International
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Bild: shutterstock/watson

Deutschland hat seinen «Hacker» geschnappt – dabei geht es nicht um ihn

Max Biederbeck / watson.de



Die Polizisten stürmen durch den Garten. Mit einem Rammbock treten sie die Tür eines Familienhauses ein, eine erschreckte Frau ruft den Beamten noch panisch hinterher. Dann gibt es eine Festnahme. Die Szene springt: Jetzt spricht eine Staatsanwältin über den Inhaftierten. Er habe eine «ungewöhnlich hohe Intelligenz an den Tag gelegt, die er destruktiv und asozial einsetze», sagt sie.

«Hackers» hob die Computer-Nerds seiner Zeit zum ersten Mal auf die Leinwand. Total unrealistisch war der Streifen, aber aus den Programmierern machte er eine öffentliche Attraktion. Eine Mischung aus Super- und Antihelden. 

Animiertes GIF GIF abspielen

«Hackers».

Perfekt fürs Kino, und genau das passiert gerade wieder

Das Jahr 2019 ist keine zwei Wochen alt, diesmal stehen Staatsanwaltschaft und Bundeskriminalpolizei auf einer echten Bühne in Deutschland. Auch diesmal gibt es einen Beschuldigten. Er ist nur ein halbes Kind, 20 Jahre alt und wohnt noch bei seinen Eltern in Hessen. Sein öffentlich bekannter Name ist «@_0rbit» und seit Tagen jagt ihm gefühlt das halbe Land hinterher, weil er private Daten von hunderten Prominenten und Politikern online gestellt hat. Vom grossen Hacker-Angriff war die Rede, überall überschlugen sich Experten mit Einschätzungen und Spekulationen.

Am Sonntag haben die Ermittler den Verdächtigen dann schliesslich erwischt, seine Wohnung durchsucht, Computer beschlagnahmt. Im Verhör habe der junge Mann gestanden, sagt Staatsanwalt Georg Ungefuk am Dienstag. «@_0rbit» habe noch versucht, einen Datenträger zu vernichten, um sich zu schützen. Aber die Hardware und die Online-Daten des Beschuldigten seien gesichert worden.

Viel mehr will weder das BKA noch die Staatsanwaltschaft sagen zu «@_0rbit». Er fällt unter das Jugendstrafrecht. Wie es mit ihm weitergeht, muss noch entschieden werden. Gerade ist er auf freiem Fuss, weil es weder eine Verdunklungs-, noch eine Fluchtgefahr gebe. «Er zeigt Reue», sagt der Staatsanwalt noch auf einer Pressekonferenz am Dienstag.

Aber, so scheint es, der Öffentlichkeit reicht das nicht. Sie will Zero Cool.

Bei den Nachfragen auf der Pressekonferenz wird deutlich, wo die öffentliche Erzählung von «@_0rbit» schon jetzt hingeht. Das öffentliche Interesse bleibt bei ihm hängen. Dieselben Experten, die vor wenigen Tagen von staatlichen Angriff auf Deutschland sprachen haben jetzt «einen gefassten Hacker, der noch bei seinen Eltern wohnt». Eine Knaller-Geschichte, und schon am Dienstag finden sich solche Überschriften bei zahlreichen Websites und TV-Sendern.

Aber « '@_0rbit' ist eben kein „berüchtigter Hacker, der gefasst wurde» – wenigstens die Staatsanwälte und das BKA scheinen das verstanden zu haben.

«Ausgeklügelt» sei er vorgegangen, heisst es dort. Er habe viel «Zeit und Interesse» investiert. Er sei auch fleissig gewesen. Aber ein geniales Kind-Genie, dass sich in Computer-Systeme hackt, wie in Hollywood, das ist «@_0rbit» eben nicht.

Wenn wir ihn jetzt öffentlich dazu verklären, ignorieren wir das eigentliche Problem.

«@_0rbit» ist ein Sammler, nicht mehr, und nicht weniger

Der 20-Jährige hat sich lediglich genauer angesehen, was Sicherheitsforscher seit Jahren als grosses Risiko einstufen. Ungeschützte Berge an Rohdaten, alten Benutzernamen und Kennwörtern (sog. Credentials), die offen für jeden im Internet herumliegen.

