Bundesanwaltschaft muss 400 Phishing-Verfahren einstellen
Die Bundesanwaltschaft feierte die Verhaftung von drei Phishing-Betrügern. Doch jetzt fällt ihr die Justiz in den Rücken: Die Hacker erhalten Zehntausende Franken.
Veröffentlicht am 23. Mai 2019 - 18:42 Uhr
Farid Essebar kann sich die Hände reiben. Die Schweiz muss dem international bekannten Hacker 62'880 Franken Genugtuung zahlen. Der 32-jährige, mehrfach verurteilte Marokkaner mit russischem Pass war zwar kürzlich zu 180 Tagen Haft verurteilt worden. Doch diese Strafe hat er längst abgesessen, weil er lange in Untersuchungshaft sass und den Strafvollzug vorzeitig angetreten hatte. Für jeden Tag zu viel in Haft bekommt er nun eine Genugtuung von 80 Franken.
Das Verfahren hatte im Herbst 2016 eine überraschende Wende genommen, und Essebar musste freigelassen werden. Nach dem jetzt gefällten Urteil zeigt sich: Essebar war mehr als zwei Jahre zu lang inhaftiert gewesen.
Neben Essebar erhalten noch zwei weitere, nun ebenfalls per Strafbefehl verurteilte Hacker hohe Genugtuungen. Der eine bekommt 58'720 Franken, weil er 734 Tage zu lang in Haft war, der andere 11920 Franken für 149 Tage «Überhaft».
Diese Zahlungen sind das letzte Kapitel einer Geschichte, die am 11. März 2014 mit einer Erfolgsmeldung für die Bundesanwaltschaft begonnen hatte, die um die Welt ging: Auf Ersuchen der Schweiz verhafteten die thailändischen Behörden Farid Essebar in Bangkok. In der Hackerszene war er bekannt als Diabl0 und hatte schon 2005, als 18-Jähriger, für Aufsehen gesorgt. Mit einem Kumpan hatte er die Windows-2000- und Windows-XP-Computerviren Zotob und Rbot in Umlauf gesetzt. Essebar wurde damals zu zwei Jahren Haft verurteilt.
Zwei Monate nach Essebar konnte in Thailand ein weiterer Täter dingfest gemacht werden, der dritte Anfang 2016. Ein Erfolg für die Schweiz, auch wenn fünf weitere Vedächtige nie gefasst wurden. Die Hacker hatten sich mit fingierten Bankenwebsites weltweit Zugangsdaten von etwa 180'000 Kreditkarten ergaunert oder die Logins in einschlägigen Foren beschafft. So konnten sie Millionenbeträge abzweigen. Allein für die Schweiz soll die Deliktsumme 3,5 Millionen Franken betragen haben.
Die Auslieferung der drei Hacker an die Schweiz war der Lohn für die langwierigen, sehr aufwendigen Ermittlungen. Mit den Verurteilungen wollte die Schweiz ein wichtiges Zeichen im Kampf gegen weltweit tätige Internetkriminelle setzen.
Der Erfolg war zum Greifen nahe. Die Täter waren geständig, sie traten sogar den vorzeitigen Strafvollzug an. Weil sie sich kooperativ zeigten, wurde ihnen eine milde Strafe von drei Jahren Gefängnis in Aussicht gestellt. Dazu die Zusicherung, dass sie wegen der Datendiebstähle nicht an ein anderes Land ausgeliefert würden.
Der Staatsanwalt des Bundes hatte sich dabei auf die internationale Cyberkonvention gestützt und das Einverständnis der betroffenen Länder eingeholt, dass alle Delikte in der Schweiz vor Gericht kommen sollten. Im Oktober 2016 lehnte das Bundesstrafgericht diesen Deal jedoch ab und wies die Anklage an die Bundesanwaltschaft zurück. Die Schweizer Justiz sei nicht für Delikte in anderen Ländern zuständig, urteilte das Gericht. Eine Verurteilung wegen im Ausland entwendeter Kreditkarten und im Ausland ansässiger betroffener Firmen sei nicht möglich.
Für die Bundesanwaltschaft war das eine bittere Niederlage. Die Folgen sind weitreichend. Aufgrund dieser Rechtsauslegung musste sie an die 400 weitere Phishing-Strafverfahren einstellen. Zudem mussten die drei Hacker umgehend aus der Haft entlassen werden. Farid Essebar konnte nur für den Missbrauch von 53 Kreditkarten verantwortlich gemacht werden. In 144 Transaktionen hatte er Fr. 86'427.28 erbeutet.
Beim zweiten Täter waren es 1099 Transaktionen mit 743 Kreditkarten und ein Deliktsbetrag von rund 676'000 Franken. Der dritte hatte sich Zugang zu 125 Schweizer Kreditkarten beschafft und Transaktionen über knapp 52'000 Franken durchgezogen.
Wo sich die drei Hacker heute befinden, ist den Behörden nicht bekannt.
Wer im Internet surft, sollte sich der Gefahren bewusst sein. Umso mehr, wenn die eigenen Kinder auf Social Media und Co. unterwegs sind. Beobachter-Mitglieder erfahren, wie sie sich vor Spam-Mails schützen und welche präventiven Massnahmen sie ergreifen können, damit sie erst gar nicht von Werbemails belästigt werden.