Leaks von "G0d": Der große Datenklau – was wir bisher wissen

Schon der Name zeigt, für wie mächtig sich der oder die Hacker halten: „G0d“. Unter diesem Pseudonym wurden über die Twitter-Accounts @_0rbit und @_0rbiter zwischen dem 1. bis zum 28. Dezember Links zu teils sehr persönlichen Daten von Politikern und Prominenten veröffentlicht. Betroffen sind mehrere hundert Personen. Es dürfte sich um einen der schwerwiegendsten Daten-Missbrauchs-Skandale in der Geschichte der Bundesrepublik handeln.

Was ist geschehen?

Die Daten wurden in Form eines elektronischen Adventskalenders auf Twitter geleaked: Täglich wurden neue Informationen verlinkt – jeden Tag ein „Türchen“ zu einem neuen Leak. Die Links führten zu sogenannten Pastebins – das sind Internetplattformen zum Teilen von Dateien. Dort konnten dann Datenpakete im .rar-Dateiformat heruntergeladen werden – komprimierte Dateien, die dann auf dem Rechner der jeweiligen Nutzer entpackt werden mussten.

Es finden sich dann vor allem Listen mit Handynummern und Privatadressen von Prominenten und Politikern, außerdem persönliche Adressverzeichnisse und E-Mail-Listen, private Facebook-Chats, Ausweiskopien, Fotos, Scans und einzelne private Nachrichten. Die Dateien wurden von den Tätern aussagekräftig benannt und teilweise auch kommentiert und bewertet.

Wer ist betroffen?

Betroffen sind Politiker von CDU und CSU, SPD, Grünen, Linken und FDP aus dem Bundestag, dem Europaparlament und den Landtagen bis hin zu den Kommunen, erklärte die stellvertretende Regierungssprecherin Martina Fietz am Freitag. Informationen über AfD-Politiker tauchen in der Datensammlung auffälligerweise nicht auf. Unter den Genannten sind auch Bundeskanzlerin Angela Merkel (CDU), die CDU-Chefin Annegret-Kramp-Karrenbauer, SPD-Chefin Andrea Nahles, Bundesverteidigungsministerin Ursula von der Leyen (CDU) und Bundespräsident Frank-Walter Steinmeier. Auch der Satiriker Jan Böhmermann, Mitglieder der Musikgruppe K.I.Z, der Rapper Sido und der YouTuber Unge sind betroffen.

Veröffentlicht wurden vorwiegend Adressen und Handynummern – darunter die des Bundespräsidenten. Von Kanzlerin Merkel finden sich nur zwei dienstliche E-Mail-Adressen samt Faxnummer und diverse Briefe, unter anderem zur Flüchtlingssituation und zur CO2-Grenzwert-Verordnung für neue Pkw. Von Kramp-Karrenbauer sind neben der Privatanschrift auch die Festnetznummer und der Name ihres Ehemanns zu lesen.

Dass die Liste zumindest in Teilen schon etwas älter ist, zeigt sich daran, dass auch Personen gelistet sind, die sich längst aus der Politik verabschiedet haben – wie der frühere Verteidigungsminister Karl-Theodor zu Guttenberg (CSU), der einstige Kanzleramtsminister Ronald Pofalla, Alt-Bundespräsident Christian Wulff (CDU) oder auch der ehemalige CDU-Politiker Reinhard Grindel, der inzwischen DFB-Präsident ist.

Einer der besonders Betroffenen ist Grünen-Chef Robert Habeck: Von ihm veröffentlichten die Hacker auch die Namen von Familienangehörigen, private Chats mit seiner Frau und seinen Söhnen, Privatnachrichten, Rechnungen und E-Mail- Adressen, Führerschein-Kopie, Bank- und Kreditkartennummern der Kinder. Habeck stellte inzwischen eine Strafanzeige. Von einem Unionspolitiker wurden – versehen mit der Notiz „Er scheint ein Doppelleben zu haben“ private und teilweise kompromittierende Fotos präsentiert, dazu viel Facebook-Korrespondenz.

Wie wurde alles bekannt, was unternehmen die Sicherheitsbehörden?

Die Betroffenen sind teilweise nicht von den Sicherheitsbehörden, sondern von fremden Personen darauf hingewiesen worden , dass Telefonnummern, Adressen und Kreditkartendaten öffentlich im Netz zu finden sind. Mehrere Bundestagsabgeordnete sagten, dass sie von befreundeten IT-Spezialisten informiert wurden. Andere hätten Kurznachrichten von „im besten Sinne besorgten Bürgern“ bekommen, die nachgefragt hätten, ob es gut sei, dass die Handynummer im Internet stehe.

