"Das war kein Super-Hacker"

Wie konnte ein 20-Jähriger den Riesenhack schaffen?

Von Helge Denker, Ali Vahid Roodsari, Lars Wienand, Boris Kartheuser

08.01.2019, 16:44 Uhr

Mutmaßlicher Täter gefasst: Ein Hacker hatte Daten von Politikern und Promis veröffentlicht, t-online.de zeigt wie das Material aussieht. (Quelle: t-online.de) (Quelle: stroeer-rtr)

Das BKA hat einen 20-Jährigen festgenommen, der hinter dem großen Datenhack stecken soll. Internet-Experten wie Markus Beckedahl und Jürgen Geuter sehen in ihm keinen Profi. t-online.de erklärt die Hintergründe.

Der Zugriff erfolgte schon am Sonntagabend, am Dienstag gingen die Ermittler an die Öffentlichkeit: Das BKA hat in Mittelhessen einen 20-Jährigen vorläufig festgenommen, weil er die zentrale Figur bei dem massenhaften Datendiebstahl sein könnte: "0rbit oder "G0d", wie er sich auch nannte. Er soll voll geständig sein und wurde am Dienstag vorläufig wieder frei gelassen. Nach Informationen der Deutschen Presse-Agentur  stammt er aus Homberg (Ohm) im Vogelsbergkreis, wo er bei seinen Eltern wohnt.

"Das war kein Super-Hacker, sondern eine ganz normale Person mit viel Zeit und negativer Energie", so Markus Beckedahl im Gespräch mit t-online.de. Der Chefredakteur des Portals "netzpolitik.org" erklärt: "Es war auch kein ausgeklügelter Angriff, sondern eine Doxing-Attacke". Dabei werden möglichst viele persönliche Daten eines "Gegners" im Netz gesammelt und veröffentlicht, um ihn bloßzustellen.

Typische Phishing-E-Mails und woran man sie erkennt

Frau schaut verwirrt auf ihren Laptop. (Quelle: fizkes/Thinkstock by Getty-Images)

Häufig nutzen Täter Namen und Logos bekannter Unternehmen und verschicken beispielsweise gefälschte Rechnungen mit einer Schadsoftware im E-Mail-Anhang. Solche Spam-Wellen erreichen auch Telekom-Kunden. (Quelle: Andrea Warnecke/dpa/tmn)

Ein anderer beliebter Trick betrifft vor allem Bankkunden oder Nutzer eines Onlinezahlungsdienstes. Unter einem Vorwand wird der Nutzer auf eine manipulierte Seite gelotst. Dort soll er angeblich seine Kunden- oder Bankdaten aktualisieren. In Wahrheit liefert er die Log-in-Informationen damit den Betrügern aus, die nun das Konto plündern können. (Quelle: Leo/imago images)

Hier ein Beispiel zu PayPal: Die Einführung der europäischen Datenschutz-Grundverordnung (DSGVO) wird als Vorwand genutzt, um den Nutzer in die Falle zu locken. Nur auf den ersten Blick sieht die E-Mail echt aus. Die Rechtschreibfehler sollten jedoch ein Warnsignal sein. (Quelle: Rüdiger Wölk/imago images)

Identitätsdiebe und Spammer haben es "nur" auf die Log-in-Daten zum E-Mail-Konto abgesehen. Dazu verschicken sie zum Beispiel E-Mails mit der Behauptung, das E-Mail-Postfach sei voll. Der Nutzer soll sich auf einer Fake-Webseite einloggen, um mehr Speicherplatz freizuschalten. Fällt das Opfer darauf herein, können die Täter die Kontrolle über sein E-Mail-Konto übernehmen. (Quelle: Rüdiger Wölk/imago images)

Hier eine Phishing-E-Mail, die auf Netflix-Kunden abzielt. Man wird darin aufgefordert, die Zahlungsmethode zu aktualisieren. Doch der Link führt auf eine betrügerische Webseite. Der Absender dieser Mail lautet "netflix@support.de". Die Domain beweist: Das ist ganz klar ein Fake! (Quelle: Screenshot/t-online)

"Diese Nachricht stammt von einem vertrauenswürdigen Absender", behauptet der Absender dieser angeblichen PayPal-E-Mail dreist. Das E-Mail-Programm sieht das anders und ordnet die Nachricht korrekt als "Junk" ein. Auch hier sehen wir eine "@support"-Adresse im Absender. Außerdem fehlt der E-Mail ein ordentliches Impressum oder das übliche PayPal-Logo. (Quelle: Screenshot/t-online)

