Dieser Beitrag entstand während des Weiterbildungslehrgangs MAS Economic Crime Investigation und wurde von der Studienleitung als überdurchschnittlich bewertet.

Von Ramona Tollardo

Das Internet vergisst nie. Genau dies machen sich sogenannte «Doxer» zu Nutze. Sie bedienen sich an Informationen, von denen wir uns wahrscheinlich nicht bewusst sind, dass wir sie überhaupt preisgegeben haben. Geschweige denn, was sie über uns aussagen.

Am 4. Januar 2019 berichtete der Rundfunk Berlin-Brandenburg über einen angeblichen Hacker-Angriff auf deutsche Politiker, Journalisten, Künstler und Youtuber. Dabei sind teils sensible Daten dieser Personen im Internet veröffentlicht worden. Die Daten wurden im Rahmen eines Adventkalenders auf Twitter publiziert, wobei jeden Tag ein neuer Link zu einem Datenpacket gepostet wurde. In der Folge wurde in zahlreichen Medien über diesen Vorfall berichtet, so auch im SRF Schweizer Radio und Fernsehen. In der Tagesschau vom 4. Januar 2019 wurde sodann auch ein Beitrag über die Gefahr von Cyberattacken in der Schweiz ausgestrahlt, aus welchem hervorgeht, dass mit solchen Attacken auch in der Schweiz in Zukunft immer häufiger zu rechnen sei. Vorschnell wurde von einem «Mega-Hack» ausgegangen, gar Gerüchte um geheimdienstliche Agententätigkeiten und russischer Einfluss machten die Runde, wie der Bericht von heise online vom 4. Januar 2019 zeigt. Nur drei Tage später, am 7. Januar 2019, korrigierte Spiegel Online Aussagen zum angeblichen Hacker-Angriff und stellte klar, dass die veröffentlichten Daten eher mit einer Recherche-Sammlung zu vergleichen sind, da einige der Informationen bereits mehrere Jahre alt sein dürften. Es handle sich somit viel eher um einen Doxing- als um einen Hacker-Angriff. Am 8. Januar 2019 wurde schliesslich ein 20-jähriger Schüler aus Mittelhessen festgenommen, welche die Tat gestanden hat, wie in der Berliner Morgenpost vom 16. Januar 2019 nachzulesen war.

Beim sogenannten Doxing oder auch Doxxing (aus dem englischen Wort documents, kurz dox abgeleitet) werden personenbezogene Informationen aus dem Internet zusammengetragen und hauptsächlich zum Nachteil der Betroffenen im Internet veröffentlicht. Doxing scheint eine neuere Erscheinung zu sein, immer mehr ist davon auch in Medienbeiträgen wie den oben erwähnten zu lesen

Das Phänomen «Doxing»

Werden Daten bzw. Informationen aus sogenannten Doxing-Attacken gegen den eigenen Willen bekannt gegeben, wird oft zunächst von einem Hacking-Angriff ausgegangen. Wie im Bericht der Berliner Morgenpost erwähnt, sind «Doxer» in erster Linie jedoch keine Hacker, sie sammeln vielmehr Informationen, die bereits im Internet öffentlich zugänglich sind (beispielsweise aus bereits bestehenden Datenlecks), und ergänzen diese allenfalls mit neueren Informationen, um dieses «Datenpacket» anschliessend zu veröffentlichen. Oft überwinden sie also keine Schranke, wie dies Hacker, die in ein fremdes System eindringen, tun müssen. Allerdings sei an dieser Stelle erwähnt, dass mit bereits öffentlich zugänglichen Datensammlungen aus Datenlecks Login-Informationen dazu genutzt werden können, um sich beispielsweise in Social Media Profile einzuloggen und dort wiederum Informationen abzugreifen. Der Hacker, der das Datenleck verursacht und so Informationen, die gegen seinen Zugriff besonders geschützt waren, abgegriffen hat, muss nicht zwingend die gleiche Person sein, welche die Daten dann strukturiert und für jedermann zugänglich und leserlich veröffentlicht. Ein «Doxer» kann also ohne spezielle Kenntnisse, jedoch mit viel Fleiss, Informationen aus Datenlecks nach besonders interessanten Personen durchforsten, diese Informationen gezielt strukturieren, mit neuen Informationen anreichern und sie anschliessend veröffentlichen. Es ist auch denkbar, dass sich jemand betroffen fühlt, da über ihn verschiedene Informationen gesammelt und anschliessend veröffentlicht wurden, ohne dass im Vorfeld irgendein Konto gehackt bzw. geleakt wurde. In einem solchen Szenario werden beispielsweise alle öffentlich zugänglichen Informationen über die Zielperson zusammengetragen, wie Informationen aus Social Media Plattformen, Bonitätsauskunfts-Services, Amazon-Shoppinglisten, persönliche Informationen aus der Homepage des Arbeitgebers, Handelsregistereinträge, etc. Die Liste der Quellen, die im Internet öffentlich zugänglich sind, ist endlos lange. Zahlreiche Online-Tools machen die Recherche zum Kinderspiel, wie beispielsweise «start.me». Macht sich also jemand die Mühe, diese Informationen zusammenzutragen, kann im ersten Moment der Eindruck entstehen, dass diese Informationen aus einem Hacking-Angriff stammen. Dies insbesondere, weil es am Bewusstsein fehlt, wo überall Informationen im Internet geteilt werden und wer diese, ohne eine besondere Sicherheitsschranke zu überwinden, einsehen kann. Trägt man die verschiedenen Informationen zusammen, kann man einerseits bestimmte Verhaltensweisen, Vorlieben, Interessen und Informationen über das Umfeld der Person herleiten, was an sich schon für einige Betroffene unangenehm sein dürfte. Andererseits bieten solche Informationssammlungen eine solide Grundlage für Wirtschaftsspionage, CEO-Fraud, oder vereinfacht gesagt, für die Lancierung eines eigentlichen Angriffes auf die Zielperson, die nur ausgeführt werden kann, wenn man genug über diese weiss. «Doxer» nutzen die leichtsinnige Streuung von Informationen ihrer Zielperson, deren Veröffentlichung im Netz auch Jahre her sein kann.

