Navigation:
Nicht jeder Hacker ist schlecht: Ein Blick hinter die Kulissen der Cybercrime-Bekämpfung.

Nicht jeder Hacker ist schlecht: Ein Blick hinter die Kulissen der Cybercrime-Bekämpfung.
© iStockphoto

Kampf gegen die Online-Kriminalität

Die guten Hacker

Menschen, die in fremde Rechner und Netze einbrechen, haben ein schlechtes Image. Es gibt aber auch Computerhacker, die auf der richtigen Seite stehen: Sie helfen gemeinsam mit Wissenschaftlern bei der Strafverfolgung. Ein Blick hinter die Kulissen eines oftmals unerträglichen Jobs.

Hannover. Ein schmuckloser, trister Nachkriegs-Bürobau, wie er in der hessischen Arbeiterstadt Gießen häufig anzutreffen ist: Hier, in der vierten Etage, sitzt Dr. Benjamin Krause an seinem Schreibtisch und hört Klaviersonaten von Mozart. Wer den 38-jährigen Staatsanwalt kennt, weiß, dass er sich gerade abscheulichste Videos im Darknet ansieht: Kinderpornografie mit einer Vierjährigen als Hauptdarstellerin – angeboten auf der dunklen Seite des Internets und kaum zu ertragen. Deshalb die klassische Musik.

Krause gehört zur renommierten Zentralstelle zur Bekämpfung von Internetkriminalität (ZIT), die der Generalstaatsanwaltschaft Frankfurt angehört. Sie ist unter den Strafverfolgungsbehörden die erste Adresse in Deutschland, wenn es um die Aufklärung von Taten in Internet und Darknet geht: Ohne die ZIT wüsste man vermutlich bis heute nicht, dass der Amokläufer von München seine Waffe im Darknet erworben hat, ohne die ZIT würden viele Pädophile dort weiterhin ihr widerliches Unwesen treiben. Experten wie Benjamin Krause zählen zu den “guten Hackern“, die dem Verbrechen im Cyber-Raum den Kampf ansagen. Es ist ein Kampf, bei dem die Kriminellen meist einen Schritt voraus sind.

Es gibt nichts, was es im Darknet nicht gibt: Gefälschte Identitäten, Waffen, Billigzigaretten, Fake-Medikamente, Drogen, Falschgeld oder auch sogenannte Hitman Services: Für 10 000 Euro ist es kein Problem, dort einen Auftragskiller aus dem osteuropäischen Raum zu finden, der nur darauf wartet, unliebsame Personen aus der Welt zu schaffen.

Mühsame Ermittlungsarbeit

Es gibt aber auch besonders perfide Angebote im Darknet, zum Beispiel, wie man am besten Kinder entführt, ihnen Verliese baut und sie narkotisiert. Alles kaum zu ertragen. “Es hat sich im Darknet eine Art Schattenwirtschaft etabliert, in der der illegale Handel mit Waren und Dienstleistungen blüht. Es ist für die Strafverfolgungsbehörden sehr mühsam und aufwendig, in diesem illegalen Teil des Internets zu ermitteln“, sagt Krause, der mit seinen Kollegen von der ZIT einige Erfolge vorweisen kann: So beschlagnahmten sie im Juni dieses Jahres die Server der Darknet-Plattform “Deutschland im Deep Web“ mit mehr als 20 000 Mitgliedern und konnte Anfang Oktober den Vergewaltiger eines vierjährigen Mädchens festnehmen.

Er hatte widerliche, pornografische Bilder ins Netz gestellt und die ZIT hatte mit einem Foto des Mädchens nach dem Täter gefahndet. “Ein völlig ungewöhnlicher Schritt, den wir sonst aus Opferschutzgründen nicht gehen. Aber wir hätten den Tatverdächtigen sonst möglicherweise nicht identifizieren können und hatten alle anderen Möglichkeiten ausgeschöpft“, sagt Krause. Wenige Stunden nach der Veröffentlichung des Fotos wurde der Täter in der Wesermarsch festgenommen.

