Heimtückische Trojaner aus Fernost, die Regierungsgeheimnisse stehlen, digitale Kriminalität, Vandalismus und Krieg im Internet - über all diese Gefahren haben sich deutsche Sicherheitsbehörden in den vergangenen Jahren oft und ausführlich verbreitet.
Als Antwort auf die vielen Bedrohungen wurde neulich von Bundesinnenminister Hans-Peter Friedrich ein "Nationales Cyber-Abwehrzentrum" in Bonn eröffnet, das unter anderem Angriffe auf staatliche Einrichtungen verhindern soll. Die Frage ist nur: Warum deponieren deutsche Sicherheitsbehörden vertrauliche Daten ihrer Ermittlungsarbeit auf Servern, die sogar von Hacker-Lehrlingen geknackt werden könnten?
Anfang dieses Monats luden Hacker heimlich Daten über Observationen deutscher Zoll- und Polizeibehörden im Zeitraum von Ende 2009 bis Ende 2010 von einem amtlichen Server herunter und stellten einige der Daten auszugsweise ins Netz. Die Verantwortung übernahm der angebliche Leiter einer Hacker-Gruppe namens "No-Name-Crew". Betroffen von der Ausspähung sind das Zollkriminalamt in Köln und die Landeskriminalämter.
Staatsanwaltschaften in Karlsruhe und Köln ermitteln derzeit parallel wegen schwerer Computersabotage und anderer Delikte. Es gab zwei Festnahmen und reichlich Geständnisse. Die Daten waren auf einem russischen Server abgelegt worden und konnten inzwischen gesichert werden, soweit das im Netz möglich ist.
Peilsender für das organisierte Verbrechen
Der tatsächliche Schaden ist gering, weil Außenstehende mit diesen Daten eigentlich nichts anfangen können. In einem Peil- und Ortungssystem namens "Patras" wurden Daten von Observationen gespeichert. "Patras" funktioniert so: Spezialisten der Polizei oder des Zolls bringen heimlich an Fahrzeugen oder auch an Containern Sender an, die in Verbindung mit einem Satelliten stehen. Ermittler können dann am Laptop oder am Computer verfolgen, wann der Verdächtige wohin fährt. Früher war dafür die Kreuzpeilung mit Hilfe von zwei Fahrzeugen notwendig.
"Patras" hielt fest, wann eine Fahrt wo begann, wie lange sie dauerte und wo sie endete. Kein Name eines Verdächtigen wurde in den Dateien festgehalten. In der Regel handelte es sich um Leute aus dem Bereich der organisierten Kriminalität, denn für den Einsatz solcher Systeme braucht es richterliche Beschlüsse. Auch Testfahrten der Beamten und Fahrten mit Dienstfahrzeugen wurden bei "Patras" gespeichert.
Selbstgebasteltes Sicherheitsrisiko
Eigentlich können nur die Beamten, die auch die Ermittlungsakten kennen, mit den "Patras"-Daten etwas anfangen. Dennoch ist der virtuelle Schaden gewaltig. Es ist ein Imageschaden für die deutschen Sicherheitsbehörden. Denn die Entwicklung von "Patras" zeigt, abseits des Buheis, die tatsächlichen Probleme der Behörden im Cyber-Krieg: Es sind Haushaltsprobleme.
Mehr oder weniger nebenher hatten Bundespolizisten "Patras" gebastelt. Sie verwendeten dabei eine XAMPP-Installation ohne echte Absicherung. Das Zollkriminalamt und auch Landeskriminalämter griffen gerne zu, weil es das System kostenfrei gab. Eine vergleichsweise sichere Version hätte etwa 30.000 bis 50.000 Euro gekostet. Das Bundeskriminalamt schaute sich das Angebot an und verzichtete, offenbar aus Sicherheitsgründen. Nur erfuhren die anderen davon nichts.
In dem für streunende Hacker anfälligen System wurde am 8. September vergangenen Jahres um 12.18 Uhr ein Trojaner abgelegt, der aber keine Aktivität entfaltete. Der Absender des Trojaners, ein 21 Jahre alter Hacker, berichtete dann in einem Internet-Forum, wie leicht es sei, beim Staat einzudringen.
Im Mai wurden dann Dutzende Trojaner gepflanzt und der Download fand zwischen dem Abend des 3. und dem Vormittag des 6. Juli statt. Der komplette Server wurde heruntergeladen. Klar ist, dass alle Zolldaten von Observationen stibitzt worden waren. Was den Landeskriminalämtern abhanden kam, ist noch nicht klar.
Feindbild Bundespolizei
Die Hacker glaubten offenbar, ihnen sei Großes gelungen, weil in den Dateien immer von der "Bundespolizei" die Rede war, die das System entwickelt hatte. Aus Sicht von Außenstehenden, die überall den Überwachungsstaat wähnen, ist die Bundespolizei, der frühere Bundesgrenzschutz, etwas Großes, Unheimliches. Als die ersten Meldungen erschienen, dass insbesondere der Zoll betroffen sei, beharrten die Hacker darauf, die Bundespolizei geknackt zu haben. Zoll klingt irgendwie altmodisch.
Der Dilettantismus war auf beiden Seiten gewaltig: Der wegen räuberischer Erpressung vorbestrafte arbeitslose Haupthacker der "No-Name-Crew" verwendete als Pseudonym einen Namen, unter dem ihn seit Jahren die ganze Szene kennt. Da hätte er auch seine Anschrift ins Netz stellen können. "Besser wäre wohl ,No Brain Crew' gewesen", spottete ein "autonomer Informatiker" im Netz.