Doxing
Unter Doxing oder Doxxing versteht man die öffentliche Offenlegung von zuvor privaten persönlichen Informationen über eine Person oder Organisation, in der Regel über das Internet. Zu den Methoden, die eingesetzt werden, um an solche Informationen zu gelangen, gehören das Durchsuchen öffentlich zugänglicher Datenbanken und Websites sozialer Medien (wie Facebook), Hacking und Social Engineering. Doxing kann aus Gründen wie Online-Beschämung, Erpressung und Selbstjustiz zur Unterstützung der Strafverfolgung durchgeführt werden. Es kann auch mit Hacktivismus in Verbindung gebracht werden. ⓘ
Doxing (von englisch dox, Abkürzung für documents ‚Dokumente‘), auch Doxxing, ist das internetbasierte Zusammentragen und anschließende Veröffentlichen personenbezogener Daten, zumeist mit bösartigen Absichten gegenüber den Betroffenen. Zum Teil geht damit auch die Identifizierung anonymer Personen einher. ⓘ
Die Gründe für das Doxing können unterschiedlicher Natur sein, darunter etwa Selbstjustiz, öffentliches Bloßstellen sowie Belästigung. Personen, die vom Doxing betroffen sind, sind oft Folgeattacken ausgesetzt, basierend auf den veröffentlichten Daten. ⓘ
Etymologie
"Doxing" ist ein Neologismus. Er stammt aus einer Abwandlung der Abkürzung "docs" (für "documents") und bezieht sich auf das "Zusammenstellen und Veröffentlichen eines Dossiers mit persönlichen Informationen über eine Person". Im Wesentlichen geht es beim Doxing um die Enthüllung und Veröffentlichung von Unterlagen über eine Person, die zuvor privat oder nur schwer zugänglich waren. ⓘ
Der Begriff Doxing leitet sich von dem Slang "dropping dox" ab, der laut Mat Honan, einem Mitarbeiter von Wired, "eine Rachetaktik der alten Schule ist, die in den 1990er Jahren aus der Hackerkultur hervorgegangen ist". Damals nutzten Hacker, die außerhalb des Gesetzes operierten, die Verletzung der Anonymität eines Gegners als Mittel, um ihn Schikanen oder rechtlichen Konsequenzen auszusetzen. ⓘ
Folglich hat Doxing oft einen negativen Beigeschmack, weil es ein Mittel der Rache durch die Verletzung der Privatsphäre sein kann. ⓘ
Geschichte
Außerhalb von Hacker-Gemeinschaften fanden die ersten prominenten Beispiele für Doxing in Internet-Diskussionsforen im Usenet in den späten 1990er Jahren statt, unter anderem durch Benutzer, die Listen von mutmaßlichen Neonazis in Umlauf brachten. Eines der ersten dokumentierten Doxing-Ereignisse war die Veröffentlichung einer "Blacklist of Net.Nazis and Sandlot Bullies", die Namen, E-Mail-Adressen, Telefonnummern und Postanschriften von Personen auflistete, gegen die der Autor Einwände erhob. Ebenfalls in den späten 1990er Jahren wurde eine Website mit dem Namen "Nuremberg Files" (Nürnberger Akten) ins Leben gerufen, auf der die Privatadressen von Abtreibungsanbietern und Formulierungen zu finden waren, die den Besuchern der Website nahelegten, die aufgeführten Personen zu verfolgen und zu töten. ⓘ
Als 2012 der damalige Gawker-Reporter Adrian Chen die Identität des Reddit-Trolls Violentacrez als Michael Brutsch aufdeckte, beschuldigten Reddit-Nutzer Chen, Brutsch zu verdächtigen, und erklärten Gawker den "Krieg". Mitte der 2010er Jahre brachten die Ereignisse der Gamergate-Belästigungskampagne den Begriff in eine breitere öffentliche Verwendung. Die Teilnehmer der Gamergate-Kampagne wurden dafür bekannt, dass sie sensible Informationen über ihre Zielpersonen an die Öffentlichkeit weitergaben, manchmal in der Absicht, den betreffenden Personen körperlichen Schaden zuzufügen. Caroline Sinders, Forschungsstipendiatin am Center for Democracy and Technology, sagte, dass "Gamergate für viele Menschen, für die Mainstream-Kultur, die Einführung war, was Doxxing ist". ⓘ
