Düsseldorf. Verbrechen als Dienstleistung. Das LKA in Düsseldorf hat jetzt Einblick in die Arbeitsweise von Hackern gegeben, die jüngst enttarnt wurden.
Ein falscher Klick auf eine infizierte E-Mail, ein nicht installiertes Sicherheits-Update der Software oder eine unentdeckte Lücke im Netzwerk, und schon ist es passiert. Schon sind Cyber-Kriminelle eingedrungen, haben Hunderttausende Daten verschlüsselt und fordern „Lösegeld“ in Millionenhöhe, um sie wieder freizugeben. Behörden und Universitäten kann es treffen, Krankenhäuser oder Firmen. Ende 2020 traf es auch die Funke-Mediengruppe. Die Gruppe, von denen sie angegriffen wurde, haben Spezialisten jetzt enttarnt, gefasst aber sind die Drahtzieher des Angriffs bisher noch nicht.
Die Spur führt nach Russland. Aber was heißt das schon in der virtuellen Welt, die keine Grenzen kennt, aber viele dunkle Ecken? Er wollte nicht von einem „russischen Hackerkollektiv“ sprechen, sagt Markus Hartmann, Leiter der Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen, dann auch. „Es gibt weltweit Tatbeteiligungen.“ Deshalb haben sie auch weltweit gefahndet. FBI und Europol waren beteiligt, und auch die Polizei in der Ukraine hat geholfen – mitten im Krieg. Ermittlungshilfeersuchen rund um den Globus haben die Fahnder des Landeskriminalamtes Nordrhein-Westfalen (LKA NRW) und der Zentral- und Ansprechstelle Cybercrime (ZAC NRW) verschickt. Großer Aufwand für einen großen Gegner.
Ermittler sprechen von hochprofessionellen Netzwerken
Denn mit den Hackern, die einst blasshäutig mit Energy-Drink in der Linken und Pizza in der Rechten im heimischen Keller vor ihrem Rechner sitzen, haben die Cyber-Kriminellen des Jahres 2023 nichts mehr zu tun. „Hochprofessionelle Netzwerke“ nennt Hartmann sie und findet: „Der Begriff Hacker-Angriff ist eigentlich eine Verharmlosung des Geschehens.“ Man habe es mit strukturierter Organisierter Kriminalität zu tun. Und Jan Op Gen Oorth von Europol spricht von einer „Schattenökonomie“ und „crime as a service“, also Verbrechen als Dienstleistung. „Man muss nicht mehr selbst die Expertise haben, man kann sie von Kriminellen kaufen.“
Schon länger wissen Security-Experten, dass sich eine ganze Branche entwickelt hat – mit Spezialisten für jeden Zwischenschritt eines Angriffs. Da gibt es Experten für überzeugende Phishing-E-Mails oder nahezu perfekt gefälschte Webseiten, um Opfern ihre Zugangsdaten zu entlocken. Andere Täter haben sich auf die Suche nach offenen Schwachstellen in den Netzen von Unternehmen spezialisiert, auf das Programmieren des Angriffscodes, oder auf das Waschen der Lösegelder.
Hohes Gehalt aber riskante Arbeit
Personalbeschaffung scheint kein Problem. „Man wird manchmal neidisch, wenn man in den Foren die Stellenausschreibungen sieht“, sagt Dirk Kunze, Leiter des Dezernats Cybercrime beim Landeskriminalamt (LKA). Viele Extra-Leistungen werden dort versprochen und ein Gehalt, das in der Woche oft höher liegt als in der freien Wirtschaft im Monat. Dafür, sagen die LKA-Experten, sei die Sache aber auch gefährlich. „Jeder macht mal einen Fehler“, warnt auch der Europol-Sprecher. „Und ein Fehler reicht oft schon.“
Was für ein Fehler das in diesem Fall war, verrät das LKA ebenso wenig wie die Höhe des Schadens, den die Gruppe „Double-Spider“ mit ihren so genannten Ransomware-Attacken angerichtet hat. Die Fahnder sagen auch nicht, wie viele der betroffenen Unternehmen und Institutionen das geforderte Lösegeld gezahlt haben, um wieder Zugriff auf ihre Daten zu erlangen. Was sie aber sagen, ist, dass es gut wäre, wenn das kein Betroffener macht. Wer einknickt, komme auf eine spezielle Liste mit dem Vermerk „Lohnt sich“, heißt es am Rand der Pressekonferenz vom Montag. „Da versucht man es dann gerne noch einmal.“
600 Taten rund um die Welt
Weltweit über 600 Mal hat „Double-Spider“ Gruppe zugeschlagen, 37 Mal davon allein in Deutschland. Elf Mitglieder der Cyber-Bande hat die Ermittlungsgruppe Parker (benannt nach „Spiderman“ Peter Parker) identifiziert. Für drei davon liegen Haftbefehle vor, können aber nicht vollstreckt werden, weil man nicht weiß, wo die Gesuchten sich derzeit aufhalten. Vermutet wird, „irgendwo in Russland“, jedenfalls „außerhalb des Zugriffsgebietes der europäischen Justizbehörden“. Bisher, sagt Hartmann, gebe es keine Hinweise auf eine Zusammenarbeit zwischen Hackern und dem russischen Staat. Antworten auf Ermittlungshilfeersuchen, so ist zu hören, gibt es von dort allerdings auch nicht.
Selbst wenn es gelingt, das gesuchte Trio zu verhaften, werden Cyber-Attacken weitergehen. Hartmann macht sich keine Illusionen: „Sie zerstören so ein Netzwerk nicht, indem sie drei Leute aus dem Verkehr ziehen.“ Außerdem gibt es ähnliche Netzwerke, viele kleiner, ein paar größer als „Double Spider“.
Digitale Zugänge besser sichern
Auch deshalb werden die Cyber-Fahnder des LKA personell aufgestockt. Knapp 100 neuen IT-Spezialisten sollen eingestellt werden. Weil aber selbst das nicht reichen wird, nimmt LKA-Chef Ingo Wünsch Unternehmen und Behörden in die Pflicht. „Der digitale Zugang muss so gut gesichert sein, wie der Zugang zum Betriebsgelände.“
Und Hartmann appelliert, erfolgreiche Hackerangriffe nicht zu verschweigen, sondern bei der Polizei zu melden: „Bei Straftaten, von denen wir nichts wissen, können wir auch keine Täter ermitteln.“