Diese Rechnungsfälschung im Namen der Telekom ist recht gut gemacht. Die Absender sprechen den Empfänger sogar mit dem korrekten Namen an. Dennoch schlägt der Spam-Filter des E-Mail-Programms Alarm. Zu Recht: Die Buchungsnummer und der Zahlungsbetrag sind frei erfunden. Der Empfänger dieser E-Mail ist nicht einmal Festnetzkunde bei der Telekom. Auch das Word-Dokument im Anhang ist verdächtig: Die Telekom verschickt nur PDF-Dateien. Die Datei beinhaltet vermutlich Malware. (Quelle: Screenshot/t-online)

Auch Paketdienste wie DHL werden für Phishing-Versuche missbraucht. Diese Betrugsmail tarnt sich als Nachricht zur Sendungsverfolgung. Der Empfänger wird mit Namen angesprochen. Die Aufforderung, die Kosten für das Paket zu übernehmen, erzeugt zusätzlichen Druck. Man möchte natürlich wissen, was dahinter steckt. Trotzdem sollten Nutzer ihre Neugier zügeln und nicht auf den Link klicken. Er könnte zu einer infizierten Seite führen. (Quelle: Screenshot/t-online)

So sieht übrigens eine echte Paketankündigung von DHL aus. Zur Nachverfolgung wird eine Sendungsnummer genannt, die man auf der DHL-Webseite eingeben kann. Die E-Mail enthält mehrere Links zum Kundenservice. Fahren Sie mit der Maus über einen Link, um die URL der Zieladresse zu überprüfen. Wenn sie Ihnen suspekt vorkommt, klicken Sie nicht darauf, sondern geben die DHL-Webseite händisch in die Adresszeile ein. (Quelle: Screenshot/t-online)

Und so sieht es aus, wenn ein Paket erneut zugestellt wird. Auch hier ist der Unterschied zur Spam-Variante gewaltig. Man beachte vor allem das ausführliche Impressum. (Quelle: Screenshot/t-online)

Markus Beckedahl, Gründer der re:publica: "Kein Super-Hacker". (Quelle: imago images)

"Die Person hat wahrscheinlich die Technik des Social Engineerings verwendet und hat zum Beispiel bei Twitter direkt angerufen, oder Passwörter einfach ausprobiert", so Beckedahl, der gemeinsam mit anderen die jährliche Internetkonferenz re:publica in Berlin organisiert.

Immer neue Informationen gefunden

Die große Datenmenge ist wahrscheinlich, so Beckedahl, dadurch zustande gekommen, dass der Täter immer neue Informationen gefunden hat, mit denen er weitere Konten online öffnen konnte. "Das kostet viel Zeit, aber die hat ein 20-Jähriger ja", so Beckedahl. Auch spreche vieles dafür, dass der Täter die Daten nicht nur allein gesammelt, sondern auch viele ältere Quellen zusammengetragen habe.

Andere Experten, wie Linus Neumann vom "Chaos Computer Club", hatten t-online.de zuvor berichtet, dass es sich bei dem Täter vermutlich nicht um den Hacker einer ausländischen Macht, sondern um ein sogenanntes "Scriptkiddie" handele. Das ist ein junger Mensch, der mit viel Aufwand und Energie vorgeht, aber wenig technisches Verständnis und Programmierkenntnisse habe. Dies stellt sich nun als richtig heraus.

"Kein Cyberangriff auf Deutschland"

IT-Experte Jürgen Geuter fand den Lärm um den Datenhack übertrieben. "Das war mitnichten ein Cyberangriff auf Deutschland, wie manche behaupteten", sagt er. Geuter ist Informatiker und Gründungsmitglied des "Otherwise Network". "Der ganze 'Hack' sah nach etwas aus, was man einem Scriptkiddie zuordnen würde", sagt Geuter. "Das ist jemand, der Daten im Netz sammelt und zusammensucht – niemand, den man als 'Hacker' charakterisieren würde."

Laut Geuter sind solche Leute meist junge Männer, die "denken, sie haben Kompetenz im Bereich Internet und Computer". "Die glauben dann, sie sind unangreifbar", sagt Geuter. Bei solchen Leuten sei es aber zu erwarten, dass sie einen Fehler machen. "Da hatte die Polizei leichtes Spiel."

Forderungen der Politik übertrieben

Die Beweggründe des 20-Jährigen kennt Geuter nicht. "Vermutlich handelt es sich aber um keine politisch motivierte Tat", sagt der Informatiker." "Er wollte wahrscheinlich zeigen, was für ein großer Macker er ist."

