Cola light im Keller statt Kreml

Julian Reichelt und sein „Bild“-Team witterten direkt die ganz große Sache:

Normalerweise ist das eine Methode der Hacker des russischen, auf Cyberkrieg spezialisierten Militärgeheimdienstes GRU.

Bei russischen Geheimdiensten heißt solches Material „Kompromat“ — Erpressungs-Material.

Dritte Spur: der russische Militärgeheimdienst GRU. Putins Cyberkrieger hackten sich bereits ins Bundestagsnetz. Reste dieser Angriffe könnten jetzt für den erneuten Daten-Angriff genutzt worden sein

Als Urheber oder Unterstützer kämen Staaten wie Russland und China infrage, hieß es zunächst. Besonders Russland steht im Verdacht, seit Jahren massiv Hackerangriffe auf Deutschland zu befehlen. Auch ein Zusammenwirken Russlands mit rechtsextremen deutschen Gruppen sei nicht auszuschließen.

Und der „Bild“-Chef selbst sprach von „einer größeren Struktur“, die dahinterstecken müsse. Das seien „nicht ein oder zwei Jungs“ gewesen, „die bei Pizza und Cola light im Keller gesessen haben, bisschen Computerspiele, bisschen Youtube und dann bisschen was gehackt haben“. Das müsse „eine größere Zahl von Personen“ gewesen sein „und vor allem eine professionell vorgehende große Anzahl von Personen, die dieses Material aufbereitet hat.“ Wie viele? Reichelt tippte auf „eine gut zweistellige Zahl von Personen“, „die sich damit beschäftigt haben muss“, und zumindest mit „staatlicher Unterstützung, von welcher Seite auch immer“.

Jetzt, ein gutes halbes Jahr nach dem großen Diebstahl von Daten zahlreicher Prominenter und Politiker, steht fest: Weiter hätten Reichelt und „Bild“ nicht danebenraten können.

Die Sonderkommission „Liste“ des Bundeskriminalamts hat viele Monate ermittelt, zweitweise mit 50 Beamten, mit Experten des Staatsschutzes. Es sei eine „ungewöhnlich gründliche Ermittlung“ gewesen, schreiben Georg Mascolo und Ronen Steinke bei Süddeutsche.de. Im Herbst soll es am Amtsgericht im hessischen Alsfeld einen Prozess gegen Johannes S. geben, wegen des Ausspähens von Daten, Datenhehlerei und Verstößen gegen das Datenschutzgesetz. Mehr nicht. Und nichts deutet auf „den russischen Militärgeheimdienst GRU“, „Putins Cyberkrieger“ oder eine „staatliche Unterstützung, von welcher Seite auch immer“ hin. Johannes S. gilt nach wie vor als Einzeltäter.

Auch Reichelts Geraune vom professionellen Vorgehen ist offenbar Quatsch. Mascolo und Steinke schreiben:

Denn Johannes S., so steht inzwischen fest, war kein sonderlich talentierter und schon gar kein genialer Hacker: Er hatte einfach viel Zeit und Geduld, er rüttelte an jeder elektronischen Tür. Blieb eine verschlossen, versuchte er es bei der nächsten.

Die Methoden, die Johannes S. verwendet haben soll, klingen tatsächlich ziemlich simpel:

Die eine war das Fischen in uralten Datenbanken. Gehackte Email-Passwörter liegen millionenfach in Datenbanken von Kriminellen im Netz, viele wollen damit Geld verdienen. Sind die Passwörter schon älter, bekommt man sie aber auch umsonst. Johannes S. soll gezielt solche Uralt-Passwörter gesucht haben, die einst seinen potenziellen Opfern gehörten. Anschließend soll er deren aktuelle Accounts gesucht und das alte Passwort dort ausprobiert haben. Und siehe da, manche Menschen verwenden jahrelang dasselbe Passwort. So einfach war es.

Bei Methode Nummer zwei habe er sich Fotomontagen von Personalausweisen seiner Opfer besorgt. Mit den vermeintlichen Ausweisscans „soll er dann Provider wie Facebook angemailt haben, mit der höflichen Bitte: Ich habe meine Zugangsdaten vergessen, aber ich kann mich ausweisen. Könnten Sie mir bitte ein neues Passwort geben?“

Ziemlich einfach, aber immer noch aufwändiger als die Recherchen der „Bild“-Redaktion bei diesem Thema.

Dazu auch: