International
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Bild: shutterstock/watson

Analyse

Deutschland hat seinen «Hacker» geschnappt – dabei geht es nicht um ihn

Max Biederbeck / watson.de



Die Polizisten stürmen durch den Garten. Mit einem Rammbock treten sie die Tür eines Familienhauses ein, eine erschreckte Frau ruft den Beamten noch panisch hinterher. Dann gibt es eine Festnahme. Die Szene springt: Jetzt spricht eine Staatsanwältin über den Inhaftierten. Er habe eine «ungewöhnlich hohe Intelligenz an den Tag gelegt, die er destruktiv und asozial einsetze», sagt sie.

«Hackers» hob die Computer-Nerds seiner Zeit zum ersten Mal auf die Leinwand. Total unrealistisch war der Streifen, aber aus den Programmierern machte er eine öffentliche Attraktion. Eine Mischung aus Super- und Antihelden. 

Animiertes GIF GIF abspielen

«Hackers».

Perfekt fürs Kino, und genau das passiert gerade wieder

Das Jahr 2019 ist keine zwei Wochen alt, diesmal stehen Staatsanwaltschaft und Bundeskriminalpolizei auf einer echten Bühne in Deutschland. Auch diesmal gibt es einen Beschuldigten. Er ist nur ein halbes Kind, 20 Jahre alt und wohnt noch bei seinen Eltern in Hessen. Sein öffentlich bekannter Name ist «@_0rbit» und seit Tagen jagt ihm gefühlt das halbe Land hinterher, weil er private Daten von hunderten Prominenten und Politikern online gestellt hat. Vom grossen Hacker-Angriff war die Rede, überall überschlugen sich Experten mit Einschätzungen und Spekulationen.

Am Sonntag haben die Ermittler den Verdächtigen dann schliesslich erwischt, seine Wohnung durchsucht, Computer beschlagnahmt. Im Verhör habe der junge Mann gestanden, sagt Staatsanwalt Georg Ungefuk am Dienstag. «@_0rbit» habe noch versucht, einen Datenträger zu vernichten, um sich zu schützen. Aber die Hardware und die Online-Daten des Beschuldigten seien gesichert worden.

Viel mehr will weder das BKA noch die Staatsanwaltschaft sagen zu «@_0rbit». Er fällt unter das Jugendstrafrecht. Wie es mit ihm weitergeht, muss noch entschieden werden. Gerade ist er auf freiem Fuss, weil es weder eine Verdunklungs-, noch eine Fluchtgefahr gebe. «Er zeigt Reue», sagt der Staatsanwalt noch auf einer Pressekonferenz am Dienstag.

Aber, so scheint es, der Öffentlichkeit reicht das nicht. Sie will Zero Cool.

Bei den Nachfragen auf der Pressekonferenz wird deutlich, wo die öffentliche Erzählung von «@_0rbit» schon jetzt hingeht. Das öffentliche Interesse bleibt bei ihm hängen. Dieselben Experten, die vor wenigen Tagen von staatlichen Angriff auf Deutschland sprachen haben jetzt «einen gefassten Hacker, der noch bei seinen Eltern wohnt». Eine Knaller-Geschichte, und schon am Dienstag finden sich solche Überschriften bei zahlreichen Websites und TV-Sendern.

Aber « '@_0rbit' ist eben kein „berüchtigter Hacker, der gefasst wurde» – wenigstens die Staatsanwälte und das BKA scheinen das verstanden zu haben.

«Ausgeklügelt» sei er vorgegangen, heisst es dort. Er habe viel «Zeit und Interesse» investiert. Er sei auch fleissig gewesen. Aber ein geniales Kind-Genie, dass sich in Computer-Systeme hackt, wie in Hollywood, das ist «@_0rbit» eben nicht.

Wenn wir ihn jetzt öffentlich dazu verklären, ignorieren wir das eigentliche Problem.

«@_0rbit» ist ein Sammler, nicht mehr, und nicht weniger

Der 20-Jährige hat sich lediglich genauer angesehen, was Sicherheitsforscher seit Jahren als grosses Risiko einstufen. Ungeschützte Berge an Rohdaten, alten Benutzernamen und Kennwörtern (sog. Credentials), die offen für jeden im Internet herumliegen.

Die Müllkippen, auf denen solche Daten zu finden sind, lassen sich zum Teil googeln. Es sind online verfügbare Datenbanken auf Websites mit Namen wie Pastebin, Webcache oder Siph0n. Auch Foren sind eine gute Quelle für Zugangsdaten: Crackingcore, passwordcastle oder Greyhat-Hacker-Foren etwa. All diese Seiten haben eine Sache gemein: In ihnen findet sich der Müll des Internets. Und dieser Müll besteht zu einem grossen Teil aus Passwörtern, die irgendwann mal irgendwo geleakt sind.

