„Spiderman“ gesteht Cyberangriff

1 / 2

Telekom-Hacker zu Bewährungsstrafe verurteilt

Der Hacker Daniel K. legte vergangenes Jahr eine Million Telekom-Router lahm. Nun hat ihn das Landgericht Köln zu einem Jahr und acht Monaten auf Bewährung verurteilt. Eine drastische Strafe droht ihm in seiner Heimat.


Der erste Advent des vergangenen Jahres ist 1,2 Millionen deutschen Telekom-Kunden in Erinnerung geblieben – aber nicht wegen vorweihnachtlicher Besinnlichkeit. An jenem Sonntagabend fielen Telefone, Internet- und Fernsehempfang stundenlang aus, weil ein Hackerangriff reihenweise Router des Magenta-Konzerns lahmlegte. Die Cyberattacke hatte eine Dimension, wie sie Deutschland bis dahin noch nicht kannte.

Der Mann, der die Verantwortung für den Angriff übernimmt, tritt am Freitagvormittag vor die 18. Große Strafkammer des Kölner Landgerichts. Daniel K. ist ein schmächtiger Mann mit sehr kurzen Haaren. Der britische Staatsbürger lässt gleich zu Beginn der Verhandlung eine Erklärung verlesen. Darin gesteht er alle Vorwürfe der Anklage. „So sehr ich es aus heutiger Sicht bedauere, möchte ich mich dazu bekennen, dass die Dinge so abgelaufen sind.“


Wie es bei Cyberkriminellen häufig der Fall ist, agierte Daniel K. im Netz unter Pseudonymen. Er nannte sich „Peter Parker“ und „Spiderman“. Die Spitznamen sind passend gewählt, denn der Kernvorwurf der Staatsanwaltschaft lautet, dass er wie eine Spinne ein Netz bauen wollte – ein sogenanntes Botnetz. Dabei werden Tausende Computer oder Elektronikgeräte gekapert und dann durch Hacker fremdgesteuert. Die Telekom-Router wollte Daniel K. mit Hilfe der Schadsoftware „Mirai“ verbinden, deren Quellcode ihm in die Hände gefallen war.

Botnetze sind gefährliche Cyberwaffen. Mit ihnen lassen sich Wellen von Spam-Mails versenden oder Überlastungsangriffe auf Webseiten, sogenannte „Denial-of-Service“-Attacken (DDoS), orchestrieren. Deshalb werden auf illegalen Marktplattformen im Darknet Zugänge zu solchen Verbünden gehandelt. Auch Daniel K. räumt ein, dass er mit der Vermietung seines Botnetzes Geld verdienen wollte.


Vor Gericht sagt er, ein afrikanisches Kommunikationsunternehmen habe ihn beauftragt, einen Konkurrenten mit einer DDoS-Attacke anzugreifen. Offenbar wollte die Firma auf diesem Weg Marktanteile gewinnen. Laut Staatsanwaltschaft seien „Spiderman“ dafür 10.000 US-Dollar im Monat in Aussicht gestellt worden. Dreimal habe er Geld bekommen, sagt der Angeklagte.

In seinem Geständnis berichtet der zuckerkranke Daniel K. von finanziellen Sorgen. Mehrfach sei er zwischen Israel, wo er aufgewachsen ist, und Großbritannien hin und her gezogen, aber wegen der hohen Lebenshaltungskosten kaum über die Runden gekommen. „Die Versuche, im IT-Bereich Geld für eine Familie aufzutreiben, sind regelmäßig gescheitert.“ Zuletzt habe er mit seiner Freundin auf Zypern gelebt, weil das Leben dort billiger gewesen sei.

Daniel K. wurde im Februar auf einem Londoner Flughafen festgenommen und einen Monat später im vereinfachten Auslieferungsverfahren nach Deutschland überstellt. Seitdem sitzt er in Untersuchungshaft. Sechs Mal habe er in mehrstündigen Vernehmungen ausgesagt, betont sein Anwalt die Kooperationsbereitschaft seines Mandanten.

Eine besondere Ausbildung war für den Angriff nicht nötig. Der gebürtige Londoner hat sich nach eigener Aussage seine Programmierkenntnisse selbst beigebracht. Er habe sich seit seiner Kindheit mit Computern beschäftigt, aber keine entsprechende Ausbildung absolviert.


