Ein Besuch bei der Polizeidirektion Esslingen kann sich anfühlen wie eine Zeitenwende. Nicht wegen des altmodischen Backsteinbaus, nicht wegen des mittelalterliche Flairs der Altstadt des kleinen schwäbischen Städtchens, nicht wegen der aus Filmen bekannten Schleuse im Eingang eines Präsidiums, in dem Kleinkriminelle ausnüchtern ebenso wie Kommissare Spuren auswerten. Sondern wegen der neuartigen Herangehensweise an Cyberkriminalität. Die Zeitenwende verkörpern in diesem Fall Kriminalhauptkommissar Daniel Lorch und sein Team. Es steht eine Frage im Raum: Wie kann es sein, dass das FBI neuerdings auf die Hilfe der Esslinger Einheit schwört?
Lorch ist Leiter der Ermittlungsgruppe Dawnbreaker – eine internationale Kooperation, der im Februar 2023 ein Schlag gegen eine der gefährlichsten und am schnellsten wachsenden Ransomware-Gruppen gelungen war. Ransomware ist Schadsoftware, die Dateien verschlüsselt, um Lösegeld für deren Freischaltung zu verlangen. Die Gruppe Hive hatte zuvor tausende Unternehmen verschlüsselt und es insbesondere auf kritische Infrastrukturen abgesehen. Dabei seien auch Krankenhäuser in Brasilien getroffen worden, die lebenswichtige Operationen unterbrechen mussten und über Wochen nicht arbeiten konnten. Patienten seien gestorben, sagt Lorch im Gespräch mit der Autorin.
"Das muss aufhören!", ruft der Kommissar bei solchen Gelegenheiten dann energisch, "wir müssen das Leiden stoppen!" Mit dieser Energie verfolgt der Ermittler seine Arbeit – und vermutlich sind es diese Energie und der damit verbundene Aufwand, die zum Erfolg solcher Operationen beitragen. Den Behörden aus zahlreichen Ländern gelang schließlich der take down hunderter Websites im Darknet sowie die Beschlagnahmung eines Großteils der Infrastruktur der Ransomware-Gruppe, unter anderem 15 Server in den USA und den Niederlanden. Seither prangt das Logo des Polizeipräsidiums Reutlingen direkt unter dem des FBI und des Secret Service auf den beschlagnahmten Websites im Darknet.
Die Gruppe sei "sehr gefährlich", habe das BKA den Esslinger Ermittler:innen gesagt, als es Anfang 2022 bat, die bundesweiten Ermittlungen zu bündeln. Das war Zufall: Das Team ermittelte damals im Falle des ersten baden-württembergischen Opfers und hatte offenbar einen exklusiven Zugang gefunden. Bis heute gibt es mehr als 70 deutsche Opfer, weltweit 1.500, mehr als 100 Millionen Euro Lösegeld hat die Gruppe erpresst.
An Lorchs Wand hängt eine Grafik. Ein Blatt A3-Papier, und was darauf ist, sieht aus wie ein Spinnennetz, an das immer wieder angebaut wurde. Es hat viele mehr oder weniger zentrale Punkte, an denen sich die Linien kreuzen und hunderte kleiner Verästelungen an den Rändern, aus denen manchmal neue Zentren wachsen und manchmal lose Enden ragen. Es sind die Server und Knotenpunkte einer Ransomware-Gruppe, die Architektur einer wohl geplanten kriminellen Operation. Lorch zeigt auf einen Punkt. "Wenn du hier landest, weißt du erstmal gar nicht, wo du bist." Wenn Lorch und seine Kolleg:innen einen solchen Server gehackt haben, schauen sie sich dort möglichst unauffällig um und versuchen herauszubekommen, wie dieser mit anderen zusammenhängt. Das ist extrem aufwendig. Aber Lorch gibt nicht auf. Er löchert die Forensiker im Nachbarbüro: "Was macht das Ding? Mit wem baut es Verbindungen auf? Woher kommt es?" – und gibt zu: "Unsere Forensiker kriegen dann immer erst mal die heilige Krise."