Die Müllkippen, auf denen solche Daten zu finden sind, lassen sich zum Teil googeln. Es sind online verfügbare Datenbanken auf Websites mit Namen wie Pastebin, Webcache oder Siph0n. Auch Foren sind eine gute Quelle für Zugangsdaten: Crackingcore, passwordcastle oder Greyhat-Hacker-Foren etwa. All diese Seiten haben eine Sache gemein: In ihnen findet sich der Müll des Internets. Und dieser Müll besteht zu einem grossen Teil aus Passwörtern, die irgendwann mal irgendwo geleakt sind.

Diesen Berg schaute sich «@_0rbit» in Ruhe an. Wurde er fündig, prüfte er, ob eine bekannte Persönlichkeit ihre alten Zugangsdaten noch immer irgendwo verwendet. Stück für Stück bekam er Zugang. Wahrscheinlich verwendete der junge Mann die Daten auch dazu, sich bei Service-Dienstleistern auszuweisen, um dann noch mehr Passwörter zu ergaunern. Mann nennt das «Social Engineering». Vielleicht nutzte er hin und wieder einige alte Sicherheitslücken, die mit dem richtigen Update längst geschlossen sein sollten. Die meisten Informationen kamen also aus öffentlich zugänglichen Quellen.

Mit genialen Hackern, geheimen Software-Hintertüren und sonstigen «Fehlern in der Matrix» hat das alles nichts zu tun.

Jeder kann solche Daten mit Zeit und Fleiss selbst sammeln. Und dann kann so ein Daten-Leak – natürlich – wieder passieren.

Jeder der aus «@_0rbit» jetzt einen grossen Hacker macht, unterschätzt massiv, dass wir alle zugunsten eines einfachen Lebens unsere eigene Sicherheit im Netz täglich untergraben. Es braucht keine neuen «Cyber»-Sicherheitsbehörden, es braucht keine neuen «Cyber»-Gesetze. All das wird seit Jahren auf den Weg gebracht. Wir sollten uns weniger darum kümmern, einen Schuldigen zu finden, als endlich bei uns selbst suchen.

Auch die BKA-Abteilungsleiterin, Sabine Vogt, hat das verstanden. Sie war am Dienstag sichtlich darum bemüht, zu erklären, dass es eben nicht nur um den Täter geht. «Wir leben in einer Welt, in der es ist wie beim Autofahren: Wir brauchen einen Sicherheitsgurt», sagte sie. 

Die sieben eindrücklichsten Hacker-Attacken

Russland begeht grossflächige Cyberattacke

abspielen

Video: srf/SDA SRF

Das könnte dich auch interessieren:

Die Geschichte zu diesem Foto mit Pogba ist wirklich unglaublich lustig

Link zum Artikel

Dieser Bündner Lokführer hat wohl gerade den besten Job der Welt

Link zum Artikel

«Der grösste Fehlentscheid der NFL-Geschichte» – und natürlich wieder Brady

Link zum Artikel

9 simple WhatsApp-Kniffe, die nicht jeder kennt

Link zum Artikel

Vor 50 Jahren: Als der Traum von der Schweizer Atombombe platzte

Link zum Artikel

Von frierenden Möpsen und fliegenden Vibratoren: Eine kleine Abrechnung mit Hollywood

Link zum Artikel

«Ken ist nur ihr schmuckes Anhängsel»: Soziologin über Geburtstagskind Barbie

Link zum Artikel

«Steigende Mieten!» – «Nur noch Beton!»: Das Streitgespräch zur Zersiedelungs-Initiative

Link zum Artikel

Ist die #10YearChallenge gefährlich? Die Fakten zum Internet-Phänomen

Link zum Artikel

Hunderte Millionen geklaute Zugangsdaten im Netz – so prüfst du, ob du gehackt wurdest

Link zum Artikel

3 Punkte: Wie Kritiker über den Reichen-Report motzen – und was davon zu halten ist

Link zum Artikel

«Das Beste im Mann» – mit diesem Anti-Sexismus-Werbespot läuft Gillette voll in den Hammer

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

45
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
45Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Michael Heldner 09.01.2019 03:42
    Highlight Highlight Waaaaas, es war kein Komplott der Russen im der AFD Vorteile zu bescheren?!?!?!


