"Die Bundesregierung nimmt diesen Vorfall sehr ernst. Die Behörden arbeiten mit Hochdruck daran, Ausmaß und Hintergründe des Vorgangs zu ermitteln und den Betroffenen Hilfestellungen zukommen zu lassen."
Manfred Kloiber: Das sagte die stellvertretende Regierungssprecherin Martina Fietz in der gestrigen Bundespressekonferenz zum Thema Datenklau bei Politikern und Prominenten. Denn gestern ging eine regelrechte Schockwelle durch die Republik, die uns in den nächsten Wochen noch massiv beschäftige wird. Ausgelöst hat das Ganze ein digitaler Adventskalender auf Twitter. Der bot nämlich hinter jedem Türchen Links zu persönlichen Daten Politikern, Journalisten und Promis. Darüber ist ja schon viel berichtet worden. Die Daten standen also seit vier Wochen im Netz, eine Mischung aus alten und neueren Daten. Warum hat das denn ausgerechnet gestern so eine Schockwelle ausgelöst, Peter Welchering?
Peter Welchering: Weil sich gestern erstmals die Medien dafür interessiert haben. Die haben dann auch rauf und runter berichtet, dass da Mailadressen, Handynummern, Personalausweise, Memos, private Chat-Mitschnitte, also ein ganzes Sammelsurium der digitalen Spuren von mehreren hundert Prominenten zu besichtigen war. Radio Berlin Brandenburg hat das am frühen Freitag berichtet, noch bevor Twitter den Account mit den Links zu den persönlichen Daten gesperrt hatte. Und so kam es natürlich zu einem Ansturm auf diese Daten. Der Twitter-Account selber hatte zwar Freitag früh 17.000 Follower. Die stammten aber alle noch aus älteren Zeiten. Nachdem der erste Medienbericht über die persönlichen Daten, die es dort gebe, draußen war, sind binnen Minuten noch einmal 1.000 Follower dazu gekommen.
Kloiber: Ja und dann wurde es hektisch. Es gab eine Krisensitzung des Nationalen Cyberabwehrzentrums. Bundeskriminalamt, das Bundesamt für Verfassungsschutz, das Bundesamt für Sicherheit in der Informationstechnik – alles drehten ihre Aktivitäten spürbar auf. Mittags gab es dann eine Bundespressekonferenz zum Thema mit Liveübertragung. Also, die Bundesregierung hängt das Thema tatsächlich sehr hoch. Und was da regierungsamtlich an Informationen und Ermittlungsständen bis zum Wochenende so alles anfiel ist, das fassen wir schnell noch mal zusammen.
Geleakte Informationen von Politikern und Prominenten:
Alte und neue Daten bunt gemixt, geheime Handynummern neben meist bekannten Adressdaten, aber auch Kreditkarteninformationen, mit denen jeder im Namen der geleakten Politiker im Netz einkaufen gehen kann: Das alles war über Twitter auf ganz verschiedenen Servern verfügbar. Der Twitter-Account ist zwar mittlerweile abgeschaltet. Die Server mit den teilweise sensiblen Daten sind aber überwiegend noch am Netz. Nur ein Blog, der auch persönliche Informationen von prominenten preisgab ist inzwischen gelöscht. Am Donnerstagabend sind mehrere Politiker auf die Datensammlung angesprochen worden, unter anderem der frühere SPD-Kanzlerkandidat Martin Schulz. Die meisten Sicherheitsbehörden allerdings hatten gar nicht mitbekommen, was sich da auf Twitter zusammenbraute - seit immerhin vier Wochen schon. Sören Schmidt, Pressesprecher des Bundesministeriums des Inneren, betonte auf der gestrigen Bundespresskonferenz, dass die Behörden ohne lange Vorwarnzeit kalt erwischt wurden.
"Da gab es keinen langen Vorlauf. Es kann aber sein, dass zu diesen Datenmengen eben einzelne Datenpakete gehören, die eventuell schon vorher bekannt geworden sind, aber die Masse sozusagen ist erst vor kurzem bekannt geworden. Seit Kurzem heißt Soweit die Analyse bis jetzt fortgeschritten ist, dass in den vergangenen Stunden, das heißt also von einer Kollegin schon genannt, letzte Nacht tatsächlich intensiv bekannt geworden ist."
Und die stellvertretende Regierungssprecherin Martina Fietz ergänzte.
"Das Bundeskanzleramt hat gestern am späten Abend davon Kenntnis erhalten kurz vor Mitternacht."