Die gesamte Architektur des Netzwerkes herauszubekommen von Computern in Esslingen, Tampa oder Amsterdam aus, mit unzähligen kleinen Erfolgen auf zig Servern – das verlangt Geduld und Ausdauer. Immer wenn sie einen Schritt weiterkamen, nach und nach Zugriff auf die Kommunikation der weltweit agierenden Ransomware-Bande erlangten, die gesamte Buchhaltung der Gruppe oder die Pläne für künftige Angriffe mitlesen konnten, war der Feierabend zweitrangig. "Das verursacht so viel Leid", sagt Lorch. Unzählige Male ist er nachts oder am Wochenende zu betroffenen Unternehmen ausgerückt, in der Hoffnung, noch etwas retten zu können oder eine entscheidende Spur zu finden.
Das Entsetzen über Cyberangriffe ist nicht neu – das begleitet die Behörden seit dem ersten Computerwurm. Was die Zeitenwende auszeichnet, ist die Entschlossenheit und die Zuversicht, dass es möglich ist, die Kriminellen zu stoppen. Wer Lorch zuhört, hört einen "Wir können das schaffen!"-Tonfall in jedem zweiten Satz. Das ist selten – häufig hört man von Behörden eher die Klage, wie schwierig alles sei und dass die Kriminellen so gut organisiert seien, dass man ohnehin keine Chance habe.
Professionalisierung und Spezialisierung
Im Bereich des Cybercrime stehen wir gerade vor einer Situation, in der wir mit zwei Arten von Angreifer:innen konfrontiert sind: Auf der einen Seite stehen top organisierte Gruppen, die mit maßgeschneiderten Angriffen und viel Ausdauer Unternehmen und Institutionen angreifen. Und auf der anderen Seite steht eine große Menge kleinkrimineller, häufig jugendlicher Hacker:innen, die meist automatisiert bekannte Sicherheitslücken ausnutzen – und auch mit diesen "Angriffen von der Stange" ist noch viel zu holen. Hier ist die schiere Zahl der Angriffe die Herausforderung, während es bei den organisierten Gruppen die Schwere ist.
Diese Dynamik ergibt sich aus der Geschichte der Computerwürmer: Denn auch wenn es erste Viren und Würmer schon in den 1980er Jahren gab, die sich damals über Disketten verbreiteten, waren dies meist harmlose, wenn auch nervige, Spielereien. Mit dem Aufkommen des World Wide Webs wurde die Möglichkeit, andere Computer in großem Stil zu infizieren und deren Nutzer:innen zu schaden, auch für Kriminelle interessant. Seither gibt es kriminelle Unternehmer:innen, die ein untrügliches Gespür für Sicherheitslücken haben und dafür, wie sie diese ausnutzen können und ihr Wissen zu Geld machen.
Die Geschichte dieser Professionalisierung ist verknüpft mit einem Namen: Jewgeni Bogatschew. Der russische Kriminelle hat nicht nur einen der ersten Computerviren entwickelt, er hat seine Schadsoftware ausgebaut zu einem massiven Botnetzwerk – und er hat das Geschäftsmodell der heutigen Ransomware-Banden begründet, in dem jeder Schritt professionalisiert wird, Schadsoftware lizenziert und Zugänge in Systeme verkauft werden. Und er wird seit mehr als zehn Jahren vom FBI gesucht – bisher erfolglos. Drei Millionen Dollar Kopfgeld hat die US-Behörde auf ihn ausgesetzt. Das ist die höchste Summe, die das FBI für Hinweise auf einen Internetkriminellen je ausgelobt hat. Auf dem Fahndungsplakat beschreibt ihn die Behörde als einen weißen Mann mit braunen Haaren, er wiege wohl etwa 80 Kilogramm und sei 1,75 Meter groß; als Geburtsdatum wird der 28. Oktober 1983 angegeben. "Er ist bekannt dafür, dass er gerne Boot fährt und mit seinem Boot zu Orten am Schwarzen Meer reist", schreibt das FBI.
Anhand der Geschichte von Jewgeni Bogatschew lässt sich die bisherige Dynamik zwischen Kriminellen und ihren Verfolger:innen beobachten: Meist waren die Kriminellen einen Schritt voraus – oder mehrere. Dabei gab es schon immer Typen wie Daniel Lorch, die fest daran glaubten, dass eine effektive Verfolgung möglich ist. Aber womöglich wurden sie in der Vergangenheit zu wenig gehört, zu wenig ernst genommen und zu wenig gefördert.
