Anmelden
Arch Linux wehrt sich gegen eine Angriffswelle, die massenweise Paketbeschreibungen im inoffiziellen Arch User Repository mit Malware verseucht hat.
Das Arch User Repository (AUR) sieht sich einer umfangreichen Angriffswelle ausgesetzt. Die Angreifer haben Hunderte verwaiste Paketdefinitionen übernommen, um Malware ergänzt und in neuen Versionen veröffentlicht. Die Arch-Maintainer steuern mit einem Meldeaufruf [1] und einer groß angelegten Lösch-Aktion gegen, um bösartige Updates zu entfernen und von den Angreifern genutzte Accounts zu sperren.
Das AUR von Arch Linux [2] enthält keine Pakete im engeren Sinne, sondern Beschreibungen, sogenannte PKGBUILDs, mit denen Nutzer die Pakete selbst bauen können. Wenn eine Beschreibung offenbar nicht mehr gewartet wird, können Nutzer dies melden und sie wird nach einer Weile als verwaist markiert. Dann können beliebige Nutzer die Paketbeschreibung „adoptieren“ und ihre Wartung übernehmen.
Diesen Mechanismus nutzten die Angreifer aus: Sie übernahmen solche verwaisten Beschreibungen, ergänzten sie um eine Abhängigkeit für den JavaScript-Paketmanager npm und fügten einen Schritt nach der eigentlichen Software-Installation hinzu, der das npm-Paket „atomic-lockfile“ auf das System brachte. Atomic-Lockfile enthielt wiederum einen Prä-Installationsschritt [3], den npm befolgte und dabei die im npm-Paket mitgelieferte Datei „deps“ [4] ausführte. Bei deps handelt es sich einer ersten (KI-gestützten) Analyse [5] zufolge um einen Credential-Stealer, eine Malware, die diverse Arten von Zugangsdaten ausliest und an den Angreifer ausleitet. „deps“ kann sich außerdem im System festsetzen, bei ausreichenden Rechten die eigene Präsenz verschleiern und weitere Software nachladen.
Die Angreifer begeben sich offenbar in ein Katz-und-Maus-Spiel mit den Arch-Maintainern: Inzwischen läuft eine Variante des Angriffs, die statt npm den alternativen JavaScript-Paketmanager Bun einsetzt und damit das malware-verseuchte – aktuell bereits depublizierte – Paket js-digest [6] installiert.
Die Angriffswelle ist ein guter Anlass, darauf hinzuweisen, dass das Arch User Repository keine offizielle Softwarequelle für Arch Linux ist. PKGBUILDs werden vom Arch-Team nicht geprüft. AUR-Nutzer handeln auf eigenes Risiko, wenn sie Software aus dem AUR installieren, und sollten jedes Update selbst prüfen.
Allerdings wird Software aus dem AUR oft mit darauf spezialisierten Programmen installiert, sogenannten AUR-Helpern. Diese Hilfsprogramme automatisieren die mitunter komplizierten Bauschritte (AUR-Software wird oft beim Nutzer aus dem Quellcode kompiliert), sodass Nutzer weder Zeit noch spezielle Kenntnisse zur Installation benötigen. Das ist praktisch, verleitet aber dazu, Updates unbesehen durchzuwinken, weil der AUR-Helper ohnehin alle nötige Arbeit übernimmt oder man die vom Update vorgenommenen Änderungen schlicht nicht versteht.
In der aktuellen Angriffswelle kam hinzu, dass die Änderungen in den PKGBUILDs selbst nur die Inklusion eines JavaScript-Paketmanagers und die Installation einiger JavaScript-Pakete auswiesen. Je nach betroffener Software muss so eine Abhängigkeit nicht verdächtig erscheinen. Nutzer benötigen zumindest rudimentäre Kenntnisse der Softwareentwicklung, um den Paketmanager als deplatziert zu erkennen oder den JavaScript-Paketen nachzuspüren und dort die eigentliche Malware zu entdecken.
Arch-Nutzer, die sich dergleichen nicht zutrauen, sollten idealerweise keine Software aus dem AUR installieren. Grundsätzlich sollten AUR-Nutzer die zugehörige Mailingliste abonnieren [7], um Malware-Warnungen mitzubekommen, worauf auch das Arch-Wiki hinweist [8].
URL dieses Artikels:
https://www.heise.de/-11330029
Links in diesem Artikel:
Copyright © 2026 Heise Medien
(Bild: jackpress/Shutterstock.com)
Nach Kritik an heimlich manipulierten Antworten rudert Anthropic zurück: Die Schranken von Fable 5 werden sichtbar – auf Kosten von mehr Fehlalarmen.
Anthropic reagiert auf die Kritik an den Schutzmechanismen seines neuen KI-Modells Fable 5 [1]. Das Unternehmen will umstrittene, verborgene Sicherheitsmaßnahmen künftig sichtbar machen und entschuldigt sich ausdrücklich für deren bisherige Umsetzung. Konkret geht es um Schutzmechanismen gegen sogenanntes Distillation – also den Versuch, die Ausgaben eines leistungsfähigen Sprachmodells zum Training konkurrierender KI-Systeme zu nutzen.
Die Kontroverse entzündete sich an einem Schutzverhalten von Fable 5, bei dem das Modell verdeckt auf Distillation-Anfragen reagierte. Anthropic sah ursprünglich einen unsichtbaren Mechanismus vor, der solche Versuche zur Modellentwicklung im Hintergrund erkennt und die Antworten gezielt verändert oder verschlechtert. Die Nutzer sollten davon nichts mitbekommen. Forscher und Entwickler kritisierten das als intransparent und warnten, dass solche verdeckten Eingriffe auch Tests und wissenschaftliche Untersuchungen des Modells verfälschen.
In einem Beitrag auf X [2] kündigt Anthropic nun eine Kurskorrektur an. Künftig behandelt das Unternehmen erkannte Distillation-Anfragen sichtbar. Statt Antworten heimlich zu verändern, fällt Fable 5 in solchen Fällen auf das ältere Modell Claude Opus 4.8 [3] zurück – genau wie es bereits bei den Schutzmaßnahmen für Cybersecurity und Biologie der Fall ist. Die Nutzer sollen dabei jedes Mal einen entsprechenden Hinweis sehen.
Für API-Kunden will Anthropic zudem den Grund einer Ablehnung explizit zurückgeben. Ein serverseitiger Fallback für API-Anfragen soll in den kommenden Tagen folgen. Damit lässt sich künftig erkennen, ob eine Antwort von Fable 5 oder vom Fallback-Modell stammt.
Das Unternehmen gibt zu, mit dem ursprünglichen Ansatz falsch gelegen zu haben. Sichtbare Schutzmechanismen lassen sich zwar leichter analysieren und gezielt umgehen, weshalb ihre Absicherung mehr Zeit kostet. Unsichtbare Schutzmaßnahmen lassen sich dagegen enger auf bestimmte Szenarien zuschneiden und verursachen weniger Fehlalarme. Aus diesem Grund habe man sich zunächst für den verdeckten Ansatz entschieden, um Fable 5 schnell und sicher bereitzustellen.
Rückblickend sei das die falsche Entscheidung gewesen, schreibt Anthropic. Die Nutzer sollten nachvollziehen können, welche Schutzmaßnahmen aktiv sind und warum. Dafür entschuldigt sich das Unternehmen ausdrücklich.
Die Umstellung hat allerdings Nebenwirkungen. Um die Systeme trotzdem vor Jailbreaks abzusichern, müssen die zugrunde liegenden Klassifikatoren zunächst konservativer arbeiten. Das führt vorübergehend zu mehr Fehlklassifikationen.
Solche False Positives entstehen, wenn das Modell harmlose Anfragen fälschlich als riskant einstuft. Genau hier setzt ein Großteil der bisherigen Kritik an.
Die Ankündigung folgt nur wenige Tage auf heftige Kritik von Sicherheitsforschern [4] an Fable 5. Mehrere Experten beklagen, dass die Cybersecurity-Schranken des Modells nicht nur brisante Anfragen erfassen, sondern auch alltägliche Aufgaben aus Softwareentwicklung und IT-Sicherheit. Genannt wurden unter anderem Code Reviews, das Schreiben sicheren Codes, Schwachstellenanalysen, Incident Response oder schlicht das Lesen sicherheitsrelevanter Fachartikel.
Fable 5 ist die öffentlich verfügbare Variante von Anthropics neuem Spitzenmodell Mythos 5. Letzteres bringt keine vorgeschalteten Schutzmechanismen für Cybersecurity, Biologie, Chemie und Distillation mit.
In seiner Stellungnahme verspricht Anthropic auch Änderungen an den Cyber- und Bio-Safeguards. Die entsprechenden Klassifikatoren stelle man derzeit so ein, dass sie seltener bei harmlosen Anfragen anschlagen. Nutzer, die eine Fehlklassifikation vermuten, sollen diese melden – über Feedback-Funktionen in Claude Code und Claude.ai sowie über ein Einspruchsformular für API-Anfragen.
Ob die Anpassungen ausreichen, bleibt abzuwarten. An den Schutzmaßnahmen selbst hält Anthropic ausdrücklich fest – diese hatten die Kritiker allerdings auch nicht infrage gestellt.
URL dieses Artikels:
https://www.heise.de/-11330094
Links in diesem Artikel:
Copyright © 2026 Heise Medien
(Bild: Shutterstock / Skorzewiak)
Ubiquiti warnt vor teils kritischen Sicherheitslücken in UniFi OS. Aktualisierte Software steht bereit, um sie zu schließen.
In Ubiquitis UniFi OS und im UID Enterprise Agent klaffen fünf Sicherheitslücken, die Angreifern etwa das Einschmuggeln von Code, das Umgehen von Sicherheitsmaßnahmen oder unbefugten Zugriff auf Informationen ermöglichen. Der Hersteller hat aktualisierte Software veröffentlicht, die die Schwachstellen behebt.
In einer Sicherheitsmitteilung listet Ubiquiti [1] die einzelnen Lücken auf. Drei Sicherheitslücken gelten demnach als kritisch. Angreifer mit Zugang zum Netzwerk und niedrigen Berechtigungen können eine unzureichende Eingabeprüfung in UID Enterprise Agent missbrauchen, um Befehle auf anfälligen Hosts auszuführen (CVE-2026-47367, CVSS 9.9, Risiko „kritisch“). Dieselbe Beschreibung und Auswirkung betrifft UniFi OS auf UniFi-OS-Geräten und -Instanzen (CVE-2026-47370, CVSS 9.9, Risiko „kritisch“). Noch unkonkreter ist eine Schwachstelle vom gleichen Typ in UniFi-OS-Geräten und Instanzen, die Angreifer zur Rechteausweitung nutzen können (CVE-2026-47369, CVSS 9.9, Risiko „kritisch“).
Eine Path-Traversal-Schwachstelle können bösartige Akteure mit Netzwerkzugang ausnutzen, um sich auf diversen UniFi-OS-Geräten und -Instanzen unbefugt Zugang zu Daten zu verschaffen (CVE-2026-47368, CVSS 8.6, Risiko „hoch“). Zudem können Angreifer mit Zugriff auf das Netzwerk in bestimmten, nicht genannten Konfigurationen eine unzureichende Rechteprüfung missbrauchen, um unbefugt Änderungen an anfälligen UniFi-OS-Geräten vorzunehmen (CVE-2026-48610, CVSS 8.1, Risiko „hoch“).
Die Sicherheitslücken behebt Ubiquiti im UID Enterprise Agent 1.61.4 aus. Außerdem korrigieren UniFi OS Server, UDM, UDM-Beast, UDM-Pro, UDM-SE, UDM-Pro-Max, EFG, UDW, UDR, UDR7, UDR-5G, Express 7, UCK, UCKP, UCK-Enterprise, UNVR, UNVR-Pro, UNVR-Instant, ENVR, ENVR-Core, UNVR-G2, UNVR-G2-Pro, UCG-Ultra, UCG-Max, UCG-Industrial und UCG-Fiber 5.1.15 sowie UNAS-2, UNAS-4, UNAS-Pro, UNAS-Pro-4 und UNAS-Pro-8 5.1.16 sowie Express 4.0.15 die sicherheitsrelevanten Fehler.
Erst vor rund zwei Wochen hatte Ubiquiti Sicherheitslücken in UniFi OS [2]zu schließen. Dort kamen drei sogar auf die höchstmögliche Risikoeinstufung CVSS 10.0, mithin „kritisch“.
URL dieses Artikels:
https://www.heise.de/-11329967
Links in diesem Artikel:
Copyright © 2026 Heise Medien
Diebstahl eines Smartphones.
(Bild: Donenko Oleksii / Shutterstock)
Zunehmend werden Handys direkt bei der Benutzung entwendet, damit sie noch im ungesperrten Zustand sind. In London gibt es dagegen nun ein Projekt mit Apple.
Die Londoner Stadtpolizei (Metropolitan Police, kurz Met) versucht, den wachsenden Handy-Diebstahl in der britischen Hauptstadt mit technischen Maßnahmen einzudämmen. Dazu arbeitet sie nun mit Apple zusammen, berichtet der örtliche Sender BBC. Laut Angaben von Polizeichef Mark Rowley teilt man unter anderem Daten mit dem iPhone-Hersteller, um ein „globales Bild“ der Situation zu erhalten. Es ginge darum, zu verhindern, dass gestohlene Geräte gelöscht und dann reaktiviert werden. „Dann bricht deren Wert zusammen und der Anreiz, sie zu stehlen, geht zurück.“
London leidet – wie viele andere Städte auch – seit Jahren unter einer Smartphone-Klau-Epidemie. Zuletzt werden die Diebe immer dreister: Sie versuchen, die Geräte direkt während ihrer Benutzung zu entwenden, damit sie noch entsperrt sind. Dabei werden die Geräte etwa mittels E-Bike oder Elektroroller von Personen entwendet, die an der Straße stehen. Alternativ kommt immer auch noch das Ausspionieren von PIN-Codes [1] vor dem Klau vor, so der BBC-Bericht [2]. Noch im vergangenen Jahr hatte die Met Apple dafür kritisiert [3], nicht mit den Gesetzeshütern beim Aufbau einer Datenbank gestohlener Geräte zusammenzuarbeiten – das ist nun offenbar vom Tisch.
Der Konzern scheint jedenfalls sensibilisiert zu sein: Apple hatte bereits mit iOS 17.3 im Jahr 2024 den sogenannten Stolen Device Mode (erweiterter Diebstahlschutz) [4] eingeführt, der allerdings erst seit diesem Jahr standardmäßig [5] auf allen Geräten mit iOS 26.4 oder höher aktiv ist. Dabei wird es Dieben erschwert, bei Kenntnis der PIN den Apple-Account zu übernehmen. Der Apple-Account ist wiederum der Schlüssel zu zahllosen weiteren Daten wie dem auf dem iPhone enthaltenen Passwortmanager, was unter anderem zu Kontoplünderungen führen konnte – oder dem Einsatz von Apple Pay zum Kauf von Produkten.
Die sogenannten Phone Snatcher, also Personen, die entsperrte Smartphones direkt von Benutzern klauen, nutzen laut Met bestimmte Software, die es ihnen ermöglicht, die Geräte zurückzusetzen. Apple will dieses Problem inzwischen gelöst haben, so Rowley. Zuletzt seien die meisten gestohlenen Geräte in London nicht mehr zurückgesetzt worden. Ein weiteres Problem, das bei Android bereits gelöst ist, bleibt die Tatsache, dass sich die iPhones nicht automatisch sperren, wenn die Diebe nur schnell genug sind.
Laut einem Medienbericht plant Apple hier, Diebstähle künftig zu erkennen [6], unter anderem durch die Bewegungssensoren, Bluetooth oder WLAN-Standort. Eine abrupte Entwendung würde dann dazu führen, dass sich ein Gerät automatisch sperrt. Bei Google nennt sich das Feature Theft Protection Lock [7]. Die Met will sich weiter mit Apple austauschen, um die Diebstahlfälle in London besser zu verstehen und womöglich weitere technische Maßnahmen zu empfehlen. Das Problem: Lassen sich Geräte nicht zurücksetzen, werden sie als Ersatzteilquelle verkauft – denn auch diese haben einen hohen Wert.
URL dieses Artikels:
https://www.heise.de/-11329578
Links in diesem Artikel:
Copyright © 2026 Heise Medien
(Bild: JLStock/Shutterstock.com)
Ivanti warnt aktuell vor kritischen Sicherheitslücken in Sentry. Die CISA warnt vor Angriffen, Ivanti wiegelt jedoch ab.
Heckmeck um Sicherheitslücken mit Höchstwertung des Risikos in Ivantis Sentry: Die CISA und einige IT-Sicherheitsunternehmen warnen vor laufenden Angriffen. Ivanti wiegelt ab, es handele sich nur um Honeypots.
