Die Veröffentlichung einer großen Menge von Adressen und Daten von Politiker*innen, Künstler*innen und YouTuber*innen warf Anfang des Jahres ein Schlaglicht auf das Thema digitale Gewalt. Wer Opfer einer sogenannten Doxing-Attacke (einem Dox) geworden ist, wer also online die Kontrolle über seine privaten Daten verliert, weil sie gestohlen und veröffentlicht werden, erlebt Angst in der Offline-Welt – und dies nicht zu Unrecht.
Sehr häufig sind Menschen von Doxing betroffen, die sich politisch äußern und von den Täter*innen zum Schweigen gebracht werden sollen. Wer sich beispielsweise zu feministischen oder rassismuskritischen Themen auf Blogs, auf YouTube oder in sozialen Netzwerken äußert und politisch positioniert, soll mittels Doxing eingeschüchtert und daran gehindert werden, dies weiterhin zu tun. Doxing ist eine Form der digitalen Einschüchterung mit weitreichenden Folgen auch in der analogen Welt der Betroffenen. Identitätsdiebstahl und die Veröffentlichung privater Informationen sind darüber hinaus aber ein beständiges Thema für alle Internetnutzer*innen. Gerade erst vor zwei Wochen wurde der größte Datenleak in der Geschichte des Internets entdeckt – Millionen von E-Mail-Adressen und Passwörtern sind in einem 87 Gigabyte großen Dokument frei zugänglich.
Bin ich von einem Datenleck betroffen?
Das Bundesamt für IT-Sicherheit rät dazu, zu überprüfen ob Sie in der Vergangenheit von einem Identitätsdiebstahl betroffen waren. Das können Sie etwa über einen Service des Hasso-Plattner-Instituts oder auf der Website Have I been Pwned prüfen, beide Seiten werden auch vom Bundesamt empfohlen. Spätestens wenn Sie sich hier wiederfinden, sollten Sie dringend Ihre Passwörter auf allen Websites ändern, auf denen Sie sich auch mit der betreffenden Mailadresse angemeldet haben.
Sicherheit durch gute Passwörter
Wenn Hacker*innen auf digitalem Weg in Online-Dienste eindringen und Daten stehlen, dann geht es oft um vertrauliche Informationen. Besonders beliebt sind neben persönlichen Daten wie Namen, Adressen, Telefonnummern und Bankverbindungen vor allem Zugangsdaten mit Kennwörtern. Immer wieder kommen eigentlich geheime Passwörter bei schlecht gesicherten Anbietern abhanden und werden entweder frei oder kostenpflichtig ins Netz gestellt. Schwache Passwörter, die nur aus einem Wort bestehen oder sehr kurz sind, können zudem leicht erraten werden. Daher sollten Sie unterschiedliche Passwörter für Ihre Accounts verwenden.
Eine einfache Handhabung von besonders starken Passwörter ermöglichen Passwort-Manager. Damit lässt sich für jedes einzelne Benutzerkonto ein eigenes, langes und komplexes Passwort vergeben. Zu empfehlen wären hier beispielsweise LastPass oder KeePassX.
Nutzen Sie die Zwei-Faktor-Authentisierung
Gerade bei Anwendungen mit hohem Sicherheitsbedarf wie Online-Zahldiensten oder Social-Media-Plattformen entsprechen Anmeldungen mit nur einem Passwort nicht mehr den heutigen Sicherheitsanforderungen. Deshalb bieten viele Plattformen inzwischen Verfahren an, mit denen sich Nutzer*innen beim Einloggen zusätzlich zur Passworteingabe identifizieren müssen. Mit der sogenannten Zwei-Faktor-Authentisierung (2FA) fügen Sie Ihren Konten eine zweite Sicherheitsebene hinzu. So versenden beispielsweise viele soziale Netzwerke oder E-Mail-Dienste eine SMS mit einem temporären Zugangscode an Ihr Handy, falls sich ein unbekanntes Gerät auf dem Konto anmeldet. Selbst wenn jemand zum Beispiel durch Phishing Ihre E-Mail-Passwort-Kombination erbeuten sollte, könnte er sich bei einem so geschützten Konto daher noch keinen Zugang zu Ihrem Account verschaffen. Da die SMS automatisch versendet werden, werden Sie außerdem alarmiert – sie erfahren, dass jemand anderes als Sie gerade versucht, sich bei Ihrem Konto anzumelden. Sie können dann schnell das Konto sperren oder Ihr Passwort ändern. Die Funktion muss bei den meisten Anbietern von Ihnen selbst aktiviert werden.
