Der für Spionageabwehr zuständige Verfassungsschutz (BfV) hat Bundestag und Bundeskabinett erst am 6. Februar vor der laufenden Signal-Phishing-Attacke gewarnt. Das bestätigte ein Sprecher des Bundesinnenministeriums indirekt gegenüber netzpolitik.org.

Die Attacke hatte zuletzt an Brisanz gewonnen, weil herauskam, dass offenbar zwei Bundesministerinnen und die Bundestagspräsidentin auf die Masche hereingefallen sind und damit ihre Accounts gegenüber dem Angreifer offengelegt haben. Sicherheitskreise gehen von rund 300 Betroffenen aus und davon, dass „zahlreiche Signal-Gruppen im parlamentarischen Raum derzeit von den Angreifern nahezu unbemerkt ausgelesen werden“, warnte das BfV in einem Schreiben an die Bundestagsfraktionen.

Nach Informationen von netzpolitik.org läuft die Phishing-Kampagne gegen hochrangige Vertreter:innen aus Politik, Militär und Journalismus allerdings schon mindestens seit September 2025. Sie erreichte laut unseren Recherchen im November und Dezember letzten Jahres einen ersten Höhepunkt, bevor sie sich im Januar ausweitete.

Bekannt wurde die Attacke in Deutschland, als netzpolitik.org am 28. Januar darüber berichtete, dass zahlreiche Journalist:innen im Visier stünden. Gut eine Woche nach dem Bericht warnten dann BfV und das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Angriffswelle. Mittlerweile haben die Behörden ein weiteres Update der Warnung samt Handlungsleitfaden veröffentlicht.

Wann wurden die Accounts kompromittiert?

Unbekannt ist bislang, wann Familienministerin Karin Prien (CDU), Bauministerin Verena Hubertz (SPD) und Bundestagspräsidentin Julia Klöckner (CDU) der Phishing-Attacke auf den Leim gingen. Wir haben sowohl den Verfassungsschutz wie auch das BSI, das Bundesinnenministerium sowie das Familien- und Bauministerium gefragt, wann die Beteiligten Opfer der Phishing-Attacke wurden. Doch die angefragten Behörden und Ministerien mauern in dieser Frage.

Man äußere sich zu etwaigen Betroffenheiten einzelner Personen grundsätzlich nicht, heißt es etwa aus dem Bundesinnenministerium. Das Bauministerium antwortet auf die Frage, wann der Account von Frau Hubertz kompromittiert worden sei, dass es die Annahme der Frage selbst „weder bestätigen noch dementieren“ könne. Der Verfassungsschutz teilt mit, dass er zu „Details, die etwaige nachrichtendienstliche Erkenntnisse oder Tätigkeiten betreffen, grundsätzlich nicht öffentlich Stellung nimmt“. Das Familienministerium ging auf die gestellten Fragen nicht ein, das BSI reagierte gar nicht.

Signal äußert sich zu den Angriffen

Unterdessen hat der Messenger Signal selbst eine Stellungnahme auf Mastodon und Bluesky verbreitet. Darin stellt der Anbieter klar, dass es sich bei dem Angriff nicht um einen „Hack“ handele: Verschlüsselung, Infrastruktur und die Integrität des App-Codes seien nicht beeinträchtigt. Man sei sich aber der Tragweite des Angriffs bewusst und werde in den kommenden Wochen „verschiedene Änderungen“ einführen, um diese Art von Angriffen weiter zu erschweren.

Welche Änderungen das sein werden, ist bislang nicht klar. Denkbar ist etwa, dass die bislang nicht standardmäßig eingeschaltete „Registrierungssperre“ für neue Geräte in Zukunft per default aktiv ist. Signal schreckte vor diesem Schritt in der Vergangenheit zurück, da dieser für Nutzer:innen beispielsweise bei einem Handy-Wechsel als Hürde wahrgenommen würde.

In dem Post erklärte Signal auch erstmals das Vorgehen der Angreifer offiziell:

Laut dem, was uns die Opfer mitgeteilt haben, folgten die Angriffe einem ähnlichen Muster: Nachdem die Angreifer die Nutzer dazu gebracht hatten, ihre Signal-Zugangsdaten preiszugeben, nutzten sie diese, um deren Konto zu übernehmen und änderten häufig auch die zugehörige Telefonnummer. Da eine solche Übernahme zur Abmeldung des Signal-Kontos auf dem Gerät des Opfers führt, bereiteten die Angreifer die Opfer darauf vor, indem sie ihnen mitteilten, die Abmeldung sei beabsichtigt und sie müssten sich lediglich „neu anmelden“ oder ein neues Konto erstellen. Beim Erstellen eines neuen Signal-Kontos – das nun von dem übernommenen Konto getrennt war – glaubten die Opfer, sich wieder in ihr Hauptkonto einzuloggen. Daher bemerkten viele die Übernahme nicht. Die kompromittierten Konten wurden anschließend missbraucht, um die Kontaktlisten der Opfer anzugreifen, indem sich die Angreifer als Kontoinhaber ausgaben.

In der Stellungnahme wiederholte Signal, dass die Nutzer:innen selbst auch wachsam sein müssten: „Denken Sie daran: Niemand vom Signal-Support wird Sie jemals per Nachricht kontaktieren oder nach Ihrem Registrierungs-Verifizierungscode oder Ihrer Signal-PIN fragen.“

Signal-Phishing gegen Julia Klöckner erfolgreich

Viel spricht für Russland als Urheber des Angriffs

Das niederländische Verteidigungsministerium hatte Anfang März verlautbart, dass Russland hinter der laufenden Phishing-Kampagne gegen hochrangige Personen aus Politik, Militär, Zivilgesellschaft und Journalismus stecken soll. BSI und Verfassungsschutz hatten vor den Attacken gewarnt und diese als „wahrscheinlich staatlich gesteuert“ bezeichnet. Die Bundesregierung schreibt den Angriff bislang nicht offiziell einem Land zu, ließ aber über Regierungskreise verbreiten, dass Russland dahinter stecke.

In einer Mitteilung auf der Webseite des niederländischen Verteidigungsministeriums sprechen sowohl der militärische Geheimdienst MIVD als auch der zivile Geheimdienst AIVD von „russischen Staatshackern“, die hinter dem Angriff auf Signal und WhatsApp stecken würden. Auch netzpolitik.org hat Hinweise, welche die Theorie einer russischen Urheberschaft des Angriffs untermauern.

Das Medienhaus Correctiv hatte zudem den Angriff auf den früheren Vizepräsidenten des Bundesnachrichtendienstes, Arndt Freytag von Loringhoven, ausgewertet und ist dabei auch auf digitale Spuren gestoßen, die nach Russland führen.

Eine Auftraggeberschaft des russischen Staates kann dies nicht beweisen. Die eindeutige Zuschreibung ist bei solchen Angriffen in der Regel sehr schwierig, da es viele Faktoren gibt, um die Herkunft eines Angriffs zu verschleiern oder falsche Fährten zu legen. Dazu kommen politische Interessen bei der Zuweisung der Urheberschaft und der Drahtzieher, die sich in einer militärischen Auseinandersetzung wie dem Angriffskrieg gegen die Ukraine noch verschärfen.

Dies ist der zweite Teil von „Gestohlene Beats“. Im Englischen Original von Jack Rhysider trägt diese Episode den Namen „Dubsnatch“.

Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint wöchentlich auf allen gängigen Podcast-Plattformen und kann hier abonniert werden.

JACK (Intro): In der ersten Folge von „Gestohlene Beats“ haben wir Professor Dubstep und seine Clique kennen gelernt, alle auf der Suche nach noch nicht veröffentlichter Dubstep-Musik. Sie graben sich durch verschiedene Sicherheitslücken im Netz oder hacken sich in die Dropboxkonten von Musikschaffenden und vom Management, um an solche Tracks zu gelangen und sie anschließend in obskuren Subreddits zu veröffentlichen und dadurch unter ihresgleichen in hellem Licht zu erstrahlen.

Nebenbei haben wir erfahren, dass die Delfinsounds im Dubstep entweder das geheime Ding schlechthin sind oder dass sie bisher nur noch niemandem aufgefallen sind.

Professor Dubstep ist jedenfalls einer dieser Jugendlichen, deren größte Leidenschaft darin besteht, sich auf die Jagd nach unveröffentlichten Tracks zu begeben. Er tut das nach eigener Aussage allerdings hauptsächlich, um die Tracks anschließend zu schützen, damit sie nicht öffentlich geleakt werden. Ganz anders unterwegs ist offenbar sein Kumpel, sein ehemaliger Kumpel Dino. Er nutzte das Vertrauen eines bekannten Dubstep-Musikers aus, um an dessen unveröffentlichte Tracks zu gelangen, er leakte sie und versuchte anschließend, Professor Dubstep für den Leak verantwortlich zu machen. Doch jetzt haben Professor Dubstep und sein Compagnon Spintire Zugang zu großen Datenbanken erhalten und verfolgen offenbar die Idee, Dino eins auszuwischen. Und da geht es jetzt weiter in Folge 2.

