Über kein Thema ist in den deutschen Nachrichten in den letzten Tagen so viel zu lesen wie über das große Daten-Leak von deutschen Politikerinnen, YouTubern, Journalistinnen und Promis. Ihre Handynummern, Adressen und Protokolle privater Chats kursieren jetzt im Netz. Obwohl die Daten schon im Dezember auf Twitter verbreitet wurden, erfuhr die Öffentlichkeit erst ab dem 3. Januar davon. Einige geleakte Infos sind nachweislich echt, andere offenbar frei erfunden, wie Betroffene gegenüber Motherboard erzählten.

Während nun Journalisten, Politikerinnen, Bloggerinnen und Twitter-Nutzer das Internet mit Recherchen, Kommentaren und Spekulationen vollschreiben, passieren auch einige Patzer. Sind die Hacking-Skills der Person oder Gruppe hinter dem Leak wirklich so groß, wie alle sagen? Das lässt sich bezweifeln.

Damit ihr sicher durch den Wust aus Kommentaren navigieren könnt und nicht selbst fragwürdige Infos verbreitet, haben wir die Reaktionen auf den Daten-Leak gesammelt – und nach Verpeiltheit geordnet.

1. Einfach mal behaupten, alle Personen aus dem Leak wurden “gehackt”

“Hunderte Prominente und Politiker gehackt”, titelt ZDF.de zu einem Video aus der Fernsehsendung heute – in europa. Auch Zeitungen wie zum Beispiel die Mittelbayerische schreiben: “Hunderte Politiker und Promis gehackt”. Wer flüchtig Schlagzeilen wie diese hört, könnte sich denken: Hinter diesem Leak müssen rekordverdächtige Hacking-Künste stehen.

Inzwischen zeichnet sich aber ein anderes Bild ab. Die Person oder die Gruppe hinter dem Leak hat es offenbar darauf angelegt, maximal zu beeindrucken und möglichst viele Namen zu nennen. Aber über viele Personen hat der Leak nur wenige Informationen zu bieten, beispielsweise Telefonnummern, E-Mail- und Postadressen, teilweise veraltet.

Solche Daten lassen sich zum Beispiel auch aus vergangenen Leaks zusammenkratzen – und aus den Adressbüchern einiger weniger gehackter Personen. Nur weil ein Name in einem Datensatz auftaucht, heißt das also nicht, dass die Accounts der Person auch wirklich gehackt wurden. Vieles deutet daraufhin: Es wurden nicht “Hunderte” Personen gehackt, sondern deutlich weniger.

2. Links zu den geleakten Daten in den Nachrichten verbreiten

Politiker und Journalistinnen haben den Hack scharf verurteilt. Justizministerin Katarina Barley (SPD) sprach auf Twitter von einem “Angriff” auf einen “Grundpfeiler unserer Demokratie”; die Nachrichtenseite SZ.de titelt: “Dieser Angriff gilt der ganzen Gesellschaft“. Es scheint, es wären sich alle einig: Private Infos von Personen zu verbreiten, das geht gar nicht.

Und dann zeigt eine große, öffentlich-rechtliche Nachrichtensendung, die Tagesschau, in einem Online-Videobeitrag Links zu den geleakten Daten – und zwar Links, die immer noch funktionieren. Wer die Links vom Bildschirm abtippt, gelangt zu Seiten, wo sich die geleakten Daten herunterladen lassen.

Dahinter steht ein größeres Problem: Der Hack ist vorbei, das Leak aber noch lange nicht. Das Schlimme an einem Daten-Leak ist, dass viele Fremde an private Daten gelangen und sie missbrauchen können; sie können die Betroffenen erpressen, stalken oder einfach nur extrem nerven. Je mehr Fremde Zugang zu den Daten haben, desto schlimmer. Wenn nun Nachrichtenmedien oder Nutzerinnen diese Links verbreiten, können sie den Schaden für die Betroffenen zusätzlich vergrößern.

Das erwähnte Video ist inzwischen nicht mehr online. Motherboard hat die Redaktion der Tagesschau am 7. Januar per E-Mail um eine Stellungnahme gebeten. Wenig später wurde das Video aus dem Netz genommen. “Die Tagesschau möchte nicht an der Verbreitung persönlicher Daten mitwirken”, heißt es zur Begründung. “Weil in einer Sequenz aber kurzzeitig noch Links erkennbar waren, wurde das betroffene Video offline gestellt.” Die Redaktion werde künftig stärker darauf achten, dass Links an keiner Stelle zu erkennen sind, heißt es weiter.

