Doxing: Der Kampf um Datensicherheit wird auf unseren Computern entschieden

Nach dem Doxing-Angriff auf Politiker und Prominente liegen nun zahlreiche Reaktionen und Vorschläge für Gegenmaßnahmen auf dem Tisch. Wir haben sie angeschaut und bewertet. Ein Kommentar.

In Sachen Datensicherheit brennt die Bude schon länger. Es braucht nun sinnvolle Maßnahmen. (Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com Hush Naidoo

Die Aufregung war groß. Die Bild-Zeitung sprach von einem Hacker-Angriff auf Deutschland und rief in giftgrünem Layout einen „Cyber-Alarm“ aus. Doch am Ende war es nur ein 20-jähriger Mann, der mit viel Eifer und Geschick, aber wenig technisch elaboriert viele Daten von Politikern und Prominenten sammelte – und öffentlichkeitswirksam im Internet publizierte. Der anfangs von vielen Medien als großer Hack eingeordnete Datendiebstahl fiel mehr und mehr in sich zusammen.

Der Angreifer ist eher ein so genanntes Scriptkiddie als ein echter Hacker. Am Ende blieb das, was die Fachwelt Doxing nennt: das Zusammentragen und Veröffentlichen personenbezogener Daten. Doxing ist im besten Fall jugendliche Angeberei, im schlechtesten Fall eine strategische Einschüchterung von politischen Gegnern. Die jetzige Attacke liegt vermutlich irgendwo dazwischen, hatte der junge Mann aus Nordhessen dem Angriff doch einen erkennbar rechten Drall verpasst und sich zuvor in einschlägigen Foren rechtsextrem geäußert. Auffällig war auch, dass er die rechtsradikale AfD bei seinen Veröffentlichungen aussparte, während Prominente wie Jan Böhmermann, die sich gegen rechte Umtriebe engagieren, besonders in den Fokus gerieten. Das Bundeskriminalamt will dennoch keinen politisch motivierten Hintergrund der Tat sehen.

Die große persönliche Betroffenheit von Politikern führte schnell zu einer breiten und überfälligen Debatte um Datensicherheit – und direkt zu Vorschlägen, wie solche Angriffe in Zukunft verhindert und auch die Bürgerinnen und Bürger besser geschützt werden könnten. Diese Diskussion ist erst einmal gut, auch wenn der Auslöser den Betroffenen schadet. Denn der Vorfall zeigt schmerzhaft, wie schlecht die Daten vieler Menschen vor unbefugtem Zugriff geschützt sind.

Breite Debatte um Datensicherheit

So machte auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) keine gute Figur. Es wurde schon im Dezember 2018 auf einzelne Fälle aufmerksam gemacht, brachte diese aber bis zur Veröffentlichung der gesamten Daten am 3. Januar offenbar nicht im Zusammenhang. Bundesinnenminister Seehofer (CSU) versprach der Behörde 350 neue Stellen. Das ist ein richtiger Schritt, doch wichtiger wäre es, das BSI als unabhängige Behörde aufzubauen. Derzeit ist es dem Innenministerium unterstellt.

Nur ein unabhängiges BSI könnte auch zum Schutz des Bundestagsnetzwerks und der Abgeordneten eingesetzt werden. Bisher kann das BSI hier nur beratend und unterstützend tätig werden, die Regierungsnetze schützt es jedoch operativ. Solange das BSI dem Innenministerium unterstellt ist, ist eine solche Konstellation für den Bundestag schwer verstellbar: Die Exekutive hätte sonst Einblick in die Netze, Daten und Kommunikation der Legislative.

