Für die Täter ist Doxing ein Sport. Für die Betroffenen kann es zum Angriff auf ihre Existenz werden. So erleben es gerade eine Reihe von Politikern, Journalisten und YouTube-Stars. Unbekannte haben möglichst private Dokumente (englisch docs, deshalb doxing oder doxxing) von ihnen gesammelt und im Netz veröffentlicht – in einem Ausmaß, wie es Ermittler in Deutschland bislang noch nicht erlebt haben.

In den dunkleren Ecken des Internets finden Doxing-Angriffe seit vielen Jahren statt. Oft trifft es Frauen. Weil sie Männer abgewiesen haben, weil sie sich von ihnen trennten, weil sie sich scheiden ließen. Aber auch Mitspieler und Mitspielerinnen in Onlinegames, vermeintliche Konkurrentinnen und Konkurrenten oder Prominente sind das Ziel solcher Attacken.

Neu jedoch ist die schiere Masse an Daten, die veröffentlicht wurden. Mehr als tausend Namen stehen auf den Listen, die im Dezember nach und nach verbreitet wurden. In den allermeisten Fällen wurden lediglich einige wenige Angaben zu den einzelnen Personen publik, beispielsweise eine Handynummer oder eine Mailadresse.

Wie ein Einbruch

Von 50 bis 60 der Betroffenen aber wurden so viele private Daten und Dokumente gepostet, dass das für sie einem Wohnungseinbruch gleichkommen muss. Diejenigen von ihnen, die bereit sind, darüber zu reden, beschreiben es als schweren Schock und fürchten, dass sie und ihre Familien in Zukunft schutzlos Bedrohungen ausgeliefert sein werden.

Die Fahndung nach dem oder den Tätern dauert noch an. Die für Internetkriminalität zuständige Generalstaatsanwaltschaft in Frankfurt am Main und das Bundeskriminalamt sind seit Freitagmittag auf der Jagd nach ihnen. Mindestens eine Wohnung wurde durchsucht. Jan S. aus Heilbronn, den die Ermittler aufsuchten, gilt jedoch als Zeuge und nicht als Tatverdächtiger, sagte ein Sprecher der Staatsanwaltschaft ZEIT ONLINE.

S. behauptet, seit 2014 regelmäßig im Austausch mit dem mutmaßlichen Täter gestanden zu haben, der sich selbst @_0rbit nennt. Er kenne dessen wahre Identität aber nicht, sagte S. ZEIT ONLINE. @_0rbit sei ein rechter Einzeltäter. In Chats habe dieser geschrieben, dass es eine Frechheit sei, "was sich Flüchtlinge erlauben". Beweise für diese Unterhaltungen will S. nicht herausgeben.

Erste Anzeige im März

Nicht nur die Informationen von S. deuten darauf hin, dass der oder die Täter schon länger in der Szene der Doxer aktiv sind. Die Veröffentlichungen der Daten von Politikern waren nur der Höhepunkt. Die ersten Dokumente der nun als Serie erkennbaren Listen erschienen schon im Mai auf Onlineplattformen. Damals waren vor allem bekanntere YouTuber wie LeFloid, Mert Matan oder das Team von PietSmiet betroffen.

Doch auch einige Politiker traf es früh. Helge Lindh ist einer von ihnen. Der Bundestagsabgeordnete der SPD wurde bereits im März 2018 gehackt. Damals habe jemand die Passwörter zu seinem Facebook- und seinem Twitter-Konto erraten, sagte Lindh am Telefon. Auch seine AOL-Mailadresse sei von Fremden übernommen worden. Private Unterlagen von Lindh finden sich nun in dem veröffentlichten Konvolut. Die Dokumente seien damals aus seinen Mails herauskopiert worden, glaubt er.

Fünf Politiker meldeten sich bei den Behörden

Wenn stimmt, was Lindh annimmt, müssen der oder die Täter monatelang aktiv gewesen sein, bevor sie die Ergebnisse veröffentlichten. Theoretisch hätten Ermittler das auch früh bemerken können, wenn sie geahnt hätten, dass Serientäter am Werk sind. Lindh hatte den Angriff im März bei der Polizei angezeigt und in der Folge auch mit dem Bundeskriminalamt zu tun.

Und er war nicht der Einzige. Insgesamt fünf Politiker haben sich nach Informationen von ZEIT ONLINE in den vergangenen Monaten bei der Polizei oder auch beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet und über solche Hackerangriffe berichtet. Doch die Behörden behandelten sie als Einzelfälle und sahen den Zusammenhang nicht. "Die Polizei hat das Ausmaß damals nicht realisiert", sagt Lindh. Ergebnisse brachte die Ermittlung auch nicht, zumindest sind Lindh keine bekannt. Er musste wochenlang mit den Betreibern verhandeln, bis er seine Accounts wiederbekam.

Lindh ist nicht der Einzige, in dessen Fall Ermittlungen ergebnislos blieben. Yannick K. sagte ZEIT ONLINE, ihm habe der Twitter-Account gehört, über den die Leaks ab Dezember verbreitet wurden. Ursprünglich habe dieser @dezztroyz geheißen und sei im Juni 2017 gehackt worden. Anschließend habe jemand den Account in @_0rbit umbenannt und darüber zuerst kinderpornografische Fotos und schließlich die Datenleaks gepostet. Er habe das bei der Polizei angezeigt. Die Staatsanwaltschaft Landau/Pfalz bestätigte, dass K. Anzeige wegen des Account-Hacks erstattet habe. "Die Anzeige wurde aufgenommen, Ermittlungen durchgeführt, doch der Täter konnte nicht ermittelt werden", sagte Oberstaatsanwältin Angelika Möhlig.

Am Montagnachmittag traf sich Bundesinnenminister Horst Seehofer mit dem Präsidenten des BSI, Arne Schönbohm, und des Bundeskriminalamts, Holger Münch, um das weitere Vorgehen zu beraten. Am Dienstag will sich Seehofer zum Stand der Ermittlungen äußern.

Anmerkung der Redaktion: In der Berichterstattung über das Leaken privater Daten von Politikern und Prominenten nennt ZEIT ONLINE in aller Regel keine Namen von Betroffenen und trägt keine geleakten Informationen durch Veröffentlichung weiter. Die Daten sind nach derzeitigem Kenntnisstand privater Natur, an ihnen besteht kein öffentliches Interesse.