Dem Bundeskriminalamt ist vor allem wichtig, wie viele mitgeholfen haben. Nicht nur die britische National Crime Agency (NCA) sei dabei gewesen, schreibt das BKA, auch die Zentralstelle Cybercrime NRW, die Staatsanwaltschaft Köln, Experten der Telekom und vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Europol habe ermittelt, deutsche, britische und sogar zypriotische Beamte. Man will zum Ausdruck bringen: Wir sind auch großen Verbrechen aus dem Internet gewachsen. „Das Beispiel zeigt, dass das Recht auch im Cyberraum durchgesetzt werden kann“, sagte dementsprechend Thomas Kremer, Vorstand für Datenschutz, Recht und Compliance der Telekom gegenüber Golem.
Ein riesiger Aufwand, um einen ersten Fahndungserfolg zu erzielen: Die britische NCA hat am Mittwoch einen 29-Jährigen am Londoner Flughafen festgenommen. Er soll hinter dem Hackerangriff auch auf deutsche Telekom-Router stecken, der im November für den Netzausfall bei rund einer Million Telekom-Kunden verantwortlich war. Der Vorwurf gegen den Briten lautet: Computersabotage in einem besonders schweren Fall.
Der 29-Jährige wollte nach Informationen des BKAs versuchen, sein Botnetz zum Verkauf anzubieten
Das BSI sprach im November von einem „weltweiten Angriff“. Der mutmaßliche Hacker aus London nutzte nach jetzigem Kenntnisstand eine Malware, die massenhaft Geräte infizierte. Ihr Code hat große Ähnlichkeiten zu einem alten Bekannten: dem Schadprogramm Mirai. Es befällt Linux-Systeme und schaltet die Geräte mit anderen zu einem sogenannten Botnetz zusammen. Infektions-Ziele sind einfache Router sowie Internet-of-Things-Geräte. Als Teil eines Netzwerks werden diese für großangelegte Überlastungsangriffe auf Server missbraucht, sogenannte DDoS-Attacken.
Der 29-Jährige wollte nach Informationen des BKAs versuchen, das so geschaffene Botnetz zum Verkauf anzubieten. Der Erwerb solcher Netzwerke wird in Verbindung mit großangelegten Operationen, zum Beispiel von russischen Hackern gegen andere Staaten, immer beliebter. Ein solcher Angriff hat im Oktober weite Teile des Internets an der US-Ostküste unerreichbar gemacht.
Im Fall der Telekom gelangte Mirai wahrscheinlich über eine Sicherheitslücke der Wartungsprotokolle TR-069 und TR-064 auf die Router der Telekom-Kunden. Die IT-Sicherheitsfirma BadCyber hatte schon Anfang November von einer Malware-Infektion über TR-064 berichtet. Die Forscher des Unternehmens schrieben: „Es sieht so aus, als habe jemand entschieden, die Lücke zur Waffe zu machen und einen Internet-Wurm auf Grundlage von Mirai-Code zu erschaffen.“
Die Bedrohung durch Mirai ist schon länger bekannt und Experten kritisieren die Unsicherheit des Internet of Things schon seit Jahren. Der Zwischenfall passt in eine ganze Reihe von Hacker-Angriffen, die zeigen, wie wehrlos Unternehmen und Institutionen noch immer gegen Attacken aus dem Netz sind. Auch das Großaufgebot der Ermittler zeigt, wie kompliziert die digitale Strafverfolgung sich gestalten kann.
Ob der 29-Jährige Brite noch andere Beweggründe gehabt haben könnte als nur finanzielle, will das BKA nicht sagen. Auskünfte könnten auf Grund andauernder Ermittlungen nicht erteilt werden. Auch ist nicht klar, wie die Behörden auf die Spur des Mannes gekommen sind. Anscheinend war das BSI mit der Analyse der Schadsoftware betraut worden. Dem Festgenommenen drohen jetzt sechs Monate bis zu zehn Jahren Haft. Die Strafe könnte gering ausfallen, weil sein Kaperversuch fehlgeschlagen ist. Ob er nach Deutschland ausgeliefert wird, ist nach jetzigem Stand unklar.