Während die CISA die fragliche Lücke [1] in den „Known-Exploited-Vulnerabilities“-Katalog (KEV) aufgenommen hat, hat Ivanti mit einer Aktualisierung der eigenen Sicherheitsmitteilung [2] reagiert. Konkret geht es um eine Schwachstelle in Sentry, durch die Angreifer aus dem Netz ohne vorherige Anmeldung Befehle ins Betriebssystem schmuggeln und damit beliebigen Code mit root-Rechten ausführen können (CVE-2026-10520 [3], CVSS 10.0, Risiko „kritisch“). Eine zweite Sicherheitslücke ermöglicht die Umgehung der Authentifizierung – bösartige Akteure aus dem Netz können ohne vorherige Anmeldung beliebige Administratorkonten erstellen und damit vollen Admin-Zugang erlangen (CVE-2026-10523 [4], CVSS 9.9, Risiko „kritisch“).
Betroffen ist die VPN-ähnliche Sicherheits-Gateway-Lösung in den Versionen 10.5.1, 10.6.1, 10.7.0 und älteren. Die bereitstehenden Aktualisierungen auf die Versionen 10.5.2, 10.6.2 und 10.7.1 bessern die Schwachstellen aus.
Die IT-Sicherheitsforscher der watchTowr Labs haben einen Proof-of-Concept-Exploit [5] veröffentlicht, der den Missbrauch der beiden Lücken demonstriert. Auch Rapid7 schließt in einer eigenen Analyse [6], dass sie wüssten, dass Angreifer das Produkt wahrscheinlich angreifen werden, da in der Vergangenheit mehrere Sentry-Lücken im CISA-Katalog der missbrauchten Schwachstellen gelandet sind.
Ivanti hat auf die Angriffsmeldungen reagiert. In der Sicherheitsmitteilung steht noch immer, dass Ivanti von keinen Missbrauchsfällen vor der Veröffentlichung der Meldung wüsste. Es gebe keinen öffentlichen Missbrauch der Schwachstelle, weshalb das Unternehmen auch keine Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC) geben könne. Die CISA habe die Lücke in den KEV aufgenommen, da es Berichte über Angriffsversuche auf Honeypots gebe. Zur Einschätzung sei wichtig zu wissen, dass der Missbrauch der Lücke CVE-2026-10520 Zugriff auf den Managementport 8443 benötige. Und Management-Interfaces sollten ohnehin niemals im Internet zugänglich sein, auch wenn Honeypots derartige Fehlkonfigurationen simulieren, um bösartiges Verhalten zu erkennen.
Die Einschätzung dürfte aber bereits überholt sein. Die Shadowserver Foundation teilt auf X [7] mit, dass ihre Scans 19 verwundbare Instanzen entdeckt habe, von denen mindestens zwei bereits mit Backdoors kompromittiert seien. Die IT-Forscher gehen davon aus, dass die anderen Instanzen inzwischen ebenfalls Angreifern zum Opfer gefallen sind.
Admins sollten sich von der Beschwichtigung nicht abhalten lassen, die verfügbaren Updates schnellstmöglich zu installieren.
Am Donnerstag wurden weitere Sicherheitslücken in Ivantis Endpoint Manager Mobile [8] bekannt. Sie gelten als hohes Risiko, Admins sollten auch hier rasch die Aktualisierungen anwenden.
URL dieses Artikels:
https://www.heise.de/-11329730
Links in diesem Artikel:
Copyright © 2026 Heise Medien
Die neue Begrüßung auf der Seite von „AudiA6“
(Bild: Europol)
Strafverfolgungsbehörden haben in Georgien zwei mutmaßliche Betreiber des Kryptomixers „AudiA6“ festgenommen und mehrere Dienste stillgelegt.
Strafverfolgungsbehörden aus Deutschland, der Schweiz und zahlreichen anderen Staaten haben mit „AudiA6“ einen angeblich besonders häufig genutzten Dienst zur Geldwäsche von Kryptowährungen lahmgelegt. Das hat die europäische Polizeibehörde Europol bekannt gegeben und dabei erklärt, dass über den Dienst zwischen 2022 und 2025 mehr als 336 Millionen Euro geflossen sein sollen, um deren Herkunft zu verschleiern. Das Geld stammte demnach unter anderem aus Erpressungen mit Ransomware. Zwei mutmaßlich Verantwortliche mit ukrainischer und russischer Staatsangehörigkeit seien in Georgien festgenommen worden. Zudem hat die US-Staatsanwaltschaft Anklage erhoben [1] und die Auslieferung der Verdächtigen in die USA beantragt.
Sogenannte Kryptomixer wie „AudiA6“ vermischen Kryptowährungen, um so Verbindungen zwischen Sendern und Empfängern zu verschleiern [2]. Dafür verlangen die Verantwortlichen eine Provision. „AudiA6“ wurde laut Europol [3] in Cybercrime-Foren als professionelle Dienstleistung beworben, die sich durch Anonymität und Geschwindigkeit ausgezeichnet haben soll. Die Ermittlungen gegen den Dienst wurden demnach unter anderem von der polnischen Polizei vorangetrieben. Sie hat im September 2025 einen Ukrainer festgenommen, der damit in Verbindung stand. Eine Durchsuchung seiner Elektronikgeräte habe dann Hinweise auf weitere Personen zutage gefördert. Zudem seien Verbindungen zu 15 Ermittlungsverfahren in aller Welt gefunden worden.
Bei der Operation am Mittwoch wurden demnach jetzt nicht nur die zwei mutmaßlichen Administratoren des Diensts festgenommen. Laut Europol wurden drei Grundstücke durchsucht und mehr als 80 Fahrzeuge konfisziert. Kryptogeld im Wert von fast 700.000 Euro seien eingefroren, noch einmal über 86.000 beschlagnahmt worden. Zudem wurden Telegram-Accounts des Netzwerks blockiert und dessen Seiten im Darknet und im Internet sowie das Cybercrime-Forum „Dark2Web“ gesperrt. Ferner wurden zahlreiche Internet-Domains gesperrt und dutzende Server beschlagnahmt. Eine Reihe davon hat die Behörden jetzt öffentlich gemacht, damit Kryptogeldbörsen in Verbindung stehende Accounts identifizieren und sperren können.
URL dieses Artikels:
https://www.heise.de/-11329646
Links in diesem Artikel:
Copyright © 2026 Heise Medien
Eine Rechteausweitungslücke in FreeBSD hat den Codenamen „Bumsrakete[tm]“ erhalten.
(Bild: heise medien)
Auch in FreeBSD haben IT-Forscher eine Sicherheitslücke gefunden, die die Rechteausweitung ermöglicht. Name: „Bumsrakete[tm]“.
In Linux haben kürzliche Rechteausweitungslücken für Furore gesorgt, die insbesondere mit schönen Codenamen wie „CopyFail“ [1], „DirtyFrag“ sogar mit eigenem Logo [2] oder „Fragnesia“ [3] Aufmerksamkeit erregten. IT-Sicherheitsforscher haben diese Schwachstellenklasse nun auch in FreeBSD entdeckt. Und mit einem Augenzwinkern den Codenamen „Bumsrakete[tm]“ dafür vergeben – laut Erklärung eine Rakete, die Bumm macht, Feuerwerk ist gemeint.
Auf einer eigens dafür eingerichteten Webseite mit der Domain bumsrake.de [4] erklären sie Details der Schwachstelle. Dabei schießen sie satirisch ein wenig über das Ziel hinaus und haben den Text in Donald-Trump-Sprachstil verfasst. Im Kern geht es jedoch darum, dass auch in FreeBSD aufgrund der Sicherheitslücke der Page Cache von Dateien im Speicher manipuliert werden kann, wodurch Angreifer etwa eine root-Shell öffnen können. Der Kernel nutzt mehrere Prüfungen, die allerdings aufgrund einiger Einschränkungen schlicht nicht greifen. Ähnlich wie unter Linux ist auch in FreeBSD Kryptografiecode im Kernel Auslöser für die Schwachstelle, die Beschreibung weist auf die AES-GCM-Entschlüsselung im Rahmen von Kernel TLS (KTLS) hin (CVE-2026-45257).
Laut FreeBSD-Sicherheitsmitteilung [5] können lokale Nutzer ohne weiterreichende Rechte im System, die Dateien lesen dürfen, deren Inhalt mit eigenem Content überschreiben, indem sie die Datei über eine Loopback-Verbindung mit aktiviertem KTLS schicken. Das verändert den Page Cache direkt, die Daten werden aufs Laufwerk geschrieben. Durch das Überschreiben von setuid-Binärdateien oder anderen vertrauenswürdigen Dateien gelingt dann die Rechteausweitung. Die komplette Übernahme des Systems ist möglich. Die IT-Forscher stellen auch einen Demo-Exploit bereit – IT-Verantwortliche sollten daher zügig ihre FreeBSD-Systeme absichern.
Durch das Upgrade der FreeBSD-base lässt sich die Lücke im aktuellen Zweig FreeBSD 15.0-RELEASE schließen. Der Aufruf
# pkg upgrade -r FreeBSD-base# shutdown -r +10min "Rebooting for a security update"
erledigt das. Auf Systemen, die nicht mit den base-Systempaketen aufgesetzt wurden, soll
# freebsd-update fetch# freebsd-update install# shutdown -r +10min "Rebooting for a security update"
Abhilfe schaffen. Es stehen zudem Quellcode-Patches bereit, die Admins anwenden können. Die Entdecker der Schwachstelle nennen als temporäre Gegenmaßnahme, bis ein neuer Kernel gebaut werden kann, das Setzen der Einstellung kern.ipc.mb_use_ext_pgs=0 in der Datei „/etc/sysctl.conf“. Das FreeBSD-Team wiederholt diesen Tipp jedoch nicht.
Betroffen sind FreeBSD 15.0, 14.x und 13.x. Die Versionen 12.x enthalten den verwundbaren Code noch nicht. Die Sicherheitsupdates stehen derzeit für FreeBSD 14.3, 14.4, und 15.0 sowie dem Release-Kandidaten von 15.1 zur Verfügung. IT-Verantwortliche sollen gegebenenfalls auf die unterstützten FreeBSD-Versionen migrieren.
Die Aufbereitung der Lücke als „Bumsrakete“ ist ein bissiger Seitenhieb auf die überhand nehmende Aufmerksamkeitsökonomie, wodurch Entdecker von Schwachstellen regelrechten Marketing-Aufwand treiben und den aufgedeckten Schwachstellen prägnante Namen geben oder schöne Logos dazu bauen. Die Vermischung des Ganzen mit Trump-Stil oder der Nutzung der Schriftart Comic Sans untermauert das. Die CVSS-Score-Berechnung zur Einschätzung des Risikos nutzen die Hinterleute auch gleich, um sich darüber lustig zu machen: Auf die mehrfache satte Höchstwertung 10 kommt noch ein Wert +3 hinzu: CVSS 13 von 10! Der auf „bumsrake.de“ angenommene Angriffsvektor [6] ergibt hingegen einen realen CVSS-Wert von 9.3, was dem Risiko „kritisch“ entspricht.
URL dieses Artikels:
https://www.heise.de/-11328722
Links in diesem Artikel:
Copyright © 2026 Heise Medien
Rechner mit Intel-Logo: macOS 26 bleibt die letzte Version.
(Bild: Mamun_Sheikh / Shutterstock)
Mit macOS 27 ist das x86-Zeitalter bei Apple vorbei. Immerhin soll es noch über einen längeren Zeitraum Patches geben. Wie vollständig die sind – unklar.
Apple hat offizielle Angaben dazu gemacht, wie lange das Unternehmen für die letzte Intel-Version von macOS [1] noch Sicherheitsupdates ausliefern wird. Bekanntermaßen endet der offizielle Support für x86-Macs mit macOS 26 [2]. Das neue, im Herbst erscheinende macOS 27 [3] wird die alten Intel-Zöpfe endgültig abschneiden und nur noch auf Macs mit Apple Silicon, also ARM-Basis, laufen. Besitzer von Intel-Macs fragten sich daher, wie lange ihre Systeme vor Lücken abgedichtet bleiben.
Die Antwort findet sich gut versteckt in einem Supportdokument [4] für Personen, die ganze Mac-Flotten betreuen. Im Rahmen eines „WWDC26 App Management Updates“ für das Apple Platform Deployment, das in dieser Woche aktualisiert wurde, heißt es, Apple werde Sicherheitsupdates für Intel-Macs für „drei Jahre“ liefern. Das entspricht ungefähr dem, was der Konzern bislang macht: Es werden stets das jüngste Betriebssystem sowie die beiden Vorgänger mit Security-relevanten Patches versehen. So gibt es aktuell zusammen mit dem jüngsten macOS (Tahoe) auch stets Updates für Sequoia (macOS 15, von 2024) und Sonoma (macOS 14, von 2023). Tahoe, das letzte Intel-System, dürfte nun ähnlich weitergeführt werden. Auch mit neuen Versionen des Safari-Browsers ist zu rechnen, vermutlich ebenfalls mindestens drei Jahre lang.
Was zunächst gut klingt, hat allerdings auch Nachteile. Apple neigt dazu, nur jeweils für die jüngste Version seiner Betriebssysteme [5] auch wirklich alle Sicherheitslücken zu stopfen. Es gibt keine konkrete Ansage, welche Bugs ungefixt bleiben und vor allem warum. Hängt es vom Schweregrad ab? Ist es von den Ressourcen bei Apple abhängig? Angaben dazu macht der Konzern schlicht nicht. Immerhin: Stellt sich heraus, dass schwerwiegende Exploits kursieren, werden auch schon mal (noch) ältere Systeme mit Updates versorgt.
Für Nutzer mit Intel-Macs heißt das: Sie bleiben auf einem alten System. Auch die internen Fehlerbehebungen von macOS 27 erhalten sie nicht. Als Alternative bietet sich wie immer an, auf Linux zu wechseln [6], um ein jeweils aktuelles System zu haben. Doch für viele Nutzer dürfte das eine zu hohe Hürde sein. Ihnen bleibt nur übrig, auf einen Apple-Silicon-Mac zu aktualisieren.
Die letzten aktuellen Intel-Maschinen hatte Apple 2020 auf den Markt gebracht. Für bestimmte Modellvarianten wie den iMac mit 27 Zoll [7] bietet der Hersteller nach wie vor keinen Nachfolger mit ARM-Technik.
URL dieses Artikels:
https://www.heise.de/-11327980
Links in diesem Artikel:
Copyright © 2026 Heise Medien
(Bild: Artur Szczybylo/Shutterstock.com)
Zwei Sicherheitslücken bedrohen Ivanti Endpoint Manager Mobile. Sicherheitspatches schaffen Abhilfe.
Nutzen Angreifer Schwachstellen in der Geräteverwaltungssoftware Ivanti Endpoint Manager Mobile erfolgreich aus, können sie Schadcode ausführen oder sogar Befehle mit Root-Rechten absetzen.
In einer Warnmeldung führen die Entwickler aus [1], dass sie bislang keine Attacken dokumentiert haben. Eine Sicherheitslücke (CVE-2026-6973 „hoch“) betrifft die Konfigurationssteuerung. Dort können entfernte Angreifer, die aber bereits authentifiziert sein müssen, Schadcode auf Systeme schieben und ausführen.
Die Voraussetzungen sind im zweiten Fall identisch (CVE-2026-10727 „hoch“). An dieser Stelle können Angreifer Befehle mit Rootrechten ausführen. Die Entwickler versichern, die Sicherheitsprobleme in den Ausgaben 12.9.0.1, 12.8.0.3 und 12.7.0.2 gelöst zu haben.
Admins sollten die Updates zügig installieren. Cyberkriminelle haben Sicherheitslücken in Ivanti EPMM [2] in jüngster Vergangenheit häufiger angegriffen.
URL dieses Artikels:
https://www.heise.de/-11328488
Links in diesem Artikel:
Copyright © 2026 Heise Medien
(Bild: Anthropic)
Schon das Stichwort „Security Audit“ reicht: Forscher kritisieren Anthropics Fable 5, weil dessen Cybersecurity-Filter auch harmlose Anfragen ausbremsen.
Mehrere bekannte Sicherheitsforscher halten die Cybersecurity-Schranken von Anthropics neuem KI-Modell Fable 5 für zu scharf eingestellt. Sie berichten, dass die Schutzmechanismen nicht nur bei brisanten Anfragen anschlagen, sondern auch bei alltäglicher Arbeit aus Softwareentwicklung und IT-Sicherheit. Die Beispiele reichen vom Code Review über das Schreiben sicheren Codes bis hin zum Lesen eines Blogbeitrags zu einem Sicherheitsthema.
