Tiina Parikka war halb angezogen, als sie die E-Mail las. Es war ein Samstag Ende Oktober 2020, und Parikka hatte den Vormittag damit verbracht, Pläne für den Fernunterricht zu organisieren, nachdem es einen Covid-Ausbruch an der Schule gegeben hatte, an der sie Rektorin war. Sie hatte eine Sauna in ihrer Wohnung in Vantaa genommen, gleich außerhalb der finnischen Hauptstadt Helsinki, und als sie in ihr Schlafzimmer kam, um sich anzuziehen, checkte sie gedankenverloren ihr Telefon. Dort war eine Nachricht, die mit ihrem Namen und ihrer Sozialversicherungsnummer begann – dem eindeutigen Code, der in Finnland zur Identifizierung von Personen im Gesundheitswesen, in der Bildung und im Bankwesen verwendet wird. "Ich wusste in dem Moment, dass das kein Spiel ist", sagt sie.
Die E-Mail war auf Finnisch. Sie war verstörend höflich. "Wir kontaktieren Sie, weil Sie die Therapie- und/oder psychiatrischen Dienste von Vastaamo in Anspruch genommen haben", hieß es. "Leider müssen wir Sie bitten, zu zahlen, um Ihre persönlichen Daten sicher zu halten." Der Absender forderte 200 Euro in Bitcoin innerhalb von 24 Stunden, andernfalls würde der Preis innerhalb von 48 Stunden auf 500 Euro steigen. "Wenn wir unser Geld danach immer noch nicht erhalten, werden Ihre Informationen für alle einsehbar veröffentlicht, einschließlich Ihres Namens, Ihrer Adresse, Telefonnummer, Sozialversicherungsnummer und detaillierter Aufzeichnungen, die Transkripte Ihrer Gespräche mit Vastaamos Therapeuten oder Psychiatern enthalten."
Parikka schluckt schwer, als sie diese Erinnerung wieder durchlebt. "Mein Herz raste. Es war wirklich schwer zu atmen. Ich erinnere mich, dass ich mich aufs Bett gelegt und meinem Ehepartner gesagt habe: 'Ich glaube, ich kriege einen Herzinfarkt.'"
Jemand war in Vastaamo eingedrungen, das Unternehmen, über das Parikka Psychotherapie in Anspruch genommen hatte. Sie hatten sich Therapienotizen angeeignet, die ihre privatesten, intimsten Gefühle und dunkelsten Gedanken enthielten – und sie erpressten sie damit. Parikkas Gedanken rasten, als sie versuchte, sich an alles zu erinnern, was sie in drei Jahren wöchentlicher Therapiesitzungen anvertraut hatte. Wie würde ihre Familie reagieren, wenn sie wüsste, was sie gesagt hatte? Was würden ihre Schüler sagen? Das Gefühl der Bloßstellung und Verletzung war unermesslich: "Es fühlte sich an wie eine öffentliche Vergewaltigung."
Die Therapie war Parikkas Rettungsanker gewesen. Heute 62 Jahre alt, hatte sie mit 25 bereits drei Kinder, darunter Zwillinge, die in den 1980er Jahren extrem früh geboren wurden und jeweils nur wenige hundert Gramm wogen. Eines wuchs mit Zerebralparese auf; das andere ist blind. Parikka verbrachte Jahre damit, medizinische Notfälle, Operationen und Krankenhausaufenthalte mit einem anspruchsvollen Job und einer zerbrechenden Ehe zu jonglieren. "In all den Jahren hat niemand mich, die Mutter, jemals gefragt: 'Wie geht es dir?'"
Sie ließ sich 2014 scheiden und lernte ein Jahr später ihren jetzigen Partner kennen. Zu diesem Zeitpunkt waren ihre Kinder erwachsen und lebten eigenständig. Nachdem sie jahrzehntelang die Bedürfnisse aller anderen vor ihre eigenen gestellt hatte, hätte sie endlich durchatmen können sollen. Stattdessen erlitt sie einen Zusammenbruch. "Ich hatte ständig eine umfassende Angst, die durch meinen Körper lief. Ich konnte nicht schlafen. Ich hatte Panikattacken. Ich konnte nicht essen." Als sie eines Tages mit hoher Geschwindigkeit auf der Autobahn fuhr, überkamen sie dunkle Gedanken. "Ich dachte, es würde mir nichts ausmachen, wenn dieses Auto verunglückt."
Auf der Suche nach dringender Hilfe ging sie zu Google, was sie zu Vastaamo führte, Finnlands digitalem One-Stop-Shop für Menschen auf der Suche nach Psychotherapie. Keine Überweisung durch einen Arzt war nötig. Sie schaffte es, eine Sitzung für den nächsten Tag zu buchen. "So einfach war das."
