Telefonnummern, Privatadressen, Chatverläufe und Kinderbilder von hunderten Politikerinnen und Politikern sowie von einigen Journalistinnen und Journalisten wurden Ende 2018 im Internet veröffentlicht, ehe der Datenklau im Januar aufflog. Der Eingriff in die Privatsphäre der Betroffenen ist ein gutes Beispiel dafür, dass die Digitalisierung Fluch und Segen gleichermaßen ist – auch im Journalismus und in der Öffentlichkeitsarbeit. Denn die Gefahren sind nicht immer auf den ersten Blick zu erkennen. Und gegen manche Fallen helfen weder Firewall noch Virenschutz.
Dass private Informationen, auch über Angehörige, öffentlich sichtbar im Netz landen, kann als Bedrohung verstanden werden und Betroffene unter Druck setzen. Genau das wollen Täter in der Regel erreichen: „Wir wissen, wo du wohnst und wie deine Kinder aussehen“, kann für Journalistinnen oder Journalisten ein Grund sein, unliebsame Recherchen einzustellen.
Was hinter diesem sogenannten Doxing (oder Doxxing) steckt, erklärt Cem Karakaya, Sekretär der Internationalen Polizei Vereinigung (IPA) der Verbindungsstelle München: „Gemeint ist damit, dass von einer Person aus unterschiedlichen Quellen, beispielsweise Zeitungen oder Social-Media-Profilen, Daten zusammengetragen werden. Es werden auch Sicherheitslücken genutzt oder Internetkonten gehackt, um an Informationen zu kommen.“ Trotzdem muss nicht zwingend ein großer Hackerangriff zugrunde liegen, wenn persönliche Daten veröffentlicht werden. Das zeigt auch das „Daten-Leck“ vom Januar. „Das war weder der erste Doxing-Fall noch der schwerwiegendste Cybercrime-Fall in Deutschland“, sagt Karakaya. Ernst nehmen muss man ihn natürlich trotzdem.
Medienschaffende häufiger betroffen
Unter den Betroffenen sind auch Journalistinnen und Journalisten – Jan Böhmermann und Kabarettist Christian Ehring beispielsweise. Es ist gar nicht so ungewöhnlich, dass Medienschaffende von Cybercrime betroffen sind. So meldete Reporter ohne Grenzen im Dezember 2018, dass vietnamesische Journalisten, die teilweise im Exil leben, von Facebook gesperrt worden waren. Der Grund: Unbekannte hatten sie zu Administratoren von Facebook-Gruppen gemacht, die nicht mit den „Community Standards“ des sozialen Netzwerks vereinbar waren. Durch die so von dritter Seite herbeigeführte Sperrung von Nutzerkonten lassen sich kritische Posts verhindern.
Über ein Beispiel aus Deutschland berichtet Cem Karakaya mit seiner Co-Autorin, der Zeit-Online-Redakteurin Tina Groll, im Buch „Die Cyber-Profis. Lassen Sie Ihre Identität nicht unbeaufsichtigt“: Im Namen und mit dem Foto eines Journalisten hatten Unbekannte ein Konto in einem pädophilen Netzwerk eingerichtet. Die Polizei erkannte schnell, dass es ein Fall von Identitätsdiebstahl war. Die Verantwortlichen wurden jedoch nie gefunden. Es wird vermutet, dass Rechtsextreme hinter der Aktion stecken, denn der Journalist hatte in der Szene recherchiert und ausführlich darüber berichtet.
Bekannt werden nur die wenigsten Fälle. Dabei ist jeder zweite deutsche Internetnutzer im vergangenen Jahr Opfer von Cybercrime geworden, wie Bitkom, der Digitalverband Deutschland, aus aktuellem Anlass meldete. Keine neue Entwicklung: Die Cybercrime-Studie für 2017 meldete die gleichen Zahlen.
Allerdings bemerken längst nicht alle, wenn sie Opfer werden. „Es gibt Fälle, in denen ein Trojaner erst nach Jahren anfängt, Informationen zu senden“, sagt Cem Karakaya. „Wir gehen außerdem davon aus, dass die Dunkelziffer sehr viel höher ist, weil viele, die Opfer wurden, es vertuschen wollen. Gerade Unternehmen fürchten um ihren Ruf, wenn bei ihnen Daten gestohlen wurden.“ Hinzu kommt: Cybercrime ist ein weites Feld. Identitätsdiebstahl läuft anders ab, als wenn – wie beim Daten-Leck – Sicherheitslücken genutzt werden, um an Daten zu kommen. „Phishing“ lautet der Fachbegriff dafür (siehe auch Kasten „Phishing-Mails erkennen“).
