{"id":26669,"date":"2021-05-03T15:19:59","date_gmt":"2021-05-03T13:19:59","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26669"},"modified":"2021-09-27T10:25:05","modified_gmt":"2021-09-27T08:25:05","slug":"doxing-methods","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/doxing-methods\/26669\/","title":{"rendered":"Doxing und wie Sie sich davor sch\u00fctzen k\u00f6nnen einfach erkl\u00e4rt"},"content":{"rendered":"

Jedes Mal, wenn Sie einen Beitrag in den sozialen Netzwerken mit \u201eGef\u00e4llt mir\u201c markieren, von einer Stra\u00dfenkamera gefilmt werden, einer Nachbarschafts-Community beitreten oder Ihren Lebenslauf ver\u00f6ffentlichen, werden diese Daten in Datenbanken gespeichert. Sie sind sich eventuell nicht bewusst, inwieweit das Hinterlassen Ihres Datenfu\u00dfabdruckes \u2013 jede Aktion im Internet und fast alle Aktionen in der realen Welt \u2013 Ihre Verletzlichkeit erh\u00f6hen kann.<\/p>\n

Doxing-Vorf\u00e4lle: Ein Radfahrer, eine Autofahrerin und ein w\u00fctender Vater<\/h2>\n

\"Doxing<\/a>Jeder kann gedoxed werden, wie anhand der folgenden drei Anekdoten verdeutlicht wird.<\/p>\n

Als der Radfahrer Peter Weinberg aus Maryland, USA die ersten beleidigenden Nachrichten<\/a> und Drohungen von unbekannten Menschen erhielt, entdeckte er, dass die von ihm benutzte Workout-App seine Radrouten ver\u00f6ffentlichte. Aus diesen Informationen folgerte jemand, dass sich Weinberg vor Kurzem an einer Stelle befand, an der ein Kind angegriffen wurde. Viele Menschen beschuldigten ihn schnell \u2013 und irrt\u00fcmlicherweise \u2013 der mutma\u00dfliche T\u00e4ter zu sein und ver\u00f6ffentlichten seine Adresse. Die Verleumdung ging viral, aber nur relativ wenige Personen erhielten die darauffolgenden richtigstellenden Erkl\u00e4rungen \u00fcber Twitter und andere Kan\u00e4le.<\/p>\n

Auf der anderen Seite der Erdkugel ver\u00f6ffentlichte ein Tierschutzaktivist aus Singapur den Namen und die Adresse einer Person, die einen Hund angefahren hatte<\/a> und forderte die Leute auf, dieser Person \u201edie H\u00f6lle hei\u00df zu machen\u201c. Laut der Autobesitzerin schadete diese \u00f6ffentliche Beschuldigung ihre Karriere<\/a>: Nachdem herausgefunden wurde, wo sie arbeitete, erschienen Hassbeitr\u00e4ge auf der Facebook-Seite des Unternehmens. Sp\u00e4ter stellte sich heraus, dass eine andere Person das Auto zum Zeitpunkt des Unfalls fuhr.<\/p>\n

An einer weit ber\u00fchmteren Geschichte dieser Art war der ehemalige US-amerikanische Baseballspieler Montague Schilling beteiligt. Er entdeckte Tweets \u00fcber seine Tochter, die er als unangemessen und beleidigend empfand. Schilling sp\u00fcrte die Tweet-Autoren auf (wof\u00fcr er laut eigenen Angaben weniger als eine Stunde brauchte). Dann legte er f\u00fcr jeden einzelnen Autor eine umfangreiche Datensammlung an und ver\u00f6ffentlichte<\/a> einige der Informationen auf seinem Blog. Die \u00dcbelt\u00e4ter, die zur Baseball-Community geh\u00f6rten, verloren noch am selben Tag ihren Arbeitsplatz oder wurden aus ihrer Sportmannschaft rausgeschmissen.<\/p>\n