Sich einem völlig Fremden anvertrauen zu können, fühlte sich befreiend an. Sie erzählte ihrer Therapeutin Dinge, die sie noch nie einer anderen Seele erzählt hatte. "Traumata in Beziehungen. Die Enttäuschung und Tragik, behinderte Kinder zu haben, und den Einfluss, den das auf mein Leben hatte", sagt sie. "Dumme Dinge, kindische Dinge. Es ist sehr menschlich, Hass, Wut, Zorn zu empfinden."
Nachdem Parikka die E-Mail gelesen hatte, die sie atemlos zurückließ, wusste sie nicht, an wen sie sich um Hilfe wenden sollte. Sie rannte... Sie rief den Notdienst an, aber die Polizei sagte ihr, sie solle die Leitung freimachen; sie müssten sie für echte Notfälle frei halten. In ihrem Bademantel, das Telefon immer noch in der Hand, fühlte sie sich völlig allein.
Aber Parikka war alles andere als allein. In ganz Finnland entdeckten 33.000 Menschen, die Vastaamo genutzt hatten, dass ein Hacker ihre Therapienotizen erbeutet hatte und sie erpresste. Dies waren per Definition Menschen, die wahrscheinlich verletzlich waren und Hilfe brauchten. Jeder erlebte einen zutiefst persönlichen Terror. In einem Land mit nur 5,6 Millionen Einwohnern kannte jeder jemanden, der gehackt worden war.
Die Notizen einiger Opfer waren bereits ausgewählt und für die Welt einsehbar veröffentlicht worden. Drei Tage bevor die Erpresser-E-Mails verschickt wurden, postete jemand unter dem Pseudonym "ransom_man" im Dark Web, auf r/Suomi (dem finnischsprachigen Subreddit) und auf Ylilauta, Finnlands Äquivalent zu 4chan. Diesmal war der Beitrag auf Englisch. "Hallo finnische Kollegen", begann er. "Wir haben die Psychotherapie-Klinik vastaamo.fi gehackt und zehntausende Patientenakten erbeutet, einschließlich extrem sensibler Sitzungsnotizen und Sozialversicherungsnummern. Wir haben eine kleine Zahlung von 40 Bitcoins verlangt (nichts für ein Unternehmen mit einem Jahresumsatz von fast 20 Millionen Euro), aber der CEO hat aufgehört, auf unsere E-Mails zu antworten. Wir beginnen nun, ihre Patientenakten schrittweise zu veröffentlichen, 100 Einträge pro Tag."
Es gab einen Link zum Dark Web, wo bereits 100 Akten einsehbar waren. Direkt darunter verabschiedete sich ransom_man mit einem einzigen Wort: "Viel Spaß!"
Die 100 Akten umfassten die von Politikern, Polizisten und prominenten Persönlichkeiten des öffentlichen Lebens. Ihre Namen erschienen neben Therapienotizen mit Details über Ehebruch, Selbstmordversuche, Pädophilie und sexuelle Gewalt. Einige der Akten gehörten Kindern. Und wer auch immer hinter dem Hack steckte, hielt Wort: Am nächsten Tag wurden 100 weitere Patientenakten hochgeladen.
Einige Opfer suchten verzweifelt im Dark Web, um zu sehen, ob ihre Akten dort waren. Einige zahlten das Lösegeld und versuchten fieberhaft, Bitcoin zu beschaffen, während die Zeit ablief. Anwälte der Opfer erzählten mir, dass sie von mindestens zwei Fällen wissen, in denen Menschen sich das Leben nahmen, nachdem sie erfahren hatten, dass ihre Therapienotizen gehackt worden waren.
Aber für alle war es bereits zu spät. Um 2 Uhr morgens am 23. Oktober 2020 – am Tag bevor die E-Mails in zehntausenden Postfächern eintrafen – hatte ransom_man eine viel größere Datei hochgeladen. Sie enthielt jede Akte jedes einzelnen Patienten in Vastaamos Datenbank. Die Therapienotizen aller waren bereits kostenlos für die ganze Welt einsehbar veröffentlicht worden.
Wer steckte hinter dem größten Verbrechen, das Finnland je gekannt hatte? Und konnten sie von etwas anderem als Geld motiviert gewesen sein? Ich verbrachte 18 Monate damit, diese Fragen zu beantworten, und folgte Spuren in ganz Europa und den USA. Sie gipfelten in einem Besuch in einem Gefängnis und einem der beklemmendsten Gespräche, die ich je geführt habe.
