Cyberattacken auf DHL und DPD Wie aus einem Nerd ein Hacker wurde

Seite 2/3

Ungewöhnliche Details

Einige Zeit nachdem die Systeme bei DPD zum ersten Mal nachgegeben hatten, ging beim Konzern eine E-Mail ein. Die Botschaft war simpel, einerseits. Jemand forderte Geld, als Gegenleistung werde er die Angriffe auf das Unternehmen einstellen. Ungewöhnlich aber waren die Details. Der Erpresser forderte weniger als einen Bitcoin, das entsprach im Mai rund 1600 Euro. Eine Summe, die ein Unternehmen vielleicht für einen externen Belastungstest der IT-Systeme ausgeben würde. Aber keine, die ein Erpresser fordern müsste, um sich mit einer einzigen Aktion möglichst langfristig finanziell zu sanieren.

Irgendwann im Frühjahr dieses Jahres, zermürbt von der Unendlichkeit der Tage und Nächte vor seinem Rechner, muss Mark das Gefühl dafür verloren haben, was real ist und was nur Hirngespinste sind. Vielleicht hat es damit begonnen, dass er sich das Twitter-Konto zulegte. Tagelang hat er an dem Logo gefeilt, in der Mitte die erhobene Faust der Black-Power-Bewegung, darin die Buchstaben ZZ. Dazu posierte er für ein Foto, schwarze Kapuze, Guy-Fawkes-Maske, wie sie in der Szene seit Jahren beliebt ist. „Aber meine war ein besonderes Modell“, sagt Mark, „auf der einen Hälfte sah man den Abdruck einer blutigen Hand.“ Seine dunkle Seite hatte jetzt ein Gesicht.

Mark ging nun strukturierter vor, wenn er seine Fähigkeiten im Netz anwendete. Er erstellte eine Liste von Unternehmen, deren Seiten er „auf ihre Sicherheit überprüfen“ wollte. So sagt er das.

Die größten Mythen zur IT-Sicherheit
Mythos: Das Internet ist so unendlich groß. Niemand wird gerade mich angreifen. Quelle: dpa
Mythos: Ich besitze überhaupt keine wertvollen digitalen Informationen. Quelle: dpa
Mythos: Um die Sicherheit kümmere ich mich dann, wenn mich einer versucht anzugreifen. Quelle: dpa
Mythos: AV und Firewall genügen dann aber auch, um meinen Computer sicher zu machen. Quelle: dapd
Mythos: Ich habe die kritischen Daten auf meiner Festplatte gelöscht - nun sind sie weg. Quelle: dpa
Mythos: Gefährliche Websites lassen sich direkt erkennen. Quelle: Fraunhofer SIT
Mythos: Ich bekomme es mit, wenn mein Computer infiziert oder unterwandert wurde. Quelle: REUTERS

Auf einem seiner Bildschirme öffnet Mark das Betriebssystem Kali Linux, das Laien an die ersten DOS-Momente erinnern mag. Ein schwarzes Fenster, ein blinkender Balken. Mark füllt den leeren Platz mit ein paar Kommandos, die bei Google mit zwei Klicks auffindbar sind. Am Beispiel eines bekannten Blogportals demonstriert er, wie sich schon mit wenigen Handgriffen herausfinden ließe, welche Klarnamen und Mailadressen sich hinter den Pseudonymen auf der Seite verbergen. Beim Scan einer großen Nachrichtenseite wird durch einen einzigen passenden Befehl deutlich, dass diese mit einer veralteten Version ihrer Sicherheitssoftware arbeitet.

„So ein Scan“, sagt Mark, „ist für einen Hacker immer der Anfang. Mit legalen Mitteln bekommt man dabei relativ einfach heraus, welches die Einfallstore für Angriffe sein könnten.“ Namen und Geburtsdaten lieferten Anhaltspunkte, um Passworte zu knacken. Wer wisse, dass ein Unternehmen veraltete Sicherheitssoftware verwendet, müsse nur noch im Internet nachlesen, welche Schwächen die jeweilige Version hat.

Als die Logistikdienstleister im Mai angegriffen wurden, fanden sie den Ursprung der Aggression schnell. Schließlich war ZZb00t da seit drei Wochen fast täglich aktiv, alle großen Sicherheitsportale warnten vor den Attacken. Dabei war die Systematik der Angriffe eigentlich klar. Im Kern waren es sogenannte DDOS-Attacken. Dabei werden die Server von Unternehmen so lange mit immer mehr Anfragen von anderen Rechnern konfrontiert, bis sie unter der Belastung zusammenbrechen. Das Verwunderliche, so schrieb eine Nachrichtenseite: „Obwohl viele der attackierten Unternehmen einen DDOS-Schutz eingekauft haben, stehen sie den Angriffen wehrlos gegenüber.“

Marks Neigung, seine IT-Kenntnisse nicht nur im Sinne des Gesetzes zu nutzen, geht einige Zeit zurück. Irgendwann in der Schulzeit kam er auf die Idee mit den USB-Sticks. Im Internet bestellte er Dutzende Datenträger, bestückte sie mit einem Virus und ließ sie an ein paar gut frequentierten Orten seiner Heimatstadt fallen. Ausgerechnet vor der Polizeidienststelle griff einer zu. „Da konnte ich plötzlich die gesamten Daten der Polizeidienststelle sehen“, sagt er. „Ich hatte nicht vor, etwas mit den Daten anzufangen, aber ich fand es faszinierend, da so unentdeckt mittendrin zu sein.“

Sein noch junges Leben mag zwar reich an Brüchen und Widersprüchen sein, bis dato ist es aber ebenso frei von Vorstrafen. Doch je mehr er lernte und sich beibrachte über die Sprachen der Server, ihre Türen, Schließmechanismen und die Schlüssel unter den Fußmatten, desto schwerer fiel es ihm, mit dem Dietrich draußen stehen zu bleiben.

Im April entdeckt Mark, dass sein Dietrich diesmal auf viel mehr Türen passt, als er es für möglich gehalten hätte. Zwar haben sich in den vergangenen Jahren viele Unternehmen gegen die Überlastungsangriffe nach dem DDOS-Muster geschützt, aber nur sehr oberflächlich. „Die meisten Unternehmen schützen nur ihre Hauptdomain“, erzählt Mark, also den Server, über den der Kunde auf eine Plattform zugreift, wenn er zum Beispiel wiwo.de in den Browser eintippt. „Zu jeder Domain gibt es aber aber auch Subdomains“, berichtet er weiter. „Manchmal sind das nur ein paar, manchmal sehr viele. Und die sind zum Teil völlig ungesichert.“

Inhalt
Artikel auf einer Seite lesen
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%