02.12.2016, 10:36 Uhr | 0 |

Millionenschaden Jahrelang Bankkunden ausgeraubt: Hackerbande zerschlagen

Behörden in 41 Ländern haben jahrelang kooperiert, um die Kriminellen hinter der Botnetz-Infrastruktur „Avalanche“ zu erwischen. Die Hacker erbeuteten wahrscheinlich hunderte Millionen Euro von Bankkunden. Jetzt melden die Ermittler die Zerschlagung der Bande.

Illustration Cyberkriminalität
Á

Mehr als vier Jahre brauchten die deutschen Ermittler, die unter anderem auch mit dem FBI kooperierten, um eine weltweite Hackerbande zu zerschlagen, die Bankkunden ausgeraubt haben.

Foto: Oliver Berg/dpa

Sieben Jahre lang konnten die Täter ihrem Geschäft nachgehen, verschickten jede Woche mehr als eine Million Spam- und Phishing-Mails, die mit Trojanern versehen waren. Hunderttausende Computer in vielen Teilen der Welt konnten sie so infizieren, die Kontrolle über die Domains übernehmen und dann ein Netzwerk „gekidnappter“ Rechner bilden, ein so genanntes Botnetz. Auf diese Weise gelangten sie an die Kontodaten zahlloser Opfer. Nimmt man nur die offiziellen Anzeigen von bisher 1.336 Fällen in Deutschland, beträgt der Schaden mindestens sechs Millionen Euro. In Wahrheit dürfte er im dreistelligen Millionenbereich liegen.

Solche Botnetze gelten als gewaltige Bedrohung im Internet. Umso mehr betonen die Behörden, in Deutschland gar ihr höchster Chef Thomas de Maizière, die Bedeutung des Ermittlungserfolges: 39 Server wurden beschlagnahmt, außerdem „allein auf der Führungsebene 16 Beschuldigte identifiziert“, wie es in einer Mitteilung der Staatsanwaltschaft Verden in Niedersachsen heißt. Sie ist die Schwerpunkt-Behörde für das Thema und arbeitet eng mit einer Cybercrime-Spezialtruppe der Zentralen Polizeiinspektion in Lüneburg zusammen. Sieben Haftbefehle hat die Anklagebehörde bereits ausgestellt.

Bande begann mit Lösegeld-Erpressung

Mehr als vier Jahre brauchten die deutschen Ermittler, die unter anderem auch mit dem FBI kooperierten, für diesen Erfolg. Die Behörden waren auf die Botnetz-Infrastruktur namens „Avalanche“ (Lawine) aufmerksam geworden, weil die Täter damals so genannte Ransomware verbreiteten, mit der private wie geschäftliche Nutzer erpresst wurden, Lösegeld zu zahlen, damit ihre Rechner wieder freigegeben werden. Während die Behörden ermittelten, wechselten die Täter die Server und die Länder, von denen aus sie agierten, teilt die Staatsanwaltschaft jetzt mit. Und nicht nur das: Sie wechselten auch ihr Geschäftsfeld und verlegten sich auf das Online-Banking.

Server in zehn Ländern beschlagnahmt

Wie schwer solchen Kriminellen beizukommen ist, beschreibt Oberstaatsanwalt Frank Lange: „Die Tücke einer ausgefeilten Botnetz-Infrastruktur liegt darin, dass allein das Abschalten eines einzelnen Botnetzes nicht ausreicht, um die kriminellen Angriffe zu unterbinden. Die Aufgaben der entdeckten und unschädlich gemachten Server werden schlagartig von den Servern der anderen Botnetze übernommen, bis ein neues weiteres Botnetz aufgebaut wird." Durch die Analyse der Strukturen von Avalanche und die Identifizierung der einzelnen Server auf Führungsebene sei dann aber der Grundstein für die Zerschlagung der Infrastruktur gelegt.

ARCHIV - ILLUSTRATION - Ein Mann sitzt am 16.06.2011 in Hamburg vor verschiedenen Computern und Monitoren. Foto: Jana Pape/dpa (zu dpa-KORR: ´Cyber-Attacke auf US-Banken mit veralteten Websites aus Deutschland» vom 19.04.2013) +++(c) dpa - Bildfunk+++
Á

Sieben Jahre lang verschickten die Täter jede Woche mehr als eine Million Spam- und Phishing-Mails, die mit Trojanern versehen waren. Hunderttausende Computer in vielen Teilen der Welt konnten sie so infizieren.

Foto: Jana Pape/dpa

In zehn Ländern wurden nun gleichzeitig Server beschlagnahmt und Verdächtige festgenommen. In „einzelnen Fällen“ werde es aber nicht möglich sein, die Beschuldigten in Deutschland vor Gericht zu stellen, weil entsprechende Auslieferungsabkommen fehlten, erklärt die Staatsanwaltschaft.

Provider informieren Betroffene

Auch wenn diese Tatsache den Jubel dämpft, die Verantwortlichen feiern den Erfolg: „Botnetze sind eine der großen Bedrohungen für die Digitalisierung. Die erfolgreiche Aktion zeigt, dass der Staat handlungsfähig und das Internet kein rechtsfreier Raum ist“, sagt Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Seine Behörde hat die Ermittler unterstützt und hilft nun auch Betroffenen.

Zusammen mit Shadowserver, einer Non-Profit-Organisation von IT-Spezialisten, setzt das BSI so genannte Sinkhole-Server ein, die die abgeschalteten Steuerungsserver der Kriminellen ersetzen. Mit ihrer Hilfe könnten betroffene Internetnutzer gewarnt werden. „In den ersten Stunden der Aktion sind bereits rund 100.000 unterschiedliche IP-Adressen in den Sinkhole-Servern aufgelaufen“, heißt es beim BSI. Die Behörde gibt diese einzelnen IP-Adressen gezielt an die Provider weiter, denn nur diese können die IP-Adressen einem Netzwerkanschluss zuordnen und so ihre Kunden informieren. 

Ein weltweiter Hackerangriff steckte offenbar auch hinter den massiven IT-Problemen bei der Deutschen Telekom zu Beginn dieser Woche.

Anzeige
Von Werner Grosch
Zur StartseiteZur Startseite
schlagworte: 
kommentare

Aktuell wurden noch keine Kommentare zu diesem Artikel abgegeben. Loggen Sie ich ein oder melden Sie sich neu an, wenn Sie noch keine Zugangsdaten haben
> Zum Login     > Neu anmelden