Ein seltener Fahndungserfolg


Die Attacke richtete sich auf eine Schwachstelle in „Speedport“-Routern. Die Geräte, die zum Beispiel Haushalte mit dem Internet verbinden, können vom Netzbetreiber über Schnittstellen ferngewartet werden. Über eine dieser Schnittstellen, von Fachleuten Port 7547 genannt, versuchte die Schadsoftware, in die Geräte einzudringen. Der Versuch, auf den Telekom-Routern weitere Software zu installieren, scheiterte. Es gelang „Spiderman“ nicht, die Geräte in sein Netz zu spinnen, stattdessen fielen sie überlastet aus.

Welche Bedrohung vom „Spiderman“-Hack hätte ausgehen können, brachte der IT-Sicherheitschef der Telekom, Thomas Tschersich, wenige Tage nach dem Angriff auf den Punkt: „Hätten die Hacker es geschafft, fast eine Million Router zu einem Botnetz zusammenzuschließen – kein Verteidigungssystem dieser Welt hätte dessen Attacke standhalten können.“ Mit anderen Worten: „Spiderman“ wäre es gelungen, eine digitale Superwaffe zu bauen.

Die Attacke hatte bundesweit für Aufsehen gesorgt – bis in die Politik. Telekom-Chef Timotheus Höttges forderte eine „Nato für das Internet“ und erklärte, dass der Angriff schlimmere Folgen hätte haben können: „Wir haben noch Glück im Unglück.“ Die Schadsoftware hatte einen einfachen Neustart der Geräte nicht überlebt. Den finanziellen Schaden beziffert die Telekom mit rund zwei Millionen Euro.

Auf die Spur von „Spiderman“ kamen die Ermittler durch Datenanalysen der Telekom und des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Ein Gerichtssprecher sagte, es sei ihnen gelungen, die Adressen der Server zu ermitteln, mit denen der mutmaßliche Täter die Router kontrollieren wollte. Außerdem konnten sie E-Mail-Adressen ausfindig machen, „die letztlich dem Angeklagten zugeordnet werden konnten“. Der Fall war am Ende so klar, dass Oberstaatsanwalt Markus Hartmann nur fünf Minuten für die Verlesung der Anklageschrift benötigte.


Die Verfolgung koordinierte die noch junge Zentral- und Ansprechstelle Cybercrime (ZAC) bei der Staatsanwaltschaft Köln. Dort sind seit April 2016 spezielle Staatsanwälte für Ermittlungen bei großen und grundlegenden Fällen von Internetkriminalität in ganz Nordrhein-Westfalen zuständig.

Fahndungserfolge wie beim Telekom-Hacker sind bei Cyberkriminalität keine Selbstverständlichkeit. Häufig nutzen die Täter die vielfältigen Verschleierungsmechanismen des Internets geschickt aus.

Der formale Strafvorwurf gegen „Spiderman“ Daniel K. lautet auf „gewerbsmäßige Computersabotage“ (§ 303b StGB) in einem besonders schweren Fall. Dafür ist eine Freiheitsstrafe zwischen sechs Monaten und zehn Jahren vorgesehen. Daniel K. soll allein gehandelt haben. Was ihm zu seinen Gunsten ausgelegt werden kann: Er ist nicht vorbestraft und hat die Taten gestanden. Das Urteil wird deshalb wahrscheinlich schon in der kommenden Woche verkündet werden.

Der massive Hackerangriff von Daniel K. lässt die Gefahren der Cyberkriminalität der Zukunft erkennen. Bislang bestanden Botnetze vor allem aus Computern. Experten warnen nun, dass sich im Internet der Dinge auch Drucker, Router, Kühlschränke, Fernseher oder Autos für immer wuchtigere Cyberattacken missbrauchen lassen.

KONTEXT

Wie die Hacker zum Ziel kommen

Eine einzige Schwachstelle reicht

Wenn kriminelle Angreifer in ein Computersystem eindringen wollen, haben sie einen Vorteil: Sie müssen womöglich nur eine einzige Schwachstelle finden, um einen Rechner zu kompromittieren. Einige ausgewählte Angriffsmethoden.

Verspätetes Update

Es gibt praktisch keine fehlerlose Software - wenn Sicherheitslücken entdeckt werden, sollte sie der Hersteller mit einem Update schließen. Viele Firmen lassen sich jedoch Zeit, diese zu installieren und öffnen Angreifern somit Tür und Tor.

