mz_logo

Bayern
Freitag, 15. Dezember 2017 3

Serie

Wie Cybercops im Internet fahnden

Mit dem LKA auf Verbrecherjagd: Im Dezernat Cybercrime entwickeln Analysten, IT-Experten und Mathematiker Methoden, um die Datenflut auszuwerten.
von Katja Meyer-Tien, MZ

  • Die Mitarbeiter im Dezernat Cybercrime sind immer in mehreren Netzwerken unterwegs: Im speziell gesicherten Polizeinetz, im Internet und häufig auch im sogenannten DarkNet. Foto: kmt
  • Günter Seibold leitet das neu gegründete Dezernat Cybercrime Foto: kmt

München.Es ist ein düsteres Bild, das Günter Seibold an diesem verregneten Morgen malt. Ein Bild von Kriminellen, die jede unserer Nachrichten mitlesen, von Gangstern, die unsere Passwörter verwenden, mit unseren Kreditkarten einkaufen oder unter unseren Identitäten Verbrechen begehen. Ein Bild von einer Welt, in der die Polizei kriminellen Machenschaften machtlos zuschauen muss. Es ist ein Bild von dem Internet, in dem wir uns momentan bewegen, sagt Seibold, wie in einem Straßenverkehr ohne Schilder und Ampeln, Führerscheine, Kennzeichen und Verkehrsregeln.

Seibold, 47 Jahre alt, spricht gerne in Bildern. Seit 25 Jahren ist er beim Bayerischen Landeskriminalamt, er war schon Drogenfahnder und Falschgeldjäger, hat bei Europol und Interpol gearbeitet, und jetzt leitet er im Münchener LKA das Dezernat Cybercrime. Das heißt, er beginnt gerade erst, es zu leiten: Das Dezernat ist im Aufbau, noch bewohnt Seibold ein kleines kahles Büro, seine 35 Mitarbeiter – 56 sollen es mal werden – sind im Haus verteilt. Wo gerade Platz war, sind sie mit ihren Computern, Laptops und unzähligen Monitoren eingezogen: Bayern positioniert sich im Kampf gegen die Internetkriminalität.

Ein Schüler war der Täter

Es ist ein Kampf gegen Gegner, die bei weitem nicht perfekt sein müssen, um erfolgreich zu sein, und die doch immer perfekter werden. Und es ist ein Kampf an unzähligen Fronten. Da sind die Unternehmen, die aus dem Internet attackiert werden: Wirtschaftsspionage, Industriespionage, lahmgelegte Server. Seibold schickt dann seine Leute los, die kopieren die angegriffenen Daten, versuchen herauszufinden, was die Täter wollten und was sie mit den erbeuteten Daten getan haben. Einmal, erzählt Seibold, kamen sie zu einem Unternehmen, dem sämtliche Kundendaten verschlüsselt worden waren. Seine Experten waren beeindruckt von der Technik des Täters und vermuteten einen Profi. Dann ging der Erpresseranruf ein: Für 1500 Euro würden die Daten wieder freigeschaltet. Es war ein 15-Jähriger, der sein Taschengeld aufbessern wollte.

Bei Unternehmen komme in etwa 50 Prozent der Fälle der Angriff von Innen, erzählt Seibold, die Ermittler suchen nach Motiv und Alibi, Tathergang und Täter. Normale Polizeiarbeit. Doch dann gibt es da auch noch die Angriffe von außen. Seibold öffnet auf seinem Laptop eine Internetseite der Telekom. Die hat weltweit mehr als 90 Webseiten und Smartphones, Konsolen und Netzwerkdienste mit vermeintlichen Sicherheitslücken gestreut und dokumentiert auf der Homepage www.sicherheitstacho.de die Angriffe auf diese sogenannten honeypots, Honigtöpfe. Im Sekundentakt blinken die Attacken auf, die meisten kommen aus Russland, den USA und China. Was nicht heißt, dass dort auch die Auftraggeber sitzen, die meisten Angriffe laufen automatisiert über sogenannte Botnetze: gigantische Netzwerke von virusinfizierten Computern weltweit, die auf Befehl ferngesteuert werden können. Dazu kann jeder Rechner gehören, der ans Internet angeschlossen ist. Ein Klick auf einen Werbebanner, einen E-Mail-Anhang oder auf die falsche Homepage, und schon versteckt sich der Virus auf dem Rechner. Aktuelle Anti-Virenprogramme, regelmäßige Software-Updates und ein bißchen gesunder Menschenverstand könnten helfen, etwa 80 bis 90 Prozent solcher Angriffe auf Privatrechner abzuwehren, sagt Seibold, doch mittlerweile gibt es auch Plug-Ins, die sich unerkannt von jedem Virenprogramm auf dem Rechner einnisten, ihn zum Teil eines Botnetzes machen oder Kennwörter, Kontaktdaten und Internetprofile ausspionieren.

