Fast 40 Millionen Kunden soll Ashley Madison haben. © Mark Blinch/Reuters

Vor einer Woche begannen die Hacker der Gruppe Impact Team damit, Daten des Seitensprungportals Ashley Madison zu veröffentlichen: zunächst die Nutzerdaten von mehr als 30 Millionen Mitgliedern, anschließend interne E-Mails der Verantwortlichen. Insgesamt 300 Gigabyte an Daten will das Impact Team erbeutet haben, und es scheint bloß eine Frage der Zeit, bis auch der Rest im Netz auftaucht.

Der Hack von Ashley Madison ist ein besonderer Fall. Zum einen, weil er nicht nur private Daten von Bürgern, sondern auch ihre Gedanken und Geheimnisse entblößt. Zum anderen zeigt er, welche Mechanismen große Hackerangriffe mittlerweile auslösen. Wie viele verschiedene Parteien daran beteiligt und davon betroffen sind, und wie einige sogar davon profitieren. 

Die Hacker

An erster Stelle stehen die Hacker. Die Mitglieder des Impact Team sehen sich bis heute als Hüter einer fragwürdigen Moral. Zwar sagen sie, dass sie die dubiosen Geschäftspraktiken von Ashley Madison offenlegen wollten, bezeichnen aber gleichzeitig die Nutzer des Dienstes als "betrügerische Mistsäcke", die eigentlich auch nichts anderes verdienen, als öffentlich bloßgestellt zu werden. Das selbsterklärte Ziel der Gruppe war es von Anfang an, die Plattform zu zerschlagen; möglicherweise planten sie schon immer, die Datensätze zu veröffentlichen.   

In einem E-Mail-Interview mit Motherboard kündigt die Gruppe an, künftig auch andere, ähnliche Portale angreifen zu wollen. Sie schreiben von "Menschenhandel" auf den Seiten, von Betrug und davon, dass Ashley Madison seine Nutzer – wie auch immer – erpresst habe. Sie vergessen dabei offenbar, dass auch sie den Betreibern ein Ultimatum setzten und damit drohten, die Nutzerdaten zu veröffentlichen, falls die Seite nicht offline geht. Das entspricht ziemlich genau der Definition von Erpressung, was aber die verquere Logik der Gruppe unterstreicht.

Die Gehackten

Das kanadische Unternehmen Avid Life Media (ALM), der Betreiber der Portale Ashley Madison und Established Men ist ebenfalls nicht unbefleckt. Nicht nur basiert die Dating-Plattform auf einem Geschäftsmodell, das vor allem Männern das Geld aus der Tasche zieht, um überhaupt erst mit potenziellen Partnern chatten zu können. Offenbar hat das Unternehmen auch alte Nutzerdaten nicht gelöscht und mit Profilen getrickst. Und dass die Infrastruktur des Unternehmens so angreifbar war, obwohl die Verantwortlichen offenbar von den Mängeln wussten, lässt sich schlecht mit dem selbsterklärten Anspruch auf Diskretion vereinbaren.

Zudem war ALM eigenen Hacks offenbar nicht abgeneigt. Wie interne E-Mails belegen, hat der frühere CTO Raja Bhatia seinen CEO Noel Biderman im Jahr 2012 kontaktiert und ihm mitgeteilt, er habe bei einem Konkurrenten eine Sicherheitslücke entdeckt. Er habe Zugriff auf Nutzerdaten, E-Mails und Passwörter, schrieb Bhatia, und lieferte eine Beschreibung gleich mit. Den Mails zufolge hatte Biderman Interesse daran, die E-Mails des Konkurrenten zu bekommen, aber Bhatia lehnte ab. ALM behauptet in einer Stellungnahme, die Gespräche seien aus dem Kontext gerissen, da es um eine Sicherheitsprüfung im Rahmen einer möglichen Übernahme des Konkurrenten ginge.

Die Entblößten

Möglicherweise hätte es gereicht, wenn die Hacker bloß die internen Dokumente und einen kleinen Nutzer-Datensatz als Beweis veröffentlicht hätten, um die Geschäftspraktiken und Sicherheitslücken von Ashley Madison zu belegen. Ein Imageschaden wäre garantiert gewesen. Stattdessen haben sie alle Mitglieder komplett entblößt. Statt Kreditkarteninformationen geht es um Geheimnisse, die möglicherweise für immer mit den Namen der Personen verbunden sind.

Die Auswirkungen sind schwer abzuschätzen, aber die Reaktionen von aktuellen und ehemaligen Mitgliedern der Plattform geben einen ersten Einblick. Einige behaupten, sich bloß aus Neugier angemeldet zu haben, oder dass ihr Name fälschlicherweise auftaucht (es gibt keine Verifizierung bei der Anmeldung). Manche nehmen es locker, andere zeigen sich reuig, wieder andere sind verzweifelt, der Hack könnte tatsächlich ihre Ehe gefährden. Auch Ehepartner schwanken zwischen Unglauben und Schock. Die Polizei in Toronto gab am Montag bekannt, dass zwei Suizide eine Verbindung zu Ashley Madison haben könnten.

Mittlerweile haben Betroffene mehrere Sammelklagen auf Schadensersatz auf den Weg gebracht. Kläger sowohl aus Kanada als auch aus Los Angeles werfen ALM vor, fahrlässig mit sensiblen Daten umgegangen zu sein. ALM wiederum hat eine Belohnung von 380.000 US-Dollar ausgelobt, um die Angreifer zu identifizieren.