Die weltgrößten Plattenfirmen zittern vor ein paar jungen Deutschen. Die hacken sich in die Rechner berühmter Musiker und deren Manager, stellen unveröffentlichte Lieder von Lady Gaga oder Shakira ins Netz. Zwei wurden erwischt, die anderen machen weiter.
Morgens um neun in Wesel: Christian M. liegt noch im Bett, döst in seinem Zimmer unten im Keller. Ein Morgen wie jeder Morgen, an dem sich das Aufstehen nicht lohnt. Auch an diesem Tag wird niemand da draußen auf ihn warten. Wird kein Mensch etwas von einem Jungen wissen wollen, der das Berufskolleg hingeschmissen hat und der jetzt arbeitslos, mit 22, seine Stunden vor dem Computer verplempert.
Niemand.
Außer Lady Gaga. Mariah Carey. Leona Lewis.
Es ist der 26. August 2010, in einem Wohngebiet mit backsteinroten Doppelhäusern am Niederrhein, als unten im Keller die Tür aufgeht und Lady Gaga hereinplatzt, zusammen mit Mariah Carey und Leona Lewis. Besser gesagt: Es ist die Polizei, die da an seinem Bett steht, Christians Schwester hat sie hereingelassen. Eine Taschenlampe strahlt Christian ins Gesicht, er blinzelt, schließlich sagt eine Männerstimme: „Sie wissen, warum wir hier sind.“
Und ja, Christian kann es sich schon denken: Lady Gaga, Mariah Carey, Leona Lewis, noch ein paar andere Superstars, sie alle haben ihn gejagt. Sie und ihre Plattenfirmen Universal und Sony, das amerikanische FBI, das Bundeskriminalamt. Die beiden größten Musikkonzerne, die besten Ermittler der Welt. Jetzt haben sie ihn gefunden. Einen Jungen, der eher nach 17 als nach 22 aussieht, der kaum mal ein paar Sätze am Stück sagt und der schielt, wenn er die Brille abnimmt.
Die Männerstimme gehört einem Kommissar der Kripo Duisburg, er braucht nicht lange, um Christian zu einem Geständnis zu bringen. Was soll Christian auch leugnen? Seine mobile Festplatte, die er sonst nachts immer im Kellerraum nebenan versteckt, liegt auf dem Schreibtisch.
Den Schatz der Branche gestohlen
Die Polizei findet: einige Tausend Songs, die Christian und andere Hacker aus den Computern von Sängern und Musikproduzenten gestohlen haben. Nicht irgendwelche Tracks, sondern den Schatz der Branche. Lieder, die noch gar nicht auf dem Markt waren.
Schon sieben Wochen zuvor hatte die Kripo ein anderes Zimmer in Duisburg durchsucht, das Operationszentrum von Deniz A., 17, Hackername „DJ Stolen“. Gemeinsam hatten die beiden unveröffentlichte Songs verkauft, an Abnehmer in Mexiko oder den Vereinigten Arabischen Emiraten.
Bei Deniz geht es aber noch um mehr: Es gibt Chat-Protokolle, die man so lesen kann, als habe er Weltstars erpresst. Aus Angst, DJ Stolen könnte ihre Stücke ins Netz stellen und ihnen damit die Kampagne für den nächsten Hit kaputtmachen, schickten sie Deniz einen „Shout“, ein paar gesprochene Sätze, die so klingen, als seien sie Kumpel, der Star und der Hacker. So ein Shout ist die wertvollste Trophäe nach einem gelungenen Angriff – er soll zeigen, dass einer wie Deniz die härtesten Gangsta-Rapper, die stolzesten Soul-Queens in der Hand hat.
Kann das wirklich sein? Ein Kellerraum in Wesel, ein Kinderzimmer in Duisburg, zwei junge Burschen aus Deutschland, aber die coolsten Glitzer- und Glamourstars einer Milliardenindustrie zitterten vor ihnen? Der Fall, in dem die Staatsanwaltschaft Duisburg ermittelt, führt in eine unbekannte Welt, die erst in den vergangenen drei Jahren entstanden ist, mit eigenen Regeln, mit einem „noch weitgehend unbekannten Modus Operandi“, wie es in einem Kripo-Bericht heißt.
