Unbekannte haben sensible Informationen von Politikern, Prominenten und Journalisten veröffentlicht. Wer steckt dahinter? Was enthält das Leak? Und wie sind die Angreifer an die Daten gelangt?

Von Jana Anzlinger, Constanze von Bullion, Simon Hurtz und Hakan Tanriverdi

Seit Anfang Dezember verbreitete ein Twitter-Account Links zu Datensätzen, die sensible Informationen über Politiker, Prominente und Journalisten enthalten. Das Leak enthält etwa Handynummern, Adressen, Chatprotokolle und private Fotos. Die Daten sind offenbar echt. Die wichtigsten Antworten im Überblick:

Wo wurden die Daten veröffentlicht?

Die Daten wurden auf einer Reihe von Plattformen veröffentlicht. Von einem Twitter-Konto aus wurden Links zu den Dokumenten verbreitet. Dabei handelt es sich um Text-Dateien und Verweise auf sogenannte Pastes. Das sind meist anonym genutzte Webseiten, auf denen Texte und Dokumente öffentlich gemacht werden. Dort findet sich eine Art Übersicht über die enthaltenen Dateien, darunter Handynummern, E-Mail-Adressen, Geburtsurkunden und weitere deutlich größere Datenpakete.

Für alle betroffenen Parteien gibt es darüber hinaus Videos, in denen die einzelnen Leaks in Kürze dargestellt werden. Auch auf wenig bekannten Plattformen wie Steemit finden sich Links zu den Dokumenten.

Was ist über die Verbreiter bekannt?

Die Identität des oder der mutmaßlichen Hacker ist bislang unklar. Der Twitter-Account existiert seit knapp vier Jahren und wurde angeblich von Hamburg aus betrieben, wie er selbst in seiner Kurz-Biografie angab. Offenbar handelte es sich um einen Rechner mit einer deutschsprachigen Windows-Installation. In der Anfangszeit likte der Account Tweets, die sich auf die Gaming-Szene, Memes und Youtube beziehen.

Das Tech-Portal Heise berichtet, dass der Account früher einem Youtuber gehörte und später mutmaßlich gehackt und von Unbekannten übernommen wurde. In der Folge wurden die Likes politischer: Der Account favorisierte Inhalte, die sich über die "linksversiffte Brille", "grenzdebile Gutmenschen" und "nichtsnutzige Fachkräfte" auslassen. Außerdem beinhalten die gelikten Tweets mehrere direkte Antworten an Jan Böhmermann, die den Satiriker kritisieren oder angreifen.

Der Youtuber Tomasz Niemiec hat Kontakt zu dem mutmaßlichen Hacker, der Daten von Politikern und Journalisten ins Netz stellte. Der SZ sagte er im Interview, dieser habe vor allem Aufmerksamkeit bekommen wollen und deshalb den Account des prominenten Youtubers Simon Unge gekapert. Es handle sich um eine Einzelperson und nicht um eine Gruppe. Inwieweit der Hacker politische Motive hat, ist unklar.

In den vergangenen Jahren wurden deutsche Politiker mehrfach Opfer ausländischer Hacker. Hinter einem Angriff auf das Netz des Bundestags steckte etwa mutmaßlich eine russische Gruppe. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte mit, der Fall werde "derzeit in enger Abstimmung mit weiteren Bundesbehörden intensiv" geprüft. Das nationale Cyber-Abwehrzentrum habe die zentrale Koordination übernommen. Nach jetzigem Kenntnisstand seien die Regierungsnetze nicht betroffen. Das Bundeskriminalamt sichtet die Daten und prüft, woher sie stammen.

Twitter und Google haben mittlerweile reagiert und das Konto und den Blog gelöscht. Auf Twitter finden sich mehrere ähnliche Accounts, die den Link auf den mittlerweile entfernten Google-Blog in ihrer Kurz-Biografie angeben und womöglich von denselben Personen betrieben werden. Darauf wurde die SZ vom Twitter-Account @internetwache hingewiesen.

Was beinhalten die Daten?

Betroffen sind Abgeordnete aller Bundestagsfraktionen - außer womöglich der AfD. Sie taucht nicht oder zumindest nicht in großem Umfang auf. So sind etwa Datensätze von Abgeordneten der anderen Parteien vorhanden, aber keine eigene AfD-Liste. Dem Innenministerium zufolge "liegen den ermittelnden Behörden nach derzeitigem Stand keine Erkenntnisse dazu vor, dass Politikerinnen oder Politiker der AfD von der Veröffentlichung betroffen sind".