Fable 5 [1] ist die öffentlich verfügbare Variante von Anthropics neuem Spitzenmodell Mythos 5. Anders als Mythos bringt Fable vorgeschaltete Schutzmechanismen für Themen aus Cybersecurity, Biologie, Chemie sowie Distillation mit – Letzteres soll verhindern, dass das Modell zum Training konkurrierender KI-Systeme missbraucht wird. Stuft ein sogenannter Classifier eine Anfrage als heikel ein, beantwortet nicht Fable die Frage, sondern das ältere Modell Claude Opus 4.8. Damit will Anthropic verhindern, dass Angreifer die Fähigkeiten des Modells für Cyberattacken oder andere schädliche Zwecke ausnutzen. Laut Anthropics offizieller Ankündigung [2] sind die Safeguards bewusst konservativ kalibriert und treffen manchmal auch harmlose Anfragen.
Zu den Kritikern zählt Valentina „Chompie“ Palmiotti, Leiterin des Offensive-Research-Teams (XOR) bei IBM X-Force. Auf X schrieb sie [3], Fable lehne jede Anfrage ab, die auch nur am Rande mit Cybersecurity zu tun habe. Selbst harmlose Aufgaben wie das Lesen eines Blogbeitrags treffe es.
Damit beschreibt Palmiotti ein Problem, das die IT-Sicherheit als False Positive kennt: Ein Schutzmechanismus schlägt bei einer harmlosen Aktivität fälschlich Alarm. Genau diese Fehlklassifikationen werfen die Forscher den Schranken von Fable nun in großer Zahl vor.
Ähnlich äußerte sich der Cybersecurity-Experte Matt Suiche gegenüber TechCrunch [4]. Wer Fable um sicheren Code bitte, den behandle das Modell so, als gehe es um Cybersecurity statt um normale Softwareentwicklung. Suiche vermutet, dass die Filter vor allem auf Schlüsselbegriffe reagieren. Seine Kritik trifft einen Bereich, der für viele Entwickler zum Alltag gehört: sichere Authentifizierung, Schutz vor SQL-Injection oder das sichere Speichern von Zugangsdaten.
Auch der italienische Sicherheitsforscher Simone Margaritelli, in der Szene besser als „evilsocket“ bekannt, berichtet von Problemen. Auf X schrieb er [5], schon die Bitte um ein Code Review löse eine Rückstufung von Fable aus. Code Reviews gehören zu den Standardaufgaben professioneller Softwareentwicklung und helfen unter anderem dabei, Fehler und Sicherheitslücken früh zu erkennen.
Die Kritik beschränkt sich nicht auf einzelne Forscher. Der Entwickler Mehul Mohan schrieb auf X [6], Fable sei praktisch unbrauchbar, sobald Begriffe wie „cybersecurity“, „security audit“, „vulnerability“ oder die Bitte „help me make my app secure“ fielen. Diese Beispiele betreffen vor allem defensive Sicherheitsarbeit, also das Absichern eigener Systeme und Anwendungen.
Wie empfindlich die Filter reagieren, zeigen auch dokumentierte Fehlermeldungen. Der X-Nutzer @zeroxjf veröffentlichte einen Screenshot [7], in dem Fable einräumt: „Fable 5's safety measures flagged this message for cybersecurity or biology topics. They may flag safe, normal content as well. Switched to Opus 4.8.“ Anschließend verweigerte auch Opus 4.8 die Antwort und verwies auf ausgelöste Cybersecurity-Schutzmechanismen. Bemerkenswert ist vor allem der Hinweis, dass die Filter auch sichere, normale Inhalte erfassen können.
Ähnliche Beobachtungen kommen aus professionellen Sicherheitstests. Rob T. Lee, Chief AI Officer und Forschungsleiter des SANS Institute [8], berichtet, dass Fable bei seinen ersten Tests auch Aufgaben aus Incident Response, Detection Engineering und digitaler Forensik automatisch zurückgestuft hat. Beim SANS Institute handelt es sich um eine der bekanntesten Ausbildungs- und Forschungsorganisationen für IT-Sicherheit.
Explizit stellen die Forscher die Schutzmechanismen gegen Missbrauch nicht grundsätzlich infrage. Sie kritisieren aber, dass die Schranken so breit greifen, dass sie auch legitime Arbeit erfassen: Sicherheitsanalysen, Code Reviews, sicheren Code, Incident Response oder das Auswerten sicherheitsrelevanter Informationen. Ob es sich um Kinderkrankheiten einer neuen Schutzarchitektur handelt oder um ein grundsätzliches Problem bei der Abgrenzung von legitimer und schädlicher Sicherheitsarbeit, ist offen. Anthropic hat sich zu den Vorwürfen bislang nicht geäußert.
URL dieses Artikels:
https://www.heise.de/-11328448
Links in diesem Artikel:
Copyright © 2026 Heise Medien
(Bild: Tatiana Popova/Shutterstock.com)
In aktuellen Versionen haben die OpenSSL-Entwickler insgesamt 18 Sicherheitslücken geschlossen.
Die freie Software OpenSSL für SSL/TLS-Implementierungen ist verwundbar. Der Großteil der nun geschlossenen Schwachstellen ist mit dem Bedrohungsgrad „niedrig“ eingestuft. Es kann aber auch Schadcode auf Geräte gelangen. Bislang gibt es keine Hinweise auf Attacken. Das kann sich aber jederzeit ändern, sodass Admins mit der Installation der reparierten Ausgaben nicht zu lange zögern sollten.
Im Sicherheitsbereich der OpenSSL-Website listen die Entwickler die Sicherheitslücken auf [1]. Davon ist nur eine Schwachstelle (CVE-2026-45447) mit dem Bedrohungsgrad „hoch“ eingestuft. Sie steckt in der PKCS7_verify()-Funktion.
Daran können Angreifer mit einer präparierten PKCS#7-Signatur ansetzen. Bei deren Verifizierung kommt es zu einem Speicherfehler (use-after-free) und es kann Schadcode auf Systeme gelangen. Die Beschreibung der Lücke liest sich so, als seien Attacken aus der Ferne möglich.
Durch das Ausnutzen der verbleibenden Schwachstellen können Angreifer unter anderem Abstürze auslösen (etwa CVE-2026-34183 „mittel“). Ein Fehler in AuthEnvelopedData vom Cryptographic Message Service sorgt dafür, dass von Angreifern kompromittierte Nachrichten verarbeitet werden.
Außerdem können Angreifer signierte Nachrichten mit dem RSA-Schlüssel eines Opfers entschlüsseln (CVE-2026-42768 „niedrig“). Auch der Tausch eines Root-Zertifikats durch Angreifer ist vorstellbar (CVE-2026-42769 „niedrig“).
Die Enwickler versichern, die Sicherheitslücken in den folgenden Versionen geschlossen zu haben:
URL dieses Artikels:
https://www.heise.de/-11328258
Links in diesem Artikel:
Copyright © 2026 Heise Medien
(Bild: Pavel Ignatov/Shutterstock.com)
Nicht alle Unternehmenskunden von Microsofts Maildienst sind betroffen. Ein Prüfdienst schafft Klarheit und zeigt die möglichen Auswirkungen.
Ein Konfigurationsfehler bei Exchange Online, den Sicherheitsforscher auf den Namen „Ghost-Sender“ getauft haben, erlaubt Spammern und Cyberkriminellen, gefälschte E-Mails an den Schutzmaßnahmen des Anbieters vorbeizuschleusen. Microsofts Sicherheitsabteilung erklärte sich für nicht zuständig – Kunden müssen sich selbst kümmern.
Nutzt ein Unternehmen einen Dienst zur Mailfilterung oder für andere Aufgaben und hat diesen im DNS als MX-Eintrag (Mail eXchange) eingetragen, gehen alle Mails zunächst dorthin. Nach der Bearbeitung durch den externen Dienst leitet dieser die E-Mails an Exchange Online (EXO) weiter, um sie den Empfängern zuzustellen. Dabei ignoriert EXO dann jedoch übliche Maßnahmen gegen Mailspoofing wie SPF und DMARC und kippt auch offensichtlich gefälschte E-Mails bei den Empfängern ab.
Das liegt im Zusammenspiel der Exchange-Online- und der externen Mailserver begründet und ist ein Konfigurationsfehler bei deren Verschaltung. Wie die Entdecker von Infoguard erläutern, gibt es mehrere Methoden der Fehlerbehebung: Man könne einen sogenannten „partner organization connector“ konfigurieren oder per Mailregeln alle E-Mail in Quarantäne verschieben, deren Header X-MS-Exchange-Organization-AuthAs nicht auf Internal gesetzt und zudem die IP-Adresse des einliefernden Mailservers unbekannt ist.
Microsofts Reaktion auf den Fehler – den heise security mit dem kostenlos verfügbaren Testprogramm [1] nachvollziehen konnte – war befremdlich. Das Microsoft Security Response Center (MSRC) – aktuell mal wieder mit Sicherheitsforschern über Kreuz [2] – wies die Infoguard-Forscher nach ihrer Meldung am 21. April 2026 ab: Es handele sich weder um eine sicherheitsrelevante Schwachstelle noch um einen Fall fürs MSRC. Daraufhin kontaktierten die Schweizer den Kundendienst des Redmonder Softwarehauses und erhielten eine Bestätigung: Tags zuvor habe man eine großangelegte Versandaktion gefälschter E-Mails festgestellt, das Problem werde also bereits von Missetätern ausgenutzt.
Dennoch passierte nichts, „Ghost-Sender“ funktioniert bis heute. Dabei tragen E-Mails mit gefälschten Absenderadressen (die in Outlooks Mailoberfläche sogar das passende Profilbild tragen) ein hohes Risiko für Betrügereien aller Art, speziell die als „Business Email Compromise [3]“ bekannte Masche.
Administratoren, die Exchange Online mit vorgelagertem Filterdienst nutzen, sollten ihre Konfiguration daher zügig auf Anfälligkeit prüfen [4] und gegebenenfalls eine der empfohlenen Gegenmaßnahmen ergreifen – in Redmond scheint man derzeit nicht der Ansicht zu sein, wegen „Ghost-Sender“ handeln zu müssen.
URL dieses Artikels:
https://www.heise.de/-11327666
Links in diesem Artikel:
Copyright © 2026 Heise Medien
(Bild: Portrait Image Asia / Shutterstock.com)
Namhafte Banken wie die Sparkassen warnen zwar vor Phishing, nutzen aber selbst Phishing-artige Domains. Es ginge sicher besser.
Wieder einmal findet sich im Posteingang wie fast jeden Tag eine E-Mail, konkret von der Sparkasse, die auf ein Gewinnspiel im Zusammenhang mit Wero [1] als Zahlungsangebot hinweist. Im aktuellen Fall könnten Empfänger unter der Domain „gewinnspiel-sparkasse.de“ mehr herausfinden und teilnehmen. Der Rest der Mail sieht absolut professionell und korrekt aus, die Ansprache erfolgt mit Vornamen, selbst der zuständige Kundenberater wird genannt. Dennoch ruft die Domain Unwohlsein hervor – so sehen die typischen Phishing [2]-Domains auch aus.
Eine erste schnelle Prüfung erfolgt durch Eingabe des Begriffs „whois“ mit der gesuchten Domain in der Suchmaschine. Google schaltet vor reguläre Suchergebnisse eine KI-generierte Antwort. Die liefert einen Absatz, dass das die offizielle Gewinnspiel-Domain der Sparkassen sei. Dahinter ist unscheinbar eine Quell-URL zu finden, die ihrerseits auf „mehr-sparkasse.de“ verweist – was abermals ein Kandidat für typische Phishing-URLs ist.
Weitere Such-Iterationen führen dann dazu, dass die Sparkassen ihre offizielle Gewinnspiel-Seite benennen. Aber die Verwirrung wird schnell größer:
(Bild: Screenshot / heise medien)
Die URL soll auf einmal nicht mehr zur Sparkasse gehören, wie laut Googles KI-Exzerpt offizielle Sparkassen-Seiten offenbar angeben.
Da Suchmaschinen oftmals Malware-Werbung unter den „Sponsored Links“, also als bezahlte Werbung einblenden und auch Inhalte von diesen Seiten für ihre Antworten verwerten, ist der KI-Antwort an der Stelle eher nicht zu vertrauen. Ohnehin sind diese Zusammenfassungen mit einer inakzeptabel hohen Fehlerquote versehen, das dürfte hier ebenfalls der Fall sein.
Die Indizienlage ist dadurch bis hier nicht eindeutig. Weiterhin erwähnenswert: Die Gewinnspiel-Domain wird bei Hetzner gehostet. Dort kann sich jeder eine Webseite mit beliebigen (freien) Domains einrichten. Die Seite liegt nicht bei der Finanz Informatik, dem IT-Dienstleister der Sparkassen, der auch die Domain „sparkasse.de“ in eigenen Rechenzentren betreibt. Das weckt ebenfalls Zweifel, da das eher für Phishing statt für ein reguläres Angebot der Sparkassen spricht.
Die Nutzung derartiger Domains stumpft die Nutzerinnen und Nutzer ab. Die gewöhnen sich daran, dass betrügerische URLs wie „portorueckzahlung-post.de“ echt sein könnten. Seriöse Unternehmen, die oftmals in Phishing-Angriffen imitiert werden, erziehen ihre User also entgegen ihren eigenen Warnhinweisen dazu, blindlings solchen Links zu folgen. Schlimmer noch: Die Banken sind die Ersten, die Rückzahlungen verweigern, sofern Kunden und Kundinnen auf solches Phishing hereinfallen.
Abhilfe wäre eigentlich sehr einfach zu schaffen. Das Internet kennt Subdomains. Also so etwas wie „www“ vor dem Seitennamen. Die lassen sich nicht einfach von Dritten registrieren, wie die potenziellen Phishing-Domains. Vorschlag für seriöse URLs wären im konkreten Fall etwa „gewinnspiel.sparkasse.de“ oder „mehr.sparkasse.de“.
Unsere Anfrage diesbezüglich beim Deutschen Sparkassen- und Giroverband (DSGV) blieb mehr als 24 Stunden, bis zum Meldungszeitpunkt, unbeantwortet. Eine Positionierung reichen wir beim Eintreffen nach.
Auch andere Banken und namhafte Unternehmen arbeiten mit solchen Domains in der Kundenkommunikation. Das verhindert, dass Tipps wie „prüfen Sie die URLs“ sinnvoll umsetzbar sind. Als Beispiel kann auch die Telekom herhalten. Die setzt als Absender-Domain in Marketing-Kommunikation beispielsweise „dialog-telekom.de“ [3] ein. Auch da läuten nach altem Brauch bei eingesessenen IT‘lern die Alarmglocken. Es gibt zahlreiche Beispiele. Die Deutsche Bahn setzt für die Nacherhebung beim Fahrpreis auf die Domain „db-fn.de“.
Wahrscheinlich geht die Nutzung derartiger Domains auf die Auslagerung an Marketing-Unternehmen zurück. Die Unternehmen und Banken müssen jedoch auch, wenn es um Werbung geht, auf ihren seriösen Domains bleiben. Andernfalls wirken die Phishing-Warnungen ein wenig wie Heuchelei. Der Sicherheitshinweis, dass Nutzerinnen und Nutzer bitte die Domains in der Kommunikation prüfen sollen, ist aufgrund des Verhaltens auch der großen Unternehmen jedoch komplett hinfällig und unbrauchbar.
URL dieses Artikels:
https://www.heise.de/-11327434
Links in diesem Artikel:
Copyright © 2026 Heise Medien
(Bild: GitHub)
Mit npm v12 schließt GitHub einen zentralen Angriffsweg: Installationsskripte aus Abhängigkeiten laufen ab Juli 2026 nur noch nach ausdrücklicher Freigabe.
Mit npm v12 schafft GitHub mehrere sicherheitskritische Standardeinstellungen des Node.js-Paketmanagers ab. Die für Juli 2026 angekündigte Hauptversion führt Installationsskripte aus Abhängigkeiten künftig nicht mehr automatisch aus. Auch Git- und Remote-Abhängigkeiten installiert npm nur noch, wenn Entwickler sie ausdrücklich freigeben. Damit will GitHub einen der wichtigsten Angriffswege in der Software-Lieferkette schließen: die automatische Codeausführung während eines npm install.
npm ist der Standard-Paketmanager des Node.js-Ökosystems und gehört zu den meistgenutzten Paketverwaltungen überhaupt. Moderne Anwendungen ziehen oft Hunderte oder Tausende direkte und indirekte Abhängigkeiten nach. Entsprechend groß ist die Angriffsfläche. Seit Jahren warnen Sicherheitsforscher vor Angriffen auf die Lieferkette [1], bei denen Schadcode über übernommene Pakete, gestohlene Maintainer-Konten oder manipulierte Installationsskripte in Entwicklungsumgebungen gelangt. Besonders gefährlich sind Mechanismen, die schon beim Installieren eines Pakets Code ausführen [2] – oft, bevor Entwickler die Anwendung überhaupt gestartet haben.
Genau hier setzt die wichtigste Neuerung von npm v12 an. Künftig führt der Paketmanager Installationsskripte aus Abhängigkeiten standardmäßig nicht mehr aus. Das betrifft die Lifecycle-Skripte preinstall, install und postinstall. Auch native Erweiterungen, die npm bislang automatisch über node-gyp kompiliert, baut der Paketmanager nicht mehr ohne Freigabe. Dasselbe gilt für bestimmte prepare-Skripte aus Git-, Datei- oder verlinkten Abhängigkeiten.
Bislang genügt ein einfaches npm install, um solche Skripte automatisch auszuführen. Viele Pakete nutzen den Mechanismus für legitime Zwecke, etwa um zusätzliche Binärdateien herunterzuladen oder native Komponenten zu kompilieren. Dieselbe Funktion gilt aber seit Jahren als attraktiver Angriffsweg: Über ein manipuliertes Installationsskript lässt sich Schadcode bereits während der Installation ausführen. Der Code kann zum Beispiel Umgebungsvariablen auslesen, Zugangsdaten abgreifen oder weitere Schadsoftware nachladen.
An die Stelle des automatischen Ausführens tritt ein Modell mit Freigabeliste. Entwickler bestimmen künftig selbst, welche Pakete ihre Installationsskripte ausführen dürfen. Diese Freigaben hinterlegt npm im Projekt, sodass Teams sie zusammen mit dem Quellcode versionieren können.
Wer früh umstellen will, kann das bereits tun: Schon npm 11.16.0 warnt vor Skripten, die der Paketmanager künftig blockiert. Mit dem Befehl npm approve-scripts --allow-scripts-pending lässt sich prüfen, welche Abhängigkeiten betroffen wären; mit npm approve-scripts lassen sich die vertrauenswürdigen Pakete anschließend freigeben.
Auch beim Umgang mit Git-Abhängigkeiten zieht npm die Zügel an. Pakete, die direkt aus einem Git-Repository stammen, blockiert der Paketmanager künftig standardmäßig; Entwickler müssen solche Quellen ausdrücklich erlauben. GitHub begründet den Schritt mit einem Angriffsweg, über den sich aus einer Git-Abhängigkeit heraus Code ausführen ließ – selbst dann, wenn Installationsskripte eigentlich unterdrückt waren. Hinzu kommt, dass sich Git-Abhängigkeiten generell schwerer kontrollieren lassen als Pakete aus dem regulären npm-Registry.
Eine ähnliche Hürde gilt künftig für Remote-Abhängigkeiten, also Pakete, die direkt von einer URL stammen, etwa als TAR-Archiv per HTTPS. Auch sie installiert npm nur noch nach ausdrücklicher Freigabe. Solche Abhängigkeiten umgehen die übliche Registry-Infrastruktur und erschweren es, ihre Herkunft nachzuvollziehen. GitHub will so verhindern, dass externe Quellen unbemerkt in die Abhängigkeitskette geraten.
Mehr Sicherheit bedeutet für Entwickler und Unternehmen zunächst mehr Aufwand. Wer bislang auf Installationsskripte, Git-Abhängigkeiten oder externe Paketquellen setzt, muss seine Build- und CI/CD-Prozesse prüfen und die nötigen Komponenten freigeben. GitHub rät, schon jetzt auf npm 11.16.0 oder neuer zu wechseln und die ausgegebenen Warnungen auszuwerten.
Alle Probleme der JavaScript-Lieferkette löst npm v12 allerdings nicht. Schadcode, der direkt im Anwendungscode eines Pakets steckt [3], gelangt weiterhin auf die Systeme. Auch kompromittierte Maintainer-Konten, Typosquatting oder verwundbare Bibliotheken fängt der neue Ansatz nicht ab. Für die Sicherheit von Entwicklungs- und Build-Umgebungen dürfte er dennoch eine der weitreichendsten Änderungen der vergangenen Jahre sein.
Weitere Details nennt GitHub im Changelog-Eintrag zu den anstehenden Breaking Changes für npm v12 [4].
URL dieses Artikels:
https://www.heise.de/-11327518
Links in diesem Artikel:
Copyright © 2026 Heise Medien
(Bild: heise medien)
Angreifer können unter anderem an Schadcode-Schwachstellen in ColdFusion und Dreamwaver ansetzen.
An diesem Patchday gelten zwei „kritische“ Sicherheitslücken mit Höchstwertung in Adobe Campaign Classic als am gefährlichsten. Darüber kann Schadcode auf PCs gelangen und Systeme vollständig kompromittieren. Sicherheitsupdates stehen zum Download bereit. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen.
Wie aus einer Warnmeldung hervorgeht [1], weisen die Campaign-Classic-Schwachstellen (CVE-2026-48303, CVE-2026-47938) den maximalen CVSS Score 10 von 10 auf. Wie Schadcode-Attacken im Detail ablaufen könnten, ist bislang nicht bekannt. Davon sind Linux und Windows bedroht. Die Entwickler versichern, die Sicherheitsprobleme in v7: 7.4.3 build 9396 gelöst zu haben.
ColdFusion 2023 und 2025 sind über sechs von Adobe als „kritisch“ eingestufte Lücken angreifbar. Davon sind einem Beitrag zufolge alle Plattformen betroffen [2]. So können Angreifer etwa Schadcode ausführen (CVE-2026-47928), Sicherheitsmaßnahmen umgehen (CVE-2026-47932) oder sich höhere Nutzerrechte verschaffen (CVE-2026-47929). Hier schaffen ColdFuison 2023 Update 20 und ColdFusion 2025 Update 9 Abhilfe.
Als „kritisch“ gelten dem Softwarehersteller zufolge auch zwei Schwachstellen (CVE-2026-34691, CVE-2026-34693) in Experience Manager Forms für alle Plattformen. Hier kann in Form von Stored- und Reflected-XSS-Attacken Schadcode auf Systeme gelangen.
Mit 56 Stück hat Adobe die meisten Lücken in Experience Manager geschlossen. Hier helfen die Versionen AEM Cloud Service (CS) Release 2026.05, 6.5 LTS Service Pack 2 und 6.5 Service Pack 25.
Weitere Informationen zu bedrohten und reparierten Versionen finden Admins in den offiziellen Warnmeldungen. [3]
URL dieses Artikels:
https://www.heise.de/-11326790
Links in diesem Artikel:
Copyright © 2026 Heise Medien
(Bild: Tatoh/Shutterstock.com)
Frankreichs Digitalstelle DINUM räumt ein Datenleck beim Regierungs-Messenger Tchap ein. Angreifer konnten ein Konto kompromittieren.
Die französische staatliche Digitalstelle DINUM untersucht einen Einbruch in ein Konto des Regierungs-Messengers Tchap. Der oder die Angreifer haben demnach Zugriff auf Chats und Nachrichten sowie Informationen von tausenden Nutzern erlangt.
Das teilt das französische Regierungsportal numerique.gouv.fr [1] mit. Demnach konnten die Angreifer am 7. Juni 2026 ein Nutzerkonto beim verschlüsselten Instant-Messaging-Dienst Tchap kompromittieren. Da der Dienst private Chats und Nachrichten verschlüsselt, können die Angreifer selbst im Fall einer Konto-Kompromittierung lediglich auf unverschlüsselte öffentliche Chats und Nachrichten zugreifen, erklärt die Behörde. Es seien Berichten zufolge 73.467 Nutzerinnen und Nutzer betroffen, was knapp neun Prozent der Nutzerbasis entspreche.
Nach dem Vorfall schaltete sich die ANSSI, Frankreichs nationales Cybersicherheitszentrum und BSI-Pendant, ein und untersuchte den Vorfall. Die Kompromittierung konnte dabei bestätigt und Schutzmaßnahmen ergriffen werden; das Ausmaß des Vorfalls wurde ermittelt. Die IT-Sicherheitsexperten haben das unterwanderte Konto gesperrt. Bei der Untersuchung kam heraus, dass zu den möglicherweise offengelegten Daten Vor- und Nachname, E-Mail-Adresse, Unternehmen und Avatar der Nutzerinnen und Nutzer gehören. Die privaten Chats seien hingegen geschützt.
Die Untersuchungen gingen weiter, erklärt die Behörde. Es sollen noch Ereignisprotokolle ausgewertet werden, um herauszufinden, auf welche Chats und auf welche weiteren Daten die Angreifer Zugriff hatten. Im digitalen Untergrund bieten die Angreifer die angeblich abgegriffenen Daten an. Wie ein Post von Dark Web Intelligence auf X [2] zeigt, geht es angeblich um 73.467 Nutzerkonten, mehr als 640.000 Nachrichten, 876 Chat-Räume und knapp 60.000 Mediendateien mit einem Umfang von 13,5 GByte. Zudem sollen klassifizierte Dokumente enthalten sein. Das hat die Untersuchung bislang jedoch nicht bestätigt.
Frankreichs als sicherer Messenger für die Regierung konzipierter Tchap-Dienst, der auf Matrix basiert, hatte bereits zum Start im Jahr 2019 mit einer Sicherheitslücke zu kämpfen. Einem Hacker gelang es, unbefugt ein Konto in dem Dienst anzulegen [3], obwohl er nicht zur Regierung gehört, was eigentlich durch entsprechende Mail-Domains sichergestellt werden sollte. Die Lücke wurde damals in kürzester Zeit nach der Meldung durch den Entdecker geschlossen.
URL dieses Artikels:
https://www.heise.de/-11326766
Links in diesem Artikel:
Copyright © 2026 Heise Medien
(Bild: heise medien)
Unter anderem eine kritische Kernel-Schwachstelle bedroht Windows 11. Zusätzlich schließt Microsoft Ende Mai bekannt gewordene Zero-Day-Lücken.
Am Patchday im Juni stuft Microsoft zahlreiche Sicherheitslücken in etwa Azure, M365, Exchange Online, Office und Windows als „kritisch“ ein. In vielen Fällen können Angreifer aus der Ferne ohne Authentifizierung Schadcode ausführen und Systeme vollständig kompromittieren.
Unter den nun geschlossenen Schwachstellen finden sich auch die BitLocker-Zero-Day-Lücken YellowKey (CVE-2026-45585 „mittel“) und GreenPlasma (CVE-2026-50507 „mittel“), die ein Sicherheitsforscher mit dem Pseudonym Nightmare Eclipse offengelegt hat [1]. Nutzen Angreifer diese Lücken erfolgreich aus, können sie die BitLocker-Festplattenverschlüsselung umgehen.
Der Forscher hat aber noch mehr Zero Days in petto und legte direkt nach dem Patchday die RoguePlanet getaufte Schwachstelle in seinem Blog offen [2]. Diese Lücke bedrohe Windows 10 und 11 im voll gepatchten Zustand. Ansatzpunkt ist erneut die Schutzsoftware Defender. Nach einer erfolgreichen Attacke sollen Angreifer mit Systemrechten dastehen. Ein Sicherheitsupdate steht noch aus.
Der Sicherheitsforscher verfügt über Proof-of-Concept-Code. Bislang gibt es keine Hinweise darauf, dass Angreifer die Schwachstelle bereits ausnutzen. Der anonyme Sicherheitsforscher hat eigenen Angaben zufolge noch weitere Zero Days in petto, die er eigentlich am 14. Juli veröffentlichen wollte. Weil er mit RoguePlanet zu viel zu tun hatte, verschiebt sich das jetzt aber. Einen konkreten Zeitraum nennt er derzeit nicht.
Offensichtlich war ein Fix für die bereits attackierte RedSun-Lücke [3] (CVE-2026-41091 „hoch“) in der Malware Protection Engine von Defender nicht ausreichend, sodass Microsoft Ende Mai noch einmal eine Aktualisierung nachgelegt hat [4]. In den Standardeinstellungen aktualisiert sich Defender automatisch. Die Korrektur listet Microsoft nun als zum Juni-Patchday gehörend auf.
Drei Schwachstellen in Windows (CVE-2026-49160 „hoch“, CVE-2026-50507 „mittel“, CVE-2026-45586 „hoch“) in HTTP.sys, BitLocker und Collaborative Translation Framework sind öffentlich bekannt und es können Attacken bevorstehen.
Drei „kritische“ Lücken bedrohen den Windows Kernel (CVE-2026-45657 [5]), Windows HTTP.sys (CVE-2026-47291 [6]) und Windows DHCP Client Service (CVE-2026-44815 [7]). An diesen Stellen können Angreifer Schadcode ausführen und Computer vollständig kompromittieren.
Weiterführende Informationen zu den an diesem Patchday geschlossenen Sicherheitslücken finden sich in Microsofts Security Update Guide [8].
URL dieses Artikels:
https://www.heise.de/-11326714
Links in diesem Artikel:
Copyright © 2026 Heise Medien
Anthropic freut sich bei Claude 5 besonders über dessen Bilderfassung.
(Bild: Anthropic)
Claude Mythos 5 gibt es für die NSA und ausgewählte Partner. Die veröffentlichte, eingeschränkte Version heißt Claude Fable 5. Abonnement gibt’s keines.
KI-Anbieter Anthropic strebt an die Börse [1], und für Börsenphantasie braucht es fabelhafte Möglichkeiten. Entsprechend heißt Anthropics neuestes Large Language Model (LLM) Claude Fable 5. Das hat der Anbieter außertourlich nicht am traditionellen Donnerstag, sondern schon am Dienstag veröffentlicht. Es soll „alles übertreffen, was wir jemals allgemein verfügbar gemacht haben”.
Der springende Punkt ist „allgemein verfügbar”, denn bei Fable 5 handelt es sich um eine inhaltlich eingeschränkte Variante des ebenfalls neuen Mythos 5. Dieses LLM wird, wie von Donald Trump als freiwillige Maßnahme angeordnet [2], vorerst nur der NSA und, wohl mit Zustimmung des Weißen Hauses, ausgewählte US-Unternehmen im Rahmen des IT-Sicherheitsprojekts Glasswing zur Verfügung gestellt.
Dahinter steckt die im LLM-Marketing bewährte Ansage, dass das neue Ding so enorm mächtig sei, dass eine Freigabe nicht infrage komme. Diesmal betrifft das nicht nur den Bereich IT-Sicherheit, sondern auch Biologie und Chemie sowie Distillation. Gemeint ist nicht die KI-gestützte Produktion geistiger Getränke, sondern das Extrahieren von Fertigkeiten: Andere LLM werden nicht mit Rohdaten, sondern anhand der Ausgaben bestehender LLM trainiert.
Distillation kann legitim sein, etwa um eine kompaktere Variante eines LLM zu erzeugen, oder ein Angriff. Im Februar hat Anthropic die chinesischen Mitbewerber Deepthink, Minimax und Moonshot beschuldigt [3], Claude durch groß angelegte Distillation attackiert zu haben. Über 24.000 betrügerische Nutzerkonten hätten sie 16 Millionen Distillationsversuche unternommen. Dem will Anthropic Einhalt gebieten.
Unter anderem deswegen überwachen eigene, kleinere LLM („Classifier”) die Nutzereingaben. Das ist nicht grundsätzlich neu, doch reagiert Fable 5 in neuartiger Weise: Hält ein Classifier die Eingaben für verdächtig, verweigert er die Bearbeitung nicht, sondern schaltet auf die ältere Claude-Variante Opus 4.8 um. Das soll dem Nutzer auch angezeigt werden.
Im Netz gibt es bereits Beschwerden über Rückstufungen bei harmlosen Fragen, beispielsweise zur Interpretation eines Blutbildes. Solche false positives geben Anlass zu dem Vorwurf, Anthropic würde das nicht nur als Sicherheitsmaßnahme einsetzen, sondern auch um Serverüberlastung zu kaschieren. Opus 4.8 benötigt weniger Rechenkapazität als Fable 5.
In Zukunft dürfte es mindestens vier parallele Versionen von Claude Mythos geben: Eine vollständige für US-Behörden, eine für ausgewählte IT-Unternehmen mit weniger Einschränkungen für Sicherheitsbelange, eine für ausgewählte Wissenschaftler mit weniger Einschränkungen bei Biologie und Chemie, sowie Fable 5 für die zahlende Allgemeinheit.
Claude Fable 5 ist grundsätzlich nicht in den Claude-Abonnements enthalten. Nur für 14 Tage dürfen Abonnenten (Pro, Max, Team sowie mit nach Kontoanzahl abgerechneten Enterprise-Verträgen) Fable 5 ausprobieren, verbrauchen dabei aber die doppelte Menge ihres Nutzungsrahmens. Ab 23. Juni soll Fable 5 ausschließlich nach jeweiliger Tokenmenge abgerechnet werden.