Allein stünden Seibold und sein Team solchen Angriffen recht machtlos gegenüber, Internetkriminalität ist kein regional beherrschbares Problem. Eng arbeiten die bayerischen Cybercops daher mit Interpol und Europol zusammen , die ebenso die Aktivitäten der Hacker und Datendiebe weltweit beobachten. Erst kürzlich fand das FBI in den USA auf dem Server eines Kriminellen, der einen Trojaner verkaufte, Kreditkartendaten von Kunden in 16 Ländern. Die Ermittler verabredeten sich, weltweit zeitgleich sollten die Kunden durchsucht werden. Es klappte, und auch hier zeigte sich, dass nicht nur klassische Kriminelle solche Programme nutzen: unter den in Bayern festgenommenen Trojaner-Käufern war auch ein Mann, der seine Frau der Untreue verdächtigte. Er hatte das Schadprogramm auf dem Handy seiner Frau installiert, konnte so jederzeit ihren Standort verfolgen und sie mit Kamera und Mikrofon ausspionieren.

Kreditkartendaten für 15 Dollar

Trojaner wie diese sind relativ leicht verfügbar, erzählt Seibold und zeigt Screenshots aus dem sogenannten DarkNet. Ein gehackter Amazon-Account ist für 17 Dollar zu haben, Kreditkartendaten für 15 Dollar, 1000 Facebook-Likes kosten 150 Dollar. Ein junger Mann bietet an, für Stunden, Tage oder Monate jeden beliebigen Server zu blockieren, für 10000 Dollar bekommt man einen Auftragskiller. Was davon echt ist, ist schwer zu sagen: Die IP-Adressen der Nutzer werden im DarkNet so verschlüsselt, dass es den Cybercops kaum möglich ist, die Anbieter zu ermitteln.

Das ist schon im regulären Internet schwierig genug. Seit die Internetanbieter mit dem Ende der Vorratsdatenspeicherung IP-Adressen nicht mehr sammeln müssen, laufen Seibolds Ermittler oft ins Leere. „Das ist frustrierend“, sagt der Dezernatsleiter.

Noch einen Kampf führen die Cybercops: Den gegen die Datenmengen. Bei einer einzigen Durchsuchung beschlagnahmen die Beamten oft mehrere hundert elektronische Geräte. Auf einem einzelnen Server sind heute Datenmengen im Terabytebereich gespeichert, die auszuwerten dauert Monate. In Niedersachsen sind im April 18 Millionen gestohlene Nutzerdaten gefunden worden, theoretisch müsste jeder einzelne dieser Fälle verfolgt werden.

In Seibolds Team sind die Analysten, ITler und Mathematiker daher dabei, Methoden zu entwickeln, große Datenmengen effektiver auszuwerten. Gleichzeitig beobachten sie, welche Schadprogramme sich verbreiten, welche neuen Tricks sich die Kriminellen ausdenken und warnen die Bevölkerung. Manchmal gelingt es ihnen auch, zuzuschlagen. Doch angesichts der Flut der Attacken kann Seibold momentan nur ein Fazit ziehen: „Sicher ist nur, dass nichts sicher ist.“

Die Kommentarfunktion steht exklusiv unseren Abonnenten zur Verfügung. Als Abonnent melden Sie sich bitte an oder registrieren Sie sich. Alle anderen Nutzer finden preiswerte Angebote in unserem Aboshop.

Anmelden Registrieren Zum Abo-Shop

Sie sind noch nicht registriert?

Neu registrieren

MessageBox

Nachricht