Laut einer Mitteilung des Bundeskriminalamtes hat ein 20-jähriger Deutscher aus Mittelhessen im Dezember letzten Jahres über einen mittlerweile gesperrten Twitter-Account persönliche, teils sensible Informationen von knapp 1.000 Prominenten veröffentlicht. Darunter befanden sich Postadressen, Telefonnummern, Kontoinformationen, Zugangsdaten, Dokumente, E-Mail-Korrespondenzen sowie Fotos und Chat-Verläufe. Geheime Regierungsinformationen sind jedoch nicht an die Öffentlichkeit geraten.
Foto: GlebSStock - shutterstock.com
Als Motiv des Angriffs gab der Beschuldigte an, er habe sich über öffentliche Äußerungen der Prominenten geärgert. Er sei allein für die Ausspähung und Veröffentlichung der privaten Daten verantwortlich. Da AfD-Politiker, nach bisherigem Kenntnisstand, nicht von dem Angriff betroffen waren, kann ein politischer Hintergrund derzeit nicht ganz ausgeschlossen werden. Bitkom-Hauptgeschäftsführer Bernhard Rohleder warnt jedoch vor eiligen Schuldzuweisungen und politischen Schnellschüssen, da noch zu viele Details des Vorfalls unbekannt seien.
Mangels Haftgründen wurde der Beschuldigte in den Abendstunden des 7. Januar auf freien Fuß gesetzt und die vorläufige Festnahme aufgehoben. Das BKA wertet derzeit das Beweismaterial aus, darunter einen Computer, den der Beschuldigte zwei Tage vor der Durchsuchung beiseite geschafft hatte, und einen Daten-Backup bei einem Sharehosting-Dienst.
Ablauf des Angriffs
Laut der Badischen Zeitung startete der Hack wohl schon Anfang April 2018 und zielte auf Informationen ab, die üblicherweise in E-Mail-Konten, Speicherdiensten wie Dropbox oder in Sozialen Netzwerken zu finden sind. Nachdem der Angreifer sich etwa Zugang zu den Facebook-Konten der Opfer verschafft habe, soll er sogleich den Download von gespeicherten Daten, darunter der bisherige Nachrichtenverkehr sowie veröffentlichte Fotos und Videos, veranlasst haben. Weiteren Medienberichten zufolge sollen im Zuge der Attacke einige Social-Media-Konten fremdgesteuert worden sein. So seien die ersten Opfer auf den Angriff aufmerksam geworden und hätten die Behörden informiert.
Derzeit ist noch kein klares Muster erkennbar, wie der Täter vorgegangen ist. Laut dem BKA soll der Beschuldigte neben ausgespähten Daten auch persönliche Daten aus öffentlich zugänglichen Quellen gesammelt haben. Er speicherte die Daten laut Heise auf seinem Blogspot-Account sowie bei diversen File-Hostern. Das sind die Quellen, auf die die zahlreichen Twitter-Posts im Dezember verlinkten.
Zum Teil soll der Beschuldigte die ausgespähten Daten auch über einen gekaperten Twitter-Account eines auf der Video-Plattform YouTube aktiven Künstlers genutzt haben. Um seinen Internetanschluss bei den unberechtigten Veröffentlichungen zu anonymisieren habe er einen VPN-Dienst verwendet.
Da die geleakten Informationen unterschiedlicher Art sind, könnte der Nutzer des Twitter-Accounts laut OnlinePC.ch die Opfer auch gar nicht selbst aktiv angegriffen haben. Es ist möglich, dass er diverse Datenbestände, die bereits zuvor im Netz standen, lediglich zusammengeführt und veröffentlicht hat.
Nach Meinung von Matthias Maier, IT-Sicherheitsexperte von Splunk, ging es dem Angreifer nicht darum, sich finanziell zu bereichern. Er wollte Schaden und Chaos verursachen. Die Methode, nach der der Beschuldigte vorging, heißt "Doxing". Sie leitet sich von "Doc" ab, einer englischen Abkürzung des Wortes "Dokument", und bezeichnet die Veröffentlichung persönlicher Daten, um einem Opfer zu schaden. Dabei muss der Täter nicht unbedingt auf kriminelle Praktiken wie Phishing oder den Diebstahl von Zugangsdaten zurückgreifen. Daher ist die Bezeichnung "Hack" für den aktuellen Fall nicht ganz zutreffend.