Die Tokenpreise [4] (jeweils in US-Dollar) sind dann auch doppelt so hoch wie bei Claude Opus 4.8 und entsprechen damit dessen Fast-Variante: 10 Dollar pro Million Inputtoken, 12,50 Dollar je Million Token Cache Writes (5 Minuten), 20 Dollar je Million Token Cache Writes (1 Stunde), 1 Dollar je Million aus dem Cache gelesener Token, und 50 Dollar je Million Outputtoken.
Anthropic hat Claude Mythos 5 und Fable 5 dreizehn ausgewählten Benchmarks unterzogen. Laut der veröffentlichten Tabelle sticht das neue LLM alles bisher dagewesen bei elf Benchmarks aus. Bei den zwei übrigen liegt es geringfügig hinter der Vorschauvariante Claude Mythos Preview [5]. Deren Classifier waren weniger streng.
(Bild: Anthropic)
Besonders stolz ist Anthropic auf die Leistung seines neuen LLMs bei Bilderkennung: „Fable 5 ist der Stand der Technik für Aufgaben, bei denen es auch um Sehen geht. Es kann präzise Zahlen aus detaillierten wissenschaftlichen Schautafeln extrahieren und komplexe bildabhängige Aufgaben ausführen, darunter den Nachbau des Quellcodes einer Web-App aus Screenshots”, heißt es in der Ankündigung [6]. Auch ein Computerspiel habe Fable 5 besser absolviert als frühere Claude-Versionen.
Doch in mindestens einem Bereich hat Opus noch die Nase vorn: Mythos 5 und Fable 5 halluzinieren in manchen Tests mehr. Das und mehr verrät der Beipackzettel („Sytem Card”) [7], der eigentlich ein 319 Seiten dickes Buch ist.
URL dieses Artikels:
https://www.heise.de/-11326637
Links in diesem Artikel:
Copyright © 2026 Heise Medien
(Bild: LongQuattro/Shutterstock.com)
Mit einer neuen Einrichtung will die Bundesregierung ihre Analysefähigkeiten bei KI-Modellen stärken. Minister Wildberger verspricht „Experten auf Weltniveau“.
Die Bundesregierung will Chancen und Risiken moderner KI-Modelle mit Hilfe eines neuen Gremiums besser einschätzen können. Der Nationale Sicherheitsrat beschloss dazu die Einrichtung eines KI-Sicherheitsinstituts, wie die Regierung mitteilte. Es soll die Kapazitäten zur Analyse der Fähigkeiten moderner KI-Modelle inklusive ihrer Risiken bündeln. Das Institut soll sich ferner stärker mit vergleichbaren ausländischen Instituten austauschen und auf einheitliche Standards im Umgang mit KI mit internationalen Partnern hinwirken.
Das neue Institut für Künstliche Intelligenz soll nach Angaben von Bitkom und TÜV-Verband den Arbeitstitel „Deutsches AI Security Institute (DE-AISI)“ tragen. In der Anfangsphase ist es als „virtuelle Institution“ geplant, wobei Strukturen und Kompetenzen der Bundesnetzagentur und des Bundesamts für Sicherheit in der Informationstechnik (BSI) genutzt werden sollen.
In einem zweiten Schritt soll dann ein Standort gefunden werden. Wann das sein wird, steht aber noch nicht genau fest. Ein BSI-Sprecher sagt gegenüber der dpa, mit Blick auf die rasante technologische Entwicklung bei KI sei es den federführenden Ministerien – das sind das Bundesinnenministerium und das Digitalministerium – wichtig, hier zügig voranzukommen.
In den Blick nehmen soll das Institut klassische Fragen der KI-Cybersicherheit wie den Schutz vor Angriffen, aber auch KI-Safety – hier geht es um sichere KI-Produkte, die keine gefährlichen Aktionen auslösen. Zahlreiche Staaten verfügen bereits über solche Institute, in Deutschland nahm bisher das Bundesamt für Sicherheit in der Informationstechnik (BSI) Aufgaben in diesem Bereich wahr. Ein internationales Treffen zu KI-Standards fand etwa im Dezember in der südkoreanischen Hauptstadt Seoul statt, bei dem auch das BSI vertreten war.
Bundesdigitalminister Karsten Wildberger (CDU) kündigte laut dpa am Rande eines EU-Treffens in Luxemburg an, das KI-Institut solle mit „Top-Expertise von Experten auf Weltniveau“ ausgestattet sein. Sie sollen neue Modelle wie etwa Claude Mythos demnach schnell testen, bewerten und die Bundesregierung sowie die Verwaltung dazu beraten. Ein Vorbild sei das britische KI-Sicherheitsinstitut.
Anthropic hatte den Zugriff auf sein Modell Claude Mythos Preview zunächst nur auf einen kleinen Kreis von US-Unternehmen und -Behörden beschränkt. Mythos sei einfach zu gut darin, Sicherheitslücken aufzuspüren, und könne deshalb noch nicht allgemein verfügbar gemacht werden, erklärte das Unternehmen. Inzwischen dürfen auch Institutionen aus Europa darauf zugreifen [1].
Insgesamt sind die Details zur Gestaltung des Instituts noch recht dünn. Wie personelle Ausstattung und Budget aussehen, welche Kompetenzen das Institut gerade in Abgrenzung zum BSI erhalten soll – all das führte die Bundesregierung noch nicht aus. Eine Antwort auf Anfrage der iX-Redaktion dazu steht zur Stunde noch aus.
Trotz der offenen Fragen begrüßten der TÜV-Verband [2] und der Branchenverband Bitkom den Beschluss [3]. „Mit der Gründung eines Sicherheitsinstituts für Künstliche Intelligenz zieht Deutschland mit Staaten wie Großbritannien, den USA oder Frankreich gleich, die bereits eigene Institute aufgebaut haben“, erklärte Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. Damit würde die Voraussetzung geschaffen, KI-Risiken frühzeitig fundiert einzuschätzen.
Der Bitkom empfiehlt, dem Institut ein abgegrenztes Forschungsmandat zu geben. Ebenfalls könne es Lagebilder mit Blick auf die neuen Frontier-Modelle erstellen und so die Risiken für Deutschlands Sicherheit und Souveränität zeigen. Um internationale Spitzenkräfte zu gewinnen, fordert der Verband eine Finanzierung auf dem Niveau des britischen AISI.
URL dieses Artikels:
https://www.heise.de/-11326247
Links in diesem Artikel:
Copyright © 2026 Heise Medien
Die Zwillingsschwestern Madison und Christine wurden über Jahre hinweg von einer unbekannten Person massiv im Internet belästigt. Jetzt wehren sie sich.
Dies ist der zweite Teil von „Nackt im Netz“. Wenn Ihr Teil eins [1] noch nicht gehört habt, fangt am besten da an. Im Englischen Original von Jack Rhysider trägt diese Episode den Namen „Revenge Bytes [2]“.
Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint wöchentlich auf allen gängigen Podcast-Plattformen und kann hier abonniert [3] werden.
Mit dieser Folge endet Staffel 2 der Darknet Diaries auf Deutsch. Aber keine Sorge, die dritte Staffel ist bereits in Planung und startet im Herbst 2026.
JACK: Bisher haben wir gehört, wie die Zwillingsschwestern Madison und Christine über Jahre hinweg von einer unbekannten Person massiv im Internet belästigt wurden. Was mit ein paar Nip-Slip-Fotos auf 4chan begann, eskalierte zu einer jahrelangen Hetzkampagne mit der Veröffentlichung von Privatadressen, Anrufen bei Vorgesetzten und unzähligen anonymen Drohungen. Selbst die Nacktfotos von Christine, die eigentlich nie hätten existieren dürfen, landeten im Netz – ein Verrat durch den eigenen Freund. Gemeinsam mit Christines Mann Dana fingen die beiden an, selbst zu ermitteln und sammelten Hinweise auf Plattformen wie 4chan. Im zweiten Teil verfolgen wir, wie es ihnen gelingt, dem Täter immer näher zu kommen – und welche Hindernisse sie dabei überwinden müssen, vor allem da die Polizei sich weigert zu helfen.
Die beiden Schwestern, Madison und Christine, wurden seit Jahren von einer Person oder einer Gruppe von Leuten belästig. Es wurde immer schlimmer und steigerte sich bis zu dem Punkt, an dem beide psychische Zusammenbrüche erlebten und kaum noch funktionsfähig waren. Diese Belästigung sickerte in jeden Aspekt ihres Lebens, und es hörte nicht auf. Sie hielten fest, was sie konnten, dokumentierten alles, suchten nach Hinweisen, wer dafür verantwortlich sein könnte, kamen aber bei der Aufklärung nicht wirklich weiter. Dennoch verfolgten sie das Geschehen sehr aufmerksam und beobachteten alles.
MADISON: Was er postet – es ist so schwer zu erklären. Wir waren so lange in dieser 4chan-Welt drin, dass es für normale Leute verrückt klingt, die wahrscheinlich – die meisten – ich wüsste das alles nicht, wäre da nicht das hier gewesen. Auf 4chan ist es anonym, aber oft haben sie ihre Gespräche dann auf Kik verlagert. K-I-K ist die Messaging-Plattform. Auch ein anonymes Messaging-System. Und ich erkläre das gerade jemandem, der das beruflich macht, also höre ich jetzt auf.
JACK: Okay, also Kik. Ein paar Dinge dazu, im amerikanischen Original-Podcast existiert ne ganze Folge über Kik. Was ich beim Recherchieren für diese Folge gelernt habe: Kik ist ein Magnet für übles Verhalten. Es ist ne Chat-App wie Discord oder Slack, aber gibt da keinerlei Moderation. Chaträume können also voller illegaler Aktivitäten sein, offen für jeden, der sie finden und teilnehmen will. Warum diese App nicht aus dem Google- oder Apple-Store verbannt wird, ist mir ein Rätsel, aber es ist sehr klar, dass Kik viele Probleme hat und im Grunde eine Geißel der Menschheit ist. Wenn diese Person also Nacktfotos von Christine und Madison auf 4chan postete, hat er manchmal seinen Kik-Benutzernamen mit angegeben. Falls jemand ihn dort als Freund hinzufügen wollte.
CHRISTINE: Wir versuchten also, diese Benutzernamen, die er hinterließ – also die Benutzernamen, die mit dem verbunden waren, was er auf 4chan postete – zu verknüpfen. Wir schauten, was diese Leute posteten. Wir sahen: Hey, schreib mich auf Kik an unter „Kik-Name hier einfügen", fanden die, die mit diesen bestimmten Kik-Namen verbunden waren – es musste alles dieselbe Person sein. Diese bestimmte Person hatte eine sehr seltsame Art zu schreiben: Es waren drei Punkte, alles auseinander geschrieben. Nicht wie typische Auslassungspunkte, sondern Punkt, Leerzeichen, Leerzeichen, Punkt, Leerzeichen, Leerzeichen, Punkt. Einfach sehr seltsam. So reden Leute normalerweise nicht, schon gar nicht im Internet. Wir nutzten all diese kleinen Hinweise, um herauszufinden: Okay, im Großen und Ganzen – zoomen wir mal raus. Woran ist diese Person interessiert? Was postet sie?
JACK: Eine schöne kleine Spur, der man nachgehen kann, oder? Du hast jetzt einen Kik-Benutzernamen. Auf Kik selbst kann man nicht wirklich sehen, was er treibt, aber sie waren ja bereits recht vertraut darin, 4chan zu durchsuchen. Also durchsuchten sie 4chan nach diesem Kik-Benutzernamen, und das öffnete ihnen einen riesigen Schatz an Beiträgen, die er auf 4chan gemacht hatte. Natürlich mussten sie sich durch diesen ganzen Schmutz wühlen, um daraus schlau zu werden, aber sie entdeckten, dass er nicht nur die Zwillinge belästigte. Er postete auch Nacktfotos von anderen Frauen.
CHRISTINE: Wir stellten fest, es waren immer dieselben fünf Frauen und Mädchen – denn einige von ihnen waren zu der Zeit minderjährig.
JACK: Hm, interessant. Wie besessen postete er Nacktfotos derselben fünf Frauen zu posten. Er hatte dabei keine große Auswahl Fotos, die er veröffentlichte. Er ging sehr gezielt vor, konzentrierte sich ausschließlich auf diese fünf Frauen, belästigte jede von ihnen zyklisch, ging sie also nacheinander durch und kehrte dann zur ersten zurück, wodurch er jeder von ihnen das Leben zur Hölle machte. Die Frage nach dem Zusammenhang ist interessant. Sind diese fünf Frauen in irgendeiner Weise miteinander verbunden? Zunächst einmal kannten die Schwestern keines der anderen Opfer, aber es löste eine Nachforschung zu jeder dieser Frauen aus. Es war tatsächlich hilfreich, dass er ihre Telefonnummern und Social-Media-Profile gepostet hatte. Einige waren tatsächlich in Florida in der Nähe von Christine und Madison, andere jedoch in New York. Sie hatten einige Vermutungen, wer all diese Leute kennen könnte, waren sich aber nicht sicher. Es schien jemand zu sein, den sie persönlich kennen sollten, aber bei allen Personen, die sie verdächtigten, schien es einfach unmöglich, dass sie es waren. Dennoch waren die Daten, die sie von diesem Kik-Nutzer erhielten, für ihre Ermittlungen von enormer Bedeutung.
MADISON: Ja, es war einfach ein riesiger Durchbruch. Sobald das passierte und wir die Kik-Benutzernamen sortiert hatten und herausfanden, dass wir Querverweise machen konnten, war ich – oh mein Gott, zurück zum Snapchat von – zu der Zeit war das wahrscheinlich vier oder fünf Jahre her. Es war lange her. Ich ging zurück, und – als ich den Snap machte, das war direkt, nachdem ich die Nachricht „Was für ein wunderschöner Sonnenuntergang" bekommen hatte – es war die letzte Person, die meinen Snap angesehen hatte. Ich dachte gar nicht daran, dass – oh – ich habe so schnell den Screenshot gemacht, in der Sekunde, als er mir schrieb, dass es Sinn ergibt, dass es die letzte Person war, die ihn gesehen hat, weil er drauf ging, ihn sah, mir schrieb „hey, schöner Sonnenuntergang", ich sofort drauf ging und einen Screenshot machte – das alles passierte wahrscheinlich innerhalb einer Minute. Es ergibt also alles plötzlich Sinn: Klar, das ist diese Person. Es muss sie sein.
JACK: Wie war sein Vorname?
MADISON: Christopher.
JACK: Christopher. Sie haben es herausgefunden. Sie haben ihren Angreifer entlarvt. Es musste Christopher sein. Alle Zeichen wiesen jetzt auf ihn, und der gruselige Teil war: Sie alle kannten Christopher. Sie war schon seit Jahren mit ihm auf Snapchat befreundet, deshalb konnte er die Fotos dort sehen.
Woher kennt ihr Christopher?
MADISON: Wir kannten ihn aus dem College. Er war der Verbindungsbruder meines Schwagers Dana am College, das Christine, Dana und ich besuchten.
JACK: Moment, Dana, das ist einer deiner Freunde?
DANA: Ja, das ist richtig.
JACK: Wie war deine Beziehung zu ihm damals in der Verbindung?
DANA: Er war ein enger Freund. Er war im Haus, in dem ich in Connecticut aufgewachsen bin, hat meine Eltern kennengelernt. Wir waren zusammen auf Konzerten. Ich kannte seine Familie. Ich hab den 4. Juli, den Unabhängigkeitstag, mit seinem Vater und seinem Bruder auf Long Island verbracht. Er war jetzt nicht mein bester Freund, aber definitiv enger als die meisten. Also ein guter Freund, den ich schon über ein Jahrzehnt kannte, als das alles passierte. Er war...
CHRISTINE: Er war auf unserer Hochzeit.
DANA: Ja, er war auf unserer Hochzeit, das ist schon krass.
JACK: Was? Also...
MADISON: Mit einem seiner anderen Opfer.
JACK: Wenn ihr also diese Vorgeschichte mit ihm habt und dann sagt: Moment, ist es er? Was war dein Bauchgefühl dabei?
