Raubzug im Netz - wie Verbraucher geplündert werden

von Johannes Jolmes & Anna Mundt

Ein "Klick" und schon sind 9.700 Euro verschwunden. Klaus Ritter ist Schatzmeister eines Shanty-Chors aus Köln und der Verein will die Chorbrüder auf Rügen besuchen. Ritter soll die Rechnung für Bus und Hotel begleichen. Was er nicht ahnt: Sein Computer ist infiziert mit einem Trojaner und damit  unter Kontrolle von Kriminellen, die sein Online-Banking manipuliert haben. Und so landet das Geld des Shanty-Chors auf einem Konto in England und ist anschließend ganz verschwunden.

Das Botnetzwerk "Avalanche"

Raubzug im Netz - wie Verbraucher geplündert werden
Ein Klick und das Geld ist weg, Anhang geöffnet und der Computer ist gekapert - allein in Deutschland wurden mehr als 50.000 Opfer eines Computerbetrugs von Cyberkriminellen.

Ritter bemerkt bei der Überweisung fast nichts ungewöhnliches. Außer, dass sich ein Fenster öffnet, das ihm einen so genannten "Sicherheitscheck" der Bank vorgaukelt. Ritter tippt nach Aufforderung seine TAN ein - im Glauben und Vertrauen darauf, dass sich die Bank um die Sicherheit ihrer Kunden sorgt. Doch ist das alles nur Fake und das Geld des Shanty-Chors ist weg.

Raubzug im Netz

Das war  2014. Was Ritter zu diesem Zeitpunkt nicht ahnt: Im niedersächsischen Verden ermittelt Oberstaatsanwalt Frank Lange gegen ein weltweites Netzwerk von Computerkriminellen, die Menschen wie Ritter schädigen. Insgesamt hat Ermittler Lange knapp 27.000 Strafanzeigen auf dem Tisch. "Die waren verdammt gut" - vor der technischen Raffinesse der Kriminellen hat Lange Respekt. Weltweit hatten sie Privat-Rechner infiziert  und konnten somit hunderttausende Rechner nutzen, um ihren Raubzug im Netz zu starten. Ein so genanntes Botnetz, der Name: "Avalanche". Mehrere hundert Millionen Euro betrug der Schaden weltweit, in Deutschland waren es jährlich zehn Millionen Euro.

Zusammen mit der Polizei in Lüneburg versucht Lange, den Verantwortlichen näher zu kommen, doch scheitert das anfangs daran, dass die Kriminellen sehr genau wissen, wie sie ihren digitalen Spuren verwischen müssen, so dass nichts auf sie hindeutet. Und "Avalanche" nutzten ihre Betreiber nicht nur für eigene Raubzüge, sondern vermieteten es auch an andere Kriminelle - natürlich gegen Gewinnbeteiligung.

Vom Trojaner erpresst

Mirco Laaser, Gastronom aus dem Siegerland

Trojaner statt neuem Koch: Mirco Laaser infizierte über einen Anhang seinen PC.

Mirco Laaser suchte händeringend einen weiteren Koch für sein Restaurant im Siegerland. Er schreibt eine Stelle aus und erhält eine fehlerfreie Bewerbung per E-Mail, im Anhang die üblichen Dokumente: Zeugnisse, Foto und Lebenslauf. Arglos klickt Laaser auf den Anhang. Wenige Minuten später sind alle Dateien auf seinem PC verschlüsselt: Buchungen, Rezepte, Buchhaltung und Geschäftskontakte. Nur eine Meldung blinkt noch auf dem Bildschirm: Er solle etwa 1.000 Euro Lösegeld zahlen, dann erhalte er den Freischaltcode. Er lasse sich nicht erpressen, so Laaser damals - und überweist nichts. "Heute hätte ich wahrscheinlich bezahlt", sagt er ein paar Monate später. Denn all seine Daten sind verloren, der Gastronom kann nur die Buchung rekonstruieren, die er schriftlich notiert hatte.