Bundesinnenminister Seehofer (CSU) sprach als Reaktion auf den Doxing-Fall vom Aufbau eines „Cyber-Abwehrzentrum Plus“, konkretisierte die Pläne aber nicht. Außerdem kündigte sein Ministerium ein neues IT-Sicherheitsgesetz an, das eine bessere Früherkennung der Veröffentlichung gestohlener Daten ermöglichen solle. Aussagen des Innenstaatssekretärs Stephan Mayer (CSU) in der ZDF-Sendung „Maybritt Illner“ am Donnerstagabend deuten darauf hin, dass es sich dabei um eine Echtzeit-Überwachung der gesamten Kommunikation in sozialen Netzwerken handeln könnte. Eine solche Überwachung würde jedoch einen schwerwiegenden Eingriff in Grundrechte darstellen.

Neue Grundrechtseingriffe durch Frühwarnsystem?

Im Gespräch sind auch gesetzliche Regelungen, die eine schnellere Reaktionszeit von sozialen Netzwerken wie Twitter verlangen. Der jugendliche Angreifer hatte mehrere Accounts auf dem Kurznachrichtendienst zur Verbreitung seiner Veröffentlichungen genutzt. Der Dienst sperrte erst einige Stunden nach Hinweisen die Accounts, allerdings hatten da schon viele Nutzer die Daten gesehen und weiterverbreitet. Eine geringere Reaktionszeit könnte zwar die Verbreitung solcher Veröffentlichungen eindämmen, bringt aber auch Probleme mit sich. Die von staatlichen Stellen angefragten Unternehmen hätten nur sehr wenig Zeit, den Fall selbst zu überprüfen und (juristisch) einzuschätzen. Es bestünde die Gefahr, dass zu viel gesperrt und gelöscht würde, wenn staatliche Stellen auf Zuruf und ohne Gerichtsbeschluss die Löschung von Inhalten und Accounts – unter Androhung von Strafgeldern – erwirken können. Hier wäre ein Eingriff in das Grundrecht auf Meinungsfreiheit die Folge.

Den wohl unsinnigsten Vorschlag in der Debatte machte der Union-Fraktionsvize Thorsten Frei. Er forderte, man solle die rechtlichen Rahmenbedingungen für einen „Hackback“ schaffen. Darunter versteht man eine Art digitalen Gegenschlag nach dem Motto „Angriff ist die beste Verteidigung“. Diese Art von Gegenangriffen sind mit mannigfaltigen rechtlichen Problemen verbunden und nicht immer technisch sinnvoll. Sie sind es definitiv nicht in einem Fall, wo Nutzerinnen und Nutzer schlechte Passwörter benutzen, deswegen ein Angreifer an persönliche Daten gelangt und diese dann im Netz breitflächig veröffentlicht. Der staatliche digitale Gegenschlag müsste in diesem Fall die Server von Twitter, aber auch die von zahlreichen Internet-Hostern, auf denen die personenbezogenen Daten lagern, attackieren, diese lahmlegen und vielleicht sogar die Daten auf diesen Servern löschen, um die Verbreitung abzustellen. Das ist mit keinem Recht der Welt vereinbar.

Defensive Strategie und Aufbau von Digitalkompetenz nötig

Überhaupt schwächt staatliches Hacking die IT-Sicherheit für alle Bürger. Dies zeigt der Einsatz von Staatstrojanern. Diese Maßnahme wurde in den letzten Jahren auf Bundesebene und in vielen Bundesländern eingeführt. Für den Einsatz von Staatstrojanern benötigt man Sicherheitslücken in Computerprogrammen. Wird der Staat zum Hacker, der seine Staatstrojaner nutzen will, hat er plötzlich ein Interesse, dass diese Sicherheitslücken offen bleiben. Dafür muss er sie selbst finden oder auf dem Schwarzmarkt einkaufen. Staatstrojaner und Online-Durchsuchungen sind also nicht nur aus bürgerrechtlicher Sicht eine Bedrohung, sondern auch für die Datensicherheit aller.