DANA: Ich erinnere mich noch sehr lebhaft an die Nacht, in der wir herausfanden, dass er es war. Diese Nacht wird mir definits den Rest meines Lebens in Erinnerung bleiben. Ich kam von einem Flug nach Hause und bekam einen Anruf von Madison. Sonst bekomme ich nie Anrufe von Madison. Wir telefonieren nicht, wir schreiben. Wenn ich einen Anruf bekomme, dann stimmt irgendwas nicht. Ich nehme damals also das Telefon ab, und Madison sagt: Ich glaube, wir wissen, wer es ist. Ich sag: Wirklich? Sie sagt: Ja, ich bin mir ziemlich sicher. Und ich sag: Na komm, spuck's aus. Lass mich nicht warten. Sie sagt: Yankee. Ich sage: Auf keinen Fall. Erstens ist er einer meiner engen Freunde. Zweitens dachte ich nicht mal, dass er intelligent oder technisch versiert genug war, um überhaupt zu kapieren, wie 4chan funktioniert. Wenn man ihn kennt, dann weiß man – der hätte da eine Weile für gebraucht, das herauszufinden. Er ist jetzt kein Genie, was sowas angeht. Ich sagte also zu Madison, dass nicht sein kann. Ich mein Jack, es waren ja Jahre vergangen, in denen jeder im Raum der Typ hätte sein können, und es wurden Anschuldigungen gegen so ziemlich jeden in unserem Leben geschleudert. Und dann ist es genau dieser Typ, einer deiner besten Freunde?
JACK: Ja, und ich erinnere mich, dass Madison mir Sachen erzählt hat – sie ging einfach durch die Straßen und dachte: Warum guckt mich dieser Typ so an? Ist er der Typ? All diese komischen Gefühle.
DANA: Stimmt. Das kann man sich schwer vorstellen, aber wenn deine Fotos im Internet sind und jeder Mensch in deinem Leben ein Verdächtiger sein könnte, ist dass chon schecklich. Madison hatte mehrmals Vermutungen angestellt, dass einer meiner Freunde sein könnte, und ich sagte dann halt immer: Nein, das kann nicht sein, und das tat ich dann auch in dieser Nacht: Ich sagte, auf keinen Fall. Er ist es nicht. Erstens glaube ich nicht, dass er das in sich hat. Und zweitens dachte, kapiert der das alles doch gar nicht. Aber der Gedanke geisterte dann doch in meinem Kopf herum, und ich konnte in dieser Nacht nicht schlafen. Also kam ich nach Hause und fing an, die Kik-Namen nachzuschlagen. Genauer die Kik-Namen miteinander zu verbinden, von 4chan aus. Also eigentlich nicht mal richtig auf 4chan selbst, da verschwindet sowas innerhalb von zwei Stunden. Aber auf den 4chan-Archivseiten kann man suchen, und so haben wir ihn dann mit all diesen Beiträgen verbinden können – er hatte so fünf oder sechs Kik-Namen, und ich hab einfach nach diesen Kik-Namen gesucht. Da kamen dann all diese Frauen heraus, einschließlich meiner Frau und ihrer Schwester. Eine stach da besonders heraus, das war ein Mädchen, ein junges Mädchen. Sah aus wie dreizehn, vielleicht vierzehn Jahre alt in einer Schuluniform einer Katholikenschule, gepostet vom selben Nutzer, der meine Frau und meine Schwägerin belästigte.
Ich lud also das Foto runter. Es war kein Nacktfoto. Es war einfach nur ein Mädchen. Es war Aber der dazugehörige Text, der war entsetzlich – so etwas wie: Ich will Nacktbilder von diesem Mädchen, oder ich will sie vergewaltigen. Ich lud also das Foto runter, und auf der Schuluniform war ein gesticktes Wappen oder Logo. Es war etwas verpixelt, aber ich vergrößerte es und schärfte es nach und schließlich konnte ich die Worte auf diesem Foto entziffern. Es stellte sich heraus, dass es eine katholische Mädchen-Mittelschule in Daytona war. Ich sagte also: Hm, okay, ich weiß, dass er Familie in Daytona hat. Vielleicht gibt es da einen Zusammenhang. Also ging ich auf Facebook, und innerhalb von zehn Minuten konnte ich den Namen des Mädchens und die Namen ihrer Eltern finden, identifizierte Familienmitglieder, die waren alle auf Facebook befreundet. Das war seine kleine Cousine, und da kam dann alles zusammen. Und ich dachte mir nur, ja, er ist es tatsächlich. Als ich dieses entscheidende Stück Information hatte, ging ich zurück zu den anderen Frauen, die er auf der 4chan-Seite gepostet hatte und verglich sie mit wieder mit seiner Facebook-Freundesliste. Und da wars dann: Gemeinsamer Freund – check, gemeinsamer Freund -check. Wir wussten seit dieser Nacht also ziemlich sicher, wer es war, und ich konnte es einfach nicht glauben.
JACK: Ja, ich stelle mir einen langen Blick aus dem Fenster vor. Wie – warum hatte ich diese Person überhaupt in meinem Leben?
DANA: Ja und Schuldgefühle meinerseits. Wenn die Zwillinge mich nie getroffen hätten, hätten sie diesen Typen auch nie kennengelernt. Weißt du, dieses Gewicht der Schuld, das lässt einen nicht kalt. Ich hab ihn ja ständig zu sozialen Anlässen eingeladen. Er war halt auch ein wenig ein Außenseite. Ich hab ihn häufig auch aus Mitleid eingeladen, er war ja schließlich ein Freund von mir. Ich war aber derjenige, der ihn meiner Frau und meiner Schwägerin vorgestellt hat, und er hat im Gegenzug versucht, ihr Leben zu zerstören. Da hatte ich schon auch große Schuldgefühle.
JACK: Wow, sie haben es geschafft. Sie haben herausgefunden, wer der miese Dreckssack war, und sie standen alle irgendwie unter Schock. Dieser Typ, der auf ihrer Hochzeit war, hat das getan? Was für ein Monster. Man denkt, man kennt jemanden, aber dann passiert das. Aber Christine, als Anwältin, wollte mehr Beweise und ging weiter durch die Kik-Beiträge.
CHRISTINE: Wir fanden diesen Post, der nichts mit den Mädchen oder Frauen zu tun hatte, aber es gab da ein Foto, von dem wir annahmen, dass es sein Haus war. Wir wandten uns tatsächlich an seine damalige Verlobte und fragten: Hey, weißt du – bist du noch mit dieser Person zusammen? Ist das dein Haus, so in der Art. Sie sagte: Ja, das ist mein Haus. Sie hat uns sozusagen bestätigt, dass sie dort mit ihm gewohnt hatte. Wir hatten das also auch als Hinweis.
JACK: Okay, in Ordnung – sie haben diesen Typen jetzt wirklich überführt. Die ganze Belästigung, all die Nacktfotos, der ganze Albtraum – alles ging von dieser einen Person aus. Ja, er konnte andere dazu bringen, sich an der Belästigung zu beteiligen, aber wenn er nicht gewesen wäre, würde niemand sonst diese Frauen belästigen. Das einfach zu wissen, ist eine Erleichterung. Man hat es mit der Dunkelheit und Anonymität des Internets zu tun. Man hat keine Ahnung, wie viele Leute hinter der Belästigung stecken. Aber jetzt ist es klar. Es ist ein Typ, Christopher, und sie wissen alles über ihn. Aber er wusste nicht, dass sie ihm auf der Spur waren, und so setzte er seine Belästigungskampagne fort, rief Vorgesetzte an, schickte Nacktfotos an Freunde und bat andere, mitzumachen.
MADISON: Das Wesen der Online-Cyber-Belästigung ist, dass man nirgendwohin fliehen kann. Wenn man körperlich gemobbt oder belästigt wird, denkt man: Okay, ich kann wenigstens nach Hause rennen und mich in mein Zimmer zurückziehen und im Bett deprimiert sein. Aber man wird ständig belästigt und kann nichts zu Hause vergessen, weil es nonstop weitergeht.
JACK: Du weißt, dass es Frauen gibt, die sich deswegen umgebracht haben.
MADISON: Ja. Eins der anderen Opfer hat tatsächlich auch versucht, sich umzubringen. Eines der Mädchen hatte eine wirklich harte Zeit und versuchte ebenfalls Selbstmord.
JACK: Wow. Das ist furchtbar. Das ist, was ich meine...
MADISON: Ich fühle definitiv – ich kann es definitiv – ich will nicht sagen, oh, ich war definitiv suizidal, aber es gab definitiv Zeiten, in denen ich dachte: Lohnt sich das? Ich weiß nicht. Ich war einfach sehr down. Es war einfach hart. Und meine Zwillingsschwester da reinzuziehen – es gab tatsächlich Tage, an denen ich dachte: Ihr Leben wäre besser ohne mich darin. Ich konnte definitiv sehen, wie leicht man in einer Situation wie dieser so depressiv werden kann.
JACK: Ich habe das Gefühl, es findet jetzt ein Treffen statt, oder? Du, Madison und Christine, ihr wisst jetzt, was los ist und wer es ist. Ihr fragt euch: Wie geht’s jetzt weiter, oder?
DANA: Ja genau. Es war eine ziemlich heikle Situation. Wir hatten ja zuvor schon nur sehr begrenzten Erfolg mit den Strafverfolgungsbehörden, also, dass die sich irgendwie um den Fall kümmern. Bislang hatten die sich da nicht wirklich für interessiert. Aber wir entschieden dann als Gruppe, dass die einzige echte Chance, irgendeine Aufmerksamkeit zu bekommen, letztendlich vor allem durch die Zahl der Opfer gegeben war. Wir wussten, dass es etwa fünf weitere Frauen und Mädchen gab, die zur gleichen Zeit belästigt wurden. Die also auch durch die Hölle gehen mussten. Um eine Strafverfolgung erreichen zu können, mussten wir aber verhindern, dass er die Daten auf seinen Festplatten löschen konnte. Wir wollten auch nicht unbedingt, dass er sofort aufhört und im quasi Nichts verschwindet. Wir mussten also ziemlich vorsichtig sein – im Hintergrund bleiben, aber trotzdem auch die anderen Frauen mit uns zusammenbringen und das alles ohne ihn vorzuwarnen. Das war dann unser nächster Schritt: herauszufinden, wie wir das anstellen konnten.
CHRISTINE: Ja, und um das mit dem Post mit der zu sehenden Veranda zu verbinden: Seine damalige Verlobte – wieder eines der Opfer – manchmal postete er gelegentlich seltsame Dinge wie Nacktbilder von sich selbst, ohne Gesicht, einfach verschiedene Fetische oder Wünsche. In diesem speziellen Fall mit der Hinterveranda – seine damalige Verlobte – das ist ihr gemeinsames Zuhause – ihre Aussage ist in dem Moment ziemlich wichtig: Hey, bestätige, das ist deine Hinterveranda. Wir wollten sie wirklich einbeziehen, aber sie ist seine aktuelle Verlobte. Können wir dieser Person trauen? Man versucht zu denken, wie man in einer Situation reagieren würde, aber ohne die Person auf der anderen Seite zu kennen – wir kennen sie nicht persönlich. Wir kannten keine dieser Frauen. Wir wussten also nicht, wie sie auf irgendetwas davon reagieren würden. Wir waren uns nicht ganz sicher, wann – oder ob – wir sie überhaupt einbeziehen sollten. Letztendlich entschieden wir, dass wir alle zusammenkommen müssen. Einzeln kümmern sie sich nicht, aber wenn wir zusammenkommen können und zeigen, dass dies ein größeres Problem ist als nur eine Person, die belästigt wird, und dass dies ein Problem für die Gesellschaft als Ganzes ist, werden sie uns vielleicht ernst nehmen. Da war es, als wir uns mit ihnen über alle Social-Media-Plattformen oder Kontaktinformationen, die wir finden konnten, in Verbindung setzten und sie zu diesem Zeitpunkt einweihten.
MADISON: Zwei der Mädchen hatten ihn auch früher schon ertappt, und das war, bevor wir mit den sechs Opfern in Kontakt standen. Eines der Mädchen war eine seiner Ex-Freundinnen aus dem College, sie wusste offensichtlich, woher die Fotos kamen. Sie war ziemlich sicher, dass er es war, und sie fühlte sich auch seinem Vater nahe genug – sein Name ist John – sie fühlte sich nahe genug, um sich an ihn zu wenden und ihm zu sagen: Hey, Chris macht wirklich schlimme Sachen. Er postet Bilder von mir. Es gibt Tausende von Beiträgen. Er muss aufhören. Ich werde die Polizei einschalten, aber kannst du mir bitte helfen? Er versprach ihr, dass er mit ihm reden würde, ihn in eine Therapie schicken würde, ihm helfen würde – bitte, erstatte einfach keine Anzeige. Das Gleiche passierte einem anderen Opfer, einer Familienfreundin. Sie grenzte tatsächlich ein, dass er es war, einfach durch die Art, wie er Satzzeichen benutzte. Er benutzte drei Punkte und ein Leerzeichen, und ich dachte: Wow, daran hast du gedacht? Das ist eigentlich richtig gut.
Sie hat es buchstäblich nur dadurch eingegrenzt und es dann auf Facebook Messenger angesprochen. Sie – also Chris und sein Vater und sein Bruder, beide John – überzeugten sie, keine Anzeige zu erstatten, wenn er versprach aufzuhören. Sie sagt: Du musst dir Hilfe holen. Ich bin schon sehr lange eine Familienfreundin. Du bist mir wichtig, ich liebe dich und deine Familie. Ich will, dass du dir Hilfe holst. Zu diesem Zeitpunkt wusste sie nicht, in welchem Ausmaß es andere Leute betraf. Sie dachte, sie sei die Einzige. Sie fühlte sich also schrecklich, als wir alle sie kontaktierten und ihr erzählten, was los war. Aber sie wollte in unserer Gruppe sein und helfen. Wir hatten also tatsächlich all die Geständnisse von ihm, dass er es zugab, und seinen Bruder, der zugab, dass er wusste, dass er das tut, und sich um Hilfe für ihn kümmern würde. Tatsächlich haben sie das nie getan. Er hat noch viele Jahre danach unschuldige Frauen und Kinder belästigt.
JACK: Sie haben also alle Opfer auf einen Stand gebracht, sechs insgesamt, und sie alle hatten die Schnauze voll davon, von diesem Typen belästigt zu werden. Sie waren schockiert, dass Christopher derjenige war, der dahintersteckte, weil sie ihn alle kannten.
DANA: Es gab noch ein paar andere Frauen, mit denen wir nie Kontakt aufgenommen haben, von denen er auch...
CHRISTINE: Ja, ja.
DANA: ...ja, versuchte, Nacktfotos zu bekommen, aber wir hatten zu diesem Zeitpunkt schon genug Material.
JACK: Christine erstellte einen ziemlich überzeugenden Beweisordner, den jede der Frauen mit zu ihren eigenen Polizeidienststellen nehmen und der Polizei übergeben konnte.
CHRISTINE: Ich stellte einen Ordner mit Fakten und Indizienbeweisen zusammen - wir hatten zu diesem Zeitpunkt keine rechtskräftigen Beweise. Das waren alles irgendwie Indizienbeweise zu diesem Zeitpunkt. Als wir die anderen Mädchen einbezogen, hatten wir natürlich Screenshots einiger Geständnisse und so etwas, also ziemlich substantielle Indizienbeweise, aber nichtsdestotrotz Indizien. Keine Vorladungen zu diesem Zeitpunkt oder so etwas. Dana und Madison und ich stellten also dieses kleine „Rache-Pornos für Dummies" zusammen, sozusagen. Aufgrund unserer Erfahrung mit dem Betreten der Sheriff-Dienststelle wussten wir, dass das ein Kampf werden würde – dann lasst uns wenigstens mit dem Gesetz bewaffnet sein. Lasst uns Recht haben. Lasst uns die Gesetze ausgedruckt und vor uns liegen haben. Sie müssen uns doch zuhören, oder? Wir stellten also diesen kleinen Ordner zusammen. Wir hatten Hintergrund, wir hatten jedes einzelne Opfer und einen Ausschnitt seiner Hintergrundgeschichte, wir hatten jedes potenzielle Gesetz, das ich sah, das aus jeder Gerichtsbarkeit potenziell verletzt werden könnte, einschließlich Bundesgerichtsbarkeit.
JACK: Ja, lass uns mal einen Schritt zurückgehen. Ich möchte hier kurz innehalten, denn das finde ich faszinierend – schließlich ist das dein Spezialgebiet. Ich wette, du hast viel Zeit damit verbracht. Kannst du kurz erklären, was er deiner Meinung nach getan hat, das gegen das Gesetz verstößt?
CHRISTINE: Ich bin zu diesem Zeitpunkt eine sehr, sehr junge Anwältin. Wie gesagt, erstes Jahr, oder? Ich glaube also, ich sei der Hammer, weiß aber eigentlich nicht so viel. Aber ich habe Internetrecht und Social-Media-Recht und ähnliches in der Jura-Schule belegt, was mich interessierte, und man hat zumindest dieses Basiswissen, wo man das Gesetz finden kann. Ich war also mit dem Florida-Statut vertraut, weil – wieder – das interessierte mich einfach, und ich dachte, es sei ein Schritt in die richtige Richtung.
