Doxing: Die Gefahr von zu viel Offenheit

Durch soziale Netzwerke, Da­ten­lecks und au­to­ma­ti­sier­te Aus­wer­tun­gen können Pri­vat­per­so­nen genau wie Be­rühmt­hei­ten schnell ins Visier von An­grei­fern geraten. Kri­mi­nel­le, Online-Bullys und andere Personen mit ver­leum­de­ri­schen Absichten sammeln und ver­öf­fent­li­chen teils pri­va­tes­te In­for­ma­tio­nen und erzeugen dabei er­heb­li­chen Schaden. Man sagt: Die Angreifer „doxxen“ ihre Opfer. Was bedeutet das und warum greifen Täter bzw. Tä­te­rin­nen zu diesem Mittel?

Was ist Doxing? De­fi­ni­ti­on und Erklärung der Cy­ber­at­ta­cken

Bei vielen Cy­ber­at­ta­cken spielen Hacker eine große Rolle: Viren werden pro­gram­miert, tech­ni­sche Si­cher­heits­lü­cken aus­ge­nutzt und soft­ware­ba­sier­te Angriffe gefahren. Die Kri­mi­nel­len sind in solchen Fällen Spe­zia­lis­ten oder Spe­zia­lis­tin­nen mit IT- und Pro­gram­mier­kennt­nis­sen auf höchstem Niveau. Kri­mi­nel­le, die doxxen, brauchen al­ler­dings in den meisten Fällen gar kein solches Ex­per­ten­wis­sen. Hier zählen nur Ausdauer, Mo­ti­va­ti­on und eine große Menge kri­mi­nel­le Energie.

Doxing-Attacken laufen immer in zwei Stufen ab: Sammlung und Ver­öf­fent­li­chung. Im ersten Schritt werden alle ver­füg­ba­ren In­for­ma­tio­nen über das Opfer zu­sam­men­ge­tra­gen. Hierzu zählen private Adressen, E-Mail-Adressen, Te­le­fon­num­mern, die Namen von Fa­mi­li­en­an­ge­hö­ri­gen, Social-Media-Konten, private Fotos, teilweise auch Bankdaten. So viel­fäl­tig die Daten sind, so um­fang­reich sind auch die Quellen.

• Social Media: Menschen ver­öf­fent­li­chen zahl­rei­che Fotos und auch per­sön­lichs­te In­for­ma­tio­nen in frei zu­gäng­li­chen Social-Media-Auf­trit­ten.
• Webseiten: Im Impressum einer Website oder eines Blogs stehen konkrete Adress­da­ten von Personen und Un­ter­neh­men.
• Adress- und Te­le­fon­bü­cher: Da­ten­ban­ken mit Adressen und Te­le­fon­num­mern sind auch online durch­such­bar.
• Gehackte Da­ten­ban­ken: Angreifer oder An­grei­fe­rin­nen hacken Cloud-Speicher oder ei­gent­lich ge­si­cher­te Da­ten­ban­ken und beziehen aus diesen sensible In­for­ma­tio­nen. Daten, die auf diesem Weg gekapert wurden, können Doxing-Kri­mi­nel­le auch im Darknet erwerben.
• Social En­gi­nee­ring: Kri­mi­nel­le treten als ver­trau­ens­wür­di­ge Personen im Internet auf und ma­ni­pu­lie­ren Opfer und An­ge­hö­ri­ge so, dass diese frei­wil­lig In­for­ma­tio­nen her­aus­ge­ben.

Viele Doxing-Angriffe finden aus­schließ­lich mit frei ver­füg­ba­ren In­for­ma­tio­nen statt. Durch die Bündelung der Daten und den Kontext, in den die Ver­öf­fent­li­chung gesetzt wird, entsteht der Schaden für das Opfer.

Im zweiten Schritt werden die ge­sam­mel­ten In­for­ma­tio­nen möglichst breit gestreut ver­öf­fent­licht. Dafür legen Angreifer oder An­grei­fe­rin­nen ge­fälsch­te Konten in den sozialen Medien an und hin­ter­le­gen die Dokumente auf anonymen Platt­for­men. Ziel ist es, dass möglichst viele weitere Personen die In­for­ma­tio­nen auf­grei­fen und ver­brei­ten, damit der Schaden maximale Ausmaße annimmt. Oftmals ist schon die Ver­öf­fent­li­chung mit Drohungen verbunden, die ebenfalls von anderen Nutzern auf­ge­grif­fen werden und dabei auch die Sphäre des Internets verlassen können.

