Am 21. Oktober 2020 erpresste Zeekill das Psychotherapiezentrum Vastaamo in Finnland
Am 21. Oktober 2020 erpresste Zeekill das Psychotherapiezentrum Vastaamo in Finnland
Bildquelle: KrebsOnSecurity

Zeekill: hohe Haftstrafe für finnischen Hacker

Ein 26-jähriger Finne wurde zu einer Haftstrafe von 6 Jahren und 3 Monaten verurteilt. Zeekill hackte Patientenakten eines Therapiezentrums.

Aleksanteri Kivimäki, (vormals Julius Kivimäki) auch bekannt unter seinem Nickname Zeekill, befand ein finnisches Gericht im Sinne der Anklage für schuldig. Die Staatsanwaltschaft warf ihm schwere Datenschutzverletzungen, ca. 20.745 Erpressungsversuche und in mehr als 9.231 Fällen eine Verbreitung privater, vertraulicher Informationen vor. Der Fall sorgte in Finnland für große Empörung, 24.000 Menschen reichten entsprechend Strafanzeige ein. Gemessen an der Zahl der Opfer gilt der Prozess als größter Kriminalfall in der finnischen Geschichte.

Das Bezirksgericht Länsi-Uusimaa verurteilte am Dienstag den 26-jährigen Hacker Zeekill zu sechs Jahren und drei Monaten Gefängnis. Das Gericht befand Kivimäki in allen Punkten der Anklage für schuldig. Es war der Ansicht, dass „keiner der in dem Fall vorgelegten Beweise allein belegen konnte, dass Kivimäki der in der Anklageschrift beschriebenen Verbrechen schuldig war. Gleichzeitig war das Gericht jedoch der Ansicht, dass auch keine Beweise die Schuld von Kivimäki ausschließen würden“.

Somit ging das Gericht davon aus, dass sich Zeekill im Jahr 2018 in das Informationssystem des Psychotherapiezentrums Vastaamo hackte. Infolge lud er dessen Datenbank mit rund 33.000 Klientendaten herunter.

Daten landeten im Darknet

Zunächst hätte Kivimäki unter dem Decknamen Ransom_man die Zahlung von etwa 396.000 US-Dollar in Bitcoins als Gegenleistung für die Nichtveröffentlichung der Patientenakten von Vastaamo verlangt. Als das Zentrum dies ablehnte, begann Kivimäki im Jahr 2020, Patienteninformationen im Darknet zu veröffentlichen. An 33.000 betroffenen Patienten verschickte er E-Mails, in denen er ein Lösegeld in Höhe von 200 Euro bis 500 Euro forderten.

Er drohte damit preiszugeben, was die Patienten ihren Therapeuten anvertrauten. Ungefähr 20 Patienten davon sollen gezahlt haben. Wenig später landeten ansonsten ohnehin alle persönlichen Patientendaten im Darknet.

Die Richter bezeichneten die Erpressung als „rücksichtslose Ausnutzung der besonderen Schwäche einer anderen Person.“ Kivimäki bestritt alle gegen ihn erhobene Vorwürfe. Sein Anwalt schloss die Möglichkeit, Berufung einzulegen, nicht aus. Er kritisierte die Ermittlungen der Zentralen Kriminalpolizei (KRP) und führte an, dass die in dem Fall vorgelegten Beweise nicht die Schuld von Kivimäki bewiesen.

Gericht blieb unter geforderten Höchststrafe

Die Staatsanwälte hatten eine Freiheitsstrafe von sieben Jahren gefordert, was nach finnischem Recht die Höchststrafe für solche Verbrechen darstellt. Als Grundlage für die Strafmilderung berücksichtigte das Bezirksgericht jedoch, dass Kivimäki über seinen Verteidiger begonnen hatte, sich mit tausenden Betroffenen, die Schadensersatzansprüche geltend gemacht hatten, auf bedingte Vergleiche zu einigen.

