Es gab wohl ein Datenleck bei Twitch, wie u.a. Heise berichtet – dabei wurden massenhaft Daten abgegriffen. Inzwsichen scheint Twitch den Vorfall bestätigt zu haben, wobei ein (bisher) anonymer Hacker behauptet, er habe den gesamten Quellcode von Twitch und die Auszahlungsdaten der Nutzer zugänglich gemacht. Die Angelegenheit könnte insgesamt für einige Nutzer äußerst unschön werden.
Worum geht es bei Twitch-Leaks?
Der Angreifer hat am Mittwoch einen ca. 125 GB großen Torrent-Link auf 4chan gepostet und erklärt, dass die Offenlegung dazu dienen soll, „mehr Störung und Wettbewerb im Online-Videostreaming-Bereich zu fördern“, weil die Twitch-Gemeinschaft“eine ekelhafte, giftige Kloake ist“.
Das Datenpaket umfasst bisher wohl:
- Den gesamten Quellcode von Twitch mit der Historie der Übertragungen,
- Auszahlungsberichte für Schöpfer ab 2019
- Mobile, Desktop- und Konsolen-Twitch-Clients
- Proprietäre SDKs und interne AWS-Dienste, die von Twitch verwendet werden
- Twitch-interne „Red Teaming“-Tools
Betroffene von Twitch-Accounts sollten sofort reagieren, insbesondere Zugangsdaten ändern und geeignete zusätzliche Sicherungsmaßnahmen ergreifen.
Auswirkungen in Form von Ermittlungsverfahren
Natürlich hat sich der Angreifer strafbar gemacht, gleich wie ehrbar angeblich die eigenen Motive sein mögen (das „ehrbare“ verhindert dann nur das Abrutschen in eine Gewinnerzielungsabsicht): Zumindest ein Ausspähen von Daten (§ 202a StGB) als auch eine unerlaubte Datenveränderung (§ 303a StGB) würden vorliegen, auch die Datenhehlerei nach § 202d StGB, die – anders als der Titel vermuten lässt – gerade keine eigene Bereicherung zwingend voraussetzt. Doch all dies kann hinten anstehen, es dürfte wohl kaum das deutsche Strafrecht Anwendung finden.
Steuerstrafrechtliche Konsequenzen für Nutzer?
Nach einem Hack kommt regelmäßig das böse Erwachen: Man ist Opfer einer Straftat und soll doch selber im Visier der Ermittler stehen? Natürlich kommt es darauf an, aber: Ja. Wenn etwa, wie hier, Zahlungsdaten an Nutzer offengelegt werden, dürften sich einige Finanzämter dafür interessieren. Letztlich ist das nicht anders als bei Steuer-CDs oder auch den aktuellen Pandora-Leaks. Das Problem hier dürfte vielmehr die Datenaufbereitung sein; da aber immer mehr „Data-Engineers“ bei Behörden sitzen, die insbesondere mit Python in der Lage sind Daten aufzubereiten, sollte man sich hier nicht zu sicher fühlen. Sicherlich mag es lange dauern, aber bei einer steuerlichen Verjährungsfrist von mindestens 5 Jahren haben die Behörden ja auch Zeit.
Wenn man auf Twitch Einnahmen generiert hat und die nie erklärt hat, sollte man jedenfalls erkennen, dass man hier ein ernsthaftes Problem haben könnte. Und das sollte man nicht ignorieren, selbst die Presse gräbt schon die guten Verdiener heraus.
Denn: Mit Blick auf den Ankauf von Steuer-CDs, der hinsichtlich der Datenverwendung durch Behörden vergleichbar ist, sind die wesentlichen rechtlichen Fragen nach meiner Sicht ausgekaspert: Es gibt heute keine ernsthaften Zweifel mehr an der Verwertbarkeit der Daten und insbesondere dürfen Hausdurchsuchungen auf solche Erkenntnisse gestützt werden (siehe BVerfG, 2 BvR 2551/12). Durch die Klarstellung in § 202d Abs.3 StGB sind Ermittler und Berufsgeheimnisträger (wie Anwälte) privilegiert und dürfen erst Recht mit solchen Daten arbeiten. Der einzige kleine positive Aspekt ist, dass, auch wenn darüber berichtet wird, wohl noch eine strafbefreiende Selbstanzeige möglich ist (siehe dazu Mückenberger/Iannone in NJW 2012, 3481).
- Operation „Final Exchange“: Schlag gegen Cyberkriminellen-Szene rund um Kryptowährungen - 10. Oktober 2024
- Captagon im deutschen Strafrecht: Ein Überblick - 8. Oktober 2024
- Perfctl: Neue, heimtückische Malware, die Millionen von Linux-Servern bedroht - 7. Oktober 2024