Hackerangriff auf Daten von Politikern und Prominenten

Nach einem Anfang 2019 öffentlich gewordenen Hackerangriff auf Daten von Prominenten und Politikern kam es am 6.1. zu einer vorläufigen Festnahme. Das ändert nicht die Dringlichkeit von mehr Sicherheit für die Internetnutzung. Zwar wurden keine besonders sensiblen Daten der Betroffenen veröffentlicht, der "Schülerstreich" zeigt jedoch, dass Datenschutz und IT-Sicherheit auf vielen Ebenen ausgebaut werden müssen.

Schon seit Anfang Dezember hatten zunächst Unbekannte damit begonnen, private bzw. persönliche Daten von Prominenten zu veröffentlichen. Mittlerweile wurde, so teilte das Bundeskriminalamt mit,  als Tatverdächtiger ein 20-Jähriger in Hessen vorläufig festgenommen. Laut dpa sei er in vollem Umfang geständig. Man gehe davon aus, dass er als Einzeltäter aktiv wurde. Mittlerweile wurde er, mangels Haftgründen wie Flucht- oder Verdunklungsgefahr, wieder freigelassen. Es wird ein Verfahren gegen ihn eingeleitet wegen des Verdachts der Ausspähung von Daten und deren unberechtigter Veröffentlichung. Als Straftatbestände kommen §§ 202c und 202a  StGB  und § 44 BDSG in Betracht.

Veröffentlichungen eines Hackers als „Adventskalender“ mit persönlichen Daten

Der Täter nutzte für seine Veröffentlichungen  sie ein wohl schon vor geraumer Zeit gekapertes Twitter-Konto. Hier stellten sie eine Art „Adventskalender“ online, über den es täglich neue Links über Prominente und Politiker gab, die entweder auf ein Blog oder direkt auf bei Filehostern gespeicherte Dokumente verwiesen.

Bei den hier veröffentlichten Daten handelt es sich meist um eher persönliche Dokumente von Prominenten wie etwa dem Satiriker Jan Böhmermann, dem Schauspieler Til Schweiger oder auch dem Rapper Sido. Zusätzliche Brisanz bekam die Aktion dadurch, dass im weiteren Verlauf vor allem Daten von Politikern aus nahezu allen Lagern (mit Ausnahme der AfD) veröffentlicht wurden.

Möglicherweise politisch motiviert?

Die überwiegende Zahl der Betroffenen gehört dabei eher einem linksliberalen Umfeld an oder hat sich klar gegen fremdenfeindlich und rechtsextreme Positionen gestellt, sodass zumindest ein Verdacht auf eine politisch motivierte Aktion besteht. Der Beschuldigte hat als Motiv auch angegeben, sich über öffentliche Aussagen der Betroffenen geärgert zu haben.

  • Veröffentlicht wurden primär persönliche Informationen und Dokumente der Betroffenen. Das Spektrum reicht von Privatadressen und Handynummern über Briefe, Fotos und Chat-Protokolle bis zu Kreditkarteninformationen, Rechnungen oder Einzugsermächtigungen.
  • Teilweise handelt es sich um ältere Daten,
  • zudem scheint es sich um Sammlungen von Daten aus unterschiedlichen Quellen zu handeln.
  • Obwohl viele Informationen über Politiker und auch Parteien veröffentlicht wurden, stammen diese Daten wohl nicht aus Angriffen auf Regierungsnetze.

Kein klassischer Hackerangriff

Letztlich ist auch die üblicherweise genutzte Bezeichnung Hackerangriff für dieses Geschehen nicht ganz zutreffend, denn den einen großen Hackerangriff auf eine Informationsquelle oder auf die Betroffenen selbst gab es hier nicht.

Vielmehr geht es um das unerwünschte Veröffentlichen privater Daten von Personen, denen man durch die Veröffentlichung schaden möchte.

Dieses Vorgehen wird üblicherweise nicht als Hacking bezeichnet, sondern als Doxing (auch Doxxing).

  • Die Daten stammen dabei aus sehr unterschiedlichen Quellen, zwar gibt es noch keine genaueren Details, allerdings liegt die Vermutung nah, dass die Täter beispielsweise Daten aus Social-Media-Konten einiger Betroffener abzweigen oder sich Zugang zu Kontaktdaten-Verzeichnissen verschaffen konnten.
  • Auch Dokumente aus Cloud-Speichern sind wahrscheinlich entwendet worden.
  • Die Ermittlungen, an denen sich mittlerweile auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundeskriminalamt eingeschaltet haben, laufen derzeit noch. Am Montag gab es dabei möglicherweise einen ersten Fahndungserfolg, als man die die Wohnung eines 19-Jährigen durchsuchte, der mit den Initiatoren der Aktion in Verbindung gestanden haben soll.

