Cyberattacken auf DHL und DPD Wie aus einem Nerd ein Hacker wurde

Seit Monaten legen Hacker immer wieder die Server von Großkonzernen lahm und erpressen hohe Bitcoin-Beträge. Mark ist einer von ihnen. Er erzählt erstmals, wie er die deutschen Paketgiganten DHL und DPD attackierte – und warum es so unglaublich einfach war. Eine Nahaufnahme.

  • Teilen per:
  • Teilen per:
DDOS-Attacken des HAckers ZZb00t im Mai 2017 trafen vor allem Postdienstleister wie DHL und DPD. Quelle: Marcus Simaitis für WirtschaftsWoche

Mit den Worten Gut und Böse kann der Mann, um den es hier gehen soll, wenig anfangen. Für ihn gibt es Weiß, Grau und Schwarz. Der Mann, der zum Beispiel Mark heißen könnte und einen großen Teil seines noch jungen Lebens vor zwei Bildschirmen verbracht hat, sagt: „Mit Blackhats habe ich nichts zu tun, ich war ein Greyhat, aber jetzt bin ich nur noch als Whitehat unterwegs.“ Und wer die Codes dieser speziellen Welt kennt, der weiß, dass dieser Satz als Rechtfertigung und Läuterung zugleich verstanden werden soll.

Whitehats, Weißhüte, nennen sich Hacker, wenn sie sich auf der Seite der Gerechtigkeit vermuten, etwa weil sie Kinderporno-Netzwerke aufdecken oder Unternehmen vor Sicherheitslücken warnen. Auf der anderen Seite stehen die Blackhats. Sie nutzen ihre Fähigkeiten, um Verbrechen zu begehen. Klauen Kontodaten, zerstören IT-Systeme, veröffentlichen Vertrauliches. Dazwischen liegt das Spielfeld der Greyhats. Im Sinne der guten Sache, so erklärt Mark seine Handlungen in der Grauzone, greifen sie auch mal zu fraglichen Mitteln. Dass Menschen wie Mark sich zwischen zwei Welten bewegen, zeigt schon seine doppelte Identität. Mark, der höfliche Mittzwanziger, nennt sich auf Twitter ZZb00t, sein Erkennungszeichen ist eine stilisierte Faust.

Am 17. Mai um 11 Uhr gingen auf der Homepage des Postdienstleisters DPD für ein paar Stunden die Lichter aus. Neue Kundenanfragen konnten nicht mehr beantwortet, Lieferungen nicht mehr verfolgt werden. Der deutsche E-Commerce, titelte ein Fachmedium, sei „an seiner verwundbarsten Stelle getroffen“. Prime-Sendungen über den Handelsgiganten Amazon waren betroffen, insgesamt sei „höchstens ein Zehntel der Pakete“ bei DPD auf Bändern, berichtete ein Händler. Es dauerte fast einen Tag, bis DPD die Probleme in den Griff bekam, Händler und Kunden spürten die Folgen des Chaos noch deutlich länger.

DDOS-Angriffe, bei denen Server von Unternehmen gezielt überlastet werden, haben sich in den vergangenen Monaten zur beliebten Masche unter Kriminellen entwickelt. Bild vergrößern
DDOS-Angriffe, bei denen Server von Unternehmen gezielt überlastet werden, haben sich in den vergangenen Monaten zur beliebten Masche unter Kriminellen entwickelt. (Für eine vergrößerte Ansicht bitte auf die Grafik klicken)

An den folgenden Tagen waren Softwareangriffe auf die Konkurrenten DHL und GDL erfolgreich, wenngleich die Folgen nicht mehr so drastisch ausfielen. Auf dem Twitter-Account ZZb00t fand sich schließlich ein Bekennerschreiben mit Bezug in die Zentralafrikanische Republik, andere Quellen wollten von deutschrussischen Hackern wissen. Weitere Taten wurden angekündigt. Seit Jahren wächst die Anzahl von Serverattacken auf Konzerne, um im Gegenzug Bitcoins zu erpressen. Dieser Angriff aber schien ein neuer Höhepunkt der bedrohlichen Masche zu werden. Der Auftakt für eine Serie von Erpressungen. Oder der Vorgeschmack auf eine wirklich große Zerstörungstat.

