AUS DEM SPIEGEL
Ausgabe 49/2017

Hackerangriff Wie ein Bräutigam bei einer Million Deutschen das Internet ausknipste

Vor einem Jahr fielen bei Telekom-Kunden massenweise Router aus. Nun endlich ist der Fall geklärt.

Michael Walter / DER SPIEGEL

Von und


Der digitale Kontrollverlust
  • Michael Walter / DER SPIEGEL
    Dieser Artikel ist Teil der Serie "Der digitale Kontrollverlust" rund um die IT-Sicherheit von Privatnutzern, Firmen und Behörden. Lesen Sie alle Texte dazu auf unserer Themenseite.

Es war der erste Adventssonntag im vergangenen Jahr, als bei rund 1,25 Millionen Telekom-Kunden plötzlich nichts mehr ging - kein Telefon, kein Internet und in den vielen Haushalten, die ihre TV-Programme und Videodienste streamen, auch kein Fernsehen. Abgehängt fühlten sich nicht nur Privathaushalte, sondern auch Unternehmen, Behörden und Versorger.

Titelbild
Dieser Artikel ist aus dem SPIEGEL
Heft 49/2017
Die Kleine Koalition - was sie anrichten und bewirken könnte

Es war einer der größten Netzausfälle bisher, ein Vierteljahrhundert nach Erfindung des World Wide Web.

Sofort begannen die Spekulationen über mögliche Hintergründe der Angreifer. Sogar die Bundeskanzlerin äußerte sich und brachte den Vorfall in einer frühen Stellungnahme mit Hackerangriffen aus Russland in Verbindung.

Ein Jahr danach lässt sich der Hergang der Attacke detailliert nachzeichnen. Die Geschichte ist ein Lehrstück über die Nebenwirkungen der totalen Vernetzung unseres Alltags und des damit einhergehenden Kontrollverlusts - denn die Telekom-Kunden waren gar nicht Ziel der Attacke.

Die großflächigen Router-Ausfälle hierzulande waren der Kollateralschaden eines Wirtschaftskriegs, der fernab spielte, auf einem anderen Kontinent.

Die Spuren führen nach Zypern, Israel, Großbritannien - und nach Afrika. Sie werfen ein Schlaglicht darauf, wie Unternehmen sich heute im Netz mit illegalen Methoden bekämpfen - und wen sie mit derlei brisanten Aufträgen betrauen.

Es sind Leute wie Daniel K., ein damals 28-Jähriger mit britisch-israelischen Wurzeln. Er vertritt eine Branche, die anonym über das Netz illegale Dienstleistungen anbietet: Sie wirbt damit, Unternehmen zu schaden, indem sie deren Angebote stört oder zeitweise gar zum Erliegen bringt. "Attack for Hire" nennt sich der Service, Angriffe, die man mieten kann. Ihr Geschäftsmodell ist Sabotage, Auftraggeber für derlei illegale Aktionen sind oft unmittelbare Konkurrenten.

In diesem Fall ging es um den hart umkämpften Mobilfunkmarkt im westafrikanischen Liberia. Dort liefern sich die beiden Marktführer Cellcom und Lonestar einen verbissenen Wettbewerb um neue Kunden. Im Frühjahr 2016 eskalierte die lange schwelende Rivalität, regionale Medien berichteten über Preisschlachten und gegenseitige Vorwürfe, zwischen den Anbietern herrsche ein regelrechter "Krieg".

Irgendwann erinnerte sich ein führender Cellcom-Mann namens Avi an einen alten Bekannten, der im Kampf um neue Kunden weiterhelfen könnte, mit unkonventionelleren Methoden.

Daniel K. hatte gerade große Pläne, als ihn der heikle Auftrag aus Liberia erreichte, er und seine Verlobte Catherine wollten heiraten, so jedenfalls schilderte er es deutschen Ermittlern. Mit dem Geld habe er die Grundlage für das neue Familienleben schaffen wollen.

Die Jugendjahre des schlanken, jungen Mannes mit dunklen, kurzen Haaren waren unstet verlaufen. Nach der Scheidung der Eltern zog seine Mutter mit dem Sechsjährigen von London nach Israel, wo er die Schule besuchte und die Hochschulreife erlangte. Früh interessierte er sich für Computer, besuchte einige Programmierkurse und bildete sich dann selbst weiter fort. Statt zu studieren, schlug K. sich als Selbstständiger durch, unter anderem beriet er Unternehmen in IT-Sicherheitsfragen und untersuchte deren Netze auf Schwachstellen, also mögliche Einfallstore für Hacker.

