Deutschland hat mutmaßlichen Hacker an die USA ausgeliefert

Der syrischstämmige Deutsche soll bei Erpressungen der Syrischen Elektronischen Armee mitgewirkt haben, aber was man von ihm findet, deutet auf keine kriminelle Aktivität hin, ganz im Gegenteil

Die deutschen Behörden haben einen mutmaßlichen Hacker in die USA ausgeliefert, wie auch die SZ berichtete. Der 36-jährige Deutsche Peter R., der aus Syrien kommt, an der Universität von Aleppo Informatik studiert hat, in Waltershausen lebte und bei IT-Firmen in Erfurt arbeitete, wird vom FBI beschuldigt, Mitglied der Hackergruppe Syrische Elektronische Armee (SEA) zu sein. Die Gruppe unterstützt die Assad-Regierung und soll u.a. von Opfern ihrer Hackerangriffe Geld erpresst haben. Überstellt wurde er einem Bundesgericht in Virginia. Die Frage ist, wie weit Peter R. wirklich an den kriminellen Aktivitäten wissentlich beteiligt war und ob er jetzt nicht in den USA mit einer überzogenen Strafe als Abschreckungsgeste rechnen muss.

Das FBI veröffentlichte im März die Anklage gegen Peter R. sowie Amad Umar Agha (Th3 Pr0) und Firas Dardar (THE SHADOW), die in Syrien (Damaskus bzw. Homs) leben sollen und auf die Cyber-Most-Wanted-List mit einer 100.000 US-Dollar Belohnung für Hinweise zu ihrer Ergreifung gesetzt wurden. Beschuldigt werden Agha und Dardar mehrerer Verabredungen zum Hacken von Websites seit 2011. Die Anklageschrift selbst stammt vom September 2015.

Die Gruppe soll mittels "Phishing" Benutzernamen und Passwörter gesammelt haben, um Zugriff auf Websites zu erhalten, diese mit Pro-Assad-Botschaften zu überschreiben, Falschmeldungen zu verbreiten, Emails zu stehlen und Accounts von Sozialen Netzwerken zu übernehmen. 2011 sollen sie in eine Website des Weißen Hauses und 2013 in eine Rekrutierungswebsite des U.S. Marine Corps eingedrungen sein. Dort wurden die Soldaten zur Befehlsverweigerung aufgefordert. Gekapert wurden so Twitter-Accounts von Associated Press, Reuters und Washington Post. Ein bekannter Coup war die Verbreitung eines Tweets über den gehackten Twitter-Account der Nachrichtenagentur Associated Press, dass eine Bombe im Weißen Haus explodiert und der Präsident dabei verletzt worden sei. Die Ente hatte zur Folge, dass die Börsenwerte kurz einbrachen.

Dardar wird vorgeworfen, sich unautorisiert Zugang zu Computern verschafft und diese beschädigt zu haben und Firmen erpresst zu haben. So soll er 2013 und 2014 in Computer von mindestens 14 Firmen, davon mindestens einer in den USA (Eastern District of Virginia), eingedrungen sein, Besucher von den Websites weggelenkt, Emails verschickt und Texte verändert haben. Unter Androhung weiterer Schäden erpresste er schließlich Geld. Verlangt soll er insgesamt eine halbe Million US-Dollar haben, wieviel tatsächlich erpresst wurde, wird nicht deutlich, nach der Anklageschrift sind es wohl nur ein paar tausend Dollar gewesen. Peter R., der ebenfalls als gewiefter Hacker bezeichnet wird, wird offenbar eine Beteiligung vorgeworfen, vermutlich geht es darum, dass er Erpressungsgelder übernommen und nach Syrien an Dardar über einen Mittelsmann weitergeleitet hat. Eine direkte Überweisung ist wegen der Sanktionen gegen Syrien nicht möglich.

In einem Fall soll er 1500 US-Dollar über einen Mittelsmann im Libanon zu Th3 Pr0 transferiert haben. In einem anderen Fall, bei dem es um einen Hack in einen schweizerischen Webhoster ging, erhielt Dardar 5.000 Euro für einen Bericht, wie ihm das gelungen war (da war er schon von der Forderung von 50.000 Euro abgerückt). Dardar soll dann die Firma dämlicherweise aufgefordert haben, das Geld auf den PayPal-Account von Peter R. zu überweisen. Der hat über Gmail einen Vertrag und einen Scan seines Passes an den Erpressten geschickt. Offenbar hat er nur in diesen beiden Fällen geholfen.

Ob er selbst auch gehackt hat, ist nicht ganz klar, als Hacker und Phishing-Täter wird eigentlich nur Dardar genannt. Peter R. soll 2013, was aus der Kommunikation mit Aghar hervorgehe, mit vergangenen Hacks geprahlt und Hacks auf Ziele in Saudi-Arabien oder Katar geplant haben, als er sich zur Mitarbeit angedient haben soll. Aghar habe dann Peter R. mit Dardar zusammengebracht, letzterer habe Peter R. dann auf der Seite www.facebook.com/SEA.Th3.Shad0w, die jetzt gesperrt ist, zum Facebook-Freund gemacht.

