Hannover

Der 7. Januar 2020 war kein guter Tag für die Deutsche Kredit Bank, und im Besonderen war dieser Dienstag kein guter Tag für vier Millionen Kunden. Die Website des Instituts war lange nicht zu erreichen, Online-Banking war ebenfalls nicht möglich. Hacker drangen ins System. Drei Tage später teilte die Bank mit: „Ein Angriff dieser Art und Intensität auf die Server spricht für einen kriminellen Hintergrund.“ Daten seien nicht erbeutet worden. Aber im Dunkeln blieb, wer sich da in zerstörerischer Absicht Zugang verschafft hatte.

Die Fachwelt rätselte, welchen Sinn diese Cyberattacke in ein vermeintlich sicheres System haben könnte. Zu diesem Zeitpunkt wusste ein Jugendlicher aus Soltau, auf Twitter unter dem Pseudonym naifu911 unterwegs, wohl schon deutlich mehr.

Fünf Monate nach der Attacke standen Beamte des Landeskriminalamtes Schleswig-Holstein vorm Elternhaus eines 16 Jahre alten Schülers. Die Ermittler durchsuchten die Wohnung besonders nach digitalem Beweismaterial. Der Junge, es ist naifu911, steht nun in dringendem Verdacht, mit seinem Angriff nicht nur Deutschlands zweitgrößte Online-Bank, sondern mit Schadsoftware insgesamt ein dutzend Mal Unternehmen in fünf Bundesländern zeitweise lahmgelegt zu haben. Der Schaden soll eine siebenstellige Summe erreicht haben.

Tatmotiv: Langeweile und Einsamkeit

Der Vorwurf der auf Cyberkriminalität spezialisierten Staatsanwaltschaft Itzehoe lautet: Computersabotage in besonders schweren Fällen und versuchte Erpressung. Das vermutete Motiv: „Langeweile und Einsamkeit“. Ermittelt wird zeitgleich gegen einen 20 Jahre alten Mann aus Calw, wegen Computerbetrugs bereits ein guter Bekannter der Polizei. Die beiden kennen sich nach Auskunft des LKA seit einigen Jahren. Es ist anscheinend eine unheilige Allianz, eine „nahezu ausschließlich auf kriminellen Absichten basierende Internetbekanntschaft“. Attackiert wurden unter anderem das Telekommunikationsunternehmen Freenet und der Kieler Internetanbieter TNG Stadtnetz. Doch nur in einem Fall ging es um Geld. naifu911 soll auch Router eines Unternehmens in Nigeria und dort Endgeräte von Kunden blockiert haben. 100 Euro in Bitcoins sollte es kosten, die Sperre aufzuheben. Versuchte Erpressung.

Der 16-Jährige fragte gehackte Unternehmen, wie ihnen der Angriff gefalle. Quelle: Jens Büttner/dpa-Zentralbild

Wie die Ermittler auf die Spur der Hacker gelangt sind, will das LKA auf Anfrage nicht mitteilen. Einen großen Beitrag zur Aufklärung leistete der 16-Jährige jedoch unfreiwillig selbst. Die Behörden können etliche Chatprotokolle auswerten, die der mitteilsame Schüler unter verschiedenen Accounts auf Twitter, Facebook und Discord führte. naifu911 war nur eine seiner Adressen in sozialen Netzwerken. Einige Gesprächsteilnehmer händigten Ermittlern ihre Gesprächsverläufe mit dem 16-Jährigen aus. Bei LKA und Staatsanwaltschaft dürften sich Beamte seither wohl über offenherzige Textnachrichten freuen, „Tatbekenntnisse“, die helfen würden, „Tatzusammenhänge herzustellen“.

Dem Schüler wurde offenbar Angeberei zum Verhängnis

Anders gesagt: Dem Schüler wurde offenbar Angeberei auf den Marktplätzen des Internets zum Verhängnis. Anscheinend wollte er der Welt mitteilen, wie unangreifbar er selbst sei – und wie unfähig seine Gegner seien. Der mit einem Grimme-Preise ausgezeichnete Blog „netzpolitik.org“ befasste sich ausführlich mit dem Soltauer Schüler und wertete dabei ebenfalls digitale Gesprächsverläufe aus. Darin verhöhnt der 16-Jährige gehackte Unternehmen, kündigt unverhohlen weitere Attacken an und fragt bei lahmgelegten Opfern nach, wie ihnen der Angriff gefalle.

