Die Polizisten stürmen durch den Garten. Mit einem Rammbock treten sie die Tür eines Familienhauses ein, eine erschreckte Frau ruft den Beamten noch panisch hinterher. Dann gibt es eine Festnahme. Die Szene springt: Jetzt spricht eine Staatsanwältin über den Inhaftierten. Er habe eine «ungewöhnlich hohe Intelligenz an den Tag gelegt, die er destruktiv und asozial einsetze», sagt sie.
«Hackers» hob die Computer-Nerds seiner Zeit zum ersten Mal auf die Leinwand. Total unrealistisch war der Streifen, aber aus den Programmierern machte er eine öffentliche Attraktion. Eine Mischung aus Super- und Antihelden.
Das Jahr 2019 ist keine zwei Wochen alt, diesmal stehen Staatsanwaltschaft und Bundeskriminalpolizei auf einer echten Bühne in Deutschland. Auch diesmal gibt es einen Beschuldigten. Er ist nur ein halbes Kind, 20 Jahre alt und wohnt noch bei seinen Eltern in Hessen. Sein öffentlich bekannter Name ist «@_0rbit» und seit Tagen jagt ihm gefühlt das halbe Land hinterher, weil er private Daten von hunderten Prominenten und Politikern online gestellt hat. Vom grossen Hacker-Angriff war die Rede, überall überschlugen sich Experten mit Einschätzungen und Spekulationen.
Am Sonntag haben die Ermittler den Verdächtigen dann schliesslich erwischt, seine Wohnung durchsucht, Computer beschlagnahmt. Im Verhör habe der junge Mann gestanden, sagt Staatsanwalt Georg Ungefuk am Dienstag. «@_0rbit» habe noch versucht, einen Datenträger zu vernichten, um sich zu schützen. Aber die Hardware und die Online-Daten des Beschuldigten seien gesichert worden.
Viel mehr will weder das BKA noch die Staatsanwaltschaft sagen zu «@_0rbit». Er fällt unter das Jugendstrafrecht. Wie es mit ihm weitergeht, muss noch entschieden werden. Gerade ist er auf freiem Fuss, weil es weder eine Verdunklungs-, noch eine Fluchtgefahr gebe. «Er zeigt Reue», sagt der Staatsanwalt noch auf einer Pressekonferenz am Dienstag.
Bei den Nachfragen auf der Pressekonferenz wird deutlich, wo die öffentliche Erzählung von «@_0rbit» schon jetzt hingeht. Das öffentliche Interesse bleibt bei ihm hängen. Dieselben Experten, die vor wenigen Tagen von staatlichen Angriff auf Deutschland sprachen haben jetzt «einen gefassten Hacker, der noch bei seinen Eltern wohnt». Eine Knaller-Geschichte, und schon am Dienstag finden sich solche Überschriften bei zahlreichen Websites und TV-Sendern.
Aber « '@_0rbit' ist eben kein „berüchtigter Hacker, der gefasst wurde» – wenigstens die Staatsanwälte und das BKA scheinen das verstanden zu haben.
«Ausgeklügelt» sei er vorgegangen, heisst es dort. Er habe viel «Zeit und Interesse» investiert. Er sei auch fleissig gewesen. Aber ein geniales Kind-Genie, dass sich in Computer-Systeme hackt, wie in Hollywood, das ist «@_0rbit» eben nicht.
Wenn wir ihn jetzt öffentlich dazu verklären, ignorieren wir das eigentliche Problem.
Der 20-Jährige hat sich lediglich genauer angesehen, was Sicherheitsforscher seit Jahren als grosses Risiko einstufen. Ungeschützte Berge an Rohdaten, alten Benutzernamen und Kennwörtern (sog. Credentials), die offen für jeden im Internet herumliegen.
Die Müllkippen, auf denen solche Daten zu finden sind, lassen sich zum Teil googeln. Es sind online verfügbare Datenbanken auf Websites mit Namen wie Pastebin, Webcache oder Siph0n. Auch Foren sind eine gute Quelle für Zugangsdaten: Crackingcore, passwordcastle oder Greyhat-Hacker-Foren etwa. All diese Seiten haben eine Sache gemein: In ihnen findet sich der Müll des Internets. Und dieser Müll besteht zu einem grossen Teil aus Passwörtern, die irgendwann mal irgendwo geleakt sind.
Diesen Berg schaute sich «@_0rbit» in Ruhe an. Wurde er fündig, prüfte er, ob eine bekannte Persönlichkeit ihre alten Zugangsdaten noch immer irgendwo verwendet. Stück für Stück bekam er Zugang. Wahrscheinlich verwendete der junge Mann die Daten auch dazu, sich bei Service-Dienstleistern auszuweisen, um dann noch mehr Passwörter zu ergaunern. Mann nennt das «Social Engineering». Vielleicht nutzte er hin und wieder einige alte Sicherheitslücken, die mit dem richtigen Update längst geschlossen sein sollten. Die meisten Informationen kamen also aus öffentlich zugänglichen Quellen.
Jeder kann solche Daten mit Zeit und Fleiss selbst sammeln. Und dann kann so ein Daten-Leak – natürlich – wieder passieren.
Jeder der aus «@_0rbit» jetzt einen grossen Hacker macht, unterschätzt massiv, dass wir alle zugunsten eines einfachen Lebens unsere eigene Sicherheit im Netz täglich untergraben. Es braucht keine neuen «Cyber»-Sicherheitsbehörden, es braucht keine neuen «Cyber»-Gesetze. All das wird seit Jahren auf den Weg gebracht. Wir sollten uns weniger darum kümmern, einen Schuldigen zu finden, als endlich bei uns selbst suchen.
Auch die BKA-Abteilungsleiterin, Sabine Vogt, hat das verstanden. Sie war am Dienstag sichtlich darum bemüht, zu erklären, dass es eben nicht nur um den Täter geht. «Wir leben in einer Welt, in der es ist wie beim Autofahren: Wir brauchen einen Sicherheitsgurt», sagte sie.
