Hackerangriffe und Rufmordkampagnen im Web

Moderne Erpressermethoden in Zeiten des Internets

Veröffentlicht: 14.05.2021 | Geschrieben von: Sandra May | Letzte Aktualisierung: 12.05.2021
Hacker

Erpressungen waren früher so mühselig. Zunächst brauchte der geneigte Verbrecher ein Druckmittel, musste also Informationen, Dinge oder Menschen in seine Gewalt bringen. Dann das Erpresserschreiben. Hier hieß es: Vorsicht mit den Informationen. Es mussten genug Informationen enthalten sein, um das gewünschte Geld zu erhalten, aber wenig genug, um eben nicht vorzeitig gefunden zu werden. Buchstaben aus der Zeitung sollten dabei verhindern, durch eine auffällige Handschrift ertappt zu werden. Die modernen Methoden der Forensik machten das Ganze auch irgendwie nicht einfacher.

Durch die Möglichkeiten des Internets müssen sich Verbrecher mit diesen Unannehmlichkeiten sicherlich nicht mehr herum schlagen. Aber: Wie sieht Erpressung heute aus? Wir haben uns umgeschaut und drei der spannendsten und tragischsten Fälle herausgesucht.

Gekaufte Rufmordkampagnen: Cybermobbing 2.0

Im Darknet soll man ja so ziemlich alles bekommen: Vom Auftragskiller über Dope und Waffen zu gefälschten Kreditkarten und Personalausweisen. Wenig überraschend ist daher der Fakt, dass man im Internet auch Rufmordkampagnen gegen bestimmte Personen erstehen kann. 

Vom Helfer zum Mobbingopfer

Wie so eine Rufmordkampagne aus dem Darknet aussehen kann, zeigt das Y-Kollektiv eindrucksvoll in einer Reportage: Der 49-jährige Peter aus dem Saarland ist bereits seit zehn Jahren Opfer einer solchen Kampagne. Das Perfide: Peter setzte sich zuvor gegen Cybermobbing an Schulen ein. Nachdem er einem Schüler half, gegen die Mobber vorzugehen, wurde er selbst zum Opfer. In den vergangenen drei Jahren sei es aber besonders schlimm geworden.

So wurde über ihn die Falschmeldung verbreitet, er sei pädophil. Um die Lüge zu stützen, wurden echte Zeitungsartikel von einem möglichen Kindesmissbrauchsvorfall an einer Uniklinik zu seinen Lasten verändert und in den sozialen Netzwerken geteilt. Die Folge sind Drohanrufe und Nachrichten. Manipulierte Bilder von toten Menschen mit den Gesichtern seiner Kinder bereiten ihm sichtbar Unwohlsein. Täuschend echt war auch die Meldung, die besagt, dass er mit seiner angeblichen Zweit-Familie einen erweiterten Suizid begangen haben soll. Die Folge waren Kondolenzschreiben. Strafanzeigen haben bisher nicht den erwünschten Erfolg gebracht. Wer die Kampagne inszeniert, ist unklar. Der Hintermann scheint als einziges Ziel die Vernichtung eines Menschenlebens zu haben.

Kompromittierende Fakten werden geschaffen

Sicherlich: Bei dem Fall aus dem Saarland handelt sich um keinen Fall von Erpressung, aber: Solche Rufmordkampagnen können natürlich für Erpressungen eingesetzt werden. Während sonst klassischerweise erst mal kompromittierende Umstände, wie eine Geliebte, Perversionen oder krumme Geschäfte von Erpressern gefunden werden mussten, scheint es heute mit nur wenigen Klicks möglich zu sein, selber Fakten zu schaffen. 

Auch wenn uns derzeit noch kein Fall bekannt ist, in dem solche Rufmordkampagnen aus dem Darknet für eine gezielte Erpressung eingesetzt wurden, ist der Blumenstrauß an begangenen Straftaten bunt. 