Auch Laaser ist Opfer von Computerkriminellen geworden, die seinen PC infiziert hatten. Dieser Erpressungstrojaner treibt immer noch weltweit sein Unwesen: Privatpersonen, Unternehmen, Krankenhäuser und sogar Polizeistationen in den USA wurden Opfer dieses Schadprogramms.

Was ist ein Botnetz?

Teil eines Botnetzes werden Verbraucher, in dem Angreifer auf ihrem Rechner unbemerkt einen Trojaner installieren. Aus der Ferne können die Angreifer dann Anweisungen geben. Wenn viele Bots zusammengeschlossen sind, entsteht ein Botnetz. Diese werden für viele illegale Aktivitäten genutzt - etwa zum massenhaften Versenden von Spam-Mails oder E-Mails mit Anhängen und Links. Aber auch persönliche Informationen wie Passwörter oder PINs können ausgespäht werden.

Jagd auf "Avalanche"

Polizei und Sicherheitsexperten warnen darum, sehr vorsichtig mit Anhängen von E-Mails umzugehen und besser gar nicht darauf zu klicken. "Man muss sich jedes mal fragen, ist diese E-Mail authentisch, kann das so sein?" sagt Stefan Mayer von der Polizei Lüneburg. Mayers Team war federführend an der Jagd auf "Avalanche" beteiligt. Allerdings kamen die Ermittler lange Zeit nur schleppend voran. Zwar kennen sie das Geschäftsmodell und auch die Infrastruktur von "Avalanche" nach Jahren der Ermittlung genau - doch es fällt  ihnen schwer, die Verantwortlichen zu identifizieren. Die Ermittlungen sind irgendwann an dem Punkt angelangt, dass sich Polizei und Oberstaatsanwalt Lange fragen, ob sie nicht zumindest Teile von "Avalanche" zerstören, auch wenn sie keinen Beschuldigten präsentieren können. Sie entscheiden sich letztlich dagegen: Denn sie hätten "Avalanche "vielleicht für ein paar Tage lahmlegen können, doch die Täter hätten über eine ausgeklügelte Technik all die gekaperten Rechner wieder zurück in ihren Besitz bringen können. Ein Großteil der Ermittlungen wäre für umsonst gewesen.

Botnetz lahmgelegt

Verdens Oberstaatsanwalt Frank Lange

Frank Lange, Oberstaatsanwalt aus Verden, ist optimistisch: "Irgendwann kriegen wir ihn. Oder jemand anderes".

Lange und sein Team gehen deswegen auf Reisen, knüpfen weltweit Kontakte und stellen fest: Auch anderen Kollegen ist "Avalanche" bereits aufgefallen. Am Ende werden Strafverfolgungsbehörden aus 40 Ländern einen weltweiten Schlag gegen "Avalanche" ausführen. Am 30. November 2016 ist der große Tag für die Ermittler: Lange leitet die Operation. Weltweit werden Server abgestellt, Beschuldigte festgenommen und das technische "Gehirn" nimmt die ukrainische Polizei in der Ukraine fest. Auch die technische Infrastruktur zerstören die Ermittler. Das wohl größte Botnetz ist Anfang Dezember 2016 Geschichte. Und doch bleibt ein Wermutstropfen für die Ermittler: Denn das technische "Gehirn" wird von einem ukrainischen Gericht wieder freigelassen, eine schlüssige Erklärung dafür gibt es bis heute nicht. Zumindest kann der Hauptverantwortliche die Rechner vorerst nicht zurück in seine Gewalt bringen, da die Ermittler die Verbindung zu ihm wirksam gekappt haben.  Aber noch immer sind hunderttausende Rechner weltweit infiziert und darum hoffen Lange und die Ermittler, dass die mehreren Zehntausend Nutzer in Deutschland ihre Rechner überprüfen, ob sie nicht auch unbemerkt seit Jahren Teil dieses Botnetzes waren. Und auch die Jagd auf den Hauptverantwortlichen ist noch nicht eingestellt: "Irgendwann kriegen wir ihn", ist sich Lange sicher.

Dieses Thema im Programm:

Das Erste | Panorama | 20.04.2017 | 21:45 Uhr