Was ist passiert?<\/h2>\n

Alle drei Geschichten sind einfache Beispiele von Doxing<\/a>. Damit ist das Sammeln und die Ver\u00f6ffentlichung von personenbezogenen Daten ohne die Einwilligung des Dateninhabers gemeint. Das ist nicht nur unangenehm, es kann auch im echten Leben verheerende Folgen f\u00fcr den Ruf, den Arbeitsplatz und sogar f\u00fcr die k\u00f6rperliche Sicherheit des Opfers nach sich ziehen.<\/p>\n

Die Ursachen f\u00fcr Doxing sind unterschiedlich: Manche Menschen denken, dass sie damit Kriminelle entlarven, andere versuchen ihre Online-Gegner einzusch\u00fcchtern und wiederum andere bedienen sich des Doxings, um sich f\u00fcr pers\u00f6nliche Beleidigungen zu r\u00e4chen. Doxing ist ein Ph\u00e4nomen, das in den 90er Jahren aufgetaucht ist. Allerdings ist es inzwischen wesentlich gef\u00e4hrlicher geworden \u2013 bei der gro\u00dfen Menge an privaten Informationen, auf die heutzutage jeder zugreifen kann, sind f\u00fcr Doxing noch nicht einmal besondere F\u00e4higkeiten oder Sonderrechte erforderlich.<\/p>\n

Wir werden heute weder auf die Rechtm\u00e4\u00dfigkeit noch auf die Ethik von Doxing eingehen. Als Sicherheitsexperten besteht unsere Aufgabe darin, die Doxing-Methoden zur erkl\u00e4ren und Ihnen Ratschl\u00e4ge zu geben, wie Sie sich davor sch\u00fctzen k\u00f6nnen.<\/p>\n

Doxing \u2013 von Experten erkl\u00e4rt<\/h2>\n

Doxing kommt immer h\u00e4ufiger vor, weil kein besonderes Know-how und nur relativ wenige Ressourcen daf\u00fcr erforderlich sind. Die meisten Tools, die von Doxern verwendet werden, sind legitim und au\u00dferdem \u00f6ffentlich zug\u00e4nglich.<\/p>\n

Suchmaschinen<\/h3>\n

In ganz normalen Suchmaschinen kann eine Menge an pers\u00f6nlichen Daten gefunden werden. Die fortschrittlichen Suchfunktionen (wie die Durchsuchung von Websites oder Dateien) helfen Doxern \u00fcberdies die gew\u00fcnschten Informationen schneller zu finden.<\/p>\n

Abgesehen vom Namen und Nachnamen, kann ein Spitzname die Online-Gewohnheiten einer Person verraten. Die Verwendung von gleichen Spitznamen auf verschiedenen Webseiten erleichtert die Arbeit der Online-Detektive, die damit Kommentare und Posts auf einer gro\u00dfen Anzahl an \u00f6ffentlich zug\u00e4nglichen Ressourcen zusammentragen k\u00f6nnen.<\/p>\n

Soziale Netzwerke<\/h3>\n

Soziale Netzwerke, einschlie\u00dflich spezialisierte wie LinkedIn, enthalten Unmengen an wertvollen, personenbezogenen Daten.<\/p>\n

Ein \u00f6ffentlich zug\u00e4ngliches Profil mit echten Daten ist quasi bereits eine angefertigte Datensammlung. Selbst wenn das Profil privat und allein f\u00fcr Freunde sichtbar ist, kann ein gewiefter Ermittler einiges an Informationen durch das Scannen der Kommentare des Opfers, Communitys, Posts von Freunden usw. erhalten. Wenn zu diesem Vorgang noch eine Freundschaftsanfrage dazukommt, beispielsweise von jemanden der sich als Recruiter ausgibt, dann geht es eine Stufe h\u00f6her und zwar zum Social Engineering.<\/p>\n