Einer der hartnäckigsten Verfolger von Jewgeni Bogatschew ist der deutsche Sicherheitsforscher Tillmann Werner. Vor Bogatschew habe es keine professionelle Cyberkriminalität gegeben, erklärt Werner. Und auch keine Computersicherheitsbranche wie heute.
Doch es gab Windows und darin etliche Sicherheitslücken, die von Kriminellen ausgenutzt wurden. Microsoft hatte noch keine Strategie, damit umzugehen, es gab keine automatischen Updates und auch kein Verfahren, wie mit Sicherheitslücken umzugehen ist. Es gab nicht nur keine Prämien für unabhängige Hacker:innen, die Schwachstellen ausfindig machten und diese dem Konzern meldeten – es gab nicht einmal einen Kontakt, an den diese sich wenden konnten. "Wenn eine Schwachstelle gefunden wurde, konnte die ganze Welt alle Computer über das Internet angreifen", erinnert sich Werner. Und das geschah, wenn auch zunächst etwas ziellos.
Kriminell mit Erfolgsgarantie
Kriminelle bezahlten schnell stattliche Summen für Sicherheitslücken – und schneller als die Behörden sehen konnten, entwickelte sich eine organisierte kriminelle Szene, die Windows-Sicherheitslücken systematisch ausnutzte.
Eine der ersten sichtbaren Gruppen Anfang der 2000er Jahre war das sogenannte "Russian Business Network", eine hochprofessionelle kriminelle Gruppe, die in großem Tempo neue Geschäftsmodelle erschloss. "Wir haben das am Anfang gar nicht verstanden, was da passiert", erinnert sich Werner. Die Gruppe betrieb damals sogar eigene Internetdienstanbieter – ein schlauer Schachzug, schließlich sind das die Strukturen, die von Behörden als erstes angegangen werden, wenn es um kriminelle Aktivitäten im Internet geht.
Die Gruppe entwickelte auch eine eigene Sprache: Es gab bereits Begriffe für kriminelle Aktivitäten im Internet, von denen die Sicherheitsforschung noch nicht einmal wusste, dass sie existieren. Werner rätselte lange, was die Werbesprüche der Gruppe bedeuten sollten: "Wir konvertieren traffic", boten sie anderen Kriminellen an. Was soll das sein? Was für ein Verkehr wird hier umgewandelt – und in was? Schließlich ging ihm ein Licht auf: "Die haben Internetverkehr umgewandelt in Zugriff auf Systeme." Es war ein früher Service dessen, was sich heute immer mehr verbreitet und professionalisiert: Angriffe auf Computersysteme als Service, den andere Kriminelle buchen können.
Vor allem ein Mann stach dabei hervor: Über Slavik, wie sich Jewgeni Bogatschew im Netz nannte, war lange nichts weiter zu finden als dieses Pseudonym und unendlich viele Spuren seines cleveren Geschäftssinns. Er schien überall gleichzeitig zu sein, seine Schadsoftware Zeus fand rasante Verbreitung. Er schrieb zu einer Zeit ausgefeilte Computerviren, zu der die meisten Menschen froh waren, dank des modernen Betriebssystems Windows XP ihren Computer endlich einigermaßen intuitiv bedienen zu können. Sie hatten keine Ahnung, dass sich hinter der bunten Oberfläche überhaupt Sicherheitslücken verbergen können.
Es sind die Anfänge der Spezialisierung, die wir heute in der Cybercrime-Szene sehen: Bogatschew war Experte für ausgefeilte Banking-Trojaner. Schon in den frühen 2000er Jahren erkannte er, dass es eine Nachfrage für Schadsoftware gibt. Das ist die Geburtsstunde des Trojaners Zeus. Er entwickelte sich zu einer der beliebtesten Waffen der Cyberkriminellen, mit dem diese Bank-Zugangsdaten klauten, sich in fremde Accounts hackten und Millionen erbeuteten.