Mark macht sich über sein Tun und wie es zu bewerten sein soll, oft Gedanken. Schließlich hat er gerade viel Zeit. Seit Mark, groß, kurzhaarig und mit einem einnehmenden Lachen gesegnet, Ende Mai erst ein leises Knacken an der Wohnungstür hörte, dann die Worte „Polizei, Polizei“ und schließlich in die Läufe eines guten Dutzends Waffen blickte, ist er zum Warten verdammt. Auf „Computersabotage und Erpressung“ gegen Deutschlands führende Logistikkonzerne lautet die Anklage, gegen Jahresende soll die Verhandlung folgen. Einmal in der Woche muss er sich bis dahin bei der örtlichen Polizei melden. Wenn es schlecht für ihn läuft, wird er danach für ein paar Jahre im Gefängnis sitzen. Läuft es besser, kommt er mit einer Bewährungsstrafe davon.

Mark sagt: „Ich bereue inzwischen sehr, was ich getan habe.“ Deshalb möchte er reden, aber das ist nicht der einzige Grund. „Ich kann bis heute nicht fassen, wie unglaublich einfach es Leuten wie mir gemacht wird.“

Leute wie ihn, damit meint Mark einen bestimmten Schlag von Gelegenheitshackern. Um ihre Motivation zu verstehen, genügt es, Marks Alltag aus der Nähe zu betrachten. Seine Wohnung liegt in einer Straße, in der sich die Nachteile der Großstadt mit denen des Landlebens verbinden. Zweistöckige, graue Bergarbeiterhäuser stehen in monotoner Reihe, der nächste Bahnhof ist eine halbe Stunde Fußmarsch entfernt. Von seiner Küche geht der Blick hinaus auf ein altes Kohlekraftwerk. Irgendwo da muss auch der Rhein sein, aber den sieht man nicht.

Einen Job hat Mark nicht mehr. Den vorerst letzten bei einer IT-Sicherheitsberatung, hat er vor einem Jahr verloren. Dass zugleich seine Beziehung in die Brüche ging, war seinem Antrieb ebenfalls nicht zuträglich. Von München zog er in die Nähe seiner Mutter und verbringt seither seine Tage am Computer. Mal spielt er, mal mischt er Musik zusammen, mal gestaltet er ein bisschen an seiner Webseite. Und manchmal, da wendet er all die Sachen an, die er in seinem alten Job und im Selbststudium gelernt hat.

„Ich hatte schon immer so einen Sicherheitstick“, sagt Mark. „Ich will immer sicherstellen, dass ich und große Unternehmen gegen Eindringlinge geschützt sind.“ Er hat dafür ein paar Erklärungen, die er aus einer komplizierten Kindheit und dem daraus folgenden nicht minder komplizierten Charakter ableitet. Wer ihn besucht, kann zumindest das Ergebnis dieser Kompliziertheiten bezeugen. Wenn man die Treppe zur Wohnung hochsteigt, steht er immer schon da und schaut in den Gang hinunter. In der Wohnung selbst sind alle Fenster mit Kipprollos verhängt, die sich nur drehen, aber nicht nach oben ziehen lassen.

Ungewöhnliche Details

Einige Zeit nachdem die Systeme bei DPD zum ersten Mal nachgegeben hatten, ging beim Konzern eine E-Mail ein. Die Botschaft war simpel, einerseits. Jemand forderte Geld, als Gegenleistung werde er die Angriffe auf das Unternehmen einstellen. Ungewöhnlich aber waren die Details. Der Erpresser forderte weniger als einen Bitcoin, das entsprach im Mai rund 1600 Euro. Eine Summe, die ein Unternehmen vielleicht für einen externen Belastungstest der IT-Systeme ausgeben würde. Aber keine, die ein Erpresser fordern müsste, um sich mit einer einzigen Aktion möglichst langfristig finanziell zu sanieren.

