bedeckt München 16°

Cyberkriminalität:Ein Hack und eine Staatsaffäre

Yevgeny Nikulin

Posierte gerne mit einem Lamborghini Huracán: Hacker Jewgeni Nikulin.

(Foto: Alexander Zemlianichenko/AP)

Jewgeni Nikulin griff unter anderem 100 Millionen Linkedin-Logins ab. Seine Verhaftung löste eine kleine Staatsaffäre in Tschechien aus. Jetzt muss der angebliche Automechaniker sieben Jahre in ein US-Gefängnis.

Von Max Muth

Zum Abschluss des Prozesses richtete Richter William Alsup am Bezirksgericht in San Francisco noch ein paar persönliche Worte an den Angeklagten. Das Urteil gegen Jewgeni Nikulin, erklärte der Richter, solle auch eine Botschaft der Abschreckung an internationale Cyberkriminelle sein. Die Botschaft ist laut: Für 88 Monate muss der 32-jährige Nikulin ins Gefängnis. Der Russe hatte 2012 Anmeldedaten unter anderem für die Plattformen Linkedin und Dropbox gestohlen. Für damalige Verhältnisse war der Datendiebstahl gigantisch: 117 Millionen Login-Daten erbeutete Nikulin bei seinen Aktionen. Heute geht die Zahl erbeuteter Anmeldedaten bei größeren Datenlecks oder Hacks manchmal sogar in die Milliarden.

Der Fall USA vs. Nikulin ist auch aus anderen Gründen spannend. Der Russe, der in sozialen Medien immer wieder offensiv seine Sympathie für schnelle Autos bekundet und mit den Töchtern hochrangiger russischer Politiker posiert hatte, wurde 2016 während eines Kurzurlaubs in Prag verhaftet. Der öffentlichkeitswirksame Zugriff in einem Hotel erfolgte nur zwei Tage, bevor der damalige US-Präsident Barack Obama Russland öffentlich beschuldigte, für den Hack des Wahlkampfkomitees der US-Demokraten (DNC) verantwortlich zu sein. Deshalb war zunächst unter anderem im tschechischen Magazin Respekt spekuliert worden, die USA bemühten sich auch deshalb so um Nikulin, weil der Hacker etwas über den Hack gegen das DNC wissen könnte.

Um Nikulins Auslieferung entspann sich in der Folge ein diplomatisches Scharmützel zwischen den USA und Russland. Die Regierung in Moskau wollte ihren Staatsbürger plötzlich ebenfalls anklagen. Die Argumentation Russlands: Nikulin habe im Jahr 2009 auch eine russische Webseite gehackt und dabei 3500 Dollar Schaden verursacht, deshalb müsse er in Moskau angeklagt werden. Gleichzeitig war aus dem Kreml zu hören, die USA würden unzulässig Jagd auf Russen im Ausland machen. Nikulins Anwalt sprach tschechischen Medien zufolge damals von einer politisch motivierten Anklage. Sein Mandant habe nie mit Computern zu tun gehabt, er sei eigentlich Automechaniker. Das wäre zumindest eine einfallsreiche Erklärung für die Instagram-Fotos mit Lamborghinis, Mercedes und anderen Luxuswagen.

Der Chef der privaten Cyber-Ermittler-Firma Intel 471, Mark Arena, hält es für kaum vorstellbar, dass Nikulin auch in Russland bestraft worden wäre. Seine verdeckten Ermittler besorgen für Unternehmen und Behörden Informationen aus der Cyber-Unterwelt. "Das war in letzter Zeit immer wieder die Taktik der Russen, ihre Staatsbürger unter dem Vorwand unbedeutender Straftaten nach Russland ausliefern zu lassen", sagte Arena der SZ. "Aber das ist nichts anderes als ein durchschaubarer und zynischer Versuch, kriminellen Russen Haftstrafen in den USA zu ersparen."

Experte hält Strafe für vergleichsweise mild

Ob die "abschreckende Botschaft" des US-Richters Alsup in Russland gehört wird, darf Arena zufolge bezweifelt werden. Dort hätten Cyberkriminelle wenig zu befürchten. Zumindest solange es keine russischen Opfer gebe, würden die kriminellen Aktivitäten dort entweder toleriert, oder es gebe sogar aktive Zusammenarbeit, wenn es russischen Staatszielen diene. In Nikulins Fall sei beides denkbar, sagt Arena. 100 Millionen Anmeldedaten für Linkedin seien sicher auch für den Sicherheitsapparat interessant.

Das Urteil hält Arena für vergleichsweise milde. Die Tat habe jeden der Millionen gehackten Linkedin-Nutzer direkt negativ betroffen. Die Opfer hätten vermutlich jede Menge Spam erhalten, das Unternehmen Linkedin habe es Geld und Ansehen gekostet.

In der Tschechischen Republik war der Fall zu einer regelrechten Staatsaffäre geworden. Sowohl Russland als auch die USA übten Druck auf Politiker des Landes aus. Präsident Miloš Zeman war schließlich für einen Auslieferung nach Russland, Premierminister Andrej Babiš wollte Nikulin an die USA übergeben. Schließlich entschied sich Justizminister Robert Pelikán für die Auslieferung in die USA, nur um wenige Wochen später zurückzutreten. 2019 entschied das Verfassungsgericht schließlich, dass die Auslieferung zu Unrecht stattgefunden hatte. Zu diesem Zeitpunkt befand sich Nikulin jedoch bereits in den USA.

© SZ/Reuters/jab
Sherrod de Grippo Proofpoint

IT-Sicherheitsexpertin
:"Fallen zwei oder drei Gangs weg, kommen fünf neue"

Sherrod DeGrippo kämpft täglich gegen Erpressersoftware, die immer mehr Schaden anrichtet. Die IT-Sicherheitsexpertin erklärt, warum Cyberkriminelle immer mehr wie Unternehmer arbeiten - und warum die Polizei kaum Chancen hat.

Interview von Max Muth

Lesen Sie mehr zum Thema

Zur SZ-Startseite