Kurz bevor Tillmann Werner in die USA fliegt, fällt ihm ein Server auf, den die Agenten des FBI übersehen haben. "Das war schon ätzend", sagt er heute. Nur "aus einer Laune heraus" habe er mit Kollegen das Internet noch einmal nach speziell konfigurierten Servern durchsucht - Wege, über die kriminelle Hacker versuchen könnten, sich gegen die Übernahme durch die amerikanische Bundespolizei zu wehren.
Tatsächlich wurde er fündig. Eine monatelang geplante Aktion, verteilt über zwei Kontinente, um einem Netzwerk krimineller Hacker ihre digitalen Werkzeuge abzuknöpfen: Sie droht zu scheitern wegen eines vermeidbaren Fehlers.
Tillmann Werner ist Sicherheitsforscher und hilft Ermittlern wie dem FBI.
(Foto: oh)Werner steigt in den Flieger, es ist Mitte 2014, er ist unterwegs nach Pittsburgh, USA, und schreibt gleich weiter am Programmiercode. 90 000 Zeilen werden er und die anderen vier IT-Sicherheitsforscher er am Ende des Einsatzes insgesamt kreiert haben.
Schaden von mindestens 150 Millionen Dollar
Mit diesem Code können Ermittler des FBI "Gameover Zeus" lahmlegen - ein gewaltiges Botnetz, das nach Angaben der Behörde mehr als eine Million Rechner kontrolliert hatte. So gelingt es ihnen, eine der berüchtigtsten im Netz agierenden kriminellen Banden empfindlich zu treffen. Die Hacker haben den Ermittlern zufolge einen Schaden von mindestens 150 Millionen Dollar verursacht. Werner stellte sicher, dass die technische Seite des FBI-Gegenangriffs fehlerfrei ablief.
IT-Sicherheitsexperten erklären komplexe technische Begriffe in einer Sprache, die vor Allegorien strotzt. Ein Botnetz beschreiben sie als Verhältnis zwischen einem Herrscher und seinen Sklaven. Ein klassisches Botnetz infiziert Computer und verteilt Befehle zentral, über einen Server auf andere. Diese technische Infrastruktur sei sofort "verbrannt", also öffentlich bekannt, wie der 38-jährige sagt: "Da werden ja mehr als hunderttausend Rechner infiziert". Um die Netze auszuschalten, können Polizisten versuchen, diese Server vom Internet zu nehmen.
Botnetze wie Gameover Zeus sind noch komplexer. Statt die Befehle über zentrale Webseiten zu erhalten, kommunizieren Rechner in erster Linie untereinander und verteilen die Daten. Es ist ungleich schwieriger, diese dezentrale Kommunikation zu kappen, die ohne Hierarchie abläuft. Sicherheitsforscher müssen die infizierten Rechner dazu bringen, Befehle von einer anderen zentralen Stelle zu akzeptieren - nämlich von den Forschern selbst -, erst dann können sie das Botnetz deaktivieren.
Sie machen sich also selbst zum neuen Herrscher der Diener. Die zentralen Server der Hacker existieren weiterhin, bleiben aber im Hintergrund. Über sie können Kriminelle versuchen, den Gegenangriff zu starten, Notfall-Kommunikation aufzubauen und den Sicherheitsforschern die Kontrolle wieder zu entreißen.
"Da hole ich mir fünf Millionen auf einen Schlag"
Die Strategie der Kriminellen, die Werner durchkreuzen will, geht so: Über Schadsoftware infizieren die Hacker Rechner, zum Beispiel mit einem Mail-Anhang. Wer ihn öffnet, installiert ihre Programme, ohne es zu merken. Beim nächsten Aufruf einer Bank-Webseite ändern die Hacker zum Beispiel deren Aussehen. Die Opfer geben noch mehr Informationen über sich preis, die bei den Hackern landen. Auchie Login-Daten haben diese nun, da sie jedes getippte Wort protokollieren.
Sobald sich die Besitzer online in ihr Bankkonto einloggen, und auf diesem Konto sechs-- oder siebenstellige Summen lagen, greifen die Hacker zu. "Die haben sich gesagt: 'Da hole ich mir fünf Millionen auf einen Schlag.' Aber natürlich schlägt dann das interne Banksystem Alarm", sagt Werner.
Um die Bank abzulenken, starten die Hacker deshalb zusätzlichen einen DDoS-Angriff (Distributed Denial of Service). Die Server der Bank werden mit Anfragen überflutet. Dieser Angriff beschäftigt die IT-Abteilung, niemand registriert die teure Transaktion. Die Überweisung geht durch, die Kriminellen sahnen ab.
Über Jahre ein Schatten gejagt
Am Telefon erzählt ein beteiligter Ermittler, dass es sich über Jahre anfühlte, als würden sie einen Schatten jagen. "Es ist schwer, herauszufinden, wer ein Botnetz betreibt, weil diese Menschen sehr viel Wert drauf legen, anonym zu bleiben", erzählt der Mann, der nicht namentlich genannt werden darf. Manchmal würden ihnen aber Fehler unterlaufen. Dann könne man zuschlagen. "Diese Menschen haben ein normales Leben und ein kriminelles Leben. Mein Job ist es, jenen Punkt zu finden, an dem sich beide Leben überschneiden."
