Spurensuche Cyberangriff - was bisher bekannt ist
Die massenhafte Veröffentlichung sensibler Daten im Internet wirft viele Fragen auf. Wer steckt hinter dem Cyberangriff? Wer ist betroffen? Und wie geht es jetzt in den Ermittlungen weiter?
Was wissen wir über den oder die Täter?
Die Daten sind über einen Twitter-Account verbreitet worden. Die ersten Daten wurden auf dem Account am 19. Juli 2017 veröffentlicht, damals zu Jan Böhmermann. Dann folgte nach vereinzelten weiteren Informationen eine längere Lücke zwischen August 2017 und August 2018. Gezielter wurden Daten im Dezember 2018 als eine Art Adventskalender veröffentlicht.
Nach NDR-Informationen gibt es Indizien dafür, dass ein Einzeltäter für den Hackerangriff verantwortlich sein könnte. Der Hacker "Orbit" soll bereits vor zwei Jahren den Twitter-Account eines YouTube-Stars gekapert haben.
Auch nach Informationen des Portals "t-online" ist der Hacker seit Jahren aktiv. Der YouTuber Tomasz Niemiec (DerTomekk) sagte gegenüber "t-online", er habe noch in der Nacht zum Freitag mit dem Hacker gechattet. Ihm sei es vor allem darum gegangen, Aufmerksamkeit zu bekommen.
Wer ist betroffen?
Die Veröffentlichung beginnt mit privaten Daten bekannter Moderatoren wie Jan Böhmermann oder Christian Ehring. Es folgen Journalistinnen und Journalisten von ARD und ZDF, YouTuber, Schauspieler, Rapper und bekannte Bands. Unter anderem ist Schauspieler Til Schweiger betroffen.
Hinter den Adventskalendertürchen 20 bis 24 befinden sich schließlich die Datensätze von FDP, Linkspartei, Grünen, SPD und Union - damit sind nach bisherigen Informationen bis auf die AfD alle im Bundestag vertretenen Parteien betroffen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärte, tatsächlich gehackt worden sei ein "höherer zweistelliger Betrag von Personen". Dabei wurden offenbar auch Daten anderer Betroffener erbeutet. Laut BSI-Präsident Schönbohm umfasst das Gesamtmaterial mehr als tausend Datensätze.
Was wurde erbeutet?
Erbeutet wurden alte aber auch aktuelle Datensätze - auch von prominenten Politikern: Von Bundeskanzlerin Angela Merkel sollen eine Fax-Nummer und eine E-Mail-Adresse sowie mehrere Briefe geleakt worden sein. Vom Grünen-Parteichef Robert Habeck sind nach Medienrecherchen auch zahlreiche private Informationen an die Öffentlichkeit gelangt: Urlaubsfotos oder Chats mit Familienmitgliedern.
Neben interner Kommunikation sind auch Adresslisten und Handynummern veröffentlicht worden, ebenso Informationen über Pässe und Kreditkarten. Ob sich politisch brisante Inhalte in dem Material befinden, ist noch unklar.
Nach Angaben der Vize-Regierungssprecherin Martina Fietz gelangten keine sensiblen Informationen in die Öffentlichkeit.
Wie wurde vorgegangen?
Bisher ist auch noch nicht restlos geklärt, wie die Täter an die Daten kamen. "Nach einer ersten Analyse deutet vieles darauf hin, dass Daten durch die missbräuchliche Nutzung von Zugangsdaten zu Clouddiensten, zu E-Mail-Accounts oder zu sozialen Netzwerken erlangt wurden", erklärte Bundesinnenminister Horst Seehofer.
Die vorliegenden Daten und Informationen der Betroffenen lassen nach Recherchen von NDR, WDR, "SZ" auf folgendes Vorgehen schließen: Ein Account könnte durch Phishing oder durch das Erraten des Passworts gekapert worden sein. Von diesem Account aus werden die Passwörter bei weiteren Diensten zurückgesetzt und die Accounts weiterer Dienste übernommen. Aus dem Gespräch mit einem Opfer ist bekannt, dass in seinem Namen sogar versucht wurde, bei Behörden weitere Informationen abzufragen. Die Rechtschreibung des Angreifers war schlecht.
Wie geht es jetzt weiter?
Die Ermittlungen zu dem Fall werden im Nationalen Cyberabwehrzentrum koordiniert, in dem die Sicherheitsbehörden zusammenarbeiten. In die Ermittlungen sind zahlreiche Behörden involviert, darunter das BSI, das Bundesamt für Verfassungsschutz (BfV), das Bundeskriminalamt (BKA) und Sicherheitsbehörden in den Ländern. Die Bundesanwaltschaft prüft, ob sie sich ebenfalls einschalten sollte.
Die Ermittler versuchen herauszufinden, wer hinter der Sache steckt. Laut Innenministerium wollen sie zudem unterbinden, dass die Daten weiter im Internet abgerufen werden können. Betroffene sollen informiert werden und, falls nötig, Hilfestellung dafür bekommen, wie sie jetzt weiter vorgehen sollen. Der Twitter-Account ist inzwischen gesperrt.