PROFESSOR DUBSTEP: Wir beschlossen, in diesen Datenbanken nach Dino zu suchen – ob seine Passwörter in irgendeiner Datenbank geleakt waren und wir sie auf Skype ausprobieren könnten. Ja. Hier wird es gut. Wir schauten also nach und da war eins … da war … nun, da war ein Passwort, das fünf- oder sechsmal auf verschiedenen Diensten geleakt worden war. Das deutet einfach darauf hin, dass er es für alles benutzt und vielleicht nicht bemerkt hat, dass es kompromittiert worden ist.

Wer spioniert hier wen aus?

PROFESSOR DUBSTEP: Wir nahmen also dieses Passwort und loggten uns in sein Skype ein. Es funktionierte beim ersten Mal. Es hatte sechs Zeichen. Es war wirklich simpel. Wir loggten uns einfach direkt ein und konnten seine Chats sehen und sehen, wie er mit einem Typen namens Shane sprach, und Shane war der Besitzer von xTrill. Sie sprachen miteinander darüber, zu versuchen, sich mithilfe dieser Datenbanken in Accounts zu hacken. Sie machten es also selbst und versuchten, es herauszufinden, während Spintire und ich das auch untereinander taten.

JACK: Oh, interessant. Es sieht so aus, als gäbe es jetzt zwei rivalisierende Teams; Spintire und Professor Dubstep auf der einen, Dino und Shane auf der anderen Seite. Na klar macht es da Sinn, das andere Team auszuspionieren.

PROFESSOR DUBSTEP: Eines der Ziele, in die Dino versuchte zu hacken, während wir ihm zusahen, waren wir, ich und Spintire. Er suchte also in diesen Datenbanken, um unsere Infos zu finden, und wir sahen ihm dabei zu und sahen live in Echtzeit zu, wie er versuchte, in unsere Accounts zu kommen.

JACK: In welche Accounts, deinen Skype-Account?

PROFESSOR DUBSTEP: Ja, alles, was er schaffen konnte; unser Skype, unsere Dropboxen, SoundClouds, im Grunde alles.

JACK: Oh, also Dino redet mit Shane so nach dem Motto: „Hey, siehst du Professor Dubsteps Daten …? Ja, ja sehe ich – oh, cool. Lass uns das Passwort checken. Versuch dich einzuloggen.“ Das sind die Chats, die du gesehen hast, und dann heißt es: „Nein, hat nicht funktioniert. Oh, Mist.“

PROFESSOR DUBSTEP: Ja, genau das. Buchstäblich einfach ein Echtzeit-Feed davon, wie wir ihnen zusehen, wie sie versuchen, uns zu hacken. Ich glaube aber, es war eher so, dass er paranoid war und versuchte zu sehen, ob wir hinter den Kulissen Sachen teilten und Dinge vor ihm geheim hielten, weil jeder in diesem kleinen Trading-Spiel dem anderen in den Rücken fiel. Das war einfach das, was passierte. Jeder fiel jedem in den Rücken.

JACK: Und wie hast du darauf reagiert? Ich mein, wenn jemand versucht, mich zu hacken, würde ich denken: „Ähhhm, bei dieser Person muss ich jetzt sehr vorsichtig sein.“ Wie habt ihr darauf reagiert?

PROFESSOR DUBSTEP: Nun, Spintire und ich saßen einfach da: „Wow, wir sehen das tatsächlich. Sie versuchen tatsächlich gerade, in unsere Sachen zu kommen. Das ist seltsam. Das ist viel zu verarbeiten.“ Aber wir saßen einfach da: „Oh, naja, gut, dass wir selbst ordentliche Sicherheit haben. Sonst wären wir am Arsch.“

JACK: Das Lustige daran ist, dass man ja vielleicht irgendwie Angst hat und denkt: Diese Person greift uns eindeutig an, ich könnte in Schwierigkeiten geraten. Aber man selbst ist in ihrem Skype und sieht ihre Nachrichten, also greift man sie auch an.

PROFESSOR DUBSTEP: Ja, genau.

JACK: Ich weiß nicht, auf wessen Seite ich mich hier schlagen soll. Ihr seid beide irgendwie im Unrecht.

PROFESSOR DUBSTEP: Wir sind beide im Unrecht. Jeder in dieser Geschichte ist im Unrecht. Hier verhält sich absolut niemand richtig. Das Einzige, was halbwegs richtig ist, ist Leute zu kontaktieren, um zu sagen, dass sie kompromittiert worden sind. Das ist die einzige gute Sache.

JACK: Ich brauche einen Helden, den ich anfeuern kann, und ich weiß nicht, was ich tun soll.

PROFESSOR DUBSTEP: Ja, du wirst keinen … ich sage dir jetzt schon, du wirst keinen bekommen. Ich will nichts davon glorifizieren, weil es nicht … es ist eine schreckliche Sache, der Dubplate-Handel, das Hacken. Es schadet einfach jedem, der involviert ist; den Künstlerinnen und Künstlern, den Leuten, die das Hacken betreiben. Es ist gefährliches Zeug und es ist einfach ein Haufen Kinder, die es damals nicht besser wussten. Weißt du, wir waren vierzehn, fünfzehn, saßen einfach da. Spintire war viel älter. Er war etwa dreißig.

JACK: Das erinnert mich alles an diese alten Heist-Filme, die aus dem Blickwinkel der Täter gefilmt sind. Ich sehe da die Ganoven vor mir, Diebstahl erfolgreich vollbracht, aber dann, dann sitzen sie zusammen und starren abwechselnd auf das Diebesgut und dann auf sich selbst, voller Misstrauen. Das sind alles Kriminelle, keiner kümmert sich um hier Gerechtigkeit. Werden sie mir meinen Anteil klauen? Und dann wird dir klar: Ja, das wird so kommen, also stiehlst du zuerst ihren Anteil und haust ab.

Genauso sieht’s in diesem Fall aus: Zwei Seiten, die sich absolut nicht trauen und aktiv versuchen, in die Accounts der anderen zu hacken, um sie im Auge zu behalten. Interessant ist allerdings, dass Dino mit Shane zusammenarbeitete, dem Moderator und Eigentümer des Subreddits xTrill. In den Chats war deutlich zu erkennen, wie sehr Shane in die Trading-Szene involviert war. Er sammelte Dubplates und war ständig auf der Suche nach unveröffentlichtem Material.

PROFESSOR DUBSTEP: Wir machen also weiter. Wir nehmen uns ein paar … versuchen, ein paar mehr Ziele zu bekommen. Wir überlegen uns andere Seiten, in die wir versuchen können, uns einzuloggen. Also werfen wir einen Blick auf box.com, einen Cloud-Speicher-Anbieter, der normalerweise von kleinen Unternehmen, großen Unternehmen, Plattenlabel-Produktionsfirmen, allem Möglichen genutzt wird. Er ist sehr beliebt, weil sie großartige Gruppen-Kollaborationsoptionen bieten. Wir nehmen also das Passwort von Skrillex‘ Manager und probieren es beim box.com-Account, und es gibt uns direkt Zugriff, direkt in das Innenleben von Skrillex‘ Plattenlabel. Und wir kommen da rein und können alle ihre kommenden Veröffentlichungen sehen und ihre Produktionsdateien, Promotion-Pläne …

JACK: Kommende Veröffentlichungen für Skrillex?

PROFESSOR DUBSTEP: Für Skrillex und alle Künstler auf seinem Label.

JACK: Wow, das klingt nach ner echten Schatztruhe.

PROFESSOR DUBSTEP: Da waren ein paar Terabyte an Dateien drin.

JACK: Heilige Scheiße.

PROFESSOR DUBSTEP: Box.com ist ein bisschen fortschrittlicher. Sie senden Login-Benachrichtigungen für unbekannte Logins. Also war eines der ersten Dinge, die wir taten, in die Einstellungen zu gehen und nachzuschauen. Weißt du, stand da, dass wir uns eingeloggt hatten? Dieser Typ, dieser Account, in den wir uns eingeloggt hatten, er hatte die Login-Benachrichtigungen ausgeschaltet, also hatte er keine Ahnung, dass wir reingekommen waren, keine.

JACK: Oh mein Gott. Da können wir was draus lernen, oder?

PROFESSOR DUBSTEP: Ja. Weißt du, lass so etwas an für Dinge, die stark mit deinem Geschäft zu tun haben. Du musst diese Benachrichtigungen eingeschaltet haben, damit sie dir sagen, wenn deine Sicherheit kompromittiert ist.

JACK: Unveröffentlichte Tracks sind mehr wert als Demos. sind nur frühe Versionen oder Remixes von Songs, die Leute schon gehört haben, aber unveröffentlichte Tracks hat noch niemand gehört. Okay, was habt ihr da alles gefunden.

PROFESSOR DUBSTEP: Da waren unveröffentlichte Skrillex-Songs, da waren einzelne Audio-Assets für einige Skrillex-Sachen und die anderen Künstler auf seinem Label, wie die einzelnen Master, Master-Stems und so für Songs, Multi-Tracks, sodass man sie im Grunde in ihre Einzelteile zerlegen konnte und so. Alles war dort gespeichert. Da waren Photoshop-Dokumente, Promotion-Pläne, Dokumente, die besagten, was sie für das nächste Jahr oder sogar zwei Jahre tun würden, interne Sprachaufnahmen, Meetings zwischen den Label-Chefs und so. Es war alles Mögliche an Zeug, das wirklich … es sind vertrauliche Dinge und es waren wirklich ungeschützte Dateien. Es gab keine individuellen Passwörter für Ordner und so. Es war einfach alles offen, geteilt mit fünfzig anderen Accounts auf all diesen Ordnern.