Angriff auf die Neugier

Der Mensch ist neugierig - das machen sich kriminelle Hacker zunutze: Sie verfassen fingierte E-Mails, die wichtige Dokumente oder ein lustiges Video versprechen, aber nebenbei die Zugangsdaten eines Mitarbeiters stehlen. Phishing wird diese Methode genannt.

Gutgläubigkeit als Einfallstor

"Hier ist die IT-Abteilung. Wir brauchen mal Ihr Passwort": Nicht selten gelangen Angreifer mit einem dreisten Anruf an die Zugangsdaten eines Mitarbeiters. Wer gutgläubig ist, fällt auf diese Masche rein - obwohl die IT-Fachleute aus dem eigenen Haus nie so eine Frage stellen würden.

Ein Passwort, das nicht sicher ist

Ob Router oder Drucker: Viele Geräte werden mit einem Standardpasswort ausgeliefert. Wenn die IT-Abteilung es nicht verändert, haben Angreifer leichtes Spiel. "Die Handbücher mit dem Passwort stehen oft im Internet", sagt Joachim Müller, Chef für IT-Sicherheit beim Dienstleister Ceyoniq Consulting.

Ein schwaches Glied

Angreifer suchen das schwächste Glied in der Kette, häufig alte Systeme. Zudem kennen professionelle Angreifer - neben Kriminellen auch Geheimdienste - oft Sicherheitslücken, die den Herstellern der Software noch nicht bekannt sind. Gegen solche Zero-Day-Exploits kann man sich kaum schützen.

KONTEXT

Was Cyberkriminelle mit Botnetzen machen

Eine Armee von Zombies

Als Botnetz bezeichnen Experten ein Netzwerk aus zahlreichen Computern, das Kriminelle fernsteuern können. Dafür bringen sie Tausende, teils sogar Millionen Geräte unter ihre Kontrolle, etwa mit präparierten E-Mails oder Websites. Da ist der Vergleich zu einem Zombie, also einem willenlosen Fantasiewesen, nicht mehr weit. Die eigentlichen Besitzer der Rechner merken oft nichts davon, außer vielleicht, dass die Geräte langsamer laufen.

Eine wachsende Gefahr

Heute sind nicht nur PCs, Tablets und Smartphones mit dem Internet verbunden, sondern auch Geräte fürs vernetzte Zuhause wie Überwachungskameras, Kühlschränke, Thermostate und Babyfone, außerdem natürlich Router - und immer neue Produkte kommen hinzu. Da diese auch noch häufig schlecht abgesichert sind, werden Botnetze zu einer immer größeren Gefahr.

Kriminelle Arbeitsteilung

Die Betreiber von Botnetzen vermieten diese oft an andere Kriminelle - in den Untergrundforen bieten sie ihre Infrastruktur an. Wer also Viren oder Trojaner verbreiten will, kann den Versand über einen Dienstleister abwickeln. Dadurch hat im Prinzip jeder mit krimineller Energie und ausreichend Geld Zugriff auf Zombiearmeen.

Websites attackieren

Häufig werden Botnetze für Überlastungsangriffe auf Websites genutzt, Experten sprechen von "Distributed Denial of Service" (DDoS): Es handelt sich also um einen verteilten Angriff, bis der Server den Dienst verweigert. Die einzelnen Rechner im Botnetz sind zusammengeschaltet eine mächtige Waffe.

Spam verschicken

Das Rechnernetzwerk eignet sich auch für den Versand von E-Mails, etwa zur Verbreitung von Spam oder Spionagesoftware. Einerseits machen Kriminelle auf diesem Weg Werbung für dubiose oder illegale Dinge. Andererseits versuchen sie beispielsweise, mit fingierten E-Mails Zugangsdaten von Nutzern abzufangen - Experten sprechen vom Phishing.

Bitcoins erstellen

Die Rechenleistung der Zombienetzwerke können Kriminelle auch für andere Zwecke nutzen. Ein Beispiel: Nach Erkenntnissen von Sicherheitsforschern sollte beispielsweise das Mirai-Botnetz Bitcoins schürfen - also Rechenoperationen ausführen, die mit der Digitalwährung belohnt werden.