Nachrichten
Wir sind t-online

Mehr als 150 Journalistinnen und Journalisten berichten rund um die Uhr f√ľr Sie √ľber das Geschehen in Deutschland und der Welt.

Wie konnte ein 20-Jähriger den Riesenhack schaffen?

  • Lars Wienand
Von H. Denker, A. Vahid Roodsari, L. Wienand, B. Kartheuser

Aktualisiert am 08.01.2019Lesedauer: 4 Min.
Internetleitung: Keine ausländische Macht am Werk, sondern ein 20-Jähriger aus Mittelhessen.
Internetleitung: Keine ausländische Macht am Werk, sondern ein 20-Jähriger aus Mittelhessen. (Quelle: Michael Kappeler/dpa-bilder)
Facebook LogoTwitter LogoPinterest LogoWhatsApp Logo
Schlagzeilen
AlleAlle anzeigen

Symbolbild f√ľr einen TextDieser Star gewinnt "Let's Dance"Symbolbild f√ľr einen TextTrump zahlt saftige GeldstrafeSymbolbild f√ľr einen TextPanzer-Video als Propaganda entlarvtSymbolbild f√ľr einen TextBrand legt Flughafen Genf kurz lahmSymbolbild f√ľr einen TextUS-Bischof verweigert Pelosi KommunionSymbolbild f√ľr einen TextRekord-Eurojackpot geht nach NRWSymbolbild f√ľr einen TextNot-OP bei Schlagerstar Tony MarshallSymbolbild f√ľr einen TextBoeing-Raumschiff an ISS angedocktSymbolbild f√ľr einen TextFrau protestiert nackt in CannesSymbolbild f√ľr einen Text√úberraschendes Comeback bei Sat.1Symbolbild f√ľr einen Watson TeaserFormel 1: Haas-Boss z√§hlt Mick Schumacher an

Das BKA hat einen 20-J√§hrigen festgenommen, der hinter dem gro√üen Datenhack stecken soll. Internet-Experten wie Markus Beckedahl und J√ľrgen Geuter sehen in ihm keinen Profi. t-online.de erkl√§rt die Hintergr√ľnde.

Der Zugriff erfolgte schon am Sonntagabend, am Dienstag gingen die Ermittler an die √Ėffentlichkeit: Das BKA hat in Mittelhessen einen 20-J√§hrigen vorl√§ufig festgenommen, weil er die zentrale Figur bei dem massenhaften Datendiebstahl sein k√∂nnte: "0rbit oder "G0d", wie er sich auch nannte. Er soll voll gest√§ndig sein und wurde am Dienstag vorl√§ufig wieder frei gelassen. Nach Informationen der Deutschen Presse-Agentur stammt er aus Homberg (Ohm) im Vogelsbergkreis, wo er bei seinen Eltern wohnt.


Typische Phishing-E-Mails und woran man sie erkennt

Frau schaut verwirrt auf ihren Laptop.
Häufig nutzen Täter Namen und Logos bekannter Unternehmen und verschicken beispielsweise gefälschte Rechnungen mit einer Schadsoftware im E-Mail-Anhang. Solche Spam-Wellen erreichen auch Telekom-Kunden.
+9

"Das war kein Super-Hacker, sondern eine ganz normale Person mit viel Zeit und negativer Energie", so Markus Beckedahl im Gespr√§ch mit t-online.de. Der Chefredakteur des Portals "netzpolitik.org" erkl√§rt: "Es war auch kein ausgekl√ľgelter Angriff, sondern eine Doxing-Attacke". Dabei werden m√∂glichst viele pers√∂nliche Daten eines "Gegners" im Netz gesammelt und ver√∂ffentlicht, um ihn blo√üzustellen.

ANZEIGEN
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Meistgelesen
Tankrabatt kommt: Weshalb Sie vorher tanken sollten
Schwerer Gang: Die Spritpreise erreichten zuletzt immer neue Rekordhöhen. Ein Rabatt soll die Kosten dämpfen.