JACK: Okay, also: Dieses 2015 in Florida verabschiedete Gesetz besagt, dass das Delikt der sexuellen Cyberbelästigung vorliegt, wenn eine Person ein sexuell eindeutiges Bild einer anderen Person zusammen mit personenbezogenen Daten der abgebildeten Person ohne deren Einwilligung, ohne legitimen Grund und in der Absicht, der abgebildeten Person erhebliches seelisches Leid zuzufügen, auf einer Website veröffentlicht. Bumm. Perfekt. Er hat definitiv dagegen verstoßen. Aber sie hat ihre Hausaufgaben gemacht, sie wollte sich nicht nur auf ein einziges Gesetz stützen. Da er Nacktfotos von minderjährigen Mädchen veröffentlichte, verstieß er auch gegen Gesetze zur Kinderpornografie. Da er die Vorgesetzten und Eltern der Leute anrief und so weiter - warum nicht auch noch Stalking mit reinnehmen? Und, verdammt, es gibt sogar ein Gesetz über schweres Stalking, das eine Straftat darstellt, und wenn er eine Minderjährige stalkte, würde das als schweres Stalking gelten. Aber Christopher lebte im Bundesstaat New York, also spielten all diese Gesetze aus Florida vielleicht gar keine Rolle. Also studierte Christine die Gesetze in New York, um herauszufinden, gegen welche er dort verstoßen hatte. Sie fand Gesetze wie Förderung sexueller Handlungen Minderjähriger, Erpressung, unrechtmäßige Überwachung, Verbreitung von unrechtmäßig aufgenommenem Bildmaterial und Stalking. Okay, das waren also die Landesgesetze, gegen die er ihrer Meinung nach verstoßen hatte, aber gibt es irgendwelche Bundesgesetze, auf die sie verweisen kann?
CHRISTINE: Es gibt kein Bundesgesetz für Rache-Pornos oder sexuelle Cyber-Belästigung oder so etwas, aber es gibt Verbote gegen Cyber-Stalking und Cyber-Belästigung.
JACK: Super. Ja, mach einfach weiter. Also, du legst ihnen dieses ganze Wissen vor. Du legst es ihnen vor und sagst: Hier sind die Indizien, die wir gegen ihn haben. Hier sind die Gesetze, gegen die er unserer Meinung nach verstößt…
DANA: Und hier ist der Typ, hier ist der Kerl, der das macht. Ihr müsst nicht mal rausgehen und herausfinden, wer es ist. Wir haben es schon getan. Bitte tut etwas.
CHRISTINE: Ja.
JACK: Okay, und was haben sie gesagt?
CHRISTINE: Dana war eigentlich auch dort mit mir. Ich marschiere mit meinem kleinen Ordner rein, und nochmal, ich hoffe, dass die meisten Leute nie ein Verbrechen wie dieses melden müssen, aber wenn man hingeht, will man offensichtlich nicht 911 anrufen. Man geht zur Polizeiwache.
JACK: Und du gehst mit deinem besten Anwalts-Outfit hin...
CHRISTINE: Ja. Ich kam wahrscheinlich ehrlich gesagt von der Arbeit, also hatte ich schon meine Anwältinnen-Uniform oder mein Kostüm an, weißt du?
JACK: Okay, also – du rufst nicht 911 an. Du gehst – was machst du?
CHRISTINE: Du gehst auf die – also, theoretisch könntest du die Nicht-Notruf-Linie anrufen, aber du gehst zur Polizeiwache. Es gibt einen Schreibtisch mit einem Polizisten, der entweder hoffentlich neu ist oder etwas wirklich Schlimmes getan hat, um diese Position zu bekommen, weil man einfach nur hinter einem Schreibtisch sitzt. Du gehst hin, und sie sind gelangweilt. Sie sitzen einfach nur da. Du sagst: Ich möchte ein Verbrechen melden und einen Polizeibericht ausfüllen. Dann verhören sie dich, es ist echt ein Verhör. Was ist passiert? Ich sage: Ich habe das Ganze zusammengestellt, sodass Sie es einfach lesen können. Tatsächlich habe ich eine Kopie gemacht. Hier, hier ist eine Kopie. Es wird durchgeblätter– hm, das ist kein Verbrechen. Wie sind Sie an die Fotos gekommen? Un dich frage mich: Ich denke: Wo sind deine Qualifikationen? Können Sie das einfach an einen Detective weitergeben und ihn entscheiden lassen, ob das ein Verbrechen ist oder nicht? Nicht um unhöflich zu sein, aber ich vertraue Ihrem Urteilsvermögen einfach nicht, wenn dein Job es ist, hinter dem Schreibtisch zu sitzen. Bringen Sie zu einem echten Detective, bitte. Letztendlich waren wir über eine Stunde dort und bettelten ihn nur an, mich einen Polizeibericht ausfüllen zu lassen, einfach um – für die Gelegenheit und das Privileg, diesen Polizeibericht auszufüllen.
JACK: Ich stelle mir vor, dass sie einfach nur sagen: Oh, hier ist ein Formular. Fülle es aus, und dann tschüss.
CHRISTINE: Ja.
JACK: Sie unternehmen also nichts. Aber sie haben dir nicht einmal erlaubt, ein Formular auszufüllen?
CHRISTINE: Nein, und das hat mich auch schockiert. Ich denke: Geben Sie mir wenigstens das Formular. Letztendlich verlangte ich also, das Formular zu bekommen. Da war er einfach genug damit fertig, mit mir zu reden, da bin ich mir sicher, und gab mir das Formular zum Ausfüllen.
JACK: Okay, das war also deine Erfahrung. Wie ist es den anderen Frauen ergangen?
CHRISTINE: Sechs von uns gehen in Polizeidienststellen, verstreut über das ganze Land – zwei in New York, eine in Zentralflorida, eine in Daytona, Madison in Melbourne und ich in Manatee County, und zwei von uns kamen mit Polizeiberichten zurück. Zwei.
JACK: Was? Oh Mann, das ist so frustrierend. Polizei? Hallo, Polizei? Was macht ihr da? Wie könnt ihr diese Frauen abweisen, die euch jeden noch so kleinen Beweis vorgelegt haben, um ne Festnahme zu erreichen. Beweise, die ganz klar zeigen: „Da, das ist er, Herr Wachtmeister.“ Das ist ein klarer Fall, und ihr tut nichts. Come on. Ich bin gerade so wütend. Äh, ich muss – ich brauche ne Minute. Ich lege nur kurz meine Kopfhörer ab. Ich gehe kurz weg.
CHRISTINE: Und es schaffte es zu einem Detective, und letztendlich schaute der Detective sich das an und sagte: Ja, wir sind nicht in der Lage, das zu bearbeiten. Ich werde das an die örtliche FBI-Niederlassung schicken. Mein Manatee County Sheriff's Department ist das einzige von den sechs, das tatsächlich das Richtige getan hat und den Fall an die richtige Gerichtsbarkeit weitergeleitet hat. Wenn er nicht gewesen wäre, könnten sie immer noch nur als örtliche Polizeiberichte herumliegen, was wahnsinnig ist, wenn man darüber nachdenkt, oder?
JACK: Ja. Ja, das ist wirklich in vielerlei Hinsicht frustrierend.
CHRISTINE: Ja. Und ein Lob an das FBI, denn die sind großartig, sobald man tatsächlich zu ihnen durchdringen kann.
JACK: Ja. Das FBI denkt sich also: „Wow, hier wurde viel Arbeit geleistet, aber das sind nur Indizien. Wir werden direkte Beweise beschaffen.“ Also fangen sie an, Vorladungen zu verschicken …
CHRISTINE: Also...
JACK: ...oder?
CHRISTINE: Nein. Also, okay, das ist der interessante Teil davon – es ist ein juristisch nerdiger interessanter Teil. Ich bin sicher, ihr alle habt verschiedene Teile, die ihr faszinierender findet als andere.
JACK: Lass uns nerdig werden. Ich find’s gut.
CHRISTINE: Aber das ist es, was am Mangel an polizeilicher Intervention und Strafverfolgungsintervention so frustrierend ist – wenn man in der Strafverfolgung ist, hat man die inhärente Befugnis, wirklich, mit hinreichendem Verdacht Vorladungen herauszuziehen.
JACK: Also, gehen wir mal nen Schritt zurück. Sie haben die Polizei endlich dazu gebracht, diesen Bericht freizugeben, aber die ganze Zeit über haben sie versucht, so viele Beweise wie möglich gegen den Typen zu sammeln. Nun kann die Polizei unter anderem eine Vorladung an 4chan, Kik oder eine dieser Websites schicken und sagen: „Hey, wir wollen die Daten zu diesem Nutzer“, und diese Websites müssen sich an US-Recht halten, wenn sie ihren Sitz in den USA haben. Sie würden der Polizei die Daten des Nutzers ohne Umstände aushändigen. Aber wenn Christine Informationen über einen Nutzer will, würden sie das nicht tun. Sie hat nicht die Vorladungsbefugnis, die die Polizei hat. Allerdings hat sie einen Trick auf Lager, um diese Befugnis zu erlangen.
CHRISTINE: Ich kann eine Klage einreichen, dann ein Beweisverfahren einleiten und anschließend die Befugnis nutzen, verschiedene Personen oder Organisationen vorzuladen und dergleichen. Also mussten Madison und ich letztendlich eine Klage einreichen.
JACK: Das war eine Zivilklage, die sie bereits eingereicht hatten, noch bevor sie wussten, dass es sich um Christopher handelte. Sie waren so frustriert, dass die Polizei ihnen nicht half, und dachten sich: Na gut, dann besorgen wir uns die Vorladungsbefugnis eben selbst. Das würde zwar etwas mehr Zeit und Geld kosten, aber sie mussten etwas gegen den Typen unternehmen. Aber hier liegt das Problem: Sie kannten seinen Namen nicht, als sie die Zivilklage einreichten, also reichten sie sie einfach gegen „John Doe“ ein. Im Grunde wollten sie die Gerichte nutzen, um Vorladungen ausstellen zu können, um ihren Belästiger zu identifizieren. Aber es gibt noch ein weiteres Problem: Sobald die Vorladung eintrifft, wird die Website Christopher wahrscheinlich darüber informieren, dass ein Verfahren gegen ihn läuft, und er wird sehen können, wer es angestrengt hat. Die Schwestern wollten also nicht ihre Namen als Opfer in der Klage angeben, sondern die Klage anonym einreichen, was meiner Meinung nach auch in Ordnung sein sollte, da sie die Opfer sind. Gerichte sollten Opfer in solchen Fällen schützen, oder?
CHRISTINE: Das Gericht lehnte unseren Antrag dazu ab, also mussten wir damals die Entscheidung treffen, ob wir es fallen lassen oder die Klage mit unseren rechtlichen Namen darin neu einreichen wollten, wissend, dass das für immer bei Google sein würde, wenn man unsere Namen googelt. Du kannst reingehen und dir all das lustige Drama des Falls anschauen, weil – das Aktenverzeichnis ist da –, während die anderen Opfer in dem Fall geschützt sind. In dem Strafverfahren wirst du bemerken, dass es die Initialen aller sind, und das schützt die Opfer eines Verbrechens.
JACK: Das ist eine ganz andere Frusttrationsebene: Sie haben dir verweigert, anonym zu bleiben – oder zumindest nur mit Initialen in der Klage aufzutreten –, aber das, ja, das macht dich für alle möglichen anderen Probleme angreifbar.
CHRISTINE: Korrekt. Also...
JACK: Besonders, wenn du das Opfer bist. Oh, Mann.
CHRISTINE: Ja, aber – und nochmal, durch den Zivilprozess wird man fast so behandelt, als ob man eine Goldgräberin ist, die nach Geld sucht oder so etwas. Die gegnerischen Anwälte, der Magistrat, die Richter, alle handeln, als wäre das der lächerlichste Fall, und es war einfach sehr frustrierend, und auch sehr augenöffnend – als junge Anwältin – und einfach von der anderen Seite zu sehen, wie das System wirklich überhaupt nicht eingerichtet ist, dir zu helfen.
JACK: Zu diesem Zeitpunkt war Christopher durchaus bewusst, was vor sich ging. Er wusste, dass sie alle wussten, dass er es war, und dass sie darüber redeten. Ich glaube, sein Vater sagte zu allen: „Okay, beruhigt euch alle mal.“ Ich werde mit Christopher reden und ihn dazu bringen, damit aufzuhören. Es tut mir leid. Aber ein Versprechen nach dem anderen wurde gebrochen. Er hörte nicht auf. Er machte einfach weiter. Er entschuldigte sich sogar und gab es ein paar Mal zu, machte dann aber weiter. Er war irgendwie süchtig danach, die Frauen zu belästigen. Selbst mit Klagen, selbst mit laufenden Strafverfahren hörte er einfach nicht auf. Zum Glück gelang es ihnen, das FBI auf diesen Fall aufmerksam zu machen.
DANA: Ich möchte nochmal betonen, dass die Minderjährige, die Vierzehnjährige, unglaublich wichtig für diesen Fall ist. Das Sheriff's Office von Manatee County hat offensichtlich das Richtige getan, als es den Fall an das FBI weiterleitete. Ich glaube aber nicht, dass irgendjemand sich auch nur im Ansatz darum geschert hätte, wenn nicht eine Minderjährige unter den Opfern gewesen wäre.
MADISON: Ja, das ist ein Teil davon, ganz sicher.
DANA: All diese Frauen haben schreckliche Dinge durchgemacht. Ich meine, seine Ex aus dem College hat sich mehrfach versucht, seinetwegen zu suizidieren. Das ist einfach schrecklich. Er fotografierte seine Verlobte in ihrem privaten Zuhause und postete es dann im Internet, um sich daran aufzugeilen. Das ist echt furchtbar. Und was er meiner Frau und meiner Schwägerin angetan hat, die nichts mit diesem Typen zu tun hatten, das ist einfach schlimm. Aber trotzdem glaube ich, dass das Ganze bedauerlicherweise niemanden interessiert hätte, wäre nicht das minderjährige Mädchen unter dern Opfern. Die Beiträge ja waren abscheulich. Er versuchte im Grunde, jemanden auf 4chan zu engagieren, um sie zu vergewaltigen und das zu filmen und ihm dann zu schicken. Ich glaube, dass das letztendlich die Aufmerksamkeit auf den Fall gelenkt hat.
JACK: Igitt. Was für ein Chaos an jeder Ecke. Also, gott sei Dank schaute sich das FBI das an. Wir haben ein Monster auf freiem Fuß. Schnappt ihn euch.
MADISON: Ja, also mussten sie im Grunde all unsere Vorladungen neu erstellen, die meine Schwester und ich gemacht hatten. Auf der zivilen Seite verschickten wir Vorladungen in unserem Namen, auf der zivilen Seite, so hatten wir all die Informationen, die wir zu den Polizeidienststellen bringen konnten. Wir gaben ihnen offensichtlich diese Informationen, aber aus ermittlungstechnischer Sicht müssen sie sie immer noch neu erstellen. Aber es war eigentlich schon getan, also war es ein guter Anfang für sie. Sie sagen den Opfern nicht viel, also weiß ich nicht, ob sie in ihrer Suche mehr fanden, aber sie haben definitiv unsere Vorladungen an die verschiedenen IPs und IP-Adressen neu erstellt und kamen schließlich dazu, eine Festnahme vorzunehmen.
JACK: Festgenommen. Gott sei Dank. Mehr Schwierigkeiten könnte ich auch nicht verkraften. Tatsächlich war die Festnahme ein Nicht-Ereignis. Es war eher so, dass er selbst zur Polizeiwache ging, um mit ihnen zu reden, sie haben ihn registriert, und dann ist er wieder nach Hause gegangen. Aber zumindest ist der Täter identifiziert und die Gerichtstermine wurden festgelegt. Wenn man diesen Schwestern zuhört, glaube ich nicht, dass er von sich aus hätte aufhören können. Er war einfach zu tief darin verstrickt. Aber das Erstaunliche ist, dass diese beiden Schwestern unerbittlich zurückschlugen. Und da Christine Anwältin war, wusste sie, welche Wege man einschlagen und welche Gesetze man anwenden konnte, um dagegen vorzugehen. Der Durchschnittsbürger weiß einfach nicht, dass man eine Zivilklage nutzen kann, um Gerichte dazu zu bringen, Vorladungen für einen auszustellen, und diese Informationen dann gleichzeitig nutzen kann, um ein Strafverfahren einzuleiten. Die Tatsache, dass sie nicht nur versuchen wollten, einen Fall anzustrengen, sondern dass sechs verschiedene Frauen gleichzeitig Verfahren gegen diesen Mann einleiten konnten - das ist einfach eine brillante Arbeit von ihnen. Wie lautet der Spruch, den sie so gerne sagen?