Diesen Berg schaute sich «@_0rbit» in Ruhe an. Wurde er fündig, prüfte er, ob eine bekannte Persönlichkeit ihre alten Zugangsdaten noch immer irgendwo verwendet. Stück für Stück bekam er Zugang. Wahrscheinlich verwendete der junge Mann die Daten auch dazu, sich bei Service-Dienstleistern auszuweisen, um dann noch mehr Passwörter zu ergaunern. Mann nennt das «Social Engineering». Vielleicht nutzte er hin und wieder einige alte Sicherheitslücken, die mit dem richtigen Update längst geschlossen sein sollten. Die meisten Informationen kamen also aus öffentlich zugänglichen Quellen.

Mit genialen Hackern, geheimen Software-Hintertüren und sonstigen «Fehlern in der Matrix» hat das alles nichts zu tun.

Jeder kann solche Daten mit Zeit und Fleiss selbst sammeln. Und dann kann so ein Daten-Leak – natürlich – wieder passieren.

Jeder der aus «@_0rbit» jetzt einen grossen Hacker macht, unterschätzt massiv, dass wir alle zugunsten eines einfachen Lebens unsere eigene Sicherheit im Netz täglich untergraben. Es braucht keine neuen «Cyber»-Sicherheitsbehörden, es braucht keine neuen «Cyber»-Gesetze. All das wird seit Jahren auf den Weg gebracht. Wir sollten uns weniger darum kümmern, einen Schuldigen zu finden, als endlich bei uns selbst suchen.

Auch die BKA-Abteilungsleiterin, Sabine Vogt, hat das verstanden. Sie war am Dienstag sichtlich darum bemüht, zu erklären, dass es eben nicht nur um den Täter geht. «Wir leben in einer Welt, in der es ist wie beim Autofahren: Wir brauchen einen Sicherheitsgurt», sagte sie. 

Die sieben eindrücklichsten Hacker-Attacken

Russland begeht grossflächige Cyberattacke

abspielen

Video: srf/SDA SRF

Das könnte dich auch interessieren:

«So sehen Depressionen aus» – Facebookpost einer jungen Frau geht viral

Link zum Artikel

Kann Basel YB wieder gefährlich werden? Alle Transfers der Super League im Überblick

Link zum Artikel

Mehr Spass! Hier kommen die 24 lustigsten Fails, die das Internet gerade zu bieten hat

Link zum Artikel

Kommen Sie, kommen Sie! PICDUMP!

Link zum Artikel

Abonniere unseren Newsletter

39
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
39Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Michael Heldner 09.01.2019 03:42
    Highlight Highlight Waaaaas, es war kein Komplott der Russen im der AFD Vorteile zu bescheren?!?!?!


    Ich bin enttäuscht :( was mach ich jetzt mit den ganzen knackigen Verschwörungstheorien wie „der Russe ist schuld“ oder nazihack der AfD ? 😩
  • Sir Konterbier 08.01.2019 23:58
    Highlight Highlight Wenn sie clever sind engagieren sie ihn nacher selbst in der Cyber-Sicherheit, anscheinend hat der Junge ein gewisses Potenzial im Aufspühren von Schwachstellen.
  • Mutbürgerin 08.01.2019 21:57
    Highlight Highlight Hätte er nur Afd Konten geleaked, wäre er ein Held.
  • MaxHeiri 08.01.2019 20:18
    Highlight Highlight Ich stelle mir nur vor, wenn es ein 19-jähriger so hinbekommt, wie massiv ausländische Geheimdienste bei vielen europäischen und amerikanischen Politikern mitlesen können, ohne dass sie Inhalte veröffentlichen und ein Aufschrei durch die Medien geht.
    Irgendwie errschreckend...
  • horst müller 08.01.2019 19:42
    Highlight Highlight ich finde es entrüstend, wie hier die leistungen des "jungen mannes" entwürdigt werden. aus meiner sicht eine beachtliche leistung! in ein hack braucht immer eine langwierige vorarbeit, wo schwachstellen eruiert und dann ausgenutzt werden. ich bin im it bereich tätig und interessiere mich nicht für meine daten. einfach unter dem schirm bleiben und nicht gerade grobfarlässig handeln. als politiker oder in einer kaderposition bzw auch als "berühmtheit" sollte man schon etwas sensibler damit umgehen.
  • Loe 08.01.2019 18:16
    Highlight Highlight Gut nachvollziehbar.

