Updated on 8. Jan. 2019. Posted on 5. Jan. 2019

    Warum wir nichts über den Hackerangriff berichtet haben und jetzt doch diesen Artikel schreiben

    Wenn wir viel mehr Fragen als Antworten haben, schreiben wir eigentlich keine Texte. Diesmal schon.

    Wir haben etwas Ungewöhnliches gemacht: Wir haben uns gestern, am 4. Januar 2019, den ganzen Tag mit einer Sache beschäftigt - und am Ende keinen Artikel geschrieben. Wir hatten so viele Fragezeichen, dass wir dachten: Das können wir nicht in einen Artikel packen. Die Menschen wollen von uns Antworten, keine Fragen.

    Wir waren aber auch neugierig. Wir können weder alles lesen, noch jede Expertin oder jeden Experten finden. Vielleicht gibt es da draußen also Leute, die Antworten auf unsere Fragen haben, dachten wir uns. Also haben wir uns entschieden, unsere Gedanken und Fragezeichen zum Hack in einer langen Reihe von Tweets auf Twitter zu veröffentlichen.

    Wir haben heute nichts über den #Hackerangriff berichtet, aber trotzdem den halben Tag darüber nachgedacht. Einige unserer Gedanken wollen wir trotzdem hier mit euch teilen. Auch, weil wir das Gefühl haben, da geht gerade ganz schön viel drunter und drüber. 1/27

    Als darauf aber hunderte Menschen positiv reagierten und viele sich und uns fragten, warum wir das nicht als Artikel veröffentlichen, merkten wir: Vielen ging es wie uns. Viele scheinen die großen, lauten Überschriften, die schnellen Meldungen und die immer größer werdenden Warnungen und Forderungen ebenso zu irritieren, wie uns. Darum haben wir uns entschieden: Wir schreiben diesen Artikel jetzt doch.

    Wer als Medium möchte, dass Nutzerinnen und Nutzer ihr Vertrauen schenken, der muss unserer Ansicht nach nicht nur Mehrwert bieten, sondern auch transparent arbeiten. Ganz besonders in Zeiten von „Fake News“-Vorwürfen, Lügenpresse-Rufen - und jetzt auch noch dem Fall Relotius. Deshalb versuchen wir immer sehr klar zu zeigen, wie wir etwas machen und warum. Und wo wir falsch lagen. Wer mehr dazu wissen möchte, kann unseren Podcast „Unterm Radar“ hören, in dem wir regelmäßig über die Hintergründe unserer Arbeit sprechen.


    Zunächst mal zur Frage, was da überhaupt passiert ist

    Das wissen wir auch nicht, aber Formulierungen wie „massiver Hacker-Angriff“ oder „So ein riesiges Daten-Leck gab es in der deutschen Geschichte noch nie“ scheinen uns nicht sehr genau zu sein.

    • Bei einem „Angriff“ geht jemand zu einem bestimmten Zeitpunkt auf ein konkretes Ziel. So sieht das hier nicht aus.
    • Von „tausenden Datensätzen“ zu sprechen führt auch in die Irre. Es handelt sich um keine Datenbank. Die Daten haben keine übergreifende Systematik. Sie scheinen vielmehr ziemlich ungeordnet zusammengesammelt zu sein.
    • Und Aussagen wie „hunderte Politiker gehackt“ ist ebenfalls Quatsch: nur weil viele Namen darin auftauchen, wurden die nicht alle gehackt.

    Was ist also passiert?

    Natürlich wissen wir das im Moment auch noch nicht. Einige Ansätze scheinen aber logischer, andere unlogischer.

    

Zunächst mal zu den Daten: Wir haben im Prinzip vier Gruppen:

    1. Kontaktdaten (Handynummern, Mailadressen etc.)
    2. Chats und private Nachrichten.
    3. Mails.
    4. Dateien (PDFs, Fotos und Videos).

    

Zu 1. (Kontaktdaten): Tausende Telefonnummer – die Menge sieht beeindruckend groß aus. Das muss aber erstmal nichts heißen. Jeder hat heute hunderte Kontaktdaten, Mails und Rufnummern im Handy. Viele laden diese Adressbücher auch bei sozialen Netzwerken hoch. Die veröffentlichen Kontaktdaten könnten also aus nur einem oder nur einigen wenigen Adressbüchern stammen.

    Dafür spricht, dass nicht für alle Personen und Personengruppen gleichermaßen Daten vorhanden sind. So gibt es von vielen betroffenen Journalisten Handynummern, aber bei weitem nicht von allen Politikern.

    

Zu 2. (Chats): Die Chats und Privatnachrichten stammen in der Regel aus den Profilen sozialer Netzwerke und liegen dann als Archiv vor. Es sind also keine Screenshots oder kopierte Texte. Das deutet darauf hin, dass sich jemand zunächst Zugang zum Profil verschafft hat (dazu unten mehr) – und danach einmal die Downloadfunktion für private Daten von Facebook oder Twitter genutzt hat.

    Zu 3. (Mails): Viele der veröffentlichten Mails sehen so aus, als ob sie aus „Outlook“ stammen. Auch hier scheint weniger wahrscheinlich, dass einzelne Mailkonten geknackt wurden. Wahrscheinlicher wäre, dass jmd. Zugang zu einzelnen Geräten (Handys, Laptops) bekommen haben könnte, um 
danach über die Download-Funktion von Outlook einige Mails als Mail-Archiv gesammelt herunterzuladen.

    Zu 4. (Dateien): Hier findet sich alles Mögliche. PDFs, Scans von Kontoauszügen, Bilder und Videos, auch privates und sensibles Material. Auch diese Daten können aus den oben genannten heruntergeladenen Daten sozialer Netzwerke (2.) stammen, oder aus Mailanhängen (3.). Dass aber jemand in einen Rechner eindringt, dann dort wahllos einige PDFs herunterlädt und wieder geht, ist eher unwahrscheinlich.

    Wahrscheinlicher ist, dass das alles aus mehreren Quellen zusammengesammelt wurde.


    a) Manche der Dokumente sind alt. Vielleicht schon vor Jahren anderweitig erbeutet, seitdem auf irgendwelchen Servern, in Foren, im Dark Web verteilt und hier jetzt einfach mit hinzugefügt.

    
b) Natürlich könnte auch irgendwo ein/e Mitarbeiter/in oder sonst wer unvorsichtig gewesen sein. Ein Virus, ein unbedachter Link, oder vielleicht auch bewusster und direkter Kontakt zu dem oder den Hacker/n – möglich ist da vieles.

    Dann hatte/n der/die Hacker eventuell eine Zeitlang Zugang zu einem Gerät mit einigen der Daten darauf.

    

c) Auch denkbar: Dass der/die Hacker eine Schwachstelle (s.u.) der sogenannten „2-Faktor-Authentifizierung“ nutze/n, um Zugang zu einem Gerät zu bekommen.

    Einige Nutzer antworteten uns, sie hielten das für unwahrscheinlich – auch, weil man auch mit klassischem „Phishing“ - also Versuchen, mit beispielsweise gefälschten Webseiten, E-Mails oder Nachrichten an Passwörter oder Daten zu kommen - Zugang zu den Geräten hätte erlangen können. Das stimmt! Der Hinweis auf die Schwachstelle in der 2-Faktor-Authentifizierung soll nicht bedeuten, dass entweder das eine oder das andere genutzt wurde. Die erwähnte Schwachstelle baut auf Phishing-Methoden auf – insofern ist mit diesem Hinweis nur eine mögliche Erklärung benannt, warum es auch Geräte und Konten getroffen haben könnte, deren Eigentümer die 2-Faktor-Authentifizierung nutzen.

    Auch wir wissen nicht, welcher Weg genutzt wurde. Klar scheint nur: Manche Geräte oder Konten wurden geknackt.

    Damit hätte der Eindringling dann: Adressbuch, Mailzugang und Zugang zu sozialen Netzwerken.

    Erstmal nur von einer Person, aber: 

er hat nun auch deren Kontakte. Danach hat er vermutlich die gleiche Masche bei allen Kontakten und Nummern probiert, die auf diesem Gerät lagen. Bei manchen klappte es, bei anderen nicht. Dort, wo es klappte, spielte man dasselbe Spiel wieder - und hätte sich so von Gerät zu Gerät „hangeln“ können.

    
Auch wenn von Kreditkarten und Ausweisen die Rede ist, muss das nicht zwingend einen „großen Hackerangriff“ bedeuten.

    Ein Beispiel: Jemand wollte einen Mietwagen nutzen, bat per Facebook-Chat eine Mitarbeiterin darum, den zu buchen – und schickte Fotos von Führerschein, Ausweis und Kreditkarte per Chat oder als Mailanhang zu. Schon sind diese Daten wie oben beschrieben abgreifbar.

    Es stimmt: solche sensiblen Daten (Kinderfotos, Kontoauszüge, Kreditkarten, Ausweise) sind Teil des Leaks – und das macht die Sache sehr beeindruckend. Aber man tut gut daran, das ins richtige Verhältnis zu setzen: Sie sind in diesem Leak eher selten, vereinzelt und nicht die Regel.

    

Es ist mitnichten so, dass von jedem Namen, der dort auftaucht, derartig sensible Daten veröffentlicht wurden – im Gegenteil: Der Großteil der Informationen ist sehr belanglos, sehr unwichtig und oft auch sehr alt.

    Die Daten sind mitunter schon anderswo öffentlich gewesen – aber nicht alle. Es sind auch recht neue Dokumente darunter, die nur wenige Wochen alt sind.

    

Sie alle aber stammen offenbar nicht aus Netzwerken von Behörden oder politischen Institutionen, sondern wie schon erwähnt aus Cloudspeichern, Mailanhängen oder sozialen Netzwerken.

    Kommen wir zu den Verdächtigen: Was wissen wir über den oder die Hacker?

    Wenig bis nichts.

    t-online.de und Süddeutsche berichten, sie hätten mit jemandem gesprochen, der wiederum zuvor mit jemandem gesprochen habe, der der Hacker sein könnte – was wiederum für einen Einzeltäter spräche. Das ist möglich, aber die Grundlage dieser Einschätzung ist nicht öffentlich und damit nicht überprüfbar.

    Was aber auffällt: Es wurde sich viel Mühe gegeben, die Daten nicht so einfach löschbar zu machen. Sie wurden auf Dutzenden Seiten gespiegelt, etliche Downloadlinks bereitgestellt. Hinter manchen Links verbergen sich Texte, in denen wieder neue Links sind. Eher ungewöhnlich...

    

Ebenfalls auffällig: Das Ganze sieht nicht sehr gleichförmig aus. Mal ist kein Passwort nötig, um Daten zu öffnen, mal lautet es „123“, mal ist es ein Name, mal eine Abkürzung. Auch wurden die Überschriften in den einzelnen Blöcken nicht einheitlich gestaltet.

    

Das wiederum könnte darauf hindeuten, dass mehrere Personen die Veröffentlichung unter sich aufgeteilt haben. Auch die Tatsache, dass hier Hunderte, Tausende einzelne Dateien auf etliche Seiten hochgeladen, verteilt und dann untereinander verlinkt wurden, um dann in einer Art Adventskalender nach und nach veröffentlicht zu werden, macht es unwahrscheinlich, dass das jemand alleine war – nicht aber unmöglich.

    Mit @_0rbit and @_0rbiter wurden außerdem zwei Twitter-Accounts verwendet.

    Die Accounts sind nicht neu. Sie haben auch Bots als Follower, aber nicht nur. Ziemliche viele der Follower stammen aus dem Dunstkreis von Gamern, YouTubern und rechten Ideologien, manche aus Bereichen, die oft als „Sifftwitter“ oder „Alt right“ bezeichnet werden.

    

Die ersten Veröffentlichungen im Dezember nahm niemand wahr. Aufmerksamkeit bekam das Ganze vermutlich erst, als die Personen hinter diesen beiden Accounts den Account des bekannten YouTubers @unge geknackt hatten.

    Auch das könnte über die erwähnte Schwachstelle in der 2-Faktor-Authentifizierung oder „nur“ über klassisches Phishing passiert sein.

    Dass hier Rechte oder Rechtsextremisten am Werk waren, ist unbewiesen. Ja, die Accounts haben viele rechte Follower. Das sagt aber wenig über die Leute, die da agiert haben.

    Noch unwahrscheinlicher erscheint uns, dass es eine der berühmten Hacker-Gruppen (z.B. Turla) waren. 

Diese Gruppen arbeiten leise und wollen nicht bemerkt werden - sie stehlen Daten und sind dann weg. An Öffentlichkeit und Trubel sind die eher nicht interessiert.

    Offen ist im Moment auch die Frage, warum die AfD nicht Teil des Leaks ist. Mögliche Antworten:

    • Es ist schlicht Zufall.
    • Oder es kommt noch eine weitere Veröffentlichung.
    • Oder die Akteure verfolgen doch eine Agenda.
    • Oder diejenigen Geräte und Profile, die geknackt werden konnten, haben einfach keine Verbindungen zu AfD-Politikern - so dass man nicht an deren Kontaktdaten kam und darum deren Geräte auch nicht ins Visier genommen hat.
    • Oder die erbeuteten Daten sind zu alt.
    • Oder eine Mischung aus diesen Punkten.

    Keiner weiß es. Jetzt aber schon anzunehmen, das folge einem Plan, ist bestenfalls Phantasie – eine Grundlage dafür gibt es nicht.

    Marcus Engert ist Senior Reporter bei BuzzFeed News Deutschland. Verschlüsselter Kontakt per Mail mit PGP-Key: bzfd.it/PGP-engert / Signal oder WhatsApp: bzfd.it/engert / Threema-ID: F8H994R7

    Contact Marcus Engert at marcus.engert@buzzfeed.com.

    Got a confidential tip? Submit it here

    Hat dir dieser Beitrag gefallen? Möchtest du jede Woche von uns hören?

    Dann melde dich bei unserem Newsletter an. Wir schicken dir die besten Recherchen, nicht nur unsere eigenen. Und erklären, wie wir bei BuzzFeed arbeiten. Kostenlos.

    Newsletter signup form