    Ich bin enttäuscht :( was mach ich jetzt mit den ganzen knackigen Verschwörungstheorien wie „der Russe ist schuld“ oder nazihack der AfD ? 😩
  • Sir Konterbier 08.01.2019 23:58
    Highlight Highlight Wenn sie clever sind engagieren sie ihn nacher selbst in der Cyber-Sicherheit, anscheinend hat der Junge ein gewisses Potenzial im Aufspühren von Schwachstellen.
  • Mutbürgerin 08.01.2019 21:57
    Highlight Highlight Hätte er nur Afd Konten geleaked, wäre er ein Held.
  • MaxHeiri 08.01.2019 20:18
    Highlight Highlight Ich stelle mir nur vor, wenn es ein 19-jähriger so hinbekommt, wie massiv ausländische Geheimdienste bei vielen europäischen und amerikanischen Politikern mitlesen können, ohne dass sie Inhalte veröffentlichen und ein Aufschrei durch die Medien geht.
    Irgendwie errschreckend...
  • horst müller 08.01.2019 19:42
    Highlight Highlight ich finde es entrüstend, wie hier die leistungen des "jungen mannes" entwürdigt werden. aus meiner sicht eine beachtliche leistung! in ein hack braucht immer eine langwierige vorarbeit, wo schwachstellen eruiert und dann ausgenutzt werden. ich bin im it bereich tätig und interessiere mich nicht für meine daten. einfach unter dem schirm bleiben und nicht gerade grobfarlässig handeln. als politiker oder in einer kaderposition bzw auch als "berühmtheit" sollte man schon etwas sensibler damit umgehen.
  • Loe 08.01.2019 18:16
    Highlight Highlight Gut nachvollziehbar.

    Aber was anderes: es gibt Studentenjobs zum Kommentare freischalten? (Ja, nicht bei euch offenbar). Wie geil ist das denn? Bezahlung für etwas was ich auch so stundenlang mache: Kommentare lesen. Weiss da jemand zufällig wos das gibt? Würde mich interessieren!
    • Cpt. Jeppesen 08.01.2019 18:40
      Highlight Highlight Gibs zu, du willst "Gott" sein :-)
  • Denk nach 08.01.2019 18:08
    Highlight Highlight Das heisst, jemand mit Willenskraft aber ohne grössere Skills kann mit viel Zeit und Aufwand relativ grossen Schaden anrichten.

    Beängstigend, wenn man bedenkt, dass es dann noch welche gibt die viel mehr Skills und Möglichkeiten haben.
    • The Destiny // Team Telegram 08.01.2019 18:44
      Highlight Highlight Nein, bei denen ist der Zeitfaktor einfach wesentlich geringer.
    • äti 08.01.2019 19:22
      Highlight Highlight .. mit viel mehr Skills ist es nicht mehr so interessant. Zudem hat man dann auch eher andere Ziele und weniger Zeit. :)
  • s_rosenthaler 08.01.2019 17:46
    Highlight Highlight 3. Überall wo möglich Zwei-Faktor-Authentisierung (2FA) aktivieren. Bekannte Dienste, welche diese unterstützen sind: Apple, Microsoft, Google, Facebook, Twitter, Pinterest Dropbox und weitere. Hier gilt es einerseits die Mobiltelefonnummer als Backup zu hinterlegen und die 2FA Codes in einer App wie Google Authenticator (Standalond) oder über mehrere Endgeräte mittels Authy (Cloud) generieren zu lassen. Hier eine Anleitung für Authy https://authy.com/features/setup/. Bei einigen Diensten lässt sich auch eine Benachrichtigung bei neuen Loginversuchen aktivieren.
  • s_rosenthaler 08.01.2019 17:37
    Highlight Highlight Sehr gut geschriebener Artikel und leider sowas von wahr. Auch heute noch findet man in Büros meist unter der Tastatur oder der obersten Schreibtischschublade Zugangsdaten fein säuberlich notiert. Dabei wäre es relativ einfach:
    1. Einen Passwortmanager wie LastPass, Dashlane oder in der Apple Welt den Schlüsselbund verwenden. Für Cloudverachter KeePass;-)
    2. Niemals dasselbe Passwort zweimal nutzen, sondern immer ein neues, mindestens 12 Zeichen langes, zufälliges Passwort mit Grossbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen verwenden.
  • Things never seen before 08.01.2019 17:35
    Highlight Highlight Der Typ soll von der Nachtwach Barbara Bürer in die Mangel und live am TV ausgequetscht werden. Sorry Babs 😀
  • xHascox 08.01.2019 16:29
    Highlight Highlight Mann nennt das «Social Engineering».

