Wer einen Twitter-Account auf den Namen "G0d" einrichtet, ist entweder sehr von sich überzeugt, oder ein merkwürdiger Vogel. "Bald kommt das Adventskalender-Event! Seid gespannt, könnte für manche zu heftig werden", schreibt der User am 24. November. Am 1. Dezember geht es dann – wie versprochen – los.

Doch die von da an Tag für Tag veröffentlichten Telefonnummern, Adressen und sonstigen sensiblen Daten von Fernsehjournalisten, Satirikern, deutschen Rappern, YouTubern und Politikern – auch Bundeskanzlerin Angela Merkel (CDU) ist betroffen – schrecken in der Online-Welt zunächst niemanden so richtig auf. Vielleicht auch, weil erst kaum jemand von der Aktion Notiz nimmt.

Auch dann nicht, als auf dem Twitter-Account am 20. Dezember Links zu einer Liste mit Daten von Politikern der FDP auftaucht. Bis zum Heiligen Abend folgen weitere Listen mit Nummern, Chats und Adressen von Politikern aller anderen im Deutschen Bundestag vertretenen Parteien mit Ausnahme der AfD.

Kanzleramt erfuhr Donnerstagabend davon

Manche Informationen wurden wohl schon 2017 ins Netz gestellt, die meisten dann im Dezember 2018. Doch erst Donnerstagabend wurde ein größerer Kreis darauf aufmerksam: Das deutsche Kanzleramt erfuhr – wie auch die Bundestagsverwaltung – erst in der Nacht auf Freitag davon. Aus dem Kanzleramt selbst seien keine sensiblen Daten abgeflossen, sagte die stellvertretende Regierungssprecherin Martina Fietz am Freitag.

Rätselraten und Unsicherheit

Wer für den Angriff verantwortlich ist, war völlig unklar. Die deutsche Bundesregierung wusste nicht, ob die Daten durch einen Hackerangriff abgefischt wurden. Auf welche Weise die Daten abgeflossen seien, "lässt sich noch nicht mit Sicherheit feststellen", sagte ein Sprecher des Innenministeriums. Die Sicherheitsbehörden hätten festgestellt, dass es sowohl "relativ aktuelle als auch um ältere Datenpakete" seien. Innenminister Horst Seehofer (CSU) erklärte, es werde "mit Hochdruck" daran gearbeitet, den Urheber des Datendiebstahls ausfindig zu machen. "Nach einer ersten Analyse deutet vieles darauf hin, dass Daten durch die missbräuchliche Nutzung von Zugangsdaten zu Clouddiensten, zu E-Mail-Accounts oder zu sozialen Netzwerken erlangt wurden."

BSI wusste zuvor Bescheid

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach eigenen Angaben erst in der zurückliegenden Woche von dem Datenklau erfahren, zuvor wurde vermeldet, dass es schon Wochen zuvor Bescheid wusste. Ein Mitglied des Deutschen Bundestages habe die Behörde zwar Anfang Dezember über fragwürdige Bewegungen auf privaten E-Mail- und Social-Media-Accounts informiert, teilte die Behörde am Samstag mit. Zu dem Zeitpunkt seien aber alle Beteiligten von einem Einzelfall ausgegangen. Von einem Zusammenhang mit den am Donnerstag über einen Twitter-Account veröffentlichten Daten habe das BSI bis zur Nacht vom 3. auf den 4. Januar keine Kenntnis gehabt. Erst durch das Bekanntwerden der Veröffentlichung habe das BSI diesen und vier weitere Fälle in diesen Zusammenhang stellen können.

Die Ermittlungen hat eine Sondereinheit der Generalstaatsanwaltschaft Frankfurt übernommen, die Zentralstelle zur Bekämpfung der Computer- und Internetkriminalität. "Wir arbeiten mit Hochdruck an den Ermittlungen", sagte ein Sprecher der Staatsanwaltschaft am Samstag. Die Untersuchungen liefen gemeinsam mit dem Bundeskriminalamt.

BSI: Überwiegend private Accounts

"Nach derzeitigem Erkenntnisstand handelt es sich überwiegend um Angriffe auf private und persönliche Accounts der Betroffenen", erklärte das BSI. Die Behörde sei zuständig für den operativen Schutz der Regierungsnetze: "Für die Absicherung parteilicher oder privater Kommunikation von Mandatsträgern kann das BSI nur beratend und auf Anfrage unterstützend tätig werden."

Unbekannter Anruf

Die Attacke wurde durch Anrufe von Unbekannten beim SPD-Politiker Martin Schulz bekannt, wie die Deutsche Presse-Agentur aus Sicherheitskreisen erfuhr. Den Angaben zufolge hatte ein Mitarbeiter des ehemaligen SPD-Spitzenkandidaten am Donnerstag der Polizei in Aachen mitgeteilt, Schulz sei von Fremden auf einer nicht öffentlich zugänglichen Nummer angerufen worden. Daraufhin sei das Landeskriminalamt von Nordrhein-Westfalen aktiv geworden.

