Was wurde veröffentlicht und wer ist betroffen?

Unbekannte haben persönliche Daten und Dokumente mehrerer Hundert Politikerinnen und Politiker aus dem Bundestag, prominenter Musiker und Persönlichkeiten sowie von Journalisten von ARD und ZDF veröffentlicht. In den Daten findet sich Politisches und Privates, E-Mails und persönliche Textnachrichten, Chatverläufe aus Facebook und Twitter, Rechnungen, Fotos von diversen Kreditkarten, Personalausweisen und auch das Foto eines Diplomatenpasses, Familienbilder. Steuerbescheide, Verdienstabrechnungen, Buchverträge, Textentwürfe für die politische Arbeit, Grundbuchauszüge, Autoannoncen und Hunderte Handynummern und Mailadressen. Nichts davon ist auf den ersten Blick wirklich brisant, die Daten zeigen lediglich, dass die Betroffenen auch Menschen sind und ein Leben haben. Sie scheinen wahllos gesammelt und aus jedem Account herauskopiert, der dem oder den Hackern irgendwie zugänglich war. 

Während von manchen Politikerinnen und Politikern nur öffentlich zugängliche E-Mail-Adressen und Büronummern aufgeführt sind, hat es andere Personen stärker getroffen. Die Urheber haben es dabei besonders auf Politiker der Grünen und der CDU und CSU abgesehen. Auch viele persönliche Daten der Fernsehmoderatoren Jan Böhmermann und Christian Ehring sind offengelegt worden. Im Bundestag wurden die betroffenen Parteien offenbar am Donnerstag informiert, die Fraktionen berieten über das weitere Vorgehen.

Nach oben Link zum Beitrag

Sind das die Daten des früheren Bundestagshacks, von denen man seit Langem befürchtet, dass sie öffentlich werden?

Es ist unwahrscheinlich, dass Teile des jetzt veröffentlichten Materials aus dem früheren Hackerangriff auf den Bundestag im Jahr 2015 stammen. Als Urheber nannte die Bundesregierung damals die Hackergruppe Fancy Bear, die mutmaßlich im Auftrag Russlands gehandelt habe. In der aktuellen Veröffentlichung finden sich Daten und Dokumente, die neueren Ursprungs sein dürften. Auf einige Politiker scheinen sich die Hacker dabei gesondert konzentriert zu haben, sodass sie auch an persönliche Informationen über die Familien gelangten.

Womöglich wandte der oder die Täter für den Angriff verschiedene Methoden an. Es ist auch nicht auszuschließen, dass einige Informationen von Insidern aus dem Bundestag kommen, die Zugriff auf interne Systeme haben. Das Material über die Journalisten, Musiker, YouTuber und TV-Moderatoren dürfte ohnehin nicht im Zusammenhang mit dem früheren Angriff auf den Bundestag stehen.

Nach oben Link zum Beitrag

Wie wurde das Material im Internet veröffentlicht?

Ausgangspunkt der Veröffentlichung ist ein Account des Kurznachrichtendienstes Twitter. Der Inhaber des Accounts nennt sich @_0rbit und hatte fast 19.000 Follower, bevor er am Freitagvormittag gesperrt wurde. Er ist seit Februar 2015 bei Twitter registriert. Der Inhaber beschreibt sich mit den Begriffen "Security Researching (Sicherheitsrecherche), Künstler, Satire und Ironie". Nach eigenen Angaben befindet er sich in Hamburg, was jedoch keinen Rückschluss auf den tatsächlichen Aufenthaltsort zulässt.

Die aktuellen Dokumente wurden von @_0rbit im Dezember 2018 als "Adventskalender" getwittert. Zwischen dem 1. und 28. Dezember wurden dort Links veröffentlicht, die zu einer Datentauschplattform führen, auf der die Informationen hochgeladen wurden.

So führt der Link bei Türchen 24 auf Inhalte im Zusammenhang mit CDU und CSU, Türchen 23 auf Daten der SPD-Politiker. In der Twitter-Biografie von @_0rbit fand sich außerdem ein Link, der auf weitere Hacks leitet. Der Account hatte bereits früher private Informationen von diversen YouTubern und von einem Tochterunternehmen von ProSiebenSat.1 Media verbreitet. Die Daten wurden auf der Tauschplattform PrivateBin gespeichert, auf der anonym Daten hochgeladen werden können. Der Accountinhaber ist sehr sorgsam umgegangen und hat diverse Sicherungskopien angelegt. Es wurden auch Videos mit den Dokumenten erstellt. Der oder die Verantwortlichen wollten jedenfalls, dass die Daten schwer zu löschen sind.

Nach oben Link zum Beitrag

Wer könnte hinter dem Account stehen?

Möglicherweise wurde der Hauptaccount, über den das Material veröffentlicht wurde, durch einen früheren Hack von einem bekannten YouTuber geklaut und umgewandelt. Das würde die hohe Zahl der Follower erklären. Es existieren aber noch drei ähnliche Nebenaccounts, die denselben Urheber haben könnten. Noch ist es nicht möglich, zu sagen, wer genau für die Veröffentlichung des Datenkonvoluts verantwortlich ist. Das Umfeld der Accounts lässt aber den Schluss zu, dass es sich um Täter mit Verbindung in die rechte Szene handelt. Der Hauptaccount @_0rbit beteiligte sich an extrem rechten Diskussionen auf Twitter.

