Daten-Leak So wollte der Verdächtige seine Spuren verwischen
Der 20-Jährige aus Hessen, der mutmaßlich hinter dem Daten-Leak steht, hatte in den vergangenen Tagen noch schnell versucht, seine Geräte zu zerstören und seine digitalen Spuren zu verwischen.
Wie schon bei der akribischen Aufbereitung der geleakten Daten ging er dabei recht sorgfältig vor: Seine Festplatte hat er angeblich 32 Mal überschrieben, seinen Computer auf einem Recyclinghof "ordnungsgemäß entsorgt".
Das sagte Holger Münch, der Präsident des Bundeskriminalamts, am Donnerstag in einer nicht-öffentlichen Sondersitzung des Innenausschusses zum Datendiebstahl bei Politikern, Prominenten und YouTubern. Die Polizei sei jetzt damit beschäftigt, seine Festplatte aus einer Vielzahl von Festplatten, die dort ebenfalls abgegeben worden seien, herauszufischen.
Jan Schürlein, Bekannter des Verdächtigen, will vom mutmaßlichen Täter am 4. Januar noch eine Abschieds-E-Mail bekommen haben: "Hab Telegram erst mal entfernt, werde auch den PC vernichten, melde mich dann in ein paar Tagen oder so."
Der 20-Jährige wollte mit der Veröffentlichung von Daten zwar Aufmerksamkeit erregen - dass Strafverfolgungsbehörden bundesweit nach ihm fahnden, hatte er aber offenbar nicht erwartet. "Das Ganze hatte Ausmaße angenommen, mit denen er nicht gerechnet hat", sagte Jan Schürlein, der mehrfach mit dem Täter in Kontakt und auch als Zeuge vom Bundeskriminalamt befragt worden war, zum SPIEGEL.
"Die Bullen stehen gerade vor der Tür"
Seinen eigenen Angaben zufolge hat Schürlein den entscheidenden Tipp gegeben, der 0rbit enttarnte. Nach SPIEGEL-Informationen hat allerdings nicht nur seine Aussage, sondern auch ein weiteres Indiz schließlich zu dem inzwischen Tatverdächtigen geführt.
In einem Interview mit dem ARD-Politikmagazin "Kontraste" erzählte Schürlein, er habe den Ermittlern gesagt, dass 0rbit bereits polizeibekannt sei. Der Hacker habe ihm im Oktober 2016 in einer Chatnachricht geschrieben: "Die Bullen stehen gerade vor der Tür" - das BKA habe dann das Datum des Chats mit den damaligen Ermittlungsvorgängen abgleichen können.
In einem öffentlichen Statement behauptete Schürlein am Donnerstag zudem, der mutmaßliche Täter habe unter dem Pseudonym "Nullr0uter/NFO" zwei Benutzerkonten, die zu den YouTube-Gruppen PietSmiet und ApeCrime gehören, übernommen - wobei ihm ein Fehler unterlief. "Seine damalige Anonymisierungssoftware (VPN) versagte und schaltete für einen geringen Zeitraum auf seine echte IP-Adresse, den Hausanschluss der Eltern, um", so Schürlein. Nachdem die betroffenen YouTuber Strafanzeige stellten, konnten ihn die Ermittler damals demnach schnell ausfindig machen.
Keine Hinweise auf Datenkauf im Darknet
Einem Bericht der "Bild"-Zeitung, wonach der mutmaßliche Täter Daten wie Passwörter im Darknet gekauft haben soll, hat BKA-Chef Münch in der Sondersitzung widersprochen. Das passt zu Aussagen der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT): "Uns liegen nach derzeitigem Stand der Ermittlungen keinerlei Erkenntnisse darüber vor, dass der Beschuldigte Daten im Zusammenhang mit dem Leak im Darknet gekauft hat", hieß es von dort auf SPIEGEL-Nachfrage. "Weder was Passwörter angeht noch ganze Datensätze. Es gibt dahingehend keinen neuen Sachstand."
Zwar ermittele man von Anfang an auch wegen Datenhehlerei, weil immer die Möglichkeit bestehe, dass Teile eines Leaks auf Datenausspähungen Dritter beruhen. "Im aktuellen Fall gibt es diesbezüglich aber weder Hinweise auf Darknet noch auf Ankauf", so die ZIT.
Nachdem der laut Ermittlern geständige Tatverdächtige am Sonntag vorläufig festgenommen war, ist er mittlerweile wieder auf freiem Fuß.
