245 Mal hat das Bundeskriminalamt (BKA) im vergangenen Jahr sogenannte Entfernungsanordnungen nach der Terrorist-Content-Online-Verordnung (TCO-VO) der EU erlassen, etwa die Hälfte des 2024er-Wertes. Nur 0,8 Prozent der Anordnungen wurden dabei nicht von den Anbietern umgesetzt. 203 der 245 Entfernungsanordnungen gingen dabei an nichtdeutsche Hostingdienstleister. Das geht aus dem heute veröffentlichten Transparenzbericht für das Jahr 2025 zur Durchsetzung der TCO-Verordnung hervor. Die TCO-Verordnung gilt als eines der schärfsten Schwerter, selbst Telegram folgt laut BKA den Entfernungsanforderungen.

Widerspruch nicht zwecklos

Gegen sechs Anordnungen wurde beim BKA Widerspruch eingereicht – der in allen sechs Fällen auch erfolgreich war. Das Terroristische-Online-Inhalte-Bekämpfungs-Gesetz (TOIBG) weist die Zuständigkeit für das Vorgehen gegen terroristische Inhalte dem BKA zu. Nach Erhalt einer formellen Entfernungsanordnung müssen die Hostinganbieter rund um die Uhr binnen einer Stunde die beanstandeten Inhalte unerreichbar stellen.

Aus dem europäischen Ausland wurden 28 Entfernungsanordnungen über das BKA an deutsche Hostingdienstleister weitergeleitet – dabei richteten sich 24 davon gegen einen einzigen Anbieter. Gegen diesen hatte die für die Einhaltung der allgemeinen TCO-Regeln durch Anbieter zuständige Bundesnetzagentur nach eigener Darstellung bereits zuvor ein Bußgeldverfahren eingeleitet, weil dieser nur unzureichende Maßnahmen gegen terroristische Inhalte in seinem Zuständigkeitsbereich vorgenommen haben soll.

Anbieter haben keine Prüfbefugnis

Anders als nach dem bekannteren Digital Services Act (DSA) ist mit der TCO-Verordnung unmittelbar die Entfernung von Inhalten geregelt, nicht die Prüfung durch Anbieter auf mögliche Rechtswidrigkeit. Sie können allerdings ausländische Anordnungen durch das BKA nachlaufend prüfen lassen und gegebenenfalls vor Gericht gehen. Andersherum müssen Hostingdienste wie etwa Social-Media-Plattformen jedoch die zuständigen Behörden in ihrem Mitgliedsstaat informieren, wenn sie etwa über Nutzermeldungen auf Inhalte aufmerksam werden, die unter die TCO-Verordnung fallen. So kann aus einer DSA-Meldung ein TCO-Vorgang werden.

Nicht in der TCO-Verordnung angelegt und auch im TOIBG nicht weiter spezifiziert ist dabei eine andere BKA-Vorgehensweise: Die Bundesnetzagentur weist aus, dass das BKA 2025 insgesamt 29.792 Mal unverbindlich an Hostingdienste sogenannte Löschersuche geschickt hat. Diese können auch terroristische, in jedem Fall aber aus BKA-Sicht strafrechtlich relevante Inhalte meinen. Bei diesem Weg steigt die Zahl seit Jahren steil an: Die sogenannten „Referrals“ vom BKA lagen 2023 noch bei 7240, 2024 waren es schon 17.045. Den nachdrücklichen Bitten aus Wiesbaden wurde 2025 in gut neun von zehn Fällen durch die Anbieter entsprochen.

(dahe)

Keine zwei Wochen vor der Parlamentswahl kocht Ungarn allmählich über. Seit 2010 sind Premierminister Viktor Orbán und seine Fidesz-Partei an der Macht. Nun droht ihnen die Kontrolle zu entgleiten. Mit Péter Magyar, der für die Tisza-Partei antritt, hat laut Meinungsumfragen erstmals ein Herausforderer eine realistische Chance, Orbáns autoritäres System zum Wanken zu bringen.

Solche potenziellen Umbrüche gehen nicht ohne Widerstand über die Bühne. In Ungarn heißt das derzeit: Ein Spionageskandal folgt dem nächsten. Und sie spielen sich vor einer breiten Öffentlichkeit ab. Rund 2,5 Millionen Mal wurde in den vergangenen fünf Tagen etwa ein Interview mit dem ehemaligen Polizisten Bence Szabó auf YouTube angesehen.

Dieser ging mit explosiven Anschuldigungen an die Presse. Szabó zufolge soll der ungarische Geheimdienst im Sommer des Vorjahres versucht haben, in die IT-Systeme der oppositionellen Tisza-Partei einzubrechen und sie unter Kontrolle zu bekommen. Dafür wollte der Geheimdienst zwei IT-Experten aus dem Umfeld von Tisza anwerben. Nachdem sich diese weigerten und die Sache aufzufliegen drohte, gab der Geheimdienst der Polizei einen Tipp: Die beiden Männer sollen Darstellungen von Kindesmissbrauch angefertigt haben.

Doch Spionage?

Szabó war einer der Polizisten, welche die Ermittlungen aufnahmen – und dabei auf allerhand Ungereimtheiten stießen, nur nicht auf Missbrauchsdarstellungen. Wer letztlich hinter der mutmaßlichen Attacke auf die Opposition steht, ist bislang nicht offiziell geklärt. Fest steht jedoch, dass beschlagnahmte Daten erst ohne Papierspur beim Geheimdienst landeten. Wenig später, im November 2025, standen plötzlich persönliche Daten von rund 200.000 Tisza-Unterstützer:innen im Netz.

Von den ursprünglichen Vorwürfen gegen die IT-Spezialisten ist nicht viel übrig geblieben. Dafür spricht die Orbán-Regierung nun von Spionage, die mindestens einer der Beschuldigten für die Ukraine betrieben haben soll. Laut Deutsche Welle ging die Regierung im Informationskrieg sogar so weit, am Wochenende das Video eines Verhörs des 19-Jährigen durch den Verfassungsschutz auf ihre Facebook-Seite zu stellen.

Auch für den kürzlich aus der Polizei ausgeschiedenen Szabó ist die Sache nicht ausgestanden. Auf sein Interview mit Direkt36, einem der wenigen verbliebenen unabhängigen Medien im Land, folgten Hausdurchsuchungen und Ermittlungen wegen Amtsmissbrauchs.

Angebliche Spionage durch Investigativjournalisten

Mit gravierenden Anschuldigungen muss sich zeitgleich der Investigativjournalist Szabolcs Panyi herumschlagen. Panyi, der auch für Direkt36 schreibt, enthüllte Anfang März auf VSquare, wie Russland dem Verbündeten Orbán im Wahlkampf unter die Arme greifen will. So habe der Kreml ein eigenes Team des russischen Militärgeheimdienstes GRU nach Ungarn entsandt, um eine verdeckte Desinformationskampagne zugunsten der Regierungspartei zu fahren.

Ähnliche Manipulationsversuche aus Russland ließen sich zuletzt in unterschiedlichen europäischen Ländern beobachten, wie nicht zuletzt immer wieder VSquare aufdeckte – von Rumänien über die Slowakei bis zu Moldau, mit gemischten Ergebnissen.

