9,7 GB Daten der Seitensprungseite Ashley Madison sollen es sein, die gestern im sog. „Dark Web“ von Hackern mit dem Namen „The Impact Team“ hochgeladen wurden. Schon seit Juli ist bekannt, dass sie offensichtlich weitgehenden Zugriff auf die Server der kanadischen Firma Avid Life Media hatten, die neben Ashley Madison auch Cougar Life und Established Men betreibt – dort können erheblich ältere Frauen und Männer nach jungen, mehr an Zuwendung denn Zuneigung interessierten Menschen suchen. Einen sonderlich guten Ruf hatten die Seiten trotz des unbestrittenen kommerziellen Erfolges noch nie: So sollen Frauenprofile für die meist männlichen, für den Kontakt zahlenden Nutzer erfunden worden sein, und zusätzlich verlangte man Gebühren, wenn die Daten der Nutzer nach Ende der Mitgliedschaft wirklich gelöscht werden sollen.
Angeblich soll diese Geschäftspraxis und die vermutete Speicherung der Daten trotz Bezahlung der Anlass für die Hacker gewesen sein, den Angriff durchzuführen und danach die Schliessung der Seiten zu fordern – oder sie würden die Daten veröffentlichen. Avid Life Media gab den Zugriff zu, leitete Ermittlungen ein, die bislang ohne Ergebnis blieben, und bot Nutzern nun wenigstens an, ihre Profile kostenlos zu löschen. Das war zu spät, wenn es sich jetzt um die echten Daten handelt, die sich im Internet gerade in Windeseile verbreiten. Es gibt noch keine Bestätigung seitens der bestohlenen Firma, die im Moment noch prüft, und zumindest behauptet, die kompletten Kreditkartennummern der Kunden könnten nicht gestohlen sein. Das hindert Nutzer nicht daran, sich durch die Daten zu wühlen. Neben Emailadressen sollen sie auch zuweisbare sexuelle Vorlieben und andere persönliche Details enthalten – also ziemlich genau das, was man in der Öffentlichkeit nicht lesen will. Erleichterung für die mutmasslich Betroffenen gibt es kaum: Avid Life Meia geht zwar aktiv mit Takedownforderungen gegen Seiten vor, die Material veröffentlichen, und bislang gibt es keine Version wie etwa Wikileaks, die das einfache Durchsuchen für Jedermann erlauben würde. Trotzdem ist der Schaden immens, und am generellen Problem, dass die Daten jetzt für jeden technisch halbwegs versierten Laien nutzbar sind, ändert das auch nichts mehr.
UPDATE: Inzwischen gibt es eine weitere Datensammlung, und diesmal enthält sie auch angebliche Emails des Chefs von Avid Life Media. Die Wahrscheinlichkeit, dass es sich bei den Daten um die echten Ergebnisse des Einbruchs handelt, ist inzwischen sehr hoch /UPDATE
Über dreissig Millionen Nuzerkonten sollen betroffen sein, und eine erste Durchsicht hat ergeben, dass die Kanadier nicht eben sorgfältig gearbeitet haben: Vermutlich konnte man Anmeldeversuche auch mit Emailadressen anderer Leute unternehmen – und auch die sind jetzt öffentlich. Es gibt es keine Garantie, dass sie also wirklich von den Besitzern der Emailadressen erzeugt wurden. Behauptungen im Netz, der Vorfall dürfte für eine Vielzahl von Scheidungen sorgen, sind möglicherweise überzogen. Aber gleichzeitig ist Ashley Madison auch aus Ländern nutzbar, die Ehebruch noch unter Strafe stellen. Experten sind sich weitgehend einig, dass das Material durchaus für Scheidungskriege, Erpressungsversuche und Konflikte in der Firma genutzt werden kann.
Und das mit Material, das bis zu sieben Jahre alt sein soll. Sieben Jahre sind eine lange Zeit, da kann sich im Leben von Menschen viel geändert haben. Krisen können überwunden werden und Partnerschaften gefestigt, Begierden und Neugier können nachlassen, und das Strafrecht kennt aus guten Gründen in der westlichen Zivilisation das Mittel der Verjährung: Man geht in der öffentlichen Meinung einfach davon aus, dass nach einer vergleichsweise längeren Zeit sich die Sache schon irgendwie wieder eingerenkt hat. Die bösartige Lust, mit der im Moment die Daten nach Adressen von Regierungs- und Bankmitarbeitern durchwühlt werden, zeigt leider, dass dieses Prinzip hier wohl kaum Anwendung finden wird: auch wenn die Daten aus einer klar illegalen und obendrein moralisch verwerflichen Quelle stammen, werden sie gezielt genutzt. Nicht nur von den Rabauken von 4chan, sondern auch von Medien, die über bekannte Namen „zufällig“ bei der Recherche stolpern. Natürlich sind die Lacher gross, wenn der Name eines bekannten Hollywood-Aktivisten für Familienwerte auftaucht. Die meisten Betroffene jedoch sind Privatpersonen.
