Ein Schüler hackt das politische System

Am Ende ging es sehr schnell. Zwei Tage brauchten die Fahnder, um den Mann zu identifizieren und festzunehmen, der mutmaßlich private Daten von rund tausend Politikerinnen und Politikern sowie weiteren Prominenten gestohlen und im Netz veröffentlicht hatte. Am Sonntagabend schon nahmen sie Johannes S. im mittelhessischen Luftkurort Homberg (Ohm) fest.

Zunächst bestritt der 20-Jährige noch, etwas mit der Tat zu tun haben. Doch am Montag gestand er den Ermittlern des Bundeskriminalamts (BKA) und der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt schließlich, dass er für den wohl größten bislang bekannt gewordenen Fall von Doxing in Deutschland verantwortlich sei.

Nun wird Johannes S. das Ausspähen von Daten und die unberechtigte Veröffentlichung personenbezogener Daten vorgeworfen. Wäre er erwachsen, drohten ihm bis zu drei Jahre Gefängnis. Doch wegen seines jungen Alters gilt er als Heranwachsender, das Strafmaß liegt dann deutlich niedriger.

Tragweite nicht bedacht

Ein junger Mann also, Schüler noch, der bei seinen Eltern wohnt und offenbar allein handelte. Verbindungen ins Ausland fanden die Ermittler jedenfalls bislang keine, ebenso stießen sie auf keine weiteren Verdächtigen. So sagte es Oberstaatsanwalt Georg Ungefuk von der ZIT am Dienstag. Vielmehr trafen die Ermittler auf einen computeraffinen Heranwachsenden, der sich seine Hackingfähigkeiten wohl selbst erarbeitet hatte. Darüber hinaus wollen sie nichts über den Täter preisgeben, weil er wegen seines Alters besonders zu schützen sei. Doch von Reue ist die Rede und davon, dass oft leichtfertig gehandelt werde und die Tragweite der Taten nicht bedacht.

In der IT-Sicherheit werden Menschen wie Johannes S. Cracker oder Script Kid genannt. Die englischen Ausdrücke sollen sie von Hackern unterscheiden. Oft können Script Kiddies nicht wirklich programmieren, versuchen aber trotzdem, in fremde Systeme einzudringen. Dafür nutzen sie Software und Scripte, die andere verfasst haben.

So beschrieb Staatsanwalt Ungefuk auch Johannes S.: Er habe keine entsprechende Ausbildung, sondern sich seine Kenntnisse durch Interesse "und viel Zeit" angeeignet. Später am Dienstag sagte der Präsident des BKA, Holger Münch, Johannes S. habe im gesamten vergangenen Jahr Daten gesammelt und die Accounts gehackt, dafür aber wohl keine Schadsoftware eingesetzt, sondern Passwörter überwunden. Auch das spricht dafür, dass er kein Hacker im klassischen Sinne ist.

Gefühl von Macht und Größe

Das Motiv solcher Script Kiddies ist schlicht: Sie tun es, weil sie es können, und weil es ihnen ein Gefühl von Macht und Größe verschafft. Umso mehr, wenn sie damit unter ihresgleichen angeben können. Wie es im Internet heißt, "for the lulz". Also für das Gelächter der Zuschauenden und den eigenen Spaß. Ihre Taten sollen die Opfer zu Reaktionen provozieren. Wem das gelingt, der hat gewonnen. Der Schaden, den solche Angriffe bei den Betroffenen verursachen, ist den Angreifern oft nicht bewusst oder auch egal. Erst wenn sie mit der Polizei in Kontakt kämen, setze ein Nachdenken ein, sagte Ungefuk.

Das könnte auch auf Johannes S. zutreffen. Tag für Tag hatte er im Dezember seinen "Adventskalender" mit den illegal kopierten Daten veröffentlicht und beworben, um ihn möglichst weit zu verbreiten. Er nutzte dazu zwei Twitter-Accounts mit den Namen G0d und Orbit, über die er Links zu Websites postete, auf denen die Daten öffentlich einsehbar waren. Offenbar tat er das nicht zum ersten Mal. Den Behörden war er vor gut zwei Jahren schon einmal aufgefallen. Damals ging es ebenfalls darum, dass er offenbar Daten ausspähen wollte oder dies vorbereitete.

Kurz vor seiner Festnahme zerstörte Johannes S. dann seine Festplatte, um Spuren zu verwischen, und überspielte alle seine Daten auf Clouddienste. Als die Beamten ihn am Montag verhörten, gab er diese Informationen allerdings schnell heraus, auch das, was von dem zerstörten Datenträger noch übrig ist. Er habe umfassende "Aufklärungshilfe" geleistet, sagte Ungefuk.