JACK: Meine Güte. Ich versuche mir vorzustellen, was das für’n Aufruhr bedeuten würde, wenn das an die Öffentlichkeit käme.

PROFESSOR DUBSTEP: Es hätte eine Menge verursacht, einen Riesenaufruhr. Was wir gemacht haben, war: Wir kopierten den Freigabe-Link für jeden Ordner, der da drin war, und stellten die Berechtigung dafür so ein, dass jeder mit diesem Freigabe-Link den Ordner immer noch ansehen konnte, auch wenn er nicht eingeloggt ist. Wir kopierten auch die Einladungslinks für Mitarbeitende für die Ordner, weil diese Option nicht passwortgeschützt war. Wir konnten also einen neuen Wegwerf-Account einladen, damit wir für uns selbst über ganz neue Accounts weiterhin Zugriff hätten, und der ursprüngliche würde geschlossen werden, sodass niemand sonst außer uns Zugriff darauf bekommen könnte.

JACK: Das ist interessant. Nur um sicherzustellen, dass das alle verstehen: Sie haben sich Zugang zum Box.com-Konto des Managers von Skrillex verschafft, okay, da diese Ordner gesehen und dann den übergeordneten Ordner freigegeben. Das bedeutet, dass nun jeder, der über diesen Link verfügt, den Inhalt dieses Ordners und aller Unterordner einsehen kann, ohne einen Benutzernamen oder ein Passwort zu benötigen.

Sie brauchen sich jetzt also nicht mehr anmelden, um zu sehen, welche neuen Dateien hochgeladen wurden. Sie konnten einfach den Freigabelink nutzen, um darauf zuzugreifen, ohne sich überhaupt anzumelden.

Darüber hinaus hatte der Manager die Möglichkeit, neue Mitarbeiter einzuladen. Also haben sie einfach ein neues E-Mail-Konto erstellt und sich selbst als Mitarbeiter eingeladen. Dann haben sie dem Manager gesagt: „Hey, dein Konto ist nicht sicher, du solltest das Passwort ändern.“ Dadurch wurde das Konto des Managers gesichert, sodass niemand anderes denselben Exploit nutzen konnte, um sich Zugang zu verschaffen, und kein anderer Hacker auf dieselbe Weise eindringen konnte. Das ist eine dauerhafte Hintertür, die Zugang zum gesamten Medienunternehmen von Skrillex gewährt. Zugleich ist es eine Hintertür, die man nie vermutet hätte, oder? Man denkt ja, wenn man Zugang zu box.com hat, dass man da Malware und eine Reverse -Shell installiert hat. Aber nein, es ist nur ein Freigabelink! Das gibt einem eine ganz neue Perspektive darauf, was eine Backdoor sein kann.

PROFESSOR DUBSTEP: Ja, weil es eine Backdoor ist, die man einfach … sie ist in die Seite eingebaut.

JACK: Sie ist in die Seite eingebaut, genau.

PROFESSOR DUBSTEP: Der einzige Grund, warum wir diese überhaupt erst bekommen konnten, ist, weil die Leute keine ordentliche Sicherheit praktizieren. Sie benutzen jahrelang das gleiche Passwort auf jeder Seite und aktivieren auch keine Zwei-Faktor-Authentifizierung auf ihren Accounts. Also ist es einfach offen. Wenn du das Passwort hast, dann kannst du einfach loslegen … du kannst einfach direkt reinspazieren und tun, was immer du willst. Du könntest den Laden plündern, wenn du wolltest, was lächerlich ist.

JACK: Ich sitze jetzt hier still in meinem Kämmerlein und lasse das einfach erstmal mal sacken. Eine Backdoor ist in alle File-Sharing-Seiten wie box.com, Google Drive, iCloud, Proton Drive, Dropbox, was auch immer, eingebaut, denn wenn ein Link zu einem geteilten Ordner existiert, kann jeder mit diesem Link in diesen Ordner sehen. Es ist ein Feature der Seite selbst, dass das so funktioniert. Man kann das nicht wegnehmen, sonst ruiniert man den Sinn der Seite.

Aber es bedeutet gleichzeitig, dass etwas, was privat für dich gemeint ist, es in Wirklichkeit nicht ist. Wenn du etwas teilbar machst und sagst, nur Leute mit diesem Link können diese Datei sehen, fühlt es sich nur privat an. Es ist Security through Obscurity, also eine Art Sicherheit durch Geheimhaltung. Dein Link ist zwar versteckt, aber wenn er irgendwie rauskommt, ist er für jeden einsehbar – ohne Benutzernamen oder Passwort.

Ich beschäftige mich seit Jahrzehnten mit Cybersicherheit, aber niemand zieht in Betracht, Dropbox-Links zu überprüfen, um sicherzustellen, dass nur das öffentlich zugänglich ist, was auch öffentlich sein soll, denn es ist potenziell möglich, dass jede Datei und jeder Ordner diese Option hat, und es ist einfach unzumutbar, sie alle manuell durchzugehen. In der Hektik des Geschäftsalltags kehrt niemand irgendwohin zurück, um da aufzuräumen oder zu überprüfen, welche Ordner Freigabelinks haben und welche nicht.

Ich glaube, es wäre eigentlich am besten, alles in eurem Cloud-Speicher so zu behandeln, als wäre es öffentlich zugänglich, aber alle Sachen nur vorübergehend dort abzulegen, wenn ihr sie privat mit jemandem teilen möchtet, um sie dann zu entfernen, sobald die Person sie erhalten hat.

Betrachten wir doch mal Webseiten wie URLscan.io. Das ist eine Seite, die versucht zu erkennen, ob URLs sicher oder bösartig sind. Man kann da aber auch hingehen und die Seite durchsuchen, um zu sehen, welche URLs da in der Datenbank liegen, und dann findet man manchmal welche, die eher nicht in der Öffentlichkeit sein sollten, es aber sind.

Stellt euch vor, ihr macht ein Foto von eurem Kind und legt es auf Google Drive, dann wollt ihr einen Link erstellen, um es der Großmutter zu zeigen, und ihr sagt: „Nur Leute mit diesem Link können dieses Foto sehen“, und du mailst den Link an Oma. Nun, dann hat Oma irgendein Browser-Plugin, das alle Links prüft, um sicherzustellen, dass sie sicher zum Anklicken sind, und wenn dieser Link irgendwo außerhalb geprüft wird – schwuppdiwupp – schwirrt dieser Link zur Geburtstagsparty deines Kindes plötzlich im Internet in allen möglichen Datenbanken herum und wird von wer weiß wem angeklickt. URLScan sammelt solche Links.

Hybrid Analysis ist‘n weiteres solches Tool, auch Cloudflare Radar URL Scanner. Ganz zu schweigen davon, dass DNS-Anbieter auf der ganzen Welt Dinge ebenso protokollieren. Es sind nicht nur Google Drive und Dropbox. Es gibt Unmengen anderer Online-Speicher-Webseiten, nach denen man suchen könnte; iCloud, box.com, Sync, Egnyte, IONOS, HiDrive, Proton Drive und so viele mehr. Die Liste ließe sich endlos fortsetzen. Die Daten sind also verfügbar. Man muss sie nur durchforsten, um etwas Interessantes zu finden. In diesem Fall suchten sie also speziell nach Dubstep-Musik und ignorierten alles andere, was ihnen begegnete. Okay, nur du und Spintire hatten Zugriff darauf.

PROFESSOR DUBSTEP: Jup.

JACK: Und ihr habt es aber für euch behalten, nicht geteilt oder so?

PROFESSOR DUBSTEP: Dachte ich zumindest. Das hätte ich mir gewünscht, aber wie immer vergingen ein paar Wochen und andere Leute fingen an anzudeuten, dass sie diese Dateien hätten. Oder, naja, die Trader bekamen Zugriff auf einige Sachen, und es gab keine Erklärung dafür, außer dass Spintire die mit jemandem geteilt haben musste. Also stellte ich ihn zur Rede und sagte: „Wenn du das getan hast, sag es mir einfach lieber. Ich werde nicht wütend sein. Ich will es nur wissen.“ Er streitet es immer noch ab. Also fange ich an zu denken: „Oh, naja, jemand anderes muss irgendwie Zugriff bekommen haben, abgesehen von uns. Jemand anderes muss zuerst Zugriff auf den Account bekommen haben.“ Also belasse ich es dabei. Ich vertraue Spintire – im Zweifel für den Angeklagten. Wir machen weiter. Wir überlegen uns noch ein paar Accounts, in die wir versuchen reinzukommen, verschiedene Leute. Eine anderes Ziel, das wir ins Auge nahmen, war die Management-Firma für Diplo und Major Lazer, die ein bisschen näher an Popmusik sind. Wir probierten den box.com-Account seines Managers, basierend auf dem, was wir in diesen geleakten Datenbanken gefunden hatten, und tatsächlich funktionierte das Passwort. Es loggte uns ein. Da waren noch ein paar Terabyte an Daten drin. Es war viel mehr als nur Major Lazer, die da drin waren. Da war Diplo, da war A-Trak, da war Dillon Francis, Kill the Noise. Da waren etwa zwanzig verschiedene Künstlerinnen und Künstler unter dieser Management-Firma, und wir konnten all ihre Sachen von diesem box.com-Account aus sehen.