Weit sinnvoller als staatliches Hacking ist eine breit angelegte Kampagne zur Verbesserung der Datensicherheit. Neben einer personellen Stärkung der Datenschutzbehörden könnte digitale Kompetenz unterschiedlichster Zielgruppen gefördert werden, damit diese lernen, wie sie sich besser schützen. Dabei ist Datensicherheit nur ein kleiner Teil der zu vermittelnden Digitalkompetenz.

Frank Rieger vom Chaos Computer Club schlug im ZDF eine defensive Cyberstrategie mit über lange Zeit fortgesetzten Investitionen in sichere Informationstechnik vor: „Der beste Ansatz dazu ist die staatliche Finanzierung einer breiten Landschaft von Open-Source-Komponenten, die in sicheren Programmiersprachen nach modernen Kriterien geschrieben, regelmäßig auditiert und die auch kommerziell verwendet werden können.“ Zu diesen Werkzeugen gehören auch Passwortmanager und eine einfach zu bedienende E-Mail-Verschlüsselung, die dahingehend entwickelt werden müssen, dass sie überall funktionieren und leicht zu bedienen sind. Denn ein großer Teil der Schlacht um Datensicherheit kann nur auf den Computern und Smartphones der Bürgerinnen und Bürgern gewonnen werden.

Für die Stärkung der Datensicherheit und des Datenschutzes kann viel getan werden. Bislang ist nur ein kleiner Teil der Vorschläge aus der Politik dazu geeignet, vergleichbare Fälle in Zukunft zu einzudämmen oder zu verhindern. Es wird sich allerdings zeigen müssen, ob die Politik sinnvolle Maßnahmen ergreift oder solche, die wieder einmal die Grundrechte der Bürgerinnen und Bürger beschneiden.

11 Ergänzungen
  1. „… Solange das BSI dem Innenministerium unterstellt ist, ist eine solche Konstellation für den Bundestag schwer verstellbar: Die Exekutive hätte sonst Einblick in die Netze, Daten und Kommunikation der Legislative …“

    Gerade hier stelle ich mir die Frage, wie es denn um den Kern der Demokratie, der Gewaltenteilung, bestellt ist ?
    Wie funktioniert die vom Grundgesetz gewollte strikte Trennung bezüglich der „Digitalisierung“ in den Bereichen Datenaustausch, Service, Wartung, Geheimdienste, Vernetzung, usw. ?

    „… Investitionen in sichere Informationstechnik vor: „Der beste Ansatz dazu ist die staatliche Finanzierung einer breiten Landschaft von Open-Source-Komponenten …“

    Das wäre mal eine gute Maßnahme, um tatsächlich „soziale“ Netzwerke entstehen zu lassen, statt den kommerzellen Netzwerken Facebook/Twitter ihre Monopolstellung auch noch von staatlicher (Polizei), politischer (Parteien) oder öffentlich-rechtlicher (Fernsehsendungen) Seite zu unterstützen, was für mich zudem noch Steuergeldverschwendung bedeutet.

  2. ‚Für den Einsatz von Staatstrojanern benötigt man Sicherheitslücken in Computerprogrammen.‘

    Stimmt nicht. Es gibt eine menge an Möglichkeiten durch ’social engineering‘ (eg. Phishing) einen Trojaner zu installieren. Dieser muß auch nicht unbedingt Sicherheitslücken bedienen um private Inhalte preiszugeben.

    Womit ich nicht sagen will das der Staat nicht auch die Sicherheitslücken ausnutzen will. Nur das der zugriff auf sensible Daten mit List und Tücke genausogut zu bewerkstelligen ist. Die ‚Gefahr der Sicherheitslücken‘ beim Staatstrojaner spiegelt ein bißchen die Polemik der Sicherheitsorgane (die Gefahr, Gefahr, Gefahr!) und sollte nicht das Haupt Argument unsere Kritik sein. Und so wie wir die Sicherheits- Polemik für lächerlich halten, werden uns die Sicherheitsorgane beschmunzeln wenn wir uns solche bedienen.

