Schrift:
Ansicht Home:
Netzwelt

Daten-Leak

So wollte der Verdächtige seine Spuren verwischen

32 Mal hat der mutmaßliche Datendieb seine Festplatte überschrieben, nachdem sein großer Leak bekannt wurde - dann entsorgte er den Rechner beim Recyclinghof. Der Mann war bereits polizeibekannt.

Getty Images

Computernutzer

Von und
Donnerstag, 10.01.2019   17:31 Uhr

Der 20-Jährige aus Hessen, der mutmaßlich hinter dem Daten-Leak steht, hatte in den vergangenen Tagen noch schnell versucht, seine Geräte zu zerstören und seine digitalen Spuren zu verwischen.

Wie schon bei der akribischen Aufbereitung der geleakten Daten ging er dabei recht sorgfältig vor: Seine Festplatte hat er angeblich 32 Mal überschrieben, seinen Computer auf einem Recyclinghof "ordnungsgemäß entsorgt".

Das sagte Holger Münch, der Präsident des Bundeskriminalamts, am Donnerstag in einer nicht-öffentlichen Sondersitzung des Innenausschusses zum Datendiebstahl bei Politikern, Prominenten und YouTubern. Die Polizei sei jetzt damit beschäftigt, seine Festplatte aus einer Vielzahl von Festplatten, die dort ebenfalls abgegeben worden seien, herauszufischen.

Jan Schürlein, Bekannter des Verdächtigen, will vom mutmaßlichen Täter am 4. Januar noch eine Abschieds-E-Mail bekommen haben: "Hab Telegram erst mal entfernt, werde auch den PC vernichten, melde mich dann in ein paar Tagen oder so."

Der 20-Jährige wollte mit der Veröffentlichung von Daten zwar Aufmerksamkeit erregen - dass Strafverfolgungsbehörden bundesweit nach ihm fahnden, hatte er aber offenbar nicht erwartet. "Das Ganze hatte Ausmaße angenommen, mit denen er nicht gerechnet hat", sagte Jan Schürlein, der mehrfach mit dem Täter in Kontakt und auch als Zeuge vom Bundeskriminalamt befragt worden war, zum SPIEGEL.

"Die Bullen stehen gerade vor der Tür"

Seinen eigenen Angaben zufolge hat Schürlein den entscheidenden Tipp gegeben, der 0rbit enttarnte. Nach SPIEGEL-Informationen hat allerdings nicht nur seine Aussage, sondern auch ein weiteres Indiz schließlich zu dem inzwischen Tatverdächtigen geführt.

In einem Interview mit dem ARD-Politikmagazin "Kontraste" erzählte Schürlein, er habe den Ermittlern gesagt, dass 0rbit bereits polizeibekannt sei. Der Hacker habe ihm im Oktober 2016 in einer Chatnachricht geschrieben: "Die Bullen stehen gerade vor der Tür" - das BKA habe dann das Datum des Chats mit den damaligen Ermittlungsvorgängen abgleichen können.

In einem öffentlichen Statement behauptete Schürlein am Donnerstag zudem, der mutmaßliche Täter habe unter dem Pseudonym "Nullr0uter/NFO" zwei Benutzerkonten, die zu den YouTube-Gruppen PietSmiet und ApeCrime gehören, übernommen - wobei ihm ein Fehler unterlief. "Seine damalige Anonymisierungssoftware (VPN) versagte und schaltete für einen geringen Zeitraum auf seine echte IP-Adresse, den Hausanschluss der Eltern, um", so Schürlein. Nachdem die betroffenen YouTuber Strafanzeige stellten, konnten ihn die Ermittler damals demnach schnell ausfindig machen.

Keine Hinweise auf Datenkauf im Darknet

Einem Bericht der "Bild"-Zeitung, wonach der mutmaßliche Täter Daten wie Passwörter im Darknet gekauft haben soll, hat BKA-Chef Münch in der Sondersitzung widersprochen. Das passt zu Aussagen der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT): "Uns liegen nach derzeitigem Stand der Ermittlungen keinerlei Erkenntnisse darüber vor, dass der Beschuldigte Daten im Zusammenhang mit dem Leak im Darknet gekauft hat", hieß es von dort auf SPIEGEL-Nachfrage. "Weder was Passwörter angeht noch ganze Datensätze. Es gibt dahingehend keinen neuen Sachstand."

Zwar ermittele man von Anfang an auch wegen Datenhehlerei, weil immer die Möglichkeit bestehe, dass Teile eines Leaks auf Datenausspähungen Dritter beruhen. "Im aktuellen Fall gibt es diesbezüglich aber weder Hinweise auf Darknet noch auf Ankauf", so die ZIT.