Vier Wochen lang tappten die Sicherheitsbehörden also im Dunkeln, während der Adventskalender mit den persönlichen Daten an der einen oder anderen Stelle im Netz diskutiert und durchaus kritisch bewertet wurde. Das Bundesamt für Sicherheit in der Informationstechnik BSI war zwar nach Angaben seines Chefs Arne Schönbohm schon sehr früh im Dezember auf den Twitter-Account aufmerksam geworden, hielt es aber nicht für nötig, andere Ermittlungsbehörde einzuschalten. Die Ermittler tappen bisweilen weiterhin im Dunkeln, wer denn nun hinter dieser Datenattacke stecken könne. Sören Schmidt.
"Zu dem Twitteraccount kann ich Ihnen leider keine näheren Angaben machen zum jetzigen Zeitpunkt, auch zu der Frage, seit wann oder in welchem Zeitraum Daten in dieser Datensammlung enthalten sind, leider im Moment noch nicht. Sagen kann ich aber, dass die ersten Analysen ergeben haben, dass es sich sowohl um relativ aktuelle Daten als auch um ältere Datenpakete handelt."
Daten stammen aus unterschiedlichen Quellen
Die Daten wurden offensichtlich aus sehr vielen unterschiedlichen Quellen zusammengesammelt. Gehackte Mailkonten, geknackte Facebook-Account, komprimierte Twitter-Konten: Einiges lag eine Zeitlang auf einschlägigen Handelsplattformen von ebenso einschlägigen Datenhändler. Andere Daten waren als Datenprobe auf Tauschbörsen verfügbar. Angriffe auf Rechner von Politikern gab es in den vergangenen Jahren ja etliche. Man denke nur an den Bundestagshack, der 2015 aufflog. Oder an den Angriff auf das Regierungsnetz, also auf den Informationsverbund Berlin-Bonn, IVBB abgekürzt. Welche Daten aus diesen Angriffen stammen, wissen die Behörden nicht. Ministeriumssprecher Schmidt.
"Ob es nun eine Betroffenheit des IVBB, des Bundestagsnetzes, des Bundestags selber gibt? Ja, das sieht auf den ersten Blick natürlich so aus, aber genau wird das eben noch Gegenstand der Aufklärung sein. Auch zu der Frage, ob wir die Art und Weise der Veröffentlichung oder der Zusammenstellung schon mal gesehen haben, liegt mir jetzt noch keine Erkenntnis vor."
Untersuchungen der Ermittlungsbehörden laufen
Der auf der Klausur der CSU-Bundestagfraktion in Kloster Seeon weilende Bundesinnenminister Horst Seehofer ließ per Pressemitteilung erklären:
"Nach jetzigem Erkenntnisstand deuten keine Hinweise darauf, dass Systeme des Bundestages oder der Bundesregierung kompromittiert worden sind."
Immerhin hatte Regierungssprecherin Martina Fietz Trost-spendende Worte parat:
"Mit Blick auf das Bundeskanzleramt sieht es nach erster Sichtung so aus, dass keine sensiblen Informationen und Daten in den Veröffentlichungen enthalten sind, auch nicht im Hinblick auf die Bundeskanzlerin."
Gegenwärtig untersuchen die Ermittlungsbehörden fieberhaft die veröffentlichten Daten und Dokumente. Da ist zunächst viel detektivischer Fleiß gefordert, um die Herkunft der Daten herauszubekommen und vor allen Dingen um in Erfahrung zu bringen, wer denn den Daten-Leak-Adventskalender auf Twitter gebaut hat. Die Ermittler stehen mächtig unter Druck. Denn dieser Adventskalender hat die Republik erschüttert.
"Da gab es keinen langen Vorlauf. Es kann aber sein, dass zu diesen Datenmengen eben einzelne Datenpakete gehören, die eventuell schon vorher bekannt geworden sind, aber die Masse sozusagen ist erst vor kurzem bekannt geworden. Seit Kurzem heißt Soweit die Analyse bis jetzt fortgeschritten ist, dass in den vergangenen Stunden, das heißt also von einer Kollegin schon genannt, letzte Nacht tatsächlich intensiv bekannt geworden ist."
Und die stellvertretende Regierungssprecherin Martina Fietz ergänzte.
"Das Bundeskanzleramt hat gestern am späten Abend davon Kenntnis erhalten kurz vor Mitternacht."