Ein Geheimnis ist es nicht, dass die rechtskonservative Fidesz-Partei eng mit dem russischen Präsidenten Wladimir Putin verbandelt ist. Die ungarische Regierung geriert sich gerne als nationalistisches Bollwerk gegen vermeintliche Übergriffe aus Brüssel und macht regelmäßig der EU das Leben schwer: Das Land blockiert unter anderem EU-Sanktionen gegen Russland oder sorgt dafür, dass milliardenschwere Hilfspakete für die Ukraine brachliegen.

Kurzer Draht nach Moskau

Doch oft gewähren erst journalistische Recherchen Einblick in die enge Zusammenarbeit zwischen Ungarn und Russland. Ende März berichtete etwa die Washington Post über einen Vorschlag des russischen Auslandsgeheimdienstes SVR, einen medienwirksamen Anschlagsversuch auf Viktor Orbán zu inszenieren. Dabei enthüllte die Zeitung auch, dass Ungarns Außenminister, Péter Szijjártó, sein russisches Gegenstück Sergei Lawrow praktisch in Echtzeit telefonisch über EU-Verhandlungen auf dem Laufenden hielt.

Offenbar war dies nicht das erste Mal, selbst wenn die Regierungen beider Länder die Vorwürfe halbherzig abstreiten. Kurz nach dem Artikel veröffentlichte Szabolcs Panyi das Transkript eines Telefonats zwischen Szijjártó und Lawrow aus dem Jahr 2020, in dem sie sich über die politische Situation in der Slowakei austauschten.

Demnach bat Szijjártó, dass Russland in die Endphase der damals stattfindenden Parlamentswahlen im Nachbarland eingreifen solle, zugunsten einer bestimmten Partei. „Alle anderen werden im Grunde von Soros finanziert“, zitiert die Mitschrift den ungarischen Außenminister.

Erst Pegasus, dann Spionage

Aus dieser Veröffentlichung versucht die Orbán-Regierung nun dem Journalisten einen Strick zu drehen. Am Donnerstag wurde Anklage gegen Panyi  erhoben. Der Journalist wurde schon vor Jahren mit Hilfe des Staatstrojaners Pegasus über sein Handy ausgespäht, mutmaßlich angestoßen vom ungarischen Geheimdienst. Nun werden ihm Spionage für einen ungenannten ausländischen Staat und die Weitergabe geheimer Informationen vorgeworfen.

Panyi weist dies in einem ausführlichen Posting auf Facebook zurück: Er habe lediglich im Zuge einer Recherche ein vertrauliches Gespräch mit einer Quelle geführt, das offenbar abgehört worden sei. „Investigativjournalisten der Spionage zu bezichtigen, ist im 21. Jahrhundert durch einen EU-Mitgliedstaat völlig beispiellos. Das ist typisch für Putins Russland, Belarus und ähnliche Regime“, schreibt Panyi.

Dies ist der zweite Teil von „Hieu – vom Darknet zum Datendealer“, der wilden Geschichte des Hackers Hieu. Im Englischen Original von Jack Rhysider trägt diese Episode den Namen „HIEU“.

Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint wöchentlich auf allen gängigen Podcast-Plattformen und kann hier abonniert werden.

JACK (Intro): Im ersten Teil lernt Hieu in Vietnam das Darknet kennen und entwickelt sich schnell zu einem äußerst begabten Hacker. Zunächst ist er euphorisch und geradezu idealistisch unterwegs, er lernt online andere Hacker kennen, eignet sich Wissen über diese geheime und faszinierende Welt an und teilt sein Wissen auch gerne. Doch bald schon entdeckt er einfache Wege, um an Kreditkarten und damit an echtes Geld zu kommen. Sein Einstieg in die Kriminalität. Als sich das Kreditkartengeschäft als zu riskant entpuppt, entdeckt er den lukrativen Handel mit Identitäten von US-Bürgern für sich. Fortan entert er die Seiten von Datenhändlern, um dort Identitäten zu stehlen und sie dann weiterzuverkaufen.

HIEU: In den Jahren von 2010 bis 2012 hab ich etwas mehr als drei Millionen US-Identitäten verkauft.

Der Secret Service wird hellhörig

JACK: Okay, wenn ich das mal eben nachrechne ….drei Millionen Suchen, vierzehn Cent pro Suche; das sind 420.000 Dollar, die er insgesamt an den Datenhändler „Court Ventures“ gezahlt hat. Ne Menge Geld, die Court Ventures an ihm verdient hat. Das war für ihn in Ordnung, denn er machte ja … über 2,5 Millionen Dollar Gewinn. Unglaublich.

HIEU: Im Jahr 2011 habe ich die Schule abgebrochen. Ich habe nicht mehr studiert und die Universität nicht abgeschlossen, weil ich dachte, Mann, ich verdiene eine Menge Geld. Jeden Monat verdiente ich bis zu 120.000 Dollar.

JACK: Wofür hast du das Geld ausgegeben, das du bekommen hast?

HIEU: Damals war ich zu jung, zu dumm. Ich habe viel Geld für dumme Sachen ausgegeben, für Fünf-Sterne-Hotels und Business Class. Ich habe viel Geld für dumme Dinge ausgegeben, und ich habe viel Geld für Autos und Luxusartikel verschwendet.

JACK: Was für ein Auto hattest du?

HIEU: Ich hatte drei verschiedene Autos, zwei Sportwagen. Einer davon war ein BMW, das Cabrio, und ein anderer war ein komplett getuntes Auto, so ein vollkommen individualisiertes, dass ich nicht einmal weiß, was für ein Auto das war, aber ich erinnere mich, ich habe das Auto bei einem Wettbewerb für gut getunete Autos angemeldet und auch einen Preis gewonnen. Weißt du, ich habe so viel Geld für dieses Auto ausgegeben, es umgebaut und getuned. Das andere Auto, das ich hatte, war ein Luxusauto, ein Lexus.

JACK: Was haben deine Eltern gedacht, wo das all das Geld herkommt?

HIEU: Ich habe sie angelogen; ich habe ihnen erzählt, ich arbeite für eine internationale Bank in den USA, und sie haben mich angeheuert, um das System zu schützen und auch ihre Website zu bauen. Weißt du, all solche Lügen. Wenn ich Leute in meinem Alter traf, sogar Leute, die ich auf der Straße traf und sie mich fragten, warum ich so reich bin. Ich habe sie angelogen, weil meine Familie keine wohlhabende Familie war. Sie haben alles für mich getan. Deshalb. Also habe ich irgendwie – ich hab alle mit verschiedenen Geschichten belogen, weißt Du? Dann war irgendwie auch sehr anstrengend.

JACK: Die Leute, die deine Seite benutzt haben – weißt du, warum sie da andere Leute gesucht und dafür Geld gezahlt haben? Was war der Sinn dahinter?

HIEU: Gute Frage. Die Antwort darauf ist, dass ich mir damals nicht viel Gedanken darüber gemacht habe, wie sie diese Informationen nutzten. Alles, was ich weiß, ist, dass sie sie vielleicht benutzten, um sich als jemand auszugeben oder um die Authentifizierung von Kreditkartentransaktionen zu umgehen, was auch immer. Das war alles, was ich wusste.

JACK: Jahrelang ging das so. Er konnte vieles davon automatisieren, so dass er nur ein paar Stunden pro Woche arbeiten musste, um alles am Laufen zu halten. Das Leben lief großartig für ihn.

HIEU: Schließlich wurde Court Venture von Experian übernommen.