Laut The Atlantic wurde von 2014 bis 2020 "die Doxxing-Diskussion von der Frage beherrscht, ob die Demaskierung einer pseudonymen Person mit einer großen Fangemeinde ein unnötiger und gefährlicher Eingriff in ihre Privatsphäre ist." Als Newsweek 2014 versuchte, den pseudonymen Entwickler von Bitcoin ausfindig zu machen, wurde das Magazin von Kryptowährungsfans des Doxing beschuldigt. Als 2016 ein italienischer Journalist versuchte, die Identität der pseudonymen italienischen Schriftstellerin Elena Ferrante herauszufinden, wurde der Journalist der geschlechtsspezifischen Belästigung beschuldigt und Vox bezeichnete die Suche als "das Doxxing von Elena Ferrante". Als die New York Times im Jahr 2020 andeutete, dass sie den echten Namen des kalifornischen Psychiaters, der den Blog Slate Star Codex betreibt, veröffentlichen wollte, warfen Fans des Blogs der Times "Doxing" vor. Der Betreiber des Blogs beschuldigte die Times, seine Sicherheit zu bedrohen, und behauptete, er habe einen "großen Skandal" ausgelöst, der dazu geführt habe, dass die Times Hunderte oder Tausende von Abonnements verloren habe. ⓘ
Im Jahr 2022 nutzte die BuzzFeed News-Reporterin Katie Notopoulos öffentliche Geschäftsunterlagen, um die bis dahin pseudonymen Gründer des Bored Ape Yacht Club zu identifizieren. Greg Solano, einer der Gründer des Clubs, behauptete, dass er "gegen meinen Willen gedoxt wurde". ⓘ
Am 19. April 2022 enthüllte der Reporter Taylor Lorenz von der Washington Post, dass es sich bei der Person hinter dem Twitter-Account Libs of TikTok um Chaya Raichik handelt, die im Immobilienbereich arbeitet. Daraufhin beschuldigten Raichik und Rechtsextremisten Lorenz des Doxing. ⓘ
Doxware ist ein von Adam Young erfundener und mit Moti Yung weiterentwickelter Kryptovirologie-Angriff, der Doxing-Erpressungen über Malware durchführt. Er wurde erstmals 2003 in West Point vorgestellt. Der Angriff basiert auf der Spieltheorie und trug ursprünglich den Titel "non-zero-sum games and survivable malware". ⓘ
Der Angriff wird in dem Buch Malicious Cryptography wie folgt zusammengefasst:
Der Angriff unterscheidet sich von einem Erpressungsangriff in folgender Hinsicht. Beim Erpressungsangriff wird dem Opfer der Zugang zu seinen eigenen wertvollen Informationen verweigert, und es muss zahlen, um sie zurückzubekommen, während bei dem hier vorgestellten Angriff das Opfer den Zugang zu den Informationen behält, deren Offenlegung jedoch im Ermessen des Computervirus liegt. ⓘ
Doxware ist das Gegenstück zu Ransomware. Bei einem Ransomware-Angriff (ursprünglich als kryptovirale Erpressung bezeichnet) verschlüsselt die Malware die Daten des Opfers und verlangt eine Zahlung für die Bereitstellung des benötigten Entschlüsselungsschlüssels. Bei einem Doxware-Angriff mit Kryptoviren stiehlt der Angreifer oder die Malware die Daten des Opfers und droht damit, sie zu veröffentlichen, wenn nicht eine Gebühr gezahlt wird. ⓘ
Gängige Techniken
Sobald Personen durch Doxing enttarnt wurden, können sie durch Methoden wie persönliche Belästigung, gefälschte Anmeldungen für Post- und Pizzalieferungen oder durch Swatting (Entsendung bewaffneter Polizisten zu ihrem Haus durch gefälschte Hinweise) belästigt werden. ⓘ