Gemäß Medienberichten kam:

„das Bezirksgericht in seiner Gesamtbewertung zu dem Schluss, dass die Straftaten von einem Server aus begangen worden seien, den Kivimäki häufiger genutzt habe, als er zugab. Darüber hinaus vertrat das Bezirksgericht die Auffassung, dass Kivimäki den für die kriminelle Einheit relevanten Verschlüsselungsschlüssel und die IP-Adresse auf eine Weise verwendet hatte, die er im Prozess bestritten hatte.

Nach Angaben des Bezirksgerichts wird die Schuld auch dadurch gestützt, dass Kivimäki im Ylilauta-Diskussionsforum unter seinem Pseudonym Nachrichten im Zusammenhang mit der Datenschutzverletzung von Vastaamo veröffentlicht hatte, „in einem gezielten, zielgerichteten und festen zeitlichen Zusammenhang mit den Erpressungsbemühungen.

Das Bezirksgericht hielt es für unglaubwürdig, dass Kivimäki die Nachrichten auf diese Weise hätte veröffentlichen können, wenn er außerhalb der kriminellen Vereinigung gestanden hätte und nur aus der Diskussion vor dem Obersten Gerichtshof oder beispielsweise aus den Medien davon erfahren hätte.

Darüber hinaus wird Kivimäkis Schuld dadurch gestützt, dass der von der Zentralen Kriminalpolizei getätigte Scheinkauf mit höchster Wahrscheinlichkeit nachweislich auf Kivimäkis Konto gelandet ist.“

Die Polizei begann im Herbst 2020 mit den Ermittlungen im Fall Vastaamo. Zwar konnten die Ermittler innerhalb kurzer Zeit Spuren finden, die zu Kivimäki führten. Die Behörden ermittelten seine Identität, nachdem er den Fehler begangen hatte, seine IP-Adresse nicht durch ein VPN zu verschleiern. Jedoch war sein Aufenthaltsort unbekannt. Mehr durch Zufall wurde Kivimäki im Februar letzten Jahres in der Gemeinde Courbevoie in der Nähe von Paris, Frankreich, festgenommen.

Zufall führte zu Täterspur, Zeekill wurde verhaftet

Nach Angaben französischer Medien begab sich die örtliche Polizei in eine Wohnung, nachdem sie eine Anzeige wegen häuslicher Gewalt erhalten hatte. Der Mann, der sich dort aufhielt, legte der Polizei rumänische Ausweispapiere vor. Als die Beamten die Angaben überprüfte, stellte sich heraus, dass es sich um einen Finnen handelte, den Ermittler als Zeekill wegen des Datenverstoßes gegen Vastaamo verdächtigten. Der Name, den er im Ausweis verwendete, war ein der Polizei bekannter Deckname und ließ auf seine wahre Identität schließen.

Kivimäki wurde nach Finnland überführt und dort inhaftiert. Die Hauptverhandlung zu seinen Anklagen begann im vergangenen November vor dem Bezirksgericht West-Uusimaa und endete im März. Während des Strafprozesses forderte Kivimäki mehrfach die Entlassung aus der Untersuchungshaft. Nach der Anhörung von Kivimäki Anfang Februar gewährte das Bezirksgericht die Freilassung in Verbindung mit einem Reiseverbot statt der Untersuchungshaft.

Die Staatsanwälte legten beim Gericht Berufung gegen die Entscheidung des Bezirksgerichts ein. Damit war Kivimäki weniger als zwei Wochen auf freiem Fuß, als das Berufungsgericht ihn am 16. Februar zurück ins Vantaa-Gefängnis beorderte. In seiner Entscheidung vertrat das Berufungsgericht die Auffassung, dass das Risiko einer Flucht von Kivimäki hoch sei.

Nach dem Urteil tauchte Kivimäki unter. Es gelang ihm, mehr als eine Woche lang für die Behörden unerreichbar zu sein. Allerdings kam die Polizei ihm dann doch wieder auf die Spur. In einer Airbnb-Wohnung in Kruununhaa, Helsinki, griffen die Beamten ihn auf.

