Der Datenhack und seine Folgen: Die Tragödien rund um Ashley Madison
Infomationen über mögliche Affären gefährden vor allem in den USA zur Zeit viele private Beziehungen. Betroffene könnten auch ihre Jobs verlieren.
Foto: ReutersLondon / San Francisco. „Das ist kein Spaß mehr“. Torontos Polizeichef Bryce Eveans redet nicht um den heißen Brei herum. „Das war illegal und wir werden es nicht tolerieren“, richtet er seine Botschaft an die Hacker des „Impact Team“. Die kanadische Polizei und das amerikanische FBI sind mittlerweile in die Ermittlungen zum einem der größten und folgenschwersten Datendiebstahls aller Zeiten eingeschaltet.
Die betroffene kanadische Firma, Avid Life Media, hat eine Belohnung von 380.000 US-Dollar für Hinweise ausgelobt. Persönliche Daten mit teilweise intimsten Details von 37 Millionen Menschen stehen im Internet zum Abruf bereit. Gestohlen von Ashley Madison, einer Internet-Agentur für Seitensprünge, Slogan: „Das Leben ist kurz. Habe eine Affäre.“ Die Cyberkriminellen waren laut Avid Life Media am 12. Juli in die Computer eingedrungen und hatten mit der Veröffentlichung gedroht, wenn die Seite nicht ihren Betrieb einstellen sollte. Der Forderung kam die Gesellschaft nicht nach und ging zur Polizei. Vorige Woche landeten die Daten im Internet – die Folgen werden immer gravierender.
Zwei Selbstmorde, einer in den USA, einer in Kanada, sollen mit dem Hack zusammenhängen. Die Polizei will keine Details nennen, man „ermittele“. Aber bekannt ist, dass bereits Erpressungs-E-Mails an Menschen verschickt werden, deren Email-Adressen bei AM aufgetaucht sind. Rund 15.000 Angestellte im öffentlichen Dienst in den USA, darunter viele Militärangehörige, bangen um ihre Existenz. Untreue kann in den USA für Militärpersonal geahndet werden und zu unehrenhafter Entlassung führen.
Prominente wie der amerikanische Reality-TV-Star Josh Duggar haben öffentlich Abbitte geleistet und ihre Familien um Vergebung gebeten. Jeffrey Ashton, Staatsanwalt in Florida, gestand vor laufenden Kameras ein, sich angemeldet zu haben, bestreitet aber jemals wirklich eine Affäre gehabt zu haben. „Neugier“ habe ihn getrieben. „Auch wenn ich keine Gesetze gebrochen habe“, gestand er auf einer Pressekonferenz, die Tränen nur mühsam zurückhaltend, „so waren es doch unfassbar blöde Entscheidungen, die ich getroffen.“ So wie es viele andere vielleicht auch gemacht haben. Und es betrifft auch einfache Bürger und Angestellte in vielen Unternehmen.
Da ist etwa „Ana“, wie sie auf CNN Money genannt wird. Wie andere auch wollte sie gegenüber dem US-Sender ihre wahre Identität nicht offenlegen, aber ihre Geschichte erzählen. Vergangenen Donnerstag sei sie die ganze Nacht aufgeblieben, so die Frau in den 40ern, um mit acht verheirateten Männern zu kommunizieren, die sie auf Ashley Madison kennengelernt hatte. Sie waren in Panik weil ihre Frauen Wind von den Affären bekommen könnten. Sie wiederum hat blanke Angst um ihre berufliche Zukunft. Sie arbeite in der Finanzindustrie und ihre Kunden seien oft Paare oder kleine Unternehmen. Sie fürchtet bei einer Entdeckung um ihre wirtschaftliche Existenz. Ashley Madison war so etwas wie ihr Spielplatz, zitiert sie CNN, von einem kleinen Flirt bis zu drei Tagen in einem Hotelzimmer sei alles dabei gewesen. Jetzt kommt der Katzenjammer.
Nicht nur an Wall Street, auch in London und anderen Börsenplätzen geht die Angst um. Die US-Internetseite MarketWatch hat hunderte Banker gefunden, die sich scheinbar mit der offiziellen Email-Adresse ihres Arbeitgebers angemeldet haben. Scheinbar, weil sich jeder mit irgendeiner beliebigen Adresse anmelden konnte. AM hat niemals geprüft, wem die Adresse wirklich gehört. Besonders häufig erscheinen Adressen von Wells Fargo. Die Endung @wellsfargo.com taucht ganze 175 Mal in dem Datenwust auf. Gefolgt von @bankofamerica.com mit 76 Nennungen und der Deutschen Bank mit 73 Treffern.