Kein dominantes politisches Motiv

Gab es noch ein weitergehendes Motiv, immerhin sind vor allem Politikerinnen und Politiker betroffen, von der kommunalen Ebene bis in den Bundestag? Das ist nach Ansicht der Staatsanwaltschaft noch nicht geklärt. S. habe zwar gesagt, dass ihn öffentliche Äußerungen seiner Opfer geärgert hätten. Bei der Wohnungsdurchsuchung seien aber keine Hinweise auf eine politische Betätigung gefunden worden, sagte Ungefuk. Und ein Angriff auf Politiker rufe mehr Aufmerksamkeit hervor als einer auf andere Menschen. Auch BKA-Präsident Münch sagte, er sehe kein dominantes politisches Motiv.

Für die Generalstaatsanwaltschaft und das BKA ist die schnelle Festnahme des mutmaßlichen Täters ein Erfolg. Das BKA war am Abend des 3. Januar über den Doxingfall informiert worden. Das Büro der SPD-Vorsitzenden Andrea Nahles hatte gegen 22.40 Uhr beim Lagezentrum des BKA angerufen. Das Amt stellte sogleich eine 45-köpfige Sonderkommission zusammen (beim BKA Besondere Aufbauorganisation genannt). Der Fall wurde auch im Nationalen Cyber-Abwehrzentrum besprochen. Dort sind alle wichtigen Sicherheitsbehörden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) vertreten. Am Vormittag des 4. Januars deaktivierte Twitter die beiden Accounts von Johannes S.

Täter wieder frei

Am 6. Januar, also am Sonntag, seien dann Zeugen in Berlin und Heilbronn vernommen worden. In Heilbronn durchsuchten die Ermittler außerdem eine Wohnung. Dort lebt Jan S., den die Staatsanwaltschaft als Zeugen führt. Bei ihm fanden die Polizisten offenbar Hinweise auf den Täter. ZEIT ONLINE hatte Jan S. gesagt, er habe seit 2014 regelmäßig im Austausch mit dem mutmaßlichen Täter gestanden. Seine Identität sei ihm auch jetzt, nach dem Zugriff der Behörden, nicht bekannt.

Sonntagmittag wurde der mutmaßliche Täter dann identifiziert. Wenig später durchsuchten Beamte die Wohnung von Johannes S. und nahmen ihn schließlich fest. Inzwischen ist er wieder frei. Die Staatsanwaltschaft ließ ihn am Montagabend ‚gehen, weil weder Flucht- noch Verdunkelungsgefahr besteht.

Das BKA muss derweil mehrere Aufgaben parallel bewältigen. Die Beamten müssen den Fall weiter aufklären. Zum zweiten müssen sie klären, wie die Betroffenen geschützt werden können. Denn unter ihnen sind auch so genannte Schutzpersonen, deren private Adressen bewusst geheim gehalten worden waren. Von 994 Politikerinnen und Politikern wurden Daten veröffentlicht, bei 887 von ihnen waren es Telefonnummer und Adresse, von 116 wurden auch Dokumente online gestellt. Vor allem für letztere muss die Erfahrung ähnlich traumatisch sein wie nach einem Wohnungseinbruch. Einige von ihnen beschrieben es ZEIT ONLINE als schweren Schock und fürchteten, dass sie und ihre Familien in Zukunft schutzlos Bedrohungen ausgeliefert sein werden.

Seehofer: Sorglosigkeit sei fehl am Platze

Inzwischen haben die Behörden offenbar Provider über Sicherheitslücken informiert, die, so sagte es Staatsanwalt Ungefuk, inzwischen geschlossen worden seien. Zudem hat das BSI Daten im Umfang von 8.3 Gigabyte sichergestellt. Mehr als 50 internationale Hoster wurden ersucht, Daten zu löschen. Ob sie das tun, liegt in ihrer Hand, die deutschen Behörden haben keine rechtliche Handhabe.

Gänzlich aus dem Netz verschwinden werden die persönlichen Daten ohnehin nicht. Man könne schwer verhindern, dass sie von anderen immer wieder veröffentlicht würden, sagte Bundesinnenminister Horst Seehofer am Dienstagnachmittag. Der Fall bedeute aber keine Veränderung der Sicherheitslage. Jeder trage Verantwortung für seine Daten. Sorglosigkeit sei fehl am Platze.

Seehofer will auch prüfen lassen, wie sich Datendiebstähle früh erkennen lassen. Noch im ersten Halbjahr will er ein so genanntes IT-Sicherheitsgesetz 2.0 vorlegen und das Cyberabwehrzentrum weiterentwickeln. Außerdem sind 350 zusätzliche Planstellen für das BSI vom Bundestag bereits bewilligt. 

Mitarbeit: Julia Klaus, Henrik Merker