Erste Hilfe für Anwender
Unabhängig davon, warum und wie der Angriff vonstattenging, gilt es für die Betroffenen solcher Attacken, den Schaden zu begrenzen. Splunk-Manager Maier rät zu folgenden Schritten:
Die Opfer sollten herausfinden, wo ihre Daten zum Zeitpunkt des Diebstahls abgelegt waren beziehungsweise über welche Datenbanken die Hacker an sie herangekommen sind.
Generell ist nicht auszuschließen, dass persönliche Geräte, Online-Konten und möglicherweise die gesamte Online-Identität gehackt wurden und immer noch unsicher sind. Daher sollten diese Geräte vorerst abgeschaltet und erst wieder nach einer Untersuchung durch einen IT-Profi verwendet werden.
Über ein neues oder anderes vertrauenswürdiges Gerät sollten alle digitalen Identitäten auf böswillige Änderungen überprüft werden (zum Beispiel neu autorisierte Apps auf persönlichen Social-Media-Kanälen oder geänderte E-Mail-Adressen innerhalb von Profilen). Natürlich sind alle Passwörter zu ändern und durch sicherere zu ersetzen.
Konsequenzen für Unternehmen
Vor dem Hintergrund der Ereignisse mahnt Bitkom-Chef Rohleder Unternehmen, ihre Produkte zu härten und ihre Mitarbeiter in puncto IT-Sicherheit immer aktuell zu schulen. Jeder Einzelne sei gefordert, verfügbare Sicherheitsinstrumente wie starke Passwörter, Virenscanner, Firewalls sowie regelmäßige Updates aktiv zu nutzen. Insbesondere empfiehlt er eine Zwei-Faktor-Authentifizierung (2FA) einzusetzen.
Der mangelnde Schutz von Zugangsdaten ist auch für Pascal Jacober, Sales-Manager DACH von Ping Identity einer der Hauptgründe für erfolgreiche Angriffe. Da zahlreiche Anwender keine sicheren Passwörter setzen oder einen Passwort-Manager nutzen, öffnen einmal gekaperte Zugangsdaten gleich eine Menge Accounts. Daher ist für ihn Identity- und Access-Management (IAM) basierend auf Multi-Faktor-Authentifizierung (MFA) das zentrale Element einer Sicherheitsstrategie. Das gilt sowohl für Unternehmen als auch für Anbieter, die digitale Dienste zur Verfügung stellen.
Auch auf Netzwerkebene können Schutzvorkehrungen getroffen werden. Laut Ronan David, Senior Vice President vom Netzwerkspezialist EfficientIP, ist Datenklau oft schwer zu erkennen, da er im typischen Netzwerkverkehr oft nicht auffalle. Dadurch blieben Vorfälle häufig lange unentdeckt. Daher sollten Unternehmen eine zusätzliche Sicherheitsschicht in Form von Netzwerkkontroll-Tools in den DNS-Server integrieren. Damit könnten Sicherheits-Teams potenziell bedrohliche DNS-Anfragen in Echtzeit und kontextabhängig verfolgen, analysieren und gegebenenfalls abwehren.
Norbert Pohlmann, Vorstand des Eco-Verbands, nennt Verschlüsselungstechnologien als wirksames Mittel. Selbst wenn der Diebstahl glücken sollte, seien codierte Daten für die Hacker wertlos. Zudem ruft er zu stärkeren Initiativen in Wirtschaft und Verwaltung für den Aufbau sicherer und robuster IT-Systeme auf und betont die Notwendigkeit des regelmäßigen Patchens der Systeme.
Ein Weckruf für mehr Risikobewusstsein
Kai Grunwitz, Senior Vice President NTT Security, sieht in dem Vorfall einen Anlass, sich intensiv mit den konkreten Cyberrisiken zu beschäftigen, anstatt in rechtlichen Aktionismus zu verfallen: "Nicht strengere Gesetze, sondern mehr Bewusstsein bei Usern ist der Schlüssel, um den wachsenden Datenklau in Schach zu halten."
Grunwitz wünscht sich im Digitalen dasselbe Sicherheitsbewusstsein, das die meisten Menschen im analogen Alltag hätten: "So wie wir unsere Brieftasche an unsicher geltenden Orten wie Großstädten, Bahnhöfen oder auf Großveranstaltungen instinktiv zum Schutz vor Kriminellen verstecken, genauso müssen wir auch unsere privaten Daten ganz selbstverständlich und völlig intuitiv vor Diebstahl schützen." Mehr Eigenverantwortung sei der Schlüssel zu einem wirksamen Cyberschutz und unverzichtbar in der digitalen Welt.