Obwohl die Daten bereits seit Anfang Dezember veröffentlicht wurden, haben die Behörden wohl erst am Donnerstagabend das ganze Ausmaß des Leaks erkannt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wusste offenbar schon länger von dem Datendiebstahl. „Wir haben schon sehr frühzeitig im Dezember auch schon mit einzelnen Abgeordneten, die hiervon betroffen waren, dementsprechend gesprochen“, sagte der Präsident des BSI, Arne Schönbohm, am Freitag dem Fernsehsender Phoenix. Es seien auch Gegenmaßnahmen eingeleitet worden. Unter anderem sei ein Spezialteam für Hilfestellungen bei Betroffenen losgeschickt worden. Warum die Sicherheitsbehörden nicht konsequenter eingriffen, ist unklar.

Die Informationspolitik der Bundesregierung verärgerte viele Politiker. Ein Abgeordneter sagte, er habe mehr von der „Bild“-Zeitung erfahren als aus einem Briefing der Sicherheitsbehörden an die Fraktionen. Manuel Höferlin, digitalpolitischer Sprecher der FDP, sagte: „Was mich wirklich aufregt: Warum hat keine Sicherheitsbehörde das gesehen? Sind die alle am 21. Dezember in den Urlaub gegangen?“

Das nationale Cyber-Abwehrzentrum kam am Freitagvormittag zu einer Krisensitzung zusammen. In dem Gremium würden die Maßnahmen der Bundesbehörden koordiniert, sagte ein Sprecher des BSI. Dazu zählen Bundesverfassungsschutz, Bundeskriminalamt und Bundesnachrichtendienst.

Neben den Sicherheitsbehörden prüft auch die Bundesanwaltschaft das Material. Dazu sei in der Behörde in Karlsruhe ein sogenannter Beobachtungsvorgang angelegt worden, sagte eine Sprecherin des Bundesjustizministeriums. Untersucht würden die Bedeutung des Falls und seine kriminelle Relevanz. Die Bundesanwaltschaft wäre insbesondere für Ermittlungen bei „geheimdienstlicher Agententätigkeit“ zuständig.

Woher stammen die Daten?

FDP-Experte Höferlin rekonstruierte für den Tagesspiegel, wie es zu dem Leak der Daten kam, die am 20. Dezember auf Twitter verlinkt wurden. Demnach stamme ein Teil aus einem Hackerangriff gegen einen FDP-Abgeordneten, der sich bereits vor November 2018 ereignet hatte. Eine Geburtsurkunde, die sich in dem gehackten Mailfach befunden habe, sei zum Beispiel nun wieder aufgetaucht. Ein anderer Teil habe keinen Bezug zu dem Hack. Das Datenkonvolut setzt sich also aus mehreren Angriffen zusammen.

Der Chaos Computer Club (CCC) ist denn auch skeptisch, was den Begriff „Hack“ im Zusammenhang mit den aktuellen Veröffentlichungen betrifft: „Nach jetzigem Kenntnisstand sind längst nicht alle betroffenen Personen auch wirklich ‚gehackt’ worden – ein direkter Zugriff auf ihre persönlichen Zugänge und Dateien scheint also nicht erfolgt zu sein“, sagt Linus Neumann vom CCC. Nur von relativ wenigen Personen seien Twitter- und Facebook-Daten und persönliche Dateien veröffentlicht worden. „Oft gelingt dies aufgrund der Verwendung schwacher Passwörter und insbesondere deren Wiederverwendung“, so Neumann.

Sowohl Höferlin als auch der CCC betonen, dass die Leaks äußerst akribisch vorbereitet worden seien. Höferlin spricht von „hoher krimineller Energie“, mit der die Täter vorgegangen seien. Neumann vom CCC stellt „die Beständigkeit und die Akribie mit der die Daten gesammelt, sortiert und aufbereitet wurden“ heraus.

Welche der Daten sind neu? Gibt es eine neue Qualität der erbeuteten Daten, etwa bei den privaten Chats und Cloud-Inhalten?

