Doxing: Was Nutzer aus dem „Hackerangriff“ lernen sollten

Ein Youtuber mit dem Pseudonym 0rbit hat private Daten von Politikern, Prominenten und auch anderen Youtube-Bekanntheiten über Wochen ins Netz gestellt. Unklar ist bislang, wie genau der Täter an die Daten gekommen ist, und aus welchem Grund sie überhaupt veröffentlicht wurden. Betroffen sind neben Politikern aus fast allen Bundestagsfraktionen die Bundeskanzlerin, Satiriker wie Jan Böhmermann und Youtube-Stars wie Unge.

Die bislang bekannten Informationen deuten allerdings daraufhin, dass es sich nicht um einen klassischen „Hackerangriff“ eines staatlichen Akteurs handelt. Für eine gezielte Kampagne wirkt nach Einschätzung von G DATA insbesondere die Verbreitung der Informationen über einen gekaperten Twitter-Account wenig wahrscheinlich – tatsächlich fielen die veröffentlichten Informationen ja zum Teil einen Monat lang kaum jemandem auf. Mittlerweile hat die Polizei einen dringend tatverdächtigen 20-Jährigen festgenommen. Er soll noch bei seinen Eltern wohnen und die Tat bereits gestanden haben.

Es handelt sich also um gezieltes Doxing der betroffenen Personen. Doxing bezeichnet die Veröffentlichung privater Informationen gegen den Willen der betroffenen Personen. Das können neben der Postadresse Telefonnummern sein oder Informationen über Kinder, Kreditkartennummern oder Kopien des Ausweises. Das Missbrauchspotenzial dieser Informationen ist hoch.

Nach bisherigem Kenntnisstand ist davon auszugehen, dass ein politisch rechtsorientierter Youtuber die Daten gesammelt und ins Netz gestellt hat. Dabei wurden zum Teil Daten wie Telefonnummern und E-Mail-Adressen aus bereits bekannten Leaks zusammengestellt. Bei anderen Informationen konnte der oder die Täterin vermutlich über unsichere oder mehrfach verwendete Passwörter auf E-Mail- oder Social-Media-Accounts zugreifen und so Daten abfischen. Auffällig ist, dass die AfD nach bisherigen Informationen die einzige im Bundestag vertretene Partei ist, die von den Veröffentlichungen nicht betroffen ist. Klar ist, dass es sich nicht um einen erneuten erfolgreichen Hackerangriff auf das Netz des Bundestages selbst handelt.

Viele der veröffentlichten Informationen dürften sich über eine detaillierte Recherche herausfinden lassen, ohne dass es dazu eines gezielten Angriffs bedürfte. In anderen Fällen könnte es gelungen sein, sich mit Hilfe bekannt gewordener Passwörter in Accounts bei anderen Diensten einzuloggen – denn noch immer nutzen viele Anwender fahrlässigerweise nur ein Passwort bei vielen verschiedenen Diensten.
Tipps gegen Doxing

Folgende Tipps können helfen, sich gegen Doxing und das unerwünschte Ausspähen von Daten zu schützen:

1) Zwei-Faktor-Authentifizierung:
Die Anmeldung nur mit einem Passwort ist heute nicht mehr zeitgemäß. Denn immer wieder kommen die vermeintlich geheimen Passwörter bei unvorsichtigen oder schlecht gesicherten Anbietern abhanden. Noch immer kursieren zum Beispiel Millionen Passwörter aus dem Dropbox-Hack im Jahr 2012 frei im Internet. Wer sein Passwort mehrfach verwendet oder seitdem nicht geändert hat, ist gefährdet. Bei der Zwei-Faktor-Authentifizierung muss zusätzlich zum Passwort ein nur kurz gültiger Code aus einer Smartphone-App eingegeben, oder ein spezieller Schlüssel mit dem Computer verbunden werden.

2) Nach verlorenen Passwörtern suchen:
Verschiedene Dienste helfen dabei, Datenlecks zu finden. Anbieter wie HaveIBeenPwned oder der Identity Leak Checker zeigen an, ob ein Account in der Vergangenheit von Sicherheitsproblemen betroffen war. Wer den Firefox-Browser verwendet, kann sich neuerdings ebenfalls über Probleme informieren lassen.

3) Regelmäßig eine Google-Recherche auf den eigenen Namen durchführen:
Damit können folgende Fragen beantwortet werden: Welche Informationen finden sich zu meiner Person im Netz? Sind diese Informationen korrekt? Sind Informationen einsehbar, die eigentlich privat sein sollten?

4) DSGVO-Rechte nutzen:
Falls Anbieter falsche oder veraltete Informationen veröffentlichen, besteht unter bestimmten Umständen ein Recht, die Daten löschen zu lassen oder eine Korrektur zu veranlassen. Die Rechte leiten sich aus der EU-Datenschutzgrundverordnung ab.

5) Drittanbieter-Cookies deaktivieren:
Cookies sind ein hilfreiches Instrument im Netz, um zum Beispiel Einstellungen auf einer Webseite, wie die verwendete Schriftgröße, zu speichern. Das erhöht den Komfort. Doch Drittanbieter-Cookies, zum Beispiel von Werbenetzwerken, können zahlreiche Informationen über den Nutzer sammeln – etwa über besuchte Webseiten oder bestimmte Interessen. Viele Webseiten bieten mittlerweile an, die Cookie-Bestimmungen detailliert anzupassen. Alternativ können Cookies auch regelmäßig gelöscht werden – dazu bieten alle Browser entsprechende Funktionen an.

6) App-Berechtigungen überprüfen:
Apps auf dem Smartphone wollen häufig sehr weitreichende Rechte haben. Auch hier ist es oft praktisch, diese einfach zu gewähren. Wer sein Adressbuch bei Whatsapp hochlädt, der kann einfach alle Bekannten identifizieren, die dort ebenfalls sind. Datenschutzrechtlich ist diese Praxis aber zumindest umstritten.

Es lohnt sich also, beim Einrichten neuer Apps genauer hinzuschauen. Braucht die Taschenlampen-App wirklich Zugriff auf meinen Standort? Und sollte ich wirklich mein Adressbuch bei der Nahverkehrs-App hochladen, nur um einfacher Adressen eingeben zu können? Bei der Verwaltung von App-Berechtigungen und dem Schutz vor bösartiger Software hilft die mobile Lösung von G DATA: Internet Security Android. Auf dem PC sorgt die G DATA Antivirenlösung für Sicherheit und verhindert ungewollten Datenabfluss.

7) Vorsicht bei E-Mails:
Dass keine Anhänge von unbekannten Absendern geöffnet werden sollten, haben viele Nutzer mittlerweile verinnerlicht. Doch in den Mails lauern noch weitere Gefahren: In HTML E-Mails können Angreifer zum Beispiel Schadcode oder Tracking-Pixel verstecken. Mit beiden lassen sich Rückschlüsse auf Nutzer ziehen. Gleiches gilt für eingebettete Bilder. Die beste Einstellung ist es daher, E-Mails nur im Textformat zu senden und zu empfangen und das automatische Nachladen von Bildern zu deaktivieren.