Ein Hacker kann sich die Daten einer Person beschaffen, ohne sie zu veröffentlichen. Ein Hacker kann nach diesen Informationen suchen, um ein bekanntes oder unbekanntes Ziel zu erpressen oder zu zwingen. Ein Hacker kann auch die Daten eines Opfers abgreifen, um in dessen Internetkonten einzubrechen oder dessen Konten in sozialen Medien zu übernehmen. ⓘ
Es kann auch vorkommen, dass Opfern ihre Daten als Beweis dafür gezeigt werden, dass sie als eine Form der Einschüchterung entlarvt worden sind. Der Täter kann diese Angst nutzen, um Macht über die Opfer zu erlangen, um sie zu erpressen oder zu nötigen. Doxing ist daher eine Standardtaktik der Online-Belästigung und wurde von Personen im Zusammenhang mit den Kontroversen um Gamergate und Impfstoffe eingesetzt. ⓘ
Beispiele
Doxing stellt ein Standard-Instrument der Internet-Bewegung Anonymous sowie verwandter Gruppen wie LulzSec und AntiSec dar. ⓘ
Renrou Sousuo ist ein Beispiel für kollektives Doxing. Dies ist ein chinesisches Internet-Phänomen, bei dem viele Internetnutzer gemeinsam Informationen über eine bestimmte Person zusammentragen und die Zielperson damit für vermeintlich verwerfliche Taten an den Pranger stellen. ⓘ
Ein weiteres Beispiel ist die Veröffentlichung von Privatadressen und Telefonnummern von Unterzeichnern des Aufrufs Wir sind die Urheber, eines Protests gegen Angriffe auf das Urheberrecht und gegen den Diebstahl geistigen Eigentums. ⓘ
Im Jahr 2016 wurde der Gesichtserkennungs-Dienst FindFace dazu benutzt, die Identität mutmaßlicher russischer Prostituierter und Porno-Darstellerinnen zu veröffentlichen. ⓘ
Im Dezember 2018 fand das bisher bekannteste Doxing statt. Über den Twitter-Account @_0rbit bzw. G0D wurden täglich in einer Art Adventskalender massenhaft private Daten von Politikern veröffentlicht, welche aber erst am 4. Januar 2019 einer breiten Öffentlichkeit bekannt wurden. Social-Media-Protagonisten klagten, dass sie bisher erfolglos seit Jahren gegen Doxer kämpften, die Politik jedoch erst bereit sei, sich mit dem Thema zu beschäftigen, seitdem auch Politiker betroffen seien. Details und Folgen siehe Hack und Veröffentlichung privater Daten deutscher Politiker und Prominenter 2018/2019. ⓘ
Doxing von Abtreibungsanbietern
In den Vereinigten Staaten sicherten sich Abtreibungsgegner in den 1970er und 80er Jahren (auf Papier) und in den 1990er Jahren (digital) die persönlichen Daten von Abtreibungsgegnern, z. B. Wohnadressen, Telefonnummern und Fotos, und stellten sie in eine Abschussliste ein. Später wurde dies von den Gerichten als unmittelbare Aufforderung zur Gewalt gewertet. Die Legende der Website erklärte: "Schwarze Schrift (arbeitend); ausgegrauter Name (verwundet); durchgestrichen (tödlich)". Die Website enthielt bluttriefende Grafiken, feierte den Tod von Anbietern und stiftete andere dazu an, die übrigen Anbieter auf der Liste zu töten oder zu verletzen. Zwischen 1993 und 2016 wurden acht Abtreibungsanbieter von Abtreibungsgegnern getötet, außerdem mindestens vier Polizeibeamte. ⓘ
Suchmaschine für Menschenfleisch
Das im März 2006 gestartete chinesische Internetphänomen der "Suchmaschine für menschliches Fleisch"(人肉搜索) hat viel mit Doxing gemeinsam. Insbesondere bezieht es sich auf die verteilte, manchmal absichtliche Crowdsourcing-Suche nach ähnlichen Arten von Informationen durch die Nutzung digitaler Medien. ⓘ
Anonym