Warum wird gedoxxt? Gründe, Opfer & Folgen

Doxing findet selten statt, um Menschen zu erpressen, denn die Angreifer bzw. An­grei­fe­rin­nen sind oft nicht auf Geld aus. Dafür sind die ge­sam­mel­ten In­for­ma­tio­nen oftmals auch gar nicht brisant genug. In den meisten Fällen wollen sie den Opfern ideellen Schaden zufügen. Die Haupt­mo­ti­ve sind deshalb in den meisten Fällen Rache, Selbst­jus­tiz oder das Schädigen von po­li­ti­schen Gegnern. Dem­entspre­chend sind die Opfer häufig Politiker oder Po­li­ti­ke­rin­nen, Jour­na­lis­ten oder Jour­na­lis­tin­nen, oder pro­mi­nen­te Per­sön­lich­kei­ten, die sich politisch geäußert haben. Auch per­sön­li­che Fehden werden mit Doxing aus­ge­foch­ten. In diesen Fällen geht es meistens darum, die An­ony­mi­tät des Gegners auf­zu­bre­chen.

Hass ist demnach der Haupt­an­trieb: Kri­mi­nel­le wollen sich nicht be­rei­chern, sondern einfach dem Opfer schaden. Schon durch die Ver­öf­fent­li­chung der Daten entsteht Druck auf die Opfer. Es wird klar­ge­macht, dass die Personen im Fokus von Gegnern stehen, die auch bereit sind, illegale Mittel ein­zu­set­zen. Außerdem besteht die Hoffnung, dass andere Gleich­ge­sinn­te bereit sind, weitere Schritte ein­zu­lei­ten – von Droh­brie­fen, über Swatting (einen Po­li­zei­ein­satz beim Opfer pro­vo­zie­ren) bis zu tat­säch­li­chen Ge­walt­ak­ten. Zumindest möchte man die Opfer so weit ein­schüch­tern, dass sie nicht weiterhin in der Öf­fent­lich­keit auftreten.

Oft versuchen Doxing-Kri­mi­nel­le auch in der ent­spre­chen­den Szene An­er­ken­nung zu erhalten. Es ist nicht unüblich, dass sie sich – selbst­ver­ständ­lich hinter einem Pseudonym – mit ihren Taten rühmen.

Neue Formen von Doxing: KI, Deepfakes und Da­ten­han­del

Moderne Doxing-Angriffe nutzen zunehmend au­to­ma­ti­sier­te und KI-gestützte Werkzeuge. Diese können öf­fent­lich ver­füg­ba­re In­for­ma­tio­nen selbst­stän­dig durch­su­chen, struk­tu­rie­ren und mit­ein­an­der ver­knüp­fen. Dadurch lassen sich per­so­nen­be­zo­ge­ne Daten schneller und in größerem Umfang zu­sam­men­stel­len als bei klas­si­schen manuellen Angriffen.

Besonders pro­ble­ma­tisch sind so­ge­nann­te Deepfake-Leaks. Dabei werden mithilfe künst­li­cher In­tel­li­genz ma­ni­pu­lier­te Inhalte erstellt, etwa ge­fälsch­te Chat­ver­läu­fe, Screen­shots, Au­dio­auf­nah­men oder Videos. Diese wirken au­then­tisch und können den Eindruck erwecken, es handle sich um echte, kom­pro­mit­tie­ren­de In­for­ma­tio­nen. Für Be­trof­fe­ne ist es dadurch oft schwierig, zwischen echten Daten und gezielten Fäl­schun­gen zu un­ter­schei­den – der Re­pu­ta­ti­ons­scha­den entsteht häufig bereits, bevor eine Auf­klä­rung möglich ist.

Welche Rolle spielen Data Broker beim Doxing?

Eine weitere Da­ten­quel­le sind so­ge­nann­te Data Broker. Dabei handelt es sich um Un­ter­neh­men, die per­so­nen­be­zo­ge­ne In­for­ma­tio­nen aus un­ter­schied­li­chen Quellen sammeln, an­rei­chern und kom­mer­zi­ell wei­ter­ver­kau­fen. Die Daten stammen unter anderem aus Kun­den­kar­ten­pro­gram­men, Apps, Ge­winn­spie­len oder öf­fent­lich zu­gäng­li­chen Registern.

Auch wenn diese Daten nicht zwangs­läu­fig illegal erhoben werden, können sie von An­grei­fern und An­grei­fe­rin­nen miss­braucht werden, um Doxing-Attacken zu ver­fei­nern. In Kom­bi­na­ti­on mit frei ver­füg­ba­ren In­for­ma­tio­nen entsteht ein sehr de­tail­lier­tes Bild der be­trof­fe­nen Person, häufig inklusive Wohnort, be­ruf­li­chem Umfeld oder per­sön­li­cher In­ter­es­sen.