Finnland wurde von der UN in den letzten acht Jahren in Folge zum glücklichsten Land der Erde gekürt. Als weltweiter Vorreiter in Kinderbetreuung und Bildung ist Finnland auch berühmt für seine Hochtechnologie: Es ist das am stärksten digitalisierte Land Europas, bekannt für seinen Kommunikationssektor (als Heimat von Nokia) und führend in Cybersicherheit und KI-Innovation. Aber Finnland ist auch ein Land der Extreme. Es hat mehr Heavy-Metal-Bands pro Kopf als jede andere Nation. Im hohen Norden geht die Sonne an den wenigen Tagen um die Wintersonnenwende nicht auf.
Vastaamo galt lange als Beispiel dafür, wie Finnland die digitale Technologie richtig einsetzte. 2008 von dem Unternehmer Ville Tapio und seiner Mutter Nina, einer Psychotherapeutin, gegründet, war das Ziel, Therapie für die Massen zugänglich zu machen und das Stigma zu beseitigen, Hilfe zu suchen. Die Plattform machte es einfach, zu sehen, wer verfügbar war, wo und auf welchen therapeutischen Ansatz sie spezialisiert waren. Das Logo hatte t... Die Farbpalette eines Erste-Hilfe-Kastens, mit weißer Schrift in einer grünen Sprechblase. "Vastaamo" bedeutet "ein Ort für Antworten". Es war auch eine attraktive Plattform für Therapeuten: Sie mussten sich nicht um Marketing oder Abrechnung kümmern – Vastaamo erledigte das alles. Das Unternehmen bot sogar eine digitale Schnittstelle hinter den Kulissen, auf der Therapeuten ihre Notizen machen und speichern konnten. Diese Formel, kombiniert mit der wachsenden Nachfrage nach Therapiediensten, ließ Vastaamo schnell wachsen. Es eröffnete ein eigenes Netzwerk von etwa 20 Kliniken in ganz Finnland und beschäftigte bis 2018 über 220 Psychotherapeuten, was einige in Finnland dazu veranlasste, es als "McDonald's der Therapie" zu bezeichnen. In den Jahren, bevor Zoom und Teams Teil unseres Alltags wurden, war die ebenfalls von Vastaamo angebotene Fern-Therapie bahnbrechend. 2019 kaufte eine Private-Equity-Firma eine Mehrheitsbeteiligung an dem Unternehmen, womit die Familie Tapio eine Auszahlung von über 5 Millionen Euro erhielt.
Meri-Tuuli Auer, 30, beschreibt die Nutzung von Vastaamo als "wie Uber für Therapie – bequem, zugänglich, relativ günstig". Sie wählte ihren Therapeuten, weil er kognitive Psychotherapie anbot – und weil ihr sein Foto gefiel. "Er sah nett aus. Er sah zugänglich aus."
Auers Zuhause am Stadtrand von Helsinki ist ein einziges Chaos in Pink. Auf ihren Regalen stehen Barbie-Puppen, Barbie-Bücher und Barbie-Handtaschen sowie ein glitzernder Barbie-Cabrio-Sportwagen. Eine Stange für Pole Dance steht stolz im Mittelpunkt ihres Wohnzimmers.
"Ich bin eine gemischte Persönlichkeit", sagt sie mir bei Tee aus Mumin-Tassen. "Ich liebe es, unter Menschen zu sein, aber ich bekomme diese Ahnung, diesen Zweifel: Vielleicht denken sie alle, ich sei voller Scheiße und dumm und hässlich und ich hätte keine Ahnung, was ich tue." Auer hat den größten Teil ihres Lebens mit Depressionen gekämpft. Als sie 18 war, hatte sie eine heimliche, schwierige Beziehung mit einem Mann, der 29 Jahre älter war, was ihr Selbstwertgefühl weiter in den Keller stürzen ließ. Sie trank viel. "Wenn ich nicht zur Therapie gegangen wäre, weiß ich nicht, was aus mir geworden wäre. Vielleicht gibt es ein anderes Universum, in dem ich es nicht bis 30 geschafft hätte."
Der größte Teil der Kosten für Auers Behandlung wurde vom finnischen Gesundheitssystem übernommen; sie zahlte nur etwa 25 Euro für jede wöchentliche Sitzung. Sie machte große Fortschritte. "Nachdem ich 2018 und 2019 zur Therapie gegangen war, hatte ich ein grundlegendes Sicherheitsgefühl gewonnen. Das ging 2020 verloren."