Ein Wettbewerb der Hacker, wer die Rechner der berühmtesten Popstars knackt
Gut hundert junge Hacker in Deutschland, schätzt Christian, liefern sich einen Wettbewerb darum, wer die Rechner der berühmtesten Popstars knackt, deren Manager, deren Plattenfirmen, deren Verwandten oder Freunde. Ihr Ziel ist es, Stücke, die noch kein Fan hören konnte, ins Netz zu stellen, für die anderen Hacker. Je größer der Star, desto größer das Ansehen, der „fame“, aber natürlich auch der Wert der Songs. Denn zumindest einige der Internetpiraten verkaufen die Beute weiter, so wie Christian und Deniz.
Die Musikkonzerne Universal und Sony sind so nervös, dass ihre Hamburger Anwaltskanzlei Rasch zunächst nicht mal sagen will, ob sie ein Mandat in der Sache hat. Die Sorge ist, dass daraus ein Massenphänomen werden könnte und der Schaden immer größer.
Der US-Sänger Usher beispielsweise soll 2009 ein fertigproduziertes Album weggeworfen haben, weil die Stücke schon im Netz kursierten. Doch auch nach den Razzien bei Christian und Deniz geht die Jagd der Hacker nach frischen Songs weiter: Zwar haben US-Behörden vor kurzem ihren wichtigsten Treffpunkt zugemacht, die Internetseite rmx4u.com. Aber inzwischen gibt es einen neuen, der Name klingt so ähnlich, nur dass der Server diesmal auf Tonga in der Südsee steht.
Christian sitzt im Wohnzimmer seiner Eltern, klein, schmal, und weil er nicht gern redet, am liebsten gar nichts sagen würde, könnte man fast übersehen, dass er da ist. Eine zerfranste Jeans, eine schwarze Adidas-Trainingsjacke, alles nicht weiter auffällig. Vor dem Haus steht kein Auto, kein Motorrad, er hat ja noch nicht mal einen Mofa-Führerschein. Stattdessen hat er sich von dem Geld, das er mit geklauten Songs verdiente, eine neue Brille von Apollo-Optik gekauft, für 150 Euro, einen Laminatboden für sein Zimmer, eine Playstation. Solche Dinge eben, nichts Großes.
Seine Mutter sagt, dass Christian es nie leicht hatte. Schon mit drei Jahren wurde er das erste Mal operiert, weil er so schielte, der erste von vier Eingriffen. Er war immer der Kleinste, eine Zeitlang dachten die Eltern sogar, es könnte krankhaft sein, Kleinwuchs. Und Christian hatte sich auch schnell damit abgefunden, dass er deshalb eben immer ein Opfer war. Im Fußballverein nannten sie ihn „Zwerg“, im Judoverein „Fischauge“, in der Schule „Brillenschlange“. Er zog sich dann jedes Mal zurück, aber er gewöhnte sich auch an, sich alles zu vergeben, was sonst noch schieflief bei ihm. Nach der sechsten Klasse musste er von der Realschule abgehen, den Hauptschulabschluss schaffte er nur gerade so. Danach außer ein paar Praktika gar nichts mehr. Seine Mutter schimpft, dass er die ganzen Jahre „stinkfaul“ war, Christian wehrt sich nicht mal, wenn sie das sagt.
„Aber mit dem Hacken“, meint er, „hat das doch alles nichts zu tun.“ Die Ermittler sehen das anders. Einer, dem im Leben nichts gelingt und der deshalb nirgendwo beliebt ist, findet am Computer das, was er sonst nie bekommen hat: Anerkennung.
