Die Polizisten stürmen durch den Garten. Mit einem Rammbock treten sie die Tür eines Familienhauses ein, eine erschreckte Frau ruft den Beamten noch panisch hinterher. Dann gibt es eine Festnahme. Die Szene springt: Jetzt spricht eine Staatsanwältin über den Inhaftierten. Er habe eine "ungewöhnlich hohe Intelligenz an den Tag gelegt, die er destruktiv und asozial einsetze", sagt sie. 1700 Opfer habe der Hacker mit seinen IT-Angriffen gefordert. Auf dem Anklagestuhl sitzt ein Kind. Nickname: Zero Cool.
So mancher wird sich im Zuge des aktuellen Datenskandals an diese Anfangsszene aus dem Film "Hackers" erinnern – ein knallbunter leicht verrückter Hollywoodstreifen aus dem Jahr 1995.
"Hackers" hob die Computer-Nerds seiner Zeit zum ersten Mal auf die Leinwand. Total unrealistisch war der Streifen, aber aus den Programmierern machte er eine öffentliche Attraktion. Eine Mischung aus Super- und Antihelden.
Das Jahr 2019 ist keine zwei Wochen alt, diesmal stehen Staatsanwaltschaft und Bundeskriminalpolizei auf einer echten Bühne in Deutschland. Auch diesmal gibt es einen Beschuldigten. Er ist nur ein halbes Kind, 20 Jahre alt und wohnt noch bei seinen Eltern in Hessen. Sein öffentlich bekannter Name ist "@_0rbit" und seit Tagen jagt ihm gefühlt das halbe Land hinterher, weil er private Daten von hunderten Prominenten und Politikern online gestellt hat. Vom großen Hacker-Angriff war die Rede, überall überschlugen sich Experten mit Einschätzungen und Spekulationen.
Am Sonntag haben die Ermittler den Verdächtigen dann schließlich erwischt, seine Wohnung durchsucht, Computer beschlagnahmt. Im Verhör habe der junge Mann gestanden, sagt Staatsanwalt Georg Ungefuk am Dienstag. "@_0rbit" habe noch versucht, einen Datenträger zu vernichten, um sich zu schützen. Aber die Hardware und die Online-Daten des Beschuldigten seien gesichert worden.
Viel mehr will weder das BKA noch die Staatsanwaltschaft sagen zu "@_0rbit". Er fällt unter das Jugendstrafrecht. Wie es mit ihm weitergeht, muss noch entschieden werden. Gerade ist er auf freiem Fuß, weil es weder eine Verdunklungs-, noch eine Fluchtgefahr gebe. Motiv sei der eigene Ärger über das Verhalten seiner prominenten Opfer gewesen, sagt der Täter. Allerdings: "Er zeigt Reue", sagt der Staatsanwalt noch auf einer Pressekonferenz am Dienstag.
Bei den Nachfragen auf der Pressekonferenz wird deutlich, wo die öffentliche Erzählung von "@_0rbit" schon jetzt hingeht. Das öffentliche Interesse bleibt bei ihm hängen. Dieselben Experten, die vor wenigen Tagen noch vom staatlichen Angriff auf Deutschland sprachen, haben jetzt "einen gefassten Hacker, der noch bei seinen Eltern wohnt". Eine Knaller-Geschichte, und schon am Dienstag finden sich solche Überschriften bei zahlreichen Websites und TV-Sendern.
Aber " '@_0rbit' ist eben kein „berüchtigter Hacker, der gefasst wurde" – wenigstens die Staatsanwälte und das BKA scheinen das verstanden zu haben.
"Ausgeklügelt" sei er vorgegangen, heißt es dort zwar. Er habe viel "Zeit und Interesse" investiert. Auch fleißig sei er gewesen. Aber ein geniales Kind-Genie, dass sich in Computer-Systeme hackt, wie in Hollywood, das ist "@_0rbit" eben nicht. Weil solche Angriffe heutzutage eben nicht mehr so einfach sind, wie in den 90ern. Auch BKA-Präsident Holger Münch bestätigte auf einer Pressekonferenz zum Datenskandal am Dienstagmittag: "Schadsoftware wurde nicht eingesetzt".
Wenn wir "@_0rbit" jetzt öffentlich trotzdem zum großen Hacker verklären, ignorieren wir das eigentliche Problem.
Der 20-Jährige hat sich aller Wahrscheinlichkeit nach lediglich genauer angesehen, was Sicherheitsforscher seit Jahren als großes Risiko einstufen. Ungeschützte Berge an Rohdaten, alten Benutzernamen und Kennwörtern (sog. Credentials), die offen für jeden im Internet herumliegen.
Die Müllkippen, auf denen solche Daten zu finden sind, lassen sich zum Teil googeln. Es sind online verfügbare Datenbanken auf Websites mit Namen wie Pastebin oder Siph0n. Auch Foren sind eine gute Quelle für Zugangsdaten: Crackingcore, passwordcastle oder Greyhat-Hacker-Foren etwa. All diese Seiten haben eine Sache gemein: In ihnen findet sich der Müll des Internets. Und dieser Müll besteht zu einem großen Teil aus Passwörtern, die irgendwann mal irgendwo geleakt sind.
Diesen Berg musste sich "@_0rbit" im Grunde nur in Ruhe anschauen. Wurde er fündig, musste er nur noch prüfen, ob eine bekannte Persönlichkeit ihre alten Zugangsdaten noch immer irgendwo verwendet. Stück für Stück bekam er so vermutlich Zugang.
Weitere Möglichkeiten sind, dass der junge Mann die Daten auch dazu verwendete, sich bei Service-Dienstleistern auszuweisen, um dann noch mehr Passwörter zu ergaunern. Mann nennt das "Social Engineering". Vielleicht nutzte er hin und wieder auch einige alte Sicherheitslücken, die mit dem richtigen Update längst geschlossen sein sollten. Die meisten Informationen kamen also aus öffentlich zugänglichen Quellen.
Jeder kann solche Daten mit Zeit und Fleiß selbst sammeln. Und dann kann so ein Daten-Leak – natürlich – wieder passieren.
Jeder der aus "@_0rbit" jetzt einen großen Hacker macht, unterschätzt massiv, dass wir alle zugunsten eines einfachen Lebens unsere eigene Sicherheit im Netz täglich untergraben. Es braucht keine neuen "Cyber"-Sicherheitsbehörden, es braucht keine neuen "Cyber"-Gesetze. All das wird seit Jahren auf den Weg gebracht. Wir sollten uns weniger darum kümmern, einen Schuldigen zu finden, als endlich bei uns selbst suchen.
Auch die BKA-Abteilungsleiterin, Sabine Vogt, hat das verstanden. Sie war am Dienstag sichtlich darum bemüht, zu erklären, dass es eben nicht nur um den Täter geht. "Wir leben in einer Welt, in der es ist wie beim Autofahren: Wir brauchen einen Sicherheitsgurt", sagte sie.
