NAP-Leaks, der Diebstahl von Daten des bulgarischen Finanzamts, wird zum Cyberterrorismus erklärt

"Stoppen wir Geschev, die neue Keule". Bild: F. Stier

Bulgariens Generalstaatsanwalt in spe erklärt Opposition zum Drahtzieher des Daten-GAUs

Billigflieger bringen immer mehr ausländische Reisende in Bulgariens Hauptstadt Sofia. Auch des Bulgarischen nicht mächtige Touristen hörten am vergangenen Montagabend ein Wort über den zentralen Boulevard Vitoscha hallen, das sie verstanden: "Mafia, Mafia, Mafia!" skandierten rund zweitausend Demonstranten vor dem Gerichtspalast. Sie protestierten gegen die ihrer Ansicht nach von den Herrschenden oktroyierte Wahl des stellvertretenden Generalstaatsanwalts Ivan Geschev zum künftigen Generalstaatsanwalt. Er repräsentiert in ihren Augen ebenso wie der amtierende Generalstaatsanwalt Sotir Tsatsarov den von der Oligarchie gekaperten Rechtsstaat in Bulgarien. Rechtskräftige Verurteilungen korrupter Politiker sind in dem Balkanland Defizit, dafür stehen Polizei und Staatsanwaltschaft im Ruch, oppositionelle Kreise willkürlich zu kriminalisieren.

Das aktuelle NAP-Leaks, der größte Diebstahl von Daten des bulgarischen Finanzamts in der Geschichte Bulgariens, fügt sich ein in dieses Szenario. Staatsanwalt Geschev deutet ihn als einen "Schlag gegen den Staat", verantwortet von Vertretern der Zivilgesellschaft und "Medien der Protestierenden". Als Indiz für seine These nennt er eine "übertriebene Exponierung" des Hackerangriffs" in einem "bestimmten Kreis von Medien". Diese seien verbunden mit dem Verleger des regierungskritischen Wirtschaftsblatts Kapital, Ivo Prokopiev, und Ex-Justizminister Hristo Ivanov, der heute das oppositionelle traditionell-konservative Parteienbündnis Demokratisches Bulgarien (DB) anführt.

Am 15. Juli 2019 erhielten verschiedene Medien eine Email von einem vermeintlich russischen Hacker zugesandt. Sie enthielt einen Link zu einem 11 GB großen Datenmassiv aus den Beständen der Nationalen Agentur für Einkünfte (NAP), dem bulgarischen Finanzamt. Seitdem sind Namen, persönliche Identifikationsnummern, Bankkonten und andere vertrauliche Daten von vier Millionen lebenden und einer Million toten bulgarischen und ausländischen Personen sowie Unternehmen publik. Für die Bulgaren birgt das gigantische Datenleck erhebliche Risiken; viele von ihnen befürchten nun, Betrüger könnten in ihren Namen Kredite aufnehmen oder Geschäfte abschließen.

Schnell wird ein 20-Jähriger als Einzeltäter beschuldigt

Keine achtundvierzig Stunden benötigten Polizei und Staatsanwaltschaft, um den Hackerangriff "aufzuklären" und der Öffentlichkeit den zwanzigjährigen Kristian Boikov als Tatverdächtigen zu präsentieren. Boikov, Angestellter der Firma für Cybersecurity TAD Group, habe das Computervergehen als Einzeltäter begangen, hieß es zunächst.

Bereits während seiner Schulzeit hat Kristian Boikov im Jahr 2017 als White Hat-Hacker das bulgarische Bildungsministerium auf den unzureichenden Schutz seiner Daten aufmerksam gemacht. Damals schenkten ihm die Ministerialbeamten erst Beachtung, als die satirische Fernsehsendung Gospodari na Efira (Herren des Äthers) darüber berichtete. Schließlich bat das Ministerium Boikov um seine Mithilfe zur Behebung der Schwachstellen seiner Onlinepräsenz. Seit zwei Jahren führt Boikov für die bulgarische Niederlassung der in den USA registrierten TAD Group Tests von IT-Systemen durch.

"Ich war es nicht, der den Hackerangriff auf die Finanzamt-Server ausgeführt hat", bestreitet Boikov die ihm zu Last gelegte Tat. Nach seiner Entlassung aus zweiundsiebzigstündigem Gewahrsam gegen Kaution erklärte er dem Fernsehsender bTV, er und die ihn beschäftigende TAD Group würden zu Unrecht angeschwärzt. Die Polizeibeamten hätten ihn mit "leichten Drohungen" unter Duck gesetzt, um ihn zu einem Geständnis zu bewegen.

Nicht nur seine Anwälte, auch manche IT-Experten halten Boikov für unschuldig. "Es wird sich wahrscheinlich herausstellen, dass nicht er es war", kommentierte Svetlin Zhelev vom Technologieportal Kaldata.com. Der IT-Spezialist Svetlin Nakov hält die Beweislage gegen Boikov für konstruiert. "Die Datei, die als Beweis gegen Kristian Boikov vorgebracht wurde, ist falsifiziert. Hacker benutzen Linux, vor allem die guten Hacker, daran besteht kein Zweifel. Die angegebene Datei wurde mit Windows erstellt, aber nicht von dem, der die NAP-Basisdaten exportiert hat", schrieb Nakov auf Facebook.

Auch Boikovs Anwalt Ljuben Kasanliev richtet Vorwürfe gegen die Staatsanwaltschaft: "Ich denke, die Situation entwickelt sich ausgesprochen verhängnisvoll. Es ist absurd, dass ein vierzeiliger Schuldvorwurf mit Haftbefehl formuliert wird, die Presseerklärung der Staatsanwaltschaft dann aus vier Seiten besteht. Ihr haben wir entnommen, welche angeblichen Beweise bestehen, das ist unerhört", sagt er. Vor Gericht werde sich zu erweisen haben, welche angeblichen Beweise auf Boikovs Computer entdeckt worden seien und ob diese nicht etwa nach seiner Beschlagnahme auf ihn eingespielt wurden.

Bulgariens Ministerpräisdent Boiko Borissov machte dem jungen Computerspezialist Boikov ein zweischneidges Lob. "Wir haben einzigartige Köpfe und es ist sehr wichtig, eine Möglichkeit zu finden, dass wir sie für unsere Dienste nutzen, damit sie uns nicht mehr solche Schäden zufügen und angeklagt werden müssen. Wir sollten sie gewinnen, dass sie für den Staat arbeiten, das sind solche Zauberer", sagte der Regierungschef.

Jetzt ermittelt die Staatsanwaltschaft wegen "organisiertem Cyberterrorismus"

Kurz darauf indes verwarf Staatsanwalt Geschev seine ursprünglich vertretene Einzeltäterthese und erkannte auf "organisierten Cyberterrorismus zur Verbreitung von Empörung und Furcht in der bulgarischen Bevölkerung". Die Vorgesetzten der TAD Group hätten Boikov dazu auch aus politischen Interessen angestiftet. "Wir sind zunächst von der Tat eines Einzelnen ausgegangen, nun haben wir Grund zur Annahme, dass die Attacke gegen die NAP eine gezielte Tat gegen den Staat war und sich die Geschäftstätigkeit der Firma mit großer Wahrscheinlichkeit als Verbrechen herausstellen kann."

Als TAD Group-Chef Ivan Ivanov am vergangenen Dienstagmorgen von einer längeren Auslandsreise am Flughafen Sofia ankam, wurde er sofort von Polizeibeamten verhaftet und in Gewahrsam gebracht.

Laut Geschev haben die IT-Spezialisten der Polizeibehörden in Boikovs Computer Basisdaten der NAP entdeckt. Außerdem hätten sie festgestellt, Boikov habe gezielt auch nach Daten zu Ministerpräsident Boiko Borissov, Generalstaatsanwalt Sotir Tsatsarov und dem umstrittenen Abgeordneten und Medienunternehmer Deljan Peevski gesucht. Diese habe Boikov in einem mit "Suche für Bivol" betitelten Ordner abgespeichert. Mit dieser Aussage stellte Geschev die Verbindung zwischen dem Hackerangriff auf die NAP und der außerparlamentarischen Opposition und regierungskritischen Medien her.

Das Online-Medium Bivol.bg versteht sich als bulgarischer Repräsentant von Wikileaks und bringt die die Regierung immer wieder durch Enthüllungen in Bedrängnis, zuletzt vor wenigen Monaten mit dem sogenannten Apartmentgate (Bulgarisches Monopoly).

Protest vor dem Gerichtspalast. Bild: F. Stier

Denunzierung der Opposition

Die der Regierung nahestehenden Medien des Parlamentariers und Herausgebers Deljan Peevski nahmen Geschevs Vorlage sofort auf. "Hacker in Hinterzimmern" titelte sein Wochenblatt Politika und zeigte die üblichen Verdächtigen: Ex-Ministerpräsident Ivan Kostov, Kapital-Herausgeber Ivo Prokoviev und Ex-Minister Hristo Ivanov: "Prokopiev und Bivol sind aus der NAP-Attacke aufgetaucht. Der Schlag - Teil des erpresserischen Schemas der von Kostov erschaffenen Oligarchie. Er ist als Cyberterrorismus zu bezeichnen und ein politischer Angriff auf die staatlichen Strukturen des Landes. Hinter ihm steht der Kreis Kapitel um den angeklagten Boss Ivo Prokopiev. Er wurde unterstützt vom Arbeitgeber des beschuldigten 20jährigen Hackers Kristian Boikov", kombinierte Politika.

Hristo Ivanov wies die Behauptung, Demokratisches Bulgaria (DB) habe die Attacke gegen die NAP koordiniert, als "völlig haltlos" zurück. "Gesetzlichkeit, die Freiheit der Bürger und die nationale Sicherheit sind uns wesentliche Causae", erklärte er. "Es ist für uns absolut undenkbar, dass wir an solch einer Attacke gegen Institutionen beteiligt sind und die Rechte von Millionen bulgarischer Bürger verletzen." Sollte Ivan Geschev im Oktober 2019 tatsächlich zu Bulgariens Generalstaatsanwalt gewählt werden, ist für die kommenden Jahre eine weitere Verschärfung der Konfrontation zwischen politischer Opposition und staatlichem Repressionsapparat zu erwarten.