80.000 Songs auf der Festplatte
Seinen ersten PC schenken ihm die Eltern, als er schon 15 oder 16 ist; er muss lange darum betteln, und erst mal spielt er nur. „Counterstrike“. „Fifa World Cup“. Er spielt den ganzen Nachmittag, spielt bis in den Abend, spielt immer länger, aber das tun viele Jugendliche. Er lädt sich auch Musik aus Tauschbörsen herunter, das ist schon illegal, aber auch das machen viele. Doch eines Tages spielt er „Counterstrike“ mit seinem Cousin, über ein Netzwerk. Der Cousin hat einen Freund dazugeschaltet, der Freund ist erst 13, er zeigt ihnen ein paar Kniffe: Wie man auf andere Computer kommt, ohne dass die Besitzer es merken. „Das war ’ne Sache von zehn Minuten, dann konnt‘ ich das auch.“
Am Anfang testen sie noch, schicken sich gegenseitig Trojaner, fertige Virenprogramme, die sie sich aus dem Internet besorgen und an eine E-Mail anhängen. Christian merkt: Es geht eigentlich ganz leicht. Der ahnungslose Empfänger der Mail muss nur auf den vergifteten Anhang klicken, schon kann Christian den ganzen Rechner durchforsten.
Dann beginnt er, sich in die Computer von Plattenbossen und Künstlern zu schleichen. Er schaut, ob die Promis oder ihre Manager eine Seite in einem sozialen Netzwerk wie Myspace haben, schreibt sie an; im Anhang angeblich ein Bild oder ein Song, in Wahrheit ein Trojaner. Später schickt er auch Phishing Mails, die so aussehen, als kämen sie von Yahoo oder Apple. Da heißt es dann, es gebe offenbar ein Problem mit einem Hackerangriff, und um sicherzugehen, solle man umgehend sein Passwort noch mal eingeben. Das dann natürlich gleich an Christian geht.
Immer auf der Suche nach neuen, unveröffentlichten Songs
Von einem Rechner hüpft er zum nächsten, bricht in den Computer von Mark Pitts ein, Musikmanager bei Sony, flöht die E-Mail-Adressen durch, die Pitts auf seinem Rechner hat, meldet sich dann als angeblicher Mark Pitts bei anderen Managern, Künstlern, im Anhang seine Trojaner. Frisst sich von einem zum nächsten, immer auf der Suche nach neuen, unveröffentlichten Songs, möglichst schwarze Musik, Rhythm and Blues.
Christian ist nicht allein. Es gibt ein Internetforum, das sich Black n Beatz Vibez (BnVZ) nennt und wo etwa 20 Jungs ihre gehackten Songs hineinstellen. Wer nichts zu bieten hat, darf auch nicht mitmachen, das ist die Regel, und Christian ist einer von denen, die entscheiden, wer genug zu bieten hat. Für die Polizei ist „Cee“, wie er sich im Netz nennt, vermutlich der Kopf der BnVZ-Hackercrew, einer von vielleicht vier oder fünf Gruppen, die es in Deutschland gibt.
Ein paar Jungs hätten ihn gefragt, ob sie mitmachen dürften, ein paar Leute habe er auch selbst in die Crew geholt, sagt er heute. „Natürlich weiß ich, dass ich Kacke gebaut habe und dafür auch bestraft werden muss“, das sehe er jetzt ein. Auf 200, 300 fremde Rechner habe er zugreifen können, die Polizei glaubt: eher auf 500 bis 1000. Von einem dieser Rechner – er gehört der Plattenfirma Universal – besorgt er sich dann auch noch ein paar Schreiben; sie enthalten die „beabsichtigten wichtigsten Projekte der Musikindustrie 2010“, wie die Ermittler später notieren. Für die Opfer, die Plattenfirmen, eine Katastrophe.