Neben der Mithilfe bei den Erpressungen wird Peter R. offenbar vor allem wegen der Verstöße gegen die US-Sanktionen gegen Syrien belangt. Nach FBI-Angaben habe man aufgrund von richterlichen Genehmigungen auf die Gmail- und Facebook-Accounts von R. und Dardar zugreifen können. Dardar soll etwa die Gmail-Adressen sea.the.shadow@gmail.com und ethicalspectrum@gmail.com genutzt haben. Aus der Kommunikation gehe hervor, dass sich beide seit 2013 zum Hacken und Erpressen verabredet hätten. Man habe auch Kopien von Bankauszügen im Kontext der Erpressungsversuche mit den Namen der Angeklagten gefunden.

Die US-Staatsanwaltschaft war darum bemüht, die Hackergruppe, die sich als Hacktivisten verstehen, und die mit Haftbefehl Gesuchten auch als normale Cyberkriminelle darzustellen: "Die Syrische Elektronische Armee behauptet öffentlich, dass sie ihre Hack-Aktionen zur Unterstützung des bekämpften Regimes des syrischen Präsidenten Bashar al-Assad ausführt", erklärte im März der stellvertretende Generalstaatsanwalt John Carlin. "Obgleich manche Aktivitäten versuchten, der wirtschaftlichen und nationalen Sicherheit der USA im Namen von Syrien zu schaden, zeigen die detaillierten Anklagepunkte, dass die Mitglieder auch Erpressung ausführten, um sich selbst auf Kosten der gesetzestreuen Menschen auf der ganzen Welt zu bereichern. Die Beschuldigungen in der Anklage zeigen, dass die Grenze zwischen kriminellen Hackern und potentiellen nationalen Sicherheitsbedrohungen zunehmend verschwimmt."

Durch unermüdliche Arbeit habe man die Hacker identifizieren können und man werde sie, egal, wo sie sich aufhalten, zur Rechenschaft ziehen. Damit soll betont werden, dass Cyberkriminalität bestraft und die Cyber-Infrastruktur der USA geschützt werde.

Böser Hacker?

Am Dienstag wurde Peter R. kurz dem Gericht vorgeführt. Eine erste Anhörung wird heute stattfinden, um über die weitere Inhaftierung zu entscheiden. Ein ernannter Pflichtverteidiger gab bislang nach Medienberichten keine Stellungnahme ab. Peter R. erschien vor Gericht in T-Shirt und Jeans und bat lediglich darum, seine Frau anrufen zu dürfen, die in einem Krankenhaus liege und bald an Krebs sterben werde. Das Gericht sagte, man werde sich erkundigen, ob aus dem Gefängnis internationale Anrufe getätigt werden können. R. muss angeblich mit einer Höchststrafe bis 75 Jahre Gefängnis rechnen, sollte er verurteilt werden.

Auf dem in der Anklageschrift genannten Facebook-Account (pierre.romar1 oder ID-Nummer 100005382097823) findet sich nichts zu irgendwelchen kriminellen Aktivitäten, man erfährt, dass der Ausgelieferte verlobt ist und seitdem den Facebook-Account betreibt, sich für Flüchtlinge einsetzt und den Islamischen Staat verabscheut. Der Facebook-Account von Dardar, wo er sich offen als Mitglied von SEA zeigt, wurde offenbar von Facebook 2014 geschlossen, der von Peter R. ist noch offen. Der letzte Eintrag ist vom 15. Dezember:

Sehr geehrte Damen und Herren

Gemeinsam mit meiner Freundin helfen wir Flüchtlingen, die in unserer Region oder auch Deutschlandweit Hilfe brauchen bei Übersetzungen, den ersten Schritten in Deutschland und der Integration in die deutsche Gesellschaft. Wir haben zurzeit zwei Familien, die auf der Flucht getrennt wurden. Frauen und Kind sind in der Türkei während die Männer in Deutschland sind und auf die Familienzusammenführung warten. Hierfür brauchen sie jedoch Geld für die Flugtickets. Dieses Geld haben sie nicht. …

Gegründet oder mitgegründet hat Peter R. vermutlich auch Gerabic Exchange und Crossed Cultures (Twitter-Account unter seinem Namen), wo er auch Domainnameninhaber ist. Er bemühte sich danach um Austausch, Begegnung, Reisen und Sprachenlernen sowie um die Verbreitung des Grundgesetzes auf Deutsch. Irgendwie kann man sich Peter R. gar nicht als bösen Hacker vorstellen. Am 25. Februar hatte er offenbar einen neuen Arbeitsplatz bei einer Firma in Erfurt gefunden.