Netzwelt

Nach der großen Aufregung

Sechs Lehren aus dem Daten-Leak

Ein Verdächtiger ist gefunden, die Informationen über Politiker und Prominente bleiben in der Welt - und was jetzt? Aus dem Datenskandal lassen sich einige Erkenntnisse mitnehmen.

Getty Images

Rechner

Von , und
Donnerstag, 10.01.2019   18:30 Uhr

1. Wir brauchen ein Bewusstsein für Doxing.

Mit Doxing ist eine für viele neue Vokabel in den öffentlichen Diskurs eingezogen. Dabei ist Doxing kein neues Phänomen: Das Veröffentlichen gesammelter oder erbeuteter Daten ist im politischen Meinungskampf im Netz, aber auch in der Gamer- und YouTuber-Szene schon lange ein verbreitetes Mittel, um andere bloßzustellen oder einzuschüchtern. So verwundert es kaum, dass viele Menschen Donnerstag zum ersten Mal von "0rbit", dem mutmaßlichen Datendieb, hörten. Einige YouTuber dagegen berichteten dem SPIEGEL, er sei ihnen schon lange zuvor bekannt gewesen, etwa im Kontext älterer Doxing-Fälle.

So verbreitet Doxing in manchen Szenen ist, so wenig wurde bisher darüber gesprochen: Auf der Seite des Bundesamts für Sicherheit in der Informationstechnik (BSI) führt eine Suche nach dem Wort zu nur zwei Treffern. Und im jüngsten Jahresbericht der Behörde ist der Begriff gar nicht zu finden.

Doxing-Opfer stehen mit ihrem Problem oft allein da. "Wir müssen über die Auswirkungen von Doxing reden", fordert SallyIsG4y, der auf YouTube einen Meinungskanal betreibt. Der 33-Jährige ist einer der Betroffenen des Daten-Leaks von "0rbit": Ein SallyIsG4y gewidmeter Adventskalender-Tweet folgte auf den zu Rapper Sido. Die zu ihm veröffentlichten privaten Daten waren schon im Frühjahr im Netz gelandet, im Dezember wurden sie erneut ins Netz gestellt.

Der YouTuber erzählt, er sei schon beim ersten Vorfall zur Polizei gegangen. Die Reaktion auf seine Anzeige fand er unbefriedigend, SallyIsG4y spricht von "Schulterzucken" und Unwissen der Beamten, ob überhaupt eine Straftat vorliegt. Seinen Alltag habe das Doxing verändert, sagt SallyIsG4y: "Ich habe zum Beispiel weniger Videos gemacht. Und es gab Anrufe auf meiner Arbeit und bei meinen Eltern."

Schlimm sei nach einem Doxing auch die Ungewissheit, ob noch mehr Daten geleakt werden, sagt SallyIsG4y. Er meint: "Wir sollten auch darüber sprechen, weshalb jemand so etwas macht, was seine Motivation dafür ist."

Generell werden Netznischen wie die Welt der Gamer und Webstars oft noch immer zu wenig ernst genommen und beachtet. Das ist ein Problem, denn Teile der Gamer-Szene haben sich in den letzten Jahren politisiert und mitunter auch radikalisiert - ohne, dass die breite Masse davon Notiz genommen hätte.

Zwar bilden die Radikalen nur einen Bruchteil der Spielerschaft. Doch ihre Ideen und Taten nehmen viele junge Menschen über Plattformen wie YouTube, Twitch und Discord wahr. Wenn etwa das Bloßstellen einer Person jungen Menschen als legitimes Mittel erscheint, kann das langfristig das gesamtgesellschaftliche Klima vergiften.

2. Gefahren müssen realistisch eingeschätzt werden.

Der aktuelle Vorfall zeigt wieder einmal: Jeder hat etwas zu verbergen. Selbst wer meint, keinerlei Geheimnisse zu haben, verfügt über Daten anderer, die es zu schützen gilt. Telefonnummern im Adressbuch, E-Mails, Fotos und Dokumente - ein Hack des eigenen Postfachs oder Rechners kann womöglich Dritte härter treffen als den gehackten Nutzer selbst.

Die Bedrohung muss dabei nicht gleich von einem amerikanischen Geheimdienst kommen oder von einem Kollektiv aus russischen Profi-Hackern. Viel realistischer ist etwa ein Angriff von einem eifersüchtigen Ex-Partner, einem persönlichen Feind oder technisch versierten Nachbarn. Es könnte auch einfach irgendwer Unfug treiben - ein gelangweilter Schüler oder eine Horde Trolle mit politischer Agenda, die Daten ungefiltert in irgendeiner Ecke des Netzes ablädt.