Das Opfer eines Datendiebstahls 2014, für den @_0rbit verantwortlich gewesen sein soll, berichtet ZEIT ONLINE von einer möglichen Vorgehensmethode: Informationen seien in diesem Fall durch Social Engineering, also soziale Manipulation, abgegriffen worden. Der oder die Angreifer hätten sich Zugriff zu dem Skype-Account des Opfers verschafft, dessen Kontakte angeschrieben und darum gebeten, dass diese ihm ihre Handynummern schicken. Die so abgegriffenen Daten wurden dann über einen weiteren Twitter-Account veröffentlicht, der gehackt worden war, beschreibt es das Opfer. 

Einige der nun betroffenen Personen waren schon zuvor Ziel rechter Angriffe im Netz. Das ebenfalls betroffene ZDF-Medienformat Jäger und Sammler hat bis heute mit rechten Trollen zu kämpfen. Auch der YouTuber Rainer Winkler, besser bekannt als Drachenlord, geriet in den Fokus der rechtsextremen Trollszene – Referenzen auf ihn fanden sich auch auf dem @_0rbit-Account. Der ansonsten wenig aktive rechtsextreme Account @AN_Offiziell (anonymousnews) war ebenfalls mit dem Hauptaccount vernetzt, der insgesamt nur acht Accounts folgte – mindestens drei dürften Nebenaccounts des Leakers sein. 

@AN_Offiziell gehört zum Umfeld der rechtsextremen Szene und gibt sich als Teil der Hackergruppe Anonymous aus. Auch der Zwillingsaccount anonymousnews.ru war mit dem Leakaccount verknüpft. Als Betreiber von anonymousnews.ru wird ein Rechtsextremist aus Erfurt vermutet, der im Dezember 2018 wegen illegalen Waffenhandels zu zwei Jahren und zehn Monaten Haft verurteilt wurde. Der Mann hatte gegen das Urteil Revision eingelegt und ist momentan unter strengen Meldeauflagen frei.

Nach oben Link zum Beitrag

Warum ist das erst jetzt bekannt geworden?

Eine mögliche Erklärung könnte sein, dass der Twitter-Account eines bekannten YouTubers von @_orbit geklaut und umbenannt wurde. Das würde auch die hohe Followerzahl erklären. Die Tweets im Dezember zu den aktuellen Datendiebstählen wurden trotzdem kaum geliked oder retweeted. Das könnte daran liegen, dass ihr Inhalt eher kryptisch formuliert war. So heißt es in dem Tweet, der zu Informationen über Jan Böhmermann führt, lediglich: "Das 3. Türchen: Es geht ebenfalls an einen sehr nervigen "Satiriker".

Nach oben Link zum Beitrag

Wie geht es weiter?

In die Ermittlungen sind zahlreiche Behörden involviert – neben dem Bundesamt für Sicherheit in der Informationstechnik unter anderem das Bundesamt für Verfassungsschutz, das Bundeskriminalamt und Sicherheitsbehörden in den Ländern. Die Bundesanwaltschaft prüft, ob sie sich ebenfalls einschalten sollte. Die Ermittler versuchen herauszufinden, wer der oder die Urheber ist oder sind. Laut Innenministerium wollen sie zudem verhindern, dass die Daten weiter im Internet abgerufen werden können. Betroffene sollen informiert werden und, falls nötig, Hilfestellung dabei bekommen, wie sie jetzt weiter vorgehen sollen.

Zudem gibt es Forderungen nach politischen Konsequenzen. Die Parlamentarische Geschäftsführerin der Grünen im Bundestag, Britta Haßelmann, will eine Stärkung des Datenschutzes im Netz durchsetzen: "Dazu gehören unter anderem ein Verzicht auf den staatlichen Handel mit Sicherheitslücken, durchgehende Ende-zu-Ende-Verschlüsselungen und die Stärkung unabhängiger Aufsichtsstrukturen". Entsprechende Vorschläge habe die Fraktion gerade erneut in den Bundestag eingebracht. Die FDP im Bundestag leitete juristische Schritte ein. Zentrale Systeme seien nach derzeitigem Stand aber nicht betroffen, sagte ein Sprecher der Fraktion.

Der baden-württembergische CDU-Bundestagsabgeordnete Thorsten Frei hatte als Reaktion auf den Leak vorgeschlagen, die rechtlichen Voraussetzungen für Hackbacks zu schaffen. Die Piratenpartei lehnt das als "populistischen Schnellschuss" ab – die Voraussetzungen für solche Vergeltungsangriffe seien in dem Fall nicht gegeben, da die Attacken selbst überhaupt nicht erkannt wurden. Wichtiger sei es, gerade Politikern, die sowieso im Fokus der Öffentlichkeit stehen, ein entsprechendes Grundwissen an IT-Sicherheit und Medienkompetenz an die Hand zu geben.

Nach oben Link zum Beitrag