Datendiebstahl Wie ein Schüler das politische Deutschland in Aufruhr versetzte

Er spionierte die Daten Hunderter Prominenter aus und stellte sie ins Netz. Jetzt will die Generalstaatsanwaltschaft Frankfurt dem Schüler den Prozess machen.

(Foto: )
  • Ende 2018 veröffentlicht ein 20-jähriger Schüler aus Hessen Fotos und Daten Hunderter Politiker und Prominenter im Internet.
  • Die Generalstaatsanwaltschaft Frankfurt will ihm nun wegen des Ausspähens von Daten, Datenhehlerei und Verstößen gegen das Datenschutzgesetz den Prozess machen.
  • Juristisch betrachtet sind die Vorwürfe nicht enorm, mit einer Haftstrafe ist kaum zu rechnen. Politisch sind die Konsequenzen dennoch umfangreich.
Von Georg Mascolo und Ronen Steinke, Berlin

Manchmal endet Großes ganz klein. Zu Beginn dieses Jahres beschäftigte ein Hacker-Angriff auf Hunderte Politiker und Prominente die halbe Republik, einzelne Medien mutmaßten über eine Spur nach Moskau oder gar nach Peking. Im Herbst nun, so sehen es die Planungen der Justiz vor, steht das Finale an: Beim Amtsgericht im hessischen Alsfeld, einer Kleinstadt, unter Ausschluss der Öffentlichkeit. Schließlich war der Beschuldigte, der Schüler Johannes S., zur Tatzeit gerade erst 20 Jahre alt. Ein Einzeltäter. Eine Jugendsache.

In diesen Tagen tragen sie beim Bundeskriminalamt die Akten einer ungewöhnlich gründlichen Ermittlung zusammen, Dutzende Bände, Tausende Seiten. Eine Sonderkommission namens "Liste" hatte sich der Sache angenommen, als kurz vor Weihnachten plötzlich massenhaft gestohlene Fotos, Videos und Mails von Politikern im Internet auftauchten. Privateste Chats des Grünenchefs Robert Habeck mit seinen Kindern waren darunter, die Privatadresse der damaligen SPD-Vorsitzenden Andrea Nahles, die Handynummer des Bundespräsidenten. Aber schnell war klar, dass dies kein Angriff aus dem Kreml war. Sondern aus dem Kinderzimmer.

Digitale Privatsphäre Angriff auf das digitale Gehirn
Debatte nach Doxing-Skandal

Angriff auf das digitale Gehirn

Wenn Hacker in das Privatleben von Politikern, Prominenten oder Bürgern eindringen, verletzen sie nicht nur deren Privatsphäre. Es braucht einen Staat, der zur digitalen Selbstverteidigung ermutigt.   Gastbeitrag von Katharina Nocun

Johannes S. wohnte noch bei seinen Eltern im nordhessischen Schwalm-Eder-Kreis. Die Ermittler haben inzwischen viel Zeit gehabt, seine Motive zu erforschen, sie meinen: S. war niemand, der eine große politische Botschaft in die Gesellschaft transportieren wollte. Sondern ein sozial vereinsamter Mensch, der zu viel vor dem PC saß. In der Schule blieb er sitzen, schaffte es nach dem Realschulabschluss aber aufs Gymnasium. Er wollte randalieren - gegen Menschen, die ihm unsympathisch waren. Vor allem gegen "etablierte" Politiker, wozu er auch Linke und Grüne zählte, und Künstler wie Jan Böhmermann, die sich gegen Rassismus engagieren.

Dass die Arbeit der Sonderkommission "Liste" mit ihren zeitweise 50 Beamten überhaupt so lange gedauert hat, liegt an den ungewöhnlichen Begleitumständen des Falles. Immer wieder wurden Zweifel laut, ob Johannes S. tatsächlich allein gehandelt haben könnte, ob er nicht ein weiter gehendes, politisches Motiv verfolgte. Manches wirkte auch merkwürdig. Zwei Abgeordnete der Linken hielten sich laut der Zeitung Die Welt in Russland auf, während beziehungsweise kurz bevor ihre Facebook-Konten gehackt wurden.

Beim BKA wurden eigens Experten des Staatsschutzes hinzugezogen - niemand wollte sich in dieser Sache dem Vorwurf aussetzen, nicht jedem Hinweis nachgegangen zu sein. Immerhin deutete einiges auf eine Nähe zur Subkultur rechter Netzaktivisten hin. So ist diese Tat inzwischen präzis vermessen, 994 Personen waren betroffen, auffällig viele von der CDU (425) und der SPD (318). AfD-Abgeordnete waren keine dabei. Allerdings ergaben die Ermittlungen, dass bei 936 nur die Telefonnummer, Adresse oder die E-Mail veröffentlicht worden war. Bei den restlichen wurden überwiegend die Facebook-Konten geknackt, 14 von ihnen gelten als besonders schwer betroffen. Auch beim Bundeskriminalamt kamen zwischendurch Zweifel an der Einzeltätertheorie auf, als Johannes S. den Ermittlern nicht demonstrieren konnte oder wollte, wie er vorgegangen war. Bei einer Vernehmung hatten sie dem jungen Beschuldigten einfach einen Computer hingestellt.