„Ich bin musiksüchtig. Weiß ich selbst“
Natürlich geht es Christian auch um den Spaß an der Musik, sonst hätte er genauso gut Buchverlage hacken können; Bücher interessieren ihn nicht. Aber die Suche nach Musik ist immer auch eine Sucht, eine Sammelsucht. Sicher habe er Angst gehabt, dass er erwischt werde, sagt er, aber die Angst habe er weggewischt, für den Kick. „Ich bin musiksüchtig. Weiß ich selbst.“
Warum sonst sollte einer auch 80.000 Songs auf seiner Festplatte speichern, davon einige tausend in dem Verzeichnis „Unveröffentlicht“ – um sie alle zu hören oder um sie alle zu haben? Erst später kommt zur Sucht noch der Versuch, Geld mit den Songs zu machen. „Ich hatte ja sonst nichts“, sagt Christian. Ein paar Lieder verkauft er noch allein, für einen schnellen Fünfziger. Dann lernt er über die Plattform rmx4u.com, den Marktplatz der ganzen Szene, einen anderen Hacker kennen. Einen Berufsschüler, der damit protzt, wie leicht man viel Geld verdienen kann: Deniz A. – DJ Stolen.
Im Internet steht ein Foto von Deniz, es zeigt ihn mit seiner Mutter, darunter steht „Ich und meine Momie, mum I luve youuuuuu.“ Deniz, der noch bei seinen Eltern wohnt, in einem der besseren Viertel von Duisburg. Deniz, der Junge mit den braunen Rehaugen. Für die amerikanische Musikindustrie aber ist Deniz kein Muttersöhnchen, er ist der Feind. Einer der gefährlichsten weltweit.
Sie jagten ihn schon im Januar 2010. Damals hatte DJ Stolen gechattet, ohne zu wissen, dass auf der anderen Seite ein Undercover-Agent des FBI saß. Der Junge gab eine Internetkontaktadresse an, das Bundeskriminalamt, Abteilung SO 43, SO für „Schwere und Organisierte Kriminalität“, besorgte den Amerikanern den Klarnamen dazu. Der Anschluss war auf die Mutter von Deniz zugelassen.
Im April 2010, drei Monate vor der Razzia bei ihm, stellten die Anwälte der Kanzlei Rasch Strafanzeige. Deniz A., das sei jener DJ Stolen, der ständig gehackte Lieder ins Internet stelle, es folgte eine Liste: 27 Songs, darunter „No Way“ von Lady Gaga, „Masquerade“ von den Backstreet Boys, „Pulse“ von Leona Lewis, „Rockband“ von Usher, Stücke von R. Kelly, Snoop Dogg, Enrique Iglesias. Alle neu, alle schon im Netz, bevor sie die Plattenfirmen veröffentlichten. Auch Deniz habe den Zugang von Sony-Manager Pitts geknackt. Als indirekten Beweis zitieren die Juristen einen Satz, den sie bei rmx4u.com aufgestöbert hatten und der offenbar von Deniz stammte: Einen Song habe er „nich in pit mail“ gefunden, sondern woanders.
DJ Stolen plünderte nicht nur das Postfach, er benutzte auch die E-Mail-Maske von Pitts, um andere Sony-Mitarbeiter zu täuschen. „Der Eindringling, der unsere Musik stiehlt, macht uns echte Probleme“, klagte ein Sony-Mann, nachdem er gerade drei Songs auf diese Weise verloren hatte.
Zwischen 50 und 1000 Dollar für einen gehackten Track
Schon im April hatte Deniz den Computer von Jason Clarkson angezapft, Bruder der US-Sängerin Kelly Clarkson. Über dessen Rechner sickerte er in den Laptop des Popstars ein, zog 19 neue Songs von der Festplatte. Lady Gaga wäre ihm lieber gewesen, sagte er später der Polizei; da kam er nicht ran. Aber Kelly Clarkson war dann auch nicht schlecht. Kurz danach eine Mail, sie geht an eine Frau aus dem deutschen Kelly-Clarkson-Fanclub: ob sie das nächste Album kaufen wollte. Das ganze. Die Frau alarmierte das Management des Stars, feilschte dann mit DJ Stolen um den Preis, bekam von ihm für 250 Euro alle Songs – und ließ den gesamten Chat protokollieren.