3. Haargenau aufzählen, wer alles mit welchen Daten betroffen ist

“Ich erzähle euch gerne davon, wie das bei mir abgelaufen ist”, sagte ein vom Leak betroffener YouTuber im Gespräch mit Motherboard. “Aber bitte erwähnt nicht meinen Namen. Es sollen nicht noch mehr Leute erfahren, dass es bei mir gerade etwas zu holen gibt.”

Dahinter steht ein ähnliches Problem wie beim Verbreiten von Links zu den geleakten Daten. Je mehr Journalisten und Social-Media-Nutzerinnen berichten, welche Infos von welchem Promi im Netz kursieren, desto größer wird der Schaden. In zahlreichen Online-Artikeln und Social-Media-Beiträgen kursieren Listen der betroffenen Personen, teilweise sogar mit Stichworten, welche Art von Daten genau geleakt wurden: Telefonnummer, Adresse, Foto.

Längst haben die Medienberichte zu dem Leak viel mehr Aufmerksamkeit erzeugt als die ursprünglich auf Twitter verbreiteten Links. Die ersten Tweets zu dem Leak wurden nur von wenigen Accounts retweetet oder gelikt; kaum einer hat sich dafür interessiert. Vieles spricht dafür, dass die Person oder die Gruppe hinter dem Leak Politikerinnen und Promis öffentlich bloßstellen wollten. Das ist inzwischen gelungen – vor allem durch die eher ungewollte Mithilfe von Nachrichtenmedien und aufgeregten Nutzern.

Diesen Effekt bestätigt auch der betroffene YouTuber im Gespräch mit Motherboard. Wochenlang stand seine Handynummer öffentlich im Netz und nichts sei passiert. Erst seit Medien ab dem 3. Januar davon berichteten, klingelten anonyme Anrufer bei ihm.

4. Fordern, dass die Polizei jetzt zurückhacken muss

Man müsse rechtliche Möglichkeiten für einen sogenannten Hackback schaffen, so zitieren mehrere Nachrichtenmedien den CDU/CSU-Vizefraktionschef Thorsten Frei nach dem Daten-Leak. Diese Forderung ist nicht nur maximal verpeilt, sie würde das Problem sogar noch schlimmer machen.

Hackback heißt, das auch Ermittlungsbehörden auf der Jagd nach Hackern selbst hacken dürfen, also in fremde Systeme eindringen. Das klappt aber nur mit offenen Sicherheitslücken, die die Ermittler für sich behalten. Bei einem Hackback hat also der Staat plötzlich das Interesse, dass in den Geräten seiner Bürgerinnen und Bürger Lücken klaffen. Fakt ist: Jede Sicherheitslücke, die eine Ermittlungsbehörde im Auftrag des Staats nutzt, könnten Hackerinnen ebenso entdecken und missbrauchen.

Viele Sicherheitsexperten kommen deshalb zu dem Schluss: Es wäre unterm Strich sicherer, wenn Ermittelnde Sicherheitslücken nicht zum Hacken nutzen, sondern so schnell wie möglich den Tech-Firmen mitteilen, damit sie gestopft werden. Nur das würde langfristig dazu führen, dass weniger Menschen gehackt werden.

Fazit: Bleibt locker und checkt eure Passwörter

Der größte Problem in der IT-Sicherheit sind nach wie vor wir selbst, nicht etwa geniale Meisterhacker. Wenn ihr nicht gerade Journalisten, Politiker oder Aktivistinnen seid, dann ist die größte Hacking-Gefahr wohl die eigene Schludrigkeit. Denn immer wieder funktionieren beim Hacken die alten Tricks: schlechte Passwörter und schwache Sicherheitsfragen zum Beispiel – oder Phishing-E-Mails mit Links zu gefälschten Websites, auf denen wir freiwillig unsere Passwörter eingeben.

Während die Medien- und Twitter-Menschen da draußen schon ihre nächsten großen Gedanken zum Leak in Worte fassen, könnt ihr die Gelegenheit nutzen und euch absichern:

Checkt eure Passwörter, richtet Zwei-Faktor-Authentifizierung ein, verschlüsselt eure Chats und Geräte und fallt nicht auf Phishing-Versuche rein. Und wer es ganz genau wissen möchte, kann sich diesen detaillierten Anti-Hacking-Guide unserer US-Kollegen anschauen.

Update, 9. Januar, 15 Uhr: Wir haben den Artikel um ein Statement der ‘Tagesschau’-Redaktion ergänzt.

