bedeckt, wenig Regen
DE | FR
34
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
International
Digital

Deutschland hat seinen «Hacker» geschnappt – dabei geht es nicht um ihn

Bild
Bild: shutterstock/watson
Analyse

Deutschland hat seinen «Hacker» geschnappt – dabei geht es nicht um ihn

08.01.2019, 15:4009.01.2019, 08:26
Max Biederbeck / watson.de

Die Polizisten stürmen durch den Garten. Mit einem Rammbock treten sie die Tür eines Familienhauses ein, eine erschreckte Frau ruft den Beamten noch panisch hinterher. Dann gibt es eine Festnahme. Die Szene springt: Jetzt spricht eine Staatsanwältin über den Inhaftierten. Er habe eine «ungewöhnlich hohe Intelligenz an den Tag gelegt, die er destruktiv und asozial einsetze», sagt sie.

  • 1700 Opfer habe der Hacker mit seinen IT-Angriffen gefordert. Auf dem Anklagestuhl sitzt ein Kind. Nickname: Zero Cool.
  • So mancher wird sich im Zuge des aktuellen Datenskandals an diese Anfangsszene aus dem Film «Hackers» erinnern – ein knallbunter leicht verrückter Hollywoodstreifen aus dem Jahr 1995.

«Hackers» hob die Computer-Nerds seiner Zeit zum ersten Mal auf die Leinwand. Total unrealistisch war der Streifen, aber aus den Programmierern machte er eine öffentliche Attraktion. Eine Mischung aus Super- und Antihelden. 

Animiertes GIFGIF abspielen
«Hackers».

Perfekt fürs Kino, und genau das passiert gerade wieder

Das Jahr 2019 ist keine zwei Wochen alt, diesmal stehen Staatsanwaltschaft und Bundeskriminalpolizei auf einer echten Bühne in Deutschland. Auch diesmal gibt es einen Beschuldigten. Er ist nur ein halbes Kind, 20 Jahre alt und wohnt noch bei seinen Eltern in Hessen. Sein öffentlich bekannter Name ist «@_0rbit» und seit Tagen jagt ihm gefühlt das halbe Land hinterher, weil er private Daten von hunderten Prominenten und Politikern online gestellt hat. Vom grossen Hacker-Angriff war die Rede, überall überschlugen sich Experten mit Einschätzungen und Spekulationen.

Am Sonntag haben die Ermittler den Verdächtigen dann schliesslich erwischt, seine Wohnung durchsucht, Computer beschlagnahmt. Im Verhör habe der junge Mann gestanden, sagt Staatsanwalt Georg Ungefuk am Dienstag. «@_0rbit» habe noch versucht, einen Datenträger zu vernichten, um sich zu schützen. Aber die Hardware und die Online-Daten des Beschuldigten seien gesichert worden.

Viel mehr will weder das BKA noch die Staatsanwaltschaft sagen zu «@_0rbit». Er fällt unter das Jugendstrafrecht. Wie es mit ihm weitergeht, muss noch entschieden werden. Gerade ist er auf freiem Fuss, weil es weder eine Verdunklungs-, noch eine Fluchtgefahr gebe. «Er zeigt Reue», sagt der Staatsanwalt noch auf einer Pressekonferenz am Dienstag.

Aber, so scheint es, der Öffentlichkeit reicht das nicht. Sie will Zero Cool.

Bei den Nachfragen auf der Pressekonferenz wird deutlich, wo die öffentliche Erzählung von «@_0rbit» schon jetzt hingeht. Das öffentliche Interesse bleibt bei ihm hängen. Dieselben Experten, die vor wenigen Tagen von staatlichen Angriff auf Deutschland sprachen haben jetzt «einen gefassten Hacker, der noch bei seinen Eltern wohnt». Eine Knaller-Geschichte, und schon am Dienstag finden sich solche Überschriften bei zahlreichen Websites und TV-Sendern.

Aber « '@_0rbit' ist eben kein „berüchtigter Hacker, der gefasst wurde» – wenigstens die Staatsanwälte und das BKA scheinen das verstanden zu haben.

«Ausgeklügelt» sei er vorgegangen, heisst es dort. Er habe viel «Zeit und Interesse» investiert. Er sei auch fleissig gewesen. Aber ein geniales Kind-Genie, dass sich in Computer-Systeme hackt, wie in Hollywood, das ist «@_0rbit» eben nicht.

Wenn wir ihn jetzt öffentlich dazu verklären, ignorieren wir das eigentliche Problem.

«@_0rbit» ist ein Sammler, nicht mehr, und nicht weniger

Der 20-Jährige hat sich lediglich genauer angesehen, was Sicherheitsforscher seit Jahren als grosses Risiko einstufen. Ungeschützte Berge an Rohdaten, alten Benutzernamen und Kennwörtern (sog. Credentials), die offen für jeden im Internet herumliegen.

