Fast zwei Monate lang hielten die Hacker von Lulz Security die Geheimdienste in Atem. Jetzt hat sich die Gruppe aufgelöst. Hier ein Überblick über die LuzSec-Aktionen.

London/New York. Die Hackergruppe Lulz Security hat am Sonnabend ihre Auflösung bekannt gegeben.

Eine Chronologie:

Anfang Mai: LulzSec meldet sich bei Twitter an. Die Gruppe berichtet von ersten Hackerangriffen unter anderem auf Fox.com und veröffentlicht Informationen über Kandidaten der Talentshow „X Factor“.

30. Mai: LulzSec knackt die Website der nichtkommerziellen US-Senderkette PBS und stellt einen gefälschten Bericht ein, in dem behauptet wird, der gestorbene Rapper Tupac Shakur sei tatsächlich noch am Leben. PBS hatte zuvor eine kritische Dokumentation über WikiLeaks-Gründer Julian Assange ausgestrahlt.

2. Juni: Die Gruppe gibt bekannt, dass sie sich beim Filmvertrieb Sony Pictures Entertainment eingehackt hat. Sie veröffentlicht die Benutzernamen, Passwörter, E-Mail-Adressen und Telefonnummern von Tausenden Privatleuten, die dem Unternehmen die Informationen zumeist bei der Teilnahme an Gewinnspielen gegeben hatten. Sony alarmiert das FBI.

3. Juni: Die Hacker haben nach eigener Mitteilung einer Partnerorganisation des FBI namens InfraGard in Atlanta rund 180 Passwörter gestohlen. Mit einem davon will sie fast 1.000 E-Mails einer Internet-Beobachtungsfirma abgegriffen haben, darunter auch einen Bericht über die mögliche Sabotage der libyschen Ölindustrie durch Computerviren.

10. Juni: LulzSec veröffentlicht E-Mail-Adressen und Passwörter von Nutzern einer Porno-Seite.

13. Juni: Die Gruppe bricht in einen Server des US-Senats ein, offenbar ohne größeren Schaden anzurichten. Zudem will sie bei der Videospiele-Firma Bethesda Softworks Informationen über mehr als 200.000 Kunden gestohlen haben.

16. Juni: LulzSec erklärt sich verantwortlich für technische Probleme auf der CIA-Website.

20. Juni: Diesmal will die Gruppe eine andere Niederlassung von InfraGard angegriffen und hunderte Datensätze gewinnen haben. Zudem hat sie nach eigenen Angaben die Website der britischen Sicherheitsbehörde für schwere organisierte Kriminalität (Serious Organized Crime Agency – SOCA) zum Absturz gebracht.

21. Juni: Gemeinsame Ermittlungen von FBI und Sotland Yard führen zur Festnahme eines 19-jährigen Briten unter dem Verdacht der Cyber-Kriminalität. LulzSec zufolge hatte er nur am Rande mit der Gruppe zu tun.

25. Juni: Lulz Security wünscht „bon voyage“: Die Gruppe gibt via Twitter ihre Auflösung bekannt. Zum Abschluss veröffentlicht sie noch ein Sammelsurium von Daten, die offenbar von Spiele-Seiten und Firmenservern stammen.

Lesen Sie auch das Featurte von Raphael Satter und Peter Svensson:

Schluss mit lustig

Berühmt werden, aber nicht bekannt – geht das? Die Spaßguerilla-Hacker von Lulz Security, kurz LulzSec, haben jedenfalls ihr Bestes getan. In den vergangenen zwei Monaten brachen sie in alle möglichen Server ein, knackten Websites, attackierten Sicherheitsbehörden und Unterhaltungsindustrie, stahlen haufenweise persönliche Daten und machten im Internet damit von sich reden. Der jüngste Knalleffekt: Plötzlich und unerwartet verkündete die Gruppe am Samstag via Twitter ihr Ende.

Einen Grund dafür nannte sie nicht. Vielleicht haben die Ermittlungen der Sicherheitsbehörden sie nervös gemacht. Rivalisierende Hacker setzte sich ebenfalls auf ihre Spur und veröffentlichten Informationen, die auf die Identitäten der sechs Mitglieder hindeuten sollen. Eines von ihnen gab noch am Freitagabend der Nachrichtenagentur AP via Skype ein Interview und verlor kein Wort über die bevorstehende Auflösung.