Irgendwann im Frühjahr dieses Jahres, zermürbt von der Unendlichkeit der Tage und Nächte vor seinem Rechner, muss Mark das Gefühl dafür verloren haben, was real ist und was nur Hirngespinste sind. Vielleicht hat es damit begonnen, dass er sich das Twitter-Konto zulegte. Tagelang hat er an dem Logo gefeilt, in der Mitte die erhobene Faust der Black-Power-Bewegung, darin die Buchstaben ZZ. Dazu posierte er für ein Foto, schwarze Kapuze, Guy-Fawkes-Maske, wie sie in der Szene seit Jahren beliebt ist. „Aber meine war ein besonderes Modell“, sagt Mark, „auf der einen Hälfte sah man den Abdruck einer blutigen Hand.“ Seine dunkle Seite hatte jetzt ein Gesicht.

Mark ging nun strukturierter vor, wenn er seine Fähigkeiten im Netz anwendete. Er erstellte eine Liste von Unternehmen, deren Seiten er „auf ihre Sicherheit überprüfen“ wollte. So sagt er das.

Die größten Mythen zur IT-Sicherheit
Mythos: Das Internet ist so unendlich groß. Niemand wird gerade mich angreifen. Quelle: dpa
Mythos: Ich besitze überhaupt keine wertvollen digitalen Informationen. Quelle: dpa
Mythos: Um die Sicherheit kümmere ich mich dann, wenn mich einer versucht anzugreifen. Quelle: dpa
Mythos: AV und Firewall genügen dann aber auch, um meinen Computer sicher zu machen. Quelle: dapd
Mythos: Ich habe die kritischen Daten auf meiner Festplatte gelöscht - nun sind sie weg. Quelle: dpa
Mythos: Gefährliche Websites lassen sich direkt erkennen. Quelle: Fraunhofer SIT
Mythos: Ich bekomme es mit, wenn mein Computer infiziert oder unterwandert wurde. Quelle: REUTERS

Auf einem seiner Bildschirme öffnet Mark das Betriebssystem Kali Linux, das Laien an die ersten DOS-Momente erinnern mag. Ein schwarzes Fenster, ein blinkender Balken. Mark füllt den leeren Platz mit ein paar Kommandos, die bei Google mit zwei Klicks auffindbar sind. Am Beispiel eines bekannten Blogportals demonstriert er, wie sich schon mit wenigen Handgriffen herausfinden ließe, welche Klarnamen und Mailadressen sich hinter den Pseudonymen auf der Seite verbergen. Beim Scan einer großen Nachrichtenseite wird durch einen einzigen passenden Befehl deutlich, dass diese mit einer veralteten Version ihrer Sicherheitssoftware arbeitet.

„So ein Scan“, sagt Mark, „ist für einen Hacker immer der Anfang. Mit legalen Mitteln bekommt man dabei relativ einfach heraus, welches die Einfallstore für Angriffe sein könnten.“ Namen und Geburtsdaten lieferten Anhaltspunkte, um Passworte zu knacken. Wer wisse, dass ein Unternehmen veraltete Sicherheitssoftware verwendet, müsse nur noch im Internet nachlesen, welche Schwächen die jeweilige Version hat.

Als die Logistikdienstleister im Mai angegriffen wurden, fanden sie den Ursprung der Aggression schnell. Schließlich war ZZb00t da seit drei Wochen fast täglich aktiv, alle großen Sicherheitsportale warnten vor den Attacken. Dabei war die Systematik der Angriffe eigentlich klar. Im Kern waren es sogenannte DDOS-Attacken. Dabei werden die Server von Unternehmen so lange mit immer mehr Anfragen von anderen Rechnern konfrontiert, bis sie unter der Belastung zusammenbrechen. Das Verwunderliche, so schrieb eine Nachrichtenseite: „Obwohl viele der attackierten Unternehmen einen DDOS-Schutz eingekauft haben, stehen sie den Angriffen wehrlos gegenüber.“

