Experte Controlling Monitore Security In the System Control Room Technical Operator Stands and Monitors Various Activities Showing on Multiple Displays with Graphics. Administrator Monitors Work of Artificial Intelligence
© Gorodenkoff / shutterstock.com
SERIE: Sicherheit 4.0

Ermittlungserfolg oder Selbstentlarvung?

Hackerangriff auf Politik und Medien, Teil 2: Die Ermittlungen, der Täter und seine Vorgehensweise

Gleich zu Jahresbeginn erschütterte „einer der größten Hackerangriffe der deutschen Geschichte“ die Republik. Die Daten von über 1.000 Personen aus der Politik und dem öffentlichen Leben waren im Internet veröffentlicht worden. Der zweite Teil dieses Beitrags wirft einen Blick auf die Ermittlungen, den mutmaßlichen Täter und seine Vorgehensweise.

Die ermittelnden Behörden

In die Ermittlungen wurden alle infrage kommenden Sicherheitsbehörden einbezogen: das Nationale Cyber-Abwehrzentrum, das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundeskriminalamt (BKA), das Bundesamt für Verfassungsschutz (BfV), der Bundesnachrichtendienst (BND), die Bundespolizei und diverse Landesbehörden. Die Zentralstelle zur Bekämpfung der Internet- und Computerkriminalität (ZIT), eine Sondereinheit der Generalstaatsanwaltschaft in Frankfurt, hat die Ermittlungen aufgenommen. Der Generalbundesanwalt, der etwa bei der Veröffentlichung als vertraulich eingestufter Dokumente oder im Falle "geheimdienstlicher Agententätigkeit" zuständig wäre, hat einen Beobachtungsvorgang angelegt. Und das BfV hat sich mit ausländischen Nachrichtendiensten zur Herkunft der Angreifer ausgetauscht.

Spekulationen über den Täter

Nicht nur die Ermittlungen der Behörden gingen in alle Richtungen, sondern ganz besonders die Spekulationen der Medien, wer hinter dem Angriff stecken oder ihn unterstützt haben könnte: Das Spektrum reichte von Organisierter Kriminalität (OK) über politische Extremisten bis hin zu Staaten wie Russland oder China; selbst das Szenario, dass rechtsextreme deutsche Gruppen mit russischen Hackern kooperierten, wurde verbreitet. Gleichzeitig haben einige der betroffenen Personen angegeben, nach der Veröffentlichung ihrer Kontaktdaten anonyme Anrufe von russischen Rufnummern erhalten zu haben. In Sicherheitskreisen kam allerdings schnell die Vermutung auf, dass damit lediglich der Verdacht auf russische Nachrichtendienste gelenkt werden sollte. Die Weiterverbreitung der Russland-Theorie durch Medien bekam jedoch zusätzliche Brisanz, als in der Politik die Forderung nach einem aktiven digitalen Gegenschlag laut wurde.

Der Einzeltäter-Verdacht

Gleichzeitig führte der Twitter-Account von „G0d@_0rbit“ die Ermittler jedoch auf eine andere Spur. Der Account selbst samt seiner Follower soll vor zwei Jahren vom deutschen Youtube-Stars Dezztroyz alias Yannick Kromer gekapert und seitdem bereits für ähnliche Veröffentlichungen genutzt worden sein. Ein anderer Youtuber, DerTomekk alias Tomasz Niemiec, berichtete öffentlich von seinen Kontakten zum Nutzer des Accounts und äußerte die Vermutung, dass es sich um einen Einzeltäter handelte. Und mit dem 19-Jährigen Jan Schürlein machte noch eine weitere Person ihre regelmäßige Kommunikation mit dem Account-Nutzer publik und hat sich wiederholt öffentlich gewundert, dass sich die Ermittler noch nicht bei ihm gemeldet haben.

Die erste Wohnungsdurchsuchung

Nachdem er sich auf diese Weise quasi den Behörden wiederholt angeboten hat, nahmen diese das Angebot schließlich an – allerdings anders, als der 19-Jährige sich das wohl vorgestellt hat. Weil Schürlein für die Behörden kein Unbekannter war – zuvor soll bereits der Staatsschutz seine gesamte IT-Ausrüstung sichergestellt haben – hat das BKA ihn nicht nur ausgiebig befragt, sondern dabei gleich seine Wohnung in Heilbronn durchsucht und verbliebene „technische Geräte“ mitgenommen. Letztlich hat Schürlein die Informationen, die er vom mutmaßlichen Täter hatte, an die Behörden weitergegeben – und damit sachdienliche Hinweise für dessen Identifizierung gegeben, wie es von Seiten der Frankfurter Generalstaatsanwaltschaft hieß. Schürlein selber nahm für sich in Anspruch, den entscheidenden Hinweis geliefert zu haben. Dabei ging es wohl um einen Polizeibesuch beim Tatverdächtigen im Oktober 2016, den das BKA anhand der damaligen Ermittlungen zuordnen konnte.