Der Begriff "dox" ist durch die Medienaufmerksamkeit, die Anonymous, die internetbasierte Gruppe von Hacktivisten und Scherzkeksen, die häufig von doxing Gebrauch machen, sowie verwandte Gruppen wie AntiSec und LulzSec auf sich gezogen haben, in das öffentliche Bewusstsein gelangt. Die Washington Post hat die Folgen für unschuldige Menschen, die fälschlicherweise eines Fehlverhaltens beschuldigt und mit einem Doxing versehen werden, als "alptraumhaft" beschrieben. ⓘ
Im Dezember 2011 veröffentlichte Anonymous detaillierte Informationen von 7.000 Mitgliedern der Strafverfolgungsbehörden als Reaktion auf Ermittlungen zu Hacking-Aktivitäten. ⓘ
Im November 2014 begann Anonymous, die Identitäten von Mitgliedern des Ku-Klux-Klan zu veröffentlichen. Dabei ging es um lokale Klan-Mitglieder in Ferguson, Missouri, die damit drohten, diejenigen zu erschießen, die gegen die Erschießung von Michael Brown protestierten. Anonymous übernahm auch die Twitter-Seite der Gruppe, was die Klan-Mitglieder dazu veranlasste, verschleierte Gewaltdrohungen gegen Mitglieder von Anonymous auszusprechen. Im November 2015 war eine größere Veröffentlichung von Informationen über den KKK geplant. Diskreditierte Informationen wurden vorzeitig veröffentlicht, und Anonymous leugnete eine Beteiligung. Am 5. November 2015 (Guy-Fawkes-Nacht) veröffentlichte Anonymous eine offizielle Liste von angeblichen, aber derzeit nicht verifizierten KKK-Mitgliedern und -Sympathisanten. ⓘ
Boston-Marathon
Nach dem Bombenanschlag auf den Boston-Marathon am 15. April 2013 identifizierten Mitglieder der Bürgerwehr auf Reddit fälschlicherweise eine Reihe von Personen als Verdächtige. Zu den falsch identifizierten Verdächtigen gehörte Sunil Tripathi, ein Student, der vor den Bombenanschlägen als vermisst gemeldet wurde. Wie die Gesundheitsbehörde von Rhode Island mitteilte, wurde am 25. April 2013 im Providence River in Rhode Island eine Leiche gefunden, bei der es sich um Tripathi handeln soll. Die Todesursache war nicht sofort bekannt, aber die Behörden sagten, sie vermuteten kein falsches Spiel. Die Familie bestätigte später, dass Tripathis Tod eine Folge von Selbstmord war. Der Reddit-Geschäftsführer Erik Martin entschuldigte sich später für dieses Verhalten und kritisierte die "Online-Hexenjagden und gefährlichen Spekulationen", die auf der Website stattfanden. ⓘ
Journalisten
Journalisten der "Journal News" aus Westchester County, New York, wurden beschuldigt, in einer im Dezember 2012 veröffentlichten Geschichte Waffenbesitzer in der Region zu dopen. ⓘ
Newsweek wurde kritisiert, als die Autorin Leah McGrath Goodman behauptete, die Identität des anonymen Schöpfers von Bitcoin, Satoshi Nakamoto, enthüllt zu haben. Obwohl sie sich in erster Linie auf die öffentlichen Aufzeichnungen stützte, reagierten die Nutzer auf Reddit ablehnend. ⓘ
Der Fall Satoshi Nakamoto brachte dem Doxing auf Plattformen wie Twitter größere Aufmerksamkeit ein, wo die Nutzer die Ethik des Doxing im Journalismus in Frage stellten. Viele Twitter-Nutzer argumentierten, dass diese Praxis für professionelle Journalisten anscheinend akzeptabel, für alle anderen jedoch falsch sei. Andere Nutzer erörterten die Auswirkungen, die die Popularisierung des Konzepts des Doxing auf den Journalismus im öffentlichen Interesse haben könnte, und warfen Fragen über den Journalismus in Bezug auf öffentliche und private Personen auf, bei denen Journalisten, die Doxing praktizieren, die Grenze zwischen der Berichterstattung über Informationen im öffentlichen Interesse und der Veröffentlichung von Informationen über das Privatleben einer Person ohne deren Zustimmung verwischen könnten. ⓘ