Marks Neigung, seine IT-Kenntnisse nicht nur im Sinne des Gesetzes zu nutzen, geht einige Zeit zurück. Irgendwann in der Schulzeit kam er auf die Idee mit den USB-Sticks. Im Internet bestellte er Dutzende Datenträger, bestückte sie mit einem Virus und ließ sie an ein paar gut frequentierten Orten seiner Heimatstadt fallen. Ausgerechnet vor der Polizeidienststelle griff einer zu. „Da konnte ich plötzlich die gesamten Daten der Polizeidienststelle sehen“, sagt er. „Ich hatte nicht vor, etwas mit den Daten anzufangen, aber ich fand es faszinierend, da so unentdeckt mittendrin zu sein.“

Sein noch junges Leben mag zwar reich an Brüchen und Widersprüchen sein, bis dato ist es aber ebenso frei von Vorstrafen. Doch je mehr er lernte und sich beibrachte über die Sprachen der Server, ihre Türen, Schließmechanismen und die Schlüssel unter den Fußmatten, desto schwerer fiel es ihm, mit dem Dietrich draußen stehen zu bleiben.

Im April entdeckt Mark, dass sein Dietrich diesmal auf viel mehr Türen passt, als er es für möglich gehalten hätte. Zwar haben sich in den vergangenen Jahren viele Unternehmen gegen die Überlastungsangriffe nach dem DDOS-Muster geschützt, aber nur sehr oberflächlich. „Die meisten Unternehmen schützen nur ihre Hauptdomain“, erzählt Mark, also den Server, über den der Kunde auf eine Plattform zugreift, wenn er zum Beispiel wiwo.de in den Browser eintippt. „Zu jeder Domain gibt es aber aber auch Subdomains“, berichtet er weiter. „Manchmal sind das nur ein paar, manchmal sehr viele. Und die sind zum Teil völlig ungesichert.“

"So much insecure servers out there"

Als Mark merkt, wie viele Unternehmen diesen Fehler machen, wird er zum ersten Mal schwach. „Ich konnte das nicht aushalten, dass die Unternehmen einfach ignorieren, dass ihre Server völlig ungesichert im Netz stehen.“ Es ist die Argumentation, mit der Feuerwehrleute Häuser anzünden, um später beim Löschen zu helfen. Statt Feuer, Feuer brüllt Mark, natürlich über seinen Twitter-Account, holperig im Ausdruck, aber klar in der Botschaft: „So much insecure servers out there.“

Ein Botnetz, also eine große Zahl von für DDOS-Attacken aktivierten Rechnern, hat er sich zuvor im Internet gemietet. Er benennt nun in kurzen Abständen immer neue Ziele, die er zu einem festgesetzten Zeitpunkt ein paar Stunden später attackiert. Sein Selbstverständnis zeigt sich schon in seinen Ankündigungen. „New costumer: m-net.de“ schreibt er am 15. Mai. Und kündigt an „Stresstest on 16/05/2017 12:00“.

Zunächst nahm der Hacker sich Webshops vor wie hood.de oder rakuten.de, dann Preisvergleichsportale. Alle Seiten brachen zusammen, besonders heftig aber waren die Folgen bei DPD. Denn hier betraf die Attacke die für Händler entscheidende Plattform mydpd. Der Konzern bescheinigt dem Küchentisch-Hack einerseits eine hohe Professionalität, schließlich sei der „trotz hoher Sicherheitsvorkehrungen“ erfolgreich gewesen. Die Folgen jedoch seien gering gewesen, nur „sporadisch“ sei es zu „Störungen der IT-Systeme“ gekommen.

Am Tag der Attacke klang das anders, wie aus internen Mails hervorgeht, die der Blog „Wortfilter“ zitiert: Bundesweit seien keine Gefahrgutdaten vorhanden, „also kann auch kein Gefahrgut verladen werden, dies kann morgen so weiter gehen“. Ein Onlinehändler sorgte sich gar, eine Schicht absagen zu müssen, da über DPD nicht mehr geliefert werden konnte.

