Jedes Mal, wenn Sie einen Beitrag in den sozialen Netzwerken mit „Gefällt mir“ markieren, von einer Straßenkamera gefilmt werden, einer Nachbarschafts-Community beitreten oder Ihren Lebenslauf veröffentlichen, werden diese Daten in Datenbanken gespeichert. Sie sind sich eventuell nicht bewusst, inwieweit das Hinterlassen Ihres Datenfußabdruckes – jede Aktion im Internet und fast alle Aktionen in der realen Welt – Ihre Verletzlichkeit erhöhen kann.
Doxing-Vorfälle: Ein Radfahrer, eine Autofahrerin und ein wütender Vater
Jeder kann gedoxed werden, wie anhand der folgenden drei Anekdoten verdeutlicht wird.
Als der Radfahrer Peter Weinberg aus Maryland, USA die ersten beleidigenden Nachrichten und Drohungen von unbekannten Menschen erhielt, entdeckte er, dass die von ihm benutzte Workout-App seine Radrouten veröffentlichte. Aus diesen Informationen folgerte jemand, dass sich Weinberg vor Kurzem an einer Stelle befand, an der ein Kind angegriffen wurde. Viele Menschen beschuldigten ihn schnell – und irrtümlicherweise – der mutmaßliche Täter zu sein und veröffentlichten seine Adresse. Die Verleumdung ging viral, aber nur relativ wenige Personen erhielten die darauffolgenden richtigstellenden Erklärungen über Twitter und andere Kanäle.
Auf der anderen Seite der Erdkugel veröffentlichte ein Tierschutzaktivist aus Singapur den Namen und die Adresse einer Person, die einen Hund angefahren hatte und forderte die Leute auf, dieser Person „die Hölle heiß zu machen“. Laut der Autobesitzerin schadete diese öffentliche Beschuldigung ihre Karriere: Nachdem herausgefunden wurde, wo sie arbeitete, erschienen Hassbeiträge auf der Facebook-Seite des Unternehmens. Später stellte sich heraus, dass eine andere Person das Auto zum Zeitpunkt des Unfalls fuhr.
An einer weit berühmteren Geschichte dieser Art war der ehemalige US-amerikanische Baseballspieler Montague Schilling beteiligt. Er entdeckte Tweets über seine Tochter, die er als unangemessen und beleidigend empfand. Schilling spürte die Tweet-Autoren auf (wofür er laut eigenen Angaben weniger als eine Stunde brauchte). Dann legte er für jeden einzelnen Autor eine umfangreiche Datensammlung an und veröffentlichte einige der Informationen auf seinem Blog. Die Übeltäter, die zur Baseball-Community gehörten, verloren noch am selben Tag ihren Arbeitsplatz oder wurden aus ihrer Sportmannschaft rausgeschmissen.
Was ist passiert?
Alle drei Geschichten sind einfache Beispiele von Doxing. Damit ist das Sammeln und die Veröffentlichung von personenbezogenen Daten ohne die Einwilligung des Dateninhabers gemeint. Das ist nicht nur unangenehm, es kann auch im echten Leben verheerende Folgen für den Ruf, den Arbeitsplatz und sogar für die körperliche Sicherheit des Opfers nach sich ziehen.
Die Ursachen für Doxing sind unterschiedlich: Manche Menschen denken, dass sie damit Kriminelle entlarven, andere versuchen ihre Online-Gegner einzuschüchtern und wiederum andere bedienen sich des Doxings, um sich für persönliche Beleidigungen zu rächen. Doxing ist ein Phänomen, das in den 90er Jahren aufgetaucht ist. Allerdings ist es inzwischen wesentlich gefährlicher geworden – bei der großen Menge an privaten Informationen, auf die heutzutage jeder zugreifen kann, sind für Doxing noch nicht einmal besondere Fähigkeiten oder Sonderrechte erforderlich.
Wir werden heute weder auf die Rechtmäßigkeit noch auf die Ethik von Doxing eingehen. Als Sicherheitsexperten besteht unsere Aufgabe darin, die Doxing-Methoden zur erklären und Ihnen Ratschläge zu geben, wie Sie sich davor schützen können.