Im September 2019 veröffentlichte das Des Moines Register rassistische Tweets eines 24-jährigen Mannes aus Iowa, dessen Bierschild beim ESPN College GameDay zu Spenden in Höhe von über 1 Million Dollar für ein Kinderkrankenhaus führte. Leserinnen und Leser rächten sich, indem sie Kommentare des Reporters Aaron Calvin in den sozialen Medien teilten, die rassistische Verunglimpfungen und Verurteilungen der Strafverfolgungsbehörden enthielten. Die Zeitung gab später bekannt, dass sie Calvin nicht mehr beschäftigt. ⓘ
Curt Schilling
Im März 2015 nutzte der ehemalige Major League Baseball (MLB) Pitcher Curt Schilling das Doxing, um mehrere Personen zu identifizieren, die für "Twitter-Troll"-Posts mit obszönen, sexuell eindeutigen Kommentaren über seine Teenager-Tochter verantwortlich waren. Eine Person wurde von ihrem Community College suspendiert, eine andere verlor ihren Teilzeitjob bei den New York Yankees. ⓘ
Alondra Cano
Im Dezember 2015 veröffentlichte die Stadträtin von Minneapolis, Alondra Cano, über ihren Twitter-Account private Handynummern und E-Mail-Adressen von Kritikern, die über ihre Teilnahme an einer Black-Lives-Matter-Kundgebung geschrieben hatten. ⓘ
HIPAA Bundesregister 6039G
Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) ist ein US-Bundesgesetz, das die Schaffung nationaler Standards vorschreibt, um sensible Gesundheitsdaten von Patienten vor der Weitergabe ohne deren Zustimmung oder Wissen zu schützen. Eingebettet in dieses Gesetz, das die Privatsphäre der Patienten schützen soll, ist ironischerweise eine Bestimmung, die den Internal Revenue Service (IRS) dazu verpflichtet, die Namen von Amerikanern zu veröffentlichen, die auf ihre US-Staatsbürgerschaft verzichten oder diese aufgeben. Die IRS wird eine vierteljährliche Veröffentlichung der Personen veröffentlichen, die sich für eine Auswanderung entschieden haben, wie in Abschnitt 6039G gefordert, 81 Fed. Reg. 50058. Die Expatriierungsbestimmungen wurden als "Einnahmeausgleich... zur Vermeidung einer Erhöhung des Haushaltsdefizits" aufgenommen. Die ausdrückliche Absicht stammt aus dem "Expatriation Tax Act of 1995" von Bill Archer, um die expatriierenden Personen öffentlich zu beschämen. ⓘ
Lou Dobbs
Im Jahr 2016 gab der Fox Business-Nachrichtensprecher Lou Dobbs die Adresse und Telefonnummer von Jessica Leeds preis, einer der Frauen, die den amerikanischen Präsidentschaftskandidaten Donald Trump unangemessener sexueller Annäherungsversuche beschuldigten; Dobbs entschuldigte sich später. ⓘ
Erdoğan-E-Mails
Im Juli 2016 veröffentlichte WikiLeaks 300.000 E-Mails, die sogenannten Erdoğan-E-Mails, von denen man zunächst annahm, dass sie dem türkischen Präsidenten Recep Tayyip Erdoğan schaden. Michael Best, der die von WikiLeaks geförderten Datenbanken mit Informationen über türkische Bürgerinnen und Bürger hochgeladen hatte, meldete sich zu Wort und erklärte, dass dies ein Fehler gewesen sei, nachdem die Website, auf der er die Informationen hochgeladen hatte, diese wieder entfernt hatte. Die Dateien wurden aufgrund von Datenschutzbedenken entfernt. Sie enthielten Tabellen mit privaten, sensiblen Informationen über anscheinend jede Wählerin in 79 von 81 Provinzen der Türkei, einschließlich ihrer Wohnadressen und anderer privater Informationen, manchmal auch ihrer Handynummern. ⓘ
Michael Hirsh
Im November 2016 trat der Politico-Redakteur Michael Hirsh zurück, nachdem er die Privatadresse des weißen Nationalisten Richard B. Spencer auf Facebook veröffentlicht hatte. ⓘ
