WiWo App 1 Monat für nur 0,99 €
Anzeigen

Ashley Madison 300.000 deutsche Hacker-Opfer

Was steht über mich im Internet? Diese Frage treibt Ashley-Madison-Kunden um, darunter offenkundig hunderttausende Deutsche. Wer nach einer Antwort sucht, könnte allerdings alles nur noch schlimmer machen.

  • Artikel teilen per:
  • Artikel teilen per:
Blick auf eine Dating-Website für Verheiratete: Was tun, wenn man als Ashley-Madison-Kunde befürchtet, mit dem Privatleben aufzufliegen? Quelle: AFP

San Francisco Es gibt praktisch keinen Zweifel mehr: Die Daten von über 30 Millionen Mitgliedern der Seitensprung-Agentur Ashley Madison stehen im Internet. Darunter sind auch 309.000 E-Mail-Adressen, die mit einer deutschen „.de“-Endung versehen sind. Das teilte das Sicherheitsunternehmen Trustify.com auf Anfrage des Handelsblatts mit.

Neugierige Partner, Schwiegereltern, Kollegen, Personalabteilungen oder Freunde möchten nun vielleicht mal nachzuschauen, was jemand so treibt im Netz. Und manche drängt die brennende Frage, wie schlimm die Informationen tatsächlich sind, die jetzt jeder einsehen kann. Für sie alle schafft der Hack beste Voraussetzungen – zumindest theoretisch.

Denn dieser gewaltige Datenberg ist nicht einfach zu finden. Er liegt gut versteckt im sogenannten „Darknet“: Dieser Teil des weltweiten Netzes kann nur mit einem speziellen Hochsicherheits-Browser namens Tor durchsucht werden. Und selbst wenn man es dorthin geschafft hat, ist es für technische Laien extrem mühsam, sich ein tatsächliches Bild zu machen - und die Nadel im Daten-Heuhaufen zu finden.

Deshalb preisen sich selbsternannte Sicherheitsanbieter als Helfer in der Not an. Doch sie arbeiten nicht ohne Eigennutz. Oder heizen die Stimmung erst an, weil es die Antworten auf Knopfdruck gibt – für jedermann.

Top-Jobs des Tages

Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.

Standort erkennen

    „Gute Nachrichten – kein Leak gefunden“

    Zu den Anbietern mit einem gewissen Verantwortungsbewusstsein gehört anscheinend haveibeenpwned.com. Auf der Website gibt man eine E-Mail-Adresse ein und bekommt dann eine Antwort, ob die Adresse bei einem der großen Daten-Hacks der vergangenen Jahre kompromittiert wurde. Die Antwort wird pauschal auf der Webseite angezeigt (z.B. „Gute Nachrichten – kein Leak gefunden“), mehr nicht. So kann sich kein Schnüffler durch die Eingabe einer x-beliebigen E-Mailadresse Informationen verschafft, die ihn nichts angehen.

    Für den Fall des Seitensprung-Portals Ashley Madison (AM) hat „haveibeenpwned“ die Bedingungen verschärft. Nur wer die E-Mailadresse, die er zur Anmeldung bei AM verwendet hatte, gegenüber der dem Anbieter verifiziert und sich auch für E-Mail-Benachrichtigungen registriert, der bekommt eine Aussage zum Hack von Ashley Madison diskret und nur an diese E-Mailadresse zugesendet. Auf der Webseite steht nichts.

    Ein „normaler“ Hack sei ärgerlich, vielleicht auch teuer, aber nicht mit solchen persönlichen Konsequenzen verbunden wie in diesem Fall, erklärt Betreiber Per Thorsheim das Vorgehen. Zudem ermahnt er voreilige Journalisten oder Blogger ausdrücklich, verantwortlich zu handeln, wenn sie Mitglieder des Seitensprungportals bloßstellen wollen. Es bestehe „potenzielle Selbstmord-Gefahr“, twitterte er.

    Schließlich können die Folgen einer Entdeckung oder einer falschen Beschuldigung gravierend sein. So durchsucht zum Beispiel das US-Verteidigungsministerium bereits die Datenbank auf Adressen von Militärangehörigen bei Ashley Madison. Die Nutzung der offiziellen Militär-E-Mailadresse mit der Endung .mil für solche Aktivitäten, vielleicht noch am Arbeitsplatz, könnte bereits einen Verstoß darstellen.


    Ergebnisse für jede beliebige Adresse

    Der Nachrichtenagentur AP zufolge sind offenbar bereits hunderte Zahlungstransaktionen gefunden worden, die im Zusammenhang mit dem Netzwerk des Verteidigungsministeriums ständen. Im schlimmsten Falle drohen den Soldaten unehrenhafte Entlassung oder Aberkennung der Klassifizierung als Geheimnisträger. Zusammengenommen mit den .gov-Adressen der US-Regierung, die etwa Verwaltungsmitarbeiter bekommen, sollen es Tausende Adressen sein. Auf ihre Besitzer könnten ebenfalls berufliche Probleme zukommen.

    Für manche Mitglieder von Ashley Madison könnte sogar Gefahr für Leib und Leben bestehen. Schließlich steht etwa Homosexualität in einigen Ländern noch unter Strafandrohung. Da bei einem Neuantrag auf dem Portal auch sexuelle Vorlieben abgefragt werden, können Daten über die Suche nach homosexuellen Abenteuern auf der Plattform für beiderlei Geschlechter fatale Folgen haben. Das trifft auch auf eine leichtfertige falsche Beschuldigung zu.