    Aber was anderes: es gibt Studentenjobs zum Kommentare freischalten? (Ja, nicht bei euch offenbar). Wie geil ist das denn? Bezahlung für etwas was ich auch so stundenlang mache: Kommentare lesen. Weiss da jemand zufällig wos das gibt? Würde mich interessieren!
    • Cpt. Jeppesen 08.01.2019 18:40
      Highlight Highlight Gibs zu, du willst "Gott" sein :-)
  • Denk nach 08.01.2019 18:08
    Highlight Highlight Das heisst, jemand mit Willenskraft aber ohne grössere Skills kann mit viel Zeit und Aufwand relativ grossen Schaden anrichten.

    Beängstigend, wenn man bedenkt, dass es dann noch welche gibt die viel mehr Skills und Möglichkeiten haben.
    • The Destiny // Team Telegram 08.01.2019 18:44
      Highlight Highlight Nein, bei denen ist der Zeitfaktor einfach wesentlich geringer.
    • äti 08.01.2019 19:22
      Highlight Highlight .. mit viel mehr Skills ist es nicht mehr so interessant. Zudem hat man dann auch eher andere Ziele und weniger Zeit. :)
  • s_rosenthaler 08.01.2019 17:46
    Highlight Highlight 3. Überall wo möglich Zwei-Faktor-Authentisierung (2FA) aktivieren. Bekannte Dienste, welche diese unterstützen sind: Apple, Microsoft, Google, Facebook, Twitter, Pinterest Dropbox und weitere. Hier gilt es einerseits die Mobiltelefonnummer als Backup zu hinterlegen und die 2FA Codes in einer App wie Google Authenticator (Standalond) oder über mehrere Endgeräte mittels Authy (Cloud) generieren zu lassen. Hier eine Anleitung für Authy https://authy.com/features/setup/. Bei einigen Diensten lässt sich auch eine Benachrichtigung bei neuen Loginversuchen aktivieren.
  • s_rosenthaler 08.01.2019 17:37
    Highlight Highlight Sehr gut geschriebener Artikel und leider sowas von wahr. Auch heute noch findet man in Büros meist unter der Tastatur oder der obersten Schreibtischschublade Zugangsdaten fein säuberlich notiert. Dabei wäre es relativ einfach:
    1. Einen Passwortmanager wie LastPass, Dashlane oder in der Apple Welt den Schlüsselbund verwenden. Für Cloudverachter KeePass;-)
    2. Niemals dasselbe Passwort zweimal nutzen, sondern immer ein neues, mindestens 12 Zeichen langes, zufälliges Passwort mit Grossbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen verwenden.
  • xHascox 08.01.2019 16:29
    Highlight Highlight Mann nennt das «Social Engineering».

    ;)
    • johnnyenglish 08.01.2019 23:34
      Highlight Highlight Frau auch.
  • Cpt. Jeppesen 08.01.2019 16:28
    Highlight Highlight Ich stimme zu aus @_Orbit keinen Held zu machen. Er hat aus egoistischen Motiven gehandelt um Aufmerksamkeit zu bekommen. Aber zu behaupten er sei kein Hacker ist ebenfalls falsch, denn genau so funktioniert hacken. Mit viel Geduld Daten zusammentragen, Schwachstellen ausspionieren, sich als Mitarbeiter ausgeben, etc...
    Dieses 'Wir hacken in 30 Sekunden das "Pentagon"' existiert ausschliesslich im Film. Wenn auf einer Konferenz jemand solch einen Hack vorstellt, der dann in weniger als 30 Sekunden durchläuft, sind dem Monate oder Jahre an oben beschriebener Detailarbeit vorausgegangen.
    • b4n4n4j03 08.01.2019 18:09
      Highlight Highlight Also wenn jemand mit zu viel zeit sich datenzusammensuchen kann, kann ein professionel aufgestelltes team das auch, und aarscheinlich in kürzerer zeit.
      Für mich gibt es zwei sichten auf die daten. 1. Private: da muss jeder digital erwachsen genug sein um den beschriebenen sicherheitsgurt anzuziehen, damit die digitale identität nicht gestolen wird.
      2: staatliche: dort sollten benutzerfreundliche sichere systeme existieren.
      Das man staatliches nicht mit dem privaten account macht wurde aus gründen von punkt 1 ja auch bei hillary clinton angeprangert
    • Cpt. Jeppesen 08.01.2019 18:38
      Highlight Highlight Zu 1 volle Zustimmung. Zu 2, Leider nein. Benutzerfreundlichkeit und Sicherheit sind absolut konträr. Wie viele kennst Du die Ihre e-Mails verschlüsseln? Warum hat es so wenig Akzeptanz? Das Problem liegt im Detail. Jemand muss den Masterkey zu seinen eigenen Daten haben. Um an die Daten zu gelangen muss dieser Key immer verwendet werden. Er muss nicht knackbar, nicht remote auslesbar, immer bereit sein und mit jedem beliebiegen Operatingsystem und Client funktionieren.
      Und wenn jemand sensible Daten auf nicht gesicherten Systemen speichert, siehe HC Problem :)
      Der "Staat" kann dazu gar nix.
  • #Technium# 08.01.2019 16:24
    Highlight Highlight Nja, also den Täter hier im Artikel eher als Opfer oder sogar als Michael Snow der Datensicherheit darzustellen, geht dann schon etwas zu weit. In erster Linie ist er ein Krimineller und muss entsprechend juristisch für die Konsequenzen geradestehen.
    • aglio e olio 08.01.2019 17:35
      Highlight Highlight Haben wir den gleichen Artikel gelesen?
  • LaktoseintoleranterVeganerLGBT 08.01.2019 16:11
    Highlight Highlight Streng genommen sind hier die Opfer also selber die Täter?
    • River 08.01.2019 18:10
      Highlight Highlight Nein. Sie sind eher Opfer ihrer selbst.
  • Fruchtzwerg 08.01.2019 16:05
    Highlight Highlight Wieso bitte fällt ein 20-jähriger unter das Jugendstrafrecht? Alt genug um zu wählen und Alkohol zu trinken, aber nicht um in einem normalen Knast zu sitzen?
    • aglio e olio 08.01.2019 17:33
      Highlight Highlight Mit 20 ist man rechtlich ein Heranwachsender. Erwachsen erst mit 21.
    • Scaros_2 08.01.2019 18:47
      Highlight Highlight Menschen vor Vollendung des 14. Lebensjahres sind als Kinder strafunmündig (§ 19 StGB). Für Erwachsene hingegen gilt das allgemeine Strafrecht. Für die Übergangszeit gilt in Deutschland das Jugendgerichtsgesetz (JGG). Es ist uneingeschränkt anwendbar für Jugendliche, d. h. für Menschen, die zur Tatzeit im Alter von 14 bis 17 Jahren waren (§ 1 Abs. 2 Halbs. 1 JGG).