"Die Bundesregierung nimmt diesen Vorfall sehr ernst. Das Cyber-Abwehrzentrum hat sich heute bereits mit dem Vorgang befasst", sagte Regierungssprecherin Fietz. Bei den Politikern seien "alle Ebenen" betroffen: Abgeordnete aus dem Bundestag, dem Europaparlament und den Landtagen bis hin zu Kommunalpolitikern. Sie warnte, es könnten gefälschte Daten in das Material eingeschleust worden sein.

Prominente Opfer

Zu den Opfern des Datenklaus gehören neben Politikern unter anderem der Schauspieler und Regisseur Til Schweiger sowie der Fernsehmoderator Jan Böhmermann. Der Manager von Böhmermann erklärte, man habe die Veröffentlichungen am Donnerstagabend durchgesehen. Nach einer ersten Einschätzung des Managements handelt es sich um Daten, die nicht aktuell sind – manche sogar sehr alt. Böhmermanns derzeitige Adresse etwa finde sich nicht darunter.

Unter den via Twitter veröffentlichten Daten finden sich in den meisten Fällen Telefonnummern, von denen manche jedoch öffentlich zugänglich oder veraltet sind. Häufig wurden Kopien von Personalausweisen und Mietverträgen veröffentlicht. In etwa einer Handvoll Fälle wurden private Chats und Sprachnachrichten von Ehepartnern und Kindern sowie Skype-Namen von Kindern der Betroffenen veröffentlicht, etwa genauso oft Kontodaten.

CDU: Nicht unterschätzen

Die deutsche Justizministerin Katarina Barley (SPD) wertete die Attacke als "schwerwiegenden Angriff" auf die Demokratie. Wirtschaftsminister Peter Altmaier (CDU) warnte im Interview mit dem Saarländischen Rundfunk davor, den Angriff zu unterschätzen: "Es geht nicht nur um die betroffenen Kolleginnen und Kollegen, sondern es geht um die Funktionsfähigkeit von Politik und die Vertraulichkeit politischer Vereinbarungen."

Das deutsche Bundeskriminalamt, der Verfassungsschutz und zahlreiche andere Behörden sind mit dem Fall beschäftigt, darunter auch Landesbehörden. Die Koordinierung liegt beim Nationalen Cyber-Abwehrzentrum. Auch der Generalbundesanwalt schaltete sich in die Prüfung ein.

Vor allem CDU/CSU – keine AFD

Auffällig ist, wie der Datendieb seine Opfer aussuchte. Auf dem Twitter-Account G0d hatte er Listen von Betroffenen veröffentlicht, die nach Parteimitgliedschaft geordnet waren. Mit Abstand die meisten Einträge gab es auf der CDU/CSU-Liste, auf der 410 Namen genannt wurden. Auf der SPD-Liste stehen 230 Politiker, bei den Grünen, den Linken und der FDP je einige Dutzend.

Die AfD-Fraktion ist die einzige im Bundestag, zu der keine eigene Liste veröffentlicht wurde. "Nach dem derzeitigen Stand liegen den ermittelnden Behörden keine Erkenntnisse dazu vor, dass Politikerinnen oder Politiker der AfD von der Veröffentlichung betroffen sind", teilte das Innenministerium mit.

Am Freitag wurde der Twitter-Account gesperrt. Twitter verwies darauf, dass die unerlaubte Veröffentlichung privater Informationen gegen die Regeln des Dienstes verstößt.

Grünen erstatten Strafanzeige

Grünen-Chef Robert Habeck erstattete wegen der Veröffentlichung von Daten im Internet Strafanzeige. Das sagte ein Parteisprecher am Freitag dem Redaktionsnetzwerk Deutschland (RND). Habeck gilt neben Böhmermann und seinem Grünen-Parteikollegen Konstantin von Notz als ein Hauptbetroffener des Angriffs.

Der Fraktionschef der Linken im Bundestag, Dietmar Bartsch, nannte die Veröffentlichung der Daten einen "Anschlag auf die Demokratie". Die FDP im Bundestag leitete juristische Schritte ein. Zentrale Systeme seien nach derzeitigem Stand nicht betroffen, sagte ein Sprecher der Fraktion. Aus den Ländern melden mehrere Parteien, Opfer des Datendiebstahls geworden zu sein. In Niedersachsen traf es beispielsweise Ministerpräsident Stephan Weil (SPD).

Mehrere Quellen?

