mobil.teltarif.de
zum Galaxy S10 Plus Gewinnspiel
Suche Desktop-Version
Menü
06.01.2019 - 13:30
Fragen & Antworten

Wie ein Datendiebstahl die Republik in Aufruhr versetzt

Nach Hackerangriff bleiben einige Fragen noch offen

Wer private Daten von sich plötz­lich online findet, erlebt einen Schock wie bei einem Einbruch. Genau so erging es in den vergan­genen Tagen nicht nur Hunderten von Poli­ti­kern, sondern auch mehreren Promi­nenten aus dem Musik- und Fern­seh­ge­schäft. Ihre Handy­num­mern und manchmal auch ihre Fami­li­en­fotos, Konto­daten und Chats waren auf einem Twit­ter­konto veröf­fent­licht worden.

Wie wurden die Daten veröf­fent­licht?

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Bild: dpa

Über das inzwi­schen gesperrte Twitter-Konto @_0rbit hat ein Unbe­kannter im Dezember 2018 eine Art Advents­ka­lender veröf­fent­licht. An jedem Tag stellte er einen Link zu einem neuen Daten-Fundus online, anfangs zu promi­nenten Künst­lern wie Til Schweiger und Jan Böhmer­mann, ab dem 20. Dezember dann zu einzelnen Parteien. Manche Daten machte er auch schon vorher öffent­lich.

Wie wurde die Veröf­fent­li­chung den Behörden bekannt?

Am Donners­tag­abend erhielt der ehema­lige SPD-Kanz­ler­kan­didat Martin Schulz mehrere Nach­richten und Anrufe, darunter die Whatsapp-Nach­richt eines ihm Unbe­kannten. Da die Handy­nummer des SPD-Poli­ti­kers nicht öffent­lich zugäng­lich ist, verstän­digte ein Mitar­beiter von ihm die Polizei. Das rbb-Info­radio berich­tete als Erstes über die Veröf­fent­li­chungen auf Twitter.

Was weiß man über die Opfer des Angriffs?

Außer Schulz sind vom Bundes­prä­si­denten über Landes­mi­nister bis hin zu Fern­seh­mo­de­ra­toren mehrere Hundert Personen betroffen. Bei knapp der Hälfte von ihnen handelt es sich um CDU- und CSU-Poli­tiker, darunter Kanz­lerin Angela Merkel und die CDU-Partei­vor­sit­zende Anne­gret Kramp-Karren­bauer. Auf der SPD-Liste stehen 230 Namen, etwa Partei­chefin Andrea Nahles, bei den Grünen und den Linken je etwa 100, bei der FDP 28. Die AfD ist die einzige Partei, die nach derzei­tigem Stand nicht von dem Daten­klau betroffen ist.

Um welche Daten handelt es sich genau?

Die Band­breite ist groß: Von den aller­meisten werden nur Tele­fon­num­mern genannt, vor allem Handy­num­mern, oft auch interne Briefe und Bewer­bungs­schreiben. In wenigen Fällen wurden auch sehr private Infor­ma­tionen veröf­fent­licht, darunter Chats mit Fami­li­en­mit­glie­dern. Unklar ist, wie viel davon authen­tisch ist.

Viele dieser Daten sind vertrau­lich, andere wären ohnehin öffent­lich zugäng­lich. Einige sind auch veraltet. Im Eintrag zu Heiko Maas (SPD) findet man zum Beispiel die offi­zi­elle Nummer des Justiz­mi­nis­te­riums - nur arbeitet der heutige Außen­mi­nister Maas dort schon seit März 2018 nicht mehr. Auch bei dem eben­falls betrof­fenen Mode­rator Jan Böhmer­mann handelt es sich nicht um aktu­elle Daten. Böhmer­manns derzei­tige Adresse sei nicht dabei, sagte sein Manager.

Wie kam der Täter an die Daten heran?