Vier Wochen lang tappten die Sicherheitsbehörden also im Dunkeln, während der Adventskalender mit den persönlichen Daten an der einen oder anderen Stelle im Netz diskutiert und durchaus kritisch bewertet wurde. Das Bundesamt für Sicherheit in der Informationstechnik BSI war zwar nach Angaben seines Chefs Arne Schönbohm schon sehr früh im Dezember auf den Twitter-Account aufmerksam geworden, hielt es aber nicht für nötig, andere Ermittlungsbehörde einzuschalten. Die Ermittler tappen bisweilen weiterhin im Dunkeln, wer denn nun hinter dieser Datenattacke stecken könne. Sören Schmidt.
"Zu dem Twitteraccount kann ich Ihnen leider keine näheren Angaben machen zum jetzigen Zeitpunkt, auch zu der Frage, seit wann oder in welchem Zeitraum Daten in dieser Datensammlung enthalten sind, leider im Moment noch nicht. Sagen kann ich aber, dass die ersten Analysen ergeben haben, dass es sich sowohl um relativ aktuelle Daten als auch um ältere Datenpakete handelt."
Daten stammen aus unterschiedlichen Quellen
Die Daten wurden offensichtlich aus sehr vielen unterschiedlichen Quellen zusammengesammelt. Gehackte Mailkonten, geknackte Facebook-Account, komprimierte Twitter-Konten: Einiges lag eine Zeitlang auf einschlägigen Handelsplattformen von ebenso einschlägigen Datenhändler. Andere Daten waren als Datenprobe auf Tauschbörsen verfügbar. Angriffe auf Rechner von Politikern gab es in den vergangenen Jahren ja etliche. Man denke nur an den Bundestagshack, der 2015 aufflog. Oder an den Angriff auf das Regierungsnetz, also auf den Informationsverbund Berlin-Bonn, IVBB abgekürzt. Welche Daten aus diesen Angriffen stammen, wissen die Behörden nicht. Ministeriumssprecher Schmidt.
"Ob es nun eine Betroffenheit des IVBB, des Bundestagsnetzes, des Bundestags selber gibt? Ja, das sieht auf den ersten Blick natürlich so aus, aber genau wird das eben noch Gegenstand der Aufklärung sein. Auch zu der Frage, ob wir die Art und Weise der Veröffentlichung oder der Zusammenstellung schon mal gesehen haben, liegt mir jetzt noch keine Erkenntnis vor."
Untersuchungen der Ermittlungsbehörden laufen
Der auf der Klausur der CSU-Bundestagfraktion in Kloster Seeon weilende Bundesinnenminister Horst Seehofer ließ per Pressemitteilung erklären:
"Nach jetzigem Erkenntnisstand deuten keine Hinweise darauf, dass Systeme des Bundestages oder der Bundesregierung kompromittiert worden sind."
Immerhin hatte Regierungssprecherin Martina Fietz Trost-spendende Worte parat:
"Mit Blick auf das Bundeskanzleramt sieht es nach erster Sichtung so aus, dass keine sensiblen Informationen und Daten in den Veröffentlichungen enthalten sind, auch nicht im Hinblick auf die Bundeskanzlerin."
Gegenwärtig untersuchen die Ermittlungsbehörden fieberhaft die veröffentlichten Daten und Dokumente. Da ist zunächst viel detektivischer Fleiß gefordert, um die Herkunft der Daten herauszubekommen und vor allen Dingen um in Erfahrung zu bringen, wer denn den Daten-Leak-Adventskalender auf Twitter gebaut hat. Die Ermittler stehen mächtig unter Druck. Denn dieser Adventskalender hat die Republik erschüttert.
NSA um Unterstützung bei den Ermittlungen gebeten
Kloiber: Unter entsprechendem Druck stehen die deutschen Sicherheitsbehörden. Was weiß man denn von den angelaufenen Ermittlungen, Peter Welchering?
Welchering: Aus Sicherheitskreisen verlautete, dass der technische Geheimdienst der USA, die National Security Agency, um Hilfe bei den Ermittlungen gebeten wurde. Dann konzentrieren sich die Ermittlungen zunächst darauf, die Betreiber des Twitter-Accounts mit den Adventstürchen zu identifizieren. Zweitens werden die veröffentlichten Daten gerastert, also Personen zugeordnet. Und in einem weiteren Schritt soll dann geklärt werden, aus welchen Quellen die Daten jeweils stammen.
Kloiber: Das am Freitag gesperrte Twitter-Konto @_Orbit war aber in der Gamerszene vorher schon bekannt.