    Und das die Gefahr für die Öffentlichkeit nur durch bewußtes agieren, Digitalkompetenz, gebannt werden kann hast‘ ja scho‘ j’sagt :)

  3. Der Gesetzgeber muss wegen dieses Experten für Doxxing nicht aktiv werden. Er wurde schon früher geschnappt, als er Kollegen i.w.S. aufs Korn nahm. Ist ein Wiederholungstäter mit nicht gerade gefestigtem Charakter. Das sollte beim Strafmaß berücksichtigt werden. Dabei geht es zusätzlich um die 50 oder 60 Nasen, deren Daten nicht aus öffentlich zugänglichen Quellen zu stammen scheinen. Was zu beweisen wäre. Das Strafmaß sollte nicht zu milde ausfallen.

    Das dürfte ähnlich gelagerten Typen, die Freude an ihrem Treiben im Vergleich zur Strafe falls sie geschnappt würden, besser abwägen lassen.

    Ich persönlich halte es für einen ganz dummen Einfall immer und überall nach dem „Staat“ zu rufen. Alle Parteien versuchen seit 2001 soviel Durcheinander zu schaffen, dass niemand mehr die Realität erkennt. Die besteht darin, dass alle Bundesregierungen nach Kohl erhebliche Defizite beim Umgang mit dem Grundgesetz und dem geltenden Recht zeigten. Selbst wenn das Verfassungsgericht sie zurückpfiff, versuchten sie irgendwelche Winkelzüge, wie wir jetzt bei den Staatstrojanern und beim Austausch der Richter am Verfassungsgericht durch politisches Personal erkennen.

  4. Also mir passt die unglaubliche Doppelmoral unserer Regierung nicht. Späht sie doch alle Bürger permanent und umfassend aus, und speichert all diese Daten auch noch. Und nun regen sich diese moralfreien Menschen darüber auf, dass jemand genauso mit ihnen umgeht. Nicht, dass ich dessen Motive gut heisse. Trotzdem, wer mit dem Finger auf den anderen zeigt, aber heimlich dasselbe – nur wesentlich schlimmer – betreibt, der hat seine Glaubwürdigkeit und die demokratische Legitimation verwirkt. Ich habe die Skandale, die Snowden aufgedeckt hat, jedenfalls nicht verdrängt.

    Und abgesehen davon, wenn so ein Pseudohacker schon die Kanzlerin hacken kann, dann wird offensichtlich, mit wie wenig Disziplin die Regierung selbst mit den eigenen Daten umgeht. Die Regierung benutzt gmail – echt jetzt?

    An allen Ecken fehlt es an strengen Regeln für unsere Politik, die zu persönlichen Konsequenzen führen können, bei Überschreitung. Die bewegen sich quasi in einem rechtsfreien Raum.

  5. „Doxing: Der Kampf um Datensicherheit wird auf unseren Computern entschieden“

    Die Computer selbst dürften relativ selten angegriffen werden. Die Gefahr dort sind Browseraddons und bei Windows auch „freeware-Programme“, auch die Betriebssysteme selbst (siehe AGB Win10, aber nicht nur Microsoft). Microsoft sagt rotzfrech friss oder stirb, ich behalte mir vor nach Belieben auf „deinem“ Rechner rumzumüllen. Das nennen die allen Ernstes „Service“. Bei Smartphones dürfte es hoffnungslos aussehen. Bei beiden werden auch mit höchst zweifelhaften Mitteln, die an Trojaner und Man in the Middle-Angriffe erinnern, sogar dem Browser selbst, Daten abgezogen. Auch Mozilla Firefox in seiner Normalausführung ist ein sehr guter Freund von Google und AMAZON. Dazu kommt das allseits „beliebte“ Tracking.