Social Engineering<\/h3>\n

Social Engineering wird bei vielen Angriffen eingesetzt. Diese Methode nutzt die menschliche Natur aus und hilft Doxern an bestimmte Informationen heranzukommen. Doxer verwenden \u00f6ffentlich zug\u00e4ngliche Informationen \u00fcber eine bestimmte Sache, um das Opfer zu kontaktieren und es dazu zu verleiten, die Daten selbst herauszugeben. Beispielsweise kann sich ein Doxer als medizinischer Administrator oder Bankvertreter ausgeben, um den Opfern Informationen zu entlocken \u2013 eine Masche, die wesentlich besser funktioniert, wenn der \u00dcbelt\u00e4ter auch \u00fcber einige wahre Informationen verf\u00fcgt.<\/p>\n

Offizielle Quellen<\/h3>\n

Personen des \u00f6ffentlichen Lebens haben es besonders schwer etwas Netzwerkanonymit\u00e4t aufrechtzuerhalten. Das hei\u00dft aber noch lange nicht, dass Rockstars und Leistungssportler die einzigen sind, die ihre personenbezogenen Daten sch\u00fctzen m\u00fcssen.<\/p>\n

Ein Doxer kann sogar das Vertrauen eines potenziellen Doxing-Opfers mithilfe der Daten eines Mitarbeiters gewinnen. Beispielsweise anhand eines Fotos und dem vollst\u00e4ndigen Namen auf der \u00dcber-uns-Unternehmensseite oder den vollst\u00e4ndigen Kontaktdaten, die auf den Webseiten mit Informationen zu den Unternehmensabteilungen zu finden sind. Das h\u00f6rt sich zwar eher harmlos an, aber allgemeine Unternehmensinformationen verraten wo die Person arbeitet, bzw. wo sie sich befindet und mit den Fotos k\u00f6nnen die Profile dieser Person in den sozialen Netzwerken gefunden werden.<\/p>\n

Auch Gesch\u00e4ftsaktivit\u00e4ten hinterlassen in der Regel digitale Fu\u00dfabdr\u00fccke \u2013 beispielsweise ist in vielen L\u00e4ndern auch einiges an Informationen \u00fcber die Unternehmensgr\u00fcnder \u00f6ffentlich zug\u00e4nglich.<\/p>\n

Schwarzmarkt<\/h3>\n

Bei ausgefeilteren Methoden werden auch nicht \u00f6ffentlich zug\u00e4ngliche Informationen angewendet, wie beispielsweise Datenbanken, die von staatlichen Einrichtungen und Unternehmen gestohlen wurden.<\/p>\n

Wie unsere Studien belegt haben, k\u00f6nnen im Darknet alle Arten von personenbezogenen Daten gekauft werden<\/a> \u2013 von gescannten Reisep\u00e4ssen (ab 6 $) bis hin zu Konten von Banking-Apps (ab 50 $).<\/p>\n

Professionelle Datensammler<\/h3>\n

Doxer outsourcen manchmal einen Teil ihrer Arbeit an sogenannte Datenbroker<\/em>. Das sind Unternehmen, die personenbezogene Daten aus unterschiedlichen Quellen sammeln. Die Dienste der Datenbroker werden nicht nur von Kriminellen in Anspruch genommen \u2013 auch Banken, Marketingb\u00fcros und Recruitment-Agenturen kaufen Daten bei den Brokern. Leider ist es manchen Datenbrokern v\u00f6llig egal, an wen sie die Daten verkaufen.<\/p>\n

So handeln Sie richtig, wenn Ihre Daten geleaked wurden<\/h2>\n

Bei einem Interview mit Wired<\/em>, empfahl<\/a> Eva Galperin, Director of Cybersecurity bei der Electronic Frontier Foundation, dass bei Missbrauch von personenbezogenen Daten das Opfer sich mit den sozialen Netzwerken in Verbindung setzen sollte, auf denen die Doxer die Informationen ver\u00f6ffentlicht haben. Laut ihrem Tipp, ist es am besten mit dem Kundenservice oder dem technischen Support zu beginnen. Die Ver\u00f6ffentlichung von privaten Informationen, ohne die Einwilligung des Datenbesitzers, verst\u00f6\u00dft in der Regel gegen die Nutzungsbedingungen. Auch wenn dadurch das Problem nicht vollst\u00e4ndig gel\u00f6st wird, kann zumindest ein Teil des potenziellen Schadens einged\u00e4mmt werden.<\/p>\n