Stimmt das wirklich?
Seit bekannt wurde, dass Claas Relotius beim SPIEGEL und in anderen Medien Artikel veröffentlicht hat, die teilweise frei erfunden waren, sind viele Redaktionen besonders sensibilisiert. Möglich wäre beispielsweise auch, dass nicht eine Mitarbeiterin oder ein Mitarbeiter eine Geschichte erfindet, sondern dass der Redaktion gezielt falsche Informationen zugesteckt werden. Eine Form der Desinformation also, die zum Beispiel in politischen Kreisen vorstellbar ist, um jemanden in Misskredit zu bringen – ähnlich wie mit einem Profil auf einer Pädophilenwebseite.
Auch Redaktionen, die im Internet anonyme Briefkästen anbieten, müssen genau prüfen, ob die Informationen stimmen, die sie geschickt bekommen. Karsten Polke-Majewski, Leiter Investigativ bei Zeit Online: „Wir haben dazu einen Rückkanal eingerichtet. Der anonyme Sender bekommt einen Code zugeschickt, mit dem er eine Art toten Briefkasten nutzen kann. Dort kann er auf unsere Fragen antworten, wenn er das möchte.“ Die Redaktion versuche so, Belege für eine Aussage zu bekommen und mehr Details zu erfahren. „Alles, was wir schreiben, muss mit zwei Quellen belegt sein“, sagt Polke-Majewski.
Wie der Workflow aussieht, der beginnt, wenn eine zugespielte Information plausibel sein könnte, beschreibt Marcus Lindemann. Er ist TV-Journalist und Trainer. Unter anderem gibt er beim DJV-NRW Seminare zum Thema „Investigative Recherche“: Wir fragen nach: Wer weiß noch von der Sache? Wer könnte das bestätigen? Welche zusätzlichen Details sind bekannt? Welche Belege gibt es dafür? Immer, wenn wir jemanden kritisieren wollen, konfrontieren wir ihn damit zuvor schriftlich. Wir bekommen häufig eine Antwort. Geht es um Behörden oder kommunale Unternehmen, so haben diese sowieso eine Auskunftspflicht. Wenn wir keine Antwort bekommen, wurde von Unternehmen häufig ein Anwalt eingeschaltet. In diesen Fällen versuchen wir, die Betreffenden davon zu überzeugen, dass eine Kooperation sinnvoller wäre. Erst wenn wir sichergestellt haben, dass die Information stimmt, wird daraus ein Stück“./bb
Sicherheitslücke Mensch
Eine der gefährlichsten Sicherheitslücken bleibt allerdings der Mensch selbst, sagt Cem Karakaya. Und das haben längst nicht alle auf dem Schirm, die sich in der digitalen Welt bewegen. Karakaya erzählt die Geschichte einer Bahnfahrt: Im Zug konnte er auf dem Laptopbildschirm einer Mitreisenden ihren Namen, ihre Mails und Nachrichten in sozialen Medien mitlesen. Schnell fand er im Internet noch während der Fahrt mehr über sie heraus. So ausgestattet sprach er sie an und gab sich als alten Bekannten aus Schulzeiten aus. Ein Krimineller hätte dieses Wissen für seine Zwecke genutzt. Cem Karakaya rief sie am nächsten Tag auf der Nummer an, die sie ihm zum Abschied gegeben hatte, und klärte sie über ihren Fehler auf.