Nachdem der laut Ermittlern geständige Tatverdächtige am Sonntag vorläufig festgenommen war, ist er mittlerweile wieder auf freiem Fuß.

mit Material von dpa/AFP. In einer ersten Version des Artikels hieß es, die Festplatte sei 32 Mal "gelöscht" worden. Sie wurde jedoch "überschrieben". Diese Passage wurde korrigiert. 

insgesamt 102 Beiträge
g.wessels 10.01.2019
1. Leider nicht clever genug ...
… das hätte das Bürschlein aber wissen können, dass man Daten auf Festplatten nur gründlich zerstören kann wenn man die Platte selbst in "krümelgroße" Teilchen "zermahlt". Aber wie gesagt, er ist ja [...]
… das hätte das Bürschlein aber wissen können, dass man Daten auf Festplatten nur gründlich zerstören kann wenn man die Platte selbst in "krümelgroße" Teilchen "zermahlt". Aber wie gesagt, er ist ja kein IT - Fachmann ….
amon.tuul 10.01.2019
2. nun ja
also er hat direkt von dem Ort aus gewirkt an dem seine eigenen Geräte und Speicher stehen. Das ist nicht wirklich clever, eher bequem. Wer clever ist geht komplett anders vor, auch wenn das umständlich und langsamer ist.
also er hat direkt von dem Ort aus gewirkt an dem seine eigenen Geräte und Speicher stehen. Das ist nicht wirklich clever, eher bequem. Wer clever ist geht komplett anders vor, auch wenn das umständlich und langsamer ist.
cindy2009 10.01.2019
3. Bewunderung
"----ging er dabei recht sorgfältig vor---" Ja, als guter Bürger hat er das sogar dem Recycling zukommen lassen. Das ist in der Tat sehr sorgfältig.
"----ging er dabei recht sorgfältig vor---" Ja, als guter Bürger hat er das sogar dem Recycling zukommen lassen. Das ist in der Tat sehr sorgfältig.
Mach999 10.01.2019
4.
Ich bezweifle, dass Ihr Halbwissen Ihre Arroganz rechtefrtigt. Erstens wurde die Festplatte noch gar nicht gefunden, und zweitens reicht ein Wipe völlig aus: [...]
Zitat von g.wessels… das hätte das Bürschlein aber wissen können, dass man Daten auf Festplatten nur gründlich zerstören kann wenn man die Platte selbst in "krümelgroße" Teilchen "zermahlt". Aber wie gesagt, er ist ja kein IT - Fachmann ….
Ich bezweifle, dass Ihr Halbwissen Ihre Arroganz rechtefrtigt. Erstens wurde die Festplatte noch gar nicht gefunden, und zweitens reicht ein Wipe völlig aus: https://www.howtogeek.com/115573/htg-explains-why-you-only-have-to-wipe-a-disk-once-to-erase-it/ Im übrigen glaube ich die 32x auch nicht. Standardmäßig sind es 35, und die dauern üblicherweise Tage bis Wochen. Trotzdem wird man von den Daten nichts wiederherstellen können, wenn er mehrere Durchgänge gemacht hat.
humble_opinion 10.01.2019
5. Relevanz
Angesichts der Tatsache, dass die NSA und andere Geheimdienste mehr oder weniger alles speichern und auswerten, was über das Netz läuft, ist das Vergehen dieses Heranwachsenden doch eher eine Hinterkommastelle. Die eigentliche [...]
Angesichts der Tatsache, dass die NSA und andere Geheimdienste mehr oder weniger alles speichern und auswerten, was über das Netz läuft, ist das Vergehen dieses Heranwachsenden doch eher eine Hinterkommastelle. Die eigentliche Gefahr durch Datendiebstahl ist doch die mögliche Erpressbarkeit der Ausgespähten. Ein Politiker, Wirtschaftsboss oder "Prominenter" ist erledigt, wenn z.B. Nacktfotos von irgendwelchen Partys oder schlimmstenfalls Kindern im Zusammenhang mit ihm auftauchen. Man darf davon ausgehen, dass der so Erpresste nahezu alles tut, damit das nicht öffentlich wird. Wäre das nicht der journalistische Ansatzpunkt, das Thema zu beleuchten? Ob der jetzige Täter seine Platte nun 10, 20 oder 30 mal überschrieben hat, hat doch bestenfalls Relevanz für die untersuchenden Beamten, bringt der Öffentlichkeit auf keinen Erkenntnisgewinn. Lieber Spiegel: "sagen, was ist" ist ein sehr gutes Motto. Gehört dazu nicht auch, nicht über Dinge zu schreiben, die kaum Relevanz haben?

Artikel

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung
TOP