Wirklich erfolgreich war er damit nicht. Das Geld war knapp, 2012 zog er zusammen mit seiner Verlobten deshalb zurück nach Großbritannien. Zuerst lebten sie in London, vier Jahre später zogen sie in die Kleinstadt Egham in Surrey, das Leben in London konnten sich die beiden nicht länger leisten.

Wann genau er die Seite wechselte und selbst erstmals zum Angreifer wurde, ist unklar. Den lukrativen Auftrag aus Afrika nahm er jedenfalls an - für monatlich 10.000 Dollar in bar.

Befehlshaber über eine ganze Armee von Zombierechnern

Die notwendigen Angriffswerkzeuge für den Sabotageauftrag in Afrika beschaffte er sich selbst, nach dem neuesten Stand der digitalen Waffentechnik. Daniel K. baute ein sogenanntes Botnetz auf. Dafür infiltrierte er Abertausende ans Internet angeschlossene Endgeräte in aller Welt mit einem Schadcode, über den er sie fortan fernsteuern konnte. So machte er sich zum Befehlshaber über eine ganze Armee von Zombierechnern. Er musste seinem "Command and Control"-Server nur ein Ziel vorgeben, etwa die Netzadressen des liberianischen Telekommunikationsanbieters, um dort massenhafte parallele Anfragen auszulösen - einen digitalen Dauerbeschuss, der im Netzjargon "Distributed Denial of Service" (DDoS) genannt wird.

Der junge Mann aus Egham leistete ganze Arbeit. Er infiltrierte vernetzte Überwachungskameras und vor allem Router, also Geräte aus dem sogenannten Internet der Dinge. Seine Armee wuchs auf mehr als 400.000 Geräte an, gemeinsam erzeugten sie eine Angriffslast und Feuerkraft, die in Liberia bald Wirkung zeigte. Anfang November 2016 registrierten IT-Experten schwere Attacken, die nicht nur zu Ausfällen bei dem anvisierten Telekommunikationsanbieter führten, sondern die gesamte Internetinfrastruktur des westafrikanischen Landes zeitweise lahmlegten.

Seine Auftraggeber waren zufrieden, mindestens zweimal erhielt K. sein vereinbartes Monatssalär. Allerdings erregte seine Digitalwaffe aufgrund ihrer Wucht sofort internationales Aufsehen. Erste IT-Experten warnten; DDoS-Angriffe vergleichbarer Stärke, die geeignet seien, die Infrastruktur ganzer Staaten lahmzulegen, habe man noch nicht gesehen. Sie tauften K.s "Super Botnet" nach der im Netz frei verfügbaren Schadsoftware, die er zu dessen Aufbau benutzt hatte: "Mirai#14".

Hinter dem Ausfall bei den Telekom-Kunden steckte anders als in Liberia kein Wettbewerber, sondern K.s Ehrgeiz, sein Mirai-Botnetz noch größer und schlagkräftiger zu machen. Er scannte dafür automatisiert nach Routern mit einer bestimmten Konfiguration; das von der Telekom genutzte "Speedport"-Modell eines taiwanischen Herstellers erwies sich als anfällig.

Sein Ziel, den Schadcode auch auf die Telekom-Router aufzuspielen und deren Kunden in sein Botnetz einzugliedern - wo ihre Geräte fortan unwissentlich und unwillentlich an den von ihm gesteuerten Cyberattacken teilgenommen hätten -, erreichte K. allerdings nicht. Stattdessen gerieten die Geräte "in einen undefinierbaren Zustand", wie die Telekom es ausdrückte. Sie hängten sich auf und versagten den Dienst.

Dem Briten schwante offenbar schnell, was er angerichtet hatte, als er die ersten Meldungen über Netzausfälle in Deutschland las. Sein erster Gedanke sei "Oh shit!" gewesen, sagte er später.

Tatsächlich heftete sich auf eine Strafanzeige der Telekom hin ein internationales Ermittlerteam an seine Fersen und fahndete nach den digitalen Spuren, die er hinterlassen hatte. Beamte des Bundeskriminalamts kooperierten dafür mit Kollegen aus Großbritannien und Zypern, auch IT-Sicherheitsexperten machten sich auf die Jagd nach dem Mastermind hinter der neuen digitalen Superwaffe.