Jürgen Geuter ist Informatiker und Gründungsmitglied des "Otherwise Network. (Quelle: Michael Kohls)

Geuter betont, dass der Fall gezeigt habe, dass die rechtlichen Befugnisse der Strafverfolgungsbehörden in solchen Sachen ausreichen. "Forderungen wie Zurückhacken – was manche konservative Politiker nannten – laufen offensichtlich ins Leere", sagt Geuter. "Dass so eine Tat aufgeklärt wird, sei wahrscheinlicher, als wenn beispielsweise jemand zu Hause einbricht und den Fernseher klaut."

Täter wollte Aufmerksamkeit

Bereits früh nach dem Bekanntwerden des Falls hatte es Hinweise gegeben, dass es sich bei dem oder den Tätern um jemanden handelt, der in der YouTube-Szene bereits länger aktiv ist und dort seit Jahren Daten erbeutet hat.

So hatte der YouTube-Experte Tomasz Niemiec t-online.de gesagt, er habe mit dem Hacker gechattet. Dieser habe vor allem Aufmerksamkeit bekommen wollen, wie er ihm bestätigt habe. Zuletzt hatte 0rbit den Account des Webvideostars Simon Unge mit zwei Millionen Followern gekapert, um auf seine Aktion aufmerksam zu machen.



Jan S., ein weiterer Bekannter von 0rbit, hatte t-online.de gesagt, der Gesuchte zähle zu den Anhängern eines Islamhassers mit dem Pseudonym Shlomo Finkelstein. Unter den Betroffenen der Datenveröffentlichungen waren einige YouTuber, die sich kritisch mit Finkelstein auseinandergesetzt hatten.

t-online.de liegt aus den erbeuteten Daten ein Screenshot vor, der beispielhaft zeigt, wie unvorsichtig beim Datenkopieren vorgegangen wurde, wenn er nicht nachträglich manipuliert wurde. Als der Hacker in den Amazon-Account von Grünen-Chef Robert Habeck gelangt war, machte er einen Screenshot des kompletten Bildschirms. Darauf war zu sehen, dass er an einem Windows-10-Rechner sitzt – was für professionelle Hacker schon ungewöhnlich ist.

Screenshot des Hackers: Kein Profi am Werk(Quelle: t-online)Screenshot des Hackers: Kein Profi am Werk (Quelle: t-online)

Auf dem Screenshot waren auch ein Tag im Oktober 2018 und die Uhrzeit zu sehen, wann er in dem Account eingeloggt war. Amazon dürfte es anhand dieser Informationen möglich sein, Rückschlüsse auf die IP-Adresse des Rechners zu ziehen, da auch kein Tor-Browser genutzt wurde. In seinem Chrome-Browser nutzte der Täter die Erweiterungen "Ghostery" und "ABP", die vor Werbung und Trackern schützen sollen, aber beide im Verruf stehen, Daten weiterzugeben. t-online.de versuchte, die Information mithilfe einer Anfrage an die Behörden zu verifizieren. Die hatten zu diesem Zeitpunkt den 20-Jährigen in Mittelhessen schon festgenommen. Der Datenbestand lag den Behörden ebenfalls vor.

Auf dem Screenshot ist auch zu sehen, dass er nach einem YouTube-Video mit einer Anleitung zum Umgehen der Sicherheitsvorkehrungen bei Amazon-Accounts gesucht hatte. Offenbar nutzte er den VPN-Dienst "Perfect Privacy". Das deckt sich mit Informationen von Jan S., der in regem Kontakt mit 0rbit stand. Nach seinen Informationen machte es der 20-Jährige den Behörden an anderer Stelle ganz leicht: Sein Account bei dem WhatsApp-ähnlichen Dienst Telegramm war demnach mit seiner Handynummer bei der Deutschen Telekom verknüpft.

Anmerkung der Redaktion: In einer vorherigen Version hatten wir geschrieben, t-online.de habe Daten an die Behörden weitergegeben. Das war missverständlich. Die Daten lagen den Behörden bereits vor. 

Verwendete Quellen:

Liebe Leserinnen und Leser,

wir laden Sie herzlich zum Diskutieren auf t-online.de ein. Auf unserer Übersichtsseite finden Sie alle Artikel, zu denen Sie aktuell diskutieren können. Wir behalten uns vor, Kommentare zu entfernen, die nicht unserer Netiquette entsprechen. Wir freuen uns auf angeregte und kontroverse Diskussionen!

Ihr Community-Team

Diskussion ansehen