Trump-Team: Wie Handynummern von US-Ministern im Netz landen

Was als spektakulärer Skandal um einen Journalisten bei einer vertraulichen Militär-Besprechung in den USA begann, hat kurz darauf direkt das nächste Datenleck aufgedeckt. Nicht nur, dass wichtige Sicherheitspolitiker der USA bis hoch zu Verteidigungsminister Pete Hegseth Angriffspläne in einer Chatgruppe auf dem kommerziellen Messengerdienst Signal besprachen. Recherchen zeigen nun: Dieselben Politiker scheinen auch sonst einen laxen Umgang mit sensiblen Daten zu pflegen.

Das Magazin "Spiegel" fand im Netz private Daten wie Handynummern, Mailadressen und sogar Passwörter von gleich mehreren wichtigen Beamten, die mit der nationalen Sicherheit der USA betraut sind. Die Recherche wirft Fragen auf: Wie kommen diese Daten ins Internet? Warum kann das ein Sicherheitsrisiko sein und was sagt das über die US-Regierung aus? ZDFheute mit einem Überblick.

Vor allem Kontaktdaten wie Handynummern und private Mailadressen der wichtigsten US-Sicherheitspolitiker sind online auffindbar. Recherchen von ZDFheute zeigen: Über eine Datenbank für Headhunter lassen sich für Verteidigungsminister Pete Hegseth zwei Handynummern, drei Festnetznummern und drei Mailadressen finden. Eine kommerzielle Personensuchmaschine zeigt für den nationalen Sicherheitsberater Michael Waltz gleich sieben Mailadressen, eine Handynummer und eine Festnetznummer an.

Die Politiker nutzen manche der Adressen ausgiebig für ihr digitales Leben im Internet: Allein mit einer der privaten Mailadresse von Waltz wurden 33 Accounts auf verschiedensten Webseiten angelegt - bei Sozialen Netzwerken, Bezahldienstleistern, Fitness-Apps, Lese-Plattformen. Bei Hegseth sind es 24 Accounts, die mit einer privaten Mailadresse angelegt wurden. Und manche der Accounts wurden offenbar erst wenige Stunden zuvor genutzt - die Mailadressen sind also aktuell.

Das gilt auch für manche der angezeigten Handynummern: Noch vor wenigen Tagen war mit einer der Mobilfunknummern von Hegseth ein WhatsApp-Account verknüpft, wie der "Spiegel" berichtet. Auch für die Handynummer von US-Geheimdienstkoordinatorin Tulsi Gabbard gibt es demnach einen aktiven WhatsApp-Account und ein Signal-Profil.

Von Verteidigungsminister Hegseth sind mehrere Rezensionen bei Google auffindbar - von einer Zahnarztpraxis bis zu einem Unternehmen für Rohrreinigung.

Selbst Passwörter der Betroffenen sind online auffindbar, wie auch der "Spiegel" berichtete: ZDFheute konnte in sogenannten Datenleaks im Netz mehrere verschiedene Passwörter finden, die mit Accounts von Waltz verknüpft sind. Ob diese aktuell oder alt sind, wurde nicht überprüft. Die Regeln für sichere Passwörter schien der Nationale Sicherheitsberater der USA dabei offenbar nicht einzuhalten - manche sind überraschend kurz, enthalten vollständige Wörter und sind entsprechend leicht zu knacken.

Viele private Daten werden von Internet-Nutzern selbst bereitgestellt - etwa indem man besonders neugierige Apps auf seinem Handy installiert hat, die zum Beispiel das komplette Adressbuch mit sämtlichen Namen und Telefonnummern an Dritte weitergeben.

Der Handel mit solchen privaten Daten im Netz ist ein lukratives Geschäft. Von kriminellen Hackern bis zu regulären Digitalunternehmen beteiligen sich sehr unterschiedliche Akteure daran. Nach den europäischen Datenschutz-Vorgaben sind viele der Angebote zwar problematisch bis illegal - in anderen Ländern wird das aber teils anders bewertet.

Wie eine einzelne Information bei einem konkreten Anbieter gelandet ist, lässt sich meist kaum nachvollziehen - das verschleiern die Anbieter meist, um sich nicht angreifbar zu machen. Zudem werden Datenpakete oft immer wieder neu geschnürt und weiterverkauft.

Handynummern oder Mailadressen können für digitale Angriffe aller Art genutzt werden - es kann zu Phishing-Attacken kommen oder feindliche Geheimdienste könnten versuchen, Konten zu hacken. Eine weitere Gefahr ist das sogenannte "Social Engineering" - also das Täuschen und Manipulieren von Personen mithilfe dieser digitalen Daten.

Dass der US-Verteidigungsminister etwa auf seinem Google-Konto öffentlich sichtbar lokale Handwerksbetriebe rezensiert hat, könnte ein Angreifer nutzen, um sich als einer dieser Handwerker auszugeben, oder umgekehrt private Informationen über den Minister bei diesen Betrieben abzugreifen.

Feindliche Geheimdienste oder Attentäter können solche Informationen nutzen, um neue Angriffswege zu entwickeln - gibt es ein lokales Restaurant, das ein Politiker schätzt und wo man eventuell auch dessen Familienmitglieder antreffen könnte? Oder welche Sicherheitstechnik oder Überwachungskameras hat ein Installateur im Angebot, bei dem ein wichtiger Militärkunde ist? Die Optionen scheinen endlos.

Der Fall zeigt erneut, wie schwierig Datenschutz im Netz umzusetzen ist. Dass selbst hochrangige Sicherheitspolitiker betroffen sind, wirft jedoch die Frage auf, warum sie nicht besser geschützt werden - beziehungsweise nicht selbst vorsichtiger sind.

Vor ihrem Amtsantritt mussten Hegseth, Gabbard und andere hohe Offizielle eine umfassende Sicherheitsüberprüfung der US-Bundespolizei und ein Anhörungsverfahren vor dem Senat durchlaufen. Dabei werden normalerweise auch ihre digitalen Spuren im Internet durchleuchtet, inklusive privatester Details zum Umfeld und der eigenen Vergangenheit.

Dazu gibt es detaillierte Formulare: Allein der Fragebogen für Personen mit Bezug zur nationalen Sicherheit umfasst ganze 136 eng bedruckte Seiten. Dort mussten die Kandidaten auch explizit unterschreiben, dass es Ermittlern im Rahmen der Sicherheitsüberprüfung erlaubt ist, die digitalen Daten der Bewerber zu durchleuchten.

Das überparteiliche Center for Presidential Transition schreibt in einem Leitfaden über den Auswahlprozess von neuen US-Regierungen, dass der genannte Fragebogen auch das Ziel verfolge, Informationen über Bewerber offenzulegen, "die in der Vergangenheit zu Skandalen geführt haben". Dass es den US-Behörden in diesem Zusammenhang offenbar nicht aufgefallen ist, welche Informationen über die Kandidaten im Netz zu finden sind, wirft ein schlechtes Licht auf den gesamten Auswahlprozess der Trump-Administration.

Für einfache Internetnutzer ist es nicht leicht, persönliche Daten wieder aus dem Netz herauszubekommen. Für die US-Sicherheitsbehörden ist das jedoch keine unlösbare Aufgabe - zumal viele der Personensuchmaschinen und kommerziellen Datenanbieter auf ihren Webseiten erklären, dass personenbezogene Daten auf Anfrage entfernt werden können. Warum das in diesen Fällen offenbar nicht geschehen ist, ist schwer erklärbar.