Die kam Mitte Januar dieses Jahres erneut zum Einsatz: Das Mirai#14-Botnetz attackierte mehrere Tage lang britische Banken wie Lloyds, Barclays und die Bank of Scotland - viele ihrer Kunden hatten Probleme, auf ihre Onlinekonten zuzugreifen. Diesmal folgte die Attacke aber einem anderen Geschäftsmodell: Erpressung. Der Botnet-Befehlshaber forderte von den Banken eine hohe fünfstellige Pfund-Summe, zahlbar in der Internetwährung Bitcoin, um den Dauerbeschuss einzustellen.

Da waren die BKA-Ermittler Daniel K. schon dicht auf den Fersen. Über die Anmeldedaten des "Command and Control"-Servers und dafür verwendete Aliasnamen und Mailadressen hangelten sie sich bis zu Skype-Konten und einem Facebook-Profil. Es gehörte Daniel K., der darauf mit seiner Verlobten posierte.

Die Kölner Richter erkannten bei dem Briten ein "gesteigertes Maß an krimineller Energie"

Ende Februar wurde der Mann, der in mehr als einer Million deutschen Wohnungen am ersten Advent das Internet ausgeknipst hatte, am Londoner Flughafen Luton von britischen Beamten festgenommen - offenbar kurz nach der Geldübergabe. Bei sich hatte er ein Samsung-Smartphone mit belastenden Chatverläufen und einen USB-Stick. Auf dem waren Schadprogramme gespeichert, mit denen sich Botnetze steuern und erweitern lassen. Außerdem im Gepäck: 10.000 Dollar in Hundertdollarscheinen.

Nach seiner Auslieferung nach Köln gab K. noch in der Untersuchungshaft zumindest den Angriff auf die Telekom-Router zu. Sein Ziel sei gewesen, den liberianischen Anbieter zu treffen, räumte er ein, die Telekom und deren Kunden habe er nicht schädigen wollen.

Im Juli verurteilte das Landgericht Köln den Mirai-Botmaster zu einem Jahr und acht Monaten auf Bewährung. Die Richter erkannten "ein gesteigertes Maß an krimineller Energie", das zu etwa einer Million Euro materiellem Schaden und einem "gewissen Imageverlust" bei der Telekom geführt habe. Sie werteten aber neben seinem Geständnis als strafmindernd, dass K. nicht vorbestraft sei, Einsicht und Reue gezeigt habe und seine Sozialprognose günstig sei. In der Hauptverhandlung, zu der seine Verlobte und seine Mutter angereist waren, entschuldigte er sich bei den betroffenen Telekom-Kunden. Seine Beute von zweimal 10.000 Dollar sowie die beschlagnahmten Geräte wurden einbehalten.

Für K. sind die Folgen seiner Karriere als Onlinekrimineller damit allerdings nicht ausgestanden. Die Briten hatten zwischenzeitlich per Europäischem Haftbefehl seine Rückauslieferung beantragt, die K. und sein Anwalt verhindern wollten - ohne Erfolg. Im August musste er zurück auf die Insel.

Dort haben die Behörden mittlerweile zwölf weitere Anklagepunkte gegen ihn gesammelt. Sie werfen ihm neben den Erpressungsversuchen gegen die britischen Banken auch die Attacken gegen das liberianische Unternehmen vor - er habe damit das "Wohlergehen der Menschen" gefährdet. Auch amerikanische Ermittler interessieren sich mittlerweile für ihn.

Zurzeit ist K. gegen strenge Auflagen auf freiem Fuß. Am 11. Dezember muss er das nächste Mal vor Gericht erscheinen.

Anders als bei der Aktion gegen Liberia und deren Auswirkungen auf hiesige Telekom-Kunden bestritt K. über seinen Anwalt im Auslieferungsverfahren, hinter der Bankenerpressung zu stecken. Auch andere hätten Zugang zur "Command and Control"-Struktur gehabt, sein Super-Botnetz habe er gegen Gebühren an Dritte vermietet. Eine Anfrage zu den neuen Vorwürfen ließ K.s Anwalt unbeantwortet.

Das Geschäft mit Mirai-Botnetzen blüht derweil offenbar weiter: In der vergangenen Woche verzeichneten Experten massenhaft neue auffällige Aktivitäten in Argentinien. Experten von Netlab sprechen von einer neuen Mirai-Variante, die Geräte aus dem Internet der Dinge in ein Botnetz integrieren wolle, "genau wie beim Telekom-Event" vor einem Jahr.



© DER SPIEGEL 49/2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.