Doxing – von Experten erklärt
Doxing kommt immer häufiger vor, weil kein besonderes Know-how und nur relativ wenige Ressourcen dafür erforderlich sind. Die meisten Tools, die von Doxern verwendet werden, sind legitim und außerdem öffentlich zugänglich.
Suchmaschinen
In ganz normalen Suchmaschinen kann eine Menge an persönlichen Daten gefunden werden. Die fortschrittlichen Suchfunktionen (wie die Durchsuchung von Websites oder Dateien) helfen Doxern überdies die gewünschten Informationen schneller zu finden.
Abgesehen vom Namen und Nachnamen, kann ein Spitzname die Online-Gewohnheiten einer Person verraten. Die Verwendung von gleichen Spitznamen auf verschiedenen Webseiten erleichtert die Arbeit der Online-Detektive, die damit Kommentare und Posts auf einer großen Anzahl an öffentlich zugänglichen Ressourcen zusammentragen können.
Soziale Netzwerke
Soziale Netzwerke, einschließlich spezialisierte wie LinkedIn, enthalten Unmengen an wertvollen, personenbezogenen Daten.
Ein öffentlich zugängliches Profil mit echten Daten ist quasi bereits eine angefertigte Datensammlung. Selbst wenn das Profil privat und allein für Freunde sichtbar ist, kann ein gewiefter Ermittler einiges an Informationen durch das Scannen der Kommentare des Opfers, Communitys, Posts von Freunden usw. erhalten. Wenn zu diesem Vorgang noch eine Freundschaftsanfrage dazukommt, beispielsweise von jemanden der sich als Recruiter ausgibt, dann geht es eine Stufe höher und zwar zum Social Engineering.
Social Engineering
Social Engineering wird bei vielen Angriffen eingesetzt. Diese Methode nutzt die menschliche Natur aus und hilft Doxern an bestimmte Informationen heranzukommen. Doxer verwenden öffentlich zugängliche Informationen über eine bestimmte Sache, um das Opfer zu kontaktieren und es dazu zu verleiten, die Daten selbst herauszugeben. Beispielsweise kann sich ein Doxer als medizinischer Administrator oder Bankvertreter ausgeben, um den Opfern Informationen zu entlocken – eine Masche, die wesentlich besser funktioniert, wenn der Übeltäter auch über einige wahre Informationen verfügt.
Offizielle Quellen
Personen des öffentlichen Lebens haben es besonders schwer etwas Netzwerkanonymität aufrechtzuerhalten. Das heißt aber noch lange nicht, dass Rockstars und Leistungssportler die einzigen sind, die ihre personenbezogenen Daten schützen müssen.
Ein Doxer kann sogar das Vertrauen eines potenziellen Doxing-Opfers mithilfe der Daten eines Mitarbeiters gewinnen. Beispielsweise anhand eines Fotos und dem vollständigen Namen auf der Über-uns-Unternehmensseite oder den vollständigen Kontaktdaten, die auf den Webseiten mit Informationen zu den Unternehmensabteilungen zu finden sind. Das hört sich zwar eher harmlos an, aber allgemeine Unternehmensinformationen verraten wo die Person arbeitet, bzw. wo sie sich befindet und mit den Fotos können die Profile dieser Person in den sozialen Netzwerken gefunden werden.
Auch Geschäftsaktivitäten hinterlassen in der Regel digitale Fußabdrücke – beispielsweise ist in vielen Ländern auch einiges an Informationen über die Unternehmensgründer öffentlich zugänglich.
Schwarzmarkt
Bei ausgefeilteren Methoden werden auch nicht öffentlich zugängliche Informationen angewendet, wie beispielsweise Datenbanken, die von staatlichen Einrichtungen und Unternehmen gestohlen wurden.
Wie unsere Studien belegt haben, können im Darknet alle Arten von personenbezogenen Daten gekauft werden – von gescannten Reisepässen (ab 6 $) bis hin zu Konten von Banking-Apps (ab 50 $).
Professionelle Datensammler
Doxer outsourcen manchmal einen Teil ihrer Arbeit an sogenannte Datenbroker. Das sind Unternehmen, die personenbezogene Daten aus unterschiedlichen Quellen sammeln. Die Dienste der Datenbroker werden nicht nur von Kriminellen in Anspruch genommen – auch Banken, Marketingbüros und Recruitment-Agenturen kaufen Daten bei den Brokern. Leider ist es manchen Datenbrokern völlig egal, an wen sie die Daten verkaufen.
So handeln Sie richtig, wenn Ihre Daten geleaked wurden
Bei einem Interview mit Wired, empfahl Eva Galperin, Director of Cybersecurity bei der Electronic Frontier Foundation, dass bei Missbrauch von personenbezogenen Daten das Opfer sich mit den sozialen Netzwerken in Verbindung setzen sollte, auf denen die Doxer die Informationen veröffentlicht haben. Laut ihrem Tipp, ist es am besten mit dem Kundenservice oder dem technischen Support zu beginnen. Die Veröffentlichung von privaten Informationen, ohne die Einwilligung des Datenbesitzers, verstößt in der Regel gegen die Nutzungsbedingungen. Auch wenn dadurch das Problem nicht vollständig gelöst wird, kann zumindest ein Teil des potenziellen Schadens eingedämmt werden.
Galperin empfiehlt außerdem nach einem Angriff die Konten in den sozialen Netzwerken zumindest vorübergehend zu sperren. Genau wie bei anderen Maßnahmen nach einer Datenschutzverletzung, ist der bereits zugefügte Schaden nicht mehr rückgängig zu machen, aber immerhin können die Nerven geschont und unangenehme Situationen im Internet vermieden werden.
So schützen Sie sich vor Doxing
Es ist zweifellos besser die Möglichkeiten eines Datenlecks einzuschränken, als sich den Folgen stellen zu müssen. Cyberimmunität ist allerdings nicht leicht zu erreichen. Beispielsweise hat man quasi keinen Einfluss auf Datenbankdumps oder Leaks bei Datenbanken der Regierung oder der sozialen Netzwerke. Allerdings ist es möglich die Arbeit der Doxer zu erschweren.
Geben Sie keine Geheimnisse im Internet preis
Halten Sie Ihre personenbezogenen Daten (soweit wie möglich) vom Internet fern, besonders Ihre Adresse, Telefonnummer und Fotos. Vergewissern Sie sich, dass die Fotos, die Sie veröffentlichen, weder Geotags noch andere private Informationen enthalten.
Überprüfen Sie die Einstellungen Ihrer Konten bei sozialen Netzwerken
Wir empfehlen Ihnen bei den Einstellungen der sozialen Netzwerke und anderen Services strenge Privatsphäre zu wählen. Gewähren Sie nur Ihren Freunden Zugang zu Ihrem Profil und überprüfen Sie regelmäßig Ihre Freundeslisten. Sie können die Schritt-für-Schritt-Anleitung verwenden, die auf unserem Portal „Privacy Checker“ zu finden ist, um über die richtigen Einstellungen bei den sozialen Netzwerken und bei anderen Services mehr Privatsphäre zu gewinnen.
Schützen Sie Ihre Konten vor Hackern
Ein einmaliges Passwort für jedes Konto zu erstellen kann recht mühsam sein (obwohl es auch einfache Alternativen für die Passwortverwaltung gibt). Jedenfalls ist es wichtig auf der sicheren Seite zu sein. Wenn Sie immer das gleiche Passwort verwenden und dieses bei einem der Services geleaked wird, dann helfen auch die strengsten Privatsphäre-Einstellungen nichts.
Wir empfehlen die Verwendung eines Passwort Managers. Unsere Lösung, Kaspersky Password Manager speichert nicht nur die Passwörter, sondern auch die Websites und Services auf die Sie mit Ihren Anmeldedaten zugreifen. Der große Vorteil an dieser Lösung ist, dass Sie sich nur an einen Masterkey erinnern müssen. Darüber hinaus raten wir, wann immer möglich, für zusätzlichen Schutz die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren.
Richtiger Umgang mit Konten bei Drittanbietern
Soweit wie möglich sollten Sie es vermeiden sich bei Websites über Ihr Social-Media-Account oder andere Konten anzumelden, die echte Daten über Sie enthalten. Indem Sie die Konten miteinander verknüpfen, ist es einfacher Ihre Online-Aktivitäten zu verfolgen – beispielsweise können Ihre Kommentare mit Ihrem Namen in Verbindung gebracht werden.
Dieses Problem können Sie vermeiden, indem Sie mindestens zwei E-Mail-Konten anlegen: Ein Konto mit Ihrem echten Namen und eins, das Sie für Websites verwenden, auf denen Sie es vorziehen anonym zu bleiben. Es ist auch sinnvoll, einen einmaligen Spitznamen für jede Seite zu erfinden – damit erschweren Sie das Sammeln von Informationen über Ihre Internetpräsenz.
Legen Sie eine Datensammlung über sich selbst an
Sie können Ihren eigenen Datenfußabdruck prüfen und mehr über den Status Ihrer Online-Privatsphäre herausfinden, wenn Sie in die Rolle des Doxers schlüpfen und das Internet nach Informationen über sich selbst durchforschen. Mit diesem Privatsphärecheck können Sie herausfinden, welche potenziellen Datenschutzprobleme es bei Ihren Konten in den sozialen Medien geben könnte und welche Informationen über Sie im Internet zu finden sind. Anhand der gefundenen Informationen können Sie die jeweiligen Quellen aufspüren und ggf. unerwünschte Informationen löschen. Für eine passive Überwachung können Sie auch Ihren Namen im Tool Google Alerts angeben, um über jegliche Suchergebnisse, die Ihren Namen enthalten, informiert zu werden.
Löschen Sie Informationen über sich selbst
Sie können jeglichen Verstoß gegen den Schutz Ihrer Daten melden und die Betreiber von Suchmaschinen und sozialen Netzwerken darum bitten, Ihre Daten zu löschen. Hier finden Sie detaillierte Informationen zum Melden von Datenschutzverstößen auf Google, Facebook und Twitter.
In den Benutzungsbedingungen der sozialen Netzwerke und anderer Dienstleistungen ist in der Regel die unbefugte Veröffentlichung von personenbezogenen Daten untersagt. Allerdings ist es in manchen Fällen erforderlich, die Strafverfolgungsbehörden miteinzubeziehen, um die Situation in Griff zu bekommen.
Legale Datenbroker löschen normalerweise personenbezogene Daten auf Anfrage. Leider gibt es so viele von diesen Unternehmen, das es quasi unmöglich ist, die Informationen bei allen löschen zu lassen. Es gibt aber auch Agenturen und Dienstleistungsanbieter, die beim Löschen des digitalen Fußabdrucks behilflich sein können. Versuchen Sie ein Gleichgewicht aus Bequemlichkeit, Sorgfältigkeit und Kostenaufwand zu finden, das Ihren Ansprüchen gerecht wird.
Praktische Tipps
Man kann jeder Zeit und ohne offensichtlichen Grund dem Doxing zum Opfer fallen. Diese Tipps helfen Ihnen dabei, Ihre Online-Privatsphäre effektiver zu schützen:
- Veröffentlichen Sie keine personenbezogenen Daten im Internet, wie Ihren echten Namen, Arbeitsplatz, Ihre Adresse, usw.
- Schotten Sie Ihre Konten in den sozialen Netzwerken ab, um Fremde fernzuhalten. Verwenden Sie außerdem robuste, einmalige Passwörter sowie die Zwei-Faktor-Authentifizierung. Für sichere und mühelose Passwortverwaltung können Sie Kaspersky Password Manager installieren.
- Vermeiden Sie das Einloggen mit Social-Media-Accounts oder anderen Konten – besonders, wenn diese Konten persönliche Daten enthalten.
- Handeln Sie proaktiv: Versuchen Sie eine Datensammlung über sich selbst anzulegen und fordern Sie das Löschen Ihrer Daten bei jedem Service an, der mehr Informationen über Sie preisgibt, als Ihnen lieb ist.
- Überlegen Sie sich, welche Konten Sie komplett löschen können. Das ist eine radikale, aber zugleich effektive Maßnahme, um Doxing zu vereiteln und wir können Ihnen dabei helfen es richtig zu machen, ohne wichtige Informationen zu verlieren.
Doxing ist nur ein Beispiel dafür, wie Online-Daten sich auf das reale Leben auswirken können. Allerdings ist zu beachten, dass es sich hier um eine ernsthafte Sache handelt, die einem das Leben ruinieren kann. Wir veröffentlichen regelmäßig aktuelle Cybersicherheitsnews und praktische Informationen über Doxing und wie Sie sich davor schützen können.