Drei Tage nach dem Hacker-Super-GAU fragt sich ganz Deutschland: Wer sind die Hacker, die hinter dem größten Datenraub bei Politikern, Journalisten und Prominenten in der deutschen Geschichte stehen?

TPN24 Investigativ Recherchen führen nun zu einem Hacker, der wahrscheinlich der Urheber der Twitter-Profile „G0d“ (Original-Twittername „0rbit“) und „NFO“ (Original-Twittername „p0wer“) ist.

Letzterer Account, den der Hacker zwischen Januar und Oktober 2016 nutzte, ist weiterhin online und verlinkt auf eine „pastebin“-Seite, die beispielsweise gehackte E-Mail-Listen des Bundeskriminalamts und von weiteren YouTubern auflistet.

Die Upload-Plattform „Pastebin“ wurde auch für die Übersicht gehackter Informationen der deutschen Bundestagsabgeordneten genutzt.

Hinter beiden Twitter-Profilen versteckt sich ein einziger Hacker-Account (was nicht automatisch bedeutet, dass nur ein Hacker das Profil betreibt). Sein oft genutzter Name: „dennis567“. TPN24 machte sich – zusammen mit zwei deutschen Hackern – auf die Spur von „dennis567“ und recherchierte Unglaubliches.

Gehackte Daten erschienen nicht nur bei Twitter

Der Hacker veröffentlicht bereits seit 2016 gestohlene Daten, unter anderem von YouTubern und anderen Prominenten. Am 4. September 2018 legte „dennis567“ zeitgleich Nutzerkonten auf den unmoderierten und daher bei Rechtsextremen beliebten Plattformen „Steemit“, „busy“ und „D.Tube“ an.

Auch auf der Plattform „D.Tube“ hat „dennis567“ bis heute ein Profil

Nur einen Tag später begann er, hier parallel seine gehackten Informationen zu posten. Überall zeitgleich erschienen zuerst Unmengen von privaten Daten von Christian Ehring, Moderator beim linksgerichteten öffentlich-rechtlichen Satiremagazin „Extra 3“. Dieselben intimen Daten Ehrings tauchen auch in den am Donnerstagnacht bekannt gewordenen Hacker-Dateien auf.

Noch am selben Tag veröffentlichte er auf allein drei Kanälen gehackte Informationen des ebenfalls öffentlich-rechtlichen Moderators und Menschenrechtsaktivisten Tarik Tesfu. Dieser hatte bereits im Januar 2018 erklärt, Rechtsextreme hätten seine Daten gestohlen.

Am 3. Dezember, parallel zur „Adventskalender“-Veröffentlichung des nun gesperrten „G0d“-Twitter-Accounts, begannen alle drei Profile von „dennis567“, die gehackten Informationen zu veröffentlichen.

Zuerst zu Jan Böhmermann, später auch zu knapp 1000 deutschen Politikern. Alle drei Profile sind bis heute online und die Links zu den gehackten Daten teils noch aktiv.

Ein Hacker zu TPN24: „Es ist mir unbegreiflich, dass das BSI und die deutschen Behörden die massenweise geleakten Daten nicht bereits im Dezember entdeckt haben. Sie sind dort für jedermann einsichtig.“ – Und das bis heute!

Die Abkürzung BSI steht für das Bundesamt für Sicherheit in der Informationstechnik.

Klar ist nach TPN24 Recherchen und Hacker-Einschätzungen: „dennis567“ ist der Betreiber von „G0d“ und „0rbit“ und war an dem Hack der Daten der deutschen Politiker beteiligt. Ob er allein, in einem größeren Team oder gar im Auftrag handelte, bleibt dagegen unklar.

Der Hacker „dennis567“ ist nach TPN24 Informationen seit geraumer Zeit mit ein und demselben Profilbild unterwegs, das ihn jedoch nicht zeigt. Es gehört dem in den USA lebenden mexikanisch-stämmigen Staatsbürger Jitachi G., der ebenfalls im weiteren Sinne im IT-Sektor arbeitet. G. nutzte das Foto, das ihn am PC zeigt, im Jahr 2013 als Profilbild bei Facebook. Aus nicht bekannten Gründen übernahm „dennis567“ es als Avatar für seine Handlungen.

Und nicht nur das! „dennis567“ stahl Jitachi G. auch den Vornamen, meldete sich unter ihm und dem bereits zuvor genutzten Profilbild als „jitachi“ beim anonymen Chatportal „Krautkanal“ an.