Doch so schnell konnten die Ermittler gar nicht ermitteln, wie sich nun der Geschäftssinn von Deniz entwickelte. „Der Beschuldigte wird bei seinem Vorgehen immer dreister“, stöhnten die Rasch-Leute, jetzt verkaufte er Songs nicht mehr an gezielt herausgepickte Fans, sondern über einen eigenen Internetshop. Jeder konnte dort Lieder anklicken, in einen Warenkorb legen. Und ein gehackter Track kostete nun auch nicht mehr knapp 15 Euro, sondern zwischen 50 und 1000 Dollar. In nur drei Wochen im Mai gingen 16.874 Dollar auf sein PayPal-Konto ein.
Deniz bot an: Shakira, 150 Dollar, Leona Lewis, 50 Dollar, Britney Spears, 750 Dollar, und: Lady Gaga, den Song „Then You Love Me“, für 1000 Dollar. Denn inzwischen hatte er sein Lady-Gaga-Problem gelöst. Er hatte jetzt einen Lieferanten: Christian aus Wesel, „Cee“, der ihm sechs Lieder der Lady geschickt hatte, zwei von Mariah Carey, drei oder vier von Leona Lewis – angeblich hatte Cee sie selbst von einem anderen Hacker geschenkt bekommen. Das Geld teilten Cee und DJ Stolen auf, ein paar Tausender für jeden.
So wichtig wie das Geld waren auch die „Shouts“, die „Drops“, die persönlichen Grüße der Stars. Nein, er habe noch nie einen Star erpresst, sagt der Junge aus Wesel, auch Deniz behauptet: keine Erpressung, niemals. Aber zumindest bei DJ Stolen geht es für die Kripo auch um Nötigung. Schließlich brüstete er sich mal im Netz, er habe den Sänger Marques Houston „erpresst“ – so wie alle anderen, die „mir ’nen Shout gemacht haben“. Ach, sagt Deniz inzwischen, das sei doch nur Angeberei gewesen, alles gar nicht wahr.
Doch wie soll man das schon verstehen, was er dem US-Pop-Sternchen Ke$ha schrieb? Er hatte auch ihren Computer gekapert, hatte Fotos gefunden, von einer Brustoperation. Und andere Fotos, die in Amerika eine Karriere ruinieren können.
Genug Stoff, um sie vor der ganzen Welt zu blamieren
„Hey, hier ist DJ Stolen aus Deutschland, ich wollte nur sagen, dass ich dich wie verrückt liebe“, meldet er sich bei ihr, und übrigens: Ob er einen Shout bekommen könne? Ke$ha versteht offenbar schnell, wie gefährlich das ist: Dieser DJ Stolen hatte ihre geheime Mail-Adresse herausgefunden; vielleicht hatte er jetzt sogar Zugriff auf alles, was in ihrem Postfach lag. Also antwortet sie: Na klar, sie würde liebend gern für ihn einen Shout aufnehmen – wenn er nur nichts mit ihren privaten Fotos anstelle. Sie biedert sich an: „Wir sollten Freunde sein.“ Sie bietet ihm an: „Ich werde dir jeden gewünschten Drop schicken. Was soll ich denn sprechen?“ Und Deniz A. hätte gern: „Yo, du weißt schon, dies ist Ke$ha, und ich liebe meinen Jungen … DJ Stolen.“ Dafür verspricht er, ihre Fotos für sich zu behalten. Aber für den Fall, dass sie versuchen sollte, ihn zu finden: Er habe genug Stoff, um sie vor der ganzen Welt zu blamieren.