    Die mediale Diskussion zum Thema Doxing macht einen aufgeblasenen Eindruck. Was der rechtsdrallige eher Aufmerksamkeit heischende Depp da veröffentlichte war rein garnichts im Vergleich zu dem, was professionelle Datenkraken und staatliche windige Gesellen treiben. Er hat nur kleinere Datenschnipsel aus dem Leben der Betroffenen gezeigt. Das war z.T. peinlich genug. Was wäre, wenn irgendwelche Provider oder staatliche Datensauger/Geheimdienste mal vollständige Datensätze zeigten?

    Der Kampf um Datensicherheit wird in unseren Köpfen entschieden. Wir selbst sind diejenigen, die manchmal Dinge preisgeben, die nicht jeder wissen muss. Meine Empfehlungen wären Datengeiz und bei unvermeidbaren Daten Verschlüsselung.

    1. Schöne Idee, aber…

      Datengeiz: wie willst dann telefonieren (Vgl. Kommentar siehe unten) oder Deine Steuererklärung abgeben? Auto fahren nur noch mit einem Oldtimer, der dann aber in gewissen Städten nicht mehr erlaubt ist.

      Verschlüsselung: jedem Empfänger jetzt vorab eine erdachte Codierung per Post zukommen lassen? Für jedes Schloss gibt es doch einen Schlüssel. Umso mehr Schlösser baugleich sind, umso mehr lohnt sicher die Anfertigung eines Schlüssels.

      Doxing: mag sein, aber war es wirklich ein 19/20 jähriger? Erinnert ja fast an die Story von Karl Koch. Damals waren es wohl auch das Problem mit den Passwörtern. Warum redet eigentlich keiner über die Nutzung von Bots. Wenn man einigen Seiten Glauben schenken mag, wurden doch genau die Politikerkreise genutzt, die sich wohl gegen die Anwendung von Bots im Wahlkampf ausgesprochen haben.

  6. Welchen Straftatbestand soll denn der Doxer erfüllt haben?

    Da gibt es § 202a StGB. Der setzt voraus, dass er sich Zugang zu Daten verschafft hat, die gegen unberechtigten Zugang BESONDERS gesichert sind. Hat er das getan?

    Andernfalls gilt Art 5 GG. Danach darf sich jeder aus allgemein zugänglichen Quellen informieren. Diese Informationen darf er im Rahmen der Meinungsfreiheit öffentlich kundtun.

    Wenn er also auf Facebook Gepostetes abgreift und weitergibt, ist das nichts weiter als die Ausübung von Grundrechten. Oder will jemand die Daten auf Facebook ernsthaft als „besonders gegen unberechtigten Zugang gesichert“ bezeichnen?

  7. Datensicherheit gibt es doch in keinerweise. Z.B. Telekom !
    Die analogen Zugänge ins >Internet werden abgeschaltet. Der Kunde MUSS dann
    zu Magenta-Home.
    Obwohl Keine Abbuchungserlaubnis bisher vorliegt, hat sich die TELEKOM schonmal
    die Kontodaten(aus den Überweisungen) gespeichert und will nach der Umstellung
    automatisch abbuchen.
    Einfach unmöglich sowas.

  8. Gibts hier jemanden, der sich die Daten unter dem Aspekt der Quellen und/oder der Erlangung genau angesehen hat und dazu eine gesicherte Aussage machen kann?

    Was macht z.B. yasni anderes?
    Was erwarten xing-Exibitionisten?

    Einzig gut an der ganzen Geschichte finde ich, daß nun noch mehr Politiker zeigen, wie ahnungslos sie sind und daß Heimathorst schon in den 80ern im Internet war.
    Die machen also nichts anderes, sondern zeigen, daß sie selbst jetzt noch nix kapiert haben.

    Angst habe ich vor den Folgen, die nun wieder durch die Aktionismen der Unbedarften zur Beruhigung der Besorgten veranstaltet werden.
    Daß das alles völlig am Ziel vorbei geht, dürfte wohl unstrittig sein.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.