    Eine heiße Diskussion ist nicht nur um die Folgen einer Entdeckung, sondern auch um einen weiteren Anbieter für eine Selbstabfrage entbrannt. Über den Ansatz von Trustify.com gehen insbesondere unter den meinungsfreudigen Nutzern des Internetportals Reddit die Ansichten auseinander. Doch um den Ansatz des Investigativ-Unternehmens werden derzeit auf Reddit erhitzte Diskussionen geführt.

    Wer dort nach irgendeiner E-Mailadresse sucht, der bekommt sofort eine Antwort, wenn auch nur in einer „Ja/Nein“-Form. Dafür trudelt bei jener Adresse später eine Nachfass-E-Mail ein, ob man noch mehr Informationen und Hilfe zur Schadensbegrenzung suche. Dese bietet Trustify an, natürlich gegen Gebühr.

    Ein Reddit-Nutzer unter dem Pseudonym thejournalizer, der sich selbst als Mitarbeiter von Trustify bezeichnet, räumt ein, dass jeder eine beliebige E-Mailadresse abfragen könne, und eine E-Mail werde an solche Adressen verschickt, die als positive Funde gemeldet wurden. Die Identität von thejournalizer als Mitarbeiter des Unternehmens wurde von Trustify auf Anfrage bestätigt.

    Trustify-Sprecherin Cathryn Marcuse verteidigt das Vorgehen. Es sie sozusagen als Hinweis, zu verstehen, dass da was im Busch sein könnte. „Ob Eigensuche oder Fremdsuche“, so Marcuse auf Anfrage, „wir glauben, dass die E-Mailbesitzer wissen sollten, dass ihre Daten auf dem Markt sind. Wir haben jedenfalls keine Kenntnis davon, dass Ashley Madison seine Kunden in irgendeiner Weise unterstützt oder ihnen Warnungen zukommen lässt.“

    Man arbeite jetzt daran klarzustellen, dass ein „Ja“ bei einer E-Mailadresse bei AM alleine noch gar nichts aussage, verspricht thejournalizer auf Reddit. So wolle man vorschnellen Schlüssen vorbeugen. Die Seitensprung-Agentur verifiziere keine E-Mails. Jeder hätte schließlich irgendeine E-Mailadresse angeben können, um sich anzumelden - zum Beispiel die seines Lieblingsfeinds in der Firma.


    Gelegenheit macht Liebe

    Selbst der von haveibeenpwned gewählte Weg mit der E-Mailverifizierung bleibt von Kritik nicht verschont. Immerhin bläht der Zwang zur Registrierung und Verifizierung den Datenpool des Unternehmens auf. Über 30 Millionen mutmaßliche AM-Opfer bedeuten ein gewaltiges Neukundenpotenzial.

    Zu den von Neugierigen ebenfalls stark frequentierten Seiten gehört ashley.cynic.al. Auch dort gibt es eine Treffermitteilung (Ja/Nein) direkt auf der Seite. Die Betreiber machen keinen Hehl daraus, dass selbst die Suche nach einer Verbindung zu Ashley Madison für Datensammler interessant sein könnte: „Woher weiß ich, dass meine Suche nicht gespeichert wird?“, fragt die Seite und liefert die Antwort gleich mit: „Das wissen Sie gar nicht.“ Wie bei den anderen Seiten bleibt da nur Glaube und Vertrauen.

    Wie groß das Entdeckungsrisiko überhaupt ist, hängt von vielen Faktoren ab. Wer nur mal neugierig auf der Seite geschnüffelt hat und vielleicht noch eine „Wegwerf-E-Mail“ und einen Tarnnamen benutzt hat, dürfte ziemlich sicher sein - sofern er keine „Credits“ für Premium-Mitgliedschaften von AM gekauft hat.

    Man kann auch in die Offensive gehen: Der Journalist Sam Biddle aus der Tech-Szene im Silicon Valley etwa hat nichts zu verbergen und einen guten Grund.

    Für den Rest gilt Experten zufolge: Erst wenn eine Zahlung und speziell eine Zahlung mit Kreditkarten in dem Dienst erfolgt ist, dann sind sehr wahrscheinlich auch Klarname und Adresse verfügbar. Insgesamt sind die Daten von geschätzten zehn Millionen Transaktionen ins Internet gelangt. Noch längst sind nicht alle Datensätze durchforstet. Es ist also eine reine Frage der Abwägung für einen AM-Kunden, ob man jetzt durch eine Art „virtuelle Selbstanzeige“ bei einem der Suchdienste zusätzliche Aufmerksamkeit erregen will.

    Zumal die Chancen hoch sind, dass nicht wirklich etwas passiert ist. Gelegenheit macht Liebe, heißt es schließlich Doch die Anzahl der Männer soll angeblich die der Frauen mit 9:1 weit überschreiten.

    Diese Angaben beziehen sich auf Erkenntnisse über gefälschte Profile: 2013hatte eine brasilianische Frau die Seite verklagt, weil sie sich die Handgelenke beim Tippen auf der Tastatur verletzt hätte. Sie sollte demnach in wenigen Wochen 1000 Profile von attraktiven Frauen anlegen. Ashley Madison wies die Vorwürfe allerdings immer kategorisch zurück.

    © Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
    Zur Startseite
    -0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%