CHRISTINE: Wir lösen jeden Fall noch vor dem Abendessen. Das Abendessen war zufällig zehn Jahre später, also wären wir verhungert.
DANA: Ja, das hat über zehn Jahre gedauert...
JACK: Zehn Jahre? Wer in aller Welt hat die Energie und den Antrieb, dieselben Frauen zehn ganze Jahre lang zu belästigen? Dieser Typ offenbar, Christopher. Was mit ihm passierte? Also, er wurde verhaftet. Es gab offensichtlich jede Menge Beweise für seine Verbrechen, darunter auch, dass er sich gegenüber seinen Opfern gestanden und versprochen hatte, damit aufzuhören. Als er vor Gericht steht, bleibt ihm also nichts anderes übrig, als sich schuldig zu bekennen, was bedeutet, dass kein Prozess nötig war. Das alles kann man überspringen, da er es ja zugibt. Aber es gibt immer noch das Gerichtsverfahren, um seine Strafe festzulegen, eine Strafzumessungsverhandlung. Dieser Mann hat diesen Frauen eindeutig großen Schaden zugefügt, aber können die Frauen Einfluss darauf nehmen, wie hoch das Strafmaß ausfällt? Und ob sie das können.
CHRISTINE: Er hat sich mit den falschen Damen angelegt.
JACK: Christine wollte, dass alle Opfer während der Urteilsverkündung in den Gerichtssaal einziehen und sich zu Wort melden, um dem Richter klarzumachen, welche Verletzungen er angerichtet hat, denn schließlich liegt es am Richter, das Strafmaß zu bestimmen, und dies ist ihre einzige Chance, sich Gehör zu verschaffen. Wann haben Sie ihn vor dem Prozess zum letzten Mal gesehen?
CHRISTINE: Oh, Gott. Auf meiner Hochzeit.
JACK: Okay.
CHRISTINE: Ja.
JACK: Als du ihn dann im Gerichtssaal gesehen hast – wenn du da reinkommst, siehst du ihn ja. Hattest du da ein bestimmtes Gefühl?
CHRISTINE: Ich glaube wirklich nicht, und wenn ich es hatte, habe ich es verdrängt, weil ich glaube, es war so viel Zeit vergangen, dass – wenn überhaupt, dachte ich nur: Oh, er sieht beschissen aus. Weißt du?
JACK: Ja. Ich denke, das ist einfach...
CHRISTINE: Ich sagte – ich glaube, meine genauen Worte waren: Oh, sie lassen ihn nicht verhungern. Er war sehr fettig.
MADISON: Es war einfach – es war ein komisches Gefühl. Es ist erschreckend in gewissem Sinne, weil du diese Person im echten Leben siehst. Seine Familie ist im echten Leben da. Du weißt, dass du hochgehen und mit dem Richter sprechen und deinen Fall im echten Leben darlegen musst, ohne zu wissen, was der Richter über die Situation denkt, oder ob er die Situation überhaupt ganz versteht. Es ist ein sehr neues Verbrechen, also gibt es nicht viele Beispiele für solche Fälle, an denen man sich orientieren kann. Es ist einfach erschreckend von allen Seiten. Du hast – musst zufällige andere Leute haben, die du nicht mal kennst, die deine Opfer-Stellungnahme anhören müssen. Es ist einfach – erschreckend ist das einzige Wort, an das ich denken kann.
JACK: Gab es irgendwelche komischen Fragen, die der Richter gestellt hat, an die du dich erinnerst?
MADISON: Oh mein Gott, also, der Richter stellte so viele Fragen, und es war so erschreckend, weil sie zunächst irgendwie ein bisschen opfer-beschämend klangen, und ich dachte: Oh mein Gott, wird er – ist es das? Ist das die Art von Richter, der sagen wird: Nun, nein, das ist alles deine Schuld? Ich hatte das buchstäblich im Kopf. Ich erinnere mich, dass ich bei einigen seiner Fragen ein bisschen defensiv war, weil er meine Opfer-Stellungnahme unterbrach, die – sie war sehr lang, aber er unterbrach mit Fragen, sobald sie ihm einfielen. Ich dachte also: Er lässt mich nicht mal ausreden und platzt einfach mit Fragen heraus, während ich diese Opfer-Stellungnahme vorlese. Es war so beunruhigend. Dann stellte sich heraus, dass er einfach so verwirrt war über die ganze Situation, warum er das tat, und er war eigentlich wirklich aufgebracht über alles, was er getan hatte, aber er zeigte es, indem er viele Fragen stellte, und es war so nervenaufreibend. Im Gericht sagte der Richter: Was ist ein Nip-Slip? Ich sagte: Es ist genau das, wonach es klingt. Deine Brustwarze rutscht aus dem Hemd oder was du auch immer trägst.
JACK: Die Opfer machten ihre Aussagen. Und die waren gut. Christopher wurde klar, dass es für ihn überhaupt nicht gut lief.
CHRISTINE: Er darf nach uns allen sprechen, also hatten wir das ganze dramatische Sich-zu-uns-Wenden und sich zuerst bei Dana zu entschuldigen, übrigens, das war witzig. Aber er dreht sich zu uns und der Menge um, und der Bundesanwalt und die FBI-Agenten stehen irgendwie zwischen uns, wie: Komm nicht näher. Wie – ich werde dich umtreten, in der Art. Und das „Es tut mir leid, es tut mir leid", der dramatische Effekt und das alles.
JACK: Der Richter erklärte, dass das Strafmaß in solchen Fällen zwischen drei und sechs Jahren liege. Der Verteidiger plädierte für das untere Ende, der Staatsanwalt für das obere.
DANA: Ich erinnere mich, dass wir alle im Flur miteinander redeten und dachten: Wenn er wenigstens fünf Jahre bekommt, da wären wir schon sehr glücklich.
JACK: Da die Opfer-Stellungnahmen so lange dauerten, mussten sie an einem zweiten Tag wiederkommen, nur um das Urteil zu hören. Am nächsten Tag kommen sie also alle wieder in den Gerichtssaal. Sie setzen sich. Sie bitten Christopher aufzustehen, während der Richter ihm das Urteil vorliest. Der Richter verurteilte ihn zu fünfzehn Jahren Gefängnis.
MADISON: Es war – wir alle einfach – es war ich, meine Schwester, Dana, einer unserer Freunde war gekommen, um uns zu unterstützen, und mein Freund, jetzt Verlobter, Bryce. Wir waren da drin, und ich atmete buchstäblich nur schwer ein und griff nach der Hand meines Verlobten und dachte: Oh mein Gott, wir haben es geschafft.
CHRISTINE: Oh ja, es war super dramatisch.
JACK: Dana, hast du geweint, als sie das Urteil verkündeten?
DANA: Ja, hab ich. Ich glaube, wir alle haben da eine Mengen an Emotionen gefühlt. Da war eine Person, die ich fast zwei Jahrzehnte lang gekannt und an einem Punkt liebgehabt habe. Diese Person war es aber auch, die meiner Familie einen der schlimmsten emotionalen Schäden zugefügt hat, die man sich vorstellen kann. Das gepaart mit dem, wie lange und hart man dafür gearbeitet hat – all die Nächte, die wir bis 4 Uhr morgens damit verbracht haben, diesen Fall zusammenzubauen, das Material zu sammeln, damit die Strafverfolgungsbehörden irgendetwas unternehmen. Und das alles, um dann am Ende vor Gericht jemanden zu sehen, den man einmal liebgehabt hat, dessen Leben nun im Gefängnis weitergeht. Das alles passiert in ein und demselben Moment im Gerichtssaal. Das war schon überwältigend. Ich hätte auch nicht gedacht, dass ich so reagieren würde, aber ich tat es.
CHRISTINE: Ja, ich glaube nicht, dass ich mich daran erinnere, dass du geweint hast. Ich bin sicher, dass du es getan hast. Ich erinnere mich, dass Madison weinte. Ich erinnere mich auch, dass Madison während ihrer Opfer-Stellungnahme weinte. Ich glaube, ich hatte mich kompartimentalisiert, im Anwalts-Modus zu sein, also glaube ich nicht, dass ich überhaupt emotional wurde. Ich war einfach steingesichtig, aber ich war definitiv aufgeregt.
DANA: Du starrst ihm einfach in die Augen, so, ja.
CHRISTINE: Ja, ich starrte ihn nur an, sogar als er sein ganzes Ding machte. Aber ja, ich glaube – ich erinnere mich definitiv daran, dass ich mich aufgeregt fühlte, wie: Wow, dieser Richter hat uns zugehört und war völlig schockiert und ungläubig darüber, wie schlimm das war, und ich glaube, es war einfach diese Bestätigung, sogar. Wie Dana sagte, da steckt so viel Schweiß und Tränen drin, von allen Aspekten, dass es einfach mehr als alles andere bestätigend war: Wow, wenn man es im richtigen Forum platziert, kann man – kann man einen Unterschied machen, und sie kümmern sich. Wir haben einen Unterschied gemacht, weißt du?
JACK: Auch wenn der Strafrahmen bei drei bis sechs Jahren lag, liegt es im Ermessen des Richters, die Strafe zuzuweisen, und er war anscheinend so bewegt von den Opfern, dass er im Grunde das obere Ende des Rahmens verdreifachte und ihm fünfzehn Jahre gab. Unglaublich. Fünfzehn Jahre Gefängnis für Cyber-Belästigung. Whoa, das ist ganz schön viel, oder? Ist es zu viel? Moment, er hat zehn Jahre damit verbracht, Madison zu belästigen, ihr Leben zur Hölle zu machen. Das ist eine lange Zeit, in der jemand leiden muss, und das ist nur eine Person. Wow, was für ein Ende. Die Opfer haben endlich einen Sieg errungen. Aber sorry, das ist nicht das Ende.
JACK: Der Verteidiger entdeckte einen Fehler im Urteil; einen Verfahrensfehler. Es hatte etwas mit dem Strafrahmen zu tun. Sie behaupteten, der ursprüngliche Strafrahmen sei falsch berechnet worden, was möglicherweise die Entscheidung des Richters über das Strafmaß beeinflusst habe. Das bedeutete, dass der Fall wieder aufgenommen wurde und ein neuer Richter hinzukommen musste, um sich den Fall anzusehen und ein neues Urteil zu fällen. Gerade als sie dachten, sie hätten das hinter sich und der Heilungsprozess könne beginnen, wurden die Schwestern und andere Opfer wieder in den Fall hineingezogen. Die Wunden wurden erneut aufgerissen. Der Schmerz und die Angst wurden noch einmal spürbar.
CHRISTINE: Ja. An diesem Punkt – nochmal, wahrscheinlich ein Charakterfehler, aber wir sind nur wie: Das ist witzig an diesem Punkt. Zumindest fühle ich mich so. Ich denke: Das ist schrecklich, aber man muss lachen, oder? Was sind die Chancen? Also, ja, wir mussten zurückgehen und eine Verurteilung machen. An diesem Punkt bin ich schwanger, also hofften wir, dass es nicht in einer ungelegenen Zeit war, aber letztendlich mussten wir fast ein Jahr später zurückgehen, glaube ich. Dana, denkst du, das stimmt?
DANA: Ja, es war ein bisschen mehr als ein Jahr nach dem ersten Urteil. Und ja, ich konnte es nicht fassen. Ich dachte mir nur, so kommt er jetzt davon. So kommt er davon. Wir hatten diesen einen Richter, dem das alles mal nicht egal war, der alle Faktoren in Betracht zog und verstand, was da wirklich passiert war. Und auch zu einem aus unserer Sicht angmessenen Urteil kam. Und jetzt, jetzt sollten wir wieder an einen anderen Richter geraten, der wahrscheinlich überhaupt nicht verstand, was alles passiert war. Ich meine, die waren auch alle einfach alt, die verstehen nicht, was für schlimme Dinge im Internet vor sich gehen.
MADISON: Es war so frustrierend.
JACK: Alle Opfer mussten den ganzen Weg zurück zum Gericht auf sich nehmen und ihre Traumata erneut durchleben, indem sie ihre Opferauswirkungen-Erklärungen noch einmal vorlesen mussten. Noch mehr Tränen. Noch mehr Emotionen. Verdammt, ich würde sogar sagen, dass diese Wiederaufnahme des Verfahrens die Opfer erneut zum Opfer macht.
CHRISTINE: Glücklicherweise stimmte der Richter mit der Entscheidung des ursprünglichen Richters überein, dass es ein schreckliches Verbrechen war, dass er seine Lektion nicht gelernt hatte. Der einzige Grund, warum er Reue zeigen wollte, war, sobald er erwischt wurde, und der Richter durchschaute ihn und gab ihm genau die gleiche Zeit, fünfzehn Jahre.
JACK: Natürlich waren sie nervös, während sie darauf warteten, dass die Entscheidung im Gerichtssaal verkündet wurde. Als sie dann verkündet wurde, war das für die Opfer ein weiterer emotionaler Moment, es gab wieder Tränen. Okay, sie haben das Strafverfahren gegen ihn erneut gewonnen, aber es gab ja auch noch diese Zivilklage gegen ihn. Als Christopher sah, dass er diese Zivilklage wahrscheinlich verlieren würde, meldete er Insolvenz an, um zu vermeiden, dass er etwaige Geldstrafen oder Schadenersatzzahlungen leisten musste, die Teil dieser Klage gewesen wären. Die Schwestern gewannen den Fall, aber da er Insolvenz angemeldet hatte, bekamen sie kein Geld, was eigentlich nicht der springende Punkt war. Der Sinn des Verfahrens bestand lediglich darin, ihnen die Möglichkeit zu geben, Beweise zu sammeln und herauszufinden, wer dahintersteckte. Dennoch war das Ganze für die Schwestern mit hohen finanziellen Kosten verbunden. Es fielen hohe Anwaltskosten an. Sie mussten zum Gericht reisen, um ihre Erklärungen abzugeben. Es gab Kosten für die Einholung von Vorladungen und die Einleitung eines Zivilverfahrens, und das sind nur die Rechtskosten. Wie viel Zeit haben sie damit verbracht, dem nachzugehen? Ist das nicht auch etwas wert? Und natürlich, wie viel Schmerz und Leid wurde verursacht. Das war traumatisch. Sie haben all das im Strafverfahren angesprochen und dem Richter bei der Urteilsverkündung gesagt: „Hey Mann, das hat uns emotional sehr mitgenommen, aber auch finanziell.“ Als der Richter ihn dann zu fünfzehn Jahren verurteilte, hat er all diese Kosten mit einbezogen.
MADISON: Er hatte die fünfzehn Jahre und schuldet meiner Schwester und mir auch Geld für unseren Schaden. Wir werden wahrscheinlich nie einen Cent davon in unserem Leben sehen, aber es war eine schöne Beigabe, dass sie unsere Kämpfe verstanden haben, weißt du?
JACK: Ich denke, das bringt uns zum Ende.
CHRISTINE: Ja. Happy End.
MADISON: Ja, es war wirklich emotional. Der letzte Satz in meiner Opfer-Stellungnahme fasste es irgendwie zusammen, und das war: „Der einsame Wolf stirbt, aber das Rudel überlebt." Dieses Zitat berührt mich jedes Mal, weil ich nicht glaube, dass ich persönlich ohne die anderen Mädchen hätte gewinnen oder überleben können. Wir werden ständig fast diese Schwesternschaft haben – wie ein Rudel Wölfe. Wir kannten uns nicht mal. Die meisten von uns kannten sich vorher nicht.
JACK (OUTRO): Ein großes Dankeschön an Madison, Christine und Dana, dass sie in der Sendung zu Gast waren und diese Geschichte voller emotionaler Höhen und Tiefen mit uns geteilt haben. Was so inspirierend ist: Als ihnen niemand helfen wollte, haben sie es selbst in die Hand genommen und sich gewehrt. Das finde ich toll. Sie haben auch fair gekämpft. Das ist es, was mich an dieser Geschichte so beeindruckt. Sie haben ihn nicht zurückbelästigt oder irgendetwas von dem getan, was er ihnen angetan hat. Stattdessen haben sie sich durch das Rechtssystem gekämpft, um Gerechtigkeit zu erlangen. Erstaunlich.
Diese Episode wurde im englischen Original von Jack Rhysider erstellt. Den Text haben Marko Pauli und Isabel Grünewald übersetzt und gesprochen.
Produktion: Marko Pauli
Titelmusik: Breakmaster Cylinder
Dies sind die Darknet Diaries auf Deutsch von Heise Online.
URL dieses Artikels:
https://www.heise.de/-11271348
Links in diesem Artikel:
Copyright © 2026 Heise Medien
FreshRSS