Was bei der Diskussion über Doxing gerade hinten runterfällt

Seit am 4. Januar bekannt wurde, dass hunderte Politiker*innen und andere öffentlich bekannte Personen von Doxing betroffen sind, und seit in der Folge viele zum ersten Mal davon gehört haben, dass es diese Vokabel gibt, reden alle davon: Was es heißt, wenn die eigenen private Daten von anderen eingesehen und veröffentlicht werden.

Es ist unangenehm, peinlich, schmerzhaft. Nichts zu verbergen? Wir erleben gerade, warum das nicht stimmt:

  • weil wegen solcher Daten Freundschaften und Beziehungen kaputt gehen können
  • weil es schnell sehr teuer werden kann, wenn andere auf den eigenen Namen Dinge bestellen und vielleicht auch gleich bezahlen
  • weil Nazis vor der Tür stehen
  • weil Stalker vor der Tür stehen
  • weil gewalttätige Ex-Freunde und -Männer in der Wohnung stehen
  • weil damit erpresst werden kann.

Die IT-Sicherheit, oder auch „Cyber“

In der öffentlichen Diskussion über die ‚Adventskalender-Daten‘ gibt es derzeit (mindestens) drei Stränge: zuerst ging es um die betroffenen Personen, aber sehr schnell entwickelten sich daraus zwei andere Themen: Innenministerium und Sicherheitsbehörden, die das ganze zu einer Erfolgsstory machen, weil sie den Verdächtigen nach wenigen Tagen festgenommen hatten, pushen die übliche Agenda der Inneren Sicherheit: Das ganze sei ein Angriff auf die IT-Sicherheit des Landes, und deswegen brauchen die Behörden, die für IT-Sicherheit zuständig sind, mehr Personal, mehr Geld, mehr Kompetenzen. Erste Forderung, auch von Innenpolitikern der Union, war die nach Hackbacks (also die Erlaubnis, ‚zurückzuhacken‘), wobei völlig unklar bleibt, wogegen das hier geholfen hätte. Das Cyberabwehrzentrum (gibt’s wirklich) kriegt ein ‚Plus‘ und soll erweitert werden. Mehr Speichern, mehr Überwachen, mehr Geheimdienst: wie das aber Böhmermann, Habeck, Sigmar Gabriel und allen anderen geholfen hätte, bleibt offen.

Dazwischen gibt es langsam auch differenziertere Vorschläge etwa zur Produkthaftung und Zertifizierung, ebenfalls keine neuen Themen in der IT-Sicherheit und wenn darüber geredet wird, schadet es jedenfalls nicht.

Die Demokratie

Das zweite Thema: die Bedeutung für Demokratie und Wahlen. Die gibt es, keine Frage, auch wenn sie sich auch nicht unbedingt auf den ersten Blick erschließt. Hier sind wir beim Thema Erpressung: wenn private, intime, unangenehme Informationen über Politiker*innen öffentlich werden bzw. öffentlich werden könnten, dann werden Politiker*innen erpressbar, und das ist allerdings ein großes Problem. Wir erinnern uns kurz an die Snowden-Veröffentlichungen: Da ging es auch um die Gefahr, dass Geheimdienste anderer Staaten Informationen über Politiker*innen sammeln: um sie bei Bedarf zu erpressen. Das findet statt und warum das für Demokratien ein Problem ist, muss nicht erklärt werden. Ich hoffe sehr, dass alle Politiker*innen sich diesen Fall zu Herzen nehmen und besser auf ihre Daten, Bilder, Chats, Kontakte achten. Vermutlich werden uns Informationen aus den Adventskalender-Daten in der nächsten Zeit hier und da in den Medien begegnen.

Das ist natürlich ein wichtiges Thema und mein Eindruck ist, dass in den Medien gerade ein starker Fokus darauf gelegt wird. Schön wäre allerdings, wenn neben den Beteuerungen, dass wir uns hier nicht beeinflussen lassen, genauer nachgeguckt würde, wie und ob die Beeinflussung tatsächlich stattfindet, und was digitale Medien und Plattformen wirklich damit zu tun haben (oder vielleicht doch die Tracking- und Online-Werbeindustrie?).

Die Perspektive der Betroffenen

Worüber aber am wenigsten gesprochen wird, und das ist ist ein Problem: was Doxing für Betroffene im Alltag bedeutet und was nötig wäre, um ihnen angemessen zu helfen. Und damit meine ich prominente wie nicht prominente Betroffene.