Der Zugriff

Die Spur führte schließlich zu dem 20-jährigen Johannes S. aus Homberg (Ohm) in Mittelhessen, einem deutschen Staatsangehörigen, der noch zur Schule geht und bei seinen Eltern wohnt. Er wurde von der Polizei festgenommen, soll nach einer Intervention seiner Mutter kooperativ gewesen sein und die Tat schließlich nicht nur umfassend gestanden, sondern auch über Angaben zu seinen eigenen Taten hinaus Aufklärungshilfe geleistet haben. Im Zuge einer Wohnungsdurchsuchung wurden Computer und Datenträger beschlagnahmt, die Überreste eines entsorgten Computers samt einer 32 Mal gelöschten Festplatte wurden auf einem Recyclinghof wiedergefunden, ein Daten-Backup bei einem Sharehoster wurde gesichert. Weil danach keine Flucht- und Verdunklungsgefahr mehr bestand, wurde er mangels Haftgründen noch am selben Tag wieder aus dem Gewahrsam entlassen worden.

Ermittlungserfolg oder Selbstentlarvung?

Zur Öffentlichkeitsaffinität von Zeugen und Tatverdächtigem hat sich der Chaos Computer Club (CCC) geäußert. Das Vorgehen des Täters sei sehr unvorsichtig gewesen: Es sei mit den Betroffenen gechattet worden, es seien Details des Vorgehens preisgegeben worden, es seien sehr viele Metadaten, Zugriffszeiten und Motivationen, Rechtschreibfehler, eigene Gedanken hinterlassen worden. Zudem habe der Täter ein „viel zu großes Geltungsbedürfnis“: Er habe sich regelmäßig damit gerühmt, bestimmte Personen in Fallen gelockt und ihre Accounts übernommen zu haben. Die Einschätzung des CCC-Sprechers, dass dies zu einer schnellen Enttarnung führen könnte, hat sich im Nachgang bewahrheitet – doch offen bleibt, wie erfolgreich die Ermittlungen ohne Geltungsdrang und Mitteilungsbedürfnis von Zeugen und Tatverdächtigem gewesen wären.

Die Einzeltäterfrage

Johannes S. habe keine Informatik-Ausbildung, wohl aber „technische Kenntnisse“, sei extrem computeraffin und habe genügend Zeit, so die Staatsanwaltschaft. Er gab an, allein gehandelt zu haben, und auch die Ermittlungen erbrachten bisher keine Hinweise auf eine Beteiligung Dritter. Allerdings sei er nach Informationen von Sicherheitskreisen nicht in der Lage gewesen, den BKA-Ermittlern zu zeigen, wie er die Daten im Internet erbeutet hatte; vielmehr sei deutlich geworden, dass er nicht über die nötigen Kenntnisse verfügte, um beispielsweise die sogenannte Zwei-Faktor-Authentifizierung zu umgehen und Online-Accounts zu hacken. Dies nährt den von Medien verbreiteten Verdacht, dass zumindest ein Teil der Zugangsdaten etwa zu den Social-Media-Konten der Geschädigten aus früheren Hackerattacken stammen und im Darknet gekauft worden sein könnte, während höchstens ein Teil durch selbst durchgeführte Hackerangriffe erbeutet wurde.

Die Vorgehensweise des Täters

Die Frage, wie Johannes S. derart viele, teils sensible Daten zusammentragen konnte, ist noch nicht abschließend geklärt. Die Daten waren offensichtlich so divers, dass sie nicht die Beute eines einzelnen großen Hackerangriffs sein konnten, sondern aus zahlreichen Hacks und verschiedenen Quellen stammen mussten. Dem Täter wurde von Experten eine regelrechte Sammelleidenschaft attestiert; die letzten veröffentlichten Daten stammten von Ende Oktober 2018, zuvor soll er mindestens ein Jahr lang an seinen Listen gearbeitet und diese dann öffentlich gemacht haben.

Öffentlich zugängliche Dokumente und Nebenprodukte

Ein Teil der Daten – darunter Anschriften und Kontaktdaten – lässt sich mit unterschiedlich großem Aufwand in öffentlich zugänglichen Dokumenten im Internet finden oder ließ sich aus E-Mail-Signaturen auslesen. Andere Daten könnten durch Pannen öffentlich verfügbar geworden sein oder aus früheren Hacker-Angriffen, etwa auf MySpace, Yahoo, LinkedIn, Sony oder Dropbox, im Internet kursiert haben. Die große Masse der veröffentlichten Daten, nämlich Handy-Nummern und E-Mail-Adressen unzähliger Politiker, scheint als Nebenprodukt aus den elektronischen Adressbüchern einiger weniger gehackter Politiker-Accounts zu stammen.