Johannes S. war kein sonderlich talentierter und schon gar kein genialer Hacker

Johannes S. ist geständig, in umfangreichen Vernehmungen hat er offengelegt, warum er es tat und wie er vorgegangen ist. Was bleibt nach diesen monatelangen Ermittlungen, ist ein Lehrstück über die Gefahren im Cyber-Zeitalter. Zum einen die Erkenntnis: Es braucht keine besondere Raffinesse, um Menschen online bloßzustellen, wenn die Betroffenen nicht auf ihren Selbstschutz achten. Und: wie man es in Zukunft besser machen kann.

Denn Johannes S., so steht inzwischen fest, war kein sonderlich talentierter und schon gar kein genialer Hacker: Er hatte einfach viel Zeit und Geduld, er rüttelte an jeder elektronischen Tür. Blieb eine verschlossen, versuchte er es bei der nächsten. Am Ende hat er vor allem vorgeführt, wie einfach es ist, in diesen Zeiten in die Privatsphäre der Menschen einzubrechen. "Das ist genau der Typus, der uns so große Sorgen macht", sagt ein mit den Ermittlungen vertrauter Beamter.

Zwei Methoden soll er angewendet haben. Die eine war das Fischen in uralten Datenbanken. Gehackte Email-Passwörter liegen millionenfach in Datenbanken von Kriminellen im Netz, viele wollen damit Geld verdienen. Sind die Passwörter schon älter, bekommt man sie aber auch umsonst. Johannes S. soll gezielt solche Uralt-Passwörter gesucht haben, die einst seinen potenziellen Opfern gehörten. Anschließend soll er deren aktuelle Accounts gesucht und das alte Passwort dort ausprobiert haben. Und siehe da, manche Menschen verwenden jahrelang dasselbe Passwort. So einfach war es.

Die zweite Methode, die er perfektioniert haben soll, könnte man als Passfälschung bezeichnen. Mit dem Unterschied aber, dass es keine große Kunstfertigkeit voraussetzte, es war offenbar leicht. Schon für kleines Geld kann man im Internet heute illegal eine Fotomontage eines Personalausweises erstellen lassen. Die Kriminellen brauchen dafür nur ein Passbild und die gewünschten Daten. Johannes S., so glauben die Ermittler, hat sich solche Fake-Ausweiskopien herstellen lassen - auf den Namen von Prominenten, deren Geburtsdatum und -ort er leicht bei Wikipedia fand und deren Fotos tausendfach im Netz liegen. Womöglich habe er auch selbst mit Hilfe eines Bildbearbeitungsprogramms solche Fakes hergestellt. Und mit den angeblichen Personalausweis-Scans soll er dann Provider wie Facebook angemailt haben, mit der höflichen Bitte: Ich habe meine Zugangsdaten vergessen, aber ich kann mich ausweisen. Könnten Sie mir bitte ein neues Passwort geben?

Das Cyber-Abwehrzentrum soll endlich mit klaren Aufgaben versehen werden

Auch dies hat offenbar in zahlreichen Fällen funktioniert. Das wirft eine Frage auf: Müssten die Provider nicht viel genauer prüfen? Von der Masche hat inzwischen auch das Bundesinnenministerium gehört, jetzt sucht man dort nach Wegen, sie zu beenden. In einem ersten Schritt sollen die Provider angesprochen und sensibilisiert werden. Wenn dies nicht genügt, könnte es eine Gesetzesänderung auf europäischer Ebene geben, heißt es.

Die Generalstaatsanwaltschaft Frankfurt mit ihrer Zentralstelle für Internetkriminalität (ZIT) will Johannes S. nun wegen des Ausspähens von Daten, Datenhehlerei und Verstößen gegen das Datenschutzgesetz den Prozess machen. Juristisch ist das nicht viel, mit einer Haftstrafe ist kaum zu rechnen, und der kühle Blick der Ermittler ähnelt dem der Experten in der Bundesregierung, die sich im Januar über den Fall beugten. "Nach Analyse der vorliegenden Daten handelt es sich bei dem Vorfall nicht um einen großen Hackerangriff, sondern um einen alltäglichen IT-Sicherheitsvorfall mit einer großen Anzahl mittelbar Betroffener", hieß es in einer Analyse des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Politisch allerdings sind die Folgen nachhaltiger: Nach jahrelangen ergebnislosen Diskussionen soll nun endlich das Cyber-Abwehrzentrum, eine Einrichtung des Bundes in Bonn, mit klaren Aufgaben und Zuständigkeiten versehen werden. Und Robert Habeck, der zu den 14 besonders hart Betroffenen gehörte, sagt: "Der wahre Schaden ist der Verlust des Vertrauens. Uns allen wurde unsere Verwundbarkeit vorgeführt."

IT-Sicherheit Es ist Zeit, gegen digitale Attacken zu kämpfen

Hackerangriffe

Es ist Zeit, gegen digitale Attacken zu kämpfen

Denn Staaten müssen ihre Bürger vor Cyberkriegen ebenso schützen wie vor Terror, Seuchen oder Hunger. Das ist ihre neue Grundaufgabe.   Kommentar von Andrian Kreye