    ;)
    • johnnyenglish 08.01.2019 23:34
      Highlight Highlight Frau auch.
  • Cpt. Jeppesen 08.01.2019 16:28
    Highlight Highlight Ich stimme zu aus @_Orbit keinen Held zu machen. Er hat aus egoistischen Motiven gehandelt um Aufmerksamkeit zu bekommen. Aber zu behaupten er sei kein Hacker ist ebenfalls falsch, denn genau so funktioniert hacken. Mit viel Geduld Daten zusammentragen, Schwachstellen ausspionieren, sich als Mitarbeiter ausgeben, etc...
    Dieses 'Wir hacken in 30 Sekunden das "Pentagon"' existiert ausschliesslich im Film. Wenn auf einer Konferenz jemand solch einen Hack vorstellt, der dann in weniger als 30 Sekunden durchläuft, sind dem Monate oder Jahre an oben beschriebener Detailarbeit vorausgegangen.
    • b4n4n4j03 08.01.2019 18:09
      Highlight Highlight Also wenn jemand mit zu viel zeit sich datenzusammensuchen kann, kann ein professionel aufgestelltes team das auch, und aarscheinlich in kürzerer zeit.
      Für mich gibt es zwei sichten auf die daten. 1. Private: da muss jeder digital erwachsen genug sein um den beschriebenen sicherheitsgurt anzuziehen, damit die digitale identität nicht gestolen wird.
      2: staatliche: dort sollten benutzerfreundliche sichere systeme existieren.
      Das man staatliches nicht mit dem privaten account macht wurde aus gründen von punkt 1 ja auch bei hillary clinton angeprangert
    • Cpt. Jeppesen 08.01.2019 18:38
      Highlight Highlight Zu 1 volle Zustimmung. Zu 2, Leider nein. Benutzerfreundlichkeit und Sicherheit sind absolut konträr. Wie viele kennst Du die Ihre e-Mails verschlüsseln? Warum hat es so wenig Akzeptanz? Das Problem liegt im Detail. Jemand muss den Masterkey zu seinen eigenen Daten haben. Um an die Daten zu gelangen muss dieser Key immer verwendet werden. Er muss nicht knackbar, nicht remote auslesbar, immer bereit sein und mit jedem beliebiegen Operatingsystem und Client funktionieren.
      Und wenn jemand sensible Daten auf nicht gesicherten Systemen speichert, siehe HC Problem :)
      Der "Staat" kann dazu gar nix.
  • #Technium# 08.01.2019 16:24
    Highlight Highlight Nja, also den Täter hier im Artikel eher als Opfer oder sogar als Michael Snow der Datensicherheit darzustellen, geht dann schon etwas zu weit. In erster Linie ist er ein Krimineller und muss entsprechend juristisch für die Konsequenzen geradestehen.
    • aglio e olio 08.01.2019 17:35
      Highlight Highlight Haben wir den gleichen Artikel gelesen?
  • Things never seen before 08.01.2019 16:12
    Highlight Highlight Mit mehreren Mailadressen und genauso vielen mindestens 12 stelligen Passphrasen oder Passwörter ist man nebst ständig upgedateten Systemen und Programmen am sichersten unterwegs im Netz. Dies den Usern beizubringen bleibt nahezu unmöglich.
    • _kokolorix 08.01.2019 18:23
      Highlight Highlight Es soll auch Leute geben die nicht jeden Tag 2h damit verbringen ihre 12 e-mail Adressen am Leben zu erhalten und sämtliche Software auf Handy, Pc, Tv, Kühlschrank, etc. auf dem neuesten Stand zu bringen. Von den Folgeproblemen der excessiven Updaterei will ich gar nicht anfangen.
      Klar gibt es fahrlässige Nutzer, aber das Hauptproblem ist die Weigerung der internationalen Juristerei den zahllosen Betrügern im Netz wirkungsvoll auf den Schlips zu treten. Ist wie mit der grassierenden Steuerbetrügerei. Man beisst die Hand nicht die einen füttert...
    • Things never seen before 08.01.2019 18:45
      Highlight Highlight @_kokolorix
      Soso, die unterschiedlichen Gesetze sollen schuld sein.
      Sehe ich teilweise ein. Kenne da ein Land welches seit Jahren Pirouette und Spagat übt wegen eines Rahmenverträglis mit einem Klub bestehend aus 27 Teilnehmerstaaten.

