern zu verbreiten. Stellt sich die Frage: Was hätten die Betroffenen, was kann also jeder selbst tun, um seine eigenen Daten besser zu schützen und – dies wird in diesem Fall besonders deutlich – auch die der eigenen Bekannten? Das Bundesamt für Sicherheit in der Informationstechnik hat dafür umfangreiche Tipps veröffentlicht. Das Datenleak zeigt, dass sie jeder kennen und vor allem befolgen sollte. Richtig angewendet wirken sie wie eine Schutzimpfung: die eigenen persönlichen Daten sind geschützt. Aber auch die Daten derjenigen Bekannten, welche sich auf den eigenen Geräten und Accounts befinden - etwa Telefonnummern und Adressen.

Sichere Passwörter

Starke und sichere Passwörter sind eine Grundvoraussetzung für sichere Daten. Passwörter sollten mindestens 8 Zeichen lang sein, besser länger. Auch sollten neben Buchstaben auch Zahlen und Sonderzeichen drin vorkommen. Groß- und Kleinschreibung sollte variieren. Wörter und im besonderen Namen sind keine guten Passwörter. Um sich dennoch ein Passwort gut merken zu können, gibt es Tricks: Aus einem Satz jeweils den ersten (oder zweiten/dritten/letzten) Buchstaben eines Wortes benutzen. Wenn im Satz Zahlen oder Sonderzeichen vorkommen, diese auch mit ins Passwort übernehmen. Ansonsten einzelne Buchstaben durch Zahlen und Sonderzeichen ersetzen.

Passwörter niemals doppelt verwenden. Dies gilt insbesondere für Passwörter von E-Mail und Social-Media Accounts, da diese Accounts dafür benutzt werden können bei anderen Diensten das Passwort herauszufinden - etwa durch Funktionen, um Passwörter zurück zu setzen.

Einen extra Schutz gibt die sogenannter Zwei-Faktor-Authentifizierung. Diese zu aktivieren ist äußerst ratsam, aber auch kein Allheilmittel. Zusätzlich zum Passwort wird für jeden Login-Versuch ein Code generiert, welcher per SMS gesendet wird oder per spezieller App abrufbar ist. Damit steht Angreifern ein weiteres Hindernis im Weg. Die Zwei-Faktor-Authentifizierung ersetzt jedoch kein starkes Passwort.

Disclaimer:

BR24 berichtet ausführlich über den Datenskandal und seine Folgen, auch mit dem Ziel, sensibler für Datenschutz zu machen. Mit den Details der offensichtlich gestohlenen Dateien gehen wir aber sehr zurückhaltend und vorsichtig um. Private Informationen, bei denen wir kein öffentliches Interesse erkennen können, veröffentlichen wir nicht. Viele der genannten Details wurden auch in den Pressekonferenzen des Bundeskriminalamtes/BKA nach Festnahme des Tatverdächtigen genannt und in der Pressekonferenz des Bundesinnenministers.