Markus Beckedahl, Gr√ľnder der re publica: "Kein Super-Hacker".
Markus Beckedahl, Gr√ľnder der re:publica: "Kein Super-Hacker". (Quelle: imago-images-bilder)

"Die Person hat wahrscheinlich die Technik des Social Engineerings verwendet und hat zum Beispiel bei Twitter direkt angerufen, oder Passwörter einfach ausprobiert", so Beckedahl, der gemeinsam mit anderen die jährliche Internetkonferenz re:publica in Berlin organisiert.

Immer neue Informationen gefunden

Die gro√üe Datenmenge ist wahrscheinlich, so Beckedahl, dadurch zustande gekommen, dass der T√§ter immer neue Informationen gefunden hat, mit denen er weitere Konten online √∂ffnen konnte. "Das kostet viel Zeit, aber die hat ein 20-J√§hriger ja", so Beckedahl. Auch spreche vieles daf√ľr, dass der T√§ter die Daten nicht nur allein gesammelt, sondern auch viele √§ltere Quellen zusammengetragen habe.

Andere Experten, wie Linus Neumann vom "Chaos Computer Club", hatten t-online.de zuvor berichtet, dass es sich bei dem Täter vermutlich nicht um den Hacker einer ausländischen Macht, sondern um ein sogenanntes "Scriptkiddie" handele. Das ist ein junger Mensch, der mit viel Aufwand und Energie vorgeht, aber wenig technisches Verständnis und Programmierkenntnisse habe. Dies stellt sich nun als richtig heraus.

"Kein Cyberangriff auf Deutschland"

IT-Experte J√ľrgen Geuter fand den L√§rm um den Datenhack √ľbertrieben. "Das war mitnichten ein Cyberangriff auf Deutschland, wie manche behaupteten", sagt er. Geuter ist Informatiker und Gr√ľndungsmitglied des "Otherwise Network". "Der ganze 'Hack' sah nach etwas aus, was man einem Scriptkiddie zuordnen w√ľrde", sagt Geuter. "Das ist jemand, der Daten im Netz sammelt und zusammensucht ‚Äď niemand, den man als 'Hacker' charakterisieren w√ľrde."

Laut Geuter sind solche Leute meist junge Männer, die "denken, sie haben Kompetenz im Bereich Internet und Computer". "Die glauben dann, sie sind unangreifbar", sagt Geuter. Bei solchen Leuten sei es aber zu erwarten, dass sie einen Fehler machen. "Da hatte die Polizei leichtes Spiel."

Forderungen der Politik √ľbertrieben

Die Beweggr√ľnde des 20-J√§hrigen kennt Geuter nicht. "Vermutlich handelt es sich aber um keine politisch motivierte Tat", sagt der Informatiker." "Er wollte wahrscheinlich zeigen, was f√ľr ein gro√üer Macker er ist."

J√ľrgen Geuter ist Informatiker und Gr√ľndungsmitglied des "Otherwise Network.
J√ľrgen Geuter ist Informatiker und Gr√ľndungsmitglied des "Otherwise Network. (Quelle: Michael Kohls)

Geuter betont, dass der Fall gezeigt habe, dass die rechtlichen Befugnisse der Strafverfolgungsbeh√∂rden in solchen Sachen ausreichen. "Forderungen wie Zur√ľckhacken ‚Äď was manche konservative Politiker nannten ‚Äď laufen offensichtlich ins Leere", sagt Geuter. "Dass so eine Tat aufgekl√§rt wird, sei wahrscheinlicher, als wenn beispielsweise jemand zu Hause einbricht und den Fernseher klaut."

Täter wollte Aufmerksamkeit

Bereits fr√ľh nach dem Bekanntwerden des Falls hatte es Hinweise gegeben, dass es sich bei dem oder den T√§tern um jemanden handelt, der in der YouTube-Szene bereits l√§nger aktiv ist und dort seit Jahren Daten erbeutet hat.