JACK: Zu diesem Zeitpunkt hatten sie Zugriff auf Terabytes an Daten von diesen Musikmanagern, viel zu viel, um alles herunterzuladen, ihre Festplatten wären sofort voll gewesen. Sie mussten also selektiv vorgehen. Ich weiß nicht, wie es ist, wenn man so etwas findet, aber ich kann mir vorstellen, dass man quasi alles absagt und nur denkt: „Ich habe gerade so viele coole Sachen bekommen, ich muss mich damit beschäftigen, ich muss es mir anhören.“ Das kann man nicht auf die Schnelle machen, man muss jeden einzelnen Track durchhören. Denn das sind ja alles Sachen, die niemand sonst hören kann, außer vielleicht vier Leute auf der ganzen Welt, und Diplo hat es gemacht. Wow. Wow.

PROFESSOR DUBSTEP: Ja, hier wird es ein bisschen gefährlicher, denn einige Sachen, die sie in diesem box.com-Account hatten – sie behielten im Grunde von all ihren Künstlern und Leuten, die in Tourneen und so involviert waren, Produktionscrew, … diese Management-Firma bewahrte die persönlichen Dokumente all dieser Leute dort drin auf, nannte sie Kontaktbögen, und dieser Kontaktbogen hatte mehr als nur ihre Kontaktinformationen drauf. Er hatte die Sozialversicherungsnummern ihrer Künstler, Bankverbindungen, Passwörter, alle möglichen wahnsinnigen Sachen, bei denen es einfach höchst gefährlich war, die in weitgehend ungesicherten Ordnern ohne extra Passwörter aufzubewahren und scheinbar ohne jeden Grund, diese Infos überhaupt in das Dokument zu packen. Und dann den eigenen Account nicht ordentlich zu sichern – das exponiert all die Leute, die, weißt du, Millionäre sind. Es ist irgendwie Glück, dass keiner von … ich oder Spintire oder irgendeiner der Leute, die das schließlich machten, dass keiner von ihnen an irgendetwas anderem interessiert war als nur an der Musik, denn die Menge an Schaden, die daraus hätte entstehen können, ist wahnsinnig.

JACK: Das ist’n Beispiel dafür, wie ein Managementlabel mit den privaten Daten der Künstler und Künstlerinnen sorglos umgegangen ist. Führerscheine, Sozialversicherungsnummern und gespeicherte Passwörter lagen auf diesen Online-Laufwerken. Und obwohl sie nicht für die Öffentlichkeit bestimmt waren, hatten viele Mitarbeitende der Managementfirmen Zugriff darauf. Ja, sogar andere Musiker konnten die Dateien der anderen einsehen. Das zeigt doch eigentlich mal wieder, dass niemand eure privaten Daten schützt, wenn ihr es nicht selbst tut.

PROFESSOR DUBSTEP: Diese Ordner hatten alle über fünfzig Leute, die darauf Zugriff hatten. Jeder im Geschäft hätte auf diese Dinge zugreifen können. Die Praktikanten konnten auf diese Dinge zugreifen. Jeder konnte sich diese Dinge schnappen. Oder jeder, der in den Account kam, konnte sich diese auch schnappen und sie einfach haben, und es gäbe keine Benachrichtigung, dass der Account kompromittiert wurde.

JACK: Mann, das sind viel zu viele Leute, die Zugriff auf all das haben, denn je mehr Leute involviert sind, desto mehr Hintertüren könnten entstehen. Denn mal ehrlich: Wenn eine Musikproduktionsfirma Dropbox nutzt, um all ihre laufenden Projekte zu speichern, klingt das für mich so, als hätten sie kein internes Dateispeichersystem und vielleicht gar kein internes Netzwerk.

Und sie brauchen wahrscheinlich Dinge wie E-Mail und ein Chat-System; sie müssen Grafiken für soziale Medien erstellen, einen Merchandise-Shop, einen Blog, Social-Media-Konten, Newsletter, Projektmanagement- und Kollaborationstools sowie eine interne Wissensdatenbank oder ein Wiki. Es ist dabei relativ wahrscheinlich, dass kleine Unternehmen heutzutage für all diese Dienste öffentlich zugängliche Websites nutzen und nicht alles selbst auf ihren eigenen Servern und in ihrem eigenen Rechenzentrum hosten. Das bedeutet also, wenn fünfzig Personen an diesem Ort arbeiten, sind das fünfzig Konten mal die Anzahl der Dienste, die ich gerade aufgezählt habe. Wie viele, zehn? Wir sprechen also jetzt von fünfhundert verschiedenen Logins für verschiedene Websites. Wer hat da die Berechtigung, was wo zu sehen?

Kleine Unternehmen prüfen sowas nicht, und selbst wenn sie es versuchen würden, wäre es ein Albtraum das zu tun. Nein, es handelt sich jetzt nicht um Werbung meinerseits, ich möchte keine Lösung dafür anbieten, einfach nur die Probleme aufzeigen, die auftreten können, wenn ihr Cloud-basierte Lösungen einsetzt – es gibt eben nicht nur den Professor und seine Crew, sondern eine ganze Reihe von begabten Kids, die versuchen, vorhandene Lücken auszunutzen.

Unsere Kids hier hatten also gültige Benutzernamen und Passwörter, um sich Zugang zu den Konten anderer Leute zu verschaffen. Schon mal’n Problem, aber egal. Sie haben sich Dateien genommen, aber sie waren auch clever genug, um sich dauerhaften Zugang zu sichern. Wenn die Besitzer dieser Konten ihre Passwörter geändert hätten, wären sie ja ausgesperrt worden. Also haben sie Freigabelinks erstellt, damit sie auch dann sehen konnten, welche Dateien hochgeladen wurden, wenn das Konto gesperrt wurde. Cool. Aber man kann das noch weiter treiben, und zwar in dem man Ghost-Logins erstellt. Ich gehe mal kurz ins Detail, um euch eventuell etwas zu verwirren. Okay, gucken wir uns Zapier und wie es böswillig genutzt werden kann. Zapier ist ein Tool, mit dem man Sachen automatisieren kann. Wenn ich z.B. eine neue Rechnung per E-Mail erhalte, kann Zapier diese Rechnung automatisch in Dropbox hochladen, damit das Buchhaltungsteam sie sehen kann.

Damit das funktioniert, muss es Zapier erlaubt sein, euren Posteingang zu sehen und ebenso natürlich die Sachen in eurer Dropbox um sie dort hochzuladen. Um das einzurichten, müsst ihr Zapier die Berechtigungen dazu geben. Aaaaber, wenn ein Hacker in eure Dropbox kommt, wie diese Kids es taten, und sie ihren Zugriff behalten wollten, wie diese Kids es wollten, und sie sehen könnten, dass ihr Zapier zur Automatisierung verknüpft habt – dann können sie jetzt ihren eigenen frischen Zapier-Account erstellen, den sie unter Kontrolle haben, und ihn mit eurer Dropbox verbinden. So hätten sie über Zapier Einblick in eure Dropboxen, und ihr würdet nichtmal wissen, dass sie da sind, denn ihr seht nur, dass Zapier die Erlaubnis hat, die Dateien zu sehen. Aber das habt ihr ja auch so eingerichtet, als ihr euer Rechnungs-Automatisierungs-Ding aufgesetzt habt. Das ist es, was ich mit einem Ghost-Login meine: Jemand, der in eurem Account ist, der nicht einmal einen Benutzernamen oder ein Passwort braucht, um drin zu bleiben. Ändert das Passwort so oft ihr wollt. Sie bleiben immer noch mit euren Sachen verbunden.

Eine weitere Möglichkeit, einen „Ghost-Login“ zu erstellen, besteht darin, einen zweiten Login einzurichten. Auf manchen Websites kannst du dich über Google, Microsoft, Facebook oder sogar SSL anmelden. Angenommen, ihr habt eurer Konto auf diese Weise eingerichtet, indem ihr euch via Facebook-Konto angemeldet habt. Wenn ein Hacker das Passwort dafür hat – so wie die Kids halt – und darüber reinkommt, dann haben manche Seiten die Option, einen weiteren Login zu verbinden.

Wenn ihr euch beispielsweise via Facebook angemeldet habt, hättet ihr das auf dieser Seite vielleicht auch mit dem Google-Account tun können. Ein Hacker könnte also einfach einen neuen Google-Account erstellen, ihn mit eurem Account verbinden und diesen dann nutzen, um von da an in euren Account zu kommen. Selbst wenn ihr also alle Passwörter ändert, würde dieser Zugriff bestehen bleiben. Wenn ihr also wirklich eure Passwörter ändern wollt, müsst ihr in diesem Fall wirklich alle Webseiten durchgehen, die ihr habt, um alle verbundenen Dienste und alternativen Logins zu sehen – und das ist ein Chaos. Ein echtes Chaos.

