Als am 26. September 2019 mehr als 600 Polizisten in den Weinort Traben-Trarbach an der Mosel einrückten, hatte eine neue Ära des Verbrechens im Internet begonnen. Denn die Stadt beherbergte zu diesem Zeitpunkt nicht nur ein Thermalbad, eine Festungsruine aus dem 17. Jahrhundert und hektarweise Weinberge, sondern auch mehr als 400 Server voller Cyberkriminalität.
Grund dafür waren die neuen Besitzer eines ehemaligen Bundeswehrbunkers auf einem Berg nördlich des Stadtzentrums. Diesen hatte nach dem Abzug der Truppe die Stiftung eines Mannes aus den Niederlanden gekauft, der darin vorgeblich ein Rechenzentrum zur Bereitstellung von hochsicheren Internetdiensten betreiben wollte. Das tat er auch – lediglich waren die Kunden nicht ganz diejenigen, die man sich in Traben-Trarbach vorgestellt hatte.
„Wir haben keine einzige legale Seite auf den Servern der Angeschuldigten feststellen können“, sagte der Leiter der rheinland-pfälzischen Landeszentralstelle Cybercrime nach der Razzia vor der Presse. Stattdessen waren auf den Bunkerservern zum Beispiel die Seiten „Wall Street Market“ und „Fraudsters“ zu Hause – zwei bedeutsame Portale, auf denen im Darknet Millionen erlöst wurden.
Geld ist das Motiv, das die Szene zusammenhält
Das Darknet ist ein abgeschotteter Teil des Internets, zu dem man nur mit einem speziellen Programm Zugang hat, dem „Tor“-Browser. Tor ist ein Akronym für „The Onion Router“, also „Zwiebelrouter“. Das Programm funktioniert im Prinzip wie die handelsüblichen Browser Firefox und Chrome, nur dass er seine Verbindungen verschlüsselt über mehrere Server leitet, von denen jeder nur jeweils den vorangegangenen und den nächsten in der Kette kennt – wie die Schichten einer Zwiebel. Die Entwickler dahinter schreiben sich auf die Fahnen, etwa Opfer autoritärer Regime vor staatlichen Repressalien zu schützen. Zugleich rüsten sie aber auch Cyberkriminelle mit größtmöglicher Anonymität aus.
Über die in Traben-Trarbach aufgeflogenen Portale wurden Schadsoftware bestellt, gestohlene Daten vermarktet, Drogen- und Waffengeschäfte abgewickelt. Als die Frankfurter Generalstaatsanwaltschaft später Anklage gegen die Betreiber von „Wall Street Market“ erhebt, teilt sie mit, über die Plattform seien in drei Jahren 2,4 Tonnen Cannabisprodukte und 75 Kilogramm Kokain verkauft worden. Rechnet man die Straßenverkaufspreise der Drogen hoch, waren das Waren im Wert von rund 30 Millionen Euro.
Darknet-Portale sehen dabei fast genauso aus wie Ebay, Amazon oder andere legale Verkaufsplattformen aus dem normalen Internet, das Fachleute im Gegensatz zum Darknet „Clearnet“ nennen. Es gibt Fotos der Ware und ein Bewertungssystem, mit dem Kunden den Verkäufer und seine Artikel mit bis zu fünf Sternen bewerten können. Die einzigen offensichtlichen Unterschiede sind, dass vom Verkäufer nur ein Deckname zu sehen ist und dass nicht mit Kreditkarte oder PayPal bezahlt werden kann, sondern nur in Bitcoin oder anderen Digitalwährungen. Bei diesen verbergen sich Zahlender und Empfänger hinter Pseudonymen und sind kaum aufzuspüren. Es gibt einige Fachleute, die den jüngsten Höhenflug des Bitcoin-Kurses auch mit der Zunahme von Cyberkriminalität assoziieren.