Dr Benjamin Krause

Dr. Benjamin Krause

Quelle: privat

Auch beim Amokläufer von München, der am 22. Juli des vergangenen Jahres neun Menschen tötete, war es seinerzeit die ZIT, die aufdeckte, dass der Täter seine Waffe im Darknet gekauft hatte. “Es ist in relativ kurzer Zeit möglich, sich über den ,Tor’-Browser dort einzuwählen und sich einen Überblick zu verschaffen. Dafür muss man über keine besondere Expertise verfügen“, berichtet Krause. Er weist aber auch darauf hin, dass das Darknet seine positiven Seiten habe, da es Oppositionellen in Diktaturen oder Whistleblowern ermögliche, Überwachung und Verfolgung zu entgehen.

Ortswechsel. Im niedersächsischen Osnabrück forscht Prof. Dr. Arndt Sinn, Strafrechtler an der städtischen Universität, schon seit Jahren zur Organisierten Kriminalität. Er hat in umfangreichen Studien herausgefunden, dass sich das organisierte Verbrechen mehr und mehr ins Darknet verlagert. “Die Tätergruppen arbeiten heute international und hoch konspirativ. Man verabredet sich anonym zu einem bestimmten Verbrechen im Dark-net, denn dort gibt es Spezialisten für alle möglichen Bereiche. Wir nennen das Crime-as-a-Service-Kriminalität als Dienstleistung“, sagt Sinn.

Experten wollen nicht für Strafverfolgungsbehörden arbeiten

Beispiel gefälschte Arzneimittel, sogenannte Fake-Medikamente: Es gibt Leute, die setzen einen Webshop auf, andere kümmern sich um die Produktion in irgendwelchen Hinterhofgaragen in Indien, wiederum andere um den Vertrieb. “Das ist ein Milliardenmarkt, der für die Strafverfolgungsbehörden wie Zoll und Polizei sehr schwer zu ermitteln ist. Die Täter wissen genau, dass sie kaum ein Risiko eingehen. Wenn von zehn illegalen Medikamentensendungen nach Deutschland auch nur die Hälfte ankommt, machen sie noch einen unfassbar großen Gewinn“, sagt Sinn.

Den Strafverfolgungsbehörden in Deutschland fehle es vor allem an Expertise im Bereich Cybercrime. Nach Informationen des RedaktionsNetzwerks Deutschland (RND) suchen Bundeswehr, Zoll und Bundeskriminalamt derzeit händeringend nach Experten, die sich aus finanziellen Gründen häufig jedoch lieber in der Privatwirtschaft einstellen lassen. Es siegen also meist die “bösen Hacker“.

Am Londoner Kings College forscht Professor Peter Neumann zum Terrorismus. Gemeinsam mit seinen Studenten untersucht er Profile von Dschihadisten auf Facebook, Twitter und Instagram. Neumann hat durch umfangreiche Recherchen herausgefunden, dass die Anschläge von Paris von Tätern verübt wurden, die allesamt einen Bezug zur kleinkriminellen Szene hatten. So verdiente sich ein Täter Geld für die Anschläge, indem er gefälschte Turnschuhe verkaufte. Andere wiederum waren in Drogengeschäfte oder Zigarettenschmuggel verwickelt, um ihre tödlichen Straftaten zu finanzieren.

Arndt Sinn

Arndt Sinn

Quelle: privat

Neumann weist in seinen Vorträgen, die rund um die Welt gefragt sind, immer wieder darauf hin, dass man nach diesen kleinen Straftaten schauen müsse, um größere Zusammenhänge und potenzielle Terrorismusgefahren zu erkennen. Er moniert zudem, dass die Kooperation der Sicherheitsbehörden innerhalb Europas sowie zwischen den einzelnen Bundesländern verbessert werden müsse.

Wie das RND erfuhr, können Landespolizeien innerhalb Deutschlands aufgrund verschiedener IT-Technik zum Teil nicht einmal miteinander kommunizieren, und der Zoll, immerhin die erfolgreichste Strafverfolgungsbehörde in Sachen Organisierte Kriminalität in Deutschland, benutzt Smartphones, die dem technologischen Stand eines Senioren-Handys entsprechen. Ein Insider zum RND: “Es soll wohl auch ein spezielles Zentrum für Cybercrime beim Zoll geben. Aber dies zeigt man nicht gern, und es bleibt zu hoffen, dass es nicht dem üblichen Zoll-Standard entspricht.“ Immerhin sei der Zoll den ganz großen Fischen der Organisierten Kriminalität auf der Spur.