Davon, etwas über das normale Leben des Hackers heraus zu finden, sind die Ermittler über Jahre weit entfernt, sie kennen nur seine vielen Online-Pseudonyme: "Slavik" ist eins davon. Dafür sind die Agenten sehr gut vertraut mit seinem kriminellen Leben, nämlich den bevorzugten Hacking-Methoden des "Business Club", wie die Gruppe genannt wird, die Gameover Zeus eingesetzt hat und deren Chef Slavik ist. Jahre später finden IT-Sicherheitsforscher der Firma Fox-IT dann in mühevoller Kleinarbeit heraus, dass Slavik mit einer E-Mail-Adresse in Verbindung zu bringen ist, die am Ende zu einem echten Namen führt: Jewgeni Michailowitsch Bogatschow.
Wenn Werner über Bogatschow spricht, nennt er dessen Vorgehen mal "außergewöhnlich", mal spricht er von einer kriminellen Organisation, die man als Mafia bezeichnen könne. Offensichtlich schätzt Werner die technischen Fähigkeiten des Mannes, dessen Werk er zerstört hat. Ein ebenbürtiger Gegner.
Ein Gros der Sicherheitsforscher reagierte achselzuckend auf Botnetze - Werner nicht
Werner arbeitet als technischer Analyst bei der Firma Crowdstrike, redet auf den renommiertesten Hacker-Konferenzen und hetzt manchmal durch seine Sätze. Mit Botnetzen beschäftigt er sich seit mittlerweile vierzehn Jahren. "Damals ging es los mit den ersten Schwachstellen in Windows, die sich remote ausnutzen ließen, also aus der Ferne. Die Leute haben Würmer gebaut, die sich autonom ausgebreitet und zu Netzen zusammengeschlossen haben. Das waren die ersten Botnetze." Ein Gros der Sicherheitsforscher habe achselzuckend reagiert und gesagt, da könne man nichts machen. Werner und seinen Kollegen fanden das frustrierend. Sie machten sich an die Arbeit.
Mehrere Menschen, die Werner kennen und mit ihm gearbeitet haben, beschreiben ihn als "exzellenten Reverse-Engineer". Also einen, der Schadsoftware Zeile für Zeile auseinandernehmen und analysieren kann und der versteht, wie der Code aufgebaut ist und nach welchen Regeln er arbeitet.
Schnell erkennt er, dass man die Botnetze übernehmen und zerschlagen kann. "Damals war alles grüne Wiese", sagt er, also: Alles war möglich. Auf den Hinweis, dass es illegal sei, unbefugt Rechner zu übernehmen, auch die von Kriminellen, grinst Werner nur und sagt: "Das haben wir natürlich nie gemacht."
Viele Hacker seien der Auffassung gewesen, dass es sich nicht lohnen würde, mit der Polizei zu reden. Die sei 2005 nicht in der Lage gewesen, Hacker zu überführen und einzusperren, sagt Werner. "Es ist schon erstaunlich, dass sie in zehn Jahren so viel gelernt haben und da sind, wo sie jetzt sind."
Von Bonn nach Pittsburgh
Der Kontakt zum FBI kommt über einen weiteren deutschen IT-Sicherheitsforscher zustande. Christian Rossow hielt einen Vortrag auf einer Sicherheitskonferenz, einer der Agenten, die sich auf Cyberkriminalität spezialisiert haben, saß im Publikum. Der nahm Kontakt mit Rossow, auch Werner war ab dann dabei. Für den takedown, das Ausknipsen des Botnetzes, lässt das FBI Werner dann in die USA fliegen.
Vier Tage bleiben ihm und seinen Kollegen, um den Code fertig zu bekommen. Werner setzt sich mit seinem Kollegen Brett Stone-Gross in einem Raum der National Cyber-Forensics & Training Alliance in Pittsburgh. Um sie herum stehen FBI-Agenten. Werner schildert seine groteske Situation: "Das ganze vierstöckige Gebäude ist leer. Da standen acht Leute, mitten in der Nacht, um uns herum im Halbkreis. Die waren stumm, weil sie uns nicht ablenken wollten. Hin und wieder haben sie uns Getränke und Hamburger hingestellt."
Gameover Zeus wurde vermutlich Für Spionage eingeestzt
Im Mai 2014 starten Werner und seine Verbündeten den Gegenangriff. Die Sicherheitsforscher von Fox-IT finden versteckt im Botnet auch Befehle, die mit klassischer Kriminalität nichts zu tun haben. Vermutlich ist über das Botnet auch Spionage betrieben worden - gesucht worden sind mit ihm Unterlagen zu den Konflikten in Syrien und der Ukraine. Bis heute ist unklar, wer diese Suchen startete.
Die Sicherheitsforscher haben Erfolg: Gameover Zeus geht vom Netz. Aber Bogatschow ist bis heute nicht gefasst. Zu dem Thema schweigt der Ermittler des FBI. Die Behörde hat eine Belohnung von drei Millionen US-Dollar ausgeschrieben. Nach der US-Präsidentschaftswahl taucht sein Name auch auf einer Sanktionsliste gegen Russen auf, die die US-Regierung unter Obama veröffentlicht, weil der Kreml den amerikanischen Wahlkampf manipuliert haben soll.
Werner ist mittlerweile damit beschäftigt, den nächsten Gegenangriff zu planen. Mehr darf er noch nicht sagen.