Die Portale sind aber nur ein Teil einer professionellen, arbeitsteilig organisierten Schattenwirtschaft, die in den vergangenen Jahren entstand. Dominierte früher das Bild der Hacker, die sich monatelang mit ihrem Ziel beschäftigten, um einen einzelnen Cyberangriff auf ein Unternehmen durchzuführen, können sich heute Hacker alles als Dienstleistung dazukaufen, was sie nicht selbst können. „Cybercrime as a Service“ heißt das unter Fachleuten. „Im Prinzip kann heute jeder Noob Cyberattacken fahren“, sagt ein führender deutscher Digitalermittler. „Noob“ steht im Fachjargon für jemanden, der keine besonderen Fähigkeiten hat.
Das Element, das die unterschiedlichen Akteure der digitalen Unterwelt zusammenführt, ist Geld. Hackerangriffe richten zwar inzwischen so große Schäden an, dass sie Thema auf höchster politischer Ebene sind und diplomatische Spannungen ausgelöst haben. Ein großer Teil der Hacker ist aber schlicht kommerziell motiviert – was allerdings nicht ausschließt, dass sie auch zu politischen Zwecken angeheuert werden.
Das Bundeskriminalamt hat zur Systematisierung der Schattenbranche ein Neun-Säulen-Modell entwickelt. Jede der Säulen steht dabei für einen anderen Arbeitsbereich im kriminellen Internet. Eine der Säulen sind Server-Anbieter, die Darknet-Seiten „bulletproof“ hosten, also ihnen eine „kugelsichere“ Internetpräsenz verschaffen. Sie werben mehr oder weniger unverhohlen damit, die von ihren Servern aus angebotenen Internetdienste vor jeglichem Zugriff zu schützen – auch vor dem staatlicher Strafverfolger. Sie sind mit Preisen von laut BKA bis zu 700 Dollar im Monat teurer als Hoster von legalen Internetseiten, sichern Cyberkriminellen aber die zuverlässige Bereitstellung ihrer Dienste. Der Cyberbunker in Traben-Trarbach ist dafür ein Beispiel.
Den Betreibern dieser Infrastrukturen ihre Beihilfe zur Cyberkriminalität nachzuweisen ist juristisch nicht immer einfach. Der mutmaßliche Kopf der Betreiberbande des Cyberbunkers betonte vor Gericht, nicht gewusst zu haben, was seine Kunden auf seinen Servern taten. Ein Rechenzentrum sei eigentlich nichts anderes als ein Bankschließfach, sagte sein Anwalt: „Und solange wir nicht selbst aufschließen und da reingucken können, wissen wir doch nicht, was die Leute da reintun.“ Ob er und sein Mandant mit dieser Argumentation durchkommen, ist offen: Der Prozess vor dem Landgericht Trier läuft noch.
Die Bausteine für Cyberattacken sind günstig zu haben
Während Hosting-Provider die technische Infrastruktur bereitstellen, werden auf Marktplätzen wie „Wall Street Market“ die Geschäfte im Darknet abgewickelt. Neben Drogen, Waffen und Kinderpornographie kann man dort auch die Werkzeuge für Cyberstraftaten kaufen. Kombinationen aus Nutzernamen und Passwörtern zum Beispiel. Die Website „Have I been pwned?“, auf der Nutzer überprüfen können, ob ihr Passwort gehackt wurde, listet zurzeit 613 Millionen Passwörter, die in der Vergangenheit von Hackern erbeutet wurden. Es gibt Portale, sogenannte Automated Vending Carts (AVCs), auf denen sie, ebenso wie gestohlene Kreditkartennummern, in großen Paketen automatisiert heruntergeladen werden können – gegen Zahlung, versteht sich.
Teuer sind sie aber nicht: Zehn Kreditkartennummern kann man schon für den Gegenwert von einem Dollar erwerben, heißt es von Strafverfolgern. Teurer wird es, wenn die Karte bekanntermaßen ein hohes Limit hat oder die dreistellige Prüfziffer auf der Rückseite der Kreditkarte mitgeliefert wird. Zugangsdaten zu kompromittierten Accounts bei Internetdiensten werden einer Microsoft-Erhebung zufolge durchschnittlich für 97 Cent je 1000 Stück verkauft. „Das ist so gut wie nichts – und man kann es einfach kaufen, ohne sich um den Aufbau einer eigenen Hacking-Infrastruktur kümmern zu müssen“, sagt Microsoft-Sicherheitsspezialistin Aanchal Gupta.
