Screenshot des inzwischen gesperrten Twitter-Accounts | Bildquelle: dpa

Datendiebstahl "0rbit will mit Erfolgen prahlen"

Stand: 07.01.2019 20:12 Uhr

Der Hacker, der die persönlichen Daten von Politikern und Prominenten veröffentlicht hat, nennt sich "0rbit". Eine Spur führt zu Jan S., der vorgibt, "0rbit" gut zu kennen - und Sicherheit im Internet verkauft.

Von Svea Eckert, Peter Hornung und Jan Strozyk, NDR

Der Angreifer kam mit zahlreichen Namen daher, aber stets mit demselben Ziel: Maximale Aufmerksamkeit. Als "Nullr0uter" soll er bereits seit Jahren private Daten von YouTube-Stars veröffentlicht haben, als "0rbit" stellte er die Daten von fast 1000 Politikern und Prominenten ins Netz. Bei den meisten wurden nur die E-Mail-Adresse oder die Handynummer veröffentlicht, bei rund 50 Betroffenen allerdings auch Ausweis-Kopien, private Fotos, Verträge und Videos gegen ihren Willen.

Warum macht "0rbit" das? Reporter von NDR und "Süddeutscher Zeitung" haben mit mehreren Menschen gesprochen, die sagen, den Hacker durch gemeinsame Chats und Internet-Gespräche zu kennen. Sie alle behaupten: Dieser Hacker möchte zeigen, was er kann.

Innenministerium will Cyberabwehrzentrum stärken
Morgenmagazin, 08.01.2019, Anja Köhler, ARD Berlin

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Geltungssucht als Motiv

"Er will mit seinen Erfolgen prahlen", sagte etwa Thomas Hackner, der auf YouTube unter dem Pseudonym HerrNewstime eine erfolgreiche Video-Kolumne betreibt. Hackner kennt "0rbit" nach eigenen Angaben seit vier Jahren. "Er wirkte auf mich zurückhaltend und sehr jung."

Sich selbst beschrieb "0rbit", der sich gelegentlich auch "0rbiter" nennt, als "unverhaftbar" und "unzurückverfolgbar", als er im Jahr 2015 das Konto der Youtuber-Gruppe "PietSmiet" übernommen hatte. Bereits damals veröffentlichte er die erbeuteten Informationen auf ähnliche Weise wie bei dem Angriff jetzt auf Politiker und Prominente.

Schon seit Jahren berüchtigt

Unter deutschen YouTube-Künstlern ist der Hacker schon seit einigen Jahren berüchtigt. Doch mit der jüngsten Bloßstellung geraten auch Politiker in sein Visier. Ein Wegbegleiter, der vorgibt, "0rbit" schon lange zu kennen, sagte: "Zuletzt hat er sich in eine immer rechtsradikalere Richtung entwickelt und sich immer stärker politisiert." Er habe dann nur noch Opfer ausgesucht, "gegen die er selbst eine Abneigung entwickelt hat".

Reporter von NDR und SZ konnten mit einem Opfer des jüngsten Hacking-Angriffs ausführlich über die Vorgehensweise des Hackers sprechen. Bereits im Dezember 2017 hatte sich der Hacker zunächst Zugang zu dem E-Mail-Konto des Opfers bei einem Webmail-Anbieter verschafft, indem er das offenbar zu einfache Passwort mutmaßlich durch automatisches Ausprobieren erraten hat.

Cybersicherheit und YouTuber
tagesthemen 22:15, 07.01.2019, Svea Eckert, NDR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Gehacktes E-Mail-Konto als Schlüssel

Nachdem der Hacker einmal Zugang zu dem E-Mail-Konto hatte, hat er von dort aus im Namen des Opfers E-Mails verschickt - zum Beispiel an den Kundendienst von Twitter, mit der Bitte, das Passwort für das Konto des Opfers zurückzusetzen, weil er es vergessen habe.

Da der Angreifer Kopien persönlicher Dokumente des Opfers in den E-Mails gefunden hatte, konnte er gegenüber Twitter glaubhaft auftreten: "Ich kann meinen Personalausweis und oder meinen Reisepass einsenden um mich zu bestätigen." Auch an den Arbeitgeber des Opfers hat er in dessen Namen eine E-Mail geschickt, mit der Bitte, das Passwort für das Twitter-Konto des Arbeitgebers noch einmal zu schicken: "Hey, ich bräuchte mal das Twitter Passwort^^ ich habe es nicht mehr", heißt es salopp im Wortlaut in der E-Mail.