Nach Ansicht des Karlsruher IT-Sicherheitsexperten Christoph Fischer stammen die Daten nicht aus einer einzigen Quelle. "Da hat jemand offenbar mit viel Fleißarbeit versucht, Mail-Accounts zu öffnen", sagte Fischer der dpa. Fischer geht davon aus, dass die Betroffenen schlechte Passwörter sowie Webmail-Accounts statt der offiziellen Mailadresse für die Kommunikation genutzt haben.

Der Angriff ist aus Sicht des Chaos Computer Clubs für jeden Computernutzer ein Weckruf. "Die Attacke zeigt, was passiert, wenn sich jemand wirklich dahinterklemmt und versucht, systematisch Unsicherheiten und Schlampigkeit auszunutzen, die wir alle im Alltag mit unseren Geräten und Informationen betreiben", sagte CCC-Sprecher Frank Rieger der dpa.

Mehr Cyberabwehr gefordert

Der Cyber-Sicherheitsrat Deutschland hat als Konsequenz einen Ausbau der Cyberabwehrkapazitäten gefordert. Ziel müsse sein, Angriffe schneller zu entdecken sowie Cyberkriminelle effektiv zu identifizieren und strafrechtlich verfolgen zu können, sagte der Präsident des Cyber-Sicherheitsrats, Hans-Wilhelm Dünn. Der Vorfall zeige, wie akut und ernst die Gefahren aus dem Cyberraum seien. Nicht nur für die Wirtschaft, sondern auch gegenüber politischen Systemen – insbesondere Demokratien – und der Gesellschaft könne die voranschreitende, weltweite Vernetzung für solche Kampagnen missbraucht werden und großen Schaden anrichten.

Der im August 2012 gegründete Cyber-Sicherheitsrat Deutschland e.V. ist politisch neutral und berät Unternehmen, Behörden und politische Entscheidungsträger im Bereich Cyber-Sicherheit. Dünn forderte, Betreiber von Instant-Messaging- und Mikrobloggingplattformen sowie sozialen Netzwerken müssten sich stärker für die Unterbindung derartiger schmutziger Aktionen einsetzen.

In der "Rheinischen Post" (Samstag) forderte er darüber hinaus eine Überarbeitung und Erweiterung des sogenannten Netzwerkdurchsetzungsgesetzes. Mit der Veröffentlichung der ersten Unterlagen über einen Account mit mehreren Tausend Followern wäre eine Art Frühwarnmechanismus wünschenswert gewesen. Das seit 1. Jänner geltende Netzwerkdurchsetzungsgesetz schreibt vor, dass Online-Plattformen klar strafbare Inhalte binnen 24 Stunden nach einem Hinweis löschen müssen – und in weniger eindeutigen Fällen eine Woche Zeit haben.

Scharfe Kritik an BSI

Kritik gibt es an der Vorgehensweise des BSI. Der FDP-Digitalpolitiker Manuel Höferlin sagte der dpa, man müsse sich über die Informationspolitik der Behörde wundern. "Das Bundesamt muss seine Vorgehensweise darlegen und kritisch überprüfen." Auch Linke-Fraktionschef Dietmar Bartsch reagierte empört: "Angesichts der Dimension dieses Datenklaus ist die Nichtinformation von Partei- und Fraktionsvorsitzenden durch die Behörden völlig inakzeptabel. Gibt es etwas zu verbergen?"

BSI-Präsident Arne Schönbohm sagte dem Fernsehsender Phoenix am Freitag noch: "Wir haben schon sehr frühzeitig im Dezember auch schon mit einzelnen Abgeordneten, die hiervon betroffen waren, dementsprechend gesprochen." Es seien auch Gegenmaßnahmen eingeleitet worden. Unter anderem sei ein Spezialteam für Hilfestellungen bei Betroffenen (Mobile Incident Response Team) losgeschickt worden. "Von daher gab es schon frühzeitig bestimmte Aktionen", sagte Schönbohm.

Ausländische Hacker?

Der Angriff könnte nach Einschätzung des Hamburger Datenschutzbeauftragten Johannes Caspar womöglich aus dem Ausland gesteuert worden sein. "Es ist wahrscheinlich, dass es sich um eine politisch motivierte Gruppe handelt, die möglicherweise aus dem Ausland gesteuert wird", sagte Caspar dem "Handelsblatt" vom Samstag.

Der Umfang der gehackten Daten sei immens. "Auch wenn keine öffentlichen relevanten Informationen betroffen sein sollten, ist der Schaden, der mit der Veröffentlichung persönlicher Informationen für den einzelnen Betroffenen entstehen kann, gleichwohl erheblich", sagte Caspar. "Daten, die einmal in das Netz gestellt wurden, lassen sich dort kaum mehr beseitigen." Die Nutzung von unterschiedlichen Plattformen, die freie Zugänglichkeit und die Kopierbarkeit erschwerten dies. (APA/dpa/AFP, red, 5.1.2019)