Bogatschew professionalisierte sich von da an immer mehr – und entkam seinen Verfolger:innen stets. Und er sorgte dafür, dass seine Schadsoftware funktionierte, auch dann, wenn seine Gegner:innen technische Maßnahmen gegen sie entwickelt hatten. Kriminelle, die mit ihm kooperierten, hatten quasi eine "Erfolgsgarantie." Dafür waren sie bereit, entsprechende Summen zu bezahlen. Der Trojaner schien unendlich anpassungsfähig – ähnlich wie die Schadsoftware der Ransomware-Gruppe Hive, die sich vor dem Schlag der internationalen Behörden-Kooperation 2023 immer wieder neu erfunden hatte. Einmal, als das FBI Hive auf die Schliche gekommen war, übertrug die Gruppe ihren gesamten Angriffscode in eine andere Programmiersprache, um nicht mehr erkannt zu werden.
Auch Bogatschews Kundschaft wurde immer professioneller, weil sich der Hacker seinen Service immer mehr kosten ließ: Er verkaufte seine Schadsoftware in Form von Lizenzen, die an einzelne Personen gebunden sind, sie war gut gemacht und gegen Piraterie geschützt. Eine Kopie kostete nach Informationen des Magazins "Wired" mehr als 10.000 US-Dollar.
War ein Computer mit Zeus infiziert, konnte er zudem schon damals in ein Botnetz eingebunden werden, also in ein Netzwerk infizierter Computer, die von einem zentralen Server gesteuert werden. Die Kriminellen konnten sie von dort quasi fernsteuern. Beispielsweise wurde über diese dann weitere Schadsoftware verschickt in Form betrügerischer E-Mails. Oder es wurden sogenannte DDoS-Angriffe (Distributed Denial of Service) ausgeführt, bei denen unzählige Computer eines solchen Netzes eine bestimmte Website aufrufen – sodass diese für niemand anderen mehr zu erreichen ist.
Storm Worm
Tillmann Werner betrachtete diese Entwicklung mit Sorge. "Eines Tages wird so ein krasser Angriff passieren, dass wir froh sein werden, wenn wir uns frühzeitig mit Botnetzen beschäftigt haben", warnte er die Sicherheitsszene. Doch die ersten Jahre ist er auf verlorenem Posten – die Gefahr von Botnetzen wurde unterschätzt.
Im Januar 2007 jedoch wurde vielen in der Branche klar, wie groß die Gefahr ist. Innerhalb kürzester Zeit breitete sich der Computerwurm Storm Worm weltweit aus, mit einem Schwerpunkt in Europa und den USA. Er hieß deshalb so, weil er sich unter anderem mittels E-Mails verbreitete, die angeblich Neuigkeiten über Todesopfer eines verheerenden Sturms in Europa beinhalteten.
Mit der Kontrolle über einige Millionen Computer gewann das Botnetz eine enorme Rechenleistung: Es übertraf die Leistung der damals größten Supercomputer, also der stärksten Computer der Welt. Diese werden meist von staatlichen Forschungseinrichtungen betrieben, ihre Infrastruktur füllt mehrere Stockwerke aus. Der australische Informatiker Peter Gutmann merkte alarmiert an: So werde zum ersten Mal einer der stärksten Supercomputer der Welt "nicht von einer Regierung oder einem Megakonzern kontrolliert, sondern von Kriminellen." Schon das machte die neue Qualität deutlich.
Aber es kommt noch etwas dazu, was die Sicherheitsforschung damals sehr viel mehr alarmierte als die schiere Größe des Botnetzes: Die besondere neuartige Art des Angriffs. "Storm Worm war das erste ernstzunehmende Peer-to-Peer-Botnetz", sagt Tillmann Werner. In diesem Fall werden die übernommenen Computer nicht von einem zentralen Server aus gesteuert, sondern sie geben ihre Informationen nach einem ausgeklügelten System von einem zum anderen weiter, unter Peers (also Gleichgestellten), von Angegriffenem zu Angegriffenem. Das funktioniert wie eine Telefonkette nach dem Schneeballprinzip: Wenn zehn Personen eine Information haben und die an jeweils zehn andere weitergeben, lässt sich diese Telefonkette nicht stoppen, wenn eine Person daran gehindert wird zu telefonieren. Von daher lässt sich ein solches Botnetz kaum einfangen.