Klicken Sie nicht wahllos auf Links
Soziale Netzwerke werden verstärkt dazu genutzt, um Phishing zu betreiben. Die Zieladresse eines Links, den sie etwa per Mail oder Whatsapp erhalten, könnte die gefälschte Startseite eines sozialen Netzwerks oder eines Online-Bezahldienstes sein. Die falschen Websites sind oft sehr gut gemacht und sehen ihren Originalen täuschend ähnlich. Dort werden die User*innen aufgefordert, Benutzernamen und Kennwort einzugeben. So geben Sie ihre Anmeldedaten direkt an den Betrüger*innen weiter. Diese nutzen die Daten selbst oder verkaufen sie im sogenannten “Darknet”, einem anonymen und unzensierten Teil des Internets. Nutzen Sie deshalb keine Links, um sich etwa bei Ihrer Bank oder in sozialen Netzwerken anzumelden – sondern geben Sie die gewünschte Zieladresse selbst über die Browserleiste ein oder speichern diese als Lesezeichen in Ihrem Browser. Seien Sie extrem skeptisch gegenüber Mails und Nachrichten, die sie auffordern einen Link anzuklicken und persönliche Daten einzugeben.
Facebook und Instagram
Auch auf Facebook und Instagram geben viele Menschen mehr Informationen preis, als ihnen eigentlich lieb und bewusst ist. Gerade wenn Sie mit Ihrem echten Namen unterwegs sind, sollten Sie sich genau überlegen, ob Sie Ihre Telefonnummer, E-Mail-Adresse oder Ihren Geburtstag wirklich öffentlich zeigen möchten.
Sicherheit auf Instagram
Sofern Sie keine Person des öffentlichen Lebens sind, raten wir Ihnen bei Instagram dazu, Ihr Profil auf Privat zu stellen. Dazu gehen Sie in der App auf Ihr Profil. Wenn Sie auf die Schaltfläche oben rechts klicken, wird ein Fenster eingezogen, unten rechts finden Sie dann die Funktion “Einstellungen”. Auf “Konto-Privatsphäre” können Sie Ihr Instagram Konto privat schalten. So sehen nur noch Personen geposteten Inhalte, die Ihnen folgen – und denen Sie vorher die Erlaubnis hierfür erteilt haben.
Sicherheit auf Facebook
In vollem Umfang können Sie Ihre Privatsphäre-Einstellungen auf Facebook nur überprüfen und regulieren, wenn Sie Facebook mit dem Browser nutzen. Klicken Sie zunächst auf Ihr Profil. Ganz rechts unter dem Titelbild finden Sie die Schaltfläche “Aktivitätenprotokoll”, daneben eine Schaltfläche mit drei Punkten. Klicken Sie hier, um sich ihre aktuellen Privatsphäre-Einstellungen anzusehen (“Chronik-Einstellungen”).
Auch Freundeslisten werden öffentlich angezeigt
Ihr Benutzername und Profilbild kann von jede*r Internetnutzer*in eingesehen werden – egal ob die Person bei Facebook angemeldet ist oder nicht. Über weitergehende Information haben Sie die Kontrolle und können entscheiden, ob sie jeweils öffentlich einsehbar sind, nur von ihnen selbst, ihren Freunde oder auch Freundesfreunden gesehen werden können. Das gilt etwa für zukünftige Beiträge von Ihnen, Beiträge, auf denen Sie von Freund*innen markiert wurden oder für Beiträge von Freund*innen in Ihrer Chronik. Besondere Aufmerksamkeit sollten Sie den folgenden Punkten widmen:
– “Wer kann deine Freundesliste sehen?” Für Menschen, die Ihnen schaden möchten, kann Ihre Freundesliste höchst aufschlussreich sein, um mehr über Ihr persönliches Netzwerk zu erfahren. Hier empfehlen wir dringend, die Option “Freunde” oder “nur ich” zu wählen.
– “Wer kann mithilfe der von dir zur Verfügung gestellten E-Mail-Adresse/ Telefonnummer nach dir suchen?” – wenn Sie diese Option auf öffentlich stellen, dann kann ihre Mailadresse über Suchmaschinen mit Ihrem Facebook-Profil in Verbindung gebracht werden. Wenn die Adresse z.B. im Fall von Datenleaks öffentlich wurde, dann geben Sie Hacker*innen in Verbindung mit dem Profil weitere Anhaltspunkte für die Suche nach persönlichen Informationen.