Vastaamos CEO wusste, dass das Patientenregister des Unternehmens erpresst wurde, Wochen bevor seine Kunden davon erfuhren. Am 28. September 2020 erhielt Ville Tapio eine E-Mail, in der das Bitcoin-Äquivalent von 450.000 Euro gefordert wurde, um die Daten sicher zu halten. An die E-Mail angehängte Beispiel-Patientenakten bewiesen, dass der Erpresser nicht bluffte. Tapio beauftragte ein Cybersicherheitsunternehmen mit der Untersuchung.
Medizinische Informationen sind ein offensichtliches Ziel für potenzielle Erpresser, sagt Antti Kurittu, der von Tapio beauftragte Sicherheitsspezialist. Aber das hier war etwas anderes: "Was auch immer ich einem Therapeuten erzähle, ist von Natur aus viel privater als mein Blutdruck", sagt er trocken.
Kurittu war früher Kriminalbeamter und untersuchte Cyberkriminalität für die finnische Polizei; er sagt, er habe darauf bestanden, dass sie über den Erpressungsversuch informiert würden, damit sie eine parallele Untersuchung einleiten könnten. In der Zwischenzeit begann er, Vastaamos Server zu inspizieren, um nach Hinweisen zu suchen, wer hinter dem Hack stecken könnte – und eines der ersten Dinge, die ihm auffielen, war, wie lax die Sicherheit gewesen war. "Es war definitiv ungeeignet, um diese Art von Informationen zu speichern", sagt er. Er erzählt mir, dass die Patientendatenbank über das Internet zugänglich war; es gab keine Firewall und, vielleicht am gravierendsten, sie war mit einem leeren Passwort gesichert, sodass jeder einfach die Eingabetaste drücken und sie öffnen konnte. Kurittu stellte fest, dass wer auch immer Vastaamo gehackt hatte, wahrscheinlich einfach das Internet nach schlecht gesicherten... Die Hacker suchten nach wertvollen Datenbanken, von denen sie profitieren konnten. "Sie testeten verschiedene Banktresore, um zu sehen, welche unverschlossen waren, und fanden versehentlich diesen", erklärt Kurittu.
Unsere privatesten Geheimnisse – Dinge, die wir niemals der Welt preisgeben wollen – sind da draußen im Netz.
Mehrere Wochen lang kommunizierten der Hacker und Vastaamo per E-Mail, aber Vastaamo erwog nie, das Lösegeld zu zahlen. Das hätte bedeutet, dem Versprechen eines Kriminellen zu vertrauen, die Aufzeichnungen zu löschen. Außerdem, so Kurittu, widerspricht es dem finnischen Charakter. "Finnen können eine sture Bande sein. Wir sind nicht dafür bekannt, Lösegeld leise oder leicht zu zahlen, was für mich ein Punkt nationalen Stolzes ist."
Nachdem der Hacker unter dem Alias "ransom_man" begann, Patientenakten zu veröffentlichen, um das Unternehmen unter Druck zu setzen, überwachte Kurittu den Server, der für die Veröffentlichung genutzt wurde, genau. Er vermutete, dass die Person hinter dem Angriff entweder finnisch war oder lange in Finnland gelebt hatte, da sie wusste, welche bekannten Namen aus den Patientenakten hervorzuheben waren.
Als Auer von dem Datenleck erfuhr, lud sie einen Browser herunter, um zum ersten Mal auf das Dark Web zuzugreifen. "Ich dachte mir, ich muss einfach nachsehen, ob meine Akten dort sind", sagt sie. Sie fand ihren Namen nicht in der ersten veröffentlichten Charge und schloss die Datei, ohne die Akten anderer zu lesen. Aber sie sah, wie andere darüber diskutierten, was sie gesehen hatten. "Die Leute hatten bereits die Teile aus den Patientenakten herausgesucht, die sie für die lustigsten hielten. Sie lachten über den Schmerz dieser Menschen. Ein 10-jähriges Kind war zur Therapie gegangen, und die Leute fanden das amüsant."
Auer begann abzudriften. "Ich schloss mich zu Hause ein. Ich wollte nicht rausgehen; ich wollte nicht, dass mich jemand sieht", erinnert sie sich. Sie hatte wenig Hoffnung, dass der Hacker gefasst werden würde. "Es ist nicht so, dass ich der finnischen Polizei misstraue – es schien einfach eine unmögliche Aufgabe."
Die viel größere Datei jedoch, die ransom_man ins Dark Web hochgeladen hatte – die alle Patientenakten von Vastaamo enthielt – barg auch entscheidende Hinweise auf seine Identität. Die