Beratende Kommission des US-Präsidenten für die Integrität der Wahlen
Im Juli 2017 veröffentlichte die Presidential Advisory Commission on Election Integrity, die im Mai 2017 von US-Präsident Donald Trump eingesetzt wurde, um seinen umstrittenen Vorwurf des Wahlbetrugs zu untersuchen, ein 112-seitiges Dokument mit ungeschwärzten E-Mails öffentlicher Kommentare zu ihrer Arbeit, die sowohl Kritiker als auch einige Befürworter der Kommission enthielten. Die Kommission hat die persönlichen Daten dieser Kritiker, wie Namen, E-Mail-Adressen, Telefonnummern und Wohnadressen, veröffentlicht. Die meisten Kommentatoren, die an das Weiße Haus schrieben, äußerten sich besorgt über die Veröffentlichung ihrer persönlichen Daten, wobei eine Person schrieb: "VERÖFFENTLICHEN SIE KEINE MEINER WÄHLERDATEN PERIOD". Trotzdem wurden der Name und die E-Mail-Adresse dieser Person von der Kommission veröffentlicht. ⓘ
Dieses Vorgehen wurde von Theresa Lee, einer Anwältin der American Civil Liberties Union's Voting Rights Project, kritisiert: "Diese unbekümmerte Haltung gegenüber den persönlichen Daten der Öffentlichkeit ist besonders besorgniserregend, wenn man bedenkt, dass die Kommission sensible Daten über jeden registrierten Wähler im Land anfordert." Das Weiße Haus verteidigte die Veröffentlichung der persönlichen Daten mit dem Hinweis, dass alle gewarnt wurden, dass dies passieren könnte. Der ehemalige stellvertretende Arbeitsminister Chris Lu erklärte jedoch, dass das Weiße Haus unabhängig von der Rechtmäßigkeit eine moralische Verpflichtung zum Schutz sensibler Daten habe: "Unabhängig davon, ob es rechtmäßig ist oder nicht, diese persönlichen Daten zu veröffentlichen, ist es eindeutig unangemessen, und kein verantwortungsbewusstes Weißes Haus würde dies tun. ⓘ
Bundesbehörden bitten häufig um öffentliche Kommentare zu Gesetzesvorschlägen und veröffentlichen diese. Regulations.gov, das für öffentliche Kommentare vorgesehen ist, enthält eine Reihe detaillierter Richtlinien, in denen erklärt wird, wie Kommentare eingereicht werden können, welche Art von persönlichen Informationen gesammelt werden und wie diese Informationen verwendet werden können. Die Wertpapier- und Börsenaufsichtsbehörde (Securities and Exchange Commission) beispielsweise warnt die Kommentatoren, "nur Informationen einzureichen, die Sie der Öffentlichkeit zugänglich machen wollen". Eine andere Behörde, die Federal Trade Commission, weist die Kommentatoren darauf hin, dass "veröffentlichte Kommentare den Nachnamen und das Bundesland/Land des Kommentators sowie den gesamten Text des Kommentars enthalten. Bitte geben Sie keine sensiblen oder vertraulichen Informationen an". Das Weiße Haus scheint jedoch keine derartigen öffentlichen Richtlinien oder Warnungen herausgegeben zu haben, bevor viele der E-Mails verschickt wurden. Marc Lotter, Pressesprecher von Mike Pence, erklärte: "Dies sind öffentliche Kommentare, ähnlich wie Personen, die vor der Kommission erscheinen, um Kommentare abzugeben, und ihren Namen nennen, bevor sie sich äußern. Die Bekanntmachung der Kommission im Bundesregister, in der sie um öffentliche Kommentare bittet, und ihre Website machen deutlich, dass Informationen 'einschließlich Namen und Kontaktinformationen', die an diese E-Mail-Adresse gesendet werden, veröffentlicht werden können." ⓘ
Demokratischer Praktikant des US-Repräsentantenhauses
