Cracker mit Humor

Milde Strafen für den Hacker, der angeblich mit Gates' geklauter Kreditkarte diesem Viagra zugeschickt hatte

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Am 23. März des letzten Jahres war für den 18jährigen Raphael Gray der Spaß vorbei. Vor seiner Tür in einem kleinen Dorf in Wales stand die britische Polizei, unterstützt von einem Kollegen des FBI, und nahmen ihn sowie einen Freund fest. Der wurde dann nicht angeklagt, Gray aber bekannte sich im Juni bereits schuldig, sich die Daten von Tausenden von Kreditkarten beschafft zu haben, die er dann frecherweise auch noch auf einer Website veröffentlicht hatte. Darunter soll sich auch eine Kreditkarte von Bill Gates befunden haben, von der Gray das Geld abgebucht hatte, um dem reichsten Mann der Welt eine Ladung Viagra zu schicken. Das hat natürlich viele für den Hacker eingenommen, der natürlich alles wieder nur gemacht hat, um auf Sicherheitsmängel hinzuweisen.

Beeindruckt hat der Schabernack offensichtlich auch den Richter, der Gray zu seinem "Humor" beglückwünschte: "Sie haben Humor gezeigt, als sie Viagra zu Bill Gates schickten, um sich über ihn lustig zu machen." Möglicherweise teilt er da eine gewisse Aversion gegen den Softwaremogul. Und weil der Richter milde gesinnt war, gab es für den geständigen Gray, der aus den gestohlenen Daten keine Gewinne gezogen hatte, auch keine Gefängnisstrafe, sondern er muss sich einer dreijährigen psychiatrischen Therapie unterziehen, nachdem er eine psychische Störung attestiert bekommen hatte. Mit 14 Jahren hatte er sich bei einem Unfall eine Kopfverletzung zugezogen, durch die seine Persönlichkeit verändert worden sei. Er litt unter Schlaflosigkeit, seine schulischen Leistungen ließen nach, er verließ die Schule vorzeitig und widmete sich ganz dem Hacken sowie dem selbstgestellten Auftrag, als Wächter des E-Commerce zu fungieren.

Mit der Verurteilung zu der dreijährigen Behandlung und zu gemeinnützigen Arbeiten war Gray natürlich zufrieden und versicherte nach dem Urteilsspruch, der seine Scherze deckt, dass er seine Taten nicht bedauern würde, nur die Weise, wie er sie ausgeführt hatte. Wenn er wieder einmal tätig werden sollte, dann auf strikt legale Weise.

In seinem früheren Hackerleben handelte Gray unter dem Pseudonym Curador und bezeichnete sich selbst schon einmal als "the custodian of ecommerce". Sicher war er sich im jugendlichen Überschwang, als eine Art digitaler Robin Hood unerkannt durch die Weiten des Cyberspace schweifen zu können und bei seinen Eskapaden nicht erwischt zu werden. Von 23.000 Kreditkarten hatte er sich die Daten besorgen können. Mit einem selbst geschriebenen Programm konnte er in mit SQL von Microsoft laufenden Server in den USA, in Großbritannien, Kanada und Thailand eindringen und sich die gespeicherten Daten heruntersaugen: "Ich musste nur Klick, Klick, Klick machen und hatte Tausende heruntergeladen", erzählte er. "Man könnte das auch seiner Großmutter beibringen, weil es so einfach ist." Nach dem Crack brachte er den Server zum Absturz, um seine Spuren zu verwischen.

Nachdem Gray von den Online-Händlern, deren Server er geknackt und die er auf die Sicherheitsmängel hingewiesen hatte, keine Antwort bekam, wurde er wütend und hatte die Daten von 6.5000 Kreditkarten auf seiner Website veröffentlicht. "Vielleicht", so schrieb er dazu, "werden die Leute ihre Sites eines Tages richtig einrichten, bevor sie mit dem Handeln beginnen, ansonsten wird dies nicht die letzte Site sein, die ich ins Netz stelle." Er veröffentlichte zudem Einzelheiten über sein Vorgehen und meinte gegenüber der Polizei, dass er von ihr nicht geschnappt werde, weil sie sowieso niemanden erwischen würden: "Die Polizei kann sich nicht einmal aus einem Papierkorb heraushacken."

Aufsehen hatte er auch in den USA und Kanada erregt. Obgleich sich das FBI damit brüstete, dass die selbst angestellten Ermittlungen direkt auf die Spur des Täters nach Wales geführt hatten, ist eigentlich Chris Davis, ein kanadischer Sicherheitsexperte von der Firma Tyger Team und ehemaliger Hacker, auf die Schliche von Gray gekommen und hatte ihn lokalisieren können. Nach Aussagen des FBI habe Gray einen Schaden von drei Millionen Dollar angerichtet.

Dass Gray tatsächlich die Kreditkarte von Gates benutzt hatte, wurde aber bereits schon letztes Jahr angezweifelt (Bill Gates' Kreditkarte war nicht dabei). Vermutlich war das nur ein Gag, um für sich größere Aufmerksamkeit zu erwerben, was ja auch gelungen ist. Die Kreditkarte war nämlich nicht auf den Namen William H. Gates, sondern nur auf William F. Gates ausgestellt war. Zudem war auch die Adresse (One Microsoft Way, Redmond, WA 98004) falsch. Gray hatte selbst auf seiner damaligen, von Attrition - ohne die Kreditkarteninformationen - gespeicherten Website geschrieben: "The Number Does Not Look Valid But Orders Had Been Taken On This Card At The Site I Got It From So Judge For Yourself." Die Hinweise zum Kennwort: "Something I have lots of..." sowie das angebliche Kennwort "money" sind da auch nicht viel glaubhafter. Aber was solls? Solange die Medien und der Richter daran glauben ...