Social Engineering

Es ist offensichtlich, dass die Daten zum Teil auch aus passwortgeschützten Quellen zusammengetragen worden sind. Allerdings wurde von den Verantwortlichen ausgeschlossen, dass IT-Systeme des Bundes infiltriert wurden. BKA-Präsident Holger Münch zufolge war es Johannes S. gelungen, einzelne Passwörter zu knacken; das BSI sprach von einem „höheren zweistelligen Betrag von Personen“, die tatsächlich gehackt worden seien. Dabei ging es dem Vernehmen nach jedoch insbesondere um sogenanntes Social Engineering, beispielsweise durch das Ausprobieren von Passwörtern, das Erraten der Antworten auf Sicherheitsfragen oder direkte Kontaktaufnahmen zum Anbieter, um Passwort-Wiederherstellungsprozeduren zu manipulieren.

Schwache Passwörter und ungenügend abgesicherte Accounts

Nicht nur die Ermittlungen haben es gezeigt, sondern auch Betroffene haben es eingeräumt: Die Übernahme seines Accounts, so gab beispielsweise der Youtube-Star Simon Unge alias Simon Wiefels bekannt, war auf eine nicht ausreichende Absicherung des zu seinem Twitter-Account gehörigen E-Mail-Kontos zurückzuführen. Im aktuellen Fall wurde wohl ein Teil der veröffentlichten Daten unverschlüsseltem Mail-Verkehr entnommen, und auch Daten auf sozialen Plattformen wie Twitter und Facebook gelten als unzureichend geschützt. Ganz allgemein lässt sich sagen, dass solche Datensammlungen allzu oft dadurch erleichtert oder erst möglich werden, dass Nutzer zu einfache Passwörter wählen, diese zu selten aktualisieren und dieselben Passwörter für verschiedene Accounts bei unterschiedlichen Diensten verwenden – wodurch durch Datenpannen oder Hacks bekannt gewordene Zugangsdaten auch Jahre später noch genutzt werden können.

Zugang zu E-Mail-, Cloud- und Social-Media-Konten

Schnell war auch zu hören, dass Johannes S. möglicherweise über das E-Mail-Programm Microsoft Outlook Passwörter von mindestens 30 Politikern erbeutet habe, und es war von eventuell geknackten Smartphone-Backups aus der Cloud die Rede. Es scheint jedenfalls erwiesen zu sein, dass er sich auf die eine oder andere Weise durch die missbräuchliche Nutzung von Login-Daten Zugang zu privaten, nicht zu dienstlichen E-Mail-, Cloud- und Social-Media-Konten verschafft hat, insbesondere bei Facebook und Twitter.

Frühere Account-Übernahmen ohne Konsequenzen

Im Nachgang wurde bekannt, dass in der Vergangenheit manchen Politikern Unregelmäßigkeiten bei ihren privaten E-Mail-Accounts aufgefallen waren, die zeitweise nicht mehr zugänglich gewesen oder gar von Dritten übernommen worden seien. Andere waren darüber informiert worden, dass es Angriffe auf ihre Facebook-Konten gegeben habe, die jedoch erfolgreich hätten abgewehrt werden können; doch auch hier waren Übernahmen durch Dritte, Veröffentlichungen gefälschter Verlautbarungen und Kontaktaufnahmen zu anderen Politikern unter falscher Identität aufgefallen. Es wurde mehrfach Anzeige erstattet, jedoch habe kein Täter ermittelt werden können. Mit der Wiedererlangung der Kontrolle über ihre Accounts haben die Politiker es dann bewenden lassen – bis sich abgegriffene Daten etwa über Chatverläufe im Messenger oder E-Mail-Adressen in den aktuellen Veröffentlichungen wiederfanden.

Der Beitrag über den Hackerangriff auf Politik und Medien besteht aus vier Teilen:

  • Teil 1: Die Tat und ihre Folgen
  • Teil 3: Motivation des Täters und Einordnung der Tat
  • Teil 4: Kritik und Konsequenzen

 

SERIE: Sicherheit 4.0

Handlungsleitfaden Informationssicherheit

Für die kommunale Praxis: IT-Dienstleister ITEOS kooperiert mit Studenten

SERIE: Sicherheit 4.0

Generalprobe für die Bedrohungen des 21. Jahrhunderts

Hackerangriff auf Politik und Medien, Teil 3: Motivation des Täters und Einordnung der Tat

SERIE: Sicherheit 4.0

Ermittlungserfolg oder Selbstentlarvung?

Hackerangriff auf Politik und Medien, Teil 2: Die Ermittlungen, der Täter und seine Vorgehensweise

SERIE: Sicherheit 4.0

Ein Hacker, der als Gott im Orbit schwebte

Hackerangriff auf Politik und Medien, Teil 1: Die Tat und ihre Folgen

SERIE: Sicherheit 4.0

Technologie als Treiber der Sicherheitspolitik

Teil 1: Überwachung

Wir erwarten, dass zu vielen Themen unseres Journals bei Ihnen der Wunsch besteht, sich auszutauschen. Daher planen wir eine Kommentarfunktion für unsere registrierten Leser.