Cyber-Kriminalität

Nach Datendiebstahl: So läuft die Suche nach Hacker „Orbit“

Hacker haben Daten Hunderter Politiker und Prominenter veröffentlicht. Am Sonntag durchsuchte das BKA die Wohnung eines Zeugen.

Hackerangriff: Daten von Politikern veröffentlicht

Panorama Video

Hackerangriff: Daten von Politikern veröffentlicht

Beschreibung anzeigen

Berlin.  Am Montagmorgen geht Jan S. selbst an die Öffentlichkeit. Auf dem Netzwerk Twitter postet er: „Da es überall im Fernsehen & den Medien zu sehen ist, ja dass BKA hat gestern in einer mehrstündigen Razzia meine Wohnräume durchsucht.“

Jan S. ist nicht beschuldigt. Er ist Zeuge. Die Polizei prüft, ob und wie gut der 19-Jährige aus Heilbronn den Hacker „Orbit“ kennt – und was er über die Person oder das Netzwerk verraten kann.

Über den Twitter-Account „@_Orbit“ wurden seit Dezember täglich Links zu Daten von insgesamt Hunderten Politikern und Prominenten wie Til Schweiger und Jan Böhmermann veröffentlicht: Handynummern, Privatadressen, E-Mail-Verläufe, aber auch Kopien von Briefen und Kontodaten.

Sogar private Chatverläufe zwischen den Betroffenen und ihren Kindern oder Ehepartnern veröffentlichten der oder die Hacker – etwa auch von Grünen-Parteichef Robert Habeck.

Rund 1000 Personen von Datenklau betroffen

Zwischen den teilweise sehr sensiblen Daten fanden sich aber auch etliche, die jeder öffentlich im Internet finden kann. In einigen Fällen soll es sich auch um Fälschungen handeln. Noch immer ist unklar, wer dahintersteckt – und welches Motiv der oder die Täter haben.

Das Ausmaß des Datenklaus ist für die Sicherheitsbehörden im Vergleich zu großen und organisierten Hackerangriffen überschaubar – in Fällen in der Vergangenheit waren Daten von etlichen Tausenden oder gar Millionen Internetnutzern oder Firmenkunden betroffen.

Hier sollen es Daten von rund 1000 Personen sein, 60 davon sind schwer betroffen. Doch gewinnt der aktuelle Fall an Brisanz, weil die Sicherheitsbehörden aus Sicht mancher Politiker nicht schnell genug handelten.

Am Montag rief Bundesinnenminister Horst Seehofer (CSU) seine Behördenchefs zu sich: Arne Schönbohm, Leiter des Bundesamtes für Sicherheit in der Informationstechnik (BSI), und Holger Münch, Präsident beim BKA. Ein Mini-Krisengipfel in Berlin.

Schönbohm steht unter Druck, nachdem er zunächst erklärt hatte, dass seine Behörde bereits im Dezember über den Datendiebstahl informiert gewesen sei. Diese Aussage wurde von seinem Amt aber später relativiert. Am heutigen Dienstag wollen Seehofer, Schönbohm und Münch in Berlin Stellung nehmen.

Bundesamt für IT-Sicherheit waren nur Einzelfälle bekannt

Von den Veröffentlichungen betroffen ist auch die baden-württembergische Grünen-Landtagsabgeordnete Martina Braun, deren Facebook- sowie privater E-Mail-Account Ende Oktober gehackt und einige Stunden mit volksverhetzenden Posts betrieben wurde. Sie erstattete Anzeige.

„Offensichtlich wurden in diesem Zusammenhang Daten über Chatverläufe im Messenger sowie E-Mail-Adressen abgegriffen und im Zuge des jüngsten Hackerangriffs via Twitter veröffentlicht“, sagt Braun unserer Redaktion. „Dieser Eingriff in meine Grundrechte erschüttert mich. Jedoch lasse ich mich davon weder einschüchtern noch in meiner Arbeit als Landtagsabgeordnete beirren.“

Dem BSI von Schönbohm waren nach eigenen Angaben nur Einzelfälle von Cyberangriffen gegen Politiker bekannt. Erst durch die Veröffentlichung von „Orbit“ zeigte sich der Behörde das Ausmaß.