Galperin empfiehlt au\u00dferdem nach einem Angriff die Konten in den sozialen Netzwerken zumindest vor\u00fcbergehend zu sperren. Genau wie bei anderen Ma\u00dfnahmen nach einer Datenschutzverletzung, ist der bereits zugef\u00fcgte Schaden nicht mehr r\u00fcckg\u00e4ngig zu machen, aber immerhin k\u00f6nnen die Nerven geschont und unangenehme Situationen im Internet vermieden werden.<\/p>\n

\u00a0<\/p>\n

So sch\u00fctzen Sie sich vor Doxing<\/h2>\n

Es ist zweifellos besser die M\u00f6glichkeiten eines Datenlecks einzuschr\u00e4nken, als sich den Folgen stellen zu m\u00fcssen. Cyberimmunit\u00e4t ist allerdings nicht leicht zu erreichen. Beispielsweise hat man quasi keinen Einfluss auf Datenbankdumps oder Leaks bei Datenbanken der Regierung oder der sozialen Netzwerke. Allerdings ist es m\u00f6glich die Arbeit der Doxer zu erschweren.<\/p>\n

Geben Sie keine Geheimnisse im Internet preis<\/h3>\n

Halten Sie Ihre personenbezogenen Daten (soweit wie m\u00f6glich) vom Internet fern, besonders Ihre Adresse, Telefonnummer und Fotos. Vergewissern Sie sich, dass die Fotos, die Sie ver\u00f6ffentlichen, weder Geotags<\/a> noch andere private Informationen<\/a> enthalten.<\/p>\n

\u00dcberpr\u00fcfen Sie die Einstellungen Ihrer Konten bei sozialen Netzwerken<\/h3>\n

Wir empfehlen Ihnen bei den Einstellungen der sozialen Netzwerke und anderen Services strenge Privatsph\u00e4re zu w\u00e4hlen. Gew\u00e4hren Sie nur Ihren Freunden Zugang zu Ihrem Profil und \u00fcberpr\u00fcfen Sie regelm\u00e4\u00dfig Ihre Freundeslisten. Sie k\u00f6nnen die Schritt-f\u00fcr-Schritt-Anleitung verwenden, die auf unserem Portal \u201ePrivacy Checker\u201c<\/a> zu finden ist, um \u00fcber die richtigen Einstellungen bei den sozialen Netzwerken und bei anderen Services mehr Privatsph\u00e4re zu gewinnen.<\/p>\n

Sch\u00fctzen Sie Ihre Konten vor Hackern<\/h3>\n

Ein einmaliges Passwort f\u00fcr jedes Konto zu erstellen kann recht m\u00fchsam sein (obwohl es auch einfache Alternativen f\u00fcr die Passwortverwaltung<\/a> gibt). Jedenfalls ist es wichtig auf der sicheren Seite zu sein. Wenn Sie immer das gleiche Passwort verwenden und dieses bei einem der Services geleaked<\/a> wird, dann helfen auch die strengsten Privatsph\u00e4re-Einstellungen nichts.<\/p>\n

Wir empfehlen die Verwendung eines Passwort Managers. Unsere L\u00f6sung, Kaspersky Password Manager<\/a>\u00a0speichert nicht nur die Passw\u00f6rter, sondern auch die Websites und Services auf die Sie mit Ihren Anmeldedaten zugreifen. Der gro\u00dfe Vorteil an dieser L\u00f6sung ist, dass Sie sich nur an einen Masterkey erinnern m\u00fcssen. Dar\u00fcber hinaus raten wir, wann immer m\u00f6glich, f\u00fcr zus\u00e4tzlichen Schutz die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren.<\/p>\n\n