JACK: Durchaus interessant. Experian kaufte im Dezember 2011 Court Ventures. Experian ist eine der drei großen Kreditauskunfteien in den USA. Sie erstellen für jeden erwachsenen US-Bürger eine Kreditwürdigkeitsprüfung. Vermieter und Kreditinstitute prüfen also eure Kreditwürdigkeit, bevor sie mit euch Geschäfte machen. Experian war so begeistert von den Daten, die Court Ventures über Menschen hatte, dass sie das Unternehmen einfach komplett kauften. Ich konnte nicht herausfinden, wie hoch der Kaufpreis für die Daten von 200 Millionen US-Bürgern war, aber ich stelle mir vor, es waren mehrere Millionen Dollar. Nachdem Experian Court Ventures gekauft hatte, kontaktierte der Secret Service Experian und meinte „Die Firma, die ihr da gerade gekauft habt, tja, wir haben Grund zu der Annahme, dass sie Daten an jemanden weitergeben, der sie illegal an Kriminelle weiterverkauft.“ Experian war schockiert, Court Ventures hatte ihnen das im Kaufvertrag nicht gesagt. Experian löschte dann Hieus Konto und kooperierte mit dem Secret Service. Nebenbei verklagten sie Court Ventures, weil die nicht früher Maßnahmen ergriffen hatten. Und der Secret Service, der hatte nun Hieu im Visier.

HIEU: Eine der gerichtlichen Anfragen vom US Secret Service betraf den Status meines Kontos, des gefälschten Kontos. Schließlich sperrten sie mein Konto bei Court Venture.

JACK: Sie sperrten sein Konto vollständig, aber dafür hatte er ja einen Notfallplan. Er hatte ein zweites Konto, nicht eines, das er erstellt hatte, sondern eines, dessen Passwort er gestohlen hatte, das Konto also von jemand anderem. Das konnte er nutzen, um weiterhin Suchen durchzuführen. Aber er hatte nicht mehr den API-Zugang, mit dem er das automatisieren konnte.

HIEU: Das gehörte auch zu einem der US-Datenhändler. Es hieß ussearchingfor.com oder so ähnlich. Ich erinnere mich nicht mehr. Es ist ein langer Name. Aber wie auch immer, von dieser Firma bekam ich eines der Konten durch einen Phishing-Angriff, und das nutzte ich, um manuell Identitäten für all die Leute zu suchen, die den Dienst noch brauchten.

JACK: Er wollte unbedingt wieder eine API-Verbindung zu Court Ventures. Diese manuelle Suche kostete einfach viel zu viel Zeit, er schrieb ihnen dann E-Mails: „Hey, warum habt ihr meine API-Verbindung abgeschaltet? Ich brauche die zurück.“ Was er nicht wusste, war, dass der Secret Service bereits gegen ihn ermittelte und es dann deren Mitarbeiter waren, die auf seine E-Mails antworteten.

HIEU: Sie dachten sich eine Geschichte aus, dass sie mir eine gute API-Verbindung nicht nur zu den US-Identitätsdaten, sondern auch zu den britischen Identitätsdaten anbieten würden. Ich dachte: „Wow, das ist ein gutes Geschäftsangebot, zu gut, um wahr zu sein“, aber zu dieser Zeit war ich einfach vom Geld geblendet. Ich sagte: „Okay, das sieht gut aus.“ Aber ich hatte das Gefühl, dass etwas Verdächtiges vor sich ging, etwas stimmte nicht.

JACK: Es gab anscheinend noch’n anderen Typen, der dasselbe tat wie Hieu, ebenfalls Daten von Datenhändlern weiterverkaufen. Er tat das von Großbritannien aus, der Secret Service erwischte ihn aber, woraufhin der Typ dann dem Secret Service half, andere Leute zu kriegen, die dasselbe taten. Die dann kommende Kommunikation war es, die ihm, vor allem im Nachhinein, seltsam vorkam. Hieu hatte dann nämlich, ohne sein Wissen, sowohl mit dem Secret Service zu tun, einem Agenten namens Matt O’Neill, als auch mit dem Mann aus Großbritannien namens Mark, der beim Weiterverkauf von Identitäten erwischt worden war.

HIEU: Sein Name ist Mark. Er kommunizierte weiterhin mit mir per E-Mail und rief mich sogar an – ich erinnere mich, damals über Skype. Sie sagten, sie wollten, dass ich in die USA fliege, auch nach Australien, nach Hawaii. Ich sagte: „Nein, da will ich nicht hin.“ Aber Matt O’Neill und Mark arbeiteten zusammen und lockten mich nach Guam.

JACK: Sie meinten zu ihm, wenn er sie in Guam treffen würde, könnten sie ihm alles ohne Probleme geben, was er für seinen API-Zugang bräuchte. Sie dachten sich ne passende Geschichte dazu aus, warum sie ihn dafür persönlich treffen müssten, die ging in etwa so, dass der oberste Boss ihn unbedingt treffen möchte, denn er ist ja einer der besten Kunden, und dann könnten sie feierlich und gemeinsam den neuen Vertrag direkt vor Ort unterzeichnen.

HIEU: Dann können wir eine große Party schmeißen, weißt du? Wir können zusammen Spaß haben und dann kannst du zurück nach Vietnam fliegen. Alles gut.

JACK: Hieu ist dann einverstanden und beschließt, tatsächlich nach Guam zu fliegen, das in der Nähe von Südostasien liegt. Es ist wohl für sie die nächstgelegene Option, denkt er, und es scheint sicher zu sein.

HIEU: Ich habe keine Nachforschungen über Guam angestellt. Ich dachte, es ist nur eine Insel. Kümmert niemanden. Ich habe gehört, dass auch einige Vietnamesen dort leben. Vielleicht ist es in Ordnung. Wenn es ein Problem gibt, werde ich mit meinen Leuten reden und um Hilfe bitten. Dann kaufte ich ein Ticket und flog mit meiner Schwester nach Guam, weil mein Englisch damals nicht so gut war, und ich ging mit ihr zusammen dorthin. In dem Moment, als ich am internationalen Flughafen landete, eskortierten sie mich zum US-Zollamt. In diesem Moment, in genau diesem Moment, spürte ich, Mann, irgendwas ist hier faul. Dann sagten sie mir: „Setz dich, Hieu. Wir wollen kurz mit dir reden.“ Ich war so nervös. Ich zitterte, Mann. Es war ein Schock. Ich dachte mir, irgendetwas stimmt hier nicht.

Die Falle schnappt zu

HIEU: Sie legten einen Stapel Papier hin – ich erinnere mich, vielleicht 25 Zentimeter dick, sehr dicke Ordner, und sie sagten mir: „Wir wissen über dich Bescheid. Wir wissen alles über dich, vielleicht mehr, als deine Familie über dich weiß.“ [Musik] In diesem Moment dachte ich, Mann, es ist vorbei, es ist vorbei, und das war’s. Ich fühlte mich, als wäre ich gerade noch auf dem Gipfel der Welt, und jetzt lebte ich in der Hölle. Das war’s. Sie schickten mich danach ins Gefängnis in Guam, und sie schickten meine Schwester zurück nach Vietnam. Ich sagte dem Staatsanwalt und dem Agenten des US Secret Service: „Meine Schwester hat damit nichts zu tun. Es geht nur um mich.“ Also ließen sie meine Schwester frei, und ich blieb etwas mehr als zwei Monate im Gefängnis in Guam, und dann schickten sie mich zurück aufs Festland, das US-Festland, in viele verschiedene Gefängnisse. Sie schickten mich nach Hawaii, nach Los Angeles, Nevada, sie schickten mich nach Oklahoma, New Jersey, dann nach New York und dann nach New Hampshire.

JACK: Dort sollte sein Fall verhandelt werden, das war dann also sein vorerst letzter Halt. Er saß da während des gesamten Rechtsstreits im Gefängnis. Offenbar fand sein Prozess vor allem deshalb dort statt, weil der zuständige US-Staatsanwalt in New Hampshire wohnte. Zu seiner Festnahme hat er rückblickend ein paar Theorien. Erstens ginge die hauptsächlich auf auf Brian Krebs zurück, ein Cybersicherheitsjournalist, der einen Artikel darüber schrieb, wie Kriminelle im Darknet nach Leuten suchen können, und Hieus Website wird darin aufgeführt. Hieu glaubt, dass der Secret Service da wahrscheinlich zum ersten Mal von seiner Website erfahren hat.

Zweitens hat er bei seiner Website wohl’n paar Fehler gemacht. In der ersten Woche nutzte er einen Hosting-Anbieter, registrierte sich jedoch unter seinem richtigen Namen. Später änderte er die Registrierung auf einen anonymen Namen, aber die früheren Einträge sind weiterhin sichtbar. Dann hatte er noch seine persönliche E-Mail-Adresse als Kontaktdaten auf der Website angegeben.

Durch diese Fehler hätte man Hieu leicht aufspüren können. Ich glaube auch, dass der Secret Service wahrscheinlich seine Website genutzt, einige Suchanfragen zu Personen durchgeführt und dann versucht hat, diese mit den Protokollen von Court Ventures abzugleichen, um genau herauszufinden, welchen Nutzer Hieu für seine Website verwendet hat.

Aber eigentlich war er sich die ganze Zeit nicht wirklich sicher, warum er verhaftet wurde. Er bezahlte die Suchen vollständig. Wo ist hier der Betrug? Wo das Verbrechen? Wofür die Leute seine Seite nutzten erfuhr er erst nach seiner Verhaftung, sagt Hieu.

HIEU: Das Bundesgericht hat mir gesagt, dass die Informationen, die ich gestohlen und an andere Leute verkauft habe, die wurden für Steuererklärungen verwendet. Das war mir Neu. Das wusste ich nicht, Steuererklärungen. Dann habe ich herausgefunden, was eine Steuererklärung ist, und es ist sehr ernst.

JACK: Die Leute gingen auf Hieus Seite, um jemanden nachzuschlagen, alle seine Daten zu bekommen und dann zu versuchen, die Steuern für diese Person einzureichen. In den USA wird das ganze Jahr über Steuern an den Staat gezahlt, und normalerweise zu viel, sodass die Leute dann zu einem bestimmten Zeitpunkt ne hohe Rückerstattung bekommen. Viele Amerikaner erhalten also jedes Jahr einen Scheck über ’n paar tausend Dollar, weil sie zu viel Steuern gezahlt haben. Kriminelle wissen das, also reichen sie Steuererklärungen für andere Leute ein und geben dort an, dass sie berechtigt seien eine Rückerstattung von, sagen wir, 2.000 Dollar zu erhalten.

Dann bearbeitet die IRS, die Steuerbehörde, die Steuererklärung, schaut sie sich an, meint, dass sie legitim aussieht und schickt dieser Person einen Scheck über z.B. 2.000 Dollar.

Als die echte Person dann ihre Steuern einreichen will, sagt die IRS: „Oh, nein, nein, nein, Sie haben das schon ausgefüllt, und wir haben Ihnen bereits einen Scheck geschickt.“ Und plötzlich tauchen ne Menge US-Amerikaner auf, die sagen: „Nein,nein, habe ich überhaupt noch nicht getan. Ich will mein Geld!“

Ja, das Ganze entpuppte sich als ne ziemlich große Sache. Und der Secret Service untersuchte es dann, weil Hieus Personensuchmaschine daran beteiligt war, Kriminellen zu helfen, viele US-amerikanische Bürger zu betrügen. Anscheinend gab es in New Hampshire allerhand Leute, denen jemand ihren Steuerrückerstattungsscheck gestohlen hatte.

HIEU: Weißt du, ich hatte so viele Informationen, und dann wurden daraus Tausende und Abertausende von Opfern in New Hampshire.

JACK: Okay, da ist das jenes Wort – Opfer. Wir haben ein Opfer gefunden, die Menschen in New Hampshire, die ihre Steuerrückerstattungen nicht bekommen haben. Ja, na klar, sie sind Opfer von Identitätsdiebstahl. Aber normalerweise sieht die IRS das auch so und gibt ihnen dann ihr Geld – was im Grunde bedeutet, dass zwei Rückerstattungsschecks für die selbe Person ausgestellt werden. Das macht die IRS zum Opfer. Aber dann könnte man sagen, nein, der eigentliche Geschädigte ist der US-Steuerzahler, denn das ist Geld, das einfach verloren ist. Und es macht mich irre, wie viel Geld die IRS jedes Jahr auf diese Art verliert. Jedes einzelne Jahr gibt die IRS Milliarden von Dollar an Kriminelle aus, die Betrug mit Steuerrückerstattungen begehen.

Was waren deine Anklagepunkte? ich habe immer noch keine Ahnung, wessen du eigentlich schuldig bist.

HIEU: Ja; eigentlich kannst du das alles in den US-Gerichtsakten nachlesen.

Anklage nach dem CFAA

JACK: Okay, gut, das mach ich hiermit: Er wird hier in drei Punkten angeklagt. Alle drei sind Verstöße gegen den Computer Fraud and Abuse Act, kurz CFAA – das wichtigste US-Bundesgesetz gegen Cyberkriminalität.

Der erste Punkt besagt konkret, dass er einen Datenhändler auf unerlaubte Weise genutzt hat. Es verstößt gegen deren Nutzungsbedingungen, nach denen es nicht erlaubt ist, a) die Daten zu denen man Zugang erhält, weiterzuverkaufen und b) sich als jemand anderes auszugeben, um ein Konto zu erhalten, und das hat er getan. Er hat eindeutig gegen die Nutzungsbedingungen verstoßen, und laut Secret Service wird er dafür ins Gefängnis müssen, wegen unbefugten Zugriffs, was vermutlich bedeutet, dass er sich als autorisierter Nutzer ausgegeben hat, was gegen die Nutzungsbedingungen verstößt.

Wisst ihr eigentlich, dass wir alle und ständig gegen die Nutzungsbedingungen von Webseiten verstoßen? Wenn Ihr beispielsweise jemandem euern Spotify- oder Netflix-Login verwenden lasst, ist das derselbe Verstoß, nämlich unbefugter Zugriff. Hieu wird wegen solcher Dinge angeklagt.

Beim zweiten Punkt heißt es hier: dass er durch die Verletzung seines Zugriffsrechts persönlich Geld verdient hat, und der dritte Punkt ist, dass es sich dabei um mehr als 5.000 Dollar handelte.