Ein weiterer Weg wäre es, wenn die Seite die Möglichkeit bietet, einen API-Schlüssel zu generieren, dann kann man das tun und dann von dort auf die Sachen zugreifen.

Es gibt so viele Optionen, Ghost Logins zu erstellen, um den Zugriff auf einen Account zu behalten, selbst wenn der Nutzer sein Passwort ändert. Das ist es, was ich meine. Wenn fünfzig Leute alle Zugriff auf jemandes Führerschein und Dropbox haben, dann schaut vielleicht niemand genau auf die Berechtigungen, und wenn das der Fall ist, gibt es ein hohes Potenzial, einen Ghost Login erstellen zu können, der jahrelang funktioniert. Ich muss sagen, das ist schon Neuland für Sicherheitsteams.

Es fällt unter Begriffe wie „Least Privilege“, also dem Prinzip der geringsten Rechte, aber faktisch hat man keine Leute, die Experten für Zapier-Account-Sicherheit sind, die regelmäßig prüfen, welchen Apps ihr die Erlaubnis gegeben habt. Und es ist ne große Herausforderung, da mitzuhalten.

Also, mit all diesen Daten, Terabytes und Terabytes von einigen der größten Stars in dieser Dubstep-Welt, denkt man da jemals: „Ey, da könnte man’n bisschen Geld mit machen?“

PROFESSOR DUBSTEP: Ich stand nicht darauf, aber ich würde später herausfinden, dass Spintire irgendwie anfing, da reinzurutschen. Ich meine, nachdem eine Weile lang diese Sachen immer wieder geleakt wurden, anfingen auf Reddit zu leaken, die eigentlich nur unter uns bleiben sollten und auf die niemand sonst Zugriff haben sollte, dämmerte mir, dass Spintire da unehrlich sein musste. Also konfrontierte ich ihn Mitte Oktober.

Spintire, der Verräter

PROFESSOR DUBSTEP: Ich sagte: „Teilst du die? Sag es mir einfach jetzt. Teilst du die?“ Er sagt: „Nein, so ist es nicht ganz.“ Ich sagte: „Nun, wie ist es dann?“ Er sagt: „Ich kann es nicht sagen.“ Ich sage: „Bezahlt dich jemand dafür?“ Er sagt: „Ja.“ Also denke ich: „Oh, na endlich habe ich … er hat es zugegeben und ich habe seine Pläne aufgedeckt.“ Er erklärt weiter, dass er seinen eigentlichen Job gekündigt hat, um diese Dateien an irgendein reiches Kind auf der anderen Seite der Welt zu verkaufen. Ich sage: „Nun, das widerspricht allem … dem ganzen Grund, warum wir das überhaupt gemacht haben, nämlich diese Dateien halbwegs sicher zu bewahren und zu verhindern, dass diese Leute Zugriff darauf bekommen, um … damit sie dieses Ding nicht damit machen können, und dann macht er es selbst.“ Es machte mich wirklich ziemlich wütend, weil ich mich bei der ganzen Sache hinters Licht geführt fühlte.

JACK: Hmm, verstehe. Das ist ne knifflige Situation für einen Teenager. Wie reagierst du, wenn dein Partner in Crime anfängt, Sachen zu machen, die du selbst nicht okay findest? Ihr habt zusammen eine Karte aller vergrabenen Schätze erstellt, all die geteilten Links und Logins und Passwörter und Ghost Logins, Terabytes an heruntergeladenen Daten und ein ganzes System von Techniken und Datenbergen, die man durchsieben muss, um mehr zu finden. Doch plötzlich herrscht zwischen den beiden Misstrauen. Jetzt, wo klar war, dass Spintire die Sachen verkaufte, bot der einen Teil des Geldes an, um selbst weitermachen zu können.

PROFESSOR DUBSTEP: Ich sagte ja, aber was ich meinte, war: Ich stimme zu, damit er weiter … damit er denkt, dass ich immer noch auf seiner Seite bin. Also beende ich den Chat und gehe dann und rede mit Shane von xTrill.

JACK: Shane war der Moderator und Admin des xTrill-Subreddits. Professor Dubstep gab ihm den Hinweis: „Pass auf, die Leaks, die in letzter Zeit passiert sind, ich weiß, woher die kommen. Das ist Spintire, er verkauft sie. ich will aber nicht, dass noch mehr rausleakt. Also: Das hier sind die anderen Sachen, die demnächst leaken könnten.“

PROFESSOR DUBSTEP: Er stimmt also zu und meint: „Ja, wir tun, was wir können, um zu verhindern, dass Spintire mit diesem Zeug weitermacht.“ Von da an fingen wir an, zusammen an diesen Dingen zu arbeiten, ich und Shane und ein anderer Freund namens Arnie Kurtz.

JACK: Arnie war ein anderer Typ, der sehr gut in der Szene für unveröffentlichte Musik vernetzt war, und er war ein echter Experte für all diese Online-Dienste und wie man deren Sicherheitslücken ausnutzen kann – was natürlich echt praktisch sein könnte, um in weitere geteilte Laufwerke und so einzubrechen.

Shane hatte gesehen, dass Dino nicht vertrauenswürdig war, also hörten sie auf, zusammenzuarbeiten. Die neue Crew ist also Professor Dubstep, Shane und Arnie. Spintire und Dino waren raus. Nicht nur das, sie waren sich auch alle einig, dass Spintire gestoppt werden muss. Also setzten sie Filter im Subreddit ein, um zu verhindern, dass bestimmte Tracks gepostet werden, aber sie fingen auch an, die Ghost Logins und Freigabe-Links durchzugehen, die Spintire hatte, um ihn von dort auszusperren. Sie änderten Passwörter und deaktivierten Freigabe-Links. Es ist irgendwie lustig, dass diese Teenager-Crew genau die Schritte kannte, um Hacker draußen zu halten, während die Musiklabels selbst es entweder nicht wussten oder diese Kids nicht stoppen wollten.

PROFESSOR DUBSTEP: Ja, das ist irgendwie das, was wir anfingen zu machen. Unser eigentlicher Plan war einfach zu verhindern, dass Spintire den Zugriff auf diese Accounts und diese Ordner behält, für die wir so lange gebraucht hatten, um uns selbst Zugriff zu verschaffen, und dann sperrten wir sie ab, um zu versuchen … speziell um zu versuchen, Dinge zu verhindern, zu verhindern, dass das … es ist irgendwie seltsam, dass es sich auf diese Weise änderte. Ich hatte den Kontakt zu Spintire Mitte Oktober abgebrochen. Ich war zu diesem Zeitpunkt seit zwei Jahren mit ihm befreundet. Es war schwer, das zu beenden. Es hat Spaß gemacht, mit ihm abzuhängen. Aber, weißt du, es musste passieren. Es wurde tatsächlich Schaden angerichtet, und das erkannte ich dann.

JACK: Schon ne Belastung für einen Teenager, oder? Wenn man etwa im Geschichtsunterricht sitzt und sich hinten in der Klasse Gedanken darüber macht, was Spintire als Nächstes klauen könnte, und dann nach Hause eilt, um weitere Passwörter zu ändern, um ihn auszuschließen. Aber wenn man dann dabei ist, aufzuräumen, fällt einem ein: Ach ja, das ist das Konto mit all den Bankdaten dieses berühmten Musikers, der Millionär ist. Hm, das ist interessant. Ich rühr das nicht an, aber ich werde Spintire daran hindern, da ranzukommen. Nachdem sie also Spintire so gut es ging ausgebremst und ausgesperrt hatten, war es an der Zeit, nach neuen Schatzkammern Ausschau zu halten.

PROFESSOR DUBSTEP: Ich glaube, auf dem Höhepunkt der Dinge hatten wir wahrscheinlich ein Netzwerk von fünfundzwanzig Accounts. Es war eine Menge.

Terabytes an Geheimnissen

PROFESSOR DUBSTEP: Wir machten diese Art von Zeug einfach den ganzen Tag, im Grunde, versuchten einfach herauszufinden, was als Nächstes kommen könnte. Was könnte Spintires nächstes Ziel sein? Was könnte etwas Gefährliches sein, auf das er Zugriff bekommen könnte, auf das er keinen Zugriff bekommen sollte, um dann loszugehen und uns selbst Zugriff darauf zu verschaffen. Es war verrückt.

JACK: Ihr Standardsystem war: Die E-Mail-Adresse eines Musikers finden, in den geleakten Datenbanken nach dieser E-Mail-Adresse suchen, den Hash bekommen, den Hash knacken, das dann auf allerhand Seiten ausprobieren, die Musiker nutzen könnten, und hoffen, dass sie ihre Passwörter wiederverwenden.

