Wie ein Dinslakener dem FBI bei der Verbrecherjagd half

Internationale Finanzströme waren im Visier des Netzwerks.
Internationale Finanzströme waren im Visier des Netzwerks.
Foto: Oliver Berg/Illustration
2014 zerschlug das FBI ein weltweites Hacker-Netzwerk. Jetzt hat sich der wichtigste Helfer der Amerikaner, ein Informatiker aus Dinslaken, geoutet.

Dinslaken.. Zwei Jahre haben er und seine Kollegen ihre Namen totgeschwiegen. „Wir wollten unsere Familien schützen und Gras drüber wachsen lassen“, sagt der Fachinformatiker. Jetzt, mit fortgeschrittener Zeit, sieht er das anders. Der Mann, der seit sieben Jahren in Dinslaken wohnt und aus Herten stammt ("Ein Kind des Ruhrgebiets“) , geht an die Öffentlichkeit. Er ist 31 Jahre alt. Er heißt Christian Rossow.

Rossow, dessen Identität die „Welt am Sonntag“ enthüllt hat, ist der bisher unbekannte Deutsche, der im Mai 2014 in Zusammenarbeit mit dem amerikanischen FBI den Hacker Jewgeni Bogatschow und sein Werkzeug gestoppt hat. Dieser Russe nennt sich Lucky 12345, auch Pollingsoon oder slavik. Er ist vielleicht der bisher erfolgreichste Netz-Kriminelle der Welt. Er hat gezielt Schadviren versandt, mit deren Hilfe er weltweit ein bis zwei Millionen Computer „übernommen“ und zum Angriff auf Online-Konten missbraucht hat.

Raubzüge verursachten mehr als 100 Millionen Euro Schaden

Die „Botnetz“ genannten Konstrukte sind berüchtigt - und heimtückisch Die rechtmäßigen Nutzer der gekaperten Systeme ahnen ja nichts von der Kaperung. Weihnachten 2012 startete der IT-Täter mit dem zusammengeklaubten Netzwerk den ersten großen Raubzug. Sein Einbruchswerkzeug nannte er „Gameover Zeus“. Im ersten Schritt schröpfte er eine amerikanische Bank um 900 000 Dollar. Andere Banken und selbst ein Indianerstamm wurden die nächsten Opfer.

Am Ende saßen Privatleute und Finanzinstitute in den USA auf einem Schaden von mehr als 100 Millionen Dollar – Geld, das der Russe auch über Londoner Konten in seine Taschen umleiten konnte . Er habe „eines der kompliziertesten Systeme von Computerviren geschaffen, das wir je gesehen haben“, erklärte das US-Justizministerium. Bogatschow ist auch in Deutschland auf Raubzug gegangen, glaubt Rossow. Nur Angaben über die Schadenshöhe gibt es hier nicht.

Wie hat der IT-Experte aus dem Ruhrgebiet bei der Zerstörung des räuberischen Botnetzes mitgemacht? Die Geschichte dieser Abwehrschlacht, die er unserer Redaktion erzählt hat, beginnt im nördlichen Revier.

Das Ziel: dem Herrscher des Systems die Herrschaft zu entreißen

Herbst 2011. Christian Rossow arbeitet in einem kleinen Büro der Fachhochschule Gelsenkirchen an seiner Promotion und vor dem Bildschirm, als er feststellt, dass in den 15 Hochleistungsrechnern im „Virenlabor“ im Keller ungewöhnlich viel los ist. Irgend ein Schadprogramm tobt dort. Das weckt die Neugier des jungen Wissenschaftlers. Was die Informatiker hier tun, gleiche der Arbeit eines Biologen, sagt er. „Wie diese in einem Reagenzglas sehen, was ihre Viren anrichten, so kann ich erkennen, wo und wie Computerviren gerade weltweit schädigen“.

Er findet in diesem November die erste Spur zum Botnetz „Gameover Zeus“, und er holt in der Zeit darauf Unterstützung mit ins Boot – Kollegen aus Amsterdam, den USA, zwei aus Bonn und einer aus Düsseldorf. Die Wohnungen in den Niederlanden und im Rheinland werden zu Operationsbasen, um dem interessanten plötzlichen Gewimmel im World Wide Web auf den Grund zu gehen.