„Mit etwas mehr Umsicht und vor allem Sparsamkeit in Bezug darauf, welche Daten man im Internet preisgibt, lässt sich so etwas vermeiden“, sagt Karakaya. „Datensparsamkeit wäre eventuell auch hilfreich gewesen, um nicht Opfer des Daten-Lecks von Januar zu werden.“
Lehrreich auch der Feldversuch, den Karakaya in einem Hotel machte. Zusätzlich zum Haus-W-LAN, bei dem jeder Gast aus Sicherheitsgründen täglich ein neues Passwort eingeben musste, bot er einen unverschlüsselten Internetzugang an. Ergebnis: Innerhalb von zehn Minuten hatten sich 36 Menschen über seinen Hotspot angemeldet. „Mit einem zusätzlichen Programm, das man für 18 Euro im Darknet kaufen kann, sieht man dann genau, was am Bildschirm des anderen passiert“, erklärt Karakaya. So lassen sich zum Beispiel Kreditkartennummern und PINs abphishen, Zugangswörter zu Mailfächern und sozialen Netzwerken. Und vielleicht auch Informationen, mit denen man jemanden erpressen könnte. Diese beiden Beispiele stehen für viele, in denen weder eine Firewall noch ein Virenscanner auf dem Computer Schutz bieten.
Auch in Firmen öffnen oft die Beschäftigten das Einfallstor für Cyberkriminelle. Anders als früher sind die IT-Abteilungen inzwischen in den meisten Unternehmen gut geschützt, die Angestellten dort bieten wenig Angriffsfläche. „Interessanter sind beispielsweise Buchhalter“, sagt Cem Karakaya und erzählt von einem Fall, in dem sich ein Krimineller am Telefon als Chef ausgab und eine Überweisung in Millionenhöhe anordnete. Auf die Anzeige der Telefonnummer im Display ist dabei kein Verlass: Mit einfachen technischen Mitteln lässt sich eine falsche Nummer vorgaukeln.
„Social Engineering“
Mitarbeiterinnen oder Mitarbeiter werden so verleitet, Sicherheitsmaßnahmen zu umgehen, Daten preiszugeben oder unwissentlich Schadprogramme auf den Firmensystemen zu installieren. Die Betrüger bauen dabei auf menschliche Schwächen wie Neugier und Vertrauen. Dieses Vorgehen nennt sich „Social Engineering“. Genau darauf beruht letztlich auch Karakayas Zuggeschichte. Die bekannteste Form von Social Engineering ist das erwähnte Phishing: Wer dabei an fehlergespickte Mails in schlechtem Deutsch denkt, täuscht sich. Phishing-Mails sind in der Zwischenzeit hochprofessionell (siehe Kasten „Phishing-Mails erkennen“).
Aktuell warnt das Bundesamt für Sicherheit in der Informationstechnologie (BSI) vor Emotet: „Diese Software ist in der Lage, Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme auszulesen. Die so gefundenen Informationen nutzen die Täter zur weiteren Verbreitung des Schadprogramms in folgenden Spam-Kampagnen, so dass die Empfänger fingierte Mails von Absendern erhalten, mit denen sie erst kürzlich in Kontakt standen“, erklärt Tim Griese aus der Pressestelle. „Das BSI rechnet daher mit einer weiteren Zunahme an gut gemachten, automatisierten Social-Engineering-Angriffen dieser Art, die für die Empfänger kaum noch als solche zu identifizieren sind.“
Die Gefahr, Opfer eines Cybercrime-Angriffs zu werden, steigt zudem mit der Zahl der vernetzten Geräte. Das kann ein digitaler Sprachassistent sein, aber auch ein Multifunktionsdrucker, wie er in jeder Firma steht. „Wird bei allen diesen Geräten das Administratorenkennwort nicht ersetzt, haben Kriminelle ein leichtes Spiel“, weiß Karakaya. Und in Unternehmen sei oftmals nicht mal das Passwort erforderlich: Wer sich als Servicemitarbeiter ausgebe und sage, der Drucker sei defekt, werde wahrscheinlich relativ problemlos in viele Firmengebäude kommen, meint Karakaya. Dort müsste man nur die Festplatte des vernetzten Druckers gegen eine neue austauschen – „und schon hat man in vielen Fällen ein ganzes Terrabyte an Informationen gewonnen“.
Man möchte sich lieber nicht ausmalen, welche sensiblen Informationen, Kontakte oder Mailadressen auf einer solchen Festplatte in einem Verlagshaus oder bei einem Rundfunksender gespeichert sind. Und schon gar nicht, was passiert, wenn diese Informationen in die falschen Hände kommen.
