001_2017_008_0_052_058_LOWRES_DS

stephanie.harke

Internationale Kommandoaktion

In den Morgenstunden des 30. November 2016 stürmten

Spezialeinheiten der Polizei fast zeitgleich Wohnungen

in Kiew, Poltawa, Vilnius, Chișinău und in der Nähe

von Berlin. Fünf Hacker wurden verhaftet

ver, den sie überwachen wollen,

brauchen sie eine richterliche Genehmigung.

Das kann zwei, drei

Monate dauern, bis dahin fließen die

Daten längst über andere Wege –

und die Spur ist tot. Die Kriminellen

mieten Server vor allem im Ausland,

dort ist die Ermittlung noch

mühsamer. Die Amerikaner lachen

nur, wenn sie Post von einem deutschen

Richter erhalten! Es ist wie

ein Kampf gegen eine elektronische

Hydra.

Bis tief in die Nächte arbeitet Lange

in seinem Eckbüro, Raum 153.

Auf dem Schreibtisch türmen

sich die Akten, an die Wand hat er

einen Plan gehängt: Man sieht darauf

die Flaggen der Server-Standorte,

Niederlande, USA, Ukraine.

Später finden sie auch welche in

Kolumbien und Belize; Lange muss

in einem Atlas nachschauen, wo das

überhaupt liegt. In den Jahren 2013

und 2014 reisen er und seine Kollegen

in beinahe jedes EU-Land, überall

stellen sie Rechtshilfeersuchen.

Ihr Ziel ist es, sich heimlich in Avalanche

einzuklinken, wie bei einer

Telefonüberwachung. Sie wollen

live mitlesen, was passiert. Um die

Datenmassen zu ordnen, werden sie

von nun an von vier Spezialisten

eines Fraunhofer-Instituts unterstützt.

„Das war ein Knackpunkt der

Ermittlungen“, sagt Lange.

Die Jäger beobachten Avalanche

wie ein Lebewesen. Wie es sich verändert,

wie es wächst. Hans Schäfer

vom BSI ist beeindruckt. Schon die

Server auf der zweiten Ebene sind

perfekt verschlüsselt. Er weiß, dahinter

stecken Menschen, die anderen

schaden wollen. Und doch

beginnt er, ihr technisches Geschick

zu bewundern. Die können was! Auf

der Welt gibt es vielleicht zwei Dutzend

Programmierer, die die Fähigkeit

haben, so etwas Komplexes zu

erschaffen. Das Ganze ist jetzt auch

eine intellektuelle Herausforderung,

ein Spiel.

Immer wieder analysieren die Jäger

den Code des Bösen, immer wieder

programmieren sie neue Suchwerkzeuge,

immer wieder infizieren

sie Testcomputer mit Schadsoftware,

wie Versuchstiere in einem

Labor. Sie entdecken, dass bei Avalanche

permanent die Namen und

IP-Adressen der Server wechseln,

alle 300 Sekunden werden sie zum

Teil völlig neu generiert. Eine sehr

anspruchsvolle Tarnung, „Double

Fast Flux“ genannt. Monatelang

rätseln sie auch, woher die Steuercomputer

wissen, welche Befehle sie

weiterleiten sollen, obwohl sich niemand

einloggt. Zufällig stoßen sie

auf ein paar verräterische Zeilen:

Die Server holen sich ihre Befehle

automatisch. Avalanche ist so gebaut,

dass wenige Administratoren

die komplette Struktur steuern

können.

Zu den Tätern kann Schäfer den

Strafverfolgern in Verden nur Indizien

liefern. Er findet Timecodes.

Die Täter kommen aus unserer

Zeitzone, meldet er. Außerdem aktivieren

sich bestimmte Schadpro-

gramme nicht bei russischen Tastaturen.

Das könnte ein Hinweis sein,

dass die Täter in Russland sitzen, sie

wollen dort nicht auffallen.

Inzwischen ist auch das Bundesinnenministerium

über die Jagd informiert,

das Bundeskriminalamt,

Verfassungsschutz, Nachrichtendienste.

Was, wenn hinter Avalanche

kein Verbrecher, sondern ein ausländischer

Geheimdienst steht?

Wenn die Hydra eine Cyberwaffe ist

oder ein Spionageinstrument?

Im Frühjahr 2014 stoßen die Jäger

in den Tiefen von Avalanche auf eine

Datenbank mit gestohlenen E-

Mail-Adressen und Passwörtern für

18 Millionen Konten. Einer der größten

Funde bis dahin. Offenbar zielen

die Angriffe nicht nur auf Opfer

in Deutschland, wie die Ermittler

lange vermutet hatten. Über Avalanche

werden Raubzüge in aller

Welt veranstaltet. Mal gegen deutsche

Sparkassen-Kunden, mal gegen

Bankkunden in Italien oder Japan,

in 180 Ländern insgesamt. Da sind

Leute unterwegs, die verkaufen die

Struktur als Dienstleistung, sagt

Schäfer. Frank Lange braucht ein

wenig, bis er begreift.

„Crime as a service“ nennen Fachleute

solche Angebote. In geheimen

Chatforen werben die Täter um

andere Kriminelle als Kunden, die

dann selbst Kasse machen. Mal bietet

ein „User41“, mal ein „Firestarter“

die Avalanche-Struktur in russischen

Hackerforen an. Man muss

sich das so vorstellen: Da vermietet

jemand für ein paar Tausend Dollar

10 000 Zombierechner für einen gezielten

Angriff auf deutsche Bankkunden,

samt Support und Updates.