Nächtelang brütete Werner mit einigen Kollegen über dem Code von Storm Worm: Maschinencode, für Menschen unverständlich. Der Binärcode ist alles, was Forschenden in die Hände fällt, wenn sie eine Schadsoftware einfangen. Sogenanntes Reverse Engineering versucht dann, diesen Binärcode wieder in für Menschen verständlichen Programmiercode zurückzuübersetzen. Da es aber keine eindeutige Rückübersetzung gibt, kann es immer nur eine Annäherung sein, eine mögliche Repräsentation. Werner beschreibt es so: Man müsse rekonstruieren, welche Logik hinter einem Programm stecke. "Der heilige Gral ist, die Motivation des Entwicklers nachzuvollziehen."
Doch dann geschah etwas, was in der Anfangszeit der Computerviren häufig passierte: Der Wurm wurde plötzlich nicht weiter betrieben – er schlief gewissermaßen ein. Bis heute ist unbekannt, wer dahintersteckte. Möglicherweise war es nur eine Spielerei, die aus dem Ruder lief: Denn die ersten Autor:innen von Computerviren und -würmern hatten nicht unbedingt immer böse Absichten. Es war vielmehr eine Spielwiese für junge, meist männliche, wohlhabende Entwickler, die austesten wollten, was möglich ist. Die Möglichkeiten, die Computer anderer fernzusteuern, auf ihnen Code auszuführen oder seltsame Nachrichten zu präsentieren, faszinierte sie.
Oder es gab gar mehr oder weniger legitime Gründe: Der erste Windows-Virus namens "Brain" war 1986 von den Brüdern Basit Farooq Alvi und Amjad Farooq Alvi entwickelt worden. Diese hatten eine medizinische Software entwickelt und per Diskette vertrieben – und wollten diese gegen Raubkopien schützen. Mit auf der Diskette war der Virus, der erst dann aktiv wurde, wenn jemand eine Raubkopie anlegte. Der Virus verlangsamte Computer und verbrauchte Speicherplatz, zudem konnten die Entwickler den Standort der Computer sehen. Die Brüder hatten in ihren Code sogar eine Nachricht aufgenommen, in der ihre Namen und Adresse standen sowie der Hinweis, wie man sie erreichen könne, damit sie bei der Reparatur infizierter Rechner helfen konnten. Doch dann verbreitete sich der Virus so stark – weil die Diskette so oft kopiert wurde –, dass sich die Brüder gar nicht retten konnten vor Hilfegesuchen betroffener Nutzer:innen.
Vielleicht war Storm Worm auch nur ein aus dem Ruder gelaufenes Experiment irgendeines Nerds. Allerdings ein ausgefeiltes. Es sollte ein Rätsel bleiben – eines, das die Gefahren klar machte.
Conficker
Doch es dauerte keine zwei Jahre, bis das nächste massive Botnetz Ende 2008 um die Welt zog: Diesmal waren bis zu 15 Millionen Rechner auf der ganzen Welt infiziert, und das Botnetz richtete erstmals reale Schäden an: Conficker – so wurde es getauft – legte unter anderem die Uniklinik Düsseldorf lahm. Noch nie hatte sich ein Botnetz in so rasendem Tempo und so erbarmungslos ausgebreitet.
Eines war schnell klar: Hinter diesem Netz standen Profis. Das Verschlüsselungsprotokoll, das der Wurm nutzte, war das allerbeste, was die Welt zu diesem Zeitpunkt zu bieten hatte – unter anderem war der Algorithmus MD6 implementiert, der erst wenige Wochen vor dem erstmaligen Auftauchen Confickers am Massachusetts Institute of Technology entwickelt worden und noch nicht öffentlich war.
Das Sicherheitsunternehmen Panda ging im Januar 2009 davon aus, dass rund sieben Prozent aller deutscher Windows-Computer mit Conficker infiziert seien – was hochgerechnet weltweit bedeuten würde, dass 50 Millionen Maschinen betroffen waren. Im Verlauf der Infektion kämpften unter anderem die Bundeswehr und die französische Luftwaffe mit dem Wurm. Im September 2010 entsorgte das Bildungsministerium von Mecklenburg-Vorpommern 170 teils nagelneue Computer, weil sie mit Conficker befallen waren. Im AKW Gundremmingen wurde sogar im April 2016 noch eine Infektion mit Conficker entdeckt – was offenbar zu keiner akuten Gefährdung führte, aber ein Hinweis auf fragwürdige IT-Sicherheit ist. Denn offenbar gab es dort nicht nur dermaßen alte Computer ohne Update, sondern auch Wege, wie die Schadsoftware dorthin fand – infiziert war ein Rechner ohne Verbindung zum Internet.
