Online-Banking: Internationaler Betrügerring zerschlagen

Ein Mann benutzt die beleuchtete Tastatur eines Notebooks (Symbolfoto) © dpa | Silas Stein

Lüneburg. Lüneburger Spezialisten, Staatsanwaltschaft und FBI ermittelten weltweit. Täter kontrollierten allein in Deutschland 50.000 Computer.

Cybercrime-Spezialisten der Kriiminalinspektion Lüneburg ist es in Zusammenarbeit mit der Staatsanwaltschaft Verden und dem amerikanischen FBI sowie Sicherheitsbehörden von 39 europäischen und außereuropäischen Staaten gelungen, Strukturen für massenhafte Angriffe auf Online-Banking-Kunden zu zerschlagen. Am Mittwoch wurden in einer international koordinierten Aktion mutmaßliche Führungsmitglieder einer kriminellen Vereinigung verhaftet. Das teilte die Staatsanwaltschaft Verden am Donnerstagnachmittag mit. Durch die gleichzeitige Beschlagnahme von 39 Servern und mehreren Hunderttausend Domains wurde den Tatverdächtigen allein in Deutschland die Kontrolle über mehr als 50.000 Computer entzogen.

"Nach mehr als vier Jahren intensiver Ermittlungsarbeit und internationaler Zusammenarbeit war es möglich geworden, die wohl weltweit größte Infrastruktur zum Betrieb von Botnetzen aufzudecken und zu analysieren", teilte die Staatsanwaltschaft Verden mit. "Bis zum gegenwärtigen Zeitpunkt konnten allein auf der Führungsebene 16 Beschuldigte identifiziert werden. Gegen sieben Tatverdächtige hat das Amtsgericht Verden Haftbefehle wegen Bildung einer kriminellen Vereinigung, banden- und gewerbsmäßigen Computerbetruges und anderer Straftaten erlassen.

Täter spionierten gleichzeitig 50.000 Computer aus

Mit der strukturierten Zusammenlegung von mehreren Botnetzen war es den Tätern gelungen, Bankkunden, die ihre Geschäfte online erledigten, um durchschnittlich mehr als 5000 Euro zu schädigen. Mindestens seit 2009 nutzten die Täter die weltweit vernetzte Botnetz-Infrastruktur „AVALANCHE“ für Phishing- und Spamkampagnen. Pro Woche wurden mehr als eine Million Spammails mit schädigendem Anhang oder Link versandt. Durch Öffnen des Anhangs oder Anklicken des Links wurde das nunmehr infizierte Computersystem Teil des Botnetzes. Auf diese Weise wurden durch die Täter gleichzeitig mehr als 50.000 Opfer-Computer kontrolliert und ausspioniert.

"Aufgrund der vorliegenden Anzeigen kann die Schadenssumme derzeit auf sechs Millionen Euro aus 1336 Taten beziffert werden", so ein Sprecher der Staatsanwaltschaft Verden. "Der tatsächliche Schaden dürfte auch in Deutschland weitaus höher liegen, während die genannten Zahlen sowieso nur die Angriffe gegen Opfer in Deutschland wiedergeben."

Ermittlungen begannen vor vier Jahren

Begonnen hatten die Ermittlungen vor vier Jahren, als massenhaft sogenannte Ransomware verbreitet wurde, mit der private und geschäftliche Nutzer von PC und PC-Netzwerken erpresst wurden, Geld zu zahlen. Während die Ermittler mit der Unterstützung des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) in Bonn hinter die enormen Dimensionen der Botnetzinfrastuktur „ AVALANCHE" kamen, wechselten die Tatverdächtigen nicht nur die Geschäftsfelder, sondern auch die Server und die Länder, von denen aus sie agierten. Derzeit liegt der Schwerpunkt darin, Online-Banking-Kunden zu schädigen.

"Die Tücke einer ausgefeilten Botnetz-Infrastruktur liegt darin, dass allein das Abschalten eines einzelnen Botnetzes nicht ausreicht, um die kriminellen Angriffe zu unterbinden", sagt der Leiter der Zentralstelle für Cybercrime der Staatsanwaltschaft Verden, Oberstaatsanwalt Frank Lange mit. "Die Aufgaben der entdeckten und unschädlich gemachten Server werden schlagartig von den Servern der anderen Botnetze übernommen, bis ein neues weiteres Botnetz aufgebaut wird". Durch die Analyse der Strukturen von "AVALANCHE" und die Identifizierung der einzelnen Server auf Führungsebene sei der Grundstein für die Zerschlagung der Infrastruktur gelegt worden.

Unterstützung von EUROPOL

Unterstützt durch die europäischen Behörden EUROJUST und EUROPOL erfolgten zeitgleich in zehn Ländern der Welt Durchsuchungen, das Beschlagnahmen von Servern und Domains sowie Festnahmen aufgrund bestehender Haftbefehle. Die identifizierten Tatverdächtigen kommen aus zehn verschiedenen Ländern. In einzelnen Fällen wird es nicht möglich sein, die Beschuldigten in Deutschland vor Gericht zu stellen, weil entsprechende Auslieferungsabkommen fehlen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt nach einem Amtshilfeersuchen die Zentrale Kriminalinspektion Lüneburg sowie die Staatsanwaltschaft Verden bei der Analyse der Botnetzinfrastruktur "AVALANCHE" und der verwendeten Schadsoftware. "Das Nationale Cyber-Abwehrzentrum koordiniert aktuell BSI-seitig die Zerschlagung der Botnetzinfrastruktur. Die Analysen haben ergeben, dass rund 20 verschiedene Botnetze diese Infrastruktur nutzen, um Spam- und Phishing-E-Mails zu versenden, Ransomware zu verbreiten und die Nutzer von Online-Banking-Angeboten zu betrügen", teilte das BSI mit.

Betroffene Bürger werden informiert

Im Rahmen der Zerschlagung würden nun sogenannte Sinkhole-Server eingesetzt, mit deren Hilfe betroffene Kunden gewarnt werden können. Dies erfolgt durch die Internetserviceprovider auf Basis der BSI-Analyse. Bereits im laufenden Ermittlungsverfahren wurde zur Warnung der Nutzer das Providerinformationssystem (PI) aufgebaut. Hierbei werden durch das BSI Mitteilungen über infizierte Systeme an die Provider übermittelt. Seit 2014 wurden so bereits mehr als 4,5 Millionen Meldungen an die deutschen Provider und über diese an die Kunden gesendet. Die Zerschlagung der Botnetzinfrastruktur ist allerdings nur ein erster Schritt. Die Schadprogramme auf den infizierten Rechnern werden dadurch nicht gelöscht. Dies muss durch die Nutzer selbst erfolgen.

Die betroffenen Bürger werden über ihre fehlenden Provider informiert. Ihnen wird dringend empfohlen, ihre Rechner auf eine Infektion mit Schadprogrammen zu überprüfen. Unter www.bsifuer-buerger.de gibt es nähere Informationen.

Was ist ein Botnetz?

Ein Botnet oder Botnetz ist eine Gruppe von automatisierten Computerprogrammen, sogenannten Bots. Die Bots (von englisch: robot „Roboter“) laufen auf vernetzten Rechnern, deren Netzwerkanbindung sowie lokale Ressourcen und Daten ihnen zur Verfügung stehen.