19-jährigem Heartbleed-Hacker droht möglicherweise jahrelange Gefängnisstrafe

Die königliche berittene Polizei Kanadas (RCMP) nimmt Hacks nicht auf die leichte Schulter. Der 19-jährige Student Spephen Arthuro Solis-Reyes, der erste Heartbleed-Hacker, wurde letzten Dienstag festgenommen und sechs Stunden lang verhört. Der Junge hatte, mithilfe der Sicherheitslücke in OpenSSL, 900 Sozialversicherungsnummern von der Webseite der kanadischen Steuerbehörde stibitzt. Längst ist der Fall das Mediengespräch des Monats in ganz Kanada.

Für die RCMP ist das Aufdecken bzw. Ausnutzen von Sicherheitslücken allerdings keine Spielerei: „Inspekteure der Nationalen Division haben zusammen mit unseren Kollegen von der „O“ (Ottawa) Division in den letzten vier Tagen unermüdlich gearbeitet, Daten analysiert, Spuren verfolgt, Interviews geführt, rechtliche Schritte genehmigen lassen und durchgeführt.” schrieben die Gesetzeshüter auf Ihrem Presseportal. Dort werden auch die Rechtsbrüche dargestellt, die dem mutmaßlichen Heartbleed-Hacker angelastet werden. Sollte Solis-Reyes in vollem Umfang verurteilt werden, könnte er für bis zu zehn Jahren hinter Gittern landen.

Solis-Reyes' Rechtsanwalt Faisal Joseph hält die Haltung und das Vorgehen der Behörden für überzogen: „Ich denke einfach, dass es völlig unangemessen ist das Leben eines Jungen zu zerstören noch bevor er die Chance hatte mit einem Rechtsbeistand zu sprechen”, sagte er gegenüber der Toronto Sun. ”Und jetzt machen sie aus ihm ein nationales Spektakel!”

Vor dem Hintergrund, dass gerade jugendliche Hacker von Regierungen als Mitarbeiter angeworben werden, erscheint das harte Durchgreifen in Junghacker-Fällen wie diesem in erste Linie als populistische Beruhigungsmaßnahme. Aber was könnte denn die Motivation des potentiellen Schwerverbrechers Solis-Reyes eigentlich gewesen sein?

Er ist der Sohn eines Informatikprofessors, studiert selbst Informatik an der Western University und lebt noch bei seinen Eltern. In der Highschool war er sogar einmal Buchstabier-Champion. Schon dort hatte er Sicherheitslücken im Netzwerk der Schule aufgedeckt und es gleich seinen Lehrern erzählt. Und ein Report in der London Community News zitiert Freunde mit der Aussage, dass er dafür bekannt war Fehler in Servern aufzudecken.

Er wirkt also zunächst einmal kaum wie jemand der Interesse daran hat Steuerdaten auf dem Schwarzmarkt zu verhökern. Er hat nicht einmal Schritte unternommen seine Aktivitäten zu verschleiern oder Spuren zu verwischen. Und sogar Sicherheitsexperten geben zu Protokoll, dass Solis-Reyes dem Steueramt einen Gefallen getan hat einen Fehler aufzuzeigen, der Millionen Steuerzahler betrifft—eine Aussage, die übrigens im Einklang mit der Meinung anderer kanadischer Hacker steht.

Einer dieser Sicherheitsexperten, Robert Masse, war selbst ein Teenage-Hacker und hat im Alter von 15 Jahren sowjetische Forschungsrechner infiltriert. Für Masse ist der Fall von Solis-Reyes keine Überraschung. Er betont aber, dass ein Jugendlicher, der mit einer bekannten Sicherheitslücke rumspielt anders behandelt werden sollte als ein böswilliger Hacker:

„Diese Lücke steht jedem offen und tausende von interessierten Angreifern probieren Tools zur Ausnutzung der Lücke an Webseiten aus um einfach mal zu schauen was passiert. Und im Falle der Steuerbehörde gab es dann eben Sozialversicherungsnummern zu holen.”

Obwohl es nicht besonders wahrscheinlich ist, dass Solis-Reyes aufgrund von finanziellen Vorteilen mit dem OpenSSL-Tools gespielt hat, ist sein Schicksal ungewiss—von einigen Stunden sozialer Arbeit bis hin zu mehreren Jahren im Knast ist noch alles möglich.