Zunächst ist natürlich nicht nur derjenige, der die falschen Fakten verbreitet, Täter. Der Auftraggeber muss als Anstifter genauso für die begangenen Straftaten gerade stehen. Im Raum steht in erster Linie Verleumdung. Kommen wie im Fall von Peter auch noch Drohanrufe durch den Auftraggeber hinzu, haben wir es juristisch gesehen mit einer Bedrohung zu tun. 

Wie sieht es aber mit denen aus, die ohne darüber nachzudenken, Sachen im Internet teilen? Sind sie mitverantwortlich? Juristisch gesehen wird man ihnen kaum einen Vorwurf machen können, wenn die verbreiteten Meldungen den überzeugenden Anschein der Echtheit erwecken. 

Besonders tragisch wird es dann, wenn das Opfer der Kampagne sich etwas antut. Genau das soll laut einer Auftragnehmerin, mit der das Y-Kollektiv im Rahmen der Reportage Kontakt hatte, auch schon passiert sein. Hier stoßen wir auf die gleiche, juristische Problematik wie bereits bei der Blue-Whale-Challenge: Der Suizid an sich ist nicht strafbar und der moralisch Verantwortliche legt keine Hand an das Opfer. 

So spannend die rechtlichen Fragen dazu sind: Oft wird kein Gericht ein Urteil darüber fällen können. Der Fall von Peter zeigt nämlich sehr eindrucksvoll, dass sich der Täter auch über Jahrzehnte hinweg hinter der anonymen Welt des Internets verbergen kann. 

Das Hacken der vernetzten Welt

Mittlerweile sind papierlose Unternehmen Standard. Alles ist irgendwo gespeichert – und damit auch angreifbar, denn komplett autark sind die wenigsten Systeme. Das nutzen auch Erpresser aus. Wer die Serie „Greys Anatomy“ gesehen hat, kennt vielleicht die Folge, in der das Krankenhaus von Erpressern durch einen Hackerangriff komplett lahm gelegt wurde. Die Folge ist von einer Reihe wahrer Ereignisse in den USA inspiriert. Allerdings ist auch schon in Deutschland ein Krankenhaus Ziel einer Cyberattacke geworden – mit fatalen Folgen.

Tod einer Patientin: Hackerangriff auf die Uniklinik Düsseldorf

Im September 2020 wurde die Uniklinik Düsseldorf Ziel eines Hackerangriffes. Durch das Ausnutzen einer Lücke gelang der Angriff auf die 30 Server des Krankenhauses. Konkret verschlüsselten sie alle gespeicherten Daten und machten sie damit für das Krankenhaus nutzlos. Dabei hinterließen die Hacker ein Erpresserschreiben. Dieses war kurioserweise an die Düsseldorfer Heinrich-Heine-Uni gerichtet. Was genau die Hacker wollten, blieb allerdings unklar. In dem Erpresserschreiben forderten sie lediglich zur Kontaktaufnahme auf. 

Nachdem die Polizei mit den anonymen Tätern sprach und auf die Gefahr für die Patienten hinwies, brachen diese ihr Vorhaben ab und händigten den Schlüssel für die Daten aus.

Für eine Patientin nahm der Angriff allerdings ein tragisches Ende: Diese musste aufgrund des Angriffs in ein weiter weg gelegenes Krankenhaus gebracht werden und verstarb. 

Vorsatz oder Fahrlässigkeit?

Nach dem Vorfall in Düsseldorf wurden Ermittlungen wegen fahrlässiger Tötung eingeleitet. Aber: Warum „nur“ wegen fahrlässiger? Immerhin sollte jedem klar sein, dass das Gefüge eines Krankenhauses sehr empfindlich ist und bereits kleine Störungen gravierende Folgen für Patienten und Patientinnen haben können. 

Zunächst einmal muss nach dem Grundsatz „im Zweifel für den Angeklagten“ davon ausgegangen werden, dass die Erpresser den Tod einer Person nicht wollten. Denn genau das bedeutet Vorsatz: Wissen und wollen. Selbst, wenn sie wissen, dass jemand aufgrund des Hackerangriffs stirbt, müssen sie diese Folge zumindest billigend in Kauf genommen haben (sogenannter bedingter Vorsatz). 

