Daniel Baas, 25-jähriger Amerikaner aus Cincinnati, hatte sich Zugang zu den Computersystemen des Datenbankdienstleisters Acxiom verschafft. Die Firma ist unter Internet-Bürgerrechtlern in den USA dafür bekannt, eine riesige Sammlung an Verbraucherdaten zu besitzen und mit diesen einen schwunghaften Handel zu treiben. Außerdem wertet Acxiom Kundendatenbanken zahlreicher anderer Firmen aus. Durch einen Gefallen, den Baas einem Hacker-Kollegen in einem Chat tat, wurde die Polizei auf ihn aufmerksam. Jetzt drohen ihm mindestens drei Jahre Haft und eine Millionen-Geldstrafe.

Von Oktober 2000 bis Juni 2003 arbeitete Baas als System-Administrator für die Market Intelligence Group, einer Firma zur Datenweiterverarbeitung im Auftrag von Acxiom. Durch seinen Job hatte er freien Zugriff auf einen Acxiom-FTP-Server. Während seiner Arbeit damit stieß er auf eine ungeschützte Datei mit verschlüsselten Passwörtern. Einige dieser Passwörter ließen sich durch ein Dechiffrier-Programm knacken. Eines davon gab Baas Zugriff auf die Accounts von Acxiom-Kunden wie Kreditkarten-Anbieter, Banken, Telefonfirmen und andere Unternehmen, die bei Acxiom ihre Kundendaten aufbewahren. Baas kopierte die Datenbanken und brannte sie auf CD. Insgesamt hat Baas mehrere Millionen Kundendaten kopiert, so Ankläger Robert Behlen gegenüber der britischen Online-Newssite «The Register». «Er hat die Daten nicht missbraucht, er hat sie nur gesammelt».

Acxiom bekam zunächst nichts von den Aktivitäten des Hackers mit. Erst als Baas im April diesen Jahres sich in einem IRC-Chat unter seinem Pseudonym «Epitaph» mit einem Hacker-Kumpel aus Cincinatti, Jesse Tuttle, alias «Hackah Jack», austauschte, flog die Geschichte auf. Laut einer eidesstattlichen Erklärung eines Ermittlers, bat Tuttle Baas um die Daten eines FBI-Agenten. Innerhalb von zwei Minuten hatte Epitaph die Adresse und die Telefonnummer des Agenten übermittelt. Er sei ein sehr netter Kerl, allerdings kenne er ihn kaum, gab Tuttle in einem Telefoninterview mit «The Register» an.

Der Zwei-Minuten-Gefallen wurde Baas einen Monat später zum Verhängnis, als die Polizei wegen anderer Computer-Verbrechen Tuttles Haus durchsuchte und ihn wegen des Hackens staatlicher Websites verhaftete. Bei der Durchsuchung von Tuttles Computer wurde dabei die Log-Datei des IRC-Chats entdeckt. Im Juni gab es daraufhin eine Hausdurchsuchung bei Baas, in der Hoffnung, ihn des Hackens der Datenbank einer Telefonfirma zu überführen. Statt dessen entdeckte man, dass er die Mutter aller Kundendatenbanken bei Acxicom geknackt hatte.

Die Acxion-Kundeninformationen beinhalten die Sozialversicherungsnummer, Geburtsdaten, Geschlecht, Gehalt, Arbeitgeber, Anzahl der Kinder, Ortsansässigkeit in Jahren, Anzahl der im Haushalt lebenden Erwachsenen und Informationen über das Fahrzeug des Halters. Laut eines Acxiom-Sprechers wären, die Daten die Baas kopiert hatte, nicht über Anschrift und Telefonnummer hinausgegangen. Es sei nicht notwendig, die Kunden zu informieren. Außerdem seien einige der Akten verschlüsselt gewesen, so dass Baas sie nicht hätte lesen können.

Während die kopierten Informationen angeblich harmlos waren, schätzt Acxiom den Wert der Daten laut Behlen auf 1,9 Millionen Dollar. Im Rahmen seines Geständnisses übernahm Baas die Verantwortung für 2,4 Millionen Dollar an Acxiom-Arbeitszeit, 1,3 Millionen Dollar für Sicherheits-Checks und bessere Verschlüsselungssoftware sowie 200 000 Dollar Reisekosten. Bei seiner Verurteilung im nächsten Jahr muss Baas mit mindestens 46 Monaten Haftstrafe rechnen.

Für das Web ediert von Julia Niemann