PROFESSOR DUBSTEP: Ja, das ist auch das Ding mit box.com oder Dropbox: Wenn man einen geteilten Ordner erstellt und andere Mitarbeiter dazu einlädt – wie diese Management-Firmen, die fünfzig Leute zu einem Ordner einladen. Man konnte durchgehen und diese Liste von Leuten durchsuchen und ihre Namen und ihre E-Mail-Adressen dort nehmen, und dann konnte man die auch durch die Datenbanksuche laufen lassen. Man konnte also – wenn man lange genug daran saß – sich auf diese Weise zu allen möglichen Orten durchtunneln, indem man einfach immer und immer wieder weitermachte, bis man irgendwo hinkam. Man konnte auf diese Weise ein ganzes Netzwerk aufbauen.

JACK: Natürlich solltet ihr alle inzwischen wissen, wie gefährlich es ist, dasselbe Passwort auf mehreren Seiten wiederzuverwenden. Das ist ein deutlicher Reminder, warum ihr das also nicht machen solltet. Aber genauso solltet ihr bei der Auswahl der verschiedenen Passwörter achtsam und nicht zu faul sein.

PROFESSOR DUBSTEP: Ziemlich oft änderten sie es nicht sehr stark. Sie fügten vielleicht nur einen Großbuchstaben oder eine extra Zahl am Ende hinzu. Es gab einen Manager, den wir uns ansahen; sein Passwort war für alles das gleiche, aber er änderte nur den Buchstaben am Ende und es war … der Buchstabe am Ende war der Anfangsbuchstabe der Seite, für die der Account war. Wenn also das Passwort für MySpace geleakt war, war es „Wort“ und dann der Buchstabe M am Ende. Um also an das Passwort für box.com oder Dropbox zu kommen, änderte man einfach den Buchstaben am Ende zu einem D oder einem B und es funktionierte. Man bekam auch keine Benachrichtigung, dass dieses Passwort kompromittiert war, weil es das nicht war.

JACK: Ja, das ist interessant, ich überprüfe regelmäßig alle meine Passwörter, um zu sehen, ob irgendeines davon in einem Datenbank-Breach aufgetaucht ist, und ich ändere alle, die ich da sehe. Aber wenn mein Passwort zu erraten ist, weil es sich im Vergleich nur um einen Buchstaben ändert, dann würden das ja nicht in irgendeinem Datenbank-Breach auftauchen. Naja, jedenfalls einer der Songs, die sie früh in die Finger bekamen, war „Purple Lamborghini“.

PROFESSOR DUBSTEP: Ja, „Purple Lamborghini“ war etwas, das aus Diplos Manager-Account kam. Einer der Künstler, die sie managten, hieß Flosstradamus. Sie machen DJ-Sets auf den Hauptfestivals das ganze Jahr über für Trap-Musik und Dubstep-Musik. In einem dieser Kontaktbögen, der auf dieser Management-Box gespeichert war, waren alle Passwörter für dieses DJ-Duo. Eines davon war das Passwort für ihren Splice-Account. Splice war ein Dienst, der Projektdateispeicherung für Musiksoftware anbot. Wir kamen also da rein und luden ihre DJ-Set-Vorbereitungsdateien herunter. Weil sie halbwegs große Player waren, hatten sie all diese Work-in-Progress-Versionen von Tracks von anderen Leuten in der Szene, und die „Purple Lamborghini“-Demo war eine davon.

JACK: Falls ihr euch übrigens fragt, ob es einen Delfin in „Purple Lamborghini“ gibt: Oh ja, den gibt natürlich. Er ist genau hier. [MUSIK] Ba, ba, ba. Wenn ich das oft genug höre, lerne ich die Sprache.

Nun, das Ding ist, das ist eine Demo-Version, die ich besser finde als die offizielle Version, aber dieses Demo wurde nicht veröffentlicht, als die offizielle herauskam, und ich glaube nicht, dass es Pläne gab, dass sie jemals rauskommt. Zu dieser Zeit hörten also nur Professor Dubstep und eine Handvoll Leute auf der Welt das jemals.

PROFESSOR DUBSTEP: Ja, und was im Grunde passierte, war: Es war ein paar Monate her, seit ich den Kontakt zu Spintire abgebrochen hatte, und ich vermisste meinen Freund. Ich ging hin, entblockte ihn und fing wieder an, mit ihm zu reden. Ich sagte: „Weißt du, machst du immer noch das Verkaufen?“ Weil wir versucht hatten, ihn davon abzuhalten, ihn daran zu hindern, irgendetwas zum Verkaufen zu bekommen. Er sagte: „Nein, ich bin fertig damit. Ich habe den Kontakt zu diesen Leuten abgebrochen. Ich habe erkannt, dass sie die Sachen danach getauscht und geleakt haben, bla bla bla.“ Also meinte ich: „Okay, wollen wir wieder Freunde sein?“ Er sagte: „Klar. Lass es wieder so sein, wie es vor ein paar Jahren war, einfach über Musik reden und nicht in diesen zwielichtigen Kram verwickelt sein.“ Ich sage: „Okay, klar.“ Wir redeten weiter. Es führte zu: „Oh, ich hab diese paar coolen, neuen Sachen. Hast du irgendwelche coolen, neuen Sachen?“ Also teilten wir ein paar Dinge hin und her wie in alten Zeiten. Die „Purple Lamborghini“-Demo war eines dieser Dinge. Etwa eine Woche vergeht und wie üblich leakt es auf Reddit. Der eine einzige mögliche Schuldige: Spintire. Ich bin einfach … ich bin ihm gegenüber deswegen explodiert. Sagte: „Das ist wieder passiert. Du bist die einzige Erklärung dafür, dass dieses Ding geleakt ist. Du hast mein Vertrauen wieder missbraucht.“ Ich konnte keinen Rückzieher machen, aber es war zu diesem Zeitpunkt zu spät. Das Ding war geleakt. Das war mein eigener dummer Fehler. Aber der Dezember kommt und wir hatten eine letzte große Sache, die wir versuchen und tun wollten, nämlich in einen Major-Lazer-Produktionsaccount zu kommen, wo sie all ihre Songdateien und ihre Produktionsdateien für Dinge, an denen sie arbeiteten, aufbewahrten – Dinge, die man in Musiksoftware laden und alle einzelnen Teile sehen und Dinge ändern konnte.

Wir hatten also die Idee, es bei einem von Major Lazers Produktionsteam zu versuchen und zu sehen, ob wir an ihre Sachen kommen könnten. Also machten wir einen letzten Versuch in der Datenbank und schauten, ob wir die Pfade zu ihrer Dropbox verfolgen könnten, und wir schafften es tatsächlich. Wir redeten im Gruppenchat hin und her, ich und Arnie und Shane, und sagten: „Oh, es ist hier.“ Es gab einen spezifischen Song, den wir bekommen wollten. Er hieß „Terrorize“, featuring Collie Buddz. Wir loggten uns also in diesen Account ein, und das Erste, wonach wir suchten, war „Terrorize Project File“, und es war da, das tatsächliche, an dem sie … an dem die Gruppe genau an dem Tag arbeitete. Wir redeten also hin und her: „Oh, es ist Terrorize-Saison, es ist Terrorize-Saison. GOAT, Greatest of all Time.“ Aber da war mehr als nur das in der Dropbox. Da war noch ein Terabyte an Zeug, an dem in dieser Minute gearbeitet wurde, wie das Innenleben eines großen Billboard-Top-100-Popkünstlers, und alles war da; einzelne Assets, Drum-Samples, Synth-Dateien, alles Mögliche. Also schnappten wir uns all das Zeug. Naja, ich meine, es war zu viel, um es sich zu schnappen. In vielen dieser Fälle war es zu viel. Da war zu viel da.

Die Dinge, die Spintire in die Finger bekommen hatte, bevor er abgeschnitten wurde, hatten angefangen zu … es würde … das Leaken hatte wirklich zugenommen, und ich und Shane und Arnie entschieden im Grunde, dass wir noch mehr Anstrengungen unternehmen mussten, um diese Leute zu kontaktieren, die kompromittiert worden waren, also … und ich bin ziemlich sicher, es war Arnie, der das tat. Er rief die tatsächliche Telefonnummer des Managers an und hinterließ eine Nachricht auf der Mailbox, um zu sagen: „Das ist passiert, das wird als Nächstes passieren, und Sie müssen sofort Schritte einleiten, um Ihre Sachen zu sichern, sonst würde sich der Schaden in Hunderttausende von Dollar aufsummieren.“ Also fing ihr Anwaltsteam an, darüber zu reden. So nach dem Motto: „Oh, wie konnte das passieren? Bla, bla, bla. Es ist unmöglich.“ Wir landeten irgendwie … wir traten in Kontakt mit diesen Anwaltsteams unter falschen Identitäten, um ihnen zu erklären, wie es passiert war, warum es passierte und wie sie es verhindern könnten. Sie sagten im Grunde: „Oh ja, wir hatten Pläne für diese Songs. Wir hatten Pläne für Terrorize. Es sollte ein großes Ding werden, weil so viele Leute den Song wollten.“ Das war … sie haben im Grunde einfach alles … all das abgesagt, weil es … das Potenzial, dass es früh leakt, war da, also sagten sie all diese Pläne ab.

