Outing von Kriminellen durch „Doxing“: Detektivspielen im Internet
Auch Kriminelle verschleiern im Netz oft ihre Identität. Immer wieder werden sie von Aktivisten enthüllt – mit frei verfügbaren Informationen.
BERLIN taz | Betreibt Mark S. aus Ostaustralien eine „Racheporno“-Website? Bis vor Kurzem konnte man auf der Seite „Whozacunt.com“ noch die Nacktbilder von fremden Menschen begutachten, die sehr wahrscheinlich ohne ihre Erlaubnis veröffentlicht wurden. Dann nannte der Jurist und Blogger Adam Steinbaugh Mark S. als den mutmaßlichen Betreiber – und die Seite wurde vom Netz genommen.
Dass „Whozacunt.com“ offline ist, ist nicht Steinbaughs erster Erfolg. Er beschreibt sich selbst als jemanden mit „einer Fähigkeit und zu viel Zeit“, der sich eine „Racheporno“-Seite nach der anderen vorknöpft. „Ich finde es witzig, Menschen bloßzustellen, die andere auf ziemlich üble Weise bloßstellen“, sagt Steinbaugh taz.de.
Steinbaugh wendet dabei eine weitverbreitete aber ambivalente Technik an: das Doxing, der Veröffentlichung von Kontaktinformationen (Dokumente, kurz Docs oder Dox) über Fremde oder politische Gegner. Anonymous-Aktivisten veröffentlichen so Daten über Gegner oder Polizisten, berüchtigt sind auch die Jagden auf Tierquäler aus Onlinevideos – manchmal mit verheerenden Auswirkungen für Unbeteiligte –, und auf „Racheporno“-Seiten werden die Nacktbilder von Frauen (und manchen Männern) zusammen mit Kontaktdaten veröffentlicht.
Allerdings unterscheiden sich die Methoden der verschiedenen Doxer erheblich: Während „Racheporno“-Sitebetreiber ihre Daten oft stehlen, gehen Aktivisten wie Steinbaugh deutlich vorsichtiger vor. „Meistens weiß ich schon innerhalb von 30 Minuten, wer hinter einer Seite stecken könnte“, sagt Steinbaugh. „Aber dann dauert es Monate, bis ich alles so abgesichert habe, dass ich sie konfrontieren kann.“
Spurensuche durch das Netz
In diesen Monaten analysiert er die Pseudonyme, Serveradressen und anonyme Mailkonten, verfolgt vage Spuren durchs Netz, bis diese einen Hinweis auf die wahre Identität des Gesuchten preisgeben. Die Informationen sind meist frei zugänglich im Netz zu finden. Die Anmelder einer Website können zwar über „Whois“-Dienste abgerufen werden, sind aber oft durch Registrierungsfirmen verschleiert. Pseudonyme werden in Foren nachverfolgt, um zu sehen, ob die Person da Informationen preisgegeben haben. Oft führt eine Information zur nächsten.
So beispielsweise bei Mark S.: Seine Whois-Einträge verwiesen auf bestimmte Pseudonyme, mit denen auch andere Websites angemeldet worden waren. Mit einem dieser Pseudonyme postete S. eine Mailadresse, die er wiederum auch für seine Webdesign-Firma nutzte. So kamen Psaudonym und der echte Name des Webdesigners zusammen.
Ähnlich geht auch der Sicherheitsforscher Brian Krebs vor, der so regelmäßig Hacker identifiziert. Auch er nutzt Whois-Einträge, wertet Hackerforen aus und sucht inzwischen abgemeldete Websites über den Dienst Archive.org ab. In einer Grafik stellte er im Dezember 2013 den komplexen Weg zwischen Pseudonym und tatsächlichem Namen eines Hackers dar.
„Nicht die Hellsten“
Die Gesuchten geben sich häufig kaum Mühe dabei, ihre Identität zu verbergen. „Ich bin eher überrascht, wenn es einem mal gelingt, seine Identität geheim zu halten“, sagt Steinbaugh. „Die Betreiber von Racheporno-Seiten sind meistens nicht die Hellsten.“ Er verweist auf einen Mann, der die Racheporno-Seite sowie eine Website für seine Mutter auf demselben Server und mit derselben Kreditkarte betrieb.
Bei Mark S. gibt es noch ein wenig Restrisiko: Auf eine Anfrage von taz.de schreibt er, ein ehemaliger Geschäftspartner habe ihm vor drei Jahren die digitale Identität geklaut und die Ehefrau ausgespannt und agiere seitdem in seinem Namen. Steinbaugh will den Anschuldigungen nachgehen, ist aber noch nicht überzeugt, denn kurz nachdem sein Blogeintrag öffentlich wurde, ging „Whozacunt.com“ offline und die Daten, die auf Mark S. hinwiesen, wurden aus dem Netz gelöscht.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Anschlag in Magdeburg
Vorsicht mit psychopathologischen Deutungen
US-Interessen in Grönland
Trump mal wieder auf Einkaufstour
Täter von Magdeburg
Schon lange polizeibekannt
Abschiebung erstmal verhindert
Pflegeheim muss doch nicht schließen
Insolventer Flugtaxi-Entwickler
Lilium findet doch noch Käufer
+++ Nachrichten im Ukraine-Krieg +++
Slowakischer Regierungschef bei Putin im Kreml