Dieser Fussballfan landet wegen Fedpol-Hack im Darknet

Die Personaldaten eines Fussballfans, der in der Hoogan-Datenbank des Fedpol erfasst war, landeten nach einem Hackerangriff im Darknet. zentralplus hat sich mit dem Fussballfan und einem Datenschutzexperten über das Datenleck beim Fedpol unterhalten.

Redaktion

Joel Dittli

Du sitzt auf einer Treppe der Stehrampe. Der Asphalt ist von verschmierter Zigarettenasche verfärbt, links von dir hat jemand Bier verschüttet. Rund um dich herum wird in bester Stammtischmanier das Spielgeschehen der ersten Halbzeit diskutiert. Über die Lautsprecher läuft grässlich laute Rockmusik. Doch es ist kein Abend im «Summer of ’69», sondern ein kühler Abend im Herbst 2013. Flutlichtspiel. Und bald geht es in die zweiten 45 Minuten.

Die gestreifte Sturmhaube sitzt, du musterst deine ledernen Handschuhe. Der Rocksong ist zu Ende. Unten am Spielfeldrand stimmt der Capo mit dem Megafon dein Lieblingslied an, während deine Mannschaft aus den Katakomben auf den Rasen zurückkehrt. Du atmest nochmal tief durch, erhebst dich – und hältst die brennende Fackel hoch in die Luft, während sich die Kurve kollektiv die Seele aus dem Leib schreit. Das Adrenalin schiesst wie ein Blitz durch deinen Körper.

Stadionverbot und ein Eintrag in der Hoogan-Datenbank

Doch dann, wenige Tage später, der Schock: Stadionverbot. Zwei Jahre lang keine Fussballspiele mehr. Und obendrauf ein Eintrag in der Hoogan-Datenbank des Bundesamtes für Polizei (Fedpol). Deine einst dort hinterlegten Personaldaten befinden sich seit der Cyberattacke von letzter Woche im Darknet (zentralplus berichtete). Obwohl sie längst nicht mehr existieren dürften.

So ist es schweizweit fast 800 Fussball- und Eishockeyfans ergangen – darunter auch solchen aus der Zentralschweiz. Adam B.* gehört zu diesen 800. Er wurde vor rund zehn Jahren mit einem Stadionverbot belegt, nachdem ihn die Polizei als Pyrozünder identifiziert hatte.

Post aus Bern

«Ich habe über die Medien vom Daten-Leak erfahren», erklärt Adam B. gegenüber zentralplus. «Im ersten Moment habe ich es gelassen genommen. Dann aber zurückgerechnet und festgestellt, dass ich im September 2015 noch in der Hoogan-Datenbank erfasst war.» Er habe umgehend das Fedpol kontaktiert, um herauszufinden, ob seine Daten ebenfalls im Darknet gelandet sind. Zwei Tage später lag ein Schreiben aus Bern im Briefkasten.

«Das Fedpol bestätigte, dass ich in der XML-Datei bin und führte aus, welche Daten im Darknet hochgeladen wurden», fährt Adam B. fort. Name, Geburtsdatum, Adresse, Geschlecht, Nationalität und ein codiertes Bild hat die Hackergruppe «Play» veröffentlicht. Es ist dasselbe Kollektiv, das auch sensible Daten von «CH Media» gestohlen und ins Darknet gestellt hat (zentralplus berichtete).

Sorgen wegen möglicher Stigmatisierung

In der Datei mit den Personendaten nicht vermerkt ist das konkrete Delikt, für das Adam B. bestraft und in der Hoogan-Datenbank erfasst wurde. Dort landen gemäss Gesetz Personen, die sich rund um Sportveranstaltungen gewalttätig verhalten haben. «In meinem Fall geht es um das Zünden einer Fackel im Stadion – was mit Gewalt gleichgesetzt wird», erklärt Adam B.

Dass im Darknet nichts dazu steht, was die einzelnen Fans verbrochen haben, empfindet er grundsätzlich als positiv. Doch in seinem Fall lasse dies fast zu viel Interpretationsspielraum offen: «Ich könnte beispielsweise jemanden körperlich angegriffen oder verletzt haben – stattdessen war es eine Pyro.»

Adam B. macht sich Sorgen. Darüber, dass sein Arbeitgeber oder Nachbarn ihn als Gewalttäter abstempeln könnten. «Die Daten könnten zudem im normal zugänglichen Netz landen oder in sonstiger Weise missbraucht werden.» Davor wolle er sich schützen. Unter anderem auch mithilfe seiner Rechtsschutzversicherung.

Kommentatoren werden kein Pardon haben

Das Mitleid für Adam B. dürfte sich in Grenzen halten. Dessen ist sich Adam B. bewusst. Doch für ihn ist klar: «Wir leben zum Glück in einem Rechtsstaat und nicht in einer Diktatur.» Dieser Rechtsstaat garantiere auch den Schutz persönlicher Daten. «Und dieses Recht gilt für alle.»

Zudem habe er seine Strafe ohnehin längst verbüsst. «Meine Tat, das Zünden einer Pyro, liegt nun fast zehn Jahre zurück. Ich war drei Jahre lang in der Hoogan-Datenbank, hatte zwei Jahre lang Stadionverbot», führt Adam B. aus. Doch nun bestehe erneut die Gefahr, dass er kriminalisiert werde. «Weil das Fedpol die Daten nicht – wie mir gegenüber schriftlich bestätigt – vernichtet, sondern offenbar weitergegeben hat.»

Pyros werden mit Gewalt gleichgestellt

Ob er denn seine Tat bereue, möchte zentralplus von Adam B. wissen. «Nein», sagt dieser, ohne zu zögern. «Die Zeit in der Kurve ist Teil meiner Jugend. Und ich bin nach wie vor der Meinung, dass Pyrotechnik – wenn sie nicht als Waffe verwendet wird – nicht als Akt der Gewalt bezeichnet werden sollte.» Auch, weil das Zünden an Fussballspielen seiner Einschätzung nach sehr kontrolliert ablaufe.

«Ich verurteile hingegen das Werfen von Pyros, weil das dann definitiv nicht mehr kontrollierbar ist und Menschenleben gefährden kann», fährt Adam B. fort. «Leute, die Pyros schmeissen, missbrauchen ein wichtiges, schönes Element der Fankultur», findet er. Generell wünsche er sich, dass sich gewalttätige Auseinandersetzungen wenn, dann nicht im öffentlichen Raum abspielen würden. Um keine unbeteiligten Dritten zu gefährden.

Datenschutzexperte schliesst Schuld des Fedpol nicht aus

Um Dritte geht es auch bei der Frage, wie die Daten ins System eines auf Polizeisoftware spezialisierten IT-Unternehmen namens Xplain gelangten. Zu Testzwecken, vermutete die «NZZ».

Die Frage hat zentralplus auch Marc Ruef gestellt. Er ist Mitbegründer der Scip AG in Zürich, die seit 2002 Beratungen im Bereich Cybersecurity anbietet. Eindeutig zu beantworten sei die Frage nicht ohne weiteres, erklärt Ruef. Doch könne es sein, dass das Fedpol gegen das Bearbeitungsreglement Hoogan, zum Beispiel Art. 11 und Art. 22, sowie damit verknüpfte gesetzliche Grundlagen verstossen habe.

Weiter dürfte sich Adam B. zu Recht Sorgen machen. Marc Ruef nennt mögliche Konsequenzen für den Fussballfan: «Wie bei jedem Veröffentlichen von personenidentifizierenden Daten können diese für Identitätsdiebstahl oder zielgerichtetes Phishing missbraucht werden. Da die Daten jedoch in einem negativen Kontext zusammengetragen wurden, kann ebenso unmittelbare Erpressung die Folge sein.»

Hat Xplain Hackern Geld gegeben?

Gemäss einem IT-Spezialisten, der an dieser Stelle nicht namentlich erwähnt werden möchte, sind die Daten von «Play» bereits am Tag nach der Veröffentlichung im Darknet wieder gelöscht worden. Offenbar hat Xplain Druck auf die Hackergruppe ausgeübt.

Marc Ruef bestätigt: «Eine kriminelle Vereinigung ist so lange erfolgreich, wie sie unter dem Radar der Ermittlungsbehörden fliegen kann.» Sobald sie zu viel Aufmerksamkeit der Behörden erfahre, steige das Risiko einer Zerschlagung überproportional an. Das wollten professionelle Gruppierungen verhindern. «Es kann also durchaus sein, dass eine Bundesbehörde wie das Fedpol entsprechenden Druck aufbauen kann. Oder man hat eine partielle Zahlung vorgenommen, um die Täterschaft in dieser Hinsicht gütlich zu stimmen.»

Daten wieder aufgetaucht

Offenbar sind die verschwundenen Daten aber noch am selben Tag wieder ins Darknet hochgeladen worden, wie der IT-Spezialist gegenüber zentralplus sagte. Was Marc Ruef nicht erstaunt: «Das Internet vergisst nie, wie es so schön heisst. Solange jemand die Daten hortet, könnten sie auch zukünftig missbraucht werden.»

weiterlesen

Anwältin kritisiert Kollektivstrafen gegen Fussballfans

Knapp an Massenpanik vorbei: Zuspitzung an der Zentralstrasse

Luzerner Polizei verbietet Hochrisikospiele an Samstagen

Wieso die Luzerner Polizei Fans an der Zone 5 vorbeiführt

Generell sei es ein Irrglaube, dass von Hacker-Gangs zurückgezogene Daten «gelöscht» sind, fährt Ruef fort. «Sie sind zwar nicht mehr öffentlich verfügbar. Die Chancen sind aber immer gross, dass sie zu einem späteren Zeitpunkt andernorts wieder in Umlauf kommen.»

Kaum Handlungsspielraum für Fussballfans und Fedpol

Die Gesetzgebung in der Schweiz gibt den betroffenen Fans wenig Möglichkeiten, gegen das Fedpol vorzugehen. «In erster Linie sollten sie sich darauf fokussieren, sich des erhöhten Risikos des Datensatzes bewusst zu sein und bei entsprechenden Angriffsversuchen – Phishing oder Erpressung – intelligent zu reagieren», resümiert Marc Ruef.

Ebenso bleibe der Handlungsspielraum des Fedpol eingeschränkt. Auf technischer Ebene seien die Möglichkeiten voraussichtlich ausgeschöpft. Ruef sagt: «Jetzt geht es primär darum, die Situation in der öffentlichen Wahrnehmung und auf rechtlicher Ebene unter Kontrolle zu behalten.»

* Name der Redaktion bekannt