Ein Hackerangriff erschüttert das politische Berlin. Darüber hinaus sind Comedians und prominente YouTuber betroffen. Was wurde via Twitter veröffentlicht? Wer ist betroffen? Wie professionell ging der Täter vor?

Bald kommt das Adventskalender-Event!, schrieb der Twitter-Nutzer, der sich „G0d“ nannte, am 24. November 2018, um 21.59 Uhr. „Seid gespannt, könnte für manche zu heftig werden.“ Was dann, eine Woche später, folgte, war ein digitaler Adventskalender gestohlener Daten.

Im Dezember 2018 veröffentlichte der Twitter-Account nahezu täglich private und berufliche Daten und Informationen von Politikern, Parteimitgliedern und Prominenten wie dem Komiker und TV-Moderator Jan Böhmermann. Es handelt sich um Telefonnummern, E-Mail-Adressen, private Anschriften, Namen von Familienmitgliedern, Rechnungen und Fotos von Ausweisen und Pässen. „Das 23. Türchen: SPD“, so lautete ein Tweet. Betroffen sind fast alle im Bundestag vertretenen Parteien – mit Ausnahme der AfD.

Wer aber steckt hinter G0d? In der Selbstbeschreibung des inzwischen gelöschten Twitter-Accounts (zuletzt mehr als 17.000 Follower), stand: „Künstler“. Außerdem war vermerkt: „Satire & Ironie“. Angelegt worden war der Account im Februar 2015, als letzter bekannter Standort wurde „Hamburg, Deutschland“ angegeben.

Wer oft auftaucht: AfD-Kritiker

Eine Google-Suche nach dem Twitter-Nutzer führt zu Onlineplattformen und sozialen Netzwerken, die oft von der Gaming-Szene genutzt werden. Etwa auf die Plattformen DTube und Steemit, auf der Dateien wie Videos und Fotos verschlüsselt hochgeladen werden können. Dort gibt es mindestens einen Nutzer, in dessen Profil die G0d-Twitterseite verlinkt ist.

Er hat die gehackten Datensätze in den vergangenen Wochen ebenfalls veröffentlicht. Es ist unklar, ob sich hinter diesem Steemit-Account dieselbe Person befindet wie hinter dem Twitter-Account.

Auffällig ist jedoch: Wer sich im Netz auf die Suche nach G0d begibt, stößt schnell auf frühere Veröffentlichungen, beispielsweise zu Christian Ehring, Kabarettist der NDR-Sendung „Extra 3“, oder auf die privaten Telefonnummern diverser YouTuber. Zudem scheint G0d auch mit Twitter-Nutzern vernetzt gewesen zu sein, die immer wieder AfD-kritische Prominente und Politiker angefeindet haben.
Was wurde veröffentlicht?

Bei fast allen veröffentlichten Informationen scheinen persönliche Mail-Accounts eine wichtige Datenquelle zu sein. Veröffentlicht wurden neben reinen Kontaktdaten wie Mobilfunk- und Festnetznummern sowie Privatadressen auch weitreichende private Archive von E-Mails, Facebook-Daten, Briefkopien, Fotos von Dokumenten oder Screenshots von Chatverläufen.

Konkret liegen Screenshots von Chatverläufen auf WhatsApp und Twitter zwischen Regierungsmitgliedern vor. Auch persönliche Dokumente wie etwa Kopien von Personalausweisen und sogar Diplomatenpässe von Bundestagsabgeordneten finden sich in dem Konvolut. Hinzu kommen Briefkopien von Wählern, Gesetzesentwürfe, Faxkopien – teils Material, das bereits öffentlich verfügbar war, teils vertrauliche Daten.

Aus Datenpunkten wie etwa den Ausstellungsdaten der Ausweise und Diplomatenpässe ergibt sich, dass nicht nur ältere Daten wie etwa Chatverläufe von 2011 und 2012, sondern auch neue Mails und Daten aus den Jahren 2017 und 2018 veröffentlicht wurden.

Die Materialien scheinen aus unterschiedlichen Angriffen zu stammen – teils wurde augenscheinlich auf private Mail-Accounts zugegriffen, teils auf Social-Media-Konten oder Cloud-Archive etwa von Apples iCloud. Das ist technisch plausibel – wer Zugriff auf einen fremden Account hat, kann über die „Passwort vergessen“-Funktionen der Onlinedienste meist auch Log-in-Daten von Socialmedia- oder Cloudangeboten erobern. Laut Auskunft eines Bundestagsabgeordneten der CDU wurden jedoch auch Dokumente veröffentlicht, die dieser nur per Bundestags-Mail verschickt hatte.

Wessen Daten wurden ins Netz gestellt?