Sicher surfen
Wer möglichst sicher im Netz unterwegs sein will, sollte einige Punkte beachten:
• Nutzen Sie Passwörter, die aus großen und kleinen Buchstaben, Sonderzeichen und Zahlen bestehen. Und legen Sie für jedes Internetkonto ein eigenes Passwort an. Es gibt einen Trick, um sich komplexe Passwörter zu merken. Beispiel: Bilden Sie einen Satz wie „Ich bin seit 2015 Mitglied im DJV-NRW“. Jetzt nehmen Sie von jedem Wort den ersten Buchstaben, ergänzt durch die Zahlen und Sonderzeichen. Also: Ibs2015MiD-N. Für die verschiedenen Plattformen können Sie jetzt entsprechend Kürzel ergänzen. Zum Beispiel FA für Facebook oder TW für Twitter. Dieses Kürzel hängen Sie dann getrennt durch ein Sonderzeichen an Ihr Passwort an. Für Facebook wäre das also: Ibs2015MiD-N?FA.
• Aktualisieren Sie unverzüglich die von Ihnen genutzte Software, wenn Updates zur Verfügung gestellt werden. So schließen Sie Sicherheitslücken.
• Verwenden Sie eine Firewall und einen Virenscanner.
• Öffnen Sie keine Anhänge an Mails oder in sozialen Medien, die Ihnen von unbekannten Absendern geschickt werden.
• Laden Sie Dokumente oder Programme nur von sicheren Internetseiten herunter.
• Schützen Sie Ihren Zugang ins Internet. n Geben Sie persönliche Daten nur frei, wenn es unbedingt nötig ist.
Besonders vorsichtig sollten Sie bei der Nutzung von Hotspots sein: Ein öffentliches, ungesichertes W-LAN macht es Kriminellen leicht, Schaden anzurichten. Wer über Handy und öffentliche W-LANs sensible Daten eingibt, sollte sich die Mühe machen, eine direkte und verschlüsselte Verbindung vom Handy zum Router nach Hause einzurichten. Der Fachbegriff lautet „verschlüsselte VPN-Verbindung“, VPN steht für Virtual Private Network, also virtuelles privates Netzwerk. Allerdings: „Das ist kompliziert“, sagt Hauke Mormann, von der Verbraucherzentrale NRW. „Das Einrichten an sich dürfte einen Laien überfordern.“ Mormann rät dazu, technikversierte Bekannte um Hilfe zu bitten oder einen Techniker zu beauftragen. Wem das zu aufwendig ist, dem bleibt nur, mit dem Risiko zu leben und darauf zu achten, keine sensiblen Daten wie Kreditkartennummern über das offene W-LAN zu versenden./bb
Stolperfallen für Journalisten
Es steht außer Frage, dass Journalistinnen und Journalisten alle Daten, vor allem die ihrer Quellen, besonders schützen müssen. Zudem bietet die Digitalisierung in ihrer täglichen Arbeit weitere Fallen für sie: Dank Bildbearbeitungssoftware lassen sich etwa Zeugnisse heute „relativ einfach fälschen“, sagt beispielsweise Wolfram Tröger, Vorsitzender Fachverband Personalberatung im Bundesverband Deutscher Unternehmensberater und Vorstand der Personalberatung Tröger & Cie. AG. „Das passiert regelmäßig. Es gehört zu unseren alltäglichen Aufgaben, Unterlagen von potenziellen Kandidaten daraufhin zu überprüfen.“
Wenn manipulierte Zeugnisse schon zum Alltag gehören, ist es nur ein kleiner Schritt dahin, dass Journalistinnen und Journalisten andere gefälschte Unterlagen zugespielt werden können. Redaktionen, die anonyme digitale Briefkästen anbieten, um Dokumente und andere Informationen geschickt zu bekommen, müssen darum ihre Arbeit besonders akribisch machen (siehe auch Kasten „Stimmt das?“).
Bildbearbeitungssoftware ist allerdings harmlos gegen die Apps und Programme, mit denen sogenannte Deep Fakes möglich sind: Dabei analysiert künstliche Intelligenz beispielsweise die Stimme oder Mimik eines Menschen. So ist es möglich, die betreffende Person etwas ganz anderes sagen zu lassen – und das Ergebnis wirkt täuschend echt.