Auch Werkzeuge von Hackern kosten nicht viel. Sogenannte DDoS-Attacken, die mit konzertierten, millionenfachen Anfragen auf einen Internetdienst dessen Website lahmlegen, kann man im Abo kaufen: 311,88 Dollar werden dafür der Microsoft-Studie zufolge im Monat fällig. Hacker-Dienstleistungen beginnen je nach Schwierigkeit bei 250 Dollar für den Einbruch in ein System. Die höchsten Preise erzielen in Darknet-Foren sogenannte „Zero Day“- Schwachstellen, die Studie nennt bis zu 350.000 Dollar. Das sind Sicherheitslücken in Programmen, die bislang noch niemand entdeckt hat – auch nicht das Unternehmen, das die Software vertreibt und die Lücke hätte schließen können.
Eine solche Lücke wurde im Frühjahr Microsoft zum Verhängnis, als eine solche Schwachstelle in der verbreiteten Exchange-Server-Architektur des Konzerns auffiel, die von der großen Mehrheit der Unternehmen auf der ganzen Welt für ihre E-Mail-Kommunikation genutzt wird. Auf einen Schlag waren allein in Deutschland 60.000 Unternehmen verwundbar – und die Hacker ließen nicht lange auf sich warten.
590 Millionen Dollar Lösegeld
Schließlich ist auch die Infizierung von Zielen mit Schadsoftware zu einem eigenen Gewerk geworden: Es gibt Hackerbanden, die sich allein darauf konzentrieren, Zugänge zu Opfersystemen zu legen, und diese dann gebündelt zum Verkauf anbieten. Perfide daran ist, dass das Opfer solcher Angriffe zunächst gar nicht merkt, dass es Hacker im Haus hatte. Erst wenn sich ein Käufer findet, der den gelegten Zugang ausnutzt, fällt der Schaden auf. Eine der Banden, die auf diese Weise zu zweifelhafter Berühmtheit gelangt ist, heißt „Mummy Spider“. Sie stand hinter der gefürchteten Schadsoftware Emotet, die eine internationale Gruppe von Ermittlern mit maßgeblicher deutscher Beteiligung im Januar zerschlagen konnte.
Emotet folgte meistens ein Erpressungsprogramm. Diese verschlüsseln die Systeme von Opfern und geben sie erst gegen ein Lösegeld wieder frei. Kostenpunkt laut der Microsoft-Studie: rund 30 Prozent der mit der Malware erzielten Erlöse. Solche „Affiliate“-Modelle sind häufig; das zeigt, wie professionalisiert die Schattenwirtschaft im Internet ist. „Ransomware“, wie die Verschlüsselungsprogramme genannt werden, ist die schwerwiegendste Bedrohung für Firmen im kriminellen Internet – denn sie ist in der Lage, ganze Fabriken lahmzulegen, wodurch die Schäden schnell in die Millionen oder gar Milliarden gehen. In jüngerer Vergangenheit sind Cyberkriminelle zudem dazu übergegangen, Daten erst auszuleiten, bevor sie diese verschlüsseln. Sie drohen dann damit, sensible Informationen zu veröffentlichen, und erhöhen so den Druck während der Erpressung.
Viele Unternehmen geraten in solchen Situationen in die Versuchung, das geforderte Lösegeld zu bezahlen, auch wenn niemand darüber gern spricht. Die Betreibergesellschaft der Colonial-Benzinpipeline in den USA, die im Mai Opfer eines Ransomware-Angriffs wurde, zahlte angesichts akuten Benzinmangels an zahlreichen Tankstellen 4,4 Millionen Dollar an die Hacker, welche die Leitung lahmgelegt hatten. „Ich weiß, dass es eine hochkontroverse Entscheidung war“, sagte ihr Chef Joseph Blount. Wie Daten der amerikanischen Behörde Financial Crimes Enforcement Network zeigen, sind in den USA allein im ersten Halbjahr 2021 Ransomware-Lösegelder in Höhe von 590 Millionen Dollar gezahlt worden, mehr als im gesamten vergangenen Jahr. Auch in Deutschland wiegt das Problem schwer: Gerade wurden Server von MediaMarkt und Saturn verschlüsselt. Angeblich fordern die Hacker 50 Millionen Euro für die Freigabe.
