Unter Doxing (oder auch Doxxing) wird grundsätzlich das intensive und systematische internetbasierte Zusammentragen und anschließende Veröffentlichen sensibler privater Daten verstanden. Das Ziel ist, die betroffene Person zu beeinflussen, einzuschüchtern, zu erpressen, zu mobben oder die privaten Informationen für einen Social Engineering Angriff zu verwenden.
Der Name Doxing leitet sich aus den englischen Ausdrücken „Docs“ für Dokumente und „Tracing“ für Verfolgung ab.
Doxing erfolgt in der Regel in drei Schritten:
Informationsbeschaffung: In einem ersten Schritt werden systematisch und intensiv private Daten der Zielperson gesammelt. Private Daten sind zum Beispiel: vollständiger Name, Geburtsdatum, private Telefonnummern, Anschriften (Wohnort, Arbeitsplatz usw.) E-Mail-Adressen, Dokumente, Chatverläufe, Bilder, Informationen über und von Familienmitgliedern, Freunden, Nachbarn oder Informationen über berufliche und ehrenamtliche Tätigkeiten. Diese privaten Daten werden aus öffentlich zugänglichen Onlinedatenbanken, Webseiten, sozialen Medien, Foreneinträge, Archiven (Webseiten zu verschiedenen Zeitpunkten), Online-Spielen usw. entnommen. Diese Daten hat entweder die betroffene Person selbst eingestellt oder aber auch eine Person aus dem Umfeld wie Ehepartner, Kinder, Freunde, Nachbarn, Bekannte, Kollegen usw. Aber auch der Zugriff auf schlecht gesicherten E-Mail- und Social-Media-Konten wird genutzt, wenn der Zugriff einfach ist. Je freizügiger Personen mit ihren privaten Daten umgehen, desto einfacher ist es, diese privaten Daten auch zu sammeln.
Veröffentlichung: Die so gesammelten privaten Daten werden anschließend im Internet veröffentlicht oder es wird gedroht, diese zu veröffentlichen, um den Betroffenen zu kompromittieren. Da diese Daten das Privatlebens von Personen darstellen, lässt sich damit potenziell ein großer Schaden anrichten.
Reaktion: Wenn gesammelte private Daten veröffentlicht werden, können daraus negative Konsequenzen folgen. Beispiele: Wenn die Privatdresse einer Person bekannt ist, kann ein Angreifer ihr wahllos Gegenstände liefern lassen wie etwa Sexspielzeug. Mit Kreditkartendaten ist es möglich auf Kosten anderer einzukaufen. Persönliche Bilder können durch Fotomontagen pornografisch „aufgearbeitet“ und veröffentlicht werden. Veröffentlichte private Daten können auch von Dritten etwa Feinden, missgünstigen Kollegen oder Andersdenkenden zur Rufschädigung missbraucht werden.
Mögliche Folgen von Doxing
Nicht nur ein potenzieller Imageschaden der betroffenen Person ist ein Problem. Doxing kann auch zu einer großen Verunsicherung und generellem Misstrauen gegenüber dem Umfeld führen. Daraus resultierende Ängste und ein permanentes Bedrohungsgefühl können zu einem kompletten Rückzug aus der Öffentlichkeit oder dem sozialen Umfeld führen.
Motive für Doxing
Die Motive für Doxing können sehr unterschiedlich sein, Beispiele sind:
Die Motive der Täter sind vielfältig, teilweise wollen sie Menschen unter Druck setzen, zum Schweigen bringen oder zu bestimmten Handlungen motivieren – um nur einige zu nennen.
Erpressung Mit den gesammelten privaten Daten können Personen zum Beispiel erpresst werden. Die Person soll eine bestimmte Summe zahlen oder bestimmte Handlungen vornehmen, damit peinliche Details aus dem Privatleben nicht veröffentlicht werden. Wenn die Person nicht darauf eingeht, werden die privaten Daten veröffentlicht.
Politische und gesellschaftliche Einflussnahme Die privaten Informationen ermöglichen es dem Täter, eine Person an den Pranger zu stellen, einzuschüchtern oder zu enttarnen, falls er unter einem Pseudonym auftritt. Für Personen, die in ihrem Land wegen ihrer politischen, religiösen oder sexuellen Überzeugung verfolgt werden, kann die Enthüllung ihrer wahren Identität oder Adresse lebensbedrohlich sein. Aber auch für Personen des öffentlichen Lebens ist die Veröffentlichung privater Daten äußerst unangenehm oder teilweise gefährlich.
Mobbing Mobbing ist eine weitere Motivation des Doxing. Mit den gesamten privaten Daten können zum Beispiel Personen bloßgestellt werden. Die Intention dahinter kann aus einem Rachebedürfnis oder anderen persönlichen Gründen resultieren.
Spieltrieb Es gibt auch Täter, die Doxing als Wettbewerb ansehen und nur zeigen wollen, dass es möglich ist. Je bekannter die kompromittierte Person ist, umso erfolgreicher und cooler ist der Täter.
Basis für Social Engineering Auf der Basis der gesammelten Daten kann mithilfe von Social Engineering eine Beeinflussung auf zwischenmenschlicher Ebene durchgeführt werden. Das Ziel dabei ist, bei Personen bestimmte Verhaltensweisen zu initiieren, etwa eine Person zur Preisgabe von vertraulichen Informationen (Nutzerkennung, Passworte, Kreditkateninformationen usw.) zu bewegen.
Schutz vor Doxing
Jeder Nutzer sollte sich genau überlegen, welche Daten er in Foren, sozialen Medien, Online-Spielen usw. tatsächlich veröffentlichen möchte. Wichtig ist, auch die genutzten sozialen Medien und weitere Internet-Dienste möglichst bezüglich der Privatsphäre, so restriktiv als möglich einzustellen, damit die privaten Daten besser geschützt sind. Dieser Grundsatz der Datensparsamkeit sollte ebenso für Ehepartner, Kinder, Freunde, Nachbarn, Bekannte und Kollegen gelten, damit diese keine private Daten von einem selbst veröffentlichen, denn sie stehen ebenfalls im Visier der Angreifer.
Unter Doxing wird das systematische internetbasierte Zusammentragen und anschließende Veröffentlichen sensibler privater Daten einer Person verstanden. Ziel ist, z. B. die betroffene Person zu beeinflussen, einzuschüchtern, zu erpressen oder zu mobben.
Author
Prof. Norbert Pohlmann
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Doxing Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten