Die Schweizer Hackerin Maia Arson Crimew* (23) sorgt in den USA erneut für Unruhe. Am Freitag hat Arson auf einem ungesicherten Server die Flugverbotsliste der US-Behörde für Transportsicherheit (TSA) entdeckt. Rund 1,5 Millionen Namen von bekannten Terroristen und Terrorverdächtigen waren öffentlich zugänglich. Jetzt fordert die US-Politik eine Untersuchung.
Dass solche brisanten Daten von US-Behörden irgendwann im Netz landen, überrascht Sandro Nafzger (37) nicht. «Die gesamte Aviatik-Branche ist im Bereich der digitalen Sicherheit nicht an vorderster Front», sagt der CEO von Bug Bounty Switzerland. Er und sein Team agieren als Vermittler für «ethische Hacker», die im Auftrag von Firmen und Regierungen nach Schwachstellen in deren IT-Systemen suchen.
Auffallend sei, dass sensible Daten in Listenform weiter verbreitet würden. «Zwischen vielen Parteien mit solchen Listen zu arbeiten, ist problematisch und birgt Risiken», sagt der Experte. «Es gäbe die Möglichkeit, mit geschützten IT-Systemen inklusive genau geregelten Zugriffsberechtigungen zu arbeiten. Zudem sollten IT-Systeme laufend auf Sicherheitslücken überprüft werden, damit solche Probleme proaktiv behoben werden können.»
Liste zeigt Missstand auf
Nafzger hat sich die Vorgehensweise von Arson angeschaut und kommt zum Schluss: «Der ganze Hack ist clever aufgebaut, aber technisch eher einfach. Für einen Profi ist das keine Zauberei, da es sich hierbei um ein typisches IT-Hygieneproblem handelt, wie wir es tagtäglich sehen.»
Für die betroffene Airline und die US-Behörde sei der Vorfall peinlich, sagt Nafzger. Gleichzeitig sei es auch ein Weckruf – nicht nur für die USA. «Wir beobachten solche Sicherheitslücken auch in der Schweiz. Unsere ethischen Hacker finden innert kürzester Zeit teils hochkritische Schwachstellen. Mit den richtigen Fähigkeiten sind solche Angriffe in vielen Fällen sehr einfach.»
Die Veröffentlichung der Liste sei für die Öffentlichkeit spannend, weil sie einen Blick hinter die Kulissen ermögliche. Gleichzeitig merke man, dass Hunderttausende Menschen, darunter auch Normalbürger, auf solchen Listen landen können. «Für diese Menschen hat das einschneidende Konsequenzen.»
Es zeige sich, dass der Umgang mit IT-Sicherheit schwierig sei und vielerorts ein riesiger Nachholbedarf bestehe, sagt der Experte. «Das gilt auch für die Schweiz. Man stelle sich vor, ein IT-System kritischer Infrastruktur wird lahmgelegt – da stehen sehr schnell Menschenleben auf dem Spiel.»
Achtjähriger auf der Liste
Genaue Details zum Inhalt der Liste sind nur wenige bekannt. Arson stellt sie nicht öffentlich zur Verfügung. Allerdings weiss man, dass mehrere bekannte Namen auf der Liste stehen, unter anderem der kürzlich freigelassene russische Waffenhändler Viktor But (56). Zudem sind mutmassliche Mitglieder der IRA aufgeführt. Das Ziel dieser verbotenen militärischen Gruppe ist die Vertreibung der Engländer aus Irland.
Wie Arson gegenüber dem Portal «Daily Dot» sagt, umfasse die Liste mit 1,5 Millionen Einträgen auch Hunderte Decknamen. Die effektive Anzahl an Personen auf der Liste sei daher deutlich kleiner. Besonders extrem: Einer der Terrorverdächtigen auf der Liste sei gemäss seinem Geburtsdatum gerade einmal acht Jahre alt.
«Worst Case» für Strafverfolgung
Es ist nicht das erste Mal, dass die junge Frau in den Staaten hohe Wellen schlägt. So soll die Schweizerin hinter dem Hack von über 150'000 Überwachungskameras im März 2021 stehen. 2020 hackte sie sich in die internen Systeme der Firma Intel. Auf ihrer ehemaligen Webseite veröffentlichte sie daraufhin etwa Bauanleitungen für Computerprozessoren. Die Webseite wurde inzwischen vom FBI beschlagnahmt.
«Wenn man ins Visier der US-Strafverfolgungsbehörden gerät, ist das der Worst Case», sagt Anwalt Martin Steiger, Spezialist für Datenschutzrecht und IT-Recht. In den USA seien solche Verfahren viel härter und strenger als in der Schweiz, die Strafen deutlich höher. «Zudem sind die amerikanischen Behörden sehr bissig. Sie versuchen, weltweit an die beschuldigten Personen zu gelangen», so Steiger.
Wegen Arson Aktivitäten wurde 2021 ihre Wohnung sowie die ihrer Eltern von der Schweizer Polizei durchsucht. Ausserdem erhoben die US-Behörden Anklage gegen die Hackerin, unter anderem wegen «Verschwörung».
Rechtsanwalt Steiger sagt, nur schon die hängige Klage könne Arson bis zu 20 Jahre ins Gefängnis bringen. «Der neuste Fall könnte potenziell eine weitere Klage und eine höhere Strafe mit sich bringen. In den USA sind kumulierte Verfahren häufig. Das heisst: Die Strafen werden einfach zusammengerechnet», erklärt der Rechtsanwalt.
Wie viele Jahre Gefängnis Arson insgesamt drohen, kann Steiger zwar nicht sagen: «Klar ist aber: Einfach aus der Schweiz ausreisen kann sie nicht. Sonst droht ihr die umgehende Verhaftung – und viele Jahre Gefängnis.»
*Bekannt wurde Arson als Tillie Kottmann, sie legt mittlerweile aber Wert darauf, bei ihrem neuen Namen genannt zu werden, den sie sich vor einem Jahr gegeben habe.