Der Verdächtige habe alles eingeräumt, Beweismaterial geliefert und Aufklärungshilfe über seine eigenen Taten hinaus geleistet, sagte Oberstaatsanwalt Georg Ungefuk, der Sprecher der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) der Generalstaatsanwaltschaft, bei einer Pressekonferenz gemeinsam mit dem Bundeskriminalamt (BKA) am Dienstag. Es habe eine „klare Reuereaktion“ gegeben.
Deshalb und aufgrund seines Alters seien keine weiteren Haftgründe vorgelegen. Der computeraffine Schüler, der noch bei seinen Eltern lebt, war am Sonntag in Hessen nach der Durchsuchung seiner Wohnung festgenommen und am Montag wieder freigelassen worden.
Strafausmaß unklar
Der Verdächtige habe zudem erklärt, alleine gehandelt zu haben, so Ungefuk. Auch die Ermittlungen brachten laut den Angaben bisher keine Hinweise auf eine Beteiligung Dritter. „Das ganze Ausmaß seiner Aktion war ihm offenbar gar nicht bewusst“, sagte ein Ermittler zuvor gegenüber dem „Spiegel“.
Laut Ungefuk ist unklar, welche Strafen dem Beschuldigten nun drohen. Bei Erwachsenen stehen bis zu drei Jahre Haft für Ausspähen, bei Datenhehlerei bis zu drei Jahre und Geldstrafen. Bei Jugendlichen könne es eine Jugendstrafe geben, aber auch erzieherische Maßnahmen, Arrestmaßnahmen und Erziehungshilfen.
Sicherheitslücken ausgenutzt
Durch „ausgeklügelte Vorgehensweise“ sei es dem Mann gelungen, die Daten auszuspähen. Es habe nicht nur eine, sondern mehrere Ausspähaktionen gegeben, vor allem im Jahr 2018. Zudem habe er Daten aus öffentlich zugänglichen Quellen zusammengetragen, so Ungefuk. Dabei habe der Beschuldigte Sicherheitslücken ausgenutzt, die inzwischen geschlossen wurden. Eine entsprechende Ausbildung etwa als Informatiker hatte der Beschuldigte nicht, so Ungefuk. Er habe viel Zeit damit verbracht, sich am PC bestimmte Kenntnisse anzueignen.
Das BKA sei in der Nacht auf den 4. Jänner von dem Vorfall informiert worden, sagte Sabine Vogt, Leiterin der BKA-Abteilung Schwere und Organisierte Kriminalität. Noch in derselben Nacht seien die Ermittlungen gestartet worden, die noch andauern. Computer und Datenspeicher des Verdächtigen würden derzeit ausgewertet.
Es werde nach wie vor geprüft, ob der Beschuldigte wirklich ganz allein gehandelt habe, sagte der Leiter der Abteilung Cybersecurity beim BKA, Heiko Löhr. Die Polizei beziehe in ihre Überlegungen „sowohl allgemein kriminelle sowie auch politische Motivationslagen“ in ihre Überlegungen ein.
Verdächtiger hinterließ Spuren
Rund 1.000 Politiker und Politikerinnen und andere Prominente waren von dem Datendiebstahl betroffen. Bekannt wurde der Fall Ende vergangener Woche. Mit Spuren, die der Verdächtige im Internet hinterlassen hatte, und Zeugenaussagen fanden die Ermittler den 20-Jährigen. BKA-Beamte durchsuchten am Sonntag auch die Wohnung eines Zeugen in Heilbronn in Baden-Württemberg: Der 19-jährige Jan S. hatte über Twitter erklärt, dass er seit Langem mit dem Hacker in Kontakt gestanden sei. Auch weitere Zeugen wurden vernommen.
Der Hacker habe Spuren hinterlassen und es den Behörden dadurch nicht sonderlich schwergemacht, sagte BKA-Chef Holger Münch vor Journalisten am Nachmittag. 48 Stunden nach Aufnahme der Ermittlungen habe man den Mann gekannt. Der mutmaßliche Täter habe sich Zugang zu verschiedenen Accounts verschafft und dabei offensichtlich Hacking-Methoden und keine Schadsoftware eingesetzt. Dem Verdächtigen seien alle Zugänge entzogen worden, so Münch.