Heute sagt Deniz dazu, dass er Ke$ha doch nur davon abhalten wollte, ihn suchen zu lassen. Mit dem Shout habe die Drohung nichts zu tun gehabt. Auch Lady Gaga habe ihm freiwillig etwas geliefert. Doch obwohl Ke$ha ihm ihren Shout schickte, veröffentlichte Deniz eines der Fotos, ergänzt um ein paar Pfeile und Beschriftungen, die keine Zweifel offenließen. Ein anderer Hacker rächte daraufhin Ke$ha, stellte den Personalausweis von Deniz ins Netz, den er offenbar auf dessen Rechner gefunden hatte. Gleich danach griff die Kriminalpolizei zu, um Deniz keine Chance mehr zu lassen, seinen Computer sauberzumachen.
Christian lebte jahrelang im Netz, jetzt hat ihm die Polizei sein Leben genommen. Er begreift langsam, dass es besser so war, aber noch spürt er sie, die Sucht nach dem Kick. Seine beiden Verteidiger, die Essener Anwälte Christian Nohr und Rudolf Esders, haben ihm inzwischen klargemacht, dass auf jeden einzelnen Hackerangriff bis zu drei Jahre Haft stehen, für jeden von vielleicht 500 oder 1000 – von den drohenden Millionenklagen der Plattenfirmen ganz zu schweigen.
Möglicherweise noch in diesem Monat wird die Staatsanwaltschaft die Anklage vorlegen. „Ich will nicht in den Knast“, sagt Christian. Aber wenn er mit Bewährung davonkommen will, muss er endlich das andere Leben finden, raus aus dem Dunkel seines Kellers, aus den Dunkelräumen des Internets, er braucht dafür Zeit, vielleicht auch eine Therapie.
Für 1000 Dollar acht Songs aus dem neuen Michael-Jackson-Album
„Es wird ein langer Weg aus der Sucht, dafür muss er nun eine Lebensperspektive haben“, sagt Anwalt Nohr. Christian will seinen Realschulabschluss nachmachen, er ist deshalb vor zwei Wochen schon zur Volkshochschule gegangen, um sich zu erkundigen. Das ist nicht viel, aber mehr, als man ihm noch vor ein paar Monaten zugetraut hätte. Andererseits: Manchmal trauert er noch seinem alten Leben nach, fragt sich, warum sie bei ihm durchsucht haben und bei so vielen anderen nicht. Warum es für ihn vorbei ist, die anderen weitermachen können. Mit einem neuen Server, aber denselben Leute, denselben Trojanern, denselben Trophäen. Im November bot ein Junge aus Hamburg für 1000 Dollar acht Songs aus dem neuen Michael-Jackson-Album an, versprach beste Tonqualität.
Deniz hat sich inzwischen mit großer Geste entschuldigt. „Mir tut die Sache unglaublich leid“, sagte er der „Bild“-Zeitung, er schickte einen Brief an Lady Gaga, um sie um Verzeihung zu bitten, auch an Ke$ha will er noch schreiben. Er möchte nun, sagt Deniz, ein ganz neues Leben beginnen, sich mit der Geschäftsidee selbständig machen, Stars vor Hackern zu schützen.
Vorher aber hat ihn vielleicht doch noch mal sein altes Leben eingeholt. Am 17. November um 11.38 Uhr, vier Monate nach der Razzia bei Deniz, schickte Peter Thea von Sony eine Mail an Mark Pitts. „Mark, hier ist der Song von Chris Brown, sag mir, was du davon hältst.“
Auch diese Mail hatte einen Mitleser. Seine Adresse: usher_mb@live.de. Es ist eine der vielen Adressen, unter denen Deniz im Netz unterwegs war.
Und das ist noch nicht alles: Es gibt ein Chat-Protokoll, vermutlich vom selben Tag, und dazu einen Screenshot von der Mail der beiden Sony-Manager. Einer der beiden Chatter nennt sich „Deniz RnB“. Deniz RnB schreibt: „Ich bin drin, er hat vorhin angebissen“.
Burkhard Benecken, der Anwalt von Deniz, sagt, sein Mandant habe damit absolut nichts zu tun.
Jürgen Dahlkamp – 24.01.2011
Der Spiegel