Ja, es gibt gerade überall Tips, wie sich alle besser selber schützen: bessere Passwörter, Passwortmanager (Parteien und Fraktions-IT-Abteilungen: Looking at you!), Zwei-Faktor-Authentifizierung: alles gut und wichtig, keine Frage.

Wer dazu konkret mehr wissen will, findet hier gute Tips:

Aber was machen Menschen, bei denen es schon passiert ist? An wen wenden sie sich? Das BSI, von dem gerade so viel die Rede ist, also das ‚Bundesamt für Sicherheit in der Informationstechnik‘ ist jedenfalls nicht zuständig, das bestätigte die Bundesregierung im Dezember in einer Antwort auf eine Kleine Anfrage zum Thema. Unter ‚Cybercrime‘ fällt nicht, wenn normale Menschen betroffen sind: da helfen also auch die Verweise auf die Cybercrime-Fachdienststellen bei Polizei und Staatsanwaltschaften nicht: die kümmern sich um IT-Sicherheit und -Kriminalität bei Unternehmen und in der Wirtschaft, aber nicht darum, wenn bei einzelnen Personen das digitale Innerste nach Außen gekehrt wird.

Mir berichten bis jetzt Anwältinnen von Versuchen, Doxing-Fälle in Berlin bei kompetenten Polizei-Dezernaten anzuzeigen und das Ergebnis ist: Die gibt’s nicht. Der Regelfall ist, dass die zuständigen Beamt*innen nicht verstehen, warum es ein ernstzunehmendes Problem ist, wenn Leute beleidigt, bedroht, besucht werden, wenn Fotos ihrer Wohnorte im Netz auftauchen. Es gibt kein Dezernat o.ä., dass die Fälle sammelt, das überhaupt bemerkt, wenn es Häufungen oder Ähnlichkeiten von Fällen gibt: Das ist auch in der Sondersitzung des Innenausschusses des Bundestages am Donnerstag deutlich geworden, als Innenminister Seehofer und BKA-Chef Münch auf Nachfragen, ob frühere Anzeigen von Betroffenen überhaupt bekannt gewesen seien, nichts sagen konnten.

Es gibt in Deutschland einen Blumenstrauß an ungefähr passenden Gesetzen, aber keins davon erfasst das Problem, wenn private Daten von anderen zu allem möglichen benutzt werden, weil jeder Fall einzeln betrachtet und fast immer eingestellt wird, weil er für sich genommen relativ unbedeutend ist. Zudem in der Regel die Täter nicht ermittelbar sind – wenn sie sich nicht mehr oder weniger selbst outen, so wie es im aktuellen Fall passiert ist. Hier hat ja offensichtlich klassische polizeiliche Ermittlungsarbeit geholfen.

Denn um das klar zu sagen: wir brauchen weiterhin ein Recht auf Anonymität im Netz als digitales Grundrecht, denn es schützt auch und gerade Minderheiten und Dissident*innen, und wir müssen uns weiterhin gegen Massenüberwachung im Netz wehren.

Was fehlt also?

  • Kompetente, leicht zu findende Beratung für Betroffene.
    Das wird schnell unterschätzt: es kostet Zeit und Geld für die Berater*innen, sich zu ständig neuen Risiken und Angriffsformen weiterzubilden, und es ist für Betroffene nicht leicht einzuschätzen, wem sie jetzt noch vertrauen können.
  • Spezialisierte Stellen bei den Polizeien und entsprechende Weiterbildung für alle bei der Polizei, damit Betroffene überhaupt verstanden und an kompetente Polizei-Dienststellen weitergeleitet werden
  • Entsprechende Zuständigkeiten bei den Gerichten, damit nicht nur Unternehmen und kritische Infrastrukturen von den „Cyber“-Staatsanwaltschaften betreut werden
  • Eine Diskussion darüber, wie diese Fälle juristisch behandelt werden sollten: es gibt den Hackerparagrafen 202c des Strafgesetzbuchs (StGB), samt §202a+b, dazu Beleidigung (§ 185 StGB), Bedrohung (§ 241 StGB), Körperverletzung (§ 223 StGB), Nötigung (§ 240 StGB), Nachstellung/Stalking (§ 238 StGB). Darüber hinaus noch das NetzDG als Versuch, gegen Hatespeech vorzugehen, mit den bekannten Problemen, dass die Rechtsdurchsetzung plötzlich von Unternehmen erledigt werden soll, die alles mögliche löschen aus Angst vor Strafe, dafür aber viele reale Bedrohungen stehen lassen.
    Was in Deutschland fehlt: eine gesetzliche Grundlage, auf der dagegen vorgegangen werden kann, wenn Menschen digital bedroht und angegriffen werden, und zwar in der Regel durch eine Kombination der verschiedenen bisherigen Straftatbestände.
  • Statistiken: Niemand weiß, wieviele Fälle von Doxing und daraus folgenden Bedrohungen, Stalkings, Erpressungen es in Deutschland gibt.
  • Vor allem fehlt ein Verständnis dafür, welche Folgen Doxing für einzelne hat: Es macht Angst, es führt dazu, dass sie sich aus der Öffentlichkeit zurückziehen, niemandem mehr trauen, vielleicht umziehen, ihren Job kündigen, es kostet zum Teil sehr viel Geld.
  • Und, ja: Bildung. Sobald Menschen mit Smartphones und Tablets in Kontakt kommen, müssen sie auch Zugang zu Informationen haben, dass und wie sie sich sinnvoll schützen müssen: also ab der Kita. In Schulen sollte das zum Standardprogramm gehören – lange vor, oder besser anstelle der ewigen Übungen mit Powerpoint und Word-Formatierungen.

Dgitalisierung aus der Perspektive der Nutzer*innen

Was wir brauchen, ist auch eine neue Diskussion darüber, was Digitalisierung bedeutet, und zwar mit der Perspektive auf die Menschen, und nicht auf Produkte und Unternehmen. Das klingt für einige vielleicht altbacken und etwas antikapitalistisch, aber dass die neoliberale Perspektive ‚Unternehmen first, Menschen second‘ gerade mal wieder deutlich an ihre Grenzen gestoßen ist, haben vielleicht doch alle in den letzten Tagen gesehen.

Was meine ich damit? Wir tragen alle Mobilgeräte herum, die uns viel abnehmen und deswegen viel über uns wissen. Wir bekommen ständig attraktive, bequeme Angebote für Apps, die uns das Leben erleichtern: von der Bahn, der Bank, Online-Shopping, Apotheke, Fluglinien, To-Do-Listen, Kalender usw. usf. Die meisten dieser Dienste sind schlecht abgesichert und wenn sie dann wem anders in die Hände fallen, ist es zu spät. Wir sollen demächst unsere vollständigen Gesundheitsdaten per App speichern und herumtragen, und wenn es läuft wie geplannt, dann werden wir nicht die Wahl haben, ob wir da mitmachen.

Natürlich ist das praktisch und ja, die Digitalisierung findet statt und wird nicht mehr weggehen. Nur fehlt in der Diskussion darüber fast immer die Perspektive der Leute, die keine Profis sind, die nicht den ganzen Tag Zeit haben, über IT-Sicherheit nachzudenken und die mit den Folgen fertig werden müssen, wenn ihre Daten von anderen geklaut werden. Das ist nicht trivial: das sehen wir gerade, darüber muss geredet werden und für diese Menschen müssen Lösungen her – und damit meine ich nicht bessere Passwortmanager.

Leider geht diese Perspektive in den aktuellen Debatten schon wieder unter, dabei können wir alle davon betroffen sein – vielleicht wissen wir es nur noch nicht.

 

Bild: Mikail Hukuna / pixabay.com

35C3: Digitale Gewalt gegen Frauen

Damit’s leicher zu finden ist, auch hier das Video vom meinem Talk „Stalking, Spy Apps, Doxing: Digitale Gewalt gegen Frauen“ letzte Woche beim 35. Chaos Communication Congress.

Weil es Nachfragen gab, hier die verschiedenen Materialien, auf die ich mich im Talk bezogen habe, quasi die Literaturliste.

Die Dokumente und Websites, die ich im Talk erwähnt habe:

Es gibt natürlich noch viel mehr, hier eine Auswahl:

Konkrete Tips und Hilfe für Betroffene

Artikel dazu

Weitere Studien etc.

Sonst noch

Polizei:
Es kann in bestimmten Fällen sinnvoll sein, die Polizei zu kontaktieren.
Es empfiehlt sich in jedem Fall, vorher mit einer Anwältin zu sprechen, die auf Sexualstraf- und/oder IT-Recht spezialisiert ist, am besten aber mit einer Frauenberatungsstelle.

Ergänzungen gern als Kommentar oder per Mail. Feedback zum Talk genauso, und gern auch direkt an das Content-Team des CCC.