      Grundsätzlich in der Jouristerei gilt, wo kein Kläger ist auch keine Klage.

      NB: Muss jetzt Kühlschrank Update prüfen. En Guätä
    • Things never seen before 08.01.2019 20:14
      Highlight Highlight Nicht ganz so einfach, aber wo kein Kläger ist auch kein Richter, konolorix.
  • LaktoseintoleranterVeganerLGBT 08.01.2019 16:11
    Highlight Highlight Streng genommen sind hier die Opfer also selber die Täter?
    • River 08.01.2019 18:10
      Highlight Highlight Nein. Sie sind eher Opfer ihrer selbst.
  • Fruchtzwerg 08.01.2019 16:05
    Highlight Highlight Wieso bitte fällt ein 20-jähriger unter das Jugendstrafrecht? Alt genug um zu wählen und Alkohol zu trinken, aber nicht um in einem normalen Knast zu sitzen?
    • Things never seen before 08.01.2019 16:20
      Highlight Highlight Wie dem auch sei, es ist im Prinzip ein Kavaliersdelikt. Jeder könnte dies und effektiven Schaden hat er ja keinen angerichtet. Soweit ich weiss. Illegale Downloads und deren Verbreitung sind allgengenwärtig. Texte, Musik, Filme und Videos vorzüglich. Machen dagegen lässt sich wenig. Internet - Das wahre Globale. L.G. youtube und Konsorten.
    • aglio e olio 08.01.2019 17:33
      Highlight Highlight Mit 20 ist man rechtlich ein Heranwachsender. Erwachsen erst mit 21.
    • Scaros_2 08.01.2019 18:47
      Highlight Highlight Menschen vor Vollendung des 14. Lebensjahres sind als Kinder strafunmündig (§ 19 StGB). Für Erwachsene hingegen gilt das allgemeine Strafrecht. Für die Übergangszeit gilt in Deutschland das Jugendgerichtsgesetz (JGG). Es ist uneingeschränkt anwendbar für Jugendliche, d. h. für Menschen, die zur Tatzeit im Alter von 14 bis 17 Jahren waren (§ 1 Abs. 2 Halbs. 1 JGG).

      Auf Heranwachsende (18- bis 20-Jährige) sind zentrale Normen (aber nicht alle) des Jugendstrafrechts nach Maßgabe der §§ 105 ff. JGG anzuwenden.

      Googlen hätte dir den Post erspart
    Weitere Antworten anzeigen
  • Ueli_DeSchwert 08.01.2019 15:57
    Highlight Highlight Sehr gut geschrieben.
    Das ist ein echtes Problem.
    Auf haveibeenpwned.com kann man schauen, ob eine der eigenen E-Mail-Adressen in einem bekannten Breach drin war.
    Das zu wissen, ist das eine. Das betroffene Passwort dann aber nicht mehr zu verwenden ist etwas ganz anderes. Dazu ist der Mensch einfach viel zu bequem.
    Und so dreht sich das Rad weiter, und es wird wieder geschehen...
    • Rhabarber 08.01.2019 17:13
      Highlight Highlight Wie oft sollte man seine Passwörter ändern?
    • swizzbliss 08.01.2019 18:41
      Highlight Highlight Alle 13.7 Sekunden.
    • The Destiny // Team Telegram 08.01.2019 18:49
      Highlight Highlight @Rhabarber, wenn ein genutzter Service gehackt wurde/ jedes Quartal.

      PS: mache ich auch nicht ;)
    Weitere Antworten anzeigen

Klimastreik in Deutschland – Präsident der Schüler-CDU verpetzt Mitschüler bei den Lehrern

Nicht nur in der Schweiz streiken heute Schülerinnen und Schüler, um einen effektiveren Kampf gegen den Klimawandel zu fordern. Auch in Belgien und Deutschland gehen die Jugendlichen auf die Strasse. Im Bundesland Baden-Württemberg etwa finden Streiks unter anderem in Stuttgart, Freiburg im Breisgau und Tübingen statt. 

Kein Verständnis für die Demonstrationen haben die Jung- und Schülerorganisationen der CDU. Philipp Bürkle, Landesvorsitzender der Jungen Union (JU) und Michael Bodner, …

Artikel lesen
Link zum Artikel