Unbekannte haben persönliche Daten und Dokumente mehrerer Hundert Politikerinnen und Politiker aus dem Bundestag, prominente Musiker und Persönlichkeiten sowie von Journalisten von ARD und ZDF veröffentlicht. In der immensen Materialsammlung finden sich private Adressen und Handynummern, Kontoauszüge, Chat- und E-Mailverläufe, private Fotos oder Kopien von Personalausweisen. Viele dieser Informationen sind aber älter, manche Nummern längst nicht mehr aktuell. Politisch brisante Dokumente konnten bisher in dem Konvolut nicht identifiziert werden.

Während von manchen Politikerinnen und Politikern nur öffentlich zugängliche E-Mailadressen und Büronummern aufgeführt sind, hat es andere Personen stärker getroffen. Die Urheber haben es dabei besonders auf Politiker der Grünen und von CDU und CSU abgesehen. Auch viele persönliche Daten der Fernsehmoderatoren Jan Böhmermann und Christian Ehring sind offengelegt worden. Im Bundestag wurden die betroffenen Parteien offenbar am Donnerstag informiert, die Fraktionen berieten über das weitere vorgehen.

Es ist unwahrscheinlich, dass Teile des jetzt veröffentlichten Materials aus dem früheren Hackerangriff auf den Bundestag im Jahr 2015 stammen. Als Urheber nannte die Bundesregierung damals die Hackergruppe “Fancy Bear”, die mutmaßlich im Auftrag Russlands gehandelt habe. In der aktuellen Veröffentlichung finden sich Daten und Dokumente, die neueren Ursprungs sein dürften. Auf einige Politiker scheinen sich die Hacker dabei gesondert konzentriert zu haben, so dass sie auch an persönliche Informationen über die Familien gelangten.

Womöglich wendeten der oder die Täter für den Angriff verschiedenen Methoden an. Es ist auch nicht auszuschließen, dass einige Information von Insidern aus dem Bundestag kommen, die Zugriff auf interne Systeme haben. Das Material über die Journalisten, Musiker, Youtuber und TV-Moderatoren dürfte ohnehin nicht im Zusammenhang mit dem früheren Angriff auf den Bundestag stehen.

Ausgangspunkt der Veröffentlichung ist ein Account des Kurznachrichtendienstes Twitter. Der Inhaber des Accounts nennt sich @0rbit und hatte fast 19.000 Follower, bevor er am Freitagvormittag gesperrt wurde. Er ist seit Februar 2015 bei Twitter registriert. Der Inhaber beschreibt sich mit den Begriffen “Security Researching (Sicherheitsrecherche), Künstler, Satire und Ironie”. Nach eigenen Angaben befindet er sich in Hamburg, was jedoch keinen Rückschluss auf den tatsächlichen Aufenthaltsort zulässt.

Die aktuellen Dokumente wurden von @0rbit im Dezember 2018 als “Adventskalender” getwittert. Zwischen dem 1. und 28. Dezember wurden dort Links veröffentlicht, die zu einer Datentausch-Plattform führen, auf der die Informationen hochgeladen wurden.

So führt der Link bei Türchen 24 auf Inhalte im Zusammenhang mit CDU und CSU, Türchen 23 auf Daten der SPD-Politiker. In der Twitter-Biografie von @0rbit fand sich außerdem ein Link, der auf weitere Hacks hinleitet. Der Account hatte bereits früher private Informationen von diversen YouTubern und von einem Tochterunternehmen von ProSiebenSat.1 Media verbreitet. Die Daten wurden auf der Tauschplattform PrivateBin gespeichert, auf der anonym Daten hochgeladen werden können. Der Account-Inhaber ist sehr sorgsam umgegangen und hat diverse Sicherungskopien angelegt. Es wurden auch Videos mit den Dokumenten erstellt. Der oder die Verantwortlichen wollten jedenfalls, dass die Daten schwer zu löschen sind.

Möglicherweise wurde der Hauptaccount, über den das Material veröffentlicht wurde, durch einen frühere Hack von einem bekannten Youtuber geklaut und umgewandelt. Das würde die hohe Zahl der Follower erklären. Es existieren aber noch drei ähnliche Nebenaccounts, die den selben Urheber haben könnten. Noch ist es nicht möglich zu sagen, wer genau für die Veröffentlichung des Datenkonvoluts verantwortlich ist. Das Umfeld der Accounts lässt aber den Schluss zu, dass es sich um Täter mit Verbindung in die rechte Szene handelt. Der Hauptaccount @0rbit beteiligte sich an extrem rechten Diskussionen auf Twitter.

Einige der betroffenen Personen waren schon zuvor Ziel rechter Angriffe im Netz. Das ebenfalls betroffene ZDF-Medienformat Jäger und Sammler hat bis heute mit rechten Trollen zu kämpfen. Auch der Youtuber Rainer Winkler, besser bekannt als Drachenlord, geriet in den Fokus der rechtsextremen Trollszene – Referenzen auf ihn fanden sich auch auf dem @0rbit-Account. Der ansonsten wenig aktive rechtsextreme Account @AN_Offiziell (anonymousnews) war ebenfalls mit dem Hauptaccount vernetzt, der insgesamt nur acht Accounts folgte – mindestens drei dürften Nebenaccounts des Leakers sein. 

@AN_Offiziell gehört zum Umfeld der rechtsextremen Szene und gibt sich als Teil der Hackergruppe Anonymous aus. Auch der Zwillings-Account anonymousnews.ru war mit dem Leak-Account verknüpft. Als Betreiber von Anonymousnews.ru wird ein Rechtsextremist aus Erfurt vermutet, der im Dezember 2018 wegen illegalen Waffenhandels zu zwei Jahren und zehn Monaten Haft verurteilt wurde. Der Mann hatte gegen das Urteil Revision eingelegt und ist momentan unter strengen Meldeauflagen frei.