Wer kein eigenes Schadprogramm

besitzt, kann auch das mitmieten. Es

ist ein leicht zu bedienendes Baukastensystem

für Onlineraubzüge,

fertig von der Stange. Avalanche

funktioniere „wie ein Unternehmen“,

stellen die Jäger erstaunt fest,

höchst professionell.

Neben dem Computernetz entdecken

die Jäger ein zweites Netz in

der realen Welt, sie nennen es „Avalanche

2“. Es besteht aus Menschen,

die das erbeutete Geld weiterleiten:

die „money mules“, Geldesel.

Die werden über Legenden angeworben,

über Zeitungsinserate oder

Die Hacker boten ihr Netz

anderen Kriminellen zur

Miete an – samt Kundendienst

Jobportale. In einem Fall wurden

Leute gesucht, die in Heimarbeit

Bücher digitalisieren. Dafür sollten

sie in einem speziellen Webshop

einen sehr teuren Scanner bestellen

– das Geld würde ihnen passend

vorgeschossen. Dass es zuvor in genau

der Höhe von einem Onlinekonto

geklaut worden war, wussten

die Leute nicht. Sie überwiesen es

weiter, ohne einen Drucker zu bekommen.

Und schon waren ein paar

Tausend Euro auf der nächsten

Ebene, von wo andere Geldesel es

weiterleiteten.

„Es ist kaum vorstellbar, wie viele

Menschen sich dafür zur Verfügung

stellen“, sagt Lange. Die Jäger

finden Zehntausende Namen. Sie

sind schockiert. So viele? Das Weiterleiten

des Geldes galt bislang

unter Strafverfolgern als Engpass

bei Onlineverbrechen. Jetzt erkennt

Lange: Nein, die Menschen sind kein

Problem.

Und die Hintermänner? Die Jäger

suchen. Sie stoßen auf ein paar

Namen von geklauten Kreditkarten.

Sie entdecken Tarnnamen wie

„flux“ oder „ffhost“. Aber sie stecken

fest. Frank Lange ist verzweifelt. Die

Jagd hat schon jetzt ein Vermögen

gekostet, mit einem Personalaufwand

wie sonst nur bei der Terrorismusbekämpfung.

Die Politik

stellt Fragen.

Lange steht unter Druck. Ist die

Hydra doch unbesiegbar? Das will er

nicht hinnehmen. „Ein Aufgeben

hätte doch einen Freifahrtschein

bedeutet. Wenn es jemand konnte,

dann wir! Weil wir jetzt so viel über

die Struktur wussten. Das konnten

wir nicht einfach wegwerfen!“

Da taucht ein neuer Player auf, es

ist wie im Kino: das FBI. Auch in

den USA hatte es Avalanche-

Opfer gegeben, seit Anfang 2015 ermitteln

die Amerikaner. Sie können

es kaum glauben, als sie erfahren,

was diese Typen aus der deutschen

Das angebliche

Superhirn hinter

Avalanche: Gennady

Kapkanov

ist auf der Flucht

Provinz schon zusammengetragen

haben. Eine Serverüberwachung ist

in den USA die absolute Ausnahme.

Frank Lange kann sagen: Wir haben

über 1300 Taten ausrecherchiert, fertig

für eine Anklage. Die Amerikaner

können ihm dafür bei der Tätersuche

helfen. Sie müssen ihr Wissen

bloß zusammenbringen. Wie bei

einem Puzzle. Jeden Freitagnachmittag

konferieren die deutschen

nun mit den amerikanischen Strafverfolgern.

Sie kombinieren Tarnnamen und

Mailadressen aus Hackerforen. Sie

werten soziale Netzwerke aus, überprüfen

Postadressen. Klassische

Ermittlerarbeit. „So werden Tarnnamen

zu Fleisch und Blut“, sagt

Lange. Durch Zufall zapfen sie bei

einem der Verdächtigen die Kamera

in dessen Büro an – und sehen zu,

wie er vor dem Rechner sitzt. Insgesamt

16 Verdächtige machen sie aus,

darunter Russen, Aserbaidschaner,

ein Ukrainer, der bei Berlin lebt. Vor

allem aber zwei Administratoren.

Der eine: Gennady Kapkanov,

alias „flux“, 33 Jahre alt, Russe aus

dem ostukrainischen Poltawa. Ein

Programmierer mit kurzen Haaren

und dunklen Augen, der eine Zeit in

Großbritannien lebte. Die Ermittler

sehen in ihm das technische Superhirn

hinter Avalanche.

Der andere: Anton Timochin, alias

„flux2“, 32, ukrainischer Programmierer.

Er wohnt mit Frau und Kind

in Kiew, Stadtteil Trojeschina. Er soll

die Geldesel steuern.

Wer wem dabei Befehle gibt, ist

unklar. Die Männer scheinen eher

Komplizen als Bande mit einem

Boss an der Spitze. Möglicherweise

verbergen sich hinter ihnen noch

weitere Leute, vielleicht die Mafia

oder irgendwelche Oligarchen. Niemand

kassiert in der Ukraine einfach

so riesige Summen, ohne dass

andere mitkassieren wollen. Die

Jäger wissen aber: Wenn wir die Administratoren

ausschalten, geht 4

56 16.2.2017

16.2.2017 57

More magazines by this user
Similar magazines