Im Frühjahr 2009, auf dem Höhepunkt der Angriffe, wartete die IT-Sicherheitsszene gebannt und ängstlich auf den nächsten Schritt des unbekannten Botmasters. Er hatte Millionen von Computern in der Hand. Sie kommunizierten regelmäßig mit einem unbekannten Mastermind und warteten auf Befehle. Millionen ferngesteuerter Computer.
Doch auch dieser Computerwurm verschwand so plötzlich, wie er gekommen war. Auch hier stellte der unbekannte Botmaster plötzlich die Arbeit ein. Genaugenommen ist der Wurm nie ganz verschwunden, weil ältere Windows-Versionen nach wie vor anfällig sind. Im Juni 2019 schätzte der Journalist und Autor Mark Bowden, dass nach wie vor 500.000 Computer weltweit mit Conficker infiziert seien.
Gameover Zeus
Jewgeni Bogatschew schaute den Entwicklungen nicht tatenlos zu – im Gegenteil: Er entwickelte sich weiter und baute seine eigene Schadsoftware ebenfalls zu einem ausgefeilten Botnetz aus: Gameover Zeus. Denn nachdem Bogatschew beobachtet hatte, wie immer mehr Kriminelle eigene Botnetze bauten und dabei Zeus benutzten, teilweise in Form von Raubkopien, wollte er mehr Kontrolle. Er beschloss, selbst ein Botnetz zu betreiben und es als Dienstleistung zu vermieten. "Gameover Zeus war leistungsfähiger und ausgeklügelter als alles, was bis dahin auf dem Markt war", sagt Werner. Ähnlich wie Storm Worm hatte Gameover Zeus eine dezentrale Befehlsstruktur: Die neue Zeus-Variante stützte sich also auch auf die Peer-to-Peer-Kommunikation zwischen den übernommenen Rechnern. Die infizierten Rechner führten dafür eine ständig aktualisierte Liste anderer infizierter Rechner und kommunizierten untereinander.
Der Botmaster konnte neue Befehle an jeder Stelle einstreuen, und diese wurden weitergegeben: Das Netzwerk hatte eine Architektur, die jeden Angriff von Behörden verhinderte. Es ließ sich nicht abschalten – jedenfalls nicht von einer einzelnen Stelle aus. "Es war perfekt abgesichert gegen uns", sagt Werner. Klassische Methoden der Abwehr funktionierten nicht mehr: Würden Behörden einen Server vom Netz nehmen, könnte Bogatschew einfach einen neuen Server starten und das Peer-to-Peer-Netzwerk auf diesen umleiten.
Der Schaden, den Bogatschew und seine kriminellen Mitstreiter:innen damit anrichteten, ging schnell in die Millionen. Sie fingen in großem Stil Kontodaten ab, überwiesen das Geld der Opfer auf ihre eigenen Konten – und gleichzeitig nutzten sie das Netz für DDoS-Attacken auf die entsprechenden Banken, um die Angestellten abzulenken und so Zeit zu gewinnen: Die Betroffenen sollten erst dann merken, dass ihnen Geld fehlte, wenn das Geld bereits über mehrere Ecken ins Ausland überwiesen war. Am 6. November 2012 beobachtete das FBI, wie das Game-Over-Netzwerk 6,9 Millionen Dollar in einer einzigen Transaktion stahl.
