Was haben die Leute im Netz gelacht, als Donald Trump vor etwas mehr als zwei Jahren während einer Fernsehdebatte im US-Wahlkampf 2016 mit möglichen Verantwortlichen für den kurz zuvor bekannt gewordenen Hack der US-Demokraten nur so um sich warf. “Es könnte Russland gewesen sein”, sagte Trump und bestätigte damit scheinbar, was bis heute als wahrscheinlich gilt: dass wohl der Kreml diesen Angriff in Auftrag gegeben hatte. Der später eingesetzte Sonderermittler Robert Mueller hat jedenfalls mittlerweile in dem Fall zwölf russische Staatsangehörige angeklagt. Trump fuhr im Fernsehduell dann jedoch fort: “Es könnte aber auch China gewesen sein. Es könnten viele Leute gewesen sein, zum Beispiel jemand, der auf seinem Bett sitzt und 400 Pfund wiegt, okay?” Auf Twitter machte der Hashtag #400PoundHacker daraufhin mit ziemlich vielen lustigen Beiträgen die Runde.

Wer für die aktuelle Veröffentlichung von Privatdaten von Bundestagsabgeordneten und Prominenten über Twitter verantwortlich ist, für die sich mittlerweile der Hashtag #datenklau etabliert hat, ist bislang unklar. Doch vieles spricht für einen einzelnen Hacker, der womöglich gerade irgendwo auf seinem Bett sitzt und womöglich sogar 400 Pfund wiegt. Besonders viele lustige Tweets gibt es dazu bislang nicht.

Es ist halt auch nicht zum Lachen, wenn zum Teil extrem private Dinge von Menschen frei im Netz herumfliegen. Auch wenn diese Informationen mutmaßlich keine vergleichbare politische Bedeutung entfalten werden wie diejenigen, die im Falle des Angriffs auf den E-Mail-Servern der US-Demokraten bekannt wurden. Die Veröffentlichung der erbeuteten E-Mails hat den Ausgang der US-Präsidentschaftswahl 2016 zumindest mitbeeinflusst.

Wenn digitaler Selbstschutz nicht reicht

Insofern kann einem die politische wie mediale Aufregung, die seit dem Bekanntwerden des Datendiebstahls am Freitag in Deutschland eingesetzt hat, fast etwas übertrieben vorkommen. Ausgelöst hat sie wohl auch nicht die Schwere der Leaks, sondern vor allem, wer ihm zum Opfer gefallen ist – und dass es den Fall einer Veröffentlichung konkreter persönlicher Daten zuvor in diesem Ausmaß nicht in Deutschland gegeben hat. Doch allein von dem Facebook-Hack, der im vergangenen September publik geworden ist und durch den nach Angaben der Social-Media-Plattform potenziell Daten von weltweit 30 Millionen Nutzerinnen und Nutzern kompromittiert wurden, dürften in Deutschland weitaus mehr Menschen betroffen gewesen sein. Veröffentlicht wurden die Daten bislang augenscheinlich nicht, doch irgendwer könnte sie besitzen. So wie viele Firmen das ohne jeden Hack taten, die in der Vergangenheit mit ausdrücklicher Erlaubnis von Facebook Nutzerdaten von der Plattform absaugen konnten.

Diese Fälle haben auch insofern eine gewisse Ähnlichkeit, als dass sich ein Großteil der Betroffenen gar nicht restlos selbst davor schützen konnte, dass ihre Daten in falsche Hände geraten konnten. Ihre Accounts, sei es nun bei Facebook oder einem E-Mail-Anbieter, wurden gar nicht kompromittiert. Es reicht eben oft schon, dass man auf einer Freundes- oder Kontaktliste steht – und schon können die eigenen Daten zum Beifang eines illegalen Angriffs oder einer legalen Weitergabe werden.

Insofern sind erneute Forderungen danach wohlfeil, jeder Mensch müsse nun aber mal endgültig all seine verschiedenen digitalen Accounts besonders schützen, etwa durch originelle Passwörter und Zwei-Faktor-Authentifizierung. Das ist zwar ein verdammt guter Ratschlag, hilft letztlich aber nur, wenn ihn wirklich alle befolgen. Und wenn wir alle begreifen, dass Selbstschutz im Netz auch immer Schutz von Kollegen, Freunden, Verwandten bedeutet. Sucht ein Angreifer im Netz jedoch ein Einfallstor, wird er fast immer eines finden. Es ist bloß eine Frage der Zeit und des Aufwandes, den jemand betreiben kann oder will. Absoluten Schutz gibt es im Netz nicht.

Wenn auch nicht der Datendiebstahl selbst, so hätte sich aber die Veröffentlichung diesmal offenkundig verhindern lassen. Nach einer Recherche des Onlineportals heise.de wurde der Twitter-Account, über den zunächst die erbeuteten Daten verbreitet wurden, bereits Mitte 2016 gekapert. Der YouTuber selbst, dem der Account ursprünglich gehörte, hat wiederum der Frankfurter Allgemeinen Sonntagszeitung (FAS) gesagt, er sei Mitte 2017 gehackt worden. Er habe versucht, dies Twitter mitzuteilen und sogar bei der örtlichen Polizei Anzeige deswegen erstattet, die aber bald fallengelassen worden sei. Die zuständige Polizeibehörde wollte dies gegenüber der FAS aber weder bestätigen noch dementieren – ebenso wenig wie die weiteren Angaben des YouTubers, dass “Wochen nach dem Angriff ein Sondereinsatzkommando der Polizei mitten in der Nacht” bei dessen Mutter vor der Tür gestanden habe. Diese sei von einer Drohmail alarmiert worden, die vom ebenfalls gehackten E-Mail-Konto des YouTubers an den hiesigen Polizeichef geschickt worden sei.