Der Hacker-Angriff hat Hunderte Personen des öffentlichen Lebens betroffen, darunter auch Bundeskanzlerin Angela Merkel (CDU). Aus dem Kanzleramt selbst seien jedoch keine sensiblen Daten abgeflossen, sagte die stellvertretende Regierungssprecherin Martina Fietz am Freitag.

Zu den Opfern des Datenklaus gehören neben der Kanzlerin auch andere hochrangige Politiker wie Bundespräsident Frank-Walter Steinmeier, einige Bundesminister, SPD-Chefin Andrea Nahles und Niedersachens Ministerpräsident Stephan Weil (SPD). Bei den Politikern sind jedoch alle Ebenen betroffen: Abgeordnete aus dem Bundestag, dem Europaparlament und den Landtagen bis hin zu Kommunalpolitikern. Darunter sind auch Politiker aus Bonn und der Region.

Zudem sind Prominente und Journalisten von ARD und ZDF betroffen. Auf der Liste mit fast 1000 Namen steht auch Moderator Jan Böhmermann, Schauspieler Til Schweiger, „heute-show“-Moderator Oliver Welke und „extra3“-Moderator Christian Ehring, Rapper Sido und Youtuber LeFloid.

Grünen-Chef Robert Habeck, sein Parteikollege Konstantin von Notz und Satiriker Jan Jan Böhmermann gelten als Hauptbetroffene. Von ihnen gibt es die meisten Daten.

Auf dem Twitter-Account mit den gehackten Daten wurden Listen von Betroffenen veröffentlicht, die nach Parteimitgliedschaft geordnet waren. Mit Abstand die meisten Einträge gibt es auf der CDU/CSU-Liste, auf der 410 Namen genannt wurden. Auf der SPD-Liste stehen 230 Politiker, bei den Grünen, den Linken und der FDP je einige Dutzend.Zwischenüberschrift

Die AfD-Fraktion ist die einzige im Bundestag, zu der keine eigene Liste veröffentlicht wurde. Derzeit lägen den Ermittlern keine Erkenntnisse vor, dass AfD-Politiker betroffen seien, teilte das Bundesinnenministerium mit. Warum es keine veröffentlichen Daten der AfD-Politiker gibt, ist derzeit noch unklar.

Veröffentlicht wurden Handynummern, E-Mails, Chat-Verläufe und Kreditkarten-Daten. Aber auch Beweisfotos für Seitensprünge, Verabredungen zu Dates bei Facebook, private Familienfotos und Briefe. Häufig wurden zudem Kopien von Personalausweisen und Mietverträgen veröffentlicht. In etwa einer Handvoll Fälle wurden private Chats und Sprachnachrichten von Ehepartnern und Kindern sowie Skype-Namen von Kindern der Betroffenen ins Netz gestellt, etwa genauso oft Kontodaten.

Der oder die Datendiebe lieferten an verschiedenen Stellen der Listen gleich persönliche Einschätzungen zu Inhalt und Brisanz mit. Zum Beispiel: „Nur Laberei in der E-Mail“ oder „Nacktfotos, die zugeschickt wurden.“

Offenbar wurden jedoch auch Informationen aus den Daten vor der Veröffentlichung entfernt. Experten glauben daher, dass es noch zu weiteren Veröffentlichungen, womöglich brisanterer Daten, kommen könnte. „Wir wissen nicht, was nicht veröffentlicht wurde: Sind das nur Abfallprodukte einer Großaktion eines Geheimdienstes oder einer politischen Gruppe? Dann ist - wie meistens in solchen Fällen - die spannende Frage, was alles erbeutet wurde und wofür das nicht veröffentlichte Material nun verwendet wird?“, sagte der Cyberkrieg- und Hacker-Experte Sandro Gaycken der "Bild"-Zeitung.

Wer für den Angriff verantwortlich ist, ist noch völlig unklar. Der Inhaber des genannten Accounts beschreibt sich auf Twitter selbst mit Begriffen wie Security Researching, Künstler, Satire und Ironie. Sein Blog wurde inzwischen entfernt, die Daten wurden aber - möglicherweise als Sicherung - auch auf anderen Seiten hochgeladen, wo sie am Freitagmittag noch abrufbar waren.

Nach Einschätzung des Hamburger Datenschutzbeauftragten Johannes Caspar könnte der Datenklau womöglich aus dem Ausland gesteuert worden sein. "Es ist wahrscheinlich, dass es sich um eine politisch motivierte Gruppe handelt, die möglicherweise aus dem Ausland gesteuert wird", sagte Caspar dem "Handelsblatt" vom Samstag.

Auf welche Weise die Daten abgeflossen seien, „lässt sich noch nicht mit Sicherheit feststellen“, sagte ein Sprecher des Bundesinnenministeriums. Die Sicherheitsbehörden hätten festgestellt, dass es sowohl „relativ aktuelle als auch um ältere Datenpakete“ seien. Nach Ansicht des Karlsruher IT-Sicherheitsexperten Christoph Fischer stammen die Daten nicht aus einer einzigen Quelle. „Da hat jemand offenbar mit viel Fleißarbeit versucht, Mail-Accounts zu öffnen“, so Fischer.