Auch in der Unterwelt ist Vertrauen eine Grundvoraussetzung
Trotz all der Möglichkeiten, die das Internet Kriminellen bietet, haben diese aber auch ein Problem: Sie bewegen sich – logischerweise – in einem rechtsfreien Raum, in dem keine Gesetze gelten. Sämtliche Geschäfte müssen deshalb auf gegenseitigem Vertrauen fußen. Dieses zu etablieren ist nicht einfach, wenn persönliche Treffen extrem selten und Klarnamen ausgeschlossen sind. Um trotzdem eine Basis für Austausch zu schaffen, gibt es Foren, wie auch das ebenso in Traben-Trarbach ausgehobene Portal „Fraudsters“ eines war. Sie nehmen im Darknet etwa die Position dessen ein, was in der physischen Welt die dubiose Spelunke ist, in der sich Verbrecher treffen. Will man Hacker anwerben, sich mit dem neuesten Hack brüsten oder nur hören, worüber die Szene so redet, geht man auf solche Portale. Unter Ermittlern heißen Foren deshalb oft die „Gelben Seiten“ der Underground Economy.
Eine Reihe von ihnen ist auch aus dem offenen Internet erreichbar, je nach Tragweite der dort besprochenen Machenschaften. Das Entscheidende: Jeder Nutzer kann – ebenso wie auf den Marktplätzen – bewertet werden. Das dabei entstehende Bild aus positiven und negativen Bewertungen spiegelt das Vertrauen, das er in der Szene genießt. Bietet ein Nutzer an, in E-Mail- oder Social-Media-Accounts zu hacken, und hat nur oder überwiegend positive Bewertungen, können neue Kunden recht zuverlässig davon ausgehen, dass er die angebotenen Dienstleistungen auch erbringt.
Solche Bewertungen dienen auch Fachleuten als Indikator, um neu auftretende Hackergruppen einzuordnen. Sicherheitsforscher des japanischen Unternehmens Trend Micro veröffentlichten etwa unlängst einen Bericht über die Hackergruppe „Void Balaur“, die sich auf das Ausspionieren hochkarätiger Ziele verlegt hat und in Foren fast einhellig positive Bewertungen erhielt. Dass Hackergruppen häufig Tiernamen erhalten – ein Balaur ist ein vielköpfiges Fabelwesen, ursprünglich aus der rumänischen Mythologie –, hat sich unter Sicherheitsfachleuten als Konvention etabliert. Das Tier orientiert sich an der mutmaßlichen Herkunft der Gruppe. In Russland verortete Hacker werden oft „Bear“ genannt, weil Russland einen Bären im Wappen trägt, China wird mit dem „Panda“ assoziiert. Der Balaur soll nach Angaben von Trend Micro generell auf eine osteuropäische Herkunft hindeuten.
Void Balaur ist ein gutes Beispiel dafür, wie Hacker primär finanziell motiviert sind, aber dennoch in politischen Kontexten agieren können. Auf der Liste ihrer Ziele fanden sich zum Beispiel fünf aktive Minister eines osteuropäischen Landes, zwei Parlamentsabgeordnete und der ehemalige Chef eines Geheimdienstes. Trotzdem war ihr Hauptmotiv das Geld: Auf einer Website warben sie, dass sie sich für umgerechnet 550 Dollar in ein Googlemail-Postfach und für gut 2000 Dollar in einen Account des Messengerdienstes Telegram einhacken könnten. Die Hacker ließen sich offenbar zu unterschiedlichen Zwecken anheuern.
Die digitale Unterwelt - FAZ - Frankfurter Allgemeine Zeitung
Read More
No comments:
Post a Comment