Als Mark merkt, wie viele Unternehmen diesen Fehler machen, wird er zum ersten Mal schwach. „Ich konnte das nicht aushalten, dass die Unternehmen einfach ignorieren, dass ihre Server völlig ungesichert im Netz stehen.“ Es ist die Argumentation, mit der Feuerwehrleute Häuser anzünden, um später beim Löschen zu helfen. Statt Feuer, Feuer brüllt Mark, natürlich über seinen Twitter-Account, holperig im Ausdruck, aber klar in der Botschaft: „So much insecure servers out there.“
Ein Botnetz, also eine große Zahl von für DDOS-Attacken aktivierten Rechnern, hat er sich zuvor im Internet gemietet. Er benennt nun in kurzen Abständen immer neue Ziele, die er zu einem festgesetzten Zeitpunkt ein paar Stunden später attackiert. Sein Selbstverständnis zeigt sich schon in seinen Ankündigungen. „New costumer: m-net.de“ schreibt er am 15. Mai. Und kündigt an „Stresstest on 16/05/2017 12:00“.
Zunächst nahm der Hacker sich Webshops vor wie hood.de oder rakuten.de, dann Preisvergleichsportale. Alle Seiten brachen zusammen, besonders heftig aber waren die Folgen bei DPD. Denn hier betraf die Attacke die für Händler entscheidende Plattform mydpd. Der Konzern bescheinigt dem Küchentisch-Hack einerseits eine hohe Professionalität, schließlich sei der „trotz hoher Sicherheitsvorkehrungen“ erfolgreich gewesen. Die Folgen jedoch seien gering gewesen, nur „sporadisch“ sei es zu „Störungen der IT-Systeme“ gekommen.
Am Tag der Attacke klang das anders, wie aus internen Mails hervorgeht, die der Blog „Wortfilter“ zitiert: Bundesweit seien keine Gefahrgutdaten vorhanden, „also kann auch kein Gefahrgut verladen werden, dies kann morgen so weiter gehen“. Ein Onlinehändler sorgte sich gar, eine Schicht absagen zu müssen, da über DPD nicht mehr geliefert werden konnte.
Kurz bevor Mark seine Angriffsserie begann, war DHL schon Opfer einer ähnlichen Attacke geworden. Auf der ganzen Welt zählen Statistiker monatlich die doppelte Anzahl entsprechender Attacken im Vergleich zum Vorjahr. Das liegt zum einen daran, dass die alte Masche so einfach umzusetzen ist wie nie zuvor. Mit der wachsenden Zahl von Geräten mit Netzwerkverbindungen, seien es Fernseher, Fitnesstracker oder Garagentore, steigt die Zahl der Instrumente, mit deren Hilfe sich Websites attackieren lassen. Auch ist es ist heute viel leichter als noch vor ein paar Jahren, auf Botnetze zurückzugreifen. Anstatt selbst Rechner mit Viren zu infizieren, um sie dann für Angriffe instrumentalisieren zu können, kauft man sich die Rechnerkapazität einfach im Netz.
Zugleich unterschätzen viele Unternehmen die Bedrohung. Nur drei Prozent der deutschen Unternehmen sind nach einer Untersuchung des TÜV Nord aus Mitte 2017 ausreichend vor Hackerangriffen geschützt. Laut Branchenverband Bitkom verursacht das allein in Deutschland einen Schaden in Höhe von 55 Milliarden Euro im Jahr.
Durch die Verbreitung von Bitcoins ist es zudem deutlich einfacher geworden, aus den Angriffen Profit zu schlagen. Laut einer Auswertung des Softwareanbieters Citrix halten fast 80 Prozent aller Unternehmen für mögliche Erpressungen Bitcoins vor. Das ist für beide Seiten einer Erpressung eine scheinbare Win-win-Situation: Konzerne können so schnell und unauffällig über peinliche Sicherheitslücken hinweggehen. Erpresser bleiben mithilfe der verschlüsselten Bitcoins anonym.
Dennoch fragt Mark sich oft, warum er diesen Schritt gegangen ist. Wie aus ihm ein Erpresser wurde. Vielleicht habe ihm die Wertschätzung für seine Arbeit gefehlt. Schließlich habe er den Unternehmen ja einen Gefallen getan, indem er ihre Schwachstellen aufdeckte, ohne diese für Datendiebstähle zu nutzen. Und als ihm dafür niemand dankte, holte er sich seinen Lohn dann eben selbst. Der erste Webshop, den er geknackt hatte, zahlte den Betrag sofort, also behielt er das Muster bei.
Ob man bei DPD über einen Bitcoin-Vorrat für Erpresser verfügt, darüber schweigt der Konzern. An ZZb00t hat das Unternehmen nicht gezahlt. Stattdessen landete das Erpresserschreiben bei der auf Computerkriminalität spezialisierten Staatsanwaltschaft Bielefeld. Und die vermeldete nach vier Wochen Aufruhr im Onlinehandel einen Erfolg: „Der Hacker wurde an seinem Schreibtisch festgenommen.“ Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik, gab zu Protokoll, die Festnahme zeige, dass „der Staat nicht wehrlos“ sei, ja, die kooperative Arbeit der Behörden führe dazu, „die Widerstandsfähigkeit Deutschlands gegen Cyber-Gefahren zu erhöhen“. Es klang, als habe man ein Drogenkartell ausgehoben.
Mark schmunzelt, wenn er an den Tag zurückdenkt, als aus den zwei Persönlichkeiten ZZb00t und Mark wieder eine wurde. 20 Polizisten! Die Waffen! Und kaum lag er am Boden, hatte er die Kabelbinder an den Händen. „Ich saß doch immer nur alleine vor meinem Rechner“, sagt er. „Dass es so jemandem wie mir gelingen konnte, all diese Unternehmen lahmzulegen, zeigt doch vor allem, wie einfach sie es mir gemacht haben.“
Bei DPD haben sie immerhin ein bisschen gelernt. Man habe die Schutzsysteme „den aktuellen Herausforderungen“ angepasst. Das hat auch Mark bemerkt. Als er neulich die Site „prüfte“, war zumindest die Hauptdomain sicherer geworden. Er hat das Unternehmen dann informiert, wo es noch Lücken gebe. Und sich noch für seine Angriffe im Mai entschuldigt. Sollte das Verfahren gegen ihn glimpflich enden, hat er auch schon einen Plan: Er will dann Unternehmen vor Menschen, wie er einer war, schützen. Mark wäre dann ein Whitehat, seine Welt endlich in Gut und Böse unterteilbar.
