Doxing (von englisch dox, Abkürzung für documents ‚Dokumente‘), auch Doxxing, ist das internetbasierte Zusammentragen und anschließende Veröffentlichen personenbezogener Daten, typischerweise mit bösartigen Absichten gegenüber den Betroffenen.[1][2] Zum Teil geht damit auch die Identifizierung anonymer Personen einher.
Die Gründe für das Doxing können unterschiedlicher Natur sein, darunter etwa Selbstjustiz, öffentliches Bloßstellen sowie Belästigung. Personen, die vom Doxing betroffen sind, sind oft Folgeattacken ausgesetzt, basierend auf den veröffentlichten Daten.
Die personenbezogenen Daten können auf vielfältige Weise gesammelt werden. Eine Herangehensweise zur Informationsgewinnung besteht in der Durchsuchung öffentlich zugänglicher Datenbanken. Darunter fallen etwa Onlinemedien sowie Telefon-, Adress- und Mitgliederverzeichnisse.
Viele Informationen lassen sich zudem in sozialen Medien finden. Dabei wird ausgenutzt, dass viele Internetnutzer dort sehr freizügig mit persönlichen Daten, etwa Postings, Bildern, Kontakten und Gruppenzugehörigkeiten, umgehen.
Eine weitere Möglichkeit besteht im Social Engineering. Darunter versteht man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmtes Verhalten hervorzurufen, sie zum Beispiel zur Preisgabe vertraulicher Informationen zu bewegen. Dazu gehört oftmals, dass der Angreifer Identitäten vortäuscht oder sich als Behördenvertreter ausgibt.
Beim Hacking (einer weiteren Methode zur Informationsgewinnung) wird durch das unerlaubte Eindringen in fremde Systeme unter Ausnutzung von Sicherheitslücken Zugriff auf das System erlangt, wodurch entsprechende Daten abgegriffen werden können.
Doxing stellt ein Standard-Instrument der Internet-Bewegung Anonymous sowie verwandter Gruppen wie LulzSec und AntiSec dar.[3][4]
Renrou Sousuo ist ein Beispiel für kollektives Doxing. Dies ist ein chinesisches Internet-Phänomen, bei dem viele Internetnutzer gemeinsam Informationen über eine bestimmte Person zusammentragen und die Zielperson damit für mutmaßlich verwerfliche Taten an den Pranger stellen.[5]
Ein weiteres Beispiel ist die Veröffentlichung von Privatadressen und Telefonnummern von Unterzeichnern des Aufrufs Wir sind die Urheber, eines Protests gegen Angriffe auf das Urheberrecht und gegen den Diebstahl geistigen Eigentums.[6]
Im Jahr 2016 wurde der Gesichtserkennungs-Dienst FindFace dazu benutzt, die Identität mutmaßlicher russischer Prostituierter und Porno-Darstellerinnen zu veröffentlichen.
Im Dezember 2018 fand das bisher bekannteste Doxing statt. Über den Twitter-Account @_0rbit bzw. G0D wurden täglich in einer Art Adventskalender massenhaft private Daten von Politikern veröffentlicht, welche aber erst am 4. Januar 2019 einer breiten Öffentlichkeit bekannt wurden.[7] Social-Media-Protagonisten klagten, dass sie bisher erfolglos seit Jahren gegen Doxer kämpften, die Politik jedoch erst bereit sei, sich mit dem Thema zu beschäftigen, seitdem auch Politiker betroffen seien.[8] Details und Folgen siehe Hack und Veröffentlichung privater Daten deutscher Politiker und Prominenter 2018/2019.
In Deutschland wurde Doxing im September 2021 als Gefährdendes Verbreiten personenbezogener Daten in das Strafgesetzbuch aufgenommen (§ 126a StGB). Das Veröffentlichen von frei zugänglichen Daten wird seitdem mit einer Freiheitsstrafe von bis zu zwei Jahren oder einer Geldstrafe bestraft, das Veröffentlichen von nicht frei zugänglichen Daten mit einer Freiheitsstrafe von bis zu drei Jahren oder einer Geldstrafe. Die Verbreitung der Daten sowie deren Inhalt muss dazu geeignet und nach den Umständen dazu bestimmt sein, die betroffene Person oder ihr nahestehende Personen eines gegen sie gerichteten Verbrechens oder einer sonstigen rechtswidrigen Tat gegen die sexuelle Selbstbestimmung, die körperliche Unversehrtheit, die persönliche Freiheit oder gegen eine Sache von bedeutendem Wert auszusetzen.[9]