Kivimäki wurde aufgrund eines von ihm online gestellten Bildes auf der Flucht ertappt. Nach Angaben der Staatsanwaltschaft hatte Kivimäki auf der Website von Ylilauta das Bild einer Champagnerflasche veröffentlicht. Nach seiner erneuten Festnahme saß Kivimäki dann bis zum Prozessbeginn in Untersuchungshaft.

Zeekill galt als einer der meistgesuchten Cyberkriminellen Europas

Wie BBC berichtete, war Zeekill einer der meistgesuchten Cyberkriminellen Europas. Seine Hackerkarriere begann bereits im Teenageralter. Demgemäß war Kivimäki „ein wichtiges Mitglied mehrerer Cyber-Gangs, die zwischen 2009 und 2015 für Chaos sorgten“. Er wurde bereits 2013 im Alter von 15 Jahren verhaftet und zu einer zweijährigen Bewährungsstrafe verurteilt.

In den USA wurde Kivimäki wegen Hacking-Fällen verurteilt, die auf die US Air Force und Sony Online Entertainment zielten. Unter den Pseudonymen „Zeekill“ und „Ryan“ war er als Teil einer Denial-of-Service-Bande, namens Lizard Squad, auch an Angriffen beteiligt, die am Weihnachtstag 2014 die Server für Xbox Live und das PlayStation Network überlasteten. Millionen Menschen waren so kurzzeitig von Spielen abgeschnitten. Wir berichteten damals darüber, dass infolge Kim Dotcom den „Mitgliedern von Lizard Squad MEGA-Gutscheine im Wert von 300.000 Dollar versprochen hat. Daraufhin gingen die gezielten Angriffe auf die Netzwerke von Microsoft und Sony zurück.“

Sowohl amerikanische als auch finnische Ermittler gehen davon aus, dass Kivimäkis Verwicklung in die Cyberkriminalität mindestens bis ins Jahr 2008 zurückreicht. Gemäß Brian Krebs soll er auch als Mitglied der Hackergruppe Hack the Planet (HTP) an einer Nutzung des Zbot-Botnets beteiligt gewesen sein. Krebs berichtet:

„Kivimäki und andere HTP-Mitglieder waren an der Massenkompromittierung von Webservern unter Ausnutzung bekannter Schwachstellen beteiligt. 2012 verkaufte Kivimäkis Pseudonym Ryan Cleary den Zugang zu diesen Servern in Form eines DDoS-Mietdienstes. Kivimäki war damals 15 Jahre alt.

Im Jahr 2013 fanden Ermittler bei der Durchsuchung der in Kivimäki beschlagnahmten Geräte Computercode, der zum Knacken von mehr als 60.000 Webservern verwendet worden war und eine bisher unbekannte Schwachstelle in der ColdFusion-Software von Adobe ausnutzte.

Die Gruppe nutzte dieselben Schwachstellen von ColdFusion, um in das National White Collar Crime Center (NWC3) einzubrechen, eine gemeinnützige Organisation, die das US-amerikanische Federal Bureau of Investigation (FBI) bei Recherchen und Ermittlungen unterstützt.“

Ville Tapio, den früheren CEO von Vastaamo, hat man nach dem Verstoß entlassen und zudem strafrechtlich verfolgt. Er sah sich dem Vorwurf ausgesetzt, die Patientendatenbank des Unternehmens nicht ausreichend gesichert zu haben. Im April 2023 verurteilte ihn ein finnisches Gericht zu einer dreimonatigen Haftstrafe, die es zur Bewährung aussetzte.

Gemäß Krebs „prahlte Ransom_man mit der schlampigen Sicherheit von Vastaamo und wies darauf hin, dass das Unternehmen zum Schutz sensibler Patientendaten den lächerlich schwachen Benutzernamen und das Passwort „root/root“ verwendet habe“. Anlässlich des Hacks und der nachfolgenden Klagen war Vastaamo 2021 dazu gezungen, Konkurs anzumelden.

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.