AfD-Politiker nicht betroffen – ein Zufall?

Cyber-Experten gehen davon aus, dass es sich bei dem Datenklau nicht um einen Hackerangriff handelt. Vielmehr käme ein sogenanntes Doxing in Frage. „Ein Doxer versucht, möglichst viele private Daten über eine Person zu sammeln, um diese dann im Internet zu veröffentlichen und die Person bloßzustellen“, sagt der Netzkulturbeobachter und Publizist Enno Park.

Im Darknet werde diese Art des Online-Mobbings geradezu als Sport betrieben – vor allem wenn es dabei um prominente Personen geht. Es geht laut Park darum, sich innerhalb der Szene mit erfolgreichen Hacks oder Datenveröffentlichungen wie etwa privaten Chats von Prominenten zu brüsten. „Das ist hochgradig menschenverachtend“, so Park.

Auch der Experte geht davon aus, dass es sich im aktuellen Fall nicht um einen Hackerangriff, sondern um eben dieses Doxing handelt. „Das Schema passt nicht zu einem klassischen Cyberangriff.“ Die veröffentlichten Daten erwecken laut Park den Anschein, als habe der Hacker sie über einen längeren Zeitraum aus verschiedenen Känalen gesammelt.

Diese These stützt, dass sich unter den Veröffentlichungen auch ältere Daten aus vorherigen Hacks befinden. „Ich gehe jedoch davon aus, dass der Täter einige Hacks selber begangen hat“, so Park. Dabei könnte der Zugriff auf einige wenige Accounts gereicht haben, um beispielsweise über Adressbücher an weitere private Daten gelangt zu sein.

Der Täter hinterließ Spuren

Zudem ist der Täter aus Sicht der IT-Fachleute des Chaos Computer Clubs wenig professionell vorgegangen. Der Hacker habe Spuren wie Zugriffszeiten und Motivationen, Rechtschreibfehler und eigene Gedanken in diesen Daten hinterlassen. Nach Ansicht der IT-Experten hat der Angreifer ein „viel zu großes Geltungsbedürfnis“. Der Täter soll sogar mit den Betroffenen gechattet haben. Das alles seien Puzzlestücke, die den Ermittlern jetzt bei der Fahndung helfen könnten.

Mehrere Stunden haben Ermittler des Bundeskriminalamts den Zeugen Jan S. am Wochenende befragt. Auch technische Geräte wie Festplatten wurden bei der Durchsuchung der Wohnung als mögliche Beweismittel beschlagnahmt. Welche Angaben Jan S. gegenüber der Polizei gemacht hat, ist unklar. Jan S. hatte auf Twitter selbst angegeben, dass er „Orbit“ seit Jahren kenne und dieser sich nach den Veröffentlichungen bei ihm gemeldet hatte. Auch dass „Orbit“ seine Computergeräte „zerstören“ wolle, habe dieser Jan S. mitgeteilt.

Jan S. will keine Daten geklaut haben

Was weiß S. noch über den großen Datenklau? Derzeit ist er nicht nur Zeuge. In einem anderen Ermittlungsverfahren der Staatsanwaltschaft Stuttgart ist S. Beschuldigter. Die Polizei prüft derzeit nach Informationen unserer Redaktion Verbindungen von S. zur hetzerischen und islamfeindlichen Youtube-Plattform „Die vulgäre Analyse“.

Einen Zusammenhang erkennt die Polizei bisher nicht. Jan S. hat nach eigenen Angaben nur die Technik für die Plattform erarbeitet – will aber nicht für Inhalte verantwortlich sein.

© Berliner Morgenpost 2019 – Alle Rechte vorbehalten.