Von der Veröffentlichung der Daten betroffen sind Hunderte Politiker und Prominente aus dem Showbusiness und dem Fernsehen mit ihren teils persönlichen Daten und Dokumenten. Es geht also zum einen um Personen des öffentlichen Lebens. Zum anderen sind auch deren Familienmitglieder mitunter betroffen, die nicht Teil der Öffentlichkeit sind. Im Einzelnen sind gleich mehrere Personengruppen Teil der Datensätze:

Im Bundestag sind nach ersten Informationen mehrere Hundert Abgeordnete von dem Angriff betroffen, wie es in Regierungskreisen hieß. Dazu kommen viele Parlamentarier in Landtagen und auf regionaler Ebene, bis in die Kommunen. Auch Mitglieder des Europaparlaments seien betroffen, sagte eine stellvertretende Regierungssprecherin.

Im politischen Berlin war das Datenleck am Donnerstagabend bekannt geworden, zu diesem Zeitpunkt wurde es bereits eilig im Kanzleramt besprochen. Am Morgen stand dann die Frage im Raum, inwiefern Bundeskanzlerin Angela Merkel (CDU) von den Veröffentlichungen betroffen sei. Tatsächlich sind einzelne Angaben zu ihrem Namen in dem Datenleck zu finden. In der Bundespressekonferenz vom Freitag sagte eine Regierungssprecherin, es seien nach erster Prüfung „keine sensiblen Daten der Kanzlerin“ betroffen.

Im Bundesverteidigungsministerin ist Ministerin Ursula von der Leyen (CDU) nach Informationen von den Veröffentlichungen betroffen. Demnach wurden diverse Telefonnummern von ihr abgeschöpft. Ein Teil soll aber bereits veraltet sein. Das Ministerium selbst hat nach derzeit vorliegenden Erkenntnissen keine Datenverluste gemeldet.

Alle CDU- und SPD-Minister betroffen

Auf Unionsseite wurden außerdem die Mobilfunknummern von den Ministern Anja Karliczek (Bildung), Andreas Scheuer (Verkehr) und Jens Spahn (Gesundheit) gehackt. Bei Peter Altmaier (Wirtschaft) ist es außer der Handynummer auch die Festnetz- und die Faxnummer sowie ein privater Chatverlauf auf Twitter, bei Julia Klöckner (Landwirtschaft) sind es zwei Mobil- und eine Festnetznummer. Von dem CSU-Minister Gerd Müller (Entwicklung) wurden Handy- und Festnetznummer sowie eine Adresse im Allgäu veröffentlicht. Innenminister Horst Seehofer (CSU) gehört nach bisherigen Ermittlungen nicht zu den Opfern.

Die Frage nach den insgesamt betroffenen Bundesparteien war zunächst nicht abschließend geklärt: Am Freitagnachmittag lagen dem Innenministerium „keine Erkenntnisse“ dazu vor, dass Politiker von der AfD betroffen sind.

Es fällt auf, dass auch bisher eher unbekannte Politiker in größerem Maß von der Veröffentlichung betroffen sind – die sich in jüngerer Vergangenheit insbesondere deutlich gegen rechtes Gedankengut positioniert haben. So etwa die SPD-Bundestagsabgeordneten Claudia Moll und Helge Lindh. Moll ging in der Debatte über den Migrationspakt im November frontal auf die AfD zu und kritisierte sie mit deutlichen Worten. Laut ihrem Büro war ein Mail-Account von ihr im August gehackt worden.

Der Wuppertaler Abgeordnete Lindh war laut seinem Büro im März Opfer: Damals hätten Unbekannte die Kontrolle über seine Social-Media-Konten übernommen und rechte Inhalte veröffentlicht. Anschließend wurde laut Lindh auch auf sein Bankkonto zugegriffen. Jetzt, nach der Veröffentlichung, erreichen Lindhs Büro Mails mit dem Tenor: Er habe oft Position gegen die AfD bezogen – das habe er nun davon.

Auch Unterlagen von YouTubern standen im Netz

Auf SPD-Seite wurden außerdem bei Vizekanzler Olaf Scholz (Finanzen) die Mobilnummer und die Privatadresse gehackt. Bei den Ministern sind es bei Heiko Maas (Auswärtiges Amt) die Festnetznummer und mehrere Gesetzentwürfe, bei Katarina Barley (Justiz) die Handynummer, private Mail-Adressen und der Skype-Account, bei Franziska Giffey (Familie) die Mobil-, Festnetz- und Faxnummer.

Bei Hubertus Heil (Arbeit) wurden die Mobilnummer und Briefe an die Bundestagsfraktion zum Thema Rente publik, bei Svenja Schulze (Umwelt) die Handynummer und die private Mail-Adresse. Auch Fraktions- und Parteichefin Andrea Nahles wurde Opfer, die Mobil- und Festnetznummer sowie die Handynummer eines Mitarbeiters wurden ins Netz gestellt.