Welchering: Ja, um dieses Konto gab es so einen Kleinkrieg. Das gehörte bis zum Frühjahr 2016 einem Youtuber mit dem Netznamen Dezztroys, der seit Herbst 2017 ein neues Twitter-Konto hat. Im Sommer 2016 sind die Zugangsdaten für das Orbit-Konto auf mindestens zwei Account-Handelsplattformen angeboten worden. Sicherheitskreise sprechen hier von Untergrundmarktplätzen. Und dann verliert sich die Spur.
Kloiber: Im politischen Berlin wird ja nun diskutiert, welche Zusammenhänge es zum Bundestagshack gibt, der im Jahr 2015 bekanntgeworden ist. Sind denn Daten aus diesem Hack für den Twitter-Adventskalender verwendet worden?
Welchering: Daran arbeiten die Forensiker des BKA fieberhaft zur Zeit. Obwohl das eine sehr nachgeordnete Frage ist. Denn es wurden Daten aus sehr vielen Quellen verwendet. Die Daten der im Bundestag vertretenen Parteien sind ja in der sogenannten Weihnachtsaktion, also kurz vor Weihnachten, veröffentlicht worden. Und da passen einige Dokumente in den zeitlichen Rahmen. Die sind in der Zeit entwendet worden, in dem Online-Kriminelle im Bundestagsnetzwerk Daten abgefischt haben.
Sicherheitsbehörden werten Chat-Protokolle aus
Kloiber: Gestern hat sich ja ein Youtuber in mehreren Redaktionen gemeldet, der angab, er habe mit dem Hacker, der die Datensammlung veröffentlicht habe, in der Nacht von Donnerstag auf Freitag per Chat hat Kontakt gehabt. Dieser Youtuber kritisiert die Sicherheitsbehörden, dass sie diese Spur nicht verfolgen. Was ist da dran?
Welchering: Nach allem, was hier in Informationen vorliegt, hatte dieser Youtuber Kontakt mit einem Hacker, der den Twitter-Account des deutschen Youtubers Simon Unge übernommen hatte. Durch diese Hackingaktion ist ja auch der RBB erst auf den Twitter-Adventskalender aufmerksam geworden. So, in dem Chat von Donnerstagnacht ging es darum, den Twitter-Account von Unge wieder frei zu bekommen. Das scheint ja auch gelungen zu sein. Die Sicherheitsbehörden werten diese Chat-Protokolle aus. Ob es sich bei diesem Twitter-Hijacker um den Orbit-Account-Inhaber handelt, muss jetzt geklärt werden. Hinweise, dass jemand aus der Szene jemanden kennt, der jemanden kennt, der den vermeintlichen Hacker kennt, die gibt es nach jedem Hack massenweise. Das ist so ein Aufmerksamkeitswettbewerb. Und da die wirklichen Indizien herauszuermitteln, das ist schon ziemlicher Aufwand.
Reaktion aus dem Bundesinnenministerium war konzeptlos
Kloiber: Das Bundeskriminalamt und das Bundesamt für Verfassungsschutz schienen ja gestern von dieser Situation etwas überrascht zu sein. Und auch die Sprecher der Regierung gaben sich ja in der Bundespresskonferenz eher wortkarg. Ist man da nicht ausreichend auf den Umgang mit Online-Kriminalität vorbereitet?
Welchering: Dieser Datenleak ist eine Straftat, wie sie im Netz ziemlich oft vorkommt. Nicht in der Massierung, in dem Ausmaß wie jetzt. Aber vor allen Dingen in der Youtuber-Szene ist das sogenannte Doxing, also die Veröffentlichung von Daten und Dokumenten, die einem Netzgegner oder Youtube-Star schaden sollen, ziemlich alltäglich. Die Reaktion zumindest aus dem Bundesinnenministerium darauf war konzeptlos. Das hat sich auch in der Bundespresskonferenz gestern deutlich gezeigt. Das wird ja im Übrigen auch von Ermittlern des BKA immer wieder beklagt. Die fühlen sich durch politische Vorgaben an ihrem Ermittlungsjob in vielen Fällen gehindert. Die beklagen, dass Behördenleitungen und die entsprechende Fachaufsicht auf Regierungsebene oftmals gar nicht verstünden, wie digitale Forensik funktioniert. Auch dieser Datenskandal hat mal wieder gezeigt: Wir haben längst nicht die IT-Sicherheitsstruktur, die wir bräuchten, wenn das mit der Digitalisierung nicht in der Katastrophe enden soll.