Alle drei Punkte sind also Verstöße gegen den CFAA, und es macht mich wahnsinnig, dass es ein Bundesverbrechen ist, wenn man gegen die Nutzungsbedingungen einer Website verstößt. Ich verstehe nicht, warum es nicht einfach ne zivilrechtliche Angelegenheit ist – ein Problem zwischen einem Nutzer und der Website. Warum ist es ein Bundesverbrechen? Ich meine, die Website hat Grund, den Zugang zu entziehen, zu sperren und sogar wegen Verstoßes gegen ihre Nutzungsbedingungen zu klagen – aber ne Gefängnisstrafe? Das geht meiner Meinung nach zu weit. Aber so ist es nun einmal. Es ist ein Bundesverbrechen, gegen die Nutzungsbedingungen einer Website zu verstoßen.

Ich würde meine Pflicht vernachlässigen, wenn ich in diesem Zusammenhang nicht Aaron Swartz erwähnen würde. Aaron war Student am MIT und hatte als solcher über eine Plattform namens JSTOR Zugang zu wissenschaftlichen Forschungsarbeiten.

Er dachte, diese Informationen seien so wertvoll für die Welt, dass er sie heruntergeladen hat und kostenlos veröffentlichte. Die Welt sollte von dieser akademischen Forschung wissen, nicht exklusiv die Universitätsstudenten. Aber JSTOR war stinksauer. Sie riefen die Bundesbehörden wegen Aaron an, weil er gegen ihre Nutzungsbedingungen verstoßen hatte, und das Justizministerium klagte ihn in dreizehn Fällen an, und ihm drohten 35 Jahre Gefängnis. Sie sagten ihm, ey, wenn du’n Deal eingehst, kommst du wahrscheinlich nur sechs Monate im Gefängnis sitzen. Aber Aaron wollte absolut kein Verbrechen in seiner Akte haben, ein Verbrechen wegen Verstoßes gegen die Nutzungsbedingungen und er lehnte ab. Der Druck wurde schließlich zu groß für Aaron und er nahm sich das Leben.

Danach sagten die Politiker: „Moment mal, warum steht im CFAA, dass unbefugter Zugriff auf eine Website ein Bundesverbrechen ist? Menschen sterben deswegen. Es sollte kein Bundesverbrechen sein, bloß weil man gegen die Nutzungsbedingungen einer Website verstoßen hat.“ Also wurde „Aaron’s Law“ vorgeschlagen, das eine Änderung des CFAA fordert, um eben zu verhindern, dass das ein Bundesverbrechen ist. Leider wurde das Gesetz nicht verabschiedet. Merkt ihr, dass ich den CFAA hasse? Ich bin darüber so verärgert, weil zum einen diese Datenhändler Daten über uns ohne unsere Erlaubnis sammeln – sie sollten als diejenigen bezeichnet werden, die illegale Dinge tun. Zum anderen verkaufen sie diese Daten für vierzehn Cent pro Abfrage. Hieu, du verkaufst sie…

HIEU: Sehr billig.

JACK: …für einen Dollar pro Abfrage. Ja, also…

HIEU: Richtig.

JACK: Das Einzige, was hier stattfindet ist, dass du einen Aufpreis berechnest und mehr Menschen Zugang verschaffst. Es sind dabei ja nichtmal wirklich gestohlene Daten. Man bezahlt tatsächlich für die Daten, während man sie nutzt, und na klar, der unbefugte Zugriff ist ein Verstoß gegen den CFAA, und ich kann nachvollziehen, dass das gesagt wird, aber ich bin frustriert darüber, weil du hast in den USA ja keine Geldwäsche betrieben. Wenn sie also behaupten, du hättest dort Geldwäsche betrieben, ist das einfach nicht wahr. Du hast das in…

HIEU: Ich weiß.

JACK: …Vietnam getan. Ich bin nur frustriert in deinem Namen.

HIEU: Richtig. Ich weiß, aber die Sache ist, wie sie ist. So hat es funktioniert. Auch der Schadensbetrag, den sie in meinem Fall angesetzt haben, ist sehr hoch, über 60 Millionen US-Dollar.

JACK: Die Staatsanwälte sagten also, er habe einen Schaden von 60 Millionen Dollar verursacht. Natürlich erklärten sie dabei nicht, wie sie überhaupt auf diese Zahl kommen. Es ist ja auch quasi unmöglich, drei Millionen Suchanfragen auf Hieus Seite durchzugehen und diese dann mit den Identitätsdiebstahlsverbrechen zu verbinden, die bei diesen Personen stattfanden, und dann daraus den erzielten Geldbetrag zu errechnen.

Wie auch immer, all das war ja aus zweiter Hand. Nichts von dem gestohlenen Steuergeld hat Hieu erbeutet. Sie haben wahrscheinlich einfach eine Zahl erfunden, obwohl er nicht derjenige ist, der den Identitätsdiebstahl und den Steuerbetrug begangen hat. Es ist also absolut ärgerlich, dass behauptet wird, er sei für all den Schaden verantwortlich. Ja, Hieu ist ein Krimineller. Er ist hier der Bösewicht, okay?, ich versuche nicht zu sagen, dass er hätte davonkommen sollen. Er hat das Gesetz gebrochen, absolut.

Was ich nur sage ist, dass es das falsche Gesetz ist, um ihn anzuklagen, und ich hasse es, wenn der CFAA derartig verwendet wird. Sie versuchten zu argumentieren, er sei auch wegen Geldwäsche in Schwierigkeiten, aber er hat ja keine seiner Geldwäscheaktivitäten in den USA durchgeführt. Ich bin mir nicht sicher, ob das überhaupt durchgeht.

Aber keine der Anklagen bezog sich auf die Kreditkarten, die er gestohlen oder geleert hatte, all die Seiten, in die er damals eingedrungen war. Es gibt nichts über all die Konzertkarten, die er gekauft und dann im Grunde all diese Leute betrogen hat. Das sind einfache Anklagen, die man ihm hätte anhängen können, aber sie fehlen hier komplett. Es gibt ein Gesetz gegen Identitätsdiebstahl, aber es wäre schon urkomisch, wenn sie ihn dafür anklagen würden, da das ja das ganze Geschäftsmodell von Datenhändlern ist, oder?

Jeden Tag arbeiten sie daran, so viele Identitäten wie möglich zu sammeln, ohne jedermanns Erlaubnis!, und sie dann zu verkaufen. Nicht nur das; er hat die Identitäten nicht gestohlen. Er hat für sie bezahlt. Der Diebstahlsaspekt wäre also auch fraglich.

Meiner Meinung nach wäre das Verbrechen, für das sie ihn wohl hätten anklagen können, dass er wissentlich Kriminellen bei der Begehung von Straftaten geholfen hat. Also Beihilfe und Anstiftung und Verschwörung, so etwas in der Art. Hieu wusste, dass seine Seite von Kriminellen genutzt wurde, und sie waren seine Lieblingskunden, weil sie für Unmengen von Suchen bezahlten. Er bediente sie also, machte es ihnen einfacher und besser, seine Seite zu nutzen. Während er also selbst keinen Steuerbetrug beging, half er vielen Leuten dabei. Aber er wurde nicht wegen Beihilfe und Anstiftung angeklagt.

Er wurde angeklagt, weil er die Nutzungsbedingungen eines Datenhändlers verletzt hatte, indem er sich als jemand anderes ausgab, um dort ein Konto zu bekommen. Aber das Ding ist, die Bundesbehörden hätten es viel schwerer gehabt zu beweisen, dass seine Website für kriminelle Zwecke bestimmt war, verglichen mit einem einfachen CFAA-Verstoß, für den man jemanden leicht verurteilen kann. Wie ich ja schon sagte, wir verstoßen alle den ganzen Tag, jeden Tag gegen den CFAA.