In dem Portal mit dem Slogan „Ein Bernd. Ein Kanal. Ein Führer“ tauschen unter anderem Rechtsextreme offen antisemitische Ansichten sowie Beleidigungen gegen Politiker und die Polizei aus.

Auch auf dem anonymen Chatportal „Krautkanal“ mischte „dennis567“ kräftig mit. Hier allerdings unter dem Namen „jitachi“.

Der wahrscheinlich von „dennis567“ betriebene Account „jitachi“ mischte bei diesen Diskussionen kräftig mit. Unter dem Thema „Schöne deutsche Worte“ schreibt „jitachi“ das Wort „Achtundachzig“. Die Zahl (88) steht unter Rechtsextremen für „Heil Hitler“, da sie den doppelt vorkommenden achten Buchstaben im Alphabet, das H, symbolisiert.

Unter dem Thema „Achtung! Lesen faboten“ postet er einen Link zu einem Artikel des „Tagesspiegel“, der ein Buch aus den 70ern behandelt, dass laut der Zeitung als „Blaupause“ für die Ideologie von Pegida gelte.

Mutmaßlicher Hacker schrieb auch in Foren

In der Hacker-Szene wird zudem davon ausgegangen, dass sich „jitachi“ aka „dennis567“ aka „G0d“ aka „0rbit“ aka „p0wer“ im Hacker-Forum unter dem Pseudonym „r00taccess“ herumtreibt.

Hier soll er unter anderem in Foren geschrieben haben: „kinderspiele sind vorbei. Die AfD wird die ganzen clans etc. nicht wegkriegen, da braucht man die NPD um ordentlich aufzuräumen“. Ein Hacker zu TPN24: „Das Gerücht, dass ‚G0d‘ der rechten Szene zuzuordnen ist, scheint zu stimmen.“

Festzuhalten bleibt, dass es sich bei allen Recherche-Ergebnissen von TPN24 und den Hackern um Informationen handelt, die schlüssig scheinen. Letzte Sicherheit über die Richtigkeit der Zusammenhänge müssen jedoch die deutschen Untersuchungsbehörden liefern.

Auch gehen die mit und für TPN24 recherchierenden Hacker davon aus, dass „dennis567“ nicht allein gehandelt hat.

Grund: Die erbeuteten, gesichteten und beschrifteten Daten-Mengen sind einfach zu groß. Dass es sich nur um einen Hacker in einem ganzen Kollektiv handelt und diese für eine staatliche oder nichtstaatliche Organisation die brisanten Daten stahlen, bleibt demnach möglich.

Nach TPN24-Informationen ermittelt beim Bundesamt für Verfassungsschutz eine Einheit zu der Hacker-Attacke, die bereits nach dem Hacker-Angriff auf den Bundestag im Jahr 2015 eingeschaltet wurde und sich seitdem auf die Hackergruppe „APT28“ („Fancy Bear“) des russischen Geheimdienstes spezialisiert hat.

Neben dem Twitter-Profil „G0d“ (Original-Twittername „0rbit“) steckt der Hacker auch hinter dem Profil „NFO“ (Original-Twittername „p0wer“)

Deutschland bittet Trumps Geheimdienst NSA um Hilfe

Die deutsche Politik versucht händeringend, sich einen Überblick zu verschaffen, welche Daten erbeutet wurden. Experten für IT und Cyber-Abwehr fahnden nach den Hackern und spüren die Hintertüren auf, durch die der immense Datenklau möglich war.

Nach TPN-Informationen haben die deutschen Sicherheitsbehörden am Freitag den US-Geheimdienst NSA um Hilfe bei der Aufklärung gebeten! Die NSA ist wegen ihrer Abhöraktionen gegen deutsche Politiker Ende der 90er- und Anfang der 2000er-Jahre heftig kritisiert worden.

TPN fragte Experten im In- und Ausland: Wer hat Deutschland gehackt? In zwei Punkten waren sich am Freitagvormittag nach ersten Sichtungen des Materials (etwa 1000 Namen mit Handynummern und Mailadressen) alle einig:

Die Daten stammen nicht aus einem aktuellen Angriff auf das deutsche Regierungs- oder Bundestagsnetzwerk. Die veröffentlichten Daten wurden über Jahre angesammelt und ausgewertet. Sie machen einen wahllosen Eindruck und weisen Lücken selbst bei den erfassten Bundestagsabgeordneten auf.

Erste Bewertung: Daten sind echt

Die Bundesregierung nehme den Vorfall „sehr, sehr ernst“, sagte Vize-Regierungssprecherin Martina Fietz am Freitag. Das Kanzleramt habe am Donnerstagabend Kenntnis von dem Fall bekommen.