Wie wirken Botnetze? Wie kann man sie bekämpfen, wenn sie zentral gesteuert werden? Wie sind sie zu stoppen, wenn sie wie in diesem Fall dezentral,über viele zu tarnende „Außenstellen“ sozusagen, gemanagt werden? Das sind die Fragen, die das Team interessieren. Sie erkunden Programmzeilen, identifizieren infizierte Computer, um deren Verbindungen zu verfolgen, und setzen selbst Gegengifte . Es geht darum, dem Herrscher des Systems die Herrschaft über die Bots zu entreißen. Das gelingt ihnen immer mehr. Wer dahinter steckt, das kümmert sie um diese Zeit noch nicht viel. Was sie aber schon merken: Irgendwo in Osteuropa muss die Quelle sitzen , legt man normale Arbeitszeiten zugrunde und berücksichtigt die Zeitzonen.

Katz- und Maus-Spiel

Mai 2013. Eineinhalb Jahre sind vergangen. Sie haben die Forschungsergebnisse zusammengeschrieben und zwei eigene Gegenangriffe gestartet. Bogatschow, der Gegner, weiß also Bescheid über einen Feind da draußen. Er muss sich mit ihm herumschlagen. Er muss Abwehrmauern bauen und Programme verändern. Es wird zum Katz- und Maus-Spiel. Christian Rossow fliegt in die USA und berichtet auf einer Tagung in San Francisco über die Methoden, wie man von außen in diese kriminellen, abgeschotteten Botnetze eindringt. Wenig später meldet sich das amerikanische Bundeskriminalamt. Das FBI teilt mit, man habe selbst „Gameover Zeus“ im Visier. Die Fahnder bieten die Zusammenarbeit an.

Was folgte, „war nicht so, wie wir das aus Filmen kennen“, sagt Christian Rossow heute. Da sei kein anonymer Typ im dunklen Anzug aufgetreten. Special Agent Elliot Peterson ist aus Fleisch und Blut, ihr Ansprechpartner redet mit ihnen per Skype oder Telefon. Die Arbeit ist intensiv. Bei der Recherche kommen auch Merkwürdigkeiten zutage. Manche Schlüsselworte in dem russischen Plünder-Programm deuten, so Rossow, „auf die Verwendung für Spionagezwecke“ hin. Es geht um Informationen über Syrien und die Ukraine, die aktuellen Konflikte. Aber: „Man kann nicht sagen, wer von den vielen Beteiligten nach den Begriffen gesucht hat“, räumt er ein. Er ist auch nach wie vor überzeugt: „Das primäre Ziel war der Angriff auf die Banken“.

Netz wird zerschlagen, doch dessen Chef entkommt

Mai 2014. Das FBI terminiert den finalen Angriff auf „Gameover Zeus“ auf Ende des Monats, der Showdown. Zwei Kollegen des Dinslakeners fliegen dafür nach Pittsburgh in die Steuerzentrale. Rossow selbst macht mit seiner Freundin Urlaub auf Rügen, weil er den nicht absagen will – nur, um dann dort aus einem Hotel, in dem es Internet-Anschluss gibt, mit dem eigenen Anti-Schadprogramm im Kopf und den dazu gehörigen Klicks entscheidend dazu beizutragen, Bogatschows Netz endgültig zu zertrümmern. Parallel läuft weltweit die Festnahme-Welle gegen die russischen Cyberräuber. Nur der Boss selbst entkommt.

Christan Rossow ist stolz auf seine Promotion, die er mit einem weltweiten Kriminalfall krönen konnte. Er hat heute seine eigene Forschungsgruppe an der Universität des Saarlandes. Er pendelt zwischen hier und dem Niederrhein, wo seine damalige Freundin längst seine Frau ist. Sie erwarten ihr erstes Kind. In Saarbrücken hängt eine Urkunde über seinem Schreibtisch. „US. Department of Justice. Federal Bureau of Investigation“, steht oben auf. Es ist das Dankeschön des FBI für eine „außergewöhnliche Hilfe“.

Und Jewgeni Bogatschow? Sein kriminelles Netzwerk arbeitet wohl nicht mehr. Er sei „der wahre Gangster des 21. Jahrhunderts, der mit einem Tastendruck in aller Welt Cybercrime begeht“, hat der Vizejustizminister der USA, James Cole, gesagt. Ein Gericht in Pittsburgh hat Anklage erhoben. Es gibt einen Steckbrief. Auf den Kopf des Mannes sind mehr als drei Millionen Dollar ausgesetzt. Washington verlangt die Auslieferung. Moskau reagiert nicht. Der Bandenchef lebt, Informationen zufolge, an der Schwarzmeerküste. Er genießt das Leben auf der Yacht. Die Polizei dort lässt das zu.

 
 

EURE FAVORITEN