Ein seltener Fahndungserfolg

Router der Telekom Ob Router, Überwachungskameras oder Thermostate: Immer mehr Geräte sind mit dem Internet verbunden - und bieten Hackern vielfältige Ziele. (Foto: dpa)

Die Attacke richtete sich auf eine Schwachstelle in „Speedport“-Routern. Die Geräte, die zum Beispiel Haushalte mit dem Internet verbinden, können vom Netzbetreiber über Schnittstellen ferngewartet werden. Über eine dieser Schnittstellen, von Fachleuten Port 7547 genannt, versuchte die Schadsoftware, in die Geräte einzudringen. Der Versuch, auf den Telekom-Routern weitere Software zu installieren, scheiterte. Es gelang „Spiderman“ nicht, die Geräte in sein Netz zu spinnen, stattdessen fielen sie überlastet aus.

Welche Bedrohung vom „Spiderman“-Hack hätte ausgehen können, brachte der IT-Sicherheitschef der Telekom, Thomas Tschersich, wenige Tage nach dem Angriff auf den Punkt: „Hätten die Hacker es geschafft, fast eine Million Router zu einem Botnetz zusammenzuschließen – kein Verteidigungssystem dieser Welt hätte dessen Attacke standhalten können.“ Mit anderen Worten: „Spiderman“ wäre es gelungen, eine digitale Superwaffe zu bauen.

Die Attacke hatte bundesweit für Aufsehen gesorgt – bis in die Politik. Telekom-Chef Timotheus Höttges forderte eine „Nato für das Internet“ und erklärte, dass der Angriff schlimmere Folgen hätte haben können: „Wir haben noch Glück im Unglück.“ Die Schadsoftware hatte einen einfachen Neustart der Geräte nicht überlebt. Den finanziellen Schaden beziffert die Telekom mit rund zwei Millionen Euro.

Auf die Spur von „Spiderman“ kamen die Ermittler durch Datenanalysen der Telekom und des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Ein Gerichtssprecher sagte, es sei ihnen gelungen, die Adressen der Server zu ermitteln, mit denen der mutmaßliche Täter die Router kontrollieren wollte. Außerdem konnten sie E-Mail-Adressen ausfindig machen, „die letztlich dem Angeklagten zugeordnet werden konnten“. Der Fall war am Ende so klar, dass Oberstaatsanwalt Markus Hartmann nur fünf Minuten für die Verlesung der Anklageschrift benötigte.

Was Cyberkriminelle mit Botnetzen machen Eine Armee von Zombies Als Botnetz bezeichnen Experten ein Netzwerk aus zahlreichen Computern, das Kriminelle fernsteuern können. Dafür bringen sie Tausende, teils sogar Millionen Geräte unter ihre Kontrolle, etwa mit präparierten E-Mails oder Websites. Da ist der Vergleich zu einem Zombie, also einem willenlosen Fantasiewesen, nicht mehr weit. Die eigentlichen Besitzer der Rechner merken oft nichts davon, außer vielleicht, dass die Geräte langsamer laufen.

Eine wachsende Gefahr Heute sind nicht nur PCs, Tablets und Smartphones mit dem Internet verbunden, sondern auch Geräte fürs vernetzte Zuhause wie Überwachungskameras, Kühlschränke, Thermostate und Babyfone, außerdem natürlich Router - und immer neue Produkte kommen hinzu. Da diese auch noch häufig schlecht abgesichert sind, werden Botnetze zu einer immer größeren Gefahr.

Kriminelle Arbeitsteilung Die Betreiber von Botnetzen vermieten diese oft an andere Kriminelle - in den Untergrundforen bieten sie ihre Infrastruktur an. Wer also Viren oder Trojaner verbreiten will, kann den Versand über einen Dienstleister abwickeln. Dadurch hat im Prinzip jeder mit krimineller Energie und ausreichend Geld Zugriff auf Zombiearmeen.

Websites attackieren Häufig werden Botnetze für Überlastungsangriffe auf Websites genutzt, Experten sprechen von „Distributed Denial of Service“ (DDoS): Es handelt sich also um einen verteilten Angriff, bis der Server den Dienst verweigert. Die einzelnen Rechner im Botnetz sind zusammengeschaltet eine mächtige Waffe.

Spam verschicken Das Rechnernetzwerk eignet sich auch für den Versand von E-Mails, etwa zur Verbreitung von Spam oder Spionagesoftware. Einerseits machen Kriminelle auf diesem Weg Werbung für dubiose oder illegale Dinge. Andererseits versuchen sie beispielsweise, mit fingierten E-Mails Zugangsdaten von Nutzern abzufangen - Experten sprechen vom Phishing.

Bitcoins erstellen Die Rechenleistung der Zombienetzwerke können Kriminelle auch für andere Zwecke nutzen. Ein Beispiel: Nach Erkenntnissen von Sicherheitsforschern sollte beispielsweise das Mirai-Botnetz Bitcoins schürfen - also Rechenoperationen ausführen, die mit der Digitalwährung belohnt werden.

Die Verfolgung koordinierte die noch junge Zentral- und Ansprechstelle Cybercrime (ZAC) bei der Staatsanwaltschaft Köln. Dort sind seit April 2016 spezielle Staatsanwälte für Ermittlungen bei großen und grundlegenden Fällen von Internetkriminalität in ganz Nordrhein-Westfalen zuständig.

Fahndungserfolge wie beim Telekom-Hacker sind bei Cyberkriminalität keine Selbstverständlichkeit. Häufig nutzen die Täter die vielfältigen Verschleierungsmechanismen des Internets geschickt aus.

Der formale Strafvorwurf gegen „Spiderman“ Daniel K. lautet auf „gewerbsmäßige Computersabotage“ (§ 303b StGB) in einem besonders schweren Fall. Dafür ist eine Freiheitsstrafe zwischen sechs Monaten und zehn Jahren vorgesehen. Daniel K. soll allein gehandelt haben. Was ihm zu seinen Gunsten ausgelegt werden kann: Er ist nicht vorbestraft und hat die Taten gestanden. Das Urteil wird deshalb wahrscheinlich schon in der kommenden Woche verkündet werden.

Der massive Hackerangriff von Daniel K. lässt die Gefahren der Cyberkriminalität der Zukunft erkennen. Bislang bestanden Botnetze vor allem aus Computern. Experten warnen nun, dass sich im Internet der Dinge auch Drucker, Router, Kühlschränke, Fernseher oder Autos für immer wuchtigere Cyberattacken missbrauchen lassen.