Christian Schülke (47) aus der hessischen Kleinstadt Langen tüftelt schon seit seiner Schulzeit an Computern und baute mit 18 Jahren mit einem Freund Netzwerke für bis zu 80 PCs. Da ist es nur logisch, dass er auch heute in seinem Beruf mit IT zu tun hat. Schülke und sein Team beraten und schützen Unternehmen, wenn es um Angriffe von Hackern geht. “Wir werden sowohl gerufen, wenn sich eine Firma entscheidet, präventiv tätig zu werden, als auch dann, wenn das Kind bereits in den Brunnen gefallen ist, und die Maschinen stillstehen. Allerdings wird es im letzten Fall meist teurer“, sagt Schülke, der sich in der Hacker-Szene bestens auskennt und auch bei Kongressen auftritt.

Unternehmen nehmen die Risiken nicht ernst

Der IT-Experte wundert sich, dass immer noch zu wenige Unternehmen in den Bereich Cyber-Abwehr investieren und viele die Thematik nicht ausreichend ernst nehmen. “Spätestens seit 2001 ist das Problem, dass Unternehmen von Hackern angegriffen werden, offensichtlich. Davor kann ich doch nicht mehr die Augen verschließen. Einige Firmen updaten ihre Software nicht einmal regelmäßig. Da darf ich mich dann auch nicht wundern, wenn ich attackiert werde“, sagt Schülke.

Er nennt ein konkretes Beispiel. Ein mittelständisches Unternehmen fängt sich einen Trojaner über das E-Mail-System ein. Die Entwicklung steht still, 50 hoch bezahlte Ingenieure sitzen auf einmal nutzlos herum. Bei Schülke klingelt das Telefon und der verzweifelte Firmenchef ist am Apparat. “Sie müssen uns helfen. Schnell!“ Es dauert etliche Stunden, bis die “guten Hacker“ das Problem in den Griff bekommen, parallel geht aber schon ein Erpressungsschreiben ein. Es werden 50 000 Euro gefordert – zu zahlen in Bitcoins. “Eine sehr gängige Masche. Und die meisten Unternehmen zahlen auch, weil sie es sich nicht leisten können, dass weiter Stillstand herrscht. Wer sich allerdings einmal erpressen lässt, läuft Gefahr, auch weiterhin gemolken zu werden“, so Schülke, der auch von großen Unternehmen gebucht wird, die nicht ausschließlich ihrer eigenen IT-Abteilung vertrauen wollen. “Häufig ist diesen Global Playern der Blick von außen wichtig.“

Schülke weiß, dass die Hacker aus der Organisierten Kriminalität nicht dumm sind. Ganz im Gegenteil. Sie sind jung, gut ausgebildet und operieren häufig aus dem osteuropäischen Bereich. Sie sind in der Lage, ganze Firmen zu infiltrieren, hacken E-Mail-Accounts von Mitarbeitern und bestellen so bei Zulieferern Waren in deren Namen. Geliefert wird dann an imaginäre Baustellen, wo dann bereits Lastwagen zum Abtransport bereitstehen.

Christian Schülke

Christian Schülke

Quelle: privat

Schülke erinnert sich an einen besonders einprägsamen Fall: Eine Sprachenschule aus Italien suchte außerhalb Europas neue Mitarbeiter. Das Bewerbungsgespräch wurde per Skype geführt, erfolgreiche Kandidaten sollten mit 3000 Euro für Dokumenten- und Visa-Kosten in Vorleistung gehen. Um die Seriosität zu wahren, bauten die Hacker die Website der echten Sprachenschule bis ins Detail nach. Die frisch eingestellten Mitarbeiter erhielten dann ein Flugticket, wurden aber am Airport vom Personal gestoppt. “Die Tickets hatten keine Gültigkeit mehr, denn die Täter hatten die IT eines insolventen Reisebüros unterwandert und übernommen. Die Täter wendeten diese Masche nicht nur einmal an“, sagt Schülke. Fast wirke es so, als wolle man sich auf Täterseite einen Spaß aus der Ahnungslosigkeit der Opfer machen.