Einige der nun veröffentlichten Daten sind sehr privat – bisweilen wurden ganze Dropbox-Inhalte veröffentlicht, wo zum Beispiel Fotos aus dem persönlichen Umfeld abgespeichert waren. Andere der geleakten Daten waren jedoch zuvor schon öffentlich zugänglich gewesen, manche auch ganz legal. Ihre Verarbeitung und Kombination in Personenprofilen ist dennoch nicht ohne Weiteres erlaubt.

„Von den meisten Personen wurden ‚nur’ Kontaktdaten veröffentlicht, die sich auf verschiedenen Wegen zusammenrecherchieren lassen, oder aus den erfolgreichen Hacks stammen könnten“, sagt Linus Neumann vom CCC. Der IT-Dienstleister Perseus geht in einer Pressemitteilung von einem „mittelschweren Angriff“ aus. „Es ist davon auszugehen, dass die Daten über einen längeren Zeitraum gesammelt wurden“, so ein Sprecher von Perseus.

Warum sind die Leaks wochenlang niemandem aufgefallen – und so lange bei Twitter verlinkt geblieben?

Erst am späten Freitagvormittag wurden die Twitter-Accounts @-0rbit und @0rbiter gesperrt. Das Unternehmen reagierte erst, als längst zahlreiche Medien berichteten. Ein Unternehmenssprecher sagte dem Tagesspiegel, es verstoße gegen die Richtlinien von Twitter, persönliche Informationen von Fremden öffentlich zu machen. Etwas schneller reagierte Google: Der Blog der Täter ist über die Suchmaschine nicht mehr erreichbar.

Der Twitter-Account @_0rbit war bereits 2015 eingerichtet worden. Die Tweets ließen schon damals auf einen rechten Hintergrund schließen, aber der Account blieb eher unbeachtet – auch, als am 1. Dezember der erste Leak-Link veröffentlicht wurde. Das änderte sich, als am Donnerstag der Youtuber Unge betroffen war. Da berichtete er, dass sein Account gehackt worden ist. Am Freitag schrieb er auf Twitter, der Angriff sei durch eine Sicherheitslücke des E-Mail- Anbieters Gmail möglich gewesen, bei der eine zwei-Faktor-Authentifizierung umgangen werden kann – also der Identitätsbestätigung über zwei verschiedene Hardware-Geräte oder Software-Wege.

Bleiben die Daten im Netz weiter auffindbar?

Ja. Die Hacker haben eine große Zahl unterschiedlicher Webplattformen genutzt, mit denen anonym Texte und Fotos öffentlich geteilt werden können. Normalerweise nutzen Programmierer entsprechende Services, um Programmcodes schnell miteinander teilen zu können. Auf mehr als 60 solcher Plattformen wurden die Daten gestreut.

Viele dieser Dienste sind zudem über Länder wie Burundi, Mali, Montenegro oder die australischen Weihnachtsinseln registriert. Die deutschen Behörden dürften erhebliche Schwierigkeiten haben, die Inhalte von der jeweiligen Seite entfernen zu lassen. Selbst bei Angeboten innerhalb des europäischen Domain-Bereichs führt die Suche nach Verantwortlichen oft nur zu Briefkastenfirmen oder Postfächern.

Zudem gilt: Was einmal im Netz ist, kann leicht an anderer Stelle wieder hochgeladen werden. Auch technisch wäre die Entfernung der Leaks schwierig: Einige Seiten, die für die Verbreitung von den Hackern genutzt wurden, nutzen Peer-to-Peer-Verfahren und Blockchain-Technologie. Beide Verfahren bauen darauf auf, dass Inhalte nicht an einer zentralen Stelle hinterlegt sind, sondern in einem Netzwerk mit vielen unterschiedlichen Speicherpunkten. Daten, die einmal abschließend in einer Blockchain gespeichert werden, können nicht entfernt werden, ohne die gesamte Datenkette zu zerstören.

Wie authentisch sind die Daten?

Eine Reihe von Abgeordneten bestätigten dem Tagesspiegel, dass die nun veröffentlichten Daten authentisch seien. Dass Daten veröffentlicht werden, sei zu erwarten gewesen. In den vergangenen Monaten hätten mehrere Abgeordnete gemerkt, dass sie gehackt worden seien – zum Beispiel weil sie von Facebook die automatische Mitteilung bekommen haben, dass ihre gesamte Facebook-Kommunikation heruntergeladen worden sei.

Welche Defizite haben die Sicherheitsbehörden?