Auf Nachfrage sagte ein Sprecher des Bundesinnenministeriums, er sei zunächst davon ausgegangen, dass alle Bundestagsparteien betroffen sind. Er wolle nun überprüfen, ob die AfD von dem Angriff verschont geblieben sei. Es sind auch Abgeordnete enthalten, die erst in der aktuellen Legislaturperiode ins Parlament eingezogen sind. Das erklärt also nicht, warum die AfD allem Anschein nach fehlt.

Auch Europäisches Parlament, Parteizentralen sowie Landes- und Kreisverbände von CDU, CSU, SPD, Grünen, Linke und FDP sind dabei. "Betroffen sind Politiker und Mandatsträger aller Ebenen", sagt eine Regierungssprecherin. In Bezug auf das Kanzleramt sehe es "nach erster Sichtung so aus, dass keine sensiblen Informationen und Daten in den Veröffentlichungen enthalten sind, auch nicht in Hinblick auf die Bundeskanzlerin". Allerdings finden sich zwei E-Mail-Adressen und eine Fax-Nummer von Angela Merkel.

Es gibt allerdings auch Betroffene, bei denen eine Menge sensible Daten veröffentlicht wurden. Neben dem Grünen-Bundestagsabgeordneten Konstantin von Notz zählt auch der Grünen-Vorsitzende Robert Habeck zu ihnen. Nach Auskunft eines Parteisprechers wurden Habecks Kontonummern, sämtliche Mailadressen, aber auch Fotos seiner Familie ins Netz gestellt. Zudem gehören vollständige Chatverläufe zwischen Habeck und seiner Frau und seinen Söhnen zu den gestohlenen Daten.

Habeck wollte sich zu dem Vorfall am Freitag nicht äußern. Nach derzeitigen Erkenntnissen sind allein bei den Grünen 105 Personen aus dem Umfeld der Partei betroffen, von Bundestags- und Landtagsabgeordneten bis hin zu ehrenamtlichen Mitarbeitern. "Das ist ein klarer Angriff auf den politischen Meinungsbildungsprozess", sagte ein Parteisprecher. "Da sollen Leute eingeschüchtert und diskreditiert werden." Die Botschaft der Hacker sei: "Wir wissen alles über euch." Davon lasse man sich aber nicht einschüchtern.

Außerdem enthalten die Leaks Datensätze zu Bands wie K.I.Z., Casper und Marteria, von Prominenten wie Til Schweiger und mehreren großen Youtube-Kanälen. Die Daten enthalten teils sensible Informationen wie Chats, Kontaktdaten und private Fotos. Auffällig ist, dass die Hacker offenbar etliche Mitarbeiter von Medien angegriffen haben. Darunter sind Journalisten von ARD und ZDF sowie von Funk, das junge Angebot der Öffentlich-Rechtlichen. Viele der Betroffenen arbeiten für tendenziell eher linksliberal orientierte Sendungen, etwa Oliver Welke (Heute Show) oder Christian Ehring (extra 3).

Von Jan Böhmermann und Rayk Anders, die vor der Bundestagswahl mit der Bewegung "Reconquista Internet" und der Dokumentation "Lösch dich" auf rechtsradikale Trolle aufmerksam machten, finden sich ebenfalls Daten. Der Account kommentierte am 1. Dezember: "Das 1. Türchen geht an J. Böhmermann und an sein tolles Projekt 'reconquista internet'. Nette Sachen mit denen man Spaß haben kann." Der Manager von Böhmermann sagte der ARD, das Leak enthalte keine neuen Informationen über den Moderator. Die Daten seien bereits zuvor von Unbekannten gestohlen und veröffentlicht worden.

Wie sind die Hacker an die Daten gelangt?

Noch lässt sich das nicht abschließend klären. Klar ist aber, dass die Täter sich in verschiedene Accounts gehackt haben. Einer der betroffenen Politiker teilte der SZ mit, dass sein E-Mail- und Facebook-Konto im Sommer vergangenen Jahres von Dritten übernommen wurde. Er habe Anzeige erstattet, jedoch habe sich kein Täter ermitteln lassen. Der Mann konnte die Kontrolle über beide Accounts wiedererlangen und so erkennen, dass der oder die Täter aktiv gewesen waren: "Ich habe nachvollziehen können, dass mehrere Politiker über meine Accounts angesprochen worden sind", sagte er.

Ein betroffener Youtuber sagte der SZ, dass er unvorsichtig gewesen sei und eine alte E-Mailadresse bei Facebook verwendet habe. Das habe es dem Hacker ermöglicht, seinen Account zu übernehmen. Alle bisherigen Informationen deuten darauf hin, dass der Hacker viele einzelne Accounts auf unterschiedlichen Wegen angegriffen hat und die Daten nicht gesammelt aus einem einzigen großen Leak stammen. Womöglich hat er dafür Leaks aus früheren Hacks gesammelt und mit Informationen kombiniert, die er selbst erbeutet hat. Das vermutet Datenexperte Luca Hammer.