Wenn der IT-Fachmann einen Blick in die Zukunft wagt, rechnet er vor allem damit, dass regionale Dienstleister wie Energie- und Wasserwerke in den Fokus der “bösen Hacker“ geraten. “Es ist absolut im Bereich des Vorstellbaren, dass Hacker die komplette Versorgung einer Region lahmlegen und damit großen Schaden anrichten. Ich meine damit nicht die großen Player, sondern kleinere Versorger“, sagt Schülke.

Verbrechen boomt nicht nur im Cyberspace

Es bedarf allerdings nicht immer eines Hackings, wie der IT-Consultant berichtet. Kürzlich sei er unangemeldet einfach in die Leitwarte eines mittelständischen Versorgers spaziert und hätte dort alle möglichen Schäden anrichten können. Ein funktionierender Wachschutz, der die Anlagen bewacht? Ist zwar vorhanden, aber nicht aufmerksam genug. Schülke nutzte die Unruhe, die durch an diesem Tag anwesende Handwerker entsteht.

Das Verbrechen boomt also nicht nur im Cyperspace. Aber vor allem dort. Bei der ZIT in Gießen wollen sie deshalb im kommenden Jahr ihren Stab um weitere fünf Staatsanwälte aufstocken, um für die Verfolgung der Schwerstkriminalität online gewappnet zu sein. Die ZIT hat in sich in den sieben Jahren ihres Bestehens auf der ganzen Welt einen hervorragenden Ruf erarbeitet und viele spektakuläre Fälle aufgeklärt. Rund 80 Prozent der Darknet-Fälle landen bei den Experten in Gießen – ein Fakt, der für sich spricht.

Es ist ein bewundernswerter und vielfach unerträglicher Job, den “gute Hacker“ wie Dr. Benjamin Krause dort erledigen. “Wichtig ist nur, dass man die Fälle nicht mit nach Hause nimmt“, sagt er.

Erpressungen im Internet nehmen zu

Ausgeklügelte Attacken per E-Mail legen Privatrechner lahm, aber gefährden auch Krankenhäuser, Telefonnetze und Verkehrsbetriebe.

Die Computerausfälle rund um die Welt ließen sofort an das Horrorszenario eines Cyber-Kriegs denken: Infrastruktur wie Krankenhäuser, Telekom-Netze, Versorger oder Verkehrsbetriebe waren das Ziel. Doch die Rechner in britischen Kliniken, bei Telefónica und Iberdrola in Spanien oder der Deutschen Bahn wurden im Mai dieses Jahres nicht von einer gezielten ausgeklügelten Attacke lahmgelegt.

Nein, dahinter steckte lediglich einer dieser Erpressungstrojaner, mit denen Online-Kriminelle Verbraucher und Unternehmen tagtäglich im Visier haben. Man braucht nur auf einen präparierten Link in einer scheinbar harmlosen E-Mail zu klicken – und schon ist der Computer verschlüsselt und die Angreifer verlangen Geld, um ihn wieder freizuschalten. Bei der Attacke vor gut einem halben Jahr legten Online-Kriminelle, die erst einmal 300 Dollar pro befallenen Rechner haben wollen, binnen weniger Stunden mindestens 75 000 Computer in 99 Ländern lahm.

Die größte Aufmerksamkeit bekam der Stillstand der britischen Krankenhäuser in London, Blackpool, Hertfordshire und Derbyshire. Schließlich hätten hier Menschen zu Schaden kommen können. Operationen mussten abgesagt werden, Hausärzte konnten Patienten, die eine dringende Behandlung brauchten, nicht einweisen. Ärzte kamen nicht an Labordaten und digital gespeicherte Röntgenbilder und mussten wieder mit Stift und Papier arbeiten.