In diesen Tagen im Winter 2012 tat Werner etwas ähnliches wie Daniel Lorch zehn Jahre später: Zusammen mit Kolleg:innen visualisierte er das Botnetz. Die Sicherheitsforscher erstellten Karten und zeichneten Netzwerke – teilweise ähnlich wie das, was an Lorchs Bürowand hängt. Dabei wurde klar, wie ausgefeilt die Architektur des Netzes ist. Es brauchte mehrere Anläufe, denn die Verfolger:innen übersahen, wie gut das Netz gegen die Übernahme ausgestattet war. Das Finale fand schließlich Ende Mai 2014 in einem FBI-Büro in Pittsburgh statt:
Erschwerte Verfolgung
Seither ist es ruhig geworden um den berühmten russischen Internetkriminellen. Wo steckt Bogatschew und was macht er heute? Manche Sicherheitsforscher:innen vermuten, dass der kriminelle Hacker einen Deal mit dem russischen Staat hat, der ihn versteckt und im Gegenzug von seinen Fähigkeiten profitiert. Mindestens einmal wurde das Zeus-Botnetz offenbar für politische Spionage genutzt. Zwischen 2015 und 2017 sei im Zuge der russischen Angriffe auf die Ukraine außerdem eine neue, noch unbekannte Zeus-Variante aufgetaucht, sagt Werner.
Heute arbeitet Werner beim US-Unternehmen Crowdstrike, das sowohl kriminelle als auch staatliche Akteure im Cyberspace verfolgt und deren Angriffe analysiert. Er beobachtet, dass diese beiden Gruppen immer mehr verschwimmen, und sich nicht immer klar trennen lassen. Bogatschew sei einer der besten Leute. Wieso sollte der russische Staat auf die Kapazitäten eines der begabtesten Hacker des Landes verzichten? Dass der russische Geheimdienst das Können seiner Bürger:innen breit anzapft, zeigen nicht zuletzt die sogenannten Vulkan Files, die im April 2023 von einer Medienkooperation ausgewertet wurden und darauf hindeuten, wie ein privates Unternehmen Cyberangriffe für die russischen Geheimdienste entwickelt.
Bogatschews geistiges Schaffen wirkt weiter. Bis heute entdecken Sicherheitsforscher:innen immer wieder Spuren von überarbeiteten Zeus-Banking-Trojanern, die gewiefte Kriminelle in ausgefeilte Strategien einbauen, um in Bankkonten einzudringen. Noch schwerer wiegt freilich die Professionalisierung, die er in die Szene gebracht hat: Der gesamte Prozess eines Angriffs wird heute in viele Zwischenschritte aufgeteilt – und für jeden davon gibt es in der Branche Expert:innen, erklärt Daniel Lorch: "Es gibt Initial Access Brokers, also Täter, die allein für den ersten Zugang in ein Unternehmen zuständig sind, darunter wiederum Experten für Social Engineering", – soziale Manipulation also, in deren Rahmen Opfer mit überzeugenden Phishing-E-Mails sowie gut gefälschten Websites hinters Licht geführt werden, um ihre Zugangsdaten zu verraten oder sich Schadsoftware herunterzuladen. Und auch für die folgenden Schritte gibt es Fachleute, beispielsweise für die Suche nach offenen Schwachstellen in den Netzen von Unternehmen, für das Verfassen des Angriffscodes, für das Ausspähen der Opfer und den Angriff selbst, für den Verkauf der erbeuteten Daten – und am Ende der Kette stehen Spezialist:innen für Geldwäsche.
Das erschwert die Verfolgung, denn jeder einzelne Schritt ist nahezu perfekt organisiert und gegen Behörden-Eingriffe abgesichert. Dennoch: Am Ende gewinnt, wer nicht aufgibt. Daniel Lorch und seinen Kolleg:innen ist es gelungen, in das innere Netzwerk der Ransomware-Bande Hive einzudringen. Ein halbes Jahr lang haben sie alles verfolgt, was dort diskutiert wurde. Wer so viel Kommunikation krimineller Hacker mitliest, kennt einzelne von ihnen schon sehr gut. Lorch kennt ihre Decknamen, ihre Rolle in der Gruppe und ihre Probleme. Einen Täter habe er beobachtet, wie er immer wieder an Sicherheitsmaßnahmen scheiterte. Er sah zu, wie er Zugriff auf einen kleinen Teil des Netzwerks bekam, nur um dann von einem Schutzsystem wieder abgemeldet zu werden. Jede einzelne Schutzmaßnahme habe sich gelohnt. "Der war irgendwann richtig genervt", sagt Lorch lachend. Und dann habe er aufgegeben.