Ich glaube, die Bundesbehörden haben ihn mit dem falschen Verbrechen angeklagt, weil es für sie ein fast garantierter Sieg war – anstatt ihn mit dem richtigen Verbrechen anzuklagen und dann Schwierigkeiten zu haben, Sachen zu finden, die das beweisen. Übrigens, während die Bundesbehörden sagten, er habe einen Schaden von 60 Millionen Dollar verursacht, hat niemand eine Entschädigung gefordert. Keiner der Datenhändler sagte, er habe ihnen Schaden zugefügt.

Wenn er also all diesen Schaden angerichtet hat, findet das Opfer und bringt es in den Fall mit ein. Denn wenn ich mir die Anklageschrift anschaue, fällt doch auf, dass es keinen einzigen Firmennamen oder Opfernnamen darin gibt. Natürlich nicht, denn die Datenhändler wollen sich vor euch verstecken. Das Einzige, was dort aufgeführt ist, ist „Firma A“, mit Hauptsitz in New Jersey, und es hieß, er habe eine SQL-Injection bei Firma A durchgeführt. Nun, mit ein wenig Recherche ist es ziemlich einfach herauszufinden, dass der Datenhändler in New Jersey, von dem sie sprechen, USInfoSearch ist, von dem Hieu tatsächlich Anmeldedaten gestohlen und die Seite genutzt hat, wenn auch nicht sehr viel. Es war so ein kleiner Ausrutscher in seiner Geschichte, dass es kaum erwähnenswert ist, und doch ist das die Firma, die sagte, er habe unbefugten Zugriff erhalten.

Aber passt auf, hier kommt jetzt der ganze Zusammenhang:

Court Ventures war Partner von USInfoSearch. Wenn du ein bezahlter Court-Ventures-Nutzer warst und jemanden nachgeschlagen hast, hatten sie eine Verbindung zu USInfoSearch, also bekamst du auch von denen Ergebnisse. Ich verbinde hier nur die Punkte, aber das klingt für mich so, als ob Court Ventures Datenhändlerinformationen weiterverkaufte, die sie von USInfoSearch erhalten hatten. Bestimmt haben sie bei jedem Deal mit USInfoSearch diese Daten zu einem höheren Preis an ihre eigenen Kunden verkauft. Versteht ihr meinen Punkt. Diese Geschichte ist ziemlich bizarr. Man könnte also sagen, diese in der Anklageschrift genannte Firma, USInfoSearch, war das Backend und lieferte Daten an Court Ventures, und es ist USInfoSearch, von dem die US-Regierung sagt, Hieu habe unbefugten Zugriff darauf gehabt und von diesem Zugriff profitiert.

Die Opfer, das sollen ja die Leute gewesen sein, deren Steuerüberschuss oder was auch immer gestohlen wurde, aber eigentlich sind die Opfer doch die, von denen du gestohlen hast, oder? Also LocatePLUS, MicroBilt und Court…

HIEU: Richtig, Court Venture.

JACK: …Das sind doch die, die du ausgeraubt oder angegriffen hast, und ich echt erstaunt – waren sie überhaupt Teil des Falls? Waren sie da und haben gegen dich ausgesagt oder lieferten Beweise?

HIEU: Nein, nein. Ich habe niemanden von diesen Firmen gesehen.

JACK: Ja, aber ich kann’s nicht – ich frage mich – hattest du’n guten Anwalt?

HIEU: Ich habe für den Anwalt bezahlt. Ich habe fast mehr als – ich glaube, bis zu 700.000 Dollar ausgegeben.

JACK: Wow.

HIEU: Ja, für den Anwalt.

JACK: Der Anwalt hätte hier doch kämpfen müssen – ich mein, 60 Millionen Dollar angeblicher Schaden, obwohl das erfunden ist. Er hat die Informationen nur an jemand anderen weitergegeben, und jemand anderes hat den Schaden angerichtet. Er hat nie einen Steuerbetrug begangen. Man kann also nicht sagen, dass er derjenige ist, der Steuerbetrug begangen hat. Es ist, als ob ich dir ein Feuerzeug verkaufe und du nimmst dieses Feuerzeug und brennst damit ein Gebäude nieder. Ich bin nicht in Schwierigkeiten, weil ich dir das Feuerzeug verkauft habe. Die Person, die das Gebäude niedergebrannt hat, ist es.

HIEU: Das stimmt. Aber weißt du, damals haben mir viele Leute dasselbe gesagt. Ich hätte keinen Anwalt engagieren sollen. Ich hätte das Geld behalten sollen.

JACK: Ja.

HIEU: Aber weißt du, meine Familie war so besorgt und sie schauten im Internet nach; oh ja, das ist ein guter Anwalt, gute Bewertung, Fünf-Sterne-Bewertung, internationaler Anwalt, was auch immer, in New Hampshire, ein Profi. Ja, so war das. Ich erinnere mich, jedes Mal, wenn die Anwälte und sein Team mich trafen – jedes Mal kostete es mich 5.000 bis 10.000 US-Dollar. Eine E-Mail, die ich ihm oder dem Anwaltsteam schickte, kostete mich 200 oder 300 US-Dollar pro E-Mail.

JACK: Ich weiß, Anwälte sind so teuer.

HIEU: Ich weiß, sehr teuer. Wie gewonnen, so zerronnen. Also beschwere ich mich nicht wirklich darüber, denn am Ende des Tages ist es irgendwie schmutziges Geld.

JACK: Eine andere Sache, die mich an der ganzen Sache wirklich stört, ist, dass weder MicroBilt, LocatePLUS noch Court Ventures ihren Opfern jemals mitgeteilt haben, dass es einen Datenbank-Einbruch gab.

HIEU: Nein, sie haben nie etwas gesagt – selbst bis heute, ich suche nach ihnen und sie haben nie etwas darüber erwähnt, obwohl es ihnen wirklich passiert ist.

JACK: Entschuldigung, aber: Was sind das für Dreckskerle. Ich habe einfach kein Mitgefühl mit diesen Datenhändlern. Ich hasse sie echt. Sie nehmen meine Daten ohne meine Zustimmung. Ich kann mich nichtmal abmelden, wenn ich wollte. Und sie schützen sie nicht, und wenn sie bei einem Datenleck verloren gehen, haben sie nicht einmal den Anstand, mir zu sagen, dass meine Daten, die sie über mich gesammelt haben, abhandengekommen sind.

Hieu versuchte verzweifelt, seinen Anwalt dazu zu bringen, ihm zu helfen. Aber die Sache ist so, dass es eine 99%ige Verurteilungsrate gibt, wenn die Bundesbehörden dich mit einem CFAA-Verstoß belangen. In all den Fällen, in denen die Bundesbehörden jemanden eines CFAA-Verstoßes beschuldigten, konnte ich nur zwei oder drei Fälle finden, in denen der Angeklagte tatsächlich gewann. Der Rest waren Leute, die sich schuldig bekannten oder im Prozess für schuldig befunden wurden, und so waren die Chancen, dass Hieu davonkam, gleich null. Er versuchte, dagegen anzukämpfen, aber alles, was sie versuchten, wurde von den Gerichten immer wieder abgelehnt. Nach ein paar Jahren des Kampfes wurde Hieu müde und sein Geld wurde knapp.