Beispiele für Doxing

Der in Deutsch­land bisher be­kann­tes­te Fall von Doxing ist im Dezember 2018 öf­fent­lich geworden. Eine auf X (damals Twitter) aktive Person hatte Daten von führenden Po­li­ti­ke­rin­nen und Po­li­ti­kern, Jour­na­lis­tin­nen und Jour­na­lis­ten, Mo­de­ra­to­rin­nen und Mo­de­ra­to­ren, You­Tube­rin­nen und YouTubern sowie weiteren Personen des öf­fent­li­chen Lebens. Teilweise waren die ver­brei­te­ten In­for­ma­tio­nen relativ harmlos oder bereits veraltet, in vielen Fällen wurden aber private E-Mail-Adressen und Te­le­fon­num­mern, Adressen der privaten Wohnung und sogar Bankdaten ver­öf­fent­licht. Auch private Kon­ver­sa­tio­nen, die z. B. über den Facebook-Messenger geführt wurden, waren Teil des Angriffs. Der mut­maß­li­che Täter wurde u. a. deshalb gefasst, weil er sich im Internet mit den Taten gerühmt hatte.

Auch Ak­ti­vis­ten und Ak­ti­vis­tin­nen, die sich zum Anonymous-Kollektiv bekennen, haben in der Ver­gan­gen­heit po­li­ti­sche Gegner und Geg­ne­rin­nen gedoxxt. Die Gründe hierfür lassen sich in Selbst­jus­tiz, Bloß­stel­lung und Ein­schüch­te­rung finden.

Wie kann man sich gegen Doxing schützen?

Prin­zi­pi­ell kann jeder In­ter­net­nut­zer oder -Nutzerin Opfer einer Doxing-Attacke werden. Besonders Menschen, die im Internet in po­li­ti­sche Dis­kus­sio­nen ver­wi­ckelt sind oder sich öf­fent­lich­keits­wirk­sam in Blogs, Videos oder Social-Media-Posts politisch äußern, können den Hass auf sich ziehen. Im Zuge einer Mobbing-Kampagne können die Angreifer oder An­grei­fe­rin­nen dann auch zu Doxing greifen.

Da Opfer teilweise wahllos aus­ge­wählt werden, sollte jeder In­ter­net­nut­zer oder -Nutzerin nur die nötigsten In­for­ma­tio­nen über sich im Internet prä­sen­tie­ren und auf so­ge­nann­te Da­ten­spar­sam­keit achten. Wenn Kri­mi­nel­le keine sensiblen Daten finden, haben sie nur wenige An­griffs­mög­lich­kei­ten.

Wird man doch Opfer und aus dem Doxing entstehen Drohungen und Be­lei­di­gun­gen, sollte man sich an die Polizei wenden und Anzeige erstatten. Außerdem kann man proaktiv auf die Platt­for­men zugehen, auf denen die In­for­ma­tio­nen ver­öf­fent­licht wurden, und um Löschung der Daten bitten. Hat man vor, Anzeige zu erstatten, empfiehlt es sich al­ler­dings, vorher Screen­shots an­zu­fer­ti­gen.

Recht­li­cher Rahmen in der EU: DSA und NIS2

Auf eu­ro­päi­scher Ebene reagieren Ge­setz­ge­ber zunehmend auf digitale Be­dro­hun­gen wie Doxing. Der Digital Services Act (DSA) ver­pflich­tet große Online-Platt­for­men dazu, rechts­wid­ri­ge Inhalte schneller zu entfernen und Be­trof­fe­ne besser zu schützen. Dazu zählt auch die unbefugte Ver­öf­fent­li­chung per­so­nen­be­zo­ge­ner Daten sowie gezielte Ein­schüch­te­rungs­kam­pa­gnen.

Ergänzend dazu stärkt die NIS2-Richt­li­nie die Cy­ber­si­cher­heit innerhalb der EU. Sie richtet sich vor allem an Un­ter­neh­men und Or­ga­ni­sa­tio­nen mit erhöhter Si­cher­heits­re­le­vanz und soll Da­ten­lecks und Si­cher­heits­vor­fäl­le ver­hin­dern, die häufig die Grundlage für Doxing-Angriffe bilden.

Für Be­trof­fe­ne bedeutet dies, dass Platt­form­be­trei­ber und -Be­trei­be­rin­nen stärker in der Ver­ant­wor­tung stehen und Un­ter­neh­men höhere An­for­de­run­gen an den Schutz sensibler Daten erfüllen müssen.