Veröffentlichung über Twitter
Laut Innenministerium waren 50 bis 60 Personen besonders schwer von dem Datendiebstahl betroffen, weil auch größere Datenpakete wie Privatdaten, Fotos und Korrespondenz veröffentlicht wurden. Bei rund tausend weiteren soll es laut bisherigem Erkenntnisstand überwiegend um reine Kontaktdaten gegangen sein. Unter den Betroffenen befinden sich auch die deutsche Kanzlerin Angela Merkel (CDU) und Bundespräsident Frank-Walter Steinmeier. Auch Daten von Schauspielern, Musikern und Journalisten wurden veröffentlicht.
Diese Daten wurden von einem inzwischen gesperrten Twitter-Account vor Weihnachten in Form eine Adventkalenders und zum Teil noch früher veröffentlicht. Die deutsche Regierung will aus dem Fall Konsequenzen ziehen und die Cybersicherheit verbessern. Dafür soll ein „Cyberabwehrzentrum plus“ entstehen.
Seehofer: „Wir machen unsere Arbeit“
Im Zuge der Aufarbeitung des Diebstahls kamen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der deutsche Innenminister Horst Seehofer zunehmend in die Kritik. Dem Innenminister wurde vorgeworfen, zu wenig und zu spät reagiert zu haben. Er gratulierte am Dienstag den Sicherheitsbehörden zu ihrem schnellen Ermittlungserfolg.
Am Nachmittag wehrte er sich bei einer eigenen Pressekonferenz gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem BKA gegen den Vorwurf der Untätigkeit. Die zuständigen Behörden hätten „sehr rasch, sehr effizient und sehr gut rund um die Uhr gehandelt“, so Seehofer. „Wir machen in so wichtigen Angelegenheiten also unsere Arbeit.“
Die Löschung der von dem mutmaßlichen Täter ins Internet gestellten Daten dauere noch an. Die Sicherheitslage in Deutschland habe sich durch die massenhafte Veröffentlichung persönlicher Daten aber nicht verändert. Seehofer will aber noch in der ersten Jahreshälfte ein neues IT-Sicherheitsgesetz vorlegen.
BSI: Weitere Fälle „in keiner Weise absehbar“
Politiker von SPD, Grünen und FDP hatten infrage gestellt, ob das BSI rasch genug reagiert habe. Auch Seehofer musste Kritik einstecken, zu wenig und zu spät reagiert zu haben. Vom BSI wurde am Wochenende bestätigt, dass es bereits Anfang Dezember von einem Bundestagsabgeordneten einen Hinweis auf „fragwürdige Bewegungen auf privaten und personalisierten E-Mail- und Social-Media-Accounts“ gegeben habe. Zu diesem Zeitpunkt seien alle Beteiligten allerdings noch von einem Einzelfall ausgegangen.
Das BSI habe Anfang Dezember einem betroffenen Bundestagsabgeordneten Unterstützung angeboten und sei mit Experten bei diesem gewesen, heißt es nun in der Erklärung der Behörde. Von einer geplanten oder bereits getätigten Veröffentlichung der gestohlenen Informationen oder einem Zusammenhang mit dem entsprechenden Twitter-Account habe das BSI bis zur Nacht von Donnerstag auf Freitag keine Kenntnis gehabt.
Erst nach einer Analyse der veröffentlichten Datensätze am Freitag habe ein Zusammenhang hergestellt werden können zwischen dem Fall des Bundestagsabgeordneten und vier weiteren Fällen, „die dem BSI im Verlauf des Jahres 2018 bekanntgeworden sind“, heißt es in der Mitteilung des Bundesamts. „Anfang Dezember 2018 war in keiner Weise absehbar, dass es weitere Fälle gegeben hat.“