Datenschützer haben oft Schwierigkeiten zu vermitteln, warum ihnen der Datenschutz so wichtig ist. Weil viele Nutzer immer noch glauben, ihre Daten würden niemanden "interessieren". Allerdings hat ein großer Leak wie dieser mit einem konkreten Interesse an bestimmten Daten nur bedingt etwas zu tun: Vieles von den veröffentlichten Informationen war für Außenstehende sterbenslangweilig - und trotzdem unangenehm für die Opfer.

3. Schluss mit dem Daten-Voyeurismus.

Doxing kann nur Wucht entfalten, wenn sich jemand die veröffentlichten Daten ansieht. Nur einer leakt die Daten - aber viele machen sich zu Gehilfen, indem sie die intimen Daten anderer Menschen ansehen, sich durch private E-Mails oder Chatverläufe wühlen, die Betroffenen bedrohen oder belästigen oder die Informationen weiterverbreiten.

Stimmenfang Podcast #81: Doxing - Wie Datenklau politische Gegner einschüchtern soll

"Ich gehe davon aus, dass die persönlichen Daten aus dem aktuellen Leak gerade zehntausendfach geteilt auf den Privatrechnern von Menschen in ganz Deutschland liegen - obwohl es das Persönlichkeitsrecht verletzt, wenn sie etwa Nacktfotos aus der Dropbox eines Politikers behalten", sagt der Rechtsanwalt Peter Hense SPIEGEL ONLINE.

Wer ein Recht auf Privatsphäre haben möchte, sollte dies auch anderen zugestehen. Deshalb: Finger weg von geleakten Daten.

4. Wir müssen uns schützen - und damit auch andere.

Internetnutzer sollten versuchen, ihre Daten möglichst gut zu sichern: Sie können die Zwei-Faktor-Authentifikation aktivieren, sich gute Antworten auf Sicherheitsfragen ausdenken oder starke Passwörter verwenden - die jeweils nur bei einem Dienst zum Einsatz kommen.

Ebenso kann man überprüfen, ob seine eigenen Daten vielleicht schon Teil eines größeren Datenlecks waren. Digitale Selbstverteidigung schützt nicht nur den Nutzer selbst - sondern auch Dritte.

5. Sicherheit muss die Grundeinstellung sein.

Auch Anbieter sind in der Pflicht. Sie sollten zum Beispiel Mindeststandards für sichere Passwörter vorgeben und Nutzer vor dämlichen Fehlern warnen, etwa davor, "passwort" als Passwort zu verwenden, wie es etwa bei den populärsten deutschen Mailanbietern GMX und Web.de möglich ist.

Allgemein ließe sich das Ausmaß von Doxing-Fällen oft zumindest eingrenzen, wenn Tech-Firmen auf Hinweise dazu schneller reagieren würden - etwa, indem sie Konten sperren, die eindeutig fürs Doxing genutzt werden. Der Daten-Adventskalender von "0rbit" beispielsweise war zum Entsetzen der Betroffenen noch bis zum Freitag abrufbar.

Betroffene - erst recht, wenn sie große Accounts betreiben - brauchen zudem Ansprechpartner für den Fall, dass ihre Konten gekapert wurden. Beim SPD-Bundestagsabgeordneten Helge Lindh hat es vier Wochen gedauert, bis er die Kontrolle über sein privates E-Mail-Konto wiedererlangt hatte.

6. Die Politik braucht einen Plan.

Auch Politik und Sicherheitsbehörden könnten effizienter arbeiten als bisher: Die Ankündigung, das Cyberabwehrzentrum in Bonn zu einem "Cyberabwehrzentrum plus" auszubauen, hilft nicht gegen Doxing, solange die Regierung das Phänomen nicht ernst nimmt.

Der Leak könnte aber ein Weckruf sein. Damit einzelne Vorfälle und Anzeigen von Betroffenen schneller als Teil eines größeren Angriffs erkannt werden, ist es wichtig, Kompetenzen zu bündeln und die Koordination zwischen den Strafverfolgungsbehörden zu verbessern. Doxing-Fälle sollten zentral erfasst werden.

Der IT-Sicherheitsexperte Sven Herpig vom Thinktank Stiftung Neue Verantwortung hält zudem "eine behördenübergreifende permanente Task Force zum Schutz der Wahlen, Parteien und Politiker" für sinnvoll. Er schlägt zudem höhere IT-Sicherheitsstandards für Parteien und beruflich genutzte Accounts von Politikern vor. "Auf freiwilliger Basis könnten diese Vorgaben dann auch auf private Accounts angewendet werden", sagt Herpig dem SPIEGEL.

insgesamt 39 Beiträge
baynado 10.01.2019
1. kein Mitleid
ich habe kein Mitleid mit den Politikern und den Personen des öffentlichen Lebens. Beide Pesonenkreise leben von Öffentlichkeit. Die Politiker selber gehören einem Datenhungrigen Apparat und schaffen selber immer wieder neue [...]
ich habe kein Mitleid mit den Politikern und den Personen des öffentlichen Lebens. Beide Pesonenkreise leben von Öffentlichkeit. Die Politiker selber gehören einem Datenhungrigen Apparat und schaffen selber immer wieder neue fatenhungrige Bürokratiemonster. Selbst die vielleicht gutgemeinte DSGVO war ein Schuss in den Ofen und hat zu mehr abstumpfung bei Dstenschutzfragen der Nutzer geführt.
ramuz 10.01.2019
2. Und zur Heilung der Grippe tragen Taschentücher bei ...
Der wichtigste und wohl einzig wirklich nützliche Tip kann doch nur der sein: einfach nix "ins Internet" ( was allein schon aussagen würde, dass der/die Postende keine Ahnung hat, und schon gar keine davon, wo [...]
Der wichtigste und wohl einzig wirklich nützliche Tip kann doch nur der sein: einfach nix "ins Internet" ( was allein schon aussagen würde, dass der/die Postende keine Ahnung hat, und schon gar keine davon, wo allüberall ihre/ seine Daten landen ) zu kopieren. Der Artikel gibt lediglich das Problem kaschierende Plattitüden wieder. Man erhofft sich doch vom SPON deutlich mehr und Deutlicheres.
muekno 10.01.2019
3. Meine Lehre daraus
unser Politiker DAUs sind für das #Neuland Internet zu bl... und wissen Ihre Daten nicht zu schützen, Alle schwafeln von starken Passwörtern aber selber benutz haben sie sie wohl nicht und der Umgang mit Facebook, Twitter, [...]
unser Politiker DAUs sind für das #Neuland Internet zu bl... und wissen Ihre Daten nicht zu schützen, Alle schwafeln von starken Passwörtern aber selber benutz haben sie sie wohl nicht und der Umgang mit Facebook, Twitter, Dropbox und was das sonst kreucht und fleucht ist zu lasch. Frage mich eh warum Politiker sowas Nutzen oder meinen Nutzen zu müssen, die Daten liegen in den USA und sicher sind sie auch nicht, das weiss man schon lange. jedenfalls mein größte Hochachtung vor der Fleissarbeit des Jungen der die Daten (alle mit Sicherheit irgendwo im Netz) zusammengetragen hat. Hier wurde sicher nichts gehackt und nichts geleakt nur gut zusammengefasst. Das kann nicht strafbar sein, sonst müsste sich jeder Journalist strafbar machen weil er öffentlich zugängliche Information neu aufbereitet und publiziert.
kein-freund-von-despoten 10.01.2019
4. Ist wohl für (zu) viele Neuland
Vielleicht sollten Sie, liebe Spiegel Autoren, ihren Artikel der werten Frau Bürgermeisterin Blum aus Homburg (Zitat "Es gibt einen gewissen Stolz, dass es jemand war, der von hier kommt") als Kunstdruck o.ä. zukommen [...]
Vielleicht sollten Sie, liebe Spiegel Autoren, ihren Artikel der werten Frau Bürgermeisterin Blum aus Homburg (Zitat "Es gibt einen gewissen Stolz, dass es jemand war, der von hier kommt") als Kunstdruck o.ä. zukommen lassen. Manche Leute verstehen einfach immer noch nicht, dass das kein Dummer-Jungen-Streich war. Ob die Frau Bürgermeisterin immer noch so stolz ist, wenn ein Mitbürger ihrer Stadt zu einer saftigen Summe Schadensersatz in Tausenden von Zivilfällen verdonnert wird? H4 auf Lebenszeit !
sotraluz 10.01.2019
5. Nicht die Politik, der USER braucht einen plan.
Wer seine Daten überall verstreut, aus welchem Grund auch immer, dem werden sie früher oder später um die Ohren fliegen. Trotz starkem Password, Zweifaktor und was auch immer. No mercy.
Wer seine Daten überall verstreut, aus welchem Grund auch immer, dem werden sie früher oder später um die Ohren fliegen. Trotz starkem Password, Zweifaktor und was auch immer. No mercy.

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH

TOP