Am Ende ging es sehr schnell. Zwei Tage brauchten die Fahnder, um den Mann zu identifizieren und festzunehmen, der mutmaßlich private Daten von rund tausend Politikerinnen und Politikern sowie weiteren Prominenten gestohlen und im Netz veröffentlicht hatte. Am Sonntagabend schon nahmen sie Johannes S. im mittelhessischen Luftkurort Homberg (Ohm) fest.

Zunächst bestritt der 20-Jährige noch, etwas mit der Tat zu tun haben. Doch am Montag gestand er den Ermittlern des Bundeskriminalamts (BKA) und der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt schließlich, dass er für den wohl größten bislang bekannt gewordenen Fall von Doxing in Deutschland verantwortlich sei.

Nun wird Johannes S. das Ausspähen von Daten und die unberechtigte Veröffentlichung personenbezogener Daten vorgeworfen. Wäre er erwachsen, drohten ihm bis zu drei Jahre Gefängnis. Doch wegen seines jungen Alters gilt er als Heranwachsender, das Strafmaß liegt dann deutlich niedriger.

Tragweite nicht bedacht

Ein junger Mann also, Schüler noch, der bei seinen Eltern wohnt und offenbar allein handelte. Verbindungen ins Ausland fanden die Ermittler jedenfalls bislang keine, ebenso stießen sie auf keine weiteren Verdächtigen. So sagte es Oberstaatsanwalt Georg Ungefuk von der ZIT am Dienstag. Vielmehr trafen die Ermittler auf einen computeraffinen Heranwachsenden, der sich seine Hackingfähigkeiten wohl selbst erarbeitet hatte. Darüber hinaus wollen sie nichts über den Täter preisgeben, weil er wegen seines Alters besonders zu schützen sei. Doch von Reue ist die Rede und davon, dass oft leichtfertig gehandelt werde und die Tragweite der Taten nicht bedacht.

In der IT-Sicherheit werden Menschen wie Johannes S. Cracker oder Script Kid genannt. Die englischen Ausdrücke sollen sie von Hackern unterscheiden. Oft können Script Kiddies nicht wirklich programmieren, versuchen aber trotzdem, in fremde Systeme einzudringen. Dafür nutzen sie Software und Scripte, die andere verfasst haben.

So beschrieb Staatsanwalt Ungefuk auch Johannes S.: Er habe keine entsprechende Ausbildung, sondern sich seine Kenntnisse durch Interesse "und viel Zeit" angeeignet. Später am Dienstag sagte der Präsident des BKA, Holger Münch, Johannes S. habe im gesamten vergangenen Jahr Daten gesammelt und die Accounts gehackt, dafür aber wohl keine Schadsoftware eingesetzt, sondern Passwörter überwunden. Auch das spricht dafür, dass er kein Hacker im klassischen Sinne ist.

Gefühl von Macht und Größe

Das Motiv solcher Script Kiddies ist schlicht: Sie tun es, weil sie es können, und weil es ihnen ein Gefühl von Macht und Größe verschafft. Umso mehr, wenn sie damit unter ihresgleichen angeben können. Wie es im Internet heißt, "for the lulz". Also für das Gelächter der Zuschauenden und den eigenen Spaß. Ihre Taten sollen die Opfer zu Reaktionen provozieren. Wem das gelingt, der hat gewonnen. Der Schaden, den solche Angriffe bei den Betroffenen verursachen, ist den Angreifern oft nicht bewusst oder auch egal. Erst wenn sie mit der Polizei in Kontakt kämen, setze ein Nachdenken ein, sagte Ungefuk.

Das könnte auch auf Johannes S. zutreffen. Tag für Tag hatte er im Dezember seinen "Adventskalender" mit den illegal kopierten Daten veröffentlicht und beworben, um ihn möglichst weit zu verbreiten. Er nutzte dazu zwei Twitter-Accounts mit den Namen G0d und Orbit, über die er Links zu Websites postete, auf denen die Daten öffentlich einsehbar waren. Offenbar tat er das nicht zum ersten Mal. Den Behörden war er vor gut zwei Jahren schon einmal aufgefallen. Damals ging es ebenfalls darum, dass er offenbar Daten ausspähen wollte oder dies vorbereitete.

Kurz vor seiner Festnahme zerstörte Johannes S. dann seine Festplatte, um Spuren zu verwischen, und überspielte alle seine Daten auf Clouddienste. Als die Beamten ihn am Montag verhörten, gab er diese Informationen allerdings schnell heraus, auch das, was von dem zerstörten Datenträger noch übrig ist. Er habe umfassende "Aufklärungshilfe" geleistet, sagte Ungefuk.