Richtiger Umgang mit Konten bei Drittanbietern<\/h3>\n

Soweit wie m\u00f6glich sollten Sie es vermeiden sich bei Websites \u00fcber Ihr Social-Media-Account oder andere Konten anzumelden, die echte Daten \u00fcber Sie enthalten. Indem Sie die Konten miteinander verkn\u00fcpfen, ist es einfacher Ihre Online-Aktivit\u00e4ten zu verfolgen \u2013 beispielsweise k\u00f6nnen Ihre Kommentare mit Ihrem Namen in Verbindung gebracht werden.<\/p>\n

Dieses Problem k\u00f6nnen Sie vermeiden, indem Sie mindestens zwei E-Mail-Konten anlegen: Ein Konto mit Ihrem echten Namen und eins, das Sie f\u00fcr Websites verwenden, auf denen Sie es vorziehen anonym zu bleiben. Es ist auch sinnvoll, einen einmaligen Spitznamen f\u00fcr jede Seite zu erfinden \u2013 damit erschweren Sie das Sammeln von Informationen \u00fcber Ihre Internetpr\u00e4senz.<\/p>\n

Legen Sie eine Datensammlung \u00fcber sich selbst an<\/h3>\n

Sie k\u00f6nnen Ihren eigenen Datenfu\u00dfabdruck pr\u00fcfen und mehr \u00fcber den Status Ihrer Online-Privatsph\u00e4re herausfinden, wenn Sie in die Rolle des Doxers schl\u00fcpfen und das Internet nach Informationen \u00fcber sich selbst durchforschen. Mit diesem Privatsph\u00e4recheck k\u00f6nnen Sie herausfinden, welche potenziellen Datenschutzprobleme es bei Ihren Konten in den sozialen Medien geben k\u00f6nnte und welche Informationen \u00fcber Sie im Internet zu finden sind. Anhand der gefundenen Informationen k\u00f6nnen Sie die jeweiligen Quellen aufsp\u00fcren und ggf. unerw\u00fcnschte Informationen l\u00f6schen. F\u00fcr eine passive \u00dcberwachung k\u00f6nnen Sie auch Ihren Namen im Tool Google Alerts<\/a> angeben, um \u00fcber jegliche Suchergebnisse, die Ihren Namen enthalten, informiert zu werden.<\/p>\n

L\u00f6schen Sie Informationen \u00fcber sich selbst<\/h3>\n

Sie k\u00f6nnen jeglichen Versto\u00df gegen den Schutz Ihrer Daten melden und die Betreiber von Suchmaschinen und sozialen Netzwerken darum bitten, Ihre Daten zu l\u00f6schen. Hier finden Sie detaillierte Informationen zum Melden von Datenschutzverst\u00f6\u00dfen auf Google<\/a>, Facebook<\/a> und Twitter<\/a>.<\/p>\n

In den Benutzungsbedingungen der sozialen Netzwerke und anderer Dienstleistungen ist in der Regel die unbefugte Ver\u00f6ffentlichung von personenbezogenen Daten untersagt. Allerdings ist es in manchen F\u00e4llen erforderlich, die Strafverfolgungsbeh\u00f6rden miteinzubeziehen, um die Situation in Griff zu bekommen.<\/p>\n

Legale Datenbroker l\u00f6schen normalerweise personenbezogene Daten auf Anfrage. Leider gibt es so viele von diesen Unternehmen, das es quasi unm\u00f6glich ist, die Informationen bei allen l\u00f6schen zu lassen. Es gibt aber auch Agenturen und Dienstleistungsanbieter, die beim L\u00f6schen des digitalen Fu\u00dfabdrucks behilflich sein k\u00f6nnen. Versuchen Sie ein Gleichgewicht aus Bequemlichkeit, Sorgf\u00e4ltigkeit und Kostenaufwand zu finden, das Ihren Anspr\u00fcchen gerecht wird.<\/p>\n

Praktische Tipps<\/h2>\n

Man kann jeder Zeit und ohne offensichtlichen Grund dem Doxing zum Opfer fallen. Diese Tipps helfen Ihnen dabei, Ihre Online-Privatsph\u00e4re effektiver zu sch\u00fctzen:<\/p>\n