Doxing in Deutschland: Was wir aus dem vermeintlichen „Hackerangriff“ lernen können

Private Daten deutscher Politiker*innen und Prominenter wurden veröffentlicht. Der Fall zeigt, dass eigentlich niemand so recht auf das Leben in der vernetzten Welt vorbereitet ist.

Einen Monat lang veröffentlichte ein Twitter-Account Links zu privaten Daten deutscher Politiker*innen und Prominenter. Aufgefallen ist das erst, als es auch einem bekannterem Youtuber namens Simon Unge passierte – und dessen Account zur Weiterverbreitung genutzt wurde. Einige Tage lang herrschte helle Aufregung, überall war von einem „Hackerangriff“ die Rede, die Gerüchteküche kocht. Es stellt sich heraus: Schuld ist nicht etwa ein ausländischer Geheimdienst, sondern vermutlich ein 20-Jähriger, der bereits von den Behörden festgenommen wurde und geständig ist. Einen Teil der Daten, die er veröffentlichte, hat er nicht selbst erbeutet, sondern im Darknet eingekauft. Einige Hacks hat er wohl selbst vorgenommen, auch unter Zuhilfenahme der eingekauften Daten.

Das erklärt, warum die Daten so zusammengewürfelt wirkten – mal waren es nur allgemeine Adressangaben, mal Chatverläufe und Buchhaltungsdaten. Da auch Adressbücher von Politiker*innen und Fernsehjournalist*innen geleakt wurden, war die Zahl der Menschen aus der Polit-Blase, die betroffen waren, sehr hoch. Dass die AfD und ihre Politiker*innen überhaupt nicht betroffen waren, ist höchstwahrscheinlich kein Zufall. Der Beschuldigte gab laut der Polizei an, „sich über die Geschädigten wegen bestimmter öffentlicher Äußerungen geärgert“ zu haben. Die Behörden werten dies nicht als politisch motivierte Straftat, obwohl sehr vieles darauf hindeutet, wie Netzpolitik.org sehr gut zusammengefasst hat. Allerdings: Viele der Daten waren schon im Vorfeld im Umlauf, ein „Hackerangriff“ fand in dem Maß, in dem er ursprünglich vermutet wurde, nicht statt.

Das Veröffentlichen privater Daten nennt man „Doxing“, eine Praxis, die im Zuge der antifeministischen Gamergate-Bewegung aufkam und fatale Konsequenzen haben kann. Es ist bezeichnend, dass es einen medialen Aufschrei gibt, wenn dies Prominenten passiert, Leaks großer Kund*innendatenbanken jedoch kaum noch Schlagzeilen wert sind. Nachdem das Magazin „Addendum“ aufdeckte, dass die österreichische Post Adressdaten inklusive errechnter Partei-Affinität verkauft, ist Anzeige gegen das Unternehmen erstattet worden – eben weil die politische Gesinnung eine geschützte Eigenschaft ist. Die Recherche zeigt, dass – ganz legal – viele andere Daten verkauft werden: Affinität zu biologischen Lebensmitteln oder Investionen in Aktien, Lebensphase, Paketaufkommen, Umzüge. Die vielgeschundene DSGVO hat zumindest dafür gesorgt, dass diese Praxis dokumentiert werden konnte.

Die (vermeintliche) politische Gesinnung wurde aus den Wahldaten errechnet, war also recht fehleranfällig. Man kann sich also leicht ausmalen, welche Datensätze über einen selbst verkauft werden – nicht nur von der Post, sondern von sozialen Netzwerken und anderen Datensammel-Diensten, denen wir unsere Daten mehr oder weniger „freiwillig“ zur Verfügung stellen. Das hat die DSGVO nämlich nicht verbessert: Zwar gibt es theoretisch die Möglichkeit, sich der Sammelei zu widersetzen, in der Praxis klickt man aber auch als technisch versierte*r User*in schon mal auf „OK“, weil die Geduld einfach zu Ende ist.

So zeigt die Geschichte des „Hackerangriffes“ vor allem eins: Wir sind als Gesellschaft sehr schlecht auf das Leben in einer durchdigitalisierten Welt vorbereitet. Vielen Journalist*innen fehlt es an Fachwissen, um Informationen richtig einordnen zu können, außerdem giert das publizistische Ökosystem inklusive sozialen Netzwerken nach Schlagzeilen und mit heißer Nadel gestrickten „hot takes“, die sich meistens im Nachhinein als unnötige Spekulationen herausstellen. Viele Online-Angebote sind werbefinanziert und unterstützen aktiv die Bespitzelung der Nutzer*innen – und wer sich als Nutzer*in mittels Adblocker dagegen verteidigen will, wird oftmals von diesen Angeboten ausgeschlossen. Technisch wäre das alles auch anders möglich, aber umgesetzt wird natürlich die Option, die den Werbenetzwerken am besten passt.

Die meisten Nutzer*innen haben kaum einen Einblick darüber, ob ihre Daten gefährdet sind und wie sie sie schützen könnten – Systeme wie Zwei-Faktor-Authentifizierung nutzen die meisten höchstens beim E-Banking. Und jedes Jahr verrät die Hitliste der unsichersten Passwörter, dass immer noch viele glauben, „Passwort“ oder „123123“ seien gute Kennwörter. Für die Politik gilt dies ebenso: Es fehlt an Sachverständnis und einer guten Sicherheitskultur. Das ist natürlich auch in Luxemburg der Fall, wie der Fall ChamberLeak letztes Jahr zeigte. Da waren sensible Dokumente öffentlich zugänglich, und statt den Fehler einzugestehen, wurden die Überbringer der schlechten Nachricht als „Hacker“ angeklagt.

Anmerkung (19.02.2019): Die Information, dass der Beschuldigte Daten im Darknet eingekauft hätte, ist nicht gesichert und stimmt vermutlich nicht.


Kriteschen an onofhängege Journalismus kascht Geld - och online. Ënnerstëtzt eis! Kritischer und unabhängiger Journalismus kostet Geld - auch online. Unterstützt uns! Le journalisme critique et indépendant coûte de l’argent - en ligne également. Soutenez-nous !
Tagged , , , , , . Bookmark the permalink.

Comments are closed.