Hacking ist oft keine große Kunst, weil einfachste Sicherheitsregeln verletzt werden. Nicht allzu selten kommt es vor, dass ein Zettel mit den Zugangsdaten am Monitor hängt.
Foto: Rudolpho Duba / pixeliio.de
Hackergrüße aus dem Jugendzimmer?
Von Klaus Henning Gltza
Ein 20-Jähriger aus der mittelhessischen Provinz soll hinter dem spektakulären Hack stecken, der wochenlang die Schlagzeilen beherrschte. Der Schüler aus Homberg/Ohm soll auf Twitter in der Vorweihnachtszeit sensible Daten von knapp 1.000 Promis wie E-Mail- und Chatinhalte, Dokumente, Kontodaten und Fotos mit deutlich privatem Charakter im Stil eines Adventskalenders unter Fake-Namen veröffentlicht haben. Nach offizieller Lesart habe der junge Mann den Riesenhack ganz alleine gestemmt. Doch es gibt Skeptiker, selbst in den eigenen Reihen.
Hackergrüße aus dem Jugendzimmer? Der Datenraub- das Werk eines einzigen Täters? Dabei waren, als der Hack bekannt wurde, ganz andere Kaliber in Verdacht geraten. Von finsteren Hacker-Netzwerken war die Rede, von politischen Extremisten und ausländischen Geheimdiensten, die nachgewiesenermaßen gerne mal in persönlichen Daten herumspionieren. Alles nur überschießende Phantasie? Denn der große Angriff soll nicht aus verdunkelten Räumen oder hermetisch abgeriegelten Zentralen gekommen sein, sondern aus einem gutbürgerlichen Einfamilienhaus in einer Kleinstadt, die es zum staatlich anerkannten Luftkurort gebracht hat. Fast zu kurios, um wahr zu sein.
Wer ist dieser Johannes S. aus Homberg/Ohm? Höflich, zurückhaltend, fast schon ein bisschen schüchtern, so charakterisieren ihn Mitschüler. Ein typischer „Nerd“, sprich ein Computerfreak, der, kaum zu Hause, sofort den PC anwirft und unendlich viele Stunden an ihm verbringt. Der Vater ist ein beliebter und vielbeschäftigter Facharzt in der kleinen Stadt mit weniger als 8.000 Einwohnern, in der fast jeder jeden kennt.
Schüchtern, zurückhaltend im realen Leben- doch in der virtuellen Welt des Internets ist Johannes S. weniger bescheiden, Er nennt sich „Orbit“ oder auch „GOd“. Der Schüler ist ein junger Mensch auch, der sehr intensiv nach Beachtung und Anerkennung sucht, die er offenbar im heimischen Umfeld nicht findet. Wegbegleiter sagen ihm Geltungsdrang nach.
Als die Polizei den angeblichen Einzeltäter im Januar 2019 im elterlichen Haus aufsucht, geschah dies nicht zu ersten Mal. Bereits im Oktober 2016 statteten ihm Polizeibeamte eine „Visite“ ab. „Die Bullen stehen vor der Tür“, simst er einem Hackerkollegen, mit dem er sich regelmäßig austauscht. Schon damals Hacks der Grund für den Hausbesuch. Dich das kümmerte seinerzeit kaum jemanden, da keine Politiker unter den Betroffenen waren.
Die These von der Alleintäterschaft stammte vor allem von Johannes S. selbst. Nachdem er sich zunächst zierte, redete ihm seine Mutter ins Gewissen, worauf der Schüler ein umfassendes Geständnis anlegte. Demnach agierte er allein- ohne fremde Mithilfe.
Erste Zweifel an der Alleintäterschaft kommen auf, als BKA-Experten den jungen Mann aus Mittelhessen vor einen PC setzen. Sie geben ihm vor, die so genannte Zwei-Faktor-Authentifizierung zu knacken. Diese Authentifizierungsmethode ist beispielsweise bei EC-Karten bekannt. Neben den auf der Karte hinterlegten Daten, die beim Einstecken der Karte in Geldautomaten automatisch übertragen werden, gibt der Nutzer als zweiten Identifikationsfaktor die PIN ein. Auch bei der Zutrittskontrolle gibt es diese mehrfache Absicherung. Zum Beispiel Firmenausweis plus PIN, Fingerprint oder Gesichtserkennung. Bei Mailaccounts könnte die Zwei-Faktor-Authentifikation aus Benutzernamen, Passwort und zusätzlich einer PIN bestehen.