Politiker fordern Konsequenzen und kritisieren Informationspolitik des das BSI

Zuvor hatten bereits Politiker aus allen großen Parteien die Aktion verurteilt. Bundesjustizministerin Barley etwa sprach auf Twitter von einem „schwerwiegenden Angriff auf das Recht auf Privatsphäre und damit einen Grundpfeiler unserer Demokratie“. Ähnlich äußerte sich beispielsweise auch der Fraktionsvorsitzende der Linkspartei, Dietmar Bartsch.

In Kommentaren in Social Media gibt es allerdings auch viel Häme, da es ja umgekehrt der Staat sei, der mit Staatstrojanern aushorche.

Kritik gab es auch gegenüber dem Bundesamt für Sicherheit in der Informationstechnik, das angeblich früher als das Bundeskriminalamt von den Aktivitäten wusste. Es musste sich der Frage stellen, warum es  nicht schon früher informiert habe.

BSI-Präsident Arne Schönbohm hält gegenüber dem Fernsehsender Phoenix dagegen: Das Bundesamt habe schon frühzeitig im Dezember mit einzelnen betroffenen Abgeordneten gesprochen und reagiert, u.a.  sei ein "Mobile Incident Response Team" losgeschickt worden, um den Geschädigten Hilfestellung zu bieten.

Forderung nach neuer Weichenstellung in der IT-Sicherheitspolitik

Verschiedene IT-Sicherheitsexperten nehmen den Vorfall zum Anlass, sich erneut für eine neue Weichenstellung im Bereich der Sicherheitspolitik einzusetzen.

  • So müsse etwa die Entwicklung einfacher und zugleich sicherer Verschlüsselungsverfahren gefördert werden,
  • während man von der staatlichen Nutzung von Staatstrojanern oder Backdoors Abstand nehmen müsse,
  • da hierdurch die Wirksamkeit der Verschlüsselung eingeschränkt werde.

Das fordert etwa der Vorstand für IT-Sicherheit beim Branchenverband eco, Prof. Dr. Norbert Pohlmann in einer Stellungnahme zum aktuellen Datenklau.

Nachholbedarf beim Thema digitale Aufklärung: Was hilft gegen Datenklau?

Der Geschäftsführer der Initiative Deutschland sicher im Netz (DSIN), sieht den Vorfall als Beleg für den „Nachholbedarf beim Thema digitale Aufklärung“.

Rund 90 % der Cyberangriffe ließen sich bereits durch einfache Schutzkomponenten abwehren.

Die Initiative liefert auf ihrer Website gleich auch eine Liste mit Maßnahmen zum Schutz privater Daten im Internet. Dazu zählen unter anderem:

  • Nutzung sicherer Passwörter.
  • Verwendung von Zwei-Faktor-Authentifizierung
  • Nutzung verschlüsselter Informationsübertragung
  • Verwendung der automatischen Update-Funktion der Betriebssysteme und Anwendungen auf Rechnern und Smartphones
  • Vorsicht bei der Nutzung von öffentlichen WLAN-Hotspots
  • Vorsicht beim Öffnen von E-Mail-Anhängen

Nicht nur Private, auch Unternehmen sollten dringend prüfen, ob ihre IT-Sicherheit gewahrt  ist bzw. wo es Nachbesserungsbedarf gibt.

Hintergrund:

Nutzung eines Informationssicherheitsmanagementsystems

Um die IT- rechtskonform zu organisieren, sollte man sich an anerkannten Standards wie der ISO 27001, den BSI-Grundschutzkatalogen oder COBIT orientieren. Die technischen Standards der DIN ISO 27001 (DIN zur Einführung eines Informationssicherheitsmanagementsystems) geben die Leitlinien vor, die den Umgang mit der betrieblichen IT regeln. Dazu zählen z. B. Themen wie

  • ein internes Kontrollsystem (IKS),
  • ein Risiko-Management-Systeme (RMS),
  • ein Frühwarnsystem,
  • spezielle Verwaltungs- und Analysesysteme,
  • revisionssichere Dokumenten-Management-Systeme (DMS) oder Archivsysteme,
  • Workflow-Systeme bei Compliance-gerechten Freigabe- und Genehmigungsprozessen,
  • Freigabe von Gastzugängen,
  • Ausgestaltung der Firewall oder entsprechender Content-Filter,
  • Benutzerrichtlinien,
  • Verpflichtungserklärungen zum Datenschutz
  • und Vorgaben zur Dokumentation.

IT-Sicherheit-Schulung:

Die Zahl der Hackerangriffe steigt kontinuierlich. Sie richten sich immer öfter direkt gegen die Unternehmen, um sensibles Know-how zu stehlen oder Schaden anzurichten. Das Risiko steigt nicht nur durch neue, ausgefeilte Spionagetechniken, sondern vor allem durch einen nach wie vor oft sorglosen Umgang mit dem Thema IT-Sicherheit. Konformes Mitarbeiterverhalten ist für jedes Unternehmen unverzichtbar geworden. Mit dem einstündigen e-Learning „Informationssicherheit“ der Haufe Akademie schulen Sie Ihre Mitarbeiter kostengünstig und effizient.