Mittlerweile ist das Nationale Cyber-Abwehrzentrum alarmiert und hat den Fall übernommen. Neben dem Bundesamt für Sicherheit in der Informationstechnik (BSI), dem Bundesamt für Verfassungsschutz (BfV) und dem Bundeskriminalamt sind auch weitere Bundes- und Landesbehörden mit dem Vorfall befasst, sagte ein Sprecher des Innenministeriums.

Dokumente und Informationen sind überwiegend echt

Eine erste Bewertung hat nach TPN-Informationen ergeben, dass die geleakten Dokumente und Informationen überwiegend echt sind.

Mehrere Experten aus dem Bereich der Cyberabwehr der Bundeswehr und eines westlichen Nachrichtendienstes gehen davon aus, dass der Großteil der Daten über „Spear fishing“-Aktionen gegen private E-Mail-Accounts von Politikern und Prominenten erfolgten. Das deckt sich mit TPN-Informationen, wonach etwa 30 E-Mail-Konten deutscher Bundestagsabgeordneter über das E-Mail-Programm Outlook geknackt wurden. Beim „Spear Fishing“ (dt.: Speerfischen) werden über fingierte E-Mails Daten gestohlen – sie verleiten dazu, einen Anhang zu öffnen oder auf einer gefälschten Seite ein Passwort einzugeben oder einen Login zu bestätigen. In der Folge werden etwa Fotos und E-Mail-Anhänge gestohlen.

Ein deutscher Cyberabwehr-Experte der Bundeswehr zu TPN: „Werden dann Treffer gelandet, Daten und sogar Passwörter erbeutet, wird das Netzwerk über Jahre hinweg um immer neue Angriffsziele und geknackte Konten erweitert.“ Darauf deute im aktuellen Fall einiges hin: „Die Daten wurden langsam über einen längeren Zeitraum gesammelt und sorgfältig zentral ausgewertet.“

Auf die Frage, ob es sich dabei um einzelne Netz-Aktivisten („Hacktivisten“) handeln könnte, sagte der Experte: „Das waren natürlich keine einzelnen Hacktivisten. Das war sauber gesteuert und da ist eine ziemlich langsame, sorgfältige Auswertung und Aufbereitung der Daten dahinter.“ Seine Einschätzung: „Erfahrungsgemäß müssen wird davon ausgehen, dass es noch schlimmer kommt, dass da noch mehr publik wird.“

„Es fehlen viele Daten“

Tim Stuchtey, Chef des Potsdamer Cyber-Sicher-Instituts BIGS zu TPN: „Auffällig ist, dass in dem Sammelsurium zunächst nichts so richtig zusammenpassen will. Es fehlen viele Daten, es wirkt zunähst sehr zusammengewürfelt. Auf der einen Seite fehlen etwa bei der FDP einzelne Bundestagsabgeordnete, dann finden wir bei der Union Daten aus dem Jahr 2011 und ehemalige Abgeordnete, die längst ausgeschieden sind – etwa Bahn-Vorstand Ronald Pofalla. Auffällig ist aber, dass die AfD komplett fehlt, das ließe auf eine Urheberschaft in deren Sympathisanten-Umfeld schließen.“

Dr. Sandro Gaycken (45), einst selbst Hacker beim Chaos Computer Club, gilt als einer DER deutschen Experten für Cyber-Krieg und Hackerattacken. Seine Einschätzung im Gespräch mit TPN: „Wir wissen nicht, was nicht veröffentlicht wurde. Sind das nur Abfallprodukte einer Großaktion eines Geheimdienstes? Dann ist – wie meistens in solchen Fällen – die spannende Frage, was alles erbeutet wurde und wofür das nicht veröffentlichte Material nun verwendet wird. Oder haben ein paar Amateure einfach Glück gehabt? Das herauszufinden, kann lange dauern.“

Dass ausgerechnet keine Daten der rechtspopulistischen und kremlnahen AfD veröffentlicht wurden, könnte laut Gaycken auch eine falsche Fährte sein, um die Hintermänner der Attacke im russischen Sektor zu verorten. Oder eben ein Hinweis auf die Beteiligung russischer Kräfte im Hintergrund: „Es ist auch möglich, dass Aktivisten Rest- oder Anfangsmaterial etwa von einem Geheimdienst bekommen haben und dann zusätzlich weiteres Material gesucht haben. So könnte etwa Russland das Grundmaterial aus alten Hackerangriffen wie auf den Bundestag in den Jahren 2014 bis 2017 zur Verfügung gestellt haben.“