Die russische Medienaufsichtsbehörde Roskomnadsor hat noch versucht, die Daten wieder einzufangen. Sie hat mit Strafen gedroht, hat eine Website gesperrt, geholfen hat es letztlich nichts. Wegen eines Datenlecks beim Essenslieferdienst Yandex Food, das am 1. März bekannt wurde, weiß die Welt nun, was und vor allem wo die Russen essen - auch solche Russen, die gern möglichst geheim leben. Davon gibt es einige.
Die Journalisten des Investigativportals Bellingcat haben getan, was vermutlich auch westliche Geheimdienste im Verborgenen getan haben: Sie haben den Datensatz ausgewertet. Es gelang ihnen unter anderem, ein Gebäude und mehrere Personen dem russischen Geheimdienst zuzuordnen, also Spione zu enttarnen. Dass das über scheinbar nebensächliche Daten gelang - wer hat welches Essen wohin bestellt? -, zeigt, dass es keine harmlosen Datenleaks gibt. Man muss die Datenpunkte nur verbinden, dann enthüllen sie Geheimnisse, für die so manches Regime töten würde.
Die Daten ordneten die Journalisten Informationen zu, die sie bereits hatten, teils aus anderen Leaks. Sie überprüften beispielsweise, welche Lieferungen an die Adresse Doroschnaja Straße 56 in Moskau gingen. Das dortige Gebäude wird der russischen Nationalgarde zugeordnet. Oder an die Choroschowskoje Chaussee 76, das Hauptquartier des Militärgeheimdienstes GRU.
Auch Putins angebliche geheime Tochter ließ sich Essen liefern
Die Bestellungen enthielten auch Handynummern. Die Reporter verglichen sie mit den Nummern, die sie bei einer Recherche zu den Beteiligten des Mordkomplotts gegen den inzwischen inhaftierten Oppositionellen Alexej Nawalny erhalten hatten. Ein neuer Name tauchte dabei auf. In der Nacht des Anschlages telefonierten die mit der Vergiftung Nawalnys betrauten FSB-Offiziere demzufolge mehrfach mit jemandem bei einem Forschungsinstitut in Dubna, einer Stadt in der Oblast Moskau. Dieser Mann bestellte irgendwann Essen. Er gab dabei seinen Namen samt Handynummer an.
In dem Leak taucht auch Putins angebliche "geheime Tochter" auf, die er mit der ehemaligen Putzkraft - und heutigen Besitzerin einer Luxuswohnung in Monaco - Swetlana Kriwonogich haben soll. Sie bestellte Essen in ein rund 400 Quadratmeter großes Apartment, das umgerechnet etwa zwei Millionen Euro wert sein soll. Ljubow Sobol, eine russische Juristin und Oppositionspolitikerin, hatte darüber auf Twitter berichtet.
Andere Namen sind für die Öffentlichkeit weniger interessant, Bellingcat hat sie daher nicht veröffentlicht. Auch der eigentliche Datensatz, der überwiegend Informationen zu den Bestellungen unbekannter russischer Bürger enthält, sei "ohne legitimes Interesse für die Forschung" und daher nicht Teil der Publikation, sagen die Reporter.
Schuld ist auch die Sammelwut russischer Behörden
Das Leak ist das jüngste in einer Reihe mehrerer schwerer Pannen, bei denen die Daten zahlreicher Russen abflossen. In einer anderen Recherche schrieb Bellingcat, um an Informationen über russische Bürger zu kommen - etwa zu ihren Bewegungen anhand von Handydaten, zu ihrem Wohnsitz, zu ihrem Reiseverhalten und ihren Telefonaten -, brauche es nicht mehr "als ein bisschen kreatives Googeln (oder Yandexen) und ein paar Hundert Euro in Kryptowährungen". Yandex ist die russische Alternative zu Google.
Der Grund für die einfache Zugänglichkeit solcher Daten ist die Sammelwut russischer Behörden, die gern alles über ihre Bürgerinnen und Bürger wissen wollen. Die örtlichen Telekommunikationsunternehmen müssen seit 2016 Kundendaten speichern. So entstehen lohnende Ziele für Hacker. Zudem verkaufen die Unternehmen diese Daten oft heimlich weiter. All das Sammeln und Speichern macht den russischen Staatsapparat also nicht sicherer, sondern vielmehr angreifbarer, wie sich nun zeigt.
Die Bellingcat-Reporter haben demonstriert, was man mit solchen Daten alles anfangen kann. Das sollte nicht nur für russische Behörden eine Lehre sein. Jeder landet irgendwann in einem Leak, wie der Sicherheitsforscher Troy Hunt der SZ sagte. Das Yandex-Food-Leak soll laut Reuters Informationen zu knapp 60 000 Russen enthalten. Was könnte man erst alles anstellen mit den Daten von 4,9 Millionen Kunden des US-Lieferdienstes Doordash, die 2019 abflossen?