Insgesamt ist die Zahl der Deutschen in den kompromittierenden Listen deutlich höher als zunächst angenommen. Erste Analysen sprachen von 300.000 „.de-Adressen“. Aber nach einer „nochmals verfeinerten Analyse“, wie das Hasso-Plattner-Institut aus Potsdam gegenüber Handelsblatt Online mitteilt, kann man jetzt von 423.711 deutschen Anmeldungen bei dem Seitensprung-Portal ausgehen. Knapp 390.000 geben „männlich“ als Geschlecht an, etwa 35.000 „weiblich“. Als Wohnort erscheint fast 32.000 Mal Berlin – der Spitzenplatz unter den deutschen Städten. „Weiblich“ ist rund 4000 Berliner Einträgen zu finden.
Bleibt die Frage nach der Glaubwürdigkeit. Schließlich handelt es sich immer um ungeprüfte Selbstangaben der Nutzer. Hier verweist HPI-Sprecher Hans-Joachim Allgaier auf die Altersauswertung: Da finden sich so absurde Alterseinträge wie 1 Jahr oder 119. So könnten auch Angaben gemacht worden sein, die nur der Verschleierung des tatsächlichen Wohnorts dienten. Verantwortungsvolle Sicherheitsberater wie Per Thorsheim warnen deshalb seit langem vor voreiligen Schlüssen und sensationsgetriebener Berichterstattung.
Auf seiner Website haveibeenpwned.com gibt es Informationen zu AM nur diskret an die direkt betroffene Email-Adresse. So kann sich kein Schnüffler durch die Eingabe einer x-beliebigen Angabe Informationen verschaffen, die ihn nichts angehen. Das halten nicht alle Anbieter so, die sich ein zusätzliches Geschäft versprechen. Auch der Identitytracker des Hasso-Plattner-Instituts sendet nur eine diskrete E-Mail mit Basisdaten an die angefragte Adresse, ohne Details zu verraten.
Bleibt die Frage, wie sich die Hacker derart umfassend Zugang verschaffen konnten? Kamen sie aus dem Unternehmen selbst? Zumindest ein Experte ist sicher, der gigantische Datendiebstahl sei nur von innen möglich gewesen. John McAfee, Gründer des gleichnamigen Sicherheitsunternehmens, das mittlerweile zu Intel gehört, erklärt den Fall in einem Artikel für International Business Times. Bei der Sichtung der 40 Gigabyte Daten aus dem Hack seien ihm einige Besonderheiten aufgefallen. Es wurden komplette und sehr umfangreiche Datenbanken aus dem System herausgeladen. Hacker von außen, so McAfee, hätten selten die nötigen Kenntnisse der Software-Programme im Unternehmen, um solche komplexen Aktionen durchzuführen.
Wenngleich McAfee selbst eine, freundlich formuliert, sehr bewegte jüngere Vergangenheit hat, ist er zumindest auf dem Gebiet der Sicherheitstechnik ein unbestrittener Experte. Auch Edward Snowden war Insider und es ist unwidersprochen, dass er von außen niemals solch gewaltigen Datenmengen von der NSA hätte stehlen können. Auch bei anderen Hacks, so wie bei Sony, schließen Ermittler zumindest interne Helfer nicht aus.
Bei einer weiteren Vermutung begibt sich McAfee auf dünnes Eis. Er glaubt der Hacker war in Wahrheit eine Hackerin. Darauf deuteten Worte wie „scumbags“ (Drecksack/Mistkerl) in den Erklärungen der Hackergruppe hin, ein Wort, dass im amerikanischen Sprachgebrauch in der Regel nur von Frauen als abschätzige Beschreibung für Männer gebraucht wird. Solchen Auffälligkeiten nachzugehen, ist auch bei US-Behörden nicht unüblich, um Anschuldigungen auszusprechen. So gelten zum Beispiel das Ausbleiben von Hackerangriffen an bestimmten Feiertagen in Russland, Nordkorea oder China als ernste Indizien darauf, dass Angriffe von diesen Ländern ausgehen. Oder es ist bewusste Irreführung – zum Beispiel um Ermittler auf die falsche Fährte einer Frau als Hackerin zu locken.
Für Avid Life steht derweil alles auf dem Spiel. In Kalifornien ist eine erste Sammelklage auf dem Weg. Die Kläger behaupten, sie hätten 19 Dollar für den „Full Delete“-Service bezahlt, der eine komplette Löschung aller Aktivitäten auf dem Seitensprung-Portal einschließlich Fotos und Konversationen von den Servern verspricht. Trotzdem fanden sie sich angeblich in den geklauten Datenlisten im Internet wieder.
Nur ein Grund mehr um daran zu zweifeln, wie sicher die Daten im Internet sind und ob man Web-Unternehmen in dieser Hinsicht trauen kann.