Im September 2022 erschütterte einer der größten Datenleaks in der Geschichte der Videospielindustrie den Entwickler Rockstar Games. Rund 90 Videoclips aus einer frühen Entwicklungsphase von Grand Theft Auto VI tauchten plötzlich im Internet auf. Hinter dem Angriff stand der damals 17-jährige Brite Arion Kurtaj, der mit der Hackergruppe Lapsus$ in Verbindung gebracht wird.
Kurtaj wuchs im Vereinigten Königreich auf und beschäftigte sich bereits früh intensiv mit Computern und Online-Communities. Ermittlungen zufolge begann er schon in jungen Jahren, sich in Hackerforen zu bewegen. Später schloss er sich der Gruppe Lapsus$ an, die ab 2021 durch eine Reihe spektakulärer Cyberangriffe international Aufmerksamkeit erlangte.
Die Hackergruppe Lapsus$ und ihre Angriffe
Die Gruppe griff mehrere große Technologieunternehmen an, darunter Nvidia und Uber. Anders als bei vielen klassischen Cyberangriffen nutzte Lapsus$ häufig keine komplexen technischen Sicherheitslücken, sondern setzte auf sogenanntes Social Engineering. Dabei werden Mitarbeiter gezielt manipuliert, um Zugangsdaten oder interne Informationen zu erhalten.
Auf diese Weise gelangte die Gruppe wiederholt an vertrauliche Daten und interne Systeme. Einige der Angriffe führten zu erheblichen wirtschaftlichen Schäden und zur Veröffentlichung sensibler Unternehmensdaten.
Im Jahr 2022 wurde Kurtaj im Zusammenhang mit den Angriffen erstmals festgenommen. Die Behörden beschlagnahmten seine elektronischen Geräte und untersagten ihm den Zugang zum Internet. Während seiner Freilassung gegen Kaution wurde er in einem Hotel untergebracht und stand unter strengen Auflagen. Den Ermittlern zufolge verfügte er dort nur über sehr begrenzten Zugang zu Technik.
Der Angriff auf Rockstar Games
Trotz dieser Einschränkungen gelang es Kurtaj laut Ermittlungen erneut, Zugang zu Unternehmenssystemen zu erlangen. Über einen an einen Fernseher angeschlossenen Streaming-Stick sowie weitere Geräte soll er sich Zugang zu internen Kommunikationssystemen von Rockstar Games verschafft haben. Dort veröffentlichte er eine Nachricht, in der er ankündigte, Quellcode und weitere Daten zu veröffentlichen, falls das Unternehmen nicht innerhalb kurzer Zeit Kontakt mit ihm aufnehmen würde.
Kurz darauf erschienen im Internet rund 90 kurze Videoclips aus einer frühen Entwicklungsphase von Grand Theft Auto VI. Insgesamt zeigten die Aufnahmen etwa 50 Minuten Material aus einer Alpha-Version des Spiels. Darin waren unter anderem frühe Gameplay-Tests, Entwicklerwerkzeuge sowie erste Details zur Spielwelt zu sehen.
Der Leak bestätigte unter anderem, dass das Spiel in einer modernen Version von Vice City spielen soll und zwei Hauptfiguren – Lucia und Jason – enthalten wird.
Rockstar bestätigte kurz darauf den Sicherheitsvorfall. In einer Stellungnahme erklärte das Unternehmen, dass die Veröffentlichung interner Entwicklungsdaten „extrem enttäuschend“ sei. Gleichzeitig betonte das Studio, dass die Entwicklung des Spiels langfristig nicht beeinträchtigt werde. Dennoch gilt der Vorfall bis heute als einer der größten Leaks in der Geschichte der Spieleindustrie.
Gerichtsverfahren und Urteil
Nach dem Leak wurde Kurtaj erneut festgenommen. Ermittler erklärten, dass seine Aktivitäten Teil einer längeren Serie von Cyberangriffen gewesen seien. Vor Gericht musste er sich wegen mehrerer Anklagepunkte verantworten, darunter Computerbetrug, Erpressung sowie unbefugter Zugriff auf Computersysteme.
Psychiatrische Gutachten kamen jedoch zu dem Ergebnis, dass Kurtaj aufgrund schwerer Autismus-Symptome nicht verhandlungsfähig sei. Daher musste die Jury nicht über seine strafrechtliche Schuld entscheiden, sondern lediglich darüber, ob er die ihm vorgeworfenen Handlungen begangen hatte. Nach einem mehrwöchigen Verfahren kam die Jury zu dem Schluss, dass dies der Fall war.
Ein weiterer wichtiger Punkt für das Gericht war, dass Kurtaj laut Berichten erklärte, nach einer möglichen Freilassung weiter hacken zu wollen. Die Behörden stuften ihn deshalb als potenzielles Risiko für weitere Cyberangriffe ein.
Statt einer klassischen Gefängnisstrafe ordnete das Gericht schließlich eine Unterbringung auf unbestimmte Zeit in einer gesicherten psychiatrischen Einrichtung an. Eine Entlassung ist nur möglich, wenn medizinische Fachleute und Behörden zu dem Schluss kommen, dass von ihm keine Gefahr mehr ausgeht.
Bedeutung für die Cybersicherheit
Der Fall gilt nicht nur als außergewöhnlicher Vorfall in der Spieleindustrie, sondern wird auch häufig als Beispiel dafür genannt, wie stark menschliche Faktoren bei Cyberangriffen eine Rolle spielen. Viele der Angriffe von Lapsus$ beruhten weniger auf hochkomplexen technischen Methoden als auf Social Engineering und organisatorischen Schwachstellen innerhalb großer Unternehmen.
Der GTA-6-Leak zeigt damit, dass selbst global agierende Technologie- und Spielefirmen verwundbar sein können, wenn interne Sicherheitsprozesse nicht ausreichend geschützt sind.