JACK: Ja. Wenn man auf Major Lazers Spotify- oder YouTube-Kanal geht, gibt es keinen Song namens „Terrorize“. Collie Buddz hat ihn auch nicht veröffentlicht, obwohl er darin singt. Der Song wurde also nie veröffentlicht, obwohl sich ne Menge Leute wirklich darauf gefreut haben. Die Hacker haben‘s ruiniert, ich glaube jedenfalls, dass das der Grund ist, warum er gecancelt wurde.

Aber falls ihr neugierig seid, wie der Delfin in diesem Song klingt, bitteschön. [MUSIK] Das ist eigentlich ein Remix davon, den ich gefunden habe. Der, der geleakt wurde, klang ein bisschen anders. Aber es ist schon crazy, dass dieser völlig unveröffentlichte Major-Lazer-Song da draußen in der Welt ist, jeder kann ihn hören, aber weil es kein offizieller Release war, hat er nicht viele Plays, und es ist kein offizieller Song von Major Lazer. Dabei hätte es ein Hit werden können. Major Lazer hat drei Songs auf Spotify mit über einer Milliarde Plays, und Collie Buddz ist auch ziemlich beliebt. Eigenartig ist’s schon, bloß weil eine frühe Version eines Songs zu früh durchgesickert ist, ist das Label so offenbar verärgert, dass es den Song komplett aufgibt.

PROFESSOR DUBSTEP: Ein Album, an dem zu der Zeit gearbeitet wurde, „Music is the Weapon“, das wurde auch abgesagt. Naja, nicht direkt abgesagt, aber wirklich verzögert. Es kam erst irgendwann 2020, 2021 heraus, was vier Jahre nach all diesen Vorfällen war. Aber wir sprachen im Grunde einfach miteinander und versuchten, diese Pläne zu entwickeln: „Wie können wir verhindern, dass diese Dinge leaken? Wir wollen euch helfen, das herauszufinden, weil wir diese Leute kennen, die da involviert sind.“ Diese Anwaltsteams kamen mit diesen lächerlichen Plänen an. Wie: „Oh, naja, wir fliegen Spintire nach New York und führen ihn zum Essen aus und geben ihm 30.000 Dollar im Austausch für seine Festplatten, und dann wird das unsere Dateien sichern.“ Ich sagte … versuchte ihm zu sagen: „Nein, das wird nicht funktionieren. Er wird einfach eine Kopie davon machen. Das ist lächerlich.“ Sie wollten es nicht hören. Sie sagten: „Oh, naja, das scheint mir definitiv die beste Idee zu sein.“ Ich meinte: „Nein, nein, bitte, nein, macht das nicht.“ Ich bin mir nicht sicher, ob sie das am Ende tatsächlich gemacht haben oder ob sie eingesehen haben, dass es ihrem Fall nicht helfen würde.

JACK: Wussten sie, dass du auch die Festplatten voller Zeug hattest?

PROFESSOR DUBSTEP: Naja, das ist das Ding. Ich, ich habe nicht alle Sachen heruntergeladen. Ich pickte mir hier und da ein paar Dinge heraus, aber vieles davon war irgendwie einfach nicht so interessant.

JACK: Die Sache ist die: Professor Dubstep hörte zwar gerne junge Dubstep-Tracks, aber das war offenbar nicht der eigentlich Antrieb für ihn.

PROFESSOR DUBSTEP: Persönlich bin ich nicht wirklich ein Riesenfan. Ich war einfach mehr daran interessiert, diese Dinge zerlegen zu können und mir den Produktionsprozess anzusehen, weil es mir helfen könnte zu lernen, wie man selbst bessere Musik macht, und zu sehen, wie es gemacht wurde, wie das Billboard-Top-100-Zeug gemacht wurde, und ich könnte das nutzen, um mir zu helfen, selbst bessere Dinge zu erschaffen. Es ist eine wertvolle Lernressource.

JACK: Hm, ist das nicht’n bisschen weit hergeholt? Ich mein, man kann auf YouTube Leuten zusehen, wie sie ihre Musik kreieren, und von ihnen lernen. Man kann sich in Gruppen zusammenschließen oder bei Bands zusehen und nachfragen: „Wie macht ihr das? Oh, wow, interessant.“ Aber du denkst dir: „Hm, ich glaube, ich hacke mich in Diplos Dropbox, um es selbst zu lernen.“ Das ist auf jeden Fall ein ganz spezieller Weg zum Lernen.

PROFESSOR DUBSTEP: Ja, ich verstehe deinen Punkt, aber gleichzeitig ist es irgendwie beispiellos, dass man in eine Projektdatei gehen und sich den gesamten Prozess von Anfang bis Ende ansehen kann.

JACK: Die gesamten Projektdateien waren in diesen Ordnern, alle Effekte, Samples und Tonspuren, also alles, was verwendet wurde, um den Song zu machen. Es ist ja so, der Großteil dieser Musik wird in einer DAW, einer digitalen Audio-Workstation, erstellt. Die Software, mit der gearbeitet wird, kann Ableton Live sein oder Adobe Audition, Pro Tools oder ähnliche Programme.

Jedenfalls: wenn man mit diesen Tools die Projekte öffnet, liegt alles vor einem, man kann genau sehen, wie die Songs aufgebaut sind. Und Professor Dubstep hatte die Software an Bord, um sich alles ganz genau anzuschauen. Sie konnten damit nicht nur den Song zerlegen, Tracks und Sounds isolieren, um zu sehen, wie er komponiert wurde, in den Projekten lagen auch verschiedene Versionen desselben Songs. So konnten sie auch nachvollziehen, wie sich der Song im Laufe der Zeit entwickelt hat.

Das sind schon großartige Möglichkeiten für jemanden, der elektronische Musik zu seinem Beruf machen möchte, so detailliert nachvollziehen zu können, wie die Profis arbeiten. Solche tiefen Einblicke hinter die Kulissen erhält man sonst wirklich nie.

Als aufstrebender Podcaster damals hätte ich auch gerne die vollständigen Projektdateien für „This American Life“ oder Sendungen, die mich inspiriert haben, in die Hände bekommen. Das wäre super gewesen, und ich bin mir sicher, dass es mir geholfen hätte, die Komplexität und die Details zu verstehen, wie all das zusammengestellt wird.

Aber nicht nur das: Die Möglichkeit, so viele verschiedene Songs und Projektdateien von Musikern zu sehen, versetzt sie wirklich in die einzigartige Lage, ein so genaues und direktes Verständnis dafür zu entwickeln, wie all diese Musik entstanden ist.

PROFESSOR DUBSTEP: Man muss schon einiges an tiefgehendem Musikwissen haben, um überhaupt herauszufinden, was man da eigentlich ansieht. Die Tatsache, dass ich mir all das ansehen konnte und daraus Erkenntnisse ziehen konnte, die mir später helfen würden, ist im Grunde unbezahlbar. Es ist unbezahlbar.

JACK: Ich stelle mir Professor Dubstep in irgendeiner Art Musik- oder Producerschule vor, wo der Lehrer sagt: „Das ist die richtige Art, wie man diesen Effekt einsetzt.“ Und er antwortet: „Äh, nein, so machen Skrillex oder Diplo oder Major Lazer oder Excision das nicht.“ „Ach ja? Woher weißt du das?“ „Ach, hähä, egal, vergiss es. Mach weiter.“

Jedenfalls: Es hat zwar viel Überzeugungsarbeit gekostet, aber sie konnten das Rechtsteam am Ende dazu bringen, alle Probleme zu beheben.

Das Ende einer Obsession

PROFESSOR DUBSTEP: Ende 2016 war das Finale – ich machte Schluss und hörte auf, all dieses Hacking-Zeug zu tun, was … es ist nicht richtig, es Hacking zu nennen, wirklich. Es ist nicht einmal auf Script-Kiddie-Niveau. Es ist einfach das Durchsuchen von Dingen und die Nutzung von Logik, um zu versuchen, Passwörter herauszufinden. Es ist nicht wirklich wie komplexes Hacker-Zeug. Es ist einfach … ich kenne kein gutes Wort, um es zu beschreiben, aber …

JACK: Ich habe selbst die ganze Episode lang nach nem guten Wort dafür gesucht. „Dieb“ und „stehlen“ passen nicht ganz, da die Originalkopien ja noch vorhanden sind. Ich finde, um von Diebstahl zu sprechen, muss man die Person berauben, sodass sie diese Sache nicht mehr hat. Wenn man etwas online veröffentlicht und jemand eine Kopie davon macht, ist das meiner Meinung nach kein Diebstahl. Das ist einfach nur das Herunterladen einer Kopie. Genau das haben sie getan, oft haben sie einfach Kopien von Dingen heruntergeladen, zu denen es öffentliche Links gab. Sollte es veröffentlicht sein? Nein, aber war es das? Ja. Der Begriff, der meiner Meinung nach am besten dazu passt, ist „Exfiltration“. Sie haben Dateien exfiltriert, die zwar nicht für die Öffentlichkeit bestimmt waren, die aber auch nicht besonders gut geschützt waren. Für mich klingt das genau richtig. Professor Dubstep, professioneller Exfiltrator.

