Finnland: Hacker für Erpressung Tausender Psychotherapiepatienten verurteilt

Vor vier Jahren veröffentlichte ein Hacker die Patientenakten einer finnischen Therapieklinik, um Betroffene zu erpressen. Dafür muss er nun sechs Jahre ins Gefängnis.

Archivbild des Psychotherapiezentrums von Vastaamo in Helsinki

Ein finnisches Gericht in Espoo bei Helsinki hat am Dienstag den 26-jährigen Finnen Aleksanteri Kivimäki wegen 20 erfolgreicher und 20.745 versuchter schwerer Erpressungen zu sechs Jahren und drei Monaten Haft verurteilt. Damit blieb das Gericht nur wenig unter der Höchststrafe von sieben Jahren, die die Staatsanwaltschaft gefordert hatte.

Der Anklage zufolge hatte sich Kivimäki im Jahr 2018 in die Patientendatenbank des landesweit tätigen Psychotherapieunternehmens Vastaamo gehackt und sämtliche Daten kopiert. Zwei Jahre später habe er zunächst die Klinik erpresst und mit Veröffentlichung der Daten gedroht. Als Vastaamo es ablehnte, das Lösegeld zu zahlen, habe Kivimäki Patientinnen und Patienten angeschrieben und auch sie erpresst. Kurz darauf habe er sämtliche Patientendaten veröffentlicht.

Der Fall hatte damals weltweit für Aufmerksamkeit gesorgt. Denn die kopierten Daten enthielten die kompletten Diagnosen und Therapieprotokolle von 33.000 Menschen und damit intimste Probleme und Krisen, die sie in den Behandlungen besprochen hatten. Laut Polizei bekamen mehr als 20.000 Patienten und Patientinnen eine E-Mail, in der er 200 Euro in Bitcoin forderte und drohte, die Daten zu veröffentlichen, wenn die Opfer nicht zahlten. 20 von ihnen bezahlten. Kurz darauf tauchten die Therapieunterlagen im Darknet auf.

Finnlands Polizei konnte zwar innerhalb von Tagen Spuren finden, die zu Kivimäki führten, konnte aber seinen Aufenthaltsort nicht ermitteln. Er wurde erst im Februar 2023 in Frankreich festgenommen und kurz darauf an Finnland ausgeliefert. Seitdem saß er in Untersuchungshaft.

Das Gericht sah es nun als erwiesen an, dass der 26-Jährige für die Taten verantwortlich ist. Er selbst hatte das stets bestritten und auf unschuldig plädiert.

Kivimäki ist bereits in seiner Jugend an mehreren großen Cyberangriffen beteiligt gewesen. Unter anderem war er mitverantwortlich dafür, dass die Onlinedienste von Microsofts Xbox und Sonys Playstation Weihnachten 2014 nicht erreichbar waren und Millionen Menschen keine Games spielen konnten. In Finnland ist er unter anderem deswegen bereits zweimal wegen Datenschutzverstößen und Hackings verurteilt worden, beide Male zu einer Bewährungsstrafe.

Kryptowährung Monero geknackt

Die Belege, die die Staatsanwaltschaft in dem monatelangen Prozess rund um den Vastaamo-Hack präsentiert hatten, waren umfassend. Unter anderem konnte sie belegen, dass der Server, von dem aus die Patientendaten veröffentlicht worden waren, von Kivimäki kontrolliert wurde.

Der finnischen Kriminalpolizei (KRP) ist sogar der Nachweis gelungen, dass über Kryptobörsen geleitetes Lösegeld direkt an ihn geflossen war. Er hatte das Geld in die Kryptowährung Monero getauscht, die bis dahin als anonym und nicht nachverfolgbar galt. Doch haben die Ermittler laut Staatsanwaltschaft erstmals einen Weg gefunden, anhand von Indizien den Geldfluss zu verfolgen.

In einem früheren Prozess war auch der Gründer und Besitzer der Klinik, Ville Tapio, verurteilt worden. Er erhielt drei Monate auf Bewährung, da er die Patientendatenbank des Unternehmens nicht ausreichend gesichert und so einen Einbruch erleichtert habe. Er habe gegen den notwendigen Datenschutz der sensiblen Informationen verstoßen, urteilte das Gericht. Aufgrund des Hacks und der daraus resultierenden Klagen hatte Vastaamo 2021 Konkurs angemeldet.