Strafrechtliche Relevanz

So betrachtet ist Doxing wohl eher eine Art bzw. der erste Schritt von Social Engineering und weniger als Cyberstraftat einzuordnen. Sehr wohl agieren «Doxer» hauptsächlich im Netz, sie überwinden jedoch oftmals keine Sicherheitsschranken, sondern sehen öffentlich zugängliche Informationen ein. Die im Netz zur Verfügung gestellten Daten sind also gegen fremden Zugriff nicht besonders gesichert. Somit fällt eine Strafbarkeit nach Art. 143 StGB (unbefugte Datenbeschaffung) ausser Betracht. Sind Logindaten bereits frei zugänglich im Netz, wie aktuell wegen des Datenlecks «Collection #1-5», stellt sich auch die Frage nach der Strafbarkeit derjenigen Person, welche diese Daten dazu verwendet, um sich in ein Nutzerprofil einzuloggen, um dort noch mehr Informationen zu erhalten. In diesem Beispiel wäre eine Strafbarkeit nach Art. 143 StGB nur in denjenigen Fällen gegeben, in denen der Täter mit Bereicherungsabsicht handelt. Klassischerweise handeln «Doxer» jedoch ohne Bereicherungsabsicht, ihre Motivation ist vielmehr die Blossstellung ihrer Zielperson ohne dahinterstehende finanzielle Interessen. Eine Strafbarkeit nach Art. 143^bis StGB (unbefugtes Eindringen in ein Datenverarbeitungssystem) fällt ebenfalls ausser Betracht, denn tatbestandsmässig ist hier das unbefugte Eindringen in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem. Als Datenverarbeitungssysteme werden insbesondere Computer und EDV-Anlagen verstanden. Ein Facebook-Account wird somit wohl nicht als ein Datenverarbeitungssystem verstanden werden können. Verschafft sich der Täter jedoch Zugang durch das Verwenden von Schadsoftware (damit sind Programme gemeint, die ein fremdes System ausspionieren), dürfte der Tatbestand des unbefugten Eindringens in ein Datenverarbeitungssystem wiederum erfüllt sein.

Weiter zu prüfen ist eine Strafbarkeit nach Art. 179^novies StGB (unbefugtes Beschaffen von Personendaten). Um diesen Tatbestand zu erfüllen, müssen unbefugt besonders schützenswerte Personendaten oder Persönlichkeitsprofile, die nicht frei zugänglich sind, aus einer Datensammlung beschafft werden. Somit bleibt auch hier derjenige «Doxer», der sich lediglich frei zugänglichen Informationen bedient, straffrei. Im Beispiel von frei zugänglichen Logindaten, mit denen sich der «Doxer» in ein Nutzerprofil einloggt, stellt sich die Frage, ob die dort einsehbaren Informationen als besonders schützenswerte Personendaten oder gar als Persönlichkeitsprofil zu qualifizieren wären. Gemäss Art. 3 lit. c Ziff. 1 und 2 DSG sind dies Daten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit. Ein Facebook-Profil könnte somit, je nachdem welche Informationen die Zielperson innerhalb ihres Freundeskreises, und somit nicht mehr frei zugänglich, auf Facebook postet, besonders schützenswerte Daten enthalten. Werden also Logindaten erlangt, die es erlauben, Einsicht in Informationen zu nehmen, die nicht öffentlich zugänglich sind, so dürfte eine Strafbarkeit, auf Antrag, gegeben sein.