– “Möchtest du, dass Suchmaschinen außerhalb von Facebook dein Profil anzeigen?” Wenn diese Einstellung aktiviert ist, dann wird Ihr Facebook-Profil im Rahmen einer Suchmaschinen-Suche nach Ihrem Namen angezeigt.
Auch Fotos und Videos können mehr verraten, als Sie denken
Auch wenn Sie Ihre Daten vorbildlich schützen und die Profilsicherheit beachten – manche Informationen geben wir auch ohne Worte preis. So sind z.B. Fotos von Ihrer Haustür oder im Stammlokal mit Kolleg*innen verräterisch und geben bei einer kleinen Recherche möglicherweise Aufschluss auf Ihren Wohnort oder beliebte Aufenthaltsorte.
Chats und SMS regelmäßig löschen
Gerade bei Messengern, die die Nachrichten auf einen zentralen Server speichern, um sie von mehreren mobilen Endgeräten abrufen zu können, ist es ratsam, regelmäßig ihren gesamten Chat- und SMS-Verlauf zu löschen.
Bedenken sie darüber hinaus, dass SMS – genau wie unverschlüsselt versendete E-Mails – nicht sicherer sind, als eine handelsübliche Postkarte. Der weltweit meistgenutzte Messenger-Service Whatsapp speichert Nachrichten zwar verschlüsselt, Nutzer*innen sollten aber bedenken dass der Dienst zum Facebook-Konzern gehört und hier Metadaten über die Nutzung gesammelt werden. Datenschützer*innen und versierte Überwachungsvermeider empfehlen derzeit vor allem den Messaging-Dienst Signal.
Anzeigen: Strafbarkeit von Doxing
Wenn Sie Opfer von Datenmissbrauch, Identitätsdiebstahl oder sonstigen strafbaren Handlungen im Internet wurden, suchen Sie passende juristische Beratung.
Zwei Sachverhalte sind beim Doxing, also dem Veröffentlichen privater, geschützter Informationen in der Internet-Öffentlichkeit, strafbar:
1) Die Informationsbeschaffung.
Sich Daten zu beschaffen, die durch Passwörter oder Schutz-Programme gesichert sind, ist strafbar nach 202 a StGB – Ausspähen von Daten. Hiernach wird jeder bestraft, der sich oder einem Dritten unbefugt Zugang zu Daten verschafft, die nicht für ihn bestimmt und gegen einen unberechtigten Zugang besonders gesichert sind. Der Strafrahmen beträgt bis zu drei Jahren. Der Paragraph wurde erst im Jahr 2007 in das Strafgesetzbuch eingefügt (Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität), vgl. https://www.gesetze-im-internet.de/stgb/__202.html
2) Verbreitung der Daten
Auch das Verbreiten der Daten ist nach § 42 BDSG strafbar. Hiernach wird auch mit Freiheitsstrafe von bis zu zwei Jahre bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind, ohne hierzu berechtigt zu sein, verarbeitet oder um einen anderen zu schädigen, vgl. https://www.gesetze-im-internet.de/bdsg_2018/__42.html. Das Bundesdatenschutzgesetzt (BDSG) ist gerade erst im Rahmen der DSGVO neu gefasst worden.
Am Rande relevant ist des weiteren noch § 201 a III StGB – Verletzung des höchstpersönlichen Lebensbereich durch Bildaufnahmen. Wer unbefugt von einer anderen Person eine Bildaufnahme, die geeignet ist, dem Ansehen der abgebildeten Person erheblich zu schaden, einer dritten Person zugänglich macht, wird mit Freiheitsstrafe von bis zu 2 Jahren bestraft.
Mehr zum Thema Doxing und Cybersicherheit:
Weitere Informationen auf Netzpolitik.org: Kleines Einmaleins der digitalen Selbstverteidigung
Hassrede: Was tun, wenn ich persönlich von Hate Speech betroffen bin? Hier gibt es Tipps
Technische Echtzeitassistenz und Beratung für zivilgesellschaftliche Institutionen und Aktivist*innen, Mediaorganisationen, Journalisten und Blogger, sowie Menschenrechtsverteidiger bietet Access Now.
Download