Technisch nicht sonderlich raffiniert

Das Vorgehen ist technisch nicht besonders ausgeklügelt, es benötigt vor allem Zeit und Geduld. So erklärt sich womöglich auch die Zusammensetzung seiner jüngsten Veröffentlichung, in der sich zum Teil sehr alte Informationen von wenig bekannten Personen der Netzszene neben privaten Details und Gesprächsprotokollen von Spitzenpolitikern finden. Der Angreifer hat dabei auch Informationen verwendet, die er über Jahre hinweg gesammelt hat - entweder aus eigenen Angriffen, oder aus den Veröffentlichungen anderer Hacker.

Der RBB berichtete, dass das Bundeskriminalamt die Wohnräume von Jan S. einem jungen Mann in Heilbronn, durchsucht hat. Auf Twitter teilte Jan S. mit: "Das BKA hat gestern in einer mehrstündigen Razzia meine Wohnung durchsucht." Der Mann werde von den Ermittlern bisher als Zeuge geführt, der Tatverdacht richte sich gegen einen oder mehrere andere Täter, erklärte Georg Ungefuk, Sprecher der zuständigen Schwerpunktstaatsanwaltschaft Gießen. Einen Teil von Jan S.s Computern und Handys haben die Ermittler beschlagnahmt.

Jan S. weist Vorwürfe zurück

Jan S. selbst hat stets dementiert, etwas mit dem Ausspähen der Daten zu tun zu haben. In sozialen Netzwerken wettert er gegen die "zurückgebliebenen Vollidioten", die ihn für den Angreifer halten. Recherchen von NDR und "Süddeutscher Zeitung" zeigen allerdings, wie eng Jan S. mit dem unbekannten "0rbit" zusammen hängt.

Demnach hat S. eine Webseite mit der Adresse dox.sx im März 2015 registriert. Das geht aus einer alten Eigentümer-Abfrage der Adresse hervor, die NDR und SZ vorliegt. Später löschte Jan S. alle Informationen wieder, die seinen Namen mit der Webseite in Verbindung bringen. Die Seite selbst ist mittlerweile gelöscht worden.

Dementis nicht ganz glaubwürdig

Im Februar 2018 hatte "0rbit" sie jedoch als eigene Homepage in seinem Twitter-Profil eingetragen. Im Sommer 2018 setzte "0rbit" zwei Twitter-Nachrichten ab, die auf die Seite verlinkten. Er nutzte offenbar die von Jan S. betriebene Webseite, um private Informationen aus seinen Beutezügen zu verbreiten. Ein Teil der damals auf dox.sx abrufbaren Privat-Daten findet sich nun auch in dem jüngsten Leak des Hackers wieder. Am Samstag behauptete Jan S., dass sich "0rbit" mit einer verschlüsselten Nachricht bei ihm gemeldet habe und "die Vernichtung von Hardware (PC, usw.) bestätigt" habe.

Verfahren wegen Erpressung gegen Jan S.

Nach Informationen von NDR und SZ musste sich Jan S. außerdem vor zwei Jahren wegen versuchter Erpressung nach einem Hacker-Angriff vor dem Amtsgericht Heilbronn verantworten. Der damals noch minderjährige S. erhielt offenbar unter anderem die Auflage, seine Webseiten abzumelden und sich "aus der Computerszene fernzuhalten". Das legen Dokumente nahe, die dazu im Internet kursieren. S. sagte auf Anfrage, das Verfahren sei damals eingestellt worden und mit dox.sx habe er nichts zu tun.

Sein Geld verdient Jan S. übrigens als Entwickler. Er betreibt in Heilbronn eine Firma, die "Sicherheit" im Internet verspricht. Dort wirbt die Firma mit dem Satz: "Die Wahrung der Privatsphäre bei Personen des öffentlichen Lebens wird oftmals eingeschränkt. Gerne beraten wir Sie, um Ihnen bestmöglichen Schutz zu bieten."

Über dieses Thema berichtete die tagesschau am 07. Januar 2019 um 12:00 Uhr.

Korrespondent

Jan Strozyk, NDR | Bildquelle: NDR/Christian Spielmann Logo NDR

Jan Lukas Strozyk, NDR

Korrespondent

Peter Hornung, NDR | Bildquelle: Klaus Westermann | NDR Logo NDR

Peter Hornung, NDR

Darstellung: