Doxing: Wenn Jogger Staatsgeheimnisse verraten

Training von Personenschützern gibt Daten von Macron, Biden und Putin preis. Universitäten haben den Fall untersucht. Mit erstaunlichen Resultaten.

Welche Spuren hinterlassen Privatpersonen und Institutionen im Internet – und welche Sicherheitsrisiken erwachsen daraus? An der Hochschule Bielefeld erforscht ein Team um Frederik Bäumer vom Fachbereich Wirtschaft, welche Risiken Privatpersonen und Institutionen durch die Spuren entstehen, die sie im Internet hinterlassen. Wie die Hochschule mitteilte, untersuchen die Wissenschaftler dafür über zwei Jahre lang, wie sich anhand öffentlich zugänglicher Daten im Netz detaillierte Profile von Personen erstellen lassen.

In Kooperation mit der Universität der Bundeswehr München kommen dabei Verschlüsselungstechnologien und digitale Zwillinge zum Einsatz. Ziel ist es, Wege zu finden, wie man die ungewollte Preisgabe sensibler persönlicher Informationen im Internet verhindern kann. Die Forscher schildern folgenden Fall:

Bodyguards müssen sich fit halten, zumal wenn es ihr Job ist, Staatoberhäupter zu beschützen. Manche verfolgen ihr Training dabei offensichtlich einen Tick zu arglos: Sie nutzen die App Strava, um beispielsweise ihre Laufstrecken mit ihren Followern zu teilen. Die französische Zeitung "Le Monde" hat dazu kürzlich bemerkenswerte Recherche-Ergebnisse veröffentlicht. Das Blatt verglich die Strava-Aktivitäten von Personenschützern mit den Reiseplänen ihrer Dienstherren – unter anderem Emmanuel Macron, Joe Biden und Wladimir Putin. Beides passte gut zusammen. Wer also den Aufenthaltsort des Präsidenten checken will, muss lediglich seinen Leibwächtern auf Strava folgen. Wenn die mal wieder direkt vom Hotel aus losjoggen.

Das Forschungsteam warnt, dass bereits harmlos erscheinende Daten wie Fotos in sozialen Medien viel über eine Person verraten können. Auch Telepolis hatte jüngst ein Tool vorgestellt, mit dem man prüfen kann, was Fotos über die abgebildeten Personen verraten können und wie das von Unternehmen genutzt werden kann. Mithilfe Künstlicher Intelligenz ließen sich so Beziehungsgeflechte offenlegen, die für die Betroffenen schnell heikel werden können.

Doxing – wenn private Daten gezielt veröffentlicht werden

Eine spezifische Gefahr, die durch die Preisgabe persönlicher Informationen im Netz entstehen kann, ist das sogenannte "Doxing" oder "Doxxing". Der Begriff setzt sich aus den Wörtern "docs" (Dokumente) und "dropping" (fallen lassen) zusammen.

Beim Doxing werden private oder vertrauliche Daten einer Person meist ohne deren Zustimmung öffentlich gemacht, häufig mit dem Ziel, der betroffenen Person zu schaden, sie zu schikanieren oder unter Druck zu setzen.

Sucher nach persönlichen Daten

Doxer sammeln dafür in akribischer Kleinarbeit persönliche Informationen über ihre Opfer. Quellen dafür sind in erster Linie soziale Medien und öffentlich zugängliche Online-Verzeichnisse. Aber auch über Phishing-Mails oder -Nachrichten, in denen sich die Angreifer als vertrauenswürdige Stelle ausgeben, können sie an sensible Daten gelangen.

Wenn die Doxer genügend Material beisammenhaben, stellen sie die Informationen ins Netz, beispielsweise in Foren, sozialen Netzwerken oder auf eigens dafür eingerichteten Websites.

Zu den veröffentlichten Daten gehören etwa der vollständige Name, Geburtsdatum, Wohnort, Telefonnummern, Fotos, Arbeitgeber sowie Angaben zu Freunden und Verwandten des Opfers. Auch kompromittierende Dokumente wie private Chat-Verläufe oder Krankenakten werden beim Doxing manchmal öffentlich gemacht.

Eine besonders perfide Variante des Doxing ist das Realtime- oder Echtzeit-Doxing, bei dem die Daten des Opfers sofort veröffentlicht werden, meist während einer Live-Veranstaltung wie einem Videochat.

Zielscheiben und Folgen von Doxing

Grundsätzlich kann jeder zum Opfer von Doxing werden. Besonders gefährdet sind jedoch Personen, die im Internet sehr aktiv und präsent sind oder im Fokus der Öffentlichkeit stehen. Dazu zählen etwa Influencer, Aktivisten, Journalisten, Blogger, Prominente und Politiker. Auch Menschen, die größere Geldbeträge oder Kryptowährungen besitzen, geraten immer wieder ins Visier von Doxern.

Die Folgen können für die Betroffenen gravierend sein. Oft sehen sie sich mit Beleidigungen, Bedrohungen und Belästigungen konfrontiert, sowohl online als auch in der realen Welt. Durch das Doxing von Adress- und Kontaktdaten ist Stalking eine häufige Konsequenz. Rufschädigung bis hin zum Verlust des Arbeitsplatzes sind ebenfalls möglich. Da einmal veröffentlichte Daten praktisch nicht mehr aus dem Netz zu entfernen sind, leiden Doxing-Opfer oft jahrelang unter den Auswirkungen.

In einigen Ländern wie zum Beispiel den USA ist Doxing unter bestimmten Umständen strafbar. Die Rechtslage variiert jedoch und ist nicht immer eindeutig. In Deutschland können Doxing-Opfer eventuell Ansprüche nach der Datenschutz-Grundverordnung (DSGVO) geltend machen.

Maßnahmen zum Schutz vor Doxing

Um sich vor Doxing zu schützen, ist es wichtig, sehr bewusst und zurückhaltend mit der Preisgabe persönlicher Informationen im Internet umzugehen. Dazu gehört, in sozialen Medien und Foren nicht zu viele private Details zu teilen und die Privatsphäre-Einstellungen der genutzten Dienste konsequent zu nutzen. Fotos sollten vor der Veröffentlichung von Metadaten befreit werden, die Rückschlüsse auf den Aufnahmeort oder die Identität der abgebildeten Personen zulassen.

Beim Surfen im Internet, vor allem in öffentlichen Wlan-Netzen, ist ein gesundes Maß an Misstrauen und Vorsicht angebracht. Verdächtige E-Mails und Nachrichten, die zum Anklicken von Links oder Herunterladen von Anhängen auffordern, sollten ignoriert werden. Sichere, individuelle Passwörter für alle Online-Konten sind ein Muss. Die Zwei-Faktor-Authentifizierung (2FA) bietet eine zusätzliche Schutzebene.

Virtual Private Networks (VPNs) ermöglichen anonymeres Surfen, da sie die IP-Adresse des Nutzers verschleiern. Spezielle Suchmaschinen und Browser wie Startpage oder Tor verringern die Spuren, die man im Internet hinterlässt. Nicht zuletzt ist es sinnvoll, regelmäßig zu überprüfen, welche Informationen über die eigene Person online auffindbar sind, und gegebenenfalls deren Löschung zu verlangen.