      Auf Heranwachsende (18- bis 20-Jährige) sind zentrale Normen (aber nicht alle) des Jugendstrafrechts nach Maßgabe der §§ 105 ff. JGG anzuwenden.

      Googlen hätte dir den Post erspart
    • Enzasa 08.01.2019 20:32
      Highlight Highlight Es kommt darauf an, wie sein Entwicklungsstand ist
    Weitere Antworten anzeigen
  • Ueli_DeSchwert 08.01.2019 15:57
    Highlight Highlight Sehr gut geschrieben.
    Das ist ein echtes Problem.
    Auf haveibeenpwned.com kann man schauen, ob eine der eigenen E-Mail-Adressen in einem bekannten Breach drin war.
    Das zu wissen, ist das eine. Das betroffene Passwort dann aber nicht mehr zu verwenden ist etwas ganz anderes. Dazu ist der Mensch einfach viel zu bequem.
    Und so dreht sich das Rad weiter, und es wird wieder geschehen...
    • Rhabarber 08.01.2019 17:13
      Highlight Highlight Wie oft sollte man seine Passwörter ändern?
    • swizzbliss 08.01.2019 18:41
      Highlight Highlight Alle 13.7 Sekunden.
    • The Destiny // Team Telegram 08.01.2019 18:49
      Highlight Highlight @Rhabarber, wenn ein genutzter Service gehackt wurde/ jedes Quartal.

      PS: mache ich auch nicht ;)
    Weitere Antworten anzeigen

Warum ich auf Airbnb verzichten werde – und ihr das auch tun solltet

Airbnb startet seinen neuen Service «Airbnb Luxe»: Eine Nacht kostet dort bis zu 17'000 Euro – Köchin und Putzpersonal inklusive, Concierge kann dazu gebucht werden, ebenso der Tennistrainer. Warum das ein guter Zeitpunkt ist, Airbnb zu hinterfragen und warum wir Teil des Problems sind.

«Suche dringend eine Wohnung in X» ist der Satz, der bei mir und bis hinein in den erweiterten Freundeskreis Übelkeit, Angst, (Selbst-)Mitleid und Verzweiflung auslöst. Denn ich wohne in Berlin und hier eine Wohnung zu finden, die bezahlbar ist, ist kaum möglich.

Ich kenne niemanden, der einfach so mal eine Wohnung gefunden hat. Aber ich kenne sehr viele Leute, die ständig Airbnb-Wohnungen mieten, wenn sie in Urlaub fahren. Doch Airbnb ist schon lange nicht mehr die coole Austauschplattform, …

Artikel lesen
Link zum Artikel