Köln Der erste Advent des vergangenen Jahres ist 1,2 Millionen deutschen Telekom-Kunden in Erinnerung geblieben – aber nicht wegen vorweihnachtlicher Besinnlichkeit. An jenem Sonntagabend fielen Telefone, Internet- und Fernsehempfang stundenlang aus, weil ein Hackerangriff reihenweise Router des Magenta-Konzerns lahmgelegt hatte. Die Cyberattacke hatte eine Dimension, wie sie Deutschland bis dahin noch nicht erlebt hatte.
Der Mann, der die Verantwortung für den Angriff übernimmt, tritt am Freitagvormittag vor die 18. Große Strafkammer des Kölner Landgerichts. Daniel K. ist ein schmächtiger Mann mit sehr kurzen Haaren. Der britische Staatsbürger lässt gleich zu Beginn der Verhandlung eine Erklärung verlesen. Darin gesteht er alle Vorwürfe der Anklage. „So sehr ich es aus heutiger Sicht bedauere, möchte ich mich dazu bekennen, dass die Dinge so abgelaufen sind.“
Wie es bei Cyberkriminellen häufig der Fall ist, agierte Daniel K. im Netz unter Pseudonymen. Er nannte sich „Peter Parker“ und „Spiderman“. Die Spitznamen sind passend gewählt., denn Kernvorwurf der Staatsanwaltschaft lautet, dass er wie eine Spinne ein Netz bauen wollte – ein sogenanntes Botnetz. Dabei werden tausende Computer oder Elektronikgeräte gekapert und dann durch Hacker fremdgesteuert. Die Telekom-Router wollte Daniel K. mit Hilfe der Schadsoftware „Mirai“ verbinden, deren Quellcode ihm in die Hände gefallen war.
Botnetze sind gefährliche Cyberwaffen. Mit ihnen lassen sich Wellen von Spam-Mails versenden oder Überlastungsangriffe auf Webseiten, sogenannte „Denial-of-Service“-Attacken (DDoS), orchestrieren. Deshalb werden auf illegalen Marktplattformen im Darknet Zugänge zu solchen Verbünden gehandelt. Auch Daniel K. räumt ein, dass er mit der Vermietung seines Botnetzes Geld verdienen wollte.
Vor Gericht sagt er, ein nigerianischen Kommunikationsunternehmen habe ihn beauftragt, einen Konkurrenten mit einer DDoS-Attacke anzugreifen. Offenbar wollte die Firma auf diesem Weg Marktanteile gewinnen. Laut Staatsanwaltschaft seien dem „Spidermann“ dafür 10.000 US-Dollar im Monat in Aussicht gestellt worden. Dreimal habe er Geld bekommen, sagt der Angeklagte.
In seinem Geständnis berichtet der zuckerkranke Daniel K. von finanziellen Sorgen. Mehrfach sei er zwischen Israel, wo er aufgewachsen ist, und Großbritannien hin und her gezogen, aber wegen der hohen Lebenserhaltungskosten kaum über die Runden gekommen. „Die Versuche, im IT-Bereich Geld für eine Familie aufzutreiben sind regelmäßig gescheitert.“ Zuletzt habe er mit seiner Freundin hatte auf Zypern gelebt, weil das Leben dort billiger gewesen sei.
Daniel K. wurde im Februar auf einem Londoner Flughafen festgenommen und einen Monat später im vereinfachten Auslieferungsverfahren nach Deutschland überstellt. Seitdem sitzt er in Untersuchungshaft. Sechs Mal habe er in mehrstündigen Vernehmungen ausgesagt, betont sein Anwalt die Kooperationsbereitschaft seines Mandanten.
Eine besondere Ausbildung war für den Angriff nicht nötig. Der gebürtige Londoner hat sich nach eigener Aussage seine Programmierkenntnisse selbst beigebracht. Er habe sich seit seiner Kindheit mit Computern beschäftigt, aber keine entsprechende Ausbildung absolviert.
Ein seltener Fahndungserfolg
Die Attacke richtete sich auf eine Schwachstelle in „Speedport“-Routern. Die Geräte, die zum Beispiel Haushalte mit dem Internet verbinden, können von Netzbetreiber über Schnittstellen ferngewartet werden. Durch eine, von Fachleuten Port 7547 genannt, versuchte die Schadsoftware in die Geräte einzudringen. Der Versuch, auf den Telekom-Routern weitere Software zu installieren, scheiterte. Es gelang dem „Spidermann“ nicht, die Geräte in sein Netz zu spinnen, stattdessen fielen sie überlastet aus.
Welche Bedrohung vom Spidermann-Hack hätte ausgehen können, brachte der IT-Sicherheits-Chef der Telekom Thomas Tschersich wenige Tage nach dem Angriff auf den Punkt: „Hätten die Hacker es geschafft, fast eine Million Router zu einem Botnetz zusammenzuschließen – kein Verteidigungssystem dieser Welt hätte dessen Attacke standhalten können.“ Mit anderen Worten: Dem Spidermann wäre es gelungen, eine digitale Superwaffe zu bauen.
Die Attacke hatte bundesweit für Aufsehen gesorgt – bis in die Politik. Telekom-Chef Timotheus Höttges forderte eine „Nato für das Internet“ und erklärte, dass der Angriff schlimmere Folgen hätte haben können: „Wir haben noch Glück im Unglück.“ Die Schadsoftware hatte einen einfachen Neustart der Geräte nicht überlebt. Den finanziellen Schaden beziffert die Telekom mit rund zwei Millionen Euro.
Auf die Spur des „Spiderman“ kamen die Ermittler durch Datenanalysen der Telekom und des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Ein Gerichtssprecher sagte, es sei ihnen gelungen, die Adressen der Server zu ermitteln, mit denen der mutmaßliche Täter die Router kontrollieren wollte. Außerdem konnten sie E-Mail-Adressen ausfindig machen, „die letztlich dem Angeklagten zugeordnet werden konnten“. Der Fall war am Ende so klar, dass Oberstaatsanwalt Markus Hartmann nur fünf Minuten für die Verlesung der Anklageschrift benötigte.
Die Verfolgung koordinierte die noch junge Zentral- und Ansprechstelle Cybercrime (ZAC) bei der Staatsanwaltschaft Köln. Dort sind seit April 2016 spezielle Staatsanwälte für Ermittlungen bei großen und grundlegenden Fällen von Internetkriminalität in ganz Nordrhein-Westfalen zuständig.
Fahndungserfolge wie beim Telekom-Hacker sind bei Cyberkriminalität keine Selbstverständlichkeit. Häufig nutzen die Tätern die vielfältigen Verschleierungsmechanismen des Internets geschickt aus.
Der formale Strafvorwurf gegen „Spiderman“ Daniel K. lautet auf „gewerbsmäßige Computersabotage“ (§303b StGB) in einem besonders schweren Fall. Dafür ist eine Freiheitsstrafe zwischen sechs Monaten und zehn Jahren vorgesehen. Daniel K. soll allein gehandelt haben. Was ihm zu seinen Gunsten ausgelegt werden kann: Er ist nicht vorbestraft und hat die Taten gestanden. Das Urteil wird deshalb wahrscheinlich schon in der kommenden Woche verkündet werden.
Der massive Hackerangriff von Daniel K. lässt die Gefahren der Cyberkriminalität der Zukunft erkennen. Bislang bestanden Botnetze vor allem aus Computern. Experten warnen nun, dass sich im Internet der Dinge auch Drucker, Router, Kühlschränke, Fernseher oder Autos für immer wuchtigere Cyberattacken missbrauchen lassen.
