Freitagmorgen im Kölner Landgericht, Saal 27. Gleich vier Kamerateams, von ARD, ZDF, RTL und Reuters, sind angerückt, um den Angeklagten Daniel K. zu filmen. Denn der ist quasi eine Berühmtheit, seit er Ende letzten Jahres demonstrierte, wie verwundbar das Internet in Deutschland ist – wenn auch unabsichtlich.

Eigentlich wollte der in Israel geborene und in Zypern wohnhafte K. mit einem Botnetz aus heimlich kontrollierten Rechnern ein Telekommunikationsunternehmen im afrikanischen Liberia attackieren – so die Aussage des 29-Jährigen vor Gericht. Eine Auftragsarbeit sei es gewesen. Dass stattdessen im 5.000 Kilometer entfernten Deutschland die Router ausfielen, sei ihm zunächst gar nicht bewusst gewesen, erklärt er.

Dass die deutschen Strafverfolger K. überhaupt festnehmen konnten, ist nicht selbstverständlich. Üblicherweise verstecken sich Betreiber von Botnetzen wie er hinter zahlreichen Pseudonymen und Strohmännern. Sie agieren zudem oft von Rechnern aus, die wiederum von ihnen gehackt wurden. Daniel K. aber hatte eine breite Datenspur hinterlassen.

Kein Superheld

Zum Beispiel hatte er Domains unter den Namen "Peter Parker" oder "Spiderman" registriert, von denen infizierte Router neue Schadsoftware herunterladen sollten. Doch die Ermittler des Bundeskriminalamtes (BKA) konnten die dafür verwendeten E-Mail-Adressen weiter verfolgen. Sie gelangten zu Forenbeiträgen, zu weiteren Domainnamen und somit weiteren E-Mail-Adressen. Schließlich stießen sie auf eine Mobilfunknummer auf Zypern und damit auf die reale Identität von "Spiderman". Im Februar wurde K. festgenommen, als er mit 10.000 Dollar in bar aus London in seine Heimat abreisen wollte.

Sein Vorgehen wird von seinem Verteidiger vor Gericht als "amateurhaft" dargestellt. So hatte der Hacker zwar einen verschlüsselten Laptop dabei, der von den Ermittlern nicht geknackt werden konnte. Über sein Telefon konnten sie aber Teile seiner Kommunikation nachverfolgen. Auch ein V-Mann habe Erkenntnisse beigetragen, sagt ein BKA-Beamter vor Gericht. Schließlich entschied sich K., mit der Behörde zu kooperieren und ein Geständnis abzulegen.

Wie hoch war der Schaden?

Die Kölner Staatsanwaltschaft stand trotz des Geständnisses vor einem Dilemma. Denn der eigentliche Schaden trat nicht in Deutschland zutage. Schließlich wollte der Angeklagte die deutschen Router nicht zum Absturz bringen – die Ausfälle waren eher eine Art Nebenwirkung.

Den Grund ermittelten Fachleute erst Wochen nach dem Angriff: Der Hacker hatte eine falsche Nachrichtenlänge in den Quellcode seiner Angriffssoftware eingetragen. Dadurch wurden einige Modelle der von der Telekom verwendeten Router überladen und stellten schließlich ihre Arbeit ein. Mehr als eine Million Kunden waren von dem Massenausfall im November 2016 betroffen und mussten am Wochenende ohne Internet, Telefon oder Digital-TV auskommen. Selbst der für Cybercrime zuständige Staatsanwalt Markus Hartmann sah hierin keine Absicht, sondern "eine Verkettung technischer Umstände, die der Angeklagte nicht vorhersehen konnte".

Für das Gericht waren nur die Schäden maßgeblich, die der Deutschen Telekom entstanden waren. Das Unternehmen beziffert sie auf mehr als zwei Millionen Euro, von Überstunden der Sicherheitsabteilung über Sonderdienste für die Kundenhotline bis hin zu den Mobilfunkgutscheinen, die an Kunden verschenkt wurden. Das Gericht zeigt sich jedoch von der Aufstellung nicht wirklich überzeugt. So sei zum Beispiel unklar, ob denn die Sicherheitsfachleute tatsächlich für die Extraarbeit ausbezahlt wurden oder schlichtweg später die Überstunden abgefeiert hätten.

Landgericht Köln - Telekom-Hacker bekommt Bewährungsstrafe Ein britischer Computer-Hacker ist zu einer Bewährungsstrafe von einem Jahr und acht Monaten verurteilt worden. Er hat gestanden, mehr als eine Million Telekom-Router lahmgelegt zu haben. © Foto: Thilo Schmuelgen/Reuters