Ein lukratives Geschäft für die Angreifer

Die gute Nachricht ist allerdings, dass die Attacken auch bei den betroffenen Infrastruktur-Unternehmen nicht die kritischen Systeme niederrissen. Obwohl es Rechner vieler Telefónica-Mitarbeiter erwischte, funkte das Netz des Telekom-Konzerns weiter. Iberdrola lieferte weiter Strom und bei der Deutschen Bahn fuhren Züge, auch wenn Passagiere digitale Fahrplananzeigen nicht lesen konnten – weil diese von der Lösegeld-Nachricht der Erpresser verdeckt wurden. Im vergangenen Herbst mussten die Nahverkehrsbetriebe in San Francisco die Fahrten noch kostenlos anbieten, weil ein Erpresser-Trojaner die Ticketautomaten befiel.

Diese sogenannte “Ransomware“-Software bereitet IT-Sicherheitsfirmen, die Computer von Verbrauchern, Unternehmen und Behörden schützen, schon seit Jahren immer mehr Kopfschmerzen. Laut Zahlen der Sicherheitssoftware-Firma Symantec wuchs das Ausmaß der Attacken im vergangenen Jahr um 36 Prozent. Inzwischen komme auf jeweils 131 weltweit verschickte E-Mails eine mit bösartigen Links oder Anhängen. In Deutschland sei es sogar eine pro 94 Mails. “Das war ein Höchststand nach einem kontinuierlichen Anstieg über fünf Jahre“, sagte Symantec-Experte Candid Wüest während der Vorstellung des Berichts.

Und es ist ein lukratives Geschäft für die Angreifer mit Hunderten Millionen Dollar im Umlauf. Obwohl Experten stets davon abraten, sich auf die Forderung der Erpresser einzulassen, wird immer wieder bezahlt. Weltweit überweise rund jeder Dritte das meist in der Internet-Währung Bitcoin eingeforderte Lösegeld, ergab die Symantec-Untersuchung. In den USA sind es sogar fast zwei Drittel der Betroffenen und in Deutschland immerhin 16 Prozent.

Ransomware ist eine eingespielte Industrie

Im Schnitt seien 1077 Dollar bezahlt worden – dreieinhalb Mal mehr als noch 2015. “Solange die Leute bezahlen, können die Angreifer das Lösegeld bis zur Schmerzgrenze hochschrauben“, sagt Wüest. Zugleich geht der Anstieg auch auf den Kursaufschwung der Digitalwährung Bitcoin zurück. Sie steigt seit dem vergangenen Jahr und knackte zuletzt die Marke von 1700 Dollar pro Bitcoin.

Ransomware ist inzwischen eine eingespielte Industrie. In der digitalen Unterwelt kann man Software und Infrastruktur für Attacken mieten, über Online-Glücksspiel und Pre-Paid-Kreditkarten werden die Lösegeld-Einnahmen gewaschen. “Einige der Gruppen haben sich auf Unternehmen wie Anwaltskanzleien und Krankenhäuser spezialisiert - und davon werden wir in Zukunft noch mehr sehen“, sagt Wüest. Zunehmend seien auch Cloud-Datenbanken im Visier. Das Problem werde dadurch zugespitzt, dass viele Unternehmen selbst im Gesundheitswesen ihre Computer nicht auf dem neuesten Stand hielten oder auf veralteten Systemen wie Windows XP laufen ließen, warnt Raj Samani von der IT-Sicherheitsfirma McAfee.

Das Risiko von Cyber-Angriffen auf wichtige Infrastruktur-Einrichtungen wird nach Ansicht von Vertretern sowohl aus Politik als auch aus der Wirtschaft immer realistischer. Insgesamt drei Viertel der Befragten einer Trendstudie sehen eine große Gefahr durch Angriffe etwa auf das Stromnetz oder auf Krankenhäuser.

Von Marco Tripmaker


Bildergalerien Alle Galerien
Anzeige
Kümmern Sie sich schon um Ihre Weihnachtseinkäufe?

Alles über Hannover 96

Spielberichte, Hintergründe, Analysen - lesen Sie hier alles über Hannover 96.

Bilder des Tages

../dpa-InfoLine_rs-images/large/urn-newsml-dpa-com-20090101-140912-99-04060_large_4_3.jpg

Waschtag: Ein niederländischer Kavallerist wäscht zum «Prinsjesdag» den Schweif seines Pferdes. Foto: Martijn Beekman

zur Galerie