Der anarchische Ansatz der Gruppe verrät sich schon im Namen: Lulz ist eine Verballhornung des Internetjargon-Kürzels LOLs für „laughing out loud“ – „lautes Lachen“, insbesondere aus Schadenfreude. Als Selbstdarstellung beim Kurznachrichtendienst Twitter dient ein Strichmännchen mit Zylinder, Monokel und Weinglas sowie die Beschreibung: „weltweit führend in hochwertiger Unterhaltung auf Ihre Kosten“. Die Opfer der Hackerangriffe dürften das weniger lustig finden.

Anonymous zu bedächtig?

LulzSec hatte sich unter anderem zu Angriffen auf die Websites von Sony, der CIA, des US-Senats, der britischen Kriminalpolizei und einer Pornoseite bekannt. Die aktuelle Kampagne richte sich gegen die üblichen „Unterdrücker“ wie Banken, Regierungen und Sicherheitsbehörden, erklärte der Hacker im Interview: „Nicht alle natürlich, aber die wissen schon, wer sie sind.“ Und er versprach weitere peinliche Enthüllungen. LulzSec sitze auf mindestens fünf Gigabyte Daten von Regierungs- und Sicherheitsbehörden aus aller Welt, die in den kommenden drei Wochen veröffentlicht werden sollten.

Bei manchen Angriffen erbeuteten sie heikle Informationen wie Benutzernamen und Passwörter, fast 38.000 etwa bei Sony Pictures. Bei anderen ging es offenbar allein um Jux und Dollerei: So bombardierte LulzSec kürzlich den Kundendienst eines Herstellers von Kühlschrankmagneten in den USA mit Anrufen. Auf ähnliche Weise legten sie auch Websites mithilfe einer Flut von Anfragen lahm.

Die Angriffe auf Behörden und Firmen erinnern an die der viel größeren und nur lose organisierten Gruppe Anonymous, die unter anderen schon die Musikindustrie, Scientology und diktatorische Regierungen im arabischen Raum ins Visier genommen hat. Ein Anonymous-Mitglied glaubt, dass LulzSec von Leuten aus den eigenen Reihen gegründet wurde, denen es zu lange dauerte, bis ein Konsens erreicht und eine neue Kampagne gestartet wurde. „Sie wollten auf gewagtere, dreistere Hacker-Abenteuer gehen und sich da draußen einen Namen machen“, erklärte der Informant.

50-Tage-Kreuzfahrt auf dem Ozean des Internets

Der LulzSec-Mann bestätigte in dem Interview, dass Mitglieder seiner Gruppe früher an Anonymous-Operationen beteiligt waren, etwa den Angriffen auf Websites der tunesischen Regierung während des Aufstands im Frühjahr. Sie seien zu sechst und arbeiteten acht bis zehn Stunden am Tag, sagte er, wollte aber keine weiteren Einzelheiten preisgeben. „Wir wollen Waterboarding lieber vermeiden“, juxte er. „Deshalb tun wir in absehbarer Zukunft unser Bestes, so anonym wie möglich zu bleiben.“

Dass bei Ermittlungen von FBI und Scotland Yard in Zusammenhang mit LulzSec und Anonymous vorige Woche der 19-jährige Brite Ryan Cleary festgenommen wurde, schien ihn nicht zu beunruhigen. Cleary sei kein Mitglied der Gruppe, betonte er. Er habe zwar eine Art Chatroom betrieben, der aber nicht der offizielle Treffpunkt der Gruppe, sondern nur ein Ort für Fans gewesen sei.

Tags darauf verabschiedete sich LulzSec via Twitter von seinen rund 270.000 Followern und erklärte seine 50-Tage-Kreuzfahrt auf dem Ozean des Internets für beendet. Die Hacker bekannten sich zur „chaotischen Lust an Spaß und Anarchie“. Hinter der lustigen Maske aber steckten Menschen, die an die Freiheit im Netz glaubten, betonten sie und riefen zur Unterstützung der Anti-Security-Bewegung auf.

Die Gruppe habe anscheinend befürchtet, sich irgendwann durch einen Fehler zu verraten, vermutete der Sicherheitsberater und frühere Hacker Kevin Mitnick. Doch hätten sie inzwischen Nachahmer in aller Welt gefunden, so dass ähnliche Angriffe auch ohne LulzSec weitergehen könnten. „Sie können sich zurücklehnen und den Zirkus beobachten und riskieren nicht, gefasst zu werden.“ (dapd)