Auf dem Blog, auf dem Links zu Dokumenten gesammelt wurden und der inzwischen von den Betreibern der Plattform gesperrt wurde, wurden auch private Unterlagen bekannter YouTuber verlinkt. Darunter befanden sich LeFloid, dessen Kanal mehr als drei Millionen Abonnenten aufweist, und Mirko Drotschmann, der sich als „MrWissen2go“ mit politischen und gesellschaftlichen Themen beschäftigt. Der YouTuber Simon Unge veröffentlichte am Donnerstag ein Video, in dem er den Hack seines Twitter-Accounts meldet.

Auch Comedians wie Jan Böhmermann, Christian Ehring und Oliver Welke sowie die Rapper Marteria und K.I.Z. sollen betroffen sein. Unter den Daten sollen sich auch Bilder von Kindern, Chatverläufe und Urlaubsfotos befinden. Gemeinsam ist auch hier: Sie alle hatten sich satirisch mit der AfD auseinandergesetzt oder sich öffentlich gegen rechtes Gedankengut ausgesprochen. Betroffen sind auch Journalisten der öffentlich-rechtlichen Anstalten.

Wie professionell ist die Veröffentlichung?

Der oder die Täter haben sich extrem viel Mühe gegeben, die Daten zu strukturieren: Politiker werden nach Parteien geordnet angezeigt, Kontaktdaten in Listen sortiert, Dateifragmente nach Inhalt geordnet und kommentiert.

Die Dateien wurden auf den Servern von asiatischen und russischen Online-Downloaddiensten veröffentlicht, die von Deutschland aus nur schwer erreichbar sind. Damit verhindert der Hacker, dass die Opfer ihre Daten durch einfache juristische Maßnahmen aus dem Netz entfernen können.

Wie wird der Fall jetzt aufgeklärt?

Am frühen Freitagmorgen fand in den Räumlichkeiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Bonn eine Sitzung des Cyber-Abwehrzentrums zu den aktuellen Datenveröffentlichungen statt. Daran nahmen auch Vertreter des Bundeskriminalamtes (BKA), des Bundesnachrichtendienstes (BND) sowie des Bundesamtes für Verfassungsschutz (BfV) teil.

Wie das BSI am Freitag mitteilte, sollen die Regierungsnetze offenbar nicht von Hackern angegriffen worden sein. Aus der Bundestagsverwaltung heißt es ebenfalls, es habe jüngst keinen Cyberangriff auf die E-Mail-Server des Parlaments gegeben. Ersten Analysen der Behörden zufolge könnten die besagten Informationen aus öffentlich zugänglichen Quellen sowie möglicherweise auch aus gehackten Clouddaten zusammengetragen worden sein.

Die IT-Experten der Sicherheitsbehörden prüfen derzeit, woher die veröffentlichten Informationen stammen könnten – und wer hinter dem Hack steckt. Dazu werden die Daten zunächst gesichtet und bewertet. Danach könnten strafrechtliche Ermittlungen eingeleitet werden. Die Polizei würde dann beauftragt, die Hacker aufzuspüren. Noch aber scheint unklar, ob es sich um Cyberkriminalität oder um Cyberspionage handelt.

Sind ausländische Geheimdienste involviert?

Der Generalbundesanwalt hat nach Angaben einer Sprecherin inzwischen einen Beobachtungsvorgang zu dem Fall angelegt. Die Bundesanwaltschaft überprüft damit die Bedeutung des Falls sowie die kriminelle Relevanz. Bei einem geheimdienstlichen Hintergrund des Datendiebstahls wäre die Karlsruher Behörde zuständig.

Für die Behörden ist daher von besonderem Interesse, ob staatliche Akteure, also ausländische Geheimdienste, im aktuellen Fall involviert sein könnten. Im Jahr 2016 war ein Cyberangriff auf den Deutschen Bundestag bekannt geworden. Damals waren umfangreich Daten aus diversen Abgeordnetenbüros und auch dem Büro der Bundeskanzlerin abgeflossen. Die Sicherheitsbehörden machen für den Angriff die Hackereinheit „APT28“ des russischen Militärgeheimdienstes GRU verantwortlich.

Es war befürchtet worden, dass die gestohlenen Daten kurz vor der Bundestagswahl zur gezielten politischen Beeinflussung oder Desinformation veröffentlicht werden könnten. Dies geschah allerdings nicht. Bis heute sind die Daten aus dem sogenannten Bundestags-Hack nicht aufgetaucht.

Anfang 2018 wiederum war ein erneuter Hackerangriff auf staatliche Einrichtungen bekannt geworden. Hacker hatten damals die Lernplattform der Hochschule des Bundes für öffentliche Verwaltung in Brühl (NRW) mit Schadsoftware infiziert und sich so Zugang zu zahlreichen Nutzerkonten verschafften.

Über diesen Weg sollen die Angreifer dann bis in das Auswärtige Amt vorgedrungen sein. Zusätzlich gab es Cyberangriffe auf die Stiftung Wissenschaft und Politik. Auch hinter diesen Attacken vermuten die Sicherheitsbehörden russische Geheimdienste.