Outing von Kriminellen durch „Doxing“: Detektivspielen im Internet

Auch Kriminelle verschleiern im Netz oft ihre Identität. Immer wieder werden sie von Aktivisten enthüllt – mit frei verfügbaren Informationen.

Im Netz Spuren zu verfolgen, ist nicht ganz einfach. Bild: dpa

BERLIN taz | Betreibt Mark S. aus Ostaustralien eine „Racheporno“-Website? Bis vor Kurzem konnte man auf der Seite „Whozacunt.com“ noch die Nacktbilder von fremden Menschen begutachten, die sehr wahrscheinlich ohne ihre Erlaubnis veröffentlicht wurden. Dann nannte der Jurist und Blogger Adam Steinbaugh Mark S. als den mutmaßlichen Betreiber – und die Seite wurde vom Netz genommen.

Dass „Whozacunt.com“ offline ist, ist nicht Steinbaughs erster Erfolg. Er beschreibt sich selbst als jemanden mit „einer Fähigkeit und zu viel Zeit“, der sich eine „Racheporno“-Seite nach der anderen vorknöpft. „Ich finde es witzig, Menschen bloßzustellen, die andere auf ziemlich üble Weise bloßstellen“, sagt Steinbaugh taz.de.

Steinbaugh wendet dabei eine weitverbreitete aber ambivalente Technik an: das Doxing, der Veröffentlichung von Kontaktinformationen (Dokumente, kurz Docs oder Dox) über Fremde oder politische Gegner. Anonymous-Aktivisten veröffentlichen so Daten über Gegner oder Polizisten, berüchtigt sind auch die Jagden auf Tierquäler aus Onlinevideos – manchmal mit verheerenden Auswirkungen für Unbeteiligte –, und auf „Racheporno“-Seiten werden die Nacktbilder von Frauen (und manchen Männern) zusammen mit Kontaktdaten veröffentlicht.

Allerdings unterscheiden sich die Methoden der verschiedenen Doxer erheblich: Während „Racheporno“-Sitebetreiber ihre Daten oft stehlen, gehen Aktivisten wie Steinbaugh deutlich vorsichtiger vor. „Meistens weiß ich schon innerhalb von 30 Minuten, wer hinter einer Seite stecken könnte“, sagt Steinbaugh. „Aber dann dauert es Monate, bis ich alles so abgesichert habe, dass ich sie konfrontieren kann.“

Spurensuche durch das Netz

In diesen Monaten analysiert er die Pseudonyme, Serveradressen und anonyme Mailkonten, verfolgt vage Spuren durchs Netz, bis diese einen Hinweis auf die wahre Identität des Gesuchten preisgeben. Die Informationen sind meist frei zugänglich im Netz zu finden. Die Anmelder einer Website können zwar über „Whois“-Dienste abgerufen werden, sind aber oft durch Registrierungsfirmen verschleiert. Pseudonyme werden in Foren nachverfolgt, um zu sehen, ob die Person da Informationen preisgegeben haben. Oft führt eine Information zur nächsten.

So beispielsweise bei Mark S.: Seine Whois-Einträge verwiesen auf bestimmte Pseudonyme, mit denen auch andere Websites angemeldet worden waren. Mit einem dieser Pseudonyme postete S. eine Mailadresse, die er wiederum auch für seine Webdesign-Firma nutzte. So kamen Psaudonym und der echte Name des Webdesigners zusammen.

Ähnlich geht auch der Sicherheitsforscher Brian Krebs vor, der so regelmäßig Hacker identifiziert. Auch er nutzt Whois-Einträge, wertet Hackerforen aus und sucht inzwischen abgemeldete Websites über den Dienst Archive.org ab. In einer Grafik stellte er im Dezember 2013 den komplexen Weg zwischen Pseudonym und tatsächlichem Namen eines Hackers dar.

„Nicht die Hellsten“

Die Gesuchten geben sich häufig kaum Mühe dabei, ihre Identität zu verbergen. „Ich bin eher überrascht, wenn es einem mal gelingt, seine Identität geheim zu halten“, sagt Steinbaugh. „Die Betreiber von Racheporno-Seiten sind meistens nicht die Hellsten.“ Er verweist auf einen Mann, der die Racheporno-Seite sowie eine Website für seine Mutter auf demselben Server und mit derselben Kreditkarte betrieb.

Bei Mark S. gibt es noch ein wenig Restrisiko: Auf eine Anfrage von taz.de schreibt er, ein ehemaliger Geschäftspartner habe ihm vor drei Jahren die digitale Identität geklaut und die Ehefrau ausgespannt und agiere seitdem in seinem Namen. Steinbaugh will den Anschuldigungen nachgehen, ist aber noch nicht überzeugt, denn kurz nachdem sein Blogeintrag öffentlich wurde, ging „Whozacunt.com“ offline und die Daten, die auf Mark S. hinwiesen, wurden aus dem Netz gelöscht.