Für Journalistinnen und Journalisten heißt das: Sie müssen zunehmend auch bei digitalen Audio- und Filmsequenzen recherchieren, ob sie ihren Augen und Ohren wirklich trauen können.||
Phishing-Mails erkennen
In früheren Zeiten wimmelten sogenannte Phishing-Mails, mit denen Betrüger versuchen, an die Passwörter von Bankkunden oder Online-Einkäufern zu kommen, oft von Tippfehlern und ungelenken Formulierungen aus einem Übersetzungsprogramm. Im Gegensatz dazu sind sie heute meist professionell und oft nicht auf den ersten Blick zu erkennen. „Diese Phishing-Mails werden vermeintlich im Namen von Banken oder großen Onlineshops versendet“, sagt Matthias Gärtner, Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik. Darin heißt es oft, die Zugangsdaten müssten bestätigt werden oder die Kreditkartendaten seien abgelaufen, manchmal hat angeblich auch jemand eine Frage zu einem Artikel, den man auf einer Onlineplattform wie Ebay versteigert.
Täuschend echte Seiten
Diese Mails beinhalten häufig einen Link, der auf die Seite des Absenders zu führen scheint. Tatsächlich führen die Abzocklinks auf Internetseiten, die täuschend echt aussehen. „Wer sich dort mit seinen Kontodaten anmeldet, hat den Betrügern oft alle Informationen gegeben, damit sie auf Kosten des Internetnutzers einkaufen oder sich Geld von dessen Konto überweisen können“, sagt Gärtner. Alternativ wird mit dem Besuch der Homepage oder dem Öffnen eines angehängten Dokuments, das eine Rechnung oder Mahnung sein soll, eine Schadsoftware auf dem Rechner installiert, mit der die Passwörter abgephisht werden oder Onlinebanking manipuliert wird.
Eine Mail mit betrügerischer Absicht zu erkennen, ist einfach, wenn man nicht Kunde des vorgegaukelten Absenders ist: Ein Internetnutzer, der sein Konto beispielsweise bei der Sparkasse hat, aber angeblich bei der Postbank seine Kontoinformationen aktualisieren soll, muss nicht reagieren. „Bevor man sich vom Inhalt einer solchen Mail unter Druck setzen lässt, sollte man den gesunden Menschenverstand einsetzen“, sagt Matthias Gärtner.
Genau hinschauen
Ist man tatsächlich Kunde des angeblichen Absenderunternehmens, muss man genau hinschauen. In manchen Mailsystemen wie Googlemail oder Mail von Apple reicht es schon, mit der Maus auf den Absendernamen zu fahren oder ihn anzuklicken. Dann sieht man, welche Mailadresse sich tatsächlich dahinter verbirgt. Hat diese nichts mit dem eigentlichen Unternehmensnamen zu tun, wird sie nicht echt sein.
Außerdem sollte man nie einen Link in einer Mail anklicken, sondern die Original-Webadresse des fraglichen Anbieters manuell eingeben, um das eigene Konto zu überprüfen. So kann man erst gar nicht auf die gefälschte Seite weitergeleitet werden. Hat man bereits geklickt, sollte man auf das Zertifikat der Seite achten. Es ist erkennbar an einem Schloss vor der URL in der Browserzeile und ist ein Indikator für eine sichere Webseite. „Fehlt es, ist es gut möglich, dass man einen Phishing-Link angeklickt hat“, sagt Gärtner. Gefälschte Webseiten lassen sich in der Regel auch an unüblichen Namenszusätzen zum bekannten Unternehmensnamenin der Browserzeile erkennen. Bei Mails, die die Schadsoftware Emotet (siehe Haupttext) beinhalten, helfen diese Vorsichtsmaßnahmen möglicherweise nicht weiter. Hier sollte man im Zweifel zum Telefonhörer greifen und beim Absender nachfragen./bb
Literaturtipp
Cem Karakaya und Tina Groll haben gemeinsam das Buch „Die Cyber-Profis. Lassen Sie Ihre Identität nicht unbeaufsichtigt“ geschrieben. Im Buch geht es um Identitätsdiebstahl und viele andere Formen von Cyberkriminalität. Dort werden auch weitere Beispiele für Social Engineering im Privaten und im Geschäftsalltag beschrieben. Ariston Verlag, 18,50 Euro.
Ein Beitrag aus JOURNAL 1/19 – dem Medien- und Mitgliedermagazin des DJV-NRW, erschienen im Februar 2019.