Die Betroffenen wurden offenbar über einen längeren Zeitraum ausspioniert. So gibt es Daten aus dem Zeitraum zwischen 2009 und November 2018. Einige Informationen waren lange online, ohne dass es bemerkt wurde. Die ersten Daten wurden auf dem inzwischen gesperrten Twitter-Account @_0rbit bereits am 19. Juli 2017 veröffentlicht, damals zu Jan Böhmermann. Dann folgte nach vereinzelten weiteren Informationen eine längere Lücke zwischen August 2017 und August 2018. Gezielter wurden Daten im Dezember 2018 als eine Art Adventskalender veröffentlicht.Erst Donnerstagabend wurde ein größerer Kreis auf die Daten aufmerksam: Das Kanzleramt erfuhr - wie auch die Bundestagsverwaltung - erst in der Nacht zum Freitag davon. Wann genau der Hacker-Angriff erfolgte, ist bisher nicht klar.

Bekannt wurde die Attacke offenbar durch Anrufe Unbekannter beim SPD-Politiker Martin Schulz, wie die Deutsche Presse-Agentur aus Sicherheitskreisen erfuhr. Demnach hatte ein Mitarbeiter am Donnerstag der Polizei in Aachen mitgeteilt, der ehemalige Kanzlerkandidat sei von Fremden auf einer nicht öffentlich zugänglichen Nummer angerufen worden. Daraufhin sei das Landeskriminalamt von Nordrhein-Westfalen aktiv geworden.

Brisant: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) war bereits deutlich früher informiert. „Wir haben schon sehr frühzeitig im Dezember auch schon mit einzelnen Abgeordneten, die hiervon betroffen waren, dementsprechend gesprochen“, sagte Präsident Arne Schönbohm im Fernsehsender Phoenix. Es seien auch Gegenmaßnahmen eingeleitet worden.

Wie das BSI am Samstagnachnittag mitteilte, sei die Behörde Anfang Dezember von einem Mitglied des deutschen Bundestages darüber informiert worden, dass dieser fragwürdige Bewegungen auf privaten und personalisierten E-Mail- und Social-Media-Accounts festgestellt habe. Das BSI habe diesen Fall sehr ernst genommen und ihn in das Nationale Cyber-Abwehrzentrum eingebracht. Dem Politiker habe man Unterstützung angeboten und sei mit einem Mobile Incident Response Team vor Ort gewesen. Zu diesem Zeitpunkt sei man aber noch von einem Einzelfall ausgegangen. Von einem Zusammenhang mit den durch den Twitter-Account „G0d“ (@_0rbit) veröffentlichten Daten habe das BSI bis zur Nacht von Donnerstag auf Freitag keine Kenntnis gehabt.

Selbst das Bundeskriminalamt (BKA) erfuhr nach eigener Darstellung von der Veröffentlichung erst in der Nacht zum Freitag. Dies geht aus einem BKA-Schreiben an alle Bundestagsabgeordneten hervor, das der Deutschen Presse-Agentur in Berlin vorliegt. Die Bonner Behörde BSI gerät wegen ihres Vorgehens zunehmend in die Kritik.

"Nach einer ersten Analyse deutet vieles darauf hin, dass Daten durch die missbräuchliche Nutzung von Zugangsdaten zu Clouddiensten, zu E-Mail-Accounts oder zu sozialen Netzwerken erlangt wurden", so Bundesinnenminister Horst Seehofer. IT-Experte Christoph Fischer geht davon aus, dass die Betroffenen schlechte Passwörter sowie Webmail-Accounts statt der offiziellen Mailadresse für die Kommunikation genutzt haben.

Die Ermittler haben noch keine sicheren Erkenntnisse, ob es sich bei dem Angriff um einen Hack handelt oder ein Leak die Ursache war. Bei einem Hack werden Sicherheitsvorkehrungen von Systemen - etwa ein E-Mail-Server - umgangen. Dadurch können die Angreifer das System kontrollieren und auf sensible Daten zugreifen. Im Fall eines Leaks sammelt ein Insider illegal Daten und veröffentlicht sie. Ex-Wikileaks-Sprecher Daniel Domscheit-Berg meint: „Ein Leak von innen ist ja Quatsch.“ Betroffen seien Politiker unterschiedlichster Fraktionen, deren Informationen an verschiedenen Stellen lägen. „Da sind ein paar Sachen dabei, bei denen ich sagen würde, das sieht sofort nach einem Hack aus.“

Das Bundeskriminalamt, der Verfassungsschutz und zahlreiche andere Behörden sind mit dem Fall beschäftigt, auch Landesbehörden. Die Koordinierung liegt beim Nationalen Cyber-Abwehrzentrum. Auch der Generalbundesanwalt schaltete sich in die Prüfung ein. Bundesinnenminister Horst Seehofer (CSU) erklärte, es werde „mit Hochdruck“ daran gearbeitet, den Urheber des Datenklaus ausfindig zu machen.

Am Freitag wurde der Twitter-Account gesperrt. Twitter verwies darauf, dass die unerlaubte Veröffentlichung privater Informationen gegen die Regeln des Dienstes verstößt.

(Mit Material von dpa)