Was nur zeigt, dass die alte Befürchtung der Datenschützer richtig ist: Wenn Daten erst mal öffentlich zugänglich sind, werden sie nach Möglichkeit auch hemmungslos missbraucht. Bei Twitter gerade eben;
Should I write a script that goes through my parent’s facebook friends and matches them with ashley madison accounts? Does FB have an API?
Da will also einer ein Programm schreiben, das den persönlichen Facebook-Freundeskreis seiner Eltern mit den Daten aus dem Hack automatisch abgleicht. Der hier macht vermutlich nur einen Witz, aber genug andere werden genau an solchen Projekten arbeiten. Ein bekanntes amerikanisches Medienunternehmen veröffentlicht einen Beitrag mit dem scheinheiligen Titel
How to Check if You or a Loved One Were Exposed in the Ashley Madison Hack
Und wie der erfolgreiche Angriff auf die IT des Bundestages zeigt, kann es nicht nur Leute einer offensichtlich nachlässigen Sexseite treffen, sondern auch Kernbereiche des Staates, in denen so etwas nicht passieren dürfte, aber wohl nicht nur von Seiten der NSA und ihrer Helfer getan wird. Es gibt noch genug andere Seiten, die ähnlich sensibles Material enthalten: Tinder, Okcupid, und unzählige Seiten, die mit Sex und Pornographie gute Geschäfte machen. Und Daten besitzen, deren Erzeuger nichts verbrochen haben. Aber trotzdem viel zu befürchten.
Gute Security ist sehr teuer und trotzdem keine Garantie dafür, dass die Daten nicht irgendwann im Netz landen. Natürlich gibt es Nutzer, denen es nichts ausmacht, deren Profil bei Sklavenseite öffentlich ist, und die mit ihrem okcupid-Account öffentlich Fragen beantworten, die erstaunlich offenherzig sind. Das liegt in der Eigenverantwortung der Menschen, auch wenn man anhand der jetzt zugänglichen Daten sehen kann, wie gering das Problembewusstsein der Nutzer ausgeprägt ist. Ein anderer Aspekt ist die Frage, was mit Daten geschieht, die scheinbar von den Mitgliedern eine Community „gelöscht“ werden: Werden sie dennoch aufbewahrt, können sie auch langfristig Hackern zum Opfer fallen, oder wer auch immer ihrer habhaft wird. Das Prinzip des „Rechts auf Vergessen“, das Internetfirmen eher abgelehnt wird, dürfte den Betroffenen des Falles schlagartig einleuchten.
Eine Warnung ist der Fall auch für die Pläne des Familienministeriums, ein sog. „Prostituiertenschutzgesetz“ einzuführen, das eine Zwangsregistrierung bei Landesbehörden je nach Gusto der Bundesländer beinhaltet. „Da kann nichts passieren“ war auch die Meinung bei der Bundestags-IT und bei Ashley Madison – derartige Daten können im Deutschland der Gegenwart für Politiker vielleicht sinnvoll erscheinen. Aber für Ausländer, in deren Heimatstaaten Prostitution verboten ist und bestraft wird, ist es das gleiche Bedrohungsszenario wie Ashley Madison für Bewohner von Ländern, die Ehebruch und Seitensprünge immer noch unter Strafe stellen. Und für alle, die mit gutem Datenschutzrecht finden, dass ihre Tätigkeit und Sexualität ihre Privatsache ist und nicht an die Öffentlichkeit gehört.
In einer rationalen und sexuell aufgeklärten Welt wäre der ganze Vorfall vermutlich lapidar, zumal sich die Interessen der Nutzer eher im normalen Bereich des üblichen Ehebruchs bewegen. Leider sind wir davon aber noch weit entfernt, und nicht auszuschliessen ist, dass derartige Vorfälle in Zukunft auch von Gruppierungen herbeigeführt werden, die Daten dann auch für ihre Ziele missbrauchen: Gegen politische Gegner, gegen Menschen mit anderen Auffassungen, für Erpressung und Einflussnahme, zur Rufschädigung oder auch einfach nur für den innerschulischen Zickenkrieg. Der Respekt vor der sexuellen Identität des anderen ist jedenfalls, so kann man es aktuell im Netz nachlesen, auch im aufgeklärten Westen exakt gleich Null.
Nur vor diesem Hintergrundwissen sollte man seine Daten dem Netz anvertrauen.