Am 3. Oktober 2018 wurde Jackson Cosko, ein Praktikant der Demokratischen Partei im Repräsentantenhaus, von der U.S. Capitol Police (USCP) verhaftet. Er soll private, identifizierende Informationen von mehreren Senatoren auf Wikipedia gepostet haben. Nach Angaben der USCP wurden die persönlichen Daten der republikanischen Senatoren Lindsey Graham, Mike Lee und Orrin Hatch in der Vorwoche, am Donnerstag, den 27. September 2018, anonym in Wikipedia veröffentlicht. Zu den Informationen gehörten Wohnadressen und Telefonnummern. Alle drei Gesetzgeber gehören dem Justizausschuss des Senats an. Das angebliche Doxing fand während der Anhörung des Kandidaten für den Obersten Gerichtshof, Richter Brett Kavanaugh, statt. Cosko wurde zunächst wegen Zeugenbeeinflussung, Bedrohung in der zwischenstaatlichen Kommunikation, unbefugtem Zugriff auf einen Regierungscomputer, Identitätsdiebstahl, Einbruch zweiten Grades und unrechtmäßigem Eindringen angeklagt. Cosko wurde nach seiner Verhaftung entlassen. Er arbeitete mit der demokratischen Abgeordneten Sheila Jackson Lee (D-TX), Senatorin Dianne Feinstein (D-Calif), Senatorin Maggie Hassan (D-N.H.) und der ehemaligen Senatorin Barbara Boxer (D-Calif) zusammen. Bei einer Verurteilung in allen sechs Anklagepunkten hätte Cosko eine Haftstrafe von bis zu 20 Jahren drohen können. Im Juni 2019 wurde er jedoch von Richter Thomas F. Hogan zu vier Jahren Gefängnis verurteilt. Eine Komplizin, Samantha DeForest Davis, wurde zu zwei Jahren Bewährung unter Aufsicht und gemeinnütziger Arbeit verurteilt. ⓘ
Rechtsbehelfe
Derzeit gibt es nur wenige Rechtsmittel für die Opfer von Doxing. In den Vereinigten Staaten gibt es derzeit zwei Bundesgesetze, die das Problem des Doxing angehen könnten: das Interstate Communications Statute und das Interstate Stalking Statute. Einem Wissenschaftler zufolge sind diese Gesetze jedoch völlig unzureichend, um Doxing zu verhindern, da ihre Bestimmungen zu wenig umfassend sind und sie nur selten durchgesetzt werden. Das Interstate Communications Statute beispielsweise "kriminalisiert nur ausdrückliche Drohungen, eine Person zu entführen oder zu verletzen". In vielen Fällen von Doxing droht ein Doxer jedoch nie ausdrücklich mit Entführung oder Verletzung, aber das Opfer könnte dennoch guten Grund haben, sich zu fürchten. Und das zwischenstaatliche Stalking-Statut "wird selten durchgesetzt und dient nur als hohler Schutz vor Online-Belästigung". Zur Veranschaulichung: Jedes Jahr werden mehr als drei Millionen Menschen über das Internet belästigt, doch nur drei Personen werden auf der Grundlage des Interstate Stalking Statute angeklagt. Die fehlende Durchsetzung auf Bundesebene bedeutet also, dass die Staaten eingreifen müssen, wenn das Doxing eingedämmt werden soll". ⓘ
Anti-Doxing-Dienste
Parallel zum Anstieg des Doxing hat sich die Cybersicherheit, der Datenschutz im Internet, die Online Privacy Alliance und sogar Unternehmen, die Anti-Doxing-Dienste anbieten, weiterentwickelt. In jüngster Zeit haben bekannte Gruppen wie die University of California Berkeley Online-Anleitungen zum Schutz ihrer Community-Mitglieder vor Doxing erstellt. Wired veröffentlichte einen Artikel über den Umgang mit Doxing, in dem Eva Galperin von der Electronic Frontier Foundation rät: "Googeln Sie sich selbst, sperren Sie sich ab, erschweren Sie den Zugriff auf Informationen über Sie." ⓘ
Strafrecht
Festland China
Seit dem 1. März 2020 gelten in der Volksrepublik China die "Vorschriften zur ökologischen Steuerung von Online-Informationsinhalten", die klarstellen, dass Nutzer und Produzenten von Online-Informationsinhaltsdiensten und -plattformen sich nicht an Online-Gewalt, Doxing, Datenfälschung, Datenbetrug, Kontomanipulation und anderen illegalen Aktivitäten beteiligen dürfen. ⓘ