HIEU: Meine Anwälte erklärten mir, dass ich den Prozess verlieren könnte. Ich könnte bis zu fünfundvierzig Jahre im Bundesgefängnis bekommen.

JACK: Fünfundvierzig Jahre?

HIEU: Ich hatte solche – richtig; ich hatte solche Angst. Alle Anklagepunkte zusammen – nicht nur aus New Hampshire, sondern auch aus New Jersey. Ich hatte also zwei Strafanzeigen aus New Hampshire und New Jersey. Sie wurden alle zusammengelegt, und sie sagten, das sind bis zu fünfundvierzig Jahre, wenn ich verliere. Meine Familie und ich hatten also solche Angst. Also haben wir uns auf einen Deal eingelassen und, ja, ich habe mich im Sommer 2015 schuldig bekannt.

JACK: Schuldig, schuldig, einen Schaden von 60 Millionen Dollar verursacht zu haben. Als dein Urteil anstand oder während des Deals, hast du da mal angeboten, das eingenommene Geld abzugeben, um die Strafe zu reduzieren? Wie lief das ab?

HIEU: Oh, ja. Meine Familie fragte sie auch – sie wollten das ganze Geld zurückgeben, aber sie sagten, nein, das brauchen sie nicht.

JACK: Wirklich?

HIEU: Ja. Sie brauchen kein Geld. Sie brauchen kein Vermögen. Sie brauchen nichts. So war das. Aber die Sache ist, weißt du, ich habe viel Geld für Anwälte ausgegeben, auch während meiner Haft, für Essen und Medikamente und solche Sachen.

JACK: Sie haben also nichts von deinem Geld, deinem Eigentum, deinen Autos oder irgendetwas genommen?

HIEU: Nein, nein. Das war ihnen egal. Es ist, als ob sie das nicht brauchen.

JACK: Sie wollen nur dich.

HIEU: Sie wollen nur mich.

Die Sache mit den Daten

JACK: Nachdem er sich schuldig bekannt hatte, wurde er zu dreizehn Jahren Gefängnis verurteilt, dreizehn Jahre für den unbefugten Zugriff auf Daten von Datenhändlern. An diesem Punkt frage ich mich, was wäre, wenn Hieu, anstatt auf die Daten von Datenhändlern zuzugreifen, um sie zu verkaufen, einfach sein eigenes Datenhändlergeschäft aufgebaut hätte, das für jedermann zugänglich ist? Wäre das illegal? Wenn Hieu zum Beispiel alle Daten aus dem Telefonbuch, alle Gerichts- und Bezirksakten kopiert und LinkedIn-Daten gesammelt hätte, um vollständige Profile von Millionen von Menschen zu erstellen – das sind alles öffentliche Informationen, oder? Das wäre für ihn nicht besonders schwer gewesen, denn er ist ein cleverer Kerl. Gibt es Gesetze, die er brechen würde, wenn er diese Daten verkaufen würde? Ich frage mich wohl, ob es Gesetze gibt, denen Datenhändler folgen müssen? Hm.

Okay, das hab ich nachschlagen. Grundsätzlich ja, es gibt Gesetze für Datenhändler, oft reguliert durch die einzelnen Bundesstaaten. Der Kern der Gesetze ist, dass Datenhändler nachweisen müssen, dass sie ihre Daten nicht an Kriminelle verkaufen.

Ähhh: Denkt an all die gefährlichen Haushaltsgegenstände, die wir wahrscheinlich alle haben – Teppichmesser, Hämmer, Streichhölzer, Feuerzeuge, Benzin, Bleichmittel. Das sind alles Dinge, die viel Schaden und Zerstörung anrichten können, oder? Doch wenn man sie kauft, überprüft der Laden nicht eure Absicht. Sie sagen nicht: „Hey, was hast du mit dem Teppichmesser vor? Du musst uns beweisen, dass du es für etwas Gutes verwenden wirst.“ Doch genau so behandeln Datenhändler ihre Kunden. Ihre Kunden müssen nachweisen, dass sie einen legitimen Grund haben, ihre Daten zu durchsuchen, und sie stehen auf der genehmigten Liste der „guten“ Leute.

Anscheinend reicht es für Datenhändler nicht aus, nur zu sagen: „Hey, ihr dürft das nicht für böswillige Absichten verwenden.“ Sie müssen jeden einzelnen Benutzer überprüfen, um zu verhindern, dass einer von ihnen die Daten böswillig verwendet. Die genehmigte Liste umfasst also Leute wie Strafverfolgungsbehörden, Vermarkter, Ermittler, Kreditagenturen, solche Leute. Diese Unterscheidung ist für mich sehr faszinierend. Datenhändler sind legal, aber nur, wenn sie ihre Daten an eine exklusive Gruppe von Leuten verkaufen. Das gefällt mir kein kleines bisschen. Dass es ein Geschäft gibt, das meine persönlichen Informationen kauft und verkauft, ist widerlich. Sucht euch einen besseren Job, okay? Aber mir gefällt auch nicht, dass sie ihre Daten nur an eine bestimmte Gruppe von Leuten verkaufen.

Nur Leute in einem exklusiven Club können meine Daten nachschlagen, ein Club, in den ich nicht reingelassen werde. Der Grund, warum Staaten Datenhändler regulieren, ist, dass wir alle mit Betrügern, Identitätsdieben und Stalkern überflutet würden, wenn jeder diese Datenbanken durchsuchen könnte. Aber für mich ist das nicht das Problem. Für mich ist das Problem, erstens, dass ich nicht einmal weiß, wie viele Daten diese Datenhändler über mich haben, und zweitens, dass ich nicht einmal weiß, wer meine Daten hat.

Wenn ich irgendwie den Stich und den Schmerz jedes Mal spüren könnte, wenn meine Privatsphäre verloren geht, würde ich meine Privatsphäre viel ernster nehmen. Ich weiß also, dass es wahrscheinlich Apps auf meinem Handy gibt, die gerade Echtzeit-Standortdaten an einen Datenhändler senden, und wenn jemand diese Daten nehmen und sehen würde, wo ich bin, und zu meinem Haus käme und an meine Tür klopfte, würde ich natürlich nicht aufmachen, weil ich nie meine Tür aufmache.

Aber ich stelle mir nur vor, wie sie ununterbrochen an die Tür hämmern, so nach dem Motto: „Hey, Jack, ich weiß, dass du zu Hause bist. Mach die Tür auf. Dein Telefon sendet mir gerade Echtzeit-Standortdaten.“ Ich würde sofort denken: „Warte, welche App sendet dir meine Standortdaten?“ Ich glaube, ein beängstigender Moment wie dieser würde mich absolut dazu zwingen, Apps zu deinstallieren, die mich verfolgen.

Meine gewagte These ist also, dass Stalker hier nicht das Problem sind. Es ist die obsessive Sammlung meiner Daten, die das Problem ist. Wenn sich Datenhändler öffnen und jedem erlauben würden, ihre Seite zu durchsuchen, wären wir alle viel privater und sicherer, weil wir alle riesige Schritte unternehmen würden, um unsere Privatsphäre viel ernster zu schützen.