Die Müllkippen, auf denen solche Daten zu finden sind, lassen sich zum Teil googeln. Es sind online verfügbare Datenbanken auf Websites mit Namen wie Pastebin, Webcache oder Siph0n. Auch Foren sind eine gute Quelle für Zugangsdaten: Crackingcore, passwordcastle oder Greyhat-Hacker-Foren etwa. All diese Seiten haben eine Sache gemein: In ihnen findet sich der Müll des Internets. Und dieser Müll besteht zu einem grossen Teil aus Passwörtern, die irgendwann mal irgendwo geleakt sind.

Diesen Berg schaute sich «@_0rbit» in Ruhe an. Wurde er fündig, prüfte er, ob eine bekannte Persönlichkeit ihre alten Zugangsdaten noch immer irgendwo verwendet. Stück für Stück bekam er Zugang. Wahrscheinlich verwendete der junge Mann die Daten auch dazu, sich bei Service-Dienstleistern auszuweisen, um dann noch mehr Passwörter zu ergaunern. Mann nennt das «Social Engineering». Vielleicht nutzte er hin und wieder einige alte Sicherheitslücken, die mit dem richtigen Update längst geschlossen sein sollten. Die meisten Informationen kamen also aus öffentlich zugänglichen Quellen.

Mit genialen Hackern, geheimen Software-Hintertüren und sonstigen «Fehlern in der Matrix» hat das alles nichts zu tun.

Jeder kann solche Daten mit Zeit und Fleiss selbst sammeln. Und dann kann so ein Daten-Leak – natürlich – wieder passieren.

Jeder der aus «@_0rbit» jetzt einen grossen Hacker macht, unterschätzt massiv, dass wir alle zugunsten eines einfachen Lebens unsere eigene Sicherheit im Netz täglich untergraben. Es braucht keine neuen «Cyber»-Sicherheitsbehörden, es braucht keine neuen «Cyber»-Gesetze. All das wird seit Jahren auf den Weg gebracht. Wir sollten uns weniger darum kümmern, einen Schuldigen zu finden, als endlich bei uns selbst suchen.

Auch die BKA-Abteilungsleiterin, Sabine Vogt, hat das verstanden. Sie war am Dienstag sichtlich darum bemüht, zu erklären, dass es eben nicht nur um den Täter geht. «Wir leben in einer Welt, in der es ist wie beim Autofahren: Wir brauchen einen Sicherheitsgurt», sagte sie. 

Die sieben eindrücklichsten Hacker-Attacken

1 / 10
Sieben eindrückliche Hacker-Attacken
quelle: jordan strauss/invision/ap/invision / jordan strauss
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Russland begeht grossflächige Cyberattacke

Video: srf/SDA SRF
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

34 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Ueli_DeSchwert
08.01.2019 15:57registriert September 2018
Sehr gut geschrieben.
Das ist ein echtes Problem.
Auf haveibeenpwned.com kann man schauen, ob eine der eigenen E-Mail-Adressen in einem bekannten Breach drin war.
Das zu wissen, ist das eine. Das betroffene Passwort dann aber nicht mehr zu verwenden ist etwas ganz anderes. Dazu ist der Mensch einfach viel zu bequem.
Und so dreht sich das Rad weiter, und es wird wieder geschehen...
1382
Melden
Zum Kommentar
avatar
Cpt. Jeppesen
08.01.2019 16:28registriert Juni 2018
Ich stimme zu aus @_Orbit keinen Held zu machen. Er hat aus egoistischen Motiven gehandelt um Aufmerksamkeit zu bekommen. Aber zu behaupten er sei kein Hacker ist ebenfalls falsch, denn genau so funktioniert hacken. Mit viel Geduld Daten zusammentragen, Schwachstellen ausspionieren, sich als Mitarbeiter ausgeben, etc...
Dieses 'Wir hacken in 30 Sekunden das "Pentagon"' existiert ausschliesslich im Film. Wenn auf einer Konferenz jemand solch einen Hack vorstellt, der dann in weniger als 30 Sekunden durchläuft, sind dem Monate oder Jahre an oben beschriebener Detailarbeit vorausgegangen.
11313
Melden
Zum Kommentar
avatar
Fruchtzwerg
08.01.2019 16:05registriert Oktober 2017
Wieso bitte fällt ein 20-jähriger unter das Jugendstrafrecht? Alt genug um zu wählen und Alkohol zu trinken, aber nicht um in einem normalen Knast zu sitzen?
10525
Melden
Zum Kommentar
34
5G-Nutzung: Die Europäer holen laut dieser Studie zu Nordamerika auf

Westeuropa holt bei der Nutzung der fünften Mobilfunkgeneration (5G) gegenüber Nordamerika und China mit grossem Tempo auf, wie aus dem jüngsten Ericsson Mobility Report hervorgeht, der am Mittwoch in Stockholm veröffentlicht werden soll. Die Zahl der 5G-Mobilfunkverträge in Westeuropa wird sich demnach in einem Jahr fast verdoppeln: von 32 Millionen Ende 2021 auf 63 Millionen bis Ende 2022.

Zur Story