Die große Zahl der enthaltenen Personen bedeutet nicht, dass alle Betroffenen selbst gehackt wurden. Vermutlich wurden nur einzelne Accounts übernommen und deren Adressbücher und Chatverläufe ausgelesen. Diese Daten geben dann wiederum Rückschlüsse auf Dritte.

Sind die Daten echt?

Ein Großteil der Informationen, die die SZ bislang geprüft hat, scheinen echt zu sein. Teilweise sind veraltete Daten enthalten. Auf welche Art und Weise die Daten abgeflossen seien, "lässt sich noch nicht mit Sicherheit feststellen", sagt ein Sprecher des Innenministeriums. Erste Analysen zeigten, dass es sich sowohl um "relativ aktuelle als auch um ältere Datenpakete handelt".

Der SPD-Bundestagsabgeordnete Florian Post sagte der dpa, dass nicht alle ihn betreffenden Daten echt seien. "Es ist mindestens eine gefälschte Datei dabei. Die gehört mir nicht, sie wurde mir nie geschickt, und ich habe sie nicht gespeichert", sagte er. Andere Informationen seien aber echt. So seien etwa Kontoauszüge von ihm veröffentlicht worden. "Man fühlt sich ausgeliefert, ich bin ziemlich geschockt", sagte Post. Er wolle sich nun von einem Anwalt über mögliche rechtliche Schritte beraten lassen.

Was bedeutet der Hack für die betroffenen Politiker?

Das hängt damit zusammen, wie sensibel die veröffentlichten Dokumente sind. Wenn es sich um veraltete Informationen handelt, ist das Ausmaß gering. Handynummern lassen sich ändern. Sind die Daten jedoch sensibel, kann der Schaden größer werden.

Eine zentrale Frage wird sein, ob sich die Informationen aus dem Netz entfernen lassen. Teilweise finden sich Links zu Filehostern, in deren Cloud Hunderte Fotos enthalten sind. Es ist davon auszugehen, dass die größeren US-Konzerne die Daten löschen werden, sobald sie entsprechende Hinweise erhalten.

Doch ob die Daten sich von allen Plattformen löschen lassen, bleibt fraglich. Teilweise wurden sie auf Webseiten hochgeladen, die eine Blockchain verwenden. Dabei handelt es sich um eine Technik, die gerade auch darauf ausgelegt ist, dass dort hochgeladene Informationen sich nicht verfälschen, also auch nicht löschen lassen. Mittlerweile dürften so viele Menschen im Besitz der Daten sein, dass sie immer wieder auf anderen Hostern veröffentlicht werden können.

Wieso standen die Daten so lange unbemerkt im Netz?

Der Account veröffentlichte die Leaks scheibchenweise im Rahmen eines perfiden Adventskalenders bei Twitter. Die Tweets blieben etwa einen Monat lang nahezu unbemerkt. Am Donnerstag berichtete der Youtuber Simon Unge, dass sein Account gehackt worden sei. Möglicherweise erhielt das Datenleak dadurch Aufmerksamkeit. Die dpa berichtet unter Berufung auf Sicherheitskreise, das Leak sei durch Anrufe von Unbekannten bei dem SPD-Politiker Martin Schulz bekannt geworden. Den Angaben zufolge hatte ein Mitarbeiter des ehemaligen SPD-Spitzenkandidaten am Donnerstag der Polizei in Aachen mitgeteilt, Schulz sei von Fremden auf seiner nicht öffentlich zugänglichen Nummer angerufen worden. Daraufhin wurde den Angaben zufolge auch das Landeskriminalamt von Nordrhein-Westfalen aktiv.

Warum Google und Twitter die Domain und den Account erst spät löschten, ist noch unklar. Google verweist auf Anfrage auf die Inhalte-Richtlinien seines Blogspot-Dienstes. Sie untersagen unter anderem, persönliche und vertrauliche Informationen von Dritten zu veröffentlichen. Den Einzelfall will Google nicht kommentieren.

Wie können Sie sich vor Hackerangriffen schützen?

Sie sollten einige grundlegende Regeln der IT-Sicherheit beachten:

Damit können Sie zumindest das Risiko minimieren, selbst Opfer eines Angriffs zu werden. Wenn allerdings Personen gehackt werden, mit denen Sie in Kontakt stehen, sind Ihre Daten in Gefahr, ohne dass Sie Einfluss darauf nehmen können. Deshalb sollten Sie sensible Informationen nur weitergeben, wenn Sie den Empfängern vertrauen, sorgsam damit umzugehen und die Daten zu schützen.