Natürlich sagen die Datenhändler, dass sie unsere Privatsphäre ernst nehmen und Sicherheit ihre oberste Priorität ist. Ja, nun, bis sie es eben nicht mehr ist. Hieu ist ganz allein in vier verschiedene Datenhändler eingedrungen, und es sah nicht so aus, als wäre es für ihn so schwer gewesen. Es gibt eine Nachricht nach der anderen über gehackte Datenhändler. Der größte Fall war, als Equifax gehackt wurde. Wenn die Datenhändler so besorgt wären, dass ihre Daten in die falschen Hände wie Betrüger und Stalker geraten, dann sollen sie sie gar nicht erst sammeln. Denn wenn ich eines aus über 160 Folgen über Hacking gelernt habe, dann ist es, dass man irgendwann bei der Sicherung seines Netzwerks und seiner Daten scheitern wird. Es gibt keinen sicheren Weg, meine persönlichen Daten zu sammeln und zu speichern, geschweige denn zu verkaufen.

Die Regulierungsbehörden denken, dass die Verpflichtung der Datenhändler, jeden Benutzer zu überprüfen, Kriminelle daran hindert, auf die Daten zuzugreifen, aber offensichtlich greifen Kriminelle dennoch auf die Daten zu. Seit wann halten sich Kriminelle an Vorschriften? Also, alles, was die Vorschriften wirklich tun, ist, Leute wie euch und mich, normale Bürger, daran zu hindern, zu sehen, was da drin steht. Es gibt so wenige Leute, die wirklich verstehen, was in dieser Welt der Datenhändler vor sich geht, da sie gerne in den Schatten des Internets operieren und hart daran arbeiten, alle anderen im Dunkeln zu lassen.

Die Lage in Deutschland und Europa

Jack beschreibt hier die Situation in den USA. Ich bin Holger Bleich und schreibe für die c’t unter anderem über das Thema Datenschutz. In der EU soll der Datenhandel mit der Datenschutzgrundverordnung, der DSGVO geregelt werden. Ein Schlupfloch, das sich darin bietet und das Datenhändler gerne nutzen, ist das sogenannte „berechtigte Interesse“. Laut DSGVO dürfen Unternehmen Daten sammeln, wenn sie dafür einen, so wörtlich, „guten Grund“ haben. Den dürfen die Unternehmen praktischerweise selbst beurteilen. Auf diesem Wege werden fleißig Daten gesammelt, die in Paketen gebündelt dann auf Marktplätzen landen und z.B. für Bewegungsprofile genutzt werden. Wer in den Cookie-Bannern auf „Alle akzeptieren“ klickt, erteilt stillschweigend die Zustimmung dafür.

Holger Bleich ist Co-Host des c’t Datenschutzpodcasts „Auslegungssache“.

Vom Häftling zum Cybercrime-Ermittler

JACK: Hieu wurde 2015 verurteilt, was bedeutete, dass er 2026 rauskommen würde, da er zu diesem Zeitpunkt bereits zwei Jahre im Gefängnis verbracht hatte.

Dort im Gefängnis von New Hampshire lernte er Englisch und bildete sich auch in anderen Bereichen fort. Die Polizei fragte ihn, ob er seine Geschichte nicht mit anderen teilten könnte, um denen beizubringen, wie das Darknet funktioniert und all das, und: Hieu kooperierte, er erzählte seine Geschichte und tat alles, um sich selbst zu rehabilitieren und früher rauszukommen. Während er im Gefängnis saß, erreichte ihn aber eine Nachricht, die ihn wirklich niederschmetterte. Die Liberty-Reserve-Website wurde von den Bundesbehörden beschlagnahmt und der Besitzer gefasst.

HIEU: Ich habe in den Nachrichten gehört, dass er gefasst wurde.

JACK: Hieu hatte immer noch n eMenge Geld auf seinem Liberty-Reserve-Konto. Aber als die Seite beschlagnahmt wurde, beschlagnahmten sie auch das Geld. Wie viel hast du da verloren?

HIEU: Ich hatte dort etwas mehr als 300.000 Dollar gespart.

JACK: Wow.

HIEU: Weißt du, ich dachte, Mann, ich werde nach Hause gehen und dieses Geld holen. Aber in dem Moment, als ich das während meiner Haftzeit 2014 oder ’15 in den Nachrichten hörte, dachte ich, Mann, es ist vorbei. Kein Geld mehr.

JACK: So verbüßte er weiterhin seine Haftstrafe und hielt sich aus Schwierigkeiten heraus. Wegen guter Führung wurde er vorzeitig entlassen. Nachdem er sieben Jahre im Gefängnis verbracht hatte, ließen sie ihn 2020 frei. Es gab viele Komplikationen, mitten in einer Pandemie aus dem Gefängnis zu kommen, also dauerte es acht Monate, bis er nach seiner Freilassung nach Hause kam. Aber schließlich schaffte er es zurück nach Vietnam.

Als du 2020 nach Hause kamst, hattest du noch Geld von all dem übrig?

HIEU: Ich hatte noch etwas mehr als 50.000 US-Dollar und eine Wohnung.

JACK: Als er nach Hause kam, bekam er einen Job bei der vietnamesischen Regierung, um bei der nationalen Cyberabwehr zu helfen.

HIEU: Das sogenannte NCSC, das Nationale Zentrum für Cybersicherheit, dort habe ich vier Jahre lang gearbeitet. Ich habe das NCSC erst vor fünf Monaten verlassen, weil die Regierung die Behörde umstrukturiert hat, und deshalb habe ich das NCSC verlassen. Momentan konzentriere ich mich hauptsächlich auf die Untersuchung von Cyberkriminalität. Ich liebe es, Cyberkriminelle zu jagen, technisch gesehen. Von dem Tag, an dem ich nach Hause kam, bis heute habe ich der Strafverfolgung in Vietnam und auch in anderen Ländern geholfen, mehr als zweihundert Cyberkriminelle zu verhaften.

JACK: Hieu sagt, er genießt es geradezu, Opfern von Betrug und Identitätsdiebstahl zu helfen, indem er sie z.B. über ihre Möglichkeiten aufklärt, und dabei hilft, die Kontrolle über ihr Leben zurückzugewinnen und das Gesetz zu nutzen. Tatsächlich klingt es für mich so, als ob Hieu ein ziemlich schlechtes Gewissen gegenüber den Leuten hat, die durch seinen Dienst betrogen wurden.

HIEU: Ich habe das Gefühl, dass ich den Leuten viel schulde, hauptsächlich den Leuten in den USA. Ich habe so viele Menschen verletzt und geschädigt, und ich schäme mich irgendwie immer noch dafür.

JACK: Hieu möchte also klarstellen, dass es ihm für jeden leidtut, dessen Identität gestohlen wurde und der durch seine Website Geld verloren hat. Es tut ihm wirklich leid, er hat sich mehrmals öffentlich entschuldigt und möchte versuchen, alles zu tun, um das Unrecht, das er getan hat, wiedergutzumachen, weshalb er jetzt Opfern hilft und mit der Strafverfolgung zusammenarbeitet, um Cyberkriminelle in seinem Heimatland zu fassen.

JACK (Outro): Vielen Dank an Hieu Minh Ngo, dass er uns diese unglaubliche wilde Geschichte erzählt hat. Ich musste beim Erstellen mehrmals innehalten und nachdenken, ich liebe eine Geschichte, die mich so tief ins Grübeln bringt, und ich hoffe, das tat sie auch bei euch. Ich habe kürzlich ein Buch über Datenhändler gelesen, das extrem aufschlussreich war, es heißt „Means of Control“ von Byron Tau. Schaut es euch an. Ihr werdet die Welt danach nicht mehr mit denselben Augen sehen.

(igr)