Pseudonym naifu911

In seiner Kindheit soll er es im Computerspiel Minecraft zu einer gewissen Meisterschaft gebracht haben. In der siebten Klasse, schreibt der Blog, infiltrierte er Computer seiner Schule und verschaffte sich Zugang auf Rechner von Lehrern. „netzpolitik.org“ zitiert aus einem seiner Chats: „Ich mache seit Jahren nichts anderes, als anderen Leuten ihr Leben schwer zu machen. Es macht mir Spaß, anderen Leuten unnötig Arbeit zu machen oder ihr Leben zu zerstören.“ Aber naifu911 schreibt auch: „Falls jemand mit mir schreiben möchte: Ich bin einsam.“ Diese soziale Isolation gilt der Staatsanwaltschaft als wichtigster Grund für seine Taten.

Die Arbeit haben tatsächlich die anderen. Im August 2019 wird der Internetanbieter TNG Stadtnetz attackiert. Das Unternehmen stellt seinen Kunden Bandbreite für deren Onlinedienste zur Verfügung. Diese Kunden sind die eigentlich Betroffenen der digitalen Heckenschützen. Onlineshops sind nicht mehr erreichbar, digitales Banking ist eingeschränkt, beim Handballclub THW Kiel stockte der Verkauf von Tickets. Unter anderem bombardierten die Täter Kontaktformulare von TNG mit sinnlosen Anfragen und gelangten über die Website ins System.

Online-Banking war nicht möglich: Die Deutsche Kredit Bank gehörte zu den angegriffenen Unternehmen. Quelle: Samantha Franson

„Man duelliert sich mit den Tätern“

Noch während der Angriff lief, begannen die IT-Experten in Kiel mit Gefahrenabwehr. „Man duelliert sich mit den Tätern“, sagt Stadtnetz-Sprecher Marco Neben. Zeitweise wurden die Server des Unternehmens von 5000 Internetadressen zugleich attackiert. Eine Datenmenge von 500 Gigabit überschwemmte gleichzeitig Server von TNG, eine Attacke „wie mit der Schrotflinte geschossen“, sagt Neben. Fieberhaft suchten Mitarbeiter nach Schwachstellen. Forschten nach auffälligen IP-Adressen, Internetprotokollen und Einfallstoren für die Schadsoftware. Sie wurde blockiert, umgeleitet, gefiltert, manche Angebote wurden gesperrt. Diese Gleichzeitigkeit von Angriff und Abwehr führte dazu, dass manche Kundendienste über Stunden mal besser, mal schlechter zu erreichen waren.

Nach Erkenntnissen der Ermittler nutzte das verdächtige Duo ein selbst konstruiertes Botnetz. Verkürzt gesagt, werden dabei Rechnerleistungen mit schädlicher Software zusammengeschaltet und über einen zentralen Computer gesteuert. Die Täter bringen dabei fremde Rechner unter ihre Kontrolle. Warum diese sogenannten DDoS-Attacken (Distributed Denial of Service) Erfolg haben, erklärt Jochim Stelzer vom Chaos Computer Club mit der Wirkungsweise eines Flashmobs im Supermarkt: „Die Kassen können eine bestimmte Zahl von Kunden bewältigen. Aber wenn plötzlich zehnmal so viele kommen, bricht alles zusammen."

Die Grenzen der Abwehr

Aber warum dringt die Schadsoftware überhaupt durch die Filter professioneller Unternehmen? Die DKB etwa greift auf Server einer Tochtergesellschaft von Finanz-IT zurück, einem Unternehmen der Sparkassen. „Der Trick ist“, sagt Stelzer, „dass Anfragen durchkommen, die legitim aussehen. Das kann zum Beispiel der Fall sein, wenn sie von Rechnern mit einer deutschen Internetadresse kommen. Dann hat auch das Abwehrsystem eines Unternehmens seine Grenzen."

Ob Geständnisse vorliegen, teilt das LKA nicht mit. Beide Verdächtigen sind in Freiheit.

Neue Studie über Cyberangriffe auf Unternehmen

Von Gunnar Menkens