Kurz bevor Mark seine Angriffsserie begann, war DHL schon Opfer einer ähnlichen Attacke geworden. Auf der ganzen Welt zählen Statistiker monatlich die doppelte Anzahl entsprechender Attacken im Vergleich zum Vorjahr. Das liegt zum einen daran, dass die alte Masche so einfach umzusetzen ist wie nie zuvor. Mit der wachsenden Zahl von Geräten mit Netzwerkverbindungen, seien es Fernseher, Fitnesstracker oder Garagentore, steigt die Zahl der Instrumente, mit deren Hilfe sich Websites attackieren lassen. Auch ist es ist heute viel leichter als noch vor ein paar Jahren, auf Botnetze zurückzugreifen. Anstatt selbst Rechner mit Viren zu infizieren, um sie dann für Angriffe instrumentalisieren zu können, kauft man sich die Rechnerkapazität einfach im Netz.

Zugleich unterschätzen viele Unternehmen die Bedrohung. Nur drei Prozent der deutschen Unternehmen sind nach einer Untersuchung des TÜV Nord aus Mitte 2017 ausreichend vor Hackerangriffen geschützt. Laut Branchenverband Bitkom verursacht das allein in Deutschland einen Schaden in Höhe von 55 Milliarden Euro im Jahr.

Durch die Verbreitung von Bitcoins ist es zudem deutlich einfacher geworden, aus den Angriffen Profit zu schlagen. Laut einer Auswertung des Softwareanbieters Citrix halten fast 80 Prozent aller Unternehmen für mögliche Erpressungen Bitcoins vor. Das ist für beide Seiten einer Erpressung eine scheinbare Win-win-Situation: Konzerne können so schnell und unauffällig über peinliche Sicherheitslücken hinweggehen. Erpresser bleiben mithilfe der verschlüsselten Bitcoins anonym.

Dennoch fragt Mark sich oft, warum er diesen Schritt gegangen ist. Wie aus ihm ein Erpresser wurde. Vielleicht habe ihm die Wertschätzung für seine Arbeit gefehlt. Schließlich habe er den Unternehmen ja einen Gefallen getan, indem er ihre Schwachstellen aufdeckte, ohne diese für Datendiebstähle zu nutzen. Und als ihm dafür niemand dankte, holte er sich seinen Lohn dann eben selbst. Der erste Webshop, den er geknackt hatte, zahlte den Betrag sofort, also behielt er das Muster bei.

Ob man bei DPD über einen Bitcoin-Vorrat für Erpresser verfügt, darüber schweigt der Konzern. An ZZb00t hat das Unternehmen nicht gezahlt. Stattdessen landete das Erpresserschreiben bei der auf Computerkriminalität spezialisierten Staatsanwaltschaft Bielefeld. Und die vermeldete nach vier Wochen Aufruhr im Onlinehandel einen Erfolg: „Der Hacker wurde an seinem Schreibtisch festgenommen.“ Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik, gab zu Protokoll, die Festnahme zeige, dass „der Staat nicht wehrlos“ sei, ja, die kooperative Arbeit der Behörden führe dazu, „die Widerstandsfähigkeit Deutschlands gegen Cyber-Gefahren zu erhöhen“. Es klang, als habe man ein Drogenkartell ausgehoben.

Mark schmunzelt, wenn er an den Tag zurückdenkt, als aus den zwei Persönlichkeiten ZZb00t und Mark wieder eine wurde. 20 Polizisten! Die Waffen! Und kaum lag er am Boden, hatte er die Kabelbinder an den Händen. „Ich saß doch immer nur alleine vor meinem Rechner“, sagt er. „Dass es so jemandem wie mir gelingen konnte, all diese Unternehmen lahmzulegen, zeigt doch vor allem, wie einfach sie es mir gemacht haben.“

Bei DPD haben sie immerhin ein bisschen gelernt. Man habe die Schutzsysteme „den aktuellen Herausforderungen“ angepasst. Das hat auch Mark bemerkt. Als er neulich die Site „prüfte“, war zumindest die Hauptdomain sicherer geworden. Er hat das Unternehmen dann informiert, wo es noch Lücken gebe. Und sich noch für seine Angriffe im Mai entschuldigt. Sollte das Verfahren gegen ihn glimpflich enden, hat er auch schon einen Plan: Er will dann Unternehmen vor Menschen, wie er einer war, schützen. Mark wäre dann ein Whitehat, seine Welt endlich in Gut und Böse unterteilbar.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%