Stand: 04.12.2017 16:00 Uhr Identitätsdiebstahl von Windows-Usern gestoppt von Johannes Jolmes

Nach jahrelangen Ermittlungen ist deutschen Strafverfolgungsbehörden in Zusammenarbeit mit Behörden aus 27 Staaten in der vergangenen Woche ein weltweiter Schlag gegen internationale Cyberkriminelle gelungen: Die Ermittler zerstörten das Botnetz "Andromeda". Deutschland gehört nach Asien und den USA zu den Ländern mit den meisten infizierten Rechnern. Ein Tatverdächtiger wurde in Weißrussland festgenommen, mehrere Server wurden abgeschaltet.

Aus Deutschland waren an den Ermittlungen die Staatsanwaltschaft Verden, die Zentrale Kriminalinspektion Lüneburg sowie das Bundesinstitut für Sicherheit in der Informationstechnik beteiligt. Weltweit kooperierten die deutschen Ermittler mit 27 Staaten, darunter auch das FBI sowie Unternehmen wie Microsoft.

Identitätsdiebstahl für Raubzüge im Netz

Cyberkriminelle nutzten dieses Botnetz, um Identitäten von Nutzern zu stehlen und Bank- und Kreditkartendaten sowie E-Mail-Adressen für Raubzüge im Internet zu verwenden. Diese Daten werden zum Beispiel dafür genutzt, unter falschen Namen Waren im Internet zu bestellen. Insgesamt sind laut Microsoft bereits in den ersten Tagen nach Zerstörung des Botnetzes rund zwei Millionen Opfer weltweit identifiziert worden, deren Identität geklaut wurde.

Rechner über manipulierte Office-Dokumente infiziert

"Andromeda" infizierte Windows-Rechner überwiegend durch manipulierte Office-Dokumente, die per E-Mail verschickt wurden. Dem Nutzer gaukelte der Absender meistens vor, dass es sich bei dem Dokument um eine geschäftliche Datei handele. Klickten die Nutzer dann auf dieses Dokument, installierte sich ein Schadprogramm. Dieses stahl die persönlichen Daten und erlaubte den Tätern, den gekaperten PC aus der Ferne Anweisungen zu geben. Ein so genanntes Botnetz entsteht, wenn mehrere Zehntausend dieser Zombie-Rechner von den Tätern zusammengeschlossen werden.

Millionenschaden durch Botnetz

Bereits vor einem Jahr hatten die Ermittler eine komplette Botnetz-Infrastruktur namens "Avalanche" übernommen. Diese Infrastruktur bestand aus rund 20 separaten Botnetzen, die von den Betreibern gegen Geldzahlung an andere Kriminelle vermietet wurden. Diese Kriminellen konnten dann auf eigene Rechnung ihren Raubzug im Netz starten und Bankkonten leerräumen oder flächendeckende Spam-Kampagnen starten. Die "Avalanche"-Infrastruktur soll laut Ermittlern allein in Deutschland einen Schaden von sechs Millionen Euro verursacht haben, weltweit dürfte der Schaden wesentlich höher liegen. Die Ermittlungen wurden damals federführend von deutschen Strafverfolgungsbehörden in Verden und Lüneburg geführt. Der jetzige Schlag gegen "Andromeda" ist ein Ergebnis der damaligen Ermittlungen.

Was ist ein Botnetz? Teil eines Botnetzes werden Verbraucher, in dem Angreifer auf ihrem Rechner unbemerkt einen Trojaner installieren. Aus der Ferne können die Angreifer dann Anweisungen geben. Wenn viele Bots zusammengeschlossen sind, entsteht ein Botnetz. Diese werden für viele illegale Aktivitäten genutzt - etwa zum massenhaften Versenden von Spam-Mails oder E-Mails mit Anhängen und Links. Aber auch persönliche Informationen wie Passwörter oder PINs können ausgespäht werden.

Ermittlungserfolg durch weltweites Netzwerk von Strafverfolgungsbehörden

Im Bereich Cyberkriminalität gestalten sich die Ermittlungen meistens äußert schwierig, da die Täter vielfach ihre Spuren weltweit verwischen. Strafverfolgungsbehörden müssen meistens mühsam Rechtshilfeersuchen stellen, oft zu spät um brauchbare Spuren für ihre Ermittlungen zu erhalten. Die geglückte Aktion gegen "Andromeda" beruht auch darauf, so schildern es Beteiligte gegenüber Panorama, dass durch die "Avalanche"-Ermittlungen ein weltweites Netzwerk von Strafverfolgungsbehörden aufgebaut wurde, dass nun viel schneller und effektiver arbeitet.