Letztlich wäre einzig ein zivilrechtlicher Weg gegen Doxing denkbar, wobei auch hier gemäss Art. 12 Abs. 3 DSG allgemein zugängliche Daten in der Regel keinen Schutz finden. Inwiefern die zivilrechtlichen Möglichkeiten das Auftauchen von unangenehmen Informationen im Netz, welche oftmals nie gänzlich gelöscht werden können, tatsächlich zu lindern vermögen, sei dahingestellt.

So schützen Sie sich

Somit lässt sich als wohl einziges Mittel gegen Doxing eine starke Zurückhaltung bei der Veröffentlichung eigener Informationen postulieren. Kursieren eigene Daten bereits durch Datenlecks im Netz, so empfiehlt MELANI die Verwendung eines neuen und sicheren Passwortes und die Aktivierung der Zwei-Faktor Authentisierung, siehe dazu die Empfehlung von MELANI zur Wahl eines sicheren Passwortes. Zudem sollte man vor dem nächsten Besuch auf Amazon, Facebook und Co. darüber nachdenken, wer diese Informationen alles einsehen kann und sich hin und wieder die Zeit nehmen, allgemeine Nutzungsbedingungen durchzulesen. Auch wenn einzelne geteilte Informationen kaum Rückschlüsse auf die eigene Person zulassen, so können gezielt zusammengestellte Informationssammlungen aus diversen Quellen ein Gesamtbild entstehen lassen.

Dass auch die Schweiz in Sachen Informationssicherheit noch viel lernen muss, zeigt die Analyse von SRF Data des seit Januar 2019 im Internet kursierenden Datensatzes aus gehackten Plattformen und Nutzerprofilen, welcher als «Collection #1-5» bekannt ist. Die Analyse hat gezeigt, dass über 20’000 Login-Daten von Mitarbeitern Schweizer Behörden betroffen sind, darunter auch solche von Mitarbeitern der Armee. Auf Anfrage des SRF teilt die Schweizer Armee mit, dass den betroffenen Mitarbeitern ein Wechsel des Passwortes empfohlen wurde. Da die betroffenen Nutzerprofile für private Zwecke genutzt wurden, sei das Risiko für die Armee als tief zu beurteilen. Aus weiteren Reaktionen der betroffenen Behörden ist der Tenor ähnlich, man schätze das Risiko klein ein, eine Bedrohung bestehe nicht, die eigenen Systeme seien gut geschützt.

Diese Stellungnahmen lässt darauf schliessen, dass die Problematik noch nicht in ihrer ganzen Dimension erkannt wurde. Ein Passwortwechsel der betroffenen Mitarbeiter, wenn dieser dann tatsächlich vorgenommen wurde und dasselbe Passwort nicht auch noch für weitere Dienste verwendet wird, kann nur noch als Schadensbegrenzung verstanden werden. Gerade für Personen, die bewusst im Netz anonym bleiben wollen oder sollen (insbesondere für exponierte Personen), trifft ein solches Datenleck an einer sensiblen Stelle. Für Doxing ist genau dies das Eintrittstor, da nun von tausenden Personen bekannt ist, wo sie arbeiten (die geschäftlichen E-Mail-Adressen enthalten bekannterweise Vor- und Nachname des Mitarbeiters und die Bezeichnung der Behörde) und bereits erste Hinweise zu Ihrem Verhalten und Ihrem Umfeld mitgeliefert wurden. Ein solches Datenleck öffnet zudem Tür und Tor für Social Engineering und darauffolgende Angriffe, insbesondere, wenn durch Doxing, wie im einleitenden Fall geschildert, eine persönliche Datensammlung erstellt und missbraucht wird. Vom Wert der Informationen aus dem Datenleck für (ausländische) Geheimdienste ist hier noch nicht einmal die Rede. Eine sichere IT-Struktur ist bestimmt unverzichtbar, doch sollte zunächst beim «Risiko Mensch» angesetzt werden, um Mitarbeiter insbesondere zu Social Engineering und zum Risiko der Verwendung geschäftlicher Angaben für private Zwecke zu sensibilisieren.

Autorin: Ramona Tollardo

Ramona Tollardo ist als Ermittlerin bei Generali Versicherungen tätig und Studentin des Lehrgangs MAS Economic Crime Investigation. Nach ihrem Studium in Wirtschaftsrecht hat sie sich im Bereich Bekämpfung Versicherungsmissbrauch spezialisiert und ist Mitglied der Schweizerischen Expertenvereinigung Bekämpfung Wirtschaftskriminalität SEBWK.