In der Praxis bereitet die Abgrenzung zwischen Vorsatz und Fahrlässigkeit immer wieder Schwierigkeiten. Helfen soll daher bei Tötungsdelikten die Hemmschwellentheorie. Diese sagt aus, dass die willentliche Beendigung eines Lebens nichts ist, mit dem man sich zufällig abfindet. Die Inkaufnahme eines Todes ist nicht ohne Weiteres möglich und mit dem Überwinden von großen Hemmungen verbunden. Das sollen sich besonders Richter immer wieder vor Augen halten, wenn sie entscheiden müssen, ob ein Täter den Tod einer Person billigend in Kauf genommen hat oder aber er eher davon ausgegangen ist, dass schon alles gutgehen wird und niemand ernsthaft zu Schaden kommt. 

Erpressung: Auch bei Online-Händlern ein Thema

Nicht nur Einrichtungen, wie Krankenhäuser, können das Ziel von Erpressern werden. Uns wurde zugetragen, dass mittlerweile auch Händler mit der Bedrohung aus dem Netz konfrontiert sind. 

So wird damit gedroht, schlechte Bewertungen zu hinterlassen oder Ware mit giftigen Substanzen zu versehen und diese dann zu retournieren. Die Erpresser fordern oft die Überweisung von Bitcoins. Bisher scheinen solche Erpressungen aber eher krasse Einzelfälle zu sein. Eine Masche ist jedenfalls noch nicht bekannt. Weitaus häufiger kommt es stattdessen zum Hacken des Online-Shops, der so gar nichts mit Erpressung zu tun.

Shop gehackt: Kunden und Händler sind gleichermaßen Opfer

Besonders auf Amazon ist der gehackte Shop immer wieder ein Thema: Das Konto eines Verkäufers wird gehackt. Die Täter hinterlegen ihre Zahlungsdaten und pflegen beliebte, aber verlockend günstige Angebote ins System ein. Kauft ein Kunde das Produkt, findet natürlich kein Versand statt. Der Kunde ist am Ende sein Geld los, hat aber keine Ware. Der Täter ist schnell in der Anonymität des Netzes verschwunden und der Amazon-Händler hat ein echtes Problem. Die Kunden, die auf ihre Ware warten, werden sich nämlich an ihn wenden – und im Zweifel ist er es auch, der die negativen Bewertungen bekommt.

„Kurz bevor mein Account weg war, habe ich meine Bewertungen angeschaut. Ich bin ein Amazon Händler mit 99 Prozent positiven Bewertungen – das ist Geschichte“, erzählte uns im März 2020 ein betroffener Händler.  

Ist die Vernichtung einer Existenz strafbar?

Sicherlich: Bei dem Einstellen von Fake-Angeboten handelt es sich in erster Linie um Betrug am Kunden. Wie sieht es aber mit dem Online-Händler aus? Ist auch dieser Opfer einer Straftat? In Frage kommt das sogenannte Ausspähen von Daten (§ 202a StGB). Dieses wird immerhin mit bis zu drei Jahren Freiheitsstrafe geahndet.

Das größte Problem, vor dem die Strafverfolgungsbehörden stehen, ist aber auch hier die Anonymität des Netzes. Es scheint aktuell kaum möglich zu sein, die Täter dingfest zu machen. 

Interesse am Strafrecht?

Über die Autorin

Sandra May
Sandra May Expertin für: IT- und Strafrecht

Sandra schreibt seit September 2018 als juristische Expertin für OnlinehändlerNews. Bereits im Studium spezialisierte sie sich auf den Bereich des Wettbewerbs- und Urheberrechts. Nach dem Abschluss ihres Referendariats wagte sie den eher unklassischen Sprung in den Journalismus. Juristische Sachverhalte anschaulich und für Laien verständlich zu erklären, ist genau ihr Ding.

Sie haben Fragen oder Anregungen?

Kontaktieren Sie Sandra May

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.