Der Täter kommt aus Mittelhessen, nicht aus Moskau. Das wird nun, nach der Festnahme des 20-jährigen Schülers, der mutmaßlich hinter dem Doxing Hunderter deutscher Politiker und Prominenter stehen soll, deutlich. Keine organisierten und möglicherweise staatlich unterstützten Hackergruppen aus Russland, wie sie hinter dem Hack des Bundestags 2015 vermutet werden, sind dafür verantwortlich, dass persönliche Daten von fast 1.000 Menschen veröffentlicht wurden. Sondern ein Einzeltäter aus Hessen, der noch bei seinen Eltern lebt.

Das vorläufige Ende des Falls zeigt: Die Grenzen zwischen Cyberangriffen und Cybermobbing sind fließend. Und die Gefahr für Cyberangriffe liegt auch geografisch näher, als von der Politik in den vergangenen Jahren suggeriert wurde. Im Fokus der Strafverfolgung dürfen deshalb nicht nur professionelle Täter aus dem In- und Ausland stehen. Sondern alle, die im Internet mobben und hetzen.

Wie das Bundeskriminalamt am Dienstag in einer Pressemitteilung erklärte, sei der "computeraffine" Beschuldigte am Montag vernommen worden, bevor er wieder freigelassen wurde. Er sei geständig und soll alleine gehandelt haben. Es gebe keine Hinweise auf eine Beteiligung weiterer Personen. Der 20-Jährige habe seine Taten mit "Verärgerung über öffentliche Äußerungen der betroffenen Politiker, Journalisten und Personen des öffentlichen Lebens" begründet. Ob zudem eine politische Motivation vorliege, müsse eine Auswertung des Beweismaterials zeigen, sagte Oberstaatsanwalt Georg Ungefuk von der Zentralstelle für Internetkriminalität (ZIT).

Ein erboster junger Mann

Sowohl der Hintergrund als auch die Motivation des mutmaßlichen Täters kommen wenig überraschend. Schon kurz nachdem vergangenen Freitag die Nachricht über die geleakten Daten auf Twitter die Runde machten, vermuteten manche hinter den Pseudonymen "Orbiter" und "G0d" eher einen gelangweilten Teenager als professionellen Hacker. Die Aufbereitung der Daten, die Auswahl der gedoxten Personen, die gekaperten Accounts von YouTubern: All das ließ auf einen Täter schließen, der aus einer Szene stammt, in der es eher um Troll-Attacken und Beleidigungen als um Spionage und Einschüchterung politischer Gegner geht.

Schnell war ebenfalls klar, dass die Daten kaum aus einem einzelnen Angriff stammen konnten. Ja, sie wurden teilweise noch nicht einmal im klassischen Sinne gehackt, sondern bloß aus öffentlichen Quellen zusammengetragen. Tatsächlich geht das Innenministerium von 50 bis 60 schweren Fällen aus, bei denen größere Datenpakete mit privaten Dokumenten oder Fotos entwendet wurden. Wie genau der mutmaßliche Täter Zugriff erhielt, müssen die Ermittlungen zeigen. 

Die Festnahme des 20-Jährigen zeigt ein anderes Bild als ursprünglich gedacht. Am Freitag war, auch auf ZEIT ONLINE, von einem "Hackerangriff" die Rede. Sofort wurden Parallelen zum Bundestags-Hack aus dem Jahr 2016 gezogen: Stammen die nun veröffentlichten Daten von dort? Ist das Regierungsnetz schon wieder löchrig? Waren es wieder die Russen? Oder die Nordkoreaner? Gesichtslose Hackergruppen mit Namen wie "Snake", "Uroburos" oder "Fancy Bear", die mit komplexen Angriffen auch in gut gesicherte Netze eindringen können?