Daten­dieb­stähle werden häufig über Angriffe auf Mail-Konten ausge­führt. Die Täter könnten etwa versu­chen, schwache Pass­wörter zu erraten oder den Opfern über mit Schad­soft­ware infi­zierte E-Mails die Zugangs­daten abzu­luchsen. Haben die Täter dann einen Zugang zu dem E-Mail-Konto, stehen Tür und Tor offen. So kann man dadurch häufig auch die Pass­wörter von sozialen Netz­werken neu vergeben, wenn die nicht durch zusätz­liche Schutz­maß­nahmen abge­si­chert sind.

Die veröf­fent­lichten Daten stammen aller­dings nicht nur aus einer Quelle. Zum Teil geis­tern sie schon seit Monaten durch das Internet, zum Teil handelt es sich um Bestände, die erst vor kurzer Zeit erbeutet wurden. Ob der Nutzer des Twitter-Accounts, über den die Links verbreitet wurden, selbst an den verschie­denen Daten­ein­brü­chen betei­ligt war, ist derzeit noch nicht klar. Er könnte auch mit viel Aufwand Daten­be­stände zusam­men­ge­führt haben, die bereits zuvor im Netz standen.

Wie haben die Betrof­fenen reagiert?

Die Grünen-Poli­tiker Robert Habeck und Konstantin von Notz, zwei der Haupt­be­trof­fenen, haben Straf­an­zeige gegen unbe­kannt erstattet. Auch die FDP im Bundestag hat juris­ti­sche Schritte einge­leitet.

Was weiß man über den Täter?

Die Gene­ral­staats­an­walt­schaft Frank­furt am Main, deren Zentral­stelle zur Bekämp­fung der Inter­net­kri­mi­na­lität (ZIT) die Ermitt­lungen führt, will sich derzeit aus takti­schen Gründen nicht äußern. Auch das BKA weiß nach eigenen Angaben noch nicht, wer der Täter ist und aus welchen Motiven er gehan­delt hat.

Wie kann man in einem solchen Fall den Täter iden­ti­fi­zieren?

Die Ermittler werden sich unter anderem mit dem Twitter-Konto beschäf­tigen. Der Account wurde bereits 2015 einge­richtet und hat nach Infor­ma­tionen des Fach­por­tals heise.de ursprüng­lich dem Youtuber Yannick Kromer gehört, auch bekannt als Dezz­troyz. Später habe aber jemand anderes das Konto über­nommen. Ermittler versu­chen nun heraus­zu­finden, wer zuletzt das Konto kontrol­liert hat. Ob der aktu­elle Nutzer ermit­telt werden kann, hängt auch davon ab, wie viel Mühe sich der Täter bei der Verschleie­rung seiner Tat gemacht hat.

Andere Ermitt­lungs­ar­beiten werden sich auf die erbeu­teten Daten fokus­sieren. Wann und wie ist es den Angrei­fern beispiels­weise gelungen, das Mate­rial aus den Konten der Grünen-Poli­tiker Habeck und von Notz zu stehlen? Diese Täter müssen wiederum nicht unbe­dingt etwas mit dem Inhaber des Twitter-Kontos zu tun haben.

Wie können Daten­klauer straf­recht­lich belangt werden?

Laut dem soge­nannten Hacker­pa­ra­grafen im Straf­ge­setz­buch (§ 202a) ist es illegal, wenn sich jemand Zugang zu Daten verschafft, "die nicht für ihn bestimmt und die gegen unbe­rech­tigten Zugang beson­ders gesi­chert sind". Das StGB sieht dafür eine Geld­strafe oder bis zu drei Jahre Haft vor. Strafbar macht sich auch, wer Daten abfängt, entspre­chende Compu­ter­pro­gramme herstellt oder verbreitet oder mit ausge­spähten Daten handelt.

Sichere Pass­wörter brau­chen die rich­tige Länge und sollten aus Buch­staben, Ziffern und Sonder­zei­chen bestehen. Wir zeigen Ihnen, wie Sie ein sicheres Pass­wort gene­rieren, das Sie sich trotzdem leicht merken können.

Wurden Ihre Zugangsdaten schon einmal gehackt und möglicherweise missbraucht? Das können Sie hier überprüfen.


Mehr zum Thema veröffentlichte Daten im Internet

dpa /

[Newsübersicht] RSS [Newsversand]