Mit 32 Monaten Gefängnis erhielt ein 21-Jähriger, der unter dem Pseudonym «ViraL» arbeitete, die höchste Strafe. ViraL gehörte nicht zum engeren Kreis der Gruppe, hatte aber Werkzeuge zur Verfügung gestellt, die LulzSec für Angriffe auf Webseiten brauchten. Darunter ein riesiges Botnet von Computern, das für DDos-Attacken benutzt wurde.
ViraL hatte sich für diese Taten schuldig bekannt. Ausserdem wurde auf seinem Computer auch Kinderpornografie der Stufe 3 und 4 gefunden. Dafür wird er im Juni noch einmal vor Gericht stehen.
Rupert Murdochs falscher Selbstmord
Ein 26-Jähriger mit Pseydonym «Kayla» erhielt eine Gefängnisstrafe von 30 Monaten, das zweithöchste Strafmass. Kayla soll als Anführer der Gruppe auch deren Angriffsziele ausgewählt haben. Er hatte seine Mittäter im Glauben gelassen, ein 16-jähriges Mädchen zu sein. In Wahrheit war er schon mit 19 Jahren in die britischen Armee eingetreten und hatte unter anderem im Irak gedient.
Ein 20-Jähriger mit Pseudonym «Topiary» gilt als Sprachrohr der Gruppe. Er wurde zu einer unbedingten Strafe von 20 Monaten verurteilt. Topiary bekannte sich unter anderem schuldig, die Webseite der Zeitung «The Sun» angegriffen und dort die Falschmeldung von Rupert Murdochs Selbstmord veröffentlicht zu haben.
Der vierte Angeklagte, der 18-jährige «tflow» kam glimpflicher davon. Er wurde zu 20 Monaten auf Bewährung und 300 Sozialstunden verurteilt, weil er zum Zeitpunkt der Tat erst 16 Jahre alt war. In den USA und Australien stehen Urteile gegen weitere Mitglieder von LulzSec noch aus.
Lächerliche Sicherheitsvorkehrungen
LulzSec war im Frühling 2011 ins Blickfeld der Öffentlichkeit gekommen, als die Gruppe während den sogenannten «50 Days of Lulz» scheinbar zufällig ausgewählte, öffentlichkeitswirksame Ziele angriff. «Lulz» ist eine Variante der Abkürzung «Lol» («Laughing out loud») und steht für den Spass am Schabernack, der die Gruppe zu vielen ihren Taten antrieb. «LulzSec» lässt sich etwa mit «Lächerliche Sicherheit» übersetzen.
Den Hackern ging es nach eigenen Angaben auch darum aufzuzeigen, dass die von ihnen angegriffenen Ziele kaum geschützt waren. So zeigte sich LulzSec etwa amüsiert, wie schlecht die Computer von Sony Pictures gesichert waren, aus denen sie Namen, Passwörter, Adressen und Geburtsdaten von tausenden von Benutzern entwenden konnten. LulzSec selber gab an, in über 1 Million Kundenkonten eingedrungen zu sein. Sony sprach von knapp 40'000.
Der Vorfall war für Sony besonders peinlich, da Hacker schon kurz zuvor ins PlaystationNetwork der Firma eingedrungen waren und dort vermutlich mehrere Millionen Nutzerdaten und Kreditkarteninformationen entwenden konnten.
Keinerlei Respekt vor der Privatsphäre
Das Gericht hielt in seiner Urteilsbegründung fest, die Verurteilten hätten ihre Angriffen zwar ohne finanzielles Interesse durchgeführt, es sei ihnen aber bewusst gewesen, mit ihren Taten grossen Schaden anzurichten. So soll die grossflächige Verbreitung persönlicher Daten Schäden von mehr als 10 Millionen Dollar verursacht haben.
Das Gericht bewertete die Taten von LulzSec als schwere Straftaten, auch wenn die Angriffe selbst oft technisch einfacher Natur waren. Richterin Deborah Taylor sagte aber, die Verurteilten hätten keinerlei Respekt vor der Privatsphäre ihrer Opfer gezeigt, während sie ihre eigene Identität mit grossem Aufwand geheim gehalten hätten.
«Sabu» verriet seine Kumpanen
Dass Mitglieder von LulzSec nun verurteilt wurden, ist der Verhaftung eines weiteren Mitglieds im Juni 2011 zu zu verdanken. Der unter dem Namen «Sabu» auftretende Hacker gilt als ehemaliger Anführer der Gruppe. Nach seiner Verhaftung half Sabu, weitere Mitglieder von LulzSec vor Gericht zu bringen. Weil er mit den Behörden kooperiert hat, steht seine Verurteilung noch aus.