c't 3/2019
S. 16
Praxis
Datenleaks vorbeugen

Lehren aus dem Politiker-Hack

Eigene Onlinekonten gegen Datenklau absichern

Intime Daten hunderter Prominenter und Politiker standen frei zugänglich im Netz. Dabei wäre der Schutz vor einem solchen Angriff recht einfach gewesen. Das sind die wichtigsten Schritte zum Absichern der eigenen Onlinekonten.

Ein zwanzig Jahre alter Schüler aus der hessischen Provinz hat private Daten hunderter deutscher Politiker und Prominenter im Netz veröffentlicht und die Republik in Aufruhr versetzt. Der Fall des Schülers, der aktuellen Erkenntnissen nach keine besonderen Hacker-Fähigkeiten besitzt, zeigt, wie einfach es ist, zum Opfer einer solchen publikumswirksamen Enthüllung zu werden. Es müssen gar nicht immer die Geheimdienste aus Russland oder den USA beschworen werden, denn wie es aussieht, brauchte der Schüler nicht viel mehr als einen guten Sinn für Recherche, viel Fleiß und etwas Zeit, um für ein paar Tage der meistgesuchte Hacker Deutschlands zu werden – und nebenbei noch vielen Menschen das Leben schwer zu machen.

Er hatte die Telefonnummern, Personalausweis-Scans und Adressen seiner Opfer wohl einfach aus schlecht gesicherten Konten diverser Online-Dienste zusammengeklaut. Wahrscheinlich reichte der Zugang zum Mailkonto eines Bundestagsabgeordneten, um die Daten vieler Parteikollegen zu sammeln. So schaffte es der hessische Schüler schließlich sogar, an die Handynummer von Martin Schulz zu kommen. Geübt hatte er wohl jahrelang in der YouTuber-Szene. Das Twitter-Konto, von dem er seine Enthüllungskampagne startete, hatte er vor Jahren einem YouTuber abgenommen, der sein Geld mit dem Trollen von Minecraft-Spielern verdient.

Allerdings interessierten die Angriffe und das Offenlegen privater Informationen von YouTubern jahrelang kaum jemanden. Solche in der Szene auch als Doxxing bezeichneten Aktionen sind relativ üblich und kaum einer der technikversierten Videoproduzenten traut der deutschen Polizei zu, solche Angriffe aufzuklären. Mit Recht, muss man sagen – wenn man sich das tollpatschige Verhalten deutscher Sicherheitsbehörden in diesem Fall anschaut – allen voran des Bundesamtes für Sicherheit in der Informationstechnik, BSI. Erst als die Presse vom Datenklau Wind bekam und ihn publik machte, erwachten die Behörden aus dem kollektiven Winterschlaf und fanden den hessischen Schüler innerhalb von zwei Tagen. Der geständige Täter hatte sich offenbar nicht besonders gut versteckt. Zu diesem Zeitpunkt hatten mehrere YouTuber der Presse bereits Interviews gegeben und sich damit gebrüstet, zu wissen, wer der Täter sei.

Um derartige Doxxing-Fälle in Zukunft zu verhindern, muss man die eigenen Online-Konten vor Übergriffen schützen. Dafür gibt es ein paar einfach umzusetzende Punkte, dir wir im Folgenden zusammengefasst haben.

Kommentieren