So hatte der YouTube-Experte Tomasz Niemiec t-online.de gesagt, er habe mit dem Hacker gechattet. Dieser habe vor allem Aufmerksamkeit bekommen wollen, wie er ihm bestätigt habe. Zuletzt hatte 0rbit den Account des Webvideostars Simon Unge mit zwei Millionen Followern gekapert, um auf seine Aktion aufmerksam zu machen.


Jan S., ein weiterer Bekannter von 0rbit, hatte t-online.de gesagt, der Gesuchte zähle zu den Anhängern eines Islamhassers mit dem Pseudonym Shlomo Finkelstein. Unter den Betroffenen der Datenveröffentlichungen waren einige YouTuber, die sich kritisch mit Finkelstein auseinandergesetzt hatten.

t-online.de liegt aus den erbeuteten Daten ein Screenshot vor, der beispielhaft zeigt, wie unvorsichtig beim Datenkopieren vorgegangen wurde, wenn er nicht nachtr√§glich manipuliert wurde. Als der Hacker in den Amazon-Account von Gr√ľnen-Chef Robert Habeck gelangt war, machte er einen Screenshot des kompletten Bildschirms. Darauf war zu sehen, dass er an einem Windows-10-Rechner sitzt ‚Äď was f√ľr professionelle Hacker schon ungew√∂hnlich ist.

Screenshot des Hackers: Kein Profi am Werk
Screenshot des Hackers: Kein Profi am Werk

Auf dem Screenshot waren auch ein Tag im Oktober 2018 und die Uhrzeit zu sehen, wann er in dem Account eingeloggt war. Amazon d√ľrfte es anhand dieser Informationen m√∂glich sein, R√ľckschl√ľsse auf die IP-Adresse des Rechners zu ziehen, da auch kein Tor-Browser genutzt wurde. In seinem Chrome-Browser nutzte der T√§ter die Erweiterungen "Ghostery" und "ABP", die vor Werbung und Trackern sch√ľtzen sollen, aber beide im Verruf stehen, Daten weiterzugeben. t-online.de versuchte, die Information mithilfe einer Anfrage an die Beh√∂rden zu verifizieren. Die hatten zu diesem Zeitpunkt den 20-J√§hrigen in Mittelhessen schon festgenommen. Der Datenbestand lag den Beh√∂rden ebenfalls vor.

Auf dem Screenshot ist auch zu sehen, dass er nach einem YouTube-Video mit einer Anleitung zum Umgehen der Sicherheitsvorkehrungen bei Amazon-Accounts gesucht hatte. Offenbar nutzte er den VPN-Dienst "Perfect Privacy". Das deckt sich mit Informationen von Jan S., der in regem Kontakt mit 0rbit stand. Nach seinen Informationen machte es der 20-J√§hrige den Beh√∂rden an anderer Stelle ganz leicht: Sein Account bei dem WhatsApp-√§hnlichen Dienst Telegramm war demnach mit seiner Handynummer bei der Deutschen Telekom verkn√ľpft.

Anmerkung der Redaktion: In einer vorherigen Version hatten wir geschrieben, t-online.de habe Daten an die Behörden weitergegeben. Das war missverständlich. Die Daten lagen den Behörden bereits vor.

Facebook LogoTwitter LogoPinterest LogoWhatsApp Logo
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...

ShoppingANZEIGEN

Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
  • Jan Moelleken
Von Jan Mölleken
Deutsche Presse-AgenturDeutschlandHackerMittelhessenTwitterYouTube

t-online - Nachrichten f√ľr Deutschland
t-online folgen
FacebookTwitterInstagram

Das Unternehmen
Ströer Digital PublishingJobs & KarrierePresseWerbenKontaktImpressumDatenschutzhinweiseDatenschutzhinweise (PUR)Jugendschutz



Telekom
Telekom Produkte & Services
KundencenterFreemailSicherheitspaketVertragsverlängerung FestnetzVertragsverlängerung MobilfunkHilfeFrag Magenta


TelekomCo2 Neutrale Website