Die deutschen Behörden wurden offenbar von dem Datenleak überrascht. Sicherheitskreise sagen, im Nationalen Cyber-Abwehrzentrum habe niemand thematisiert, dass auf einem Twitterkonto gehackte Daten von Politikern schon eine Zeit lang veröffentlicht waren. Mutmaßlich erst diese Woche wurden Bundesregierung und Sicherheitsbehörden darauf aufmerksam. Im 2011 gegründeten Nationalen Cyber-Abwehrzentrum kommen in Bonn unter der Regie des Bundesamtes für Sicherheit in der Informationstechnik Vertreter der Nachrichtendienste des Bundes, des Bundeskriminalamts, der Bundespolizei und weiterer Bundesbehörden zusammen.

Dass trotz der geballten Kompetenz Informationslücken möglich sind, könnte auf die Personalprobleme der Sicherheitsbehörden zurückzuführen sein. Die in den vergangenen Jahren ständig wachsende Herausforderung durch den islamistischen Terror bindet viele Ressourcen. Fraglich ist zudem, ob die deutschen Sicherheitsbehörden mit dem Wachstum der Cyberkriminalität Schritt halten können.

Indirekt gab BKA-Präsident Holger Münch im November bei der Herbsttagung seiner Behörde in Wiesbaden Defizite zu. „Unser gemeinsames Ziel muss der handlungsfähige Staat sein, in der analogen Welt genauso wie im Cyberraum“, sagte Münch vor mehreren hundert Sicherheitsexperten. Es gelte jetzt, „zu investieren und Innovationssprünge zu machen“. Die Bevölkerung müsse darauf vertrauen, „dass die Polizei Antworten findet auf die Technologiesprünge ungeahnten Ausmaßes“. Münch kündigte den Aufbau einer BKA-Abteilung zur Bekämpfung von Cyber-Kriminalität an.

Wer könnte hinter den Veröffentlichungen stecken?

Bislang können die Sicherheitsbehörden offenbar nur Mutmaßungen anstellen. Die Experten, mit denen der Tagesspiegel am Freitag sprach, sind sich allerdings in dem Verdacht einig, an dem gewaltigen Datenleak seien Rechtsextremisten und Rechtspopulisten zumindest beteiligt. Das zentrale Indiz: die AfD scheint die einzige der im Bundestag vertretenen Parteien zu sein, die nicht betroffen ist. Die 2015 aus dem Bundestag entwendeten Daten tauchten bislang nirgendwo auf.

Die Sorge, Russland würde mit kompromittierenden Informationen über Abgeordnete versuchen, die Bundestagswahl 2017 zu beeinflussen, bestätigte sich nicht. Aber womöglich sind die Daten nun im aktuellen Leak aufgeploppt. Die Theorie, russische Staatshacker hätten deutschen Rechten Material zugespielt, halten Sicherheitskreise nicht für abwegig. Die am Freitag bei t-online.de geäußerte Vermutung, ein Hacker alleine sei jetzt für die Veröffentlichung privater Daten von Politikern und anderen Prominenten verantwortlich, gilt hingegen als eher unwahrscheinlich. Sicherheitskreise betonten am Freitag allerdings, in dieser Geschichte sei nichts auszuschließen.

Kann man seine Rechner oder Accounts beim Herunterladen der Daten infizieren?

Denkbar ist, dass der aktuelle Leak ein sogenannter „Honeypot“ sein könnte – also eine Falle, die gestellt wird, um Rechner zu infizieren und weitere Daten abzugreifen. Ob eine solche Falle gestellt wurde, ist noch nicht abschließend geklärt. Manuel Höferlin, digitalpolitischer Sprecher der FDP-Bundestagsfraktion und IT-Experte, sagte dem Tagesspiegel, dass die Website, auf der viele der Daten lagerten, sich mit einer Software refinanzieren würde, die Teile der Rechenkapazität des downloadenden Rechners zur Produktion von Bitcoins verwende. Eine wirklich bösartige Schadsoftware habe er nicht feststellen können, er würde die Dateien im rar.-Format niemals in einem ungeschützten Umfeld öffnen.

Linus Neumann vom Chaos Computer Club sagte, dass es keine Hinweise darauf gebe, dass die Dateien infiziert seien. „Dennoch sollten Laien nicht darauf zugreifen, wenn ihnen die nötigen Schutzvorkehrungen nicht geläufig sind.“