PROFESSOR DUBSTEP: Aber ja, spulen wir vor bis 2019, und ich hatte gerade das College beendet. Ich habe einen Musikkurs am College gemacht. Ich hatte all dieses Zeug hinter mir gelassen. Es hatte sich alles irgendwie beruhigt. Nichts leakte mehr. Keine Accounts waren kompromittiert worden. Naja, zumindest nicht von mir. Ich dachte irgendwie: „Ich finde mal heraus, was die alten Leute heutzutage so machen.“ Ich hatte einen Chat mit Shane. Ich hatte einen Smalltalk mit Arnie. Shane machte immer noch mit dem Zeug weiter, von dem, was ich so mitbekam. Arnie hatte sich davon entfernt und er hatte … ich glaube … ich bin mir ziemlich sicher, er ging zum FBI und bekam eine Sicherheitsfreigabe, Top-Sicherheitsfreigabe für irgendwas. Andere Leute in der xTrill-Crew, bei einigen von ihnen gab es Razzien. Einige von ihnen gingen zum Militär und solche Sachen. Jeder war losgezogen, um verschiedene Dinge zu tun, abgesehen von dem einen Typen, der in die seltsamste und unangenehmste Situation überhaupt geraten war. Spintire war vom Verkäufer und Leaker von so vielen Hunderten Gigabytes an Daten – er war vom Leaken dieser Skrillex-Demos und deren Tausch dazu übergegangen, selbst in Skrillex‘ Produktionsteam zu sein.

JACK: Wow.

PROFESSOR DUBSTEP: Und war jetzt technisch gesehen Skrillex, weil … ja, und damit: Skrillex ist einer von denen, die ghost-produced werden. Er ist nicht echt. Er ist nur ein Gesicht, eine Marke.

JACK: Also du sagst, viel von Skrillex‘ Musik heute wird von jemand anderem gemacht und dann setzt Skrillex einfach seinen Namen drunter.

PROFESSOR DUBSTEP: Alles davon.

JACK: Alles?

PROFESSOR DUBSTEP: Ja, da ist ein Team von … 2019 war das Team mindestens fünf, sechs Leute, die diese Songs zusammenstellten, und das war es eigentlich schon immer. Skrillex‘ erster Release 2009 und 2010, wie „Scary Monsters and Nice Sprites“, seine erste EP, wurde von Noisia ghost-produced, zu einem, naja, ziemlich großen Teil. Vielleicht nicht komplett, aber ein großer Teil seiner Sounds über die Jahre kam von anderen Leuten, die das alles zusammenstellten. Also ja, dieses Ghost-Producing sitzt tief in dieser Szene. So viele der großen Player sind fake.

JACK: Okay, ich kann keinen Artikel finden, in dem steht, dass Skrillex seine Musik nicht selbst macht. Musiker arbeiten ja auch ohnehin ständig mit anderen Musikern zusammen, um Musik zu machen. Das ist keine Überraschung, aber hier wird behauptet, dass diese Musiker die Leute, die bei der Entstehung des Songs mitgewirkt haben, nicht würdigen. Man glaubt also, dass sie es waren, die den Song gemacht haben, aber in Wirklichkeit war es nicht so.

Skrillex beschäftigt sich sicher sehr intensiv mit seiner Musik, aber es gibt nicht wenige Fälle, in denen andere bekannte Musiker beschuldigt wurden, die Musik anderer genommen und als ihre eigene ausgegeben zu haben, ohne das Original zu würdigen oder zu kennzeichnen. Das kommt also vor.

Ehrlich gesagt weiß ich nicht, was ich davon halten soll. Einerseits ist es so, dass ein EDM-Musiker, der nur die Musik anderer spielt, ein DJ ist, und es ist etwas weit hergeholt zu sagen, dass er diese Musik selbst gemacht hat. Andererseits ist es mir doch egal, ob er diesen Song wirklich selbst geschrieben hat oder ihn von jemand anderem schreiben ließ und nur seinen Namen darunter gesetzt hat. Was dabei an Musik rauskommt, ist wichtig. Für mich ist es spannend, weil ich einfach unendlich fasziniert bin von den dunklen Seiten des Internets, und dieser digitale Untergrund ist voller solcher Aktivitäten, aber mit gedämpften Tönen, und das alles direkt vor unserer Nase. Es ist eine Welt, die wir selten sehen, aber manchmal hören.

JACK (Outro): Ein großes Dankeschön an Professor Dubstep für seine Geschichte und dass er sie uns erzählt hat.

Diese Episode wurde im englischen Original von Jack Rhysider erstellt. Den Text haben Isabel Grünewald und Marko Pauli übersetzt und gesprochen.

(igr)

close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Das vor knapp fünf Monaten in Australien eingeführte Social-Media-Verbot für unter 16-Jährige erweist sich offenbar in der Praxis als weitgehend ineffektiv. Nach einer ersten groß angelegten Umfrage der Molly Rose Foundation haben 61 Prozent der befragten 12- bis 15-Jährigen, die bereits vorher Konten besaßen, weiterhin Zugriff auf mindestens eines davon. Plattformen wie TikTok, YouTube und Instagram ergreifen demnach oftmals keine Maßnahmen, um Minderjährige zu identifizieren und auszuschließen.

Für die Erhebung wurden im März 1.050 australische Jugendliche befragt. Die Daten zeigen, dass die Social-Media-Anbieter bisherige Accounts zum großen Teil unangetastet lassen: Bei YouTube gaben 64 Prozent der verbliebenen jungen Nutzer an, der Betreiber habe nichts unternommen, um ihre Konten zu deaktivieren. Bei Instagram und TikTok äußerten dies jeweils rund 60 Prozent. Knapp ein Viertel der Teenager hat Alterskontrollen bei bestehenden Konten zudem aktiv umgangen.

Technische Hilfsmittel wie VPNs kamen dabei lediglich bei vier bis fünf Prozent zum Einsatz. Stattdessen griffen einige Jugendliche Berichten zufolge auf Ausweise ihrer Eltern oder auf bedruckte Masken zurück, um die Gesichtserkennungssysteme zu umgehen.

Jugendschutzziele bisher nicht erreicht

Das politische Kernziel, die Sicherheit von Kindern im Netz zu erhöhen, wird der Umfrage zufolge verfehlt. Über die Hälfte der betroffenen Jugendlichen (51 Prozent) gab an, sich online nicht sicherer zu fühlen als vor dem Verbot. Gleichzeitig weichen die Jugendlichen auf andere digitale Dienste aus: 43 Prozent nutzen verstärkt Gaming-Plattformen, 39 Prozent verbringen mehr Zeit mit Messengern.

Allerdings verzeichnet die Studie auch erste Teilerfolge: Immerhin 31 Prozent der betroffenen Jugendlichen gaben an, sich nun sicherer zu fühlen, und die Hälfte bemerkten, nun weniger Zeit online zu verbringen. Die Stiftung warnt jedoch, dass dieser Effekt mit der Zeit wieder verschwinden könnte.

Die Molly Rose Foundation rät anderen Ländern wie Großbritannien vor diesem Hintergrund davon ab, das australische Gesetz zu kopieren. Ein pauschales Verbot entbinde Tech-Konzerne von ihrer Verantwortung für sicheres Produktdesign und erzeuge lediglich Scheinsicherheit. Die Organisation fordert stattdessen schärfere Regulierungen, um die Plattformbetreiber rechtlich in die Pflicht zu nehmen und gefährliche Algorithmen direkt zu verändern.

Die australische Regierung hatte den Tech-Konzernen bei Gesetzesverstößen bereits mit Klagen vor dem Bundesgericht gedroht. Sie habe demnach Untersuchungen wegen systematischer Verstöße gegen die Altersprüfung eingeleitet. Den Unternehmen sollen bei nachgewiesener Missachtung der Gesetze Bußgelder von bis zu 49,5 Millionen Australischen Dollar (rund 30 Millionen Euro) pro Verstoß drohen.

Weitere Länder könnten Australien folgen

Ab Dezember 2025 hatte Australien als erstes Land ein weitreichendes Social-Media-Verbot für unter 16-Jährige verhängt. Die Regierung wolle damit die psychische Gesundheit der Kinder vor schädlichen Einflüssen aus dem Netz schützen. So sollen Gefahren wie Cybermobbing und suchtfördernde Algorithmen aktiv eingedämmt werden. 4,7 Millionen Konten sind nach Angaben der australischen Behörden anschließend gesperrt worden.

Kritiker bezweifeln jedoch die Wirksamkeit des Verbots, da Jugendliche solche Sperren leicht umgehen könnten. Zudem warnen Experten davor, dass ein Pauschalverbot junge Menschen von wichtigen digitalen Netzwerken und Hilfsangeboten isoliert. Als Alternative fordern Medienpädagogen stattdessen etwa eine gezielte Förderung der digitalen Medienkompetenz und die stärkere Regulierung der Plattformalgorithmen.

Auch in Europa werden ähnliche Social-Media-Verbote diskutiert. Eingesetzt werden könnte etwa eine kürzlich vorgestellte Wallet-App der EU zur Altersverifikation. Bisherige Verbotspläne der deutschen Regierungsparteien CDU und SPD stoßen dabei allerdings auf erhebliche rechtliche Hürden.

(hag)