Typische Darstellung eines Anonymous-Hackers mit Guy-Fawkes-Maske auf der CEBIT 2016
Foto: © Von Frank Schwichtenberg - Eigenes Werk, CC-BY 4.0, https://commons.wikimedia.org/w/index.php?curid=47612333Wie auch immer, Johannes S. schaffte es jedenfalls nicht, diese Authentifizierungsmethode zu knacken. Für die Beamten war das zumindest ein Indiz, dass der junge Mann aus gutem Haus nicht alleine wirkte, sondern in Gemeinschaft mit anderen, möglicherweise in einer Struktur. Nach außen wird aber die Alleintäterthese aufrechterhalten. Eben, weil Indizien bekanntermaßen kein Beweis sind und sich Ermittler aus taktischen Gründen ungern in die Karten gucken lassen.
Allerdings fragt sich: Musste er unbedingt mit diesen höheren Weihen des Hackings vertraut sein? Experten sagen: Wohl kaum. Denn viele deutsche E-Mail-Provider lassen die Zwei-Faktor-Authentifizierung im Gegensatz zu anderen Anbietern wie der US-amerikanischen GoogleMail erst gar nicht zu. Selbst, wenn man es wollte, könnte man dieses Sicherheitsmerkmal erst gar nicht aktivieren. Johannes S., so ist von Insidern zu erfahren, bediente sich bei seinem Datenklau überwiegend bei Mailaccounts, die Zwei-Faktor-Authentifizierungen erst gar nicht zulassen.
Aber nicht nur das: Viele der angeblich hochgeheimen Daten wie Mailadressen stammen aus öffentlich zugänglich Quellen. In den meisten Fällen haben die Betroffenen selbst ihre Kontaktdaten irgendwo veröffentlicht. Zum Teil sind die von S. veröffentlichten Daten deutlich veraltet und stammen beispielsweise aus dem Jahr 2013. Ein Beleg dafür, dass sie nicht durch aktuelle Hacks erbeutet wurden.
Außerdem muss man nicht höchstpersönlich hacken. Im Darknet, der dunklen Seite des Internets, der nur über einen Browser namens Thors zugänglich ist, wimmelt es vor Kaufangeboten gehackter Daten. E-Mail-Adressen samt Zugangsdaten gelten in diesem Umfeld nur als Fingerübungen. Wer will, kann auch Kreditkartennummern und Bankverbindungen erhalten.
Für alle, die dort nicht fündig wird, bieten sich als Alternative spezielle Foren an, in denen Hackingleistungen quasi ausgeschrieben werden. Interessenten benennen dort einfach bestimmte Aufgaben- und dann melden sich Hacker mit ihren Preisvorschlägen.
Zudem: Wie ein Hackerfreund ausplaudert, begnügte sich Johanes S. nicht mit „Bürorecherchen“. Unter anderem den Wohnsitz des Journalisten Jan Böhmermann, ein Mann, der nicht nur türkische Staatsoberhäupter, sondern auch rechte Zeitgenossen im Visier hat, habe der 20-Jährige in Augenschein genommen, um an weitere Informationen zu kommen.
Stecken rechtsextreme Gruppierungen hinter dem großen Angriff auf persönliche Daten? Zweifellos gehört Johannes S. nicht jenem Teil der Hackerszene an, die aus linksorientierten Motiven handelt. Der junge Mann aus Homberg/Ohm ist eher rechtsgewirkt und soll deutlich anti-islamistische Position vertreten. Dass er einer politisch motivierten Struktur angehört, für die er gewissermaßen als Frontmann wirkte, dafür hat die Polizei bisher keine Anhaltspunkte gefunden. Ein IT-Sicherheitsexperte ist sich aber sicher, dass es mindestens einen Mittäter gibt, der fachlich wesentlich besser aufgestellt ist als der Computerfreak aus Mittelhessen.
Egal, ob Johannes S. alleine wirkte oder organisiert ist: Politisch extreme Gruppen von ganz links bis ganz rechts haben längst die Aktionsform Hacking für sich entdeckt. Die Behörden nehmen an, dass nicht der Schüler aus Homberg/Ohm, sondern andere politisch Motivierte die gehackten Daten einer Politikerin der Linken genutzt haben, um in deren Namen Mails zu versenden. Inhalt: Ihre Partei sei der „letzte Scheiß“.
Hacking wird täglich praktiziert. Millionen von sensiblen Daten sind auf diese Weise gestohlen und offengelegt worden. Doch das Alltagshacking schafft es meist nicht auf Titelseiten der Medien. Es gibt weitaus schlimmere Fälle als die Causa Johanens S.
Und: Hacking ist keine Kunst. Wer seine Kenntnisse auf diesem Gebiet aufpolieren will, findet en masse Anleitungen im Internet. Nicht nur im finsteren Darknet, sondern auch im ganz normalen www. Johannes S. mag als Einzeltäter gelten, aber allein auf weiter Flur ist er ganz bestimmt nicht.