Hongkong
Ab 2021 ist Doxing in Hongkong eine Straftat, wobei Doxing als die Veröffentlichung privater oder nicht öffentlicher Informationen über eine Person zum Zwecke der "Bedrohung, Einschüchterung, Belästigung oder zur Verursachung psychologischen Schadens" definiert wird. Personen, die nach diesem Gesetz verurteilt werden, müssen mit einer Freiheitsstrafe von bis zu 5 Jahren und einer Geldstrafe von 1.000.000 HK$ (128.324,40 US$) rechnen. ⓘ
Südkorea
Südkorea ist eines der wenigen Länder mit einem Strafgesetz, das sich speziell mit Doxing befasst. Artikel 49 des "Gesetzes über die Förderung der Nutzung von Informations- und Kommunikationsnetzen und den Schutz von Informationen" verbietet die unrechtmäßige Sammlung und Verbreitung privater Informationen wie vollständiger Name, Geburtsdatum, Adresse, Ähnlichkeit und alle anderen Informationen, die in der Summe betrachtet ausreichen, um bestimmte Personen zu identifizieren, unabhängig von der Absicht. In der Praxis stützen sich Klagen jedoch aufgrund der Zweideutigkeit des Begriffs "unrechtmäßige Sammlung" privater Informationen in dem genannten Gesetz häufig auf Artikel 44 desselben Gesetzes, der die Beleidigung einer Person durch herabsetzende oder profane Sprache sowie die Verleumdung einer Person durch die Verbreitung von Fehlinformationen oder privilegierten Sachinformationen, die den Ruf oder die Ehre einer Person schädigen können (was bei einem Doxing-Vorfall häufig der Fall ist), verbietet. Es ist wichtig anzumerken, dass diese spezielle Klausel härtere Höchststrafen vorsieht als das "traditionelle" Verleumdungsgesetz im koreanischen Strafgesetzbuch und ursprünglich teilweise als Reaktion auf die Zunahme von Selbstmorden unter Prominenten aufgrund von Cybermobbing erlassen wurde. ⓘ
Die Niederlande
Im Jahr 2021 schlug der damalige Minister für Justiz und Sicherheit, Ferdinand Grapperhaus, ein neues Gesetz gegen Doxing vor, da sich die Zahl der Doxing-Vorfälle gegen niederländische Aktivisten, Politiker, Journalisten und andere Personen erhöhte. Das Gesetz zielt darauf ab, diejenigen einzuschränken, die private Informationen mit der Absicht der Einschüchterung weitergeben, und sieht eine Höchststrafe von einem Jahr Gefängnis vor. ⓘ
Informationsgewinnung
Die personenbezogenen Daten können auf vielfältige Weise gesammelt werden. Eine Herangehensweise zur Informationsgewinnung besteht in der Durchsuchung öffentlich zugänglicher Datenbanken. Darunter fallen etwa Onlinemedien sowie Telefon-, Adress- und Mitgliederverzeichnisse. ⓘ
Viele Informationen lassen sich zudem in sozialen Medien finden. Dabei wird ausgenutzt, dass viele Internetnutzer dort sehr freizügig mit persönlichen Daten, etwa Postings, Bilder, Kontakte und Gruppenzugehörigkeiten, umgehen. ⓘ
Eine weitere Möglichkeit besteht im Social Engineering. Darunter versteht man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhalten hervorzurufen, – sie zum Beispiel zur Preisgabe vertraulicher Informationen zu bewegen. Dazu gehört oftmals, dass der Angreifer Identitäten vortäuscht oder sich als Behördenvertreter ausgibt. ⓘ
Beim Hacking (einer weiteren Methode zur Informationsgewinnung) wird durch das unerlaubte Eindringen in fremde Systeme unter Ausnutzung von Sicherheitslücken Zugriff auf das System erlangt, wodurch entsprechende Daten abgegriffen werden können. ⓘ