Was ist eigentlich Doxing – und was kann man dagegen unternehmen?

Kaum hat das Jahr angefangen, haben wir auch schon den ersten handfesten Datenskandal. Der Begriff „Doxing“ hat das Zeug, zum Word des Jahres zu werden. Nachdem sich die ersten Nebelschwaden verzogen haben – die erste Aufregung hat sich gelegt, der mutmaßliche Täter ist dingfest gemacht – empfiehlt es sich, mal näher hinzuschauen, was da eigentlich passiert ist und welche Lehren sich daraus ziehen lassen.

Der Begriff „Doxing“ kommt – natürlich – aus dem Englischen. Dox (mit „x“ geschrieben) steht für Docs, also Dokumente. Man versteht darunter das Zusammentragen öffentlich im Netz zugänglicher Informationen, die später dann – meist mit bösartigen Absichten – dann zusammengetragen und ggf. auch ausgewertet im  Netz veröffentlicht werden.

Harmlosere Fälle sind das Zusammentragen von Meinungsäußerungen aus der Vergangenheit. Es werden aber auch sensible Informationen publiziert, etwa Gesundheitsdaten, Infos über die sexuelle Orientierung, Fotos und vieles andere mehr.

Doxing geht, weil heute so viele Informationen von jedem öffentlich im Netz zugänglich sind. Teilweise ohne eigenes Zutun, etwa wenn Vereine oder Freunde etwas veröffentlichen. Im vorliegenden Datenskandal wurde Doxing mit Hacking kombiniert: Der mutmaßliche Täter hat auch Mail- und Cloud-Dienste gehackt, um an die sensiblen Daten zu kommen.

Es ist so einfach

Der mutmaßliche Täter ist kein Hack-Genie, sondern in erster Linie fleißig und ambitioniert. Das hat also gereicht, um derartige Wellen loszutreten. Er hat sich frei zugängliche Datenbanken mit erbeuteten Zugangsdaten besorgt, die aus zurückliegenden Hack-Aktionen stammen. Danach hat er die Zugangsdaten ausprobiert. Hat jemand überall dasselbe Passwort verwendet, konnte er sich in Mail-Dienste oder Cloud-Dienste einloggen.

Einfach so. Und auf diese Weise auf Dokumente, Kontakte und vieles andere mehr zugreifen. Viel Arbeit – aber keine hohe Wissenschaft. Das belegt, dass die Opfer durchaus in mehrerlei Hinsicht unvorsichtig waren: Sie haben dasselbe Passwort in verschiedenen Diensten benutzt und ihre wichtigen Konten nicht durch die Zwei-Faktor-Authentifizierung abgesichert.

Warum überall anderes Passwort?

Es gibt einen guten Grund, wieso wir überall ein anderes Passwort verwenden sollen,+

Ist es Hackern zum Beispiel gelungen, bei einem Onlinedienst wie Adobe Daten abzugreifen – was durchaus regelmäßig vorkommt –, und dort sind die Daten nicht gut verschlüsselt, dann liegt das Passwort in Klartext vor. Hacker können nun dieses Passwort auch in anderen Diensten ausprobieren, etwa Mail oder Cloud.

Wenn man überall dasselbe Passwort verwendet, ist es so, als würden die Hacker einen Generalschlüssel finden. Deshalb: Überall ein anderes Passwort einsetzen. Oder, noch besser: Die Konten per Zwei Faktor Authentifizierung absichern.

Zwei Faktor Authentifizierung

Bei der Zwei Faktor Authentifizierung (2FA) muss der Nutzer beim Login nicht nur Benutzername und Passwort eingeben, sondern auch noch einen zweiten Faktor. Das kann ein Gesichts-Scan sein, ein Fingerabdruck oder ein zusätzlicher Code, der durch eine App im Smartphone generiert wird. Vorteil:

Das Passwort kann ruhig geklaut werden. Es ist trotzdem nahezu unmöglich, an die Onlinekonten zu kommen. Nachteil: Es ist etwas aufwändiger, sich einzuloggen. Aber daran hat man sich schnell gewöhnt. Das Plus an Sicherheit rechtfertigt den Aufwand auf alle Fälle.

Nicht alle bieten 2FA an

Doch, viele bieten es an, etwa Apple, Microsoft, Google, Twitter, Amazon, Evernote, Facebook und die meisten anderen. Allerdings verstecken sie die Funktion. Nur wer davon weiß, kann sie aktivieren. Sie wird nicht standardmäßig aktiviert. Ein Frevel! Einige Dienste allerdings, etwa T-Online, GMX oder Web.de – immerhin die drei größten deutschen Mail-Dienste – bieten die 2FA gar nicht an. Das ist schon ein starkes Stück und das Gegenteil von Datensicherheit!

 

SCHIEB+ Immer bestens informiert

Schieb+ Tarife
Nach oben scrollen