Es war eine Attacke mit Ansage. Und mit Kollateralschaden: Ein offenbar rechtsradikaler Hacker versuchte, die Website der antifaschistischen Gruppe Antifa Bern lahmzulegen. Betroffen waren auch andere Websites, die auf den Servern des Winterthurer Internetproviders Init7 AG gespeichert sind. Teilweise waren sie für Internetnutzer nur noch schwer zu erreichen, teilweise haben sie sich sehr langsam aufgebaut. Nach eineinhalb Stunden gelang es den Spezialisten der Init7 AG, die «Distributed Denial of Service»-Attacke (DDoS-Attacke) abzuwenden. Der Vorfall ereignete sich vor wenigen Tagen.
Eine solche Attacke ist kein Hackerangriff im eigentlichen Sinne. Denn die Angreifer müssen dafür nicht in ein System eindringen – genau das macht DDoSAttacken wiederum so unberechenbar. Websites werden mit so vielen Anfragen überhäuft, dass sie diese nicht mehr verarbeiten können. Auf diese Weise wird versucht, ihre Server zu überlasten.
Gestartet werden die böswilligen Anfragen aus einem Botnet: Einem Netz aus Computern, die mit Schadsoftware infiziert sind und von Fremden ferngesteuert werden. Kriminelle Betreiber vermieten Botnets mehr oder weniger unverhohlen im Internet. Theoretisch kann jeder von seinem Wohnzimmer aus grossen Schaden anrichten.
Fachleute warnen schon seit Monaten, dass es für Angreifer leichter wird, Attacken dieser Art durchzuführen. Ins Visier gerieten bisher vor allem Unternehmen. Gleich mehrere Schweizer Internetshops wurden im vergangenen Frühjahr bei einem gross angelegten Angriff lahmgelegt. Manche der Betroffenen erhielten Drohschreiben einer Hacker-Gruppe: Wer nicht Schutzgeld bezahle, müsse mit massiven Angriffen auf seine Server rechnen.
Eher selten sind DDoS-Attacken aus rein politischen Motiven, erst recht mit Schweizer Urheberschaft. Die Init7 AG hat einen mutmasslichen Neonazi als Täter ausgemacht. Noch während die Attacke gegen die Antifa Bern lief, bekannte sich der Mann auf Twitter dazu. Gleichzeitig attackierte er auch die Website von Hans Stutz. Der Luzerner Kantonsrat der Grünen befasst sich journalistisch seit Jahrzehnten mit der rechtsextremen Szene.
Der Angreifer hat viel Geld für die Miete eines Botnets ausgegeben, vermutet die Inti7 AG. Das Unternehmen kennt E-Mail-Adressen des Angreifers. «Für einmal bestehen wohl gute Chancen, den Täter dingfest zu machen», sagt Firmenchef Fredy Künzler. Oft ist es kaum möglich, den Urheber zu finden. Zu unübersichtlich sind die Wege der beteiligten Computer. Und nicht selten stammen die Urheber aus dem Ausland. Künzler geht es um das Grundsätzliche, wenn er sagt: «Das Internet ist kein rechtsfreier Raum.» Als Internetprovider könne man nicht tolerieren, dass Kunden mit DDoS-Attacken wirtschaftlich geschädigt oder aus politischen Motiven zensiert werden.
Deshalb geht das Unternehmen nun in die Offensive. Zum einen informiert es für einen Provider ungewohnt transparent über den Vorfall. Zum anderen hat es den Zürcher Internetrechtler Simon Schlauri eingeschaltet. Der Rechtsanwalt und Titularprofessor hat eine Strafanzeige gegen unbekannt eingereicht. Die Vorwürfe lauten auf Datenbeschädigung und Nötigung.
Für Schlauri ist klar: «Es lohnt sich, gegen Attacken vorzugehen.» In der Schweiz sei die rechtliche Handhabe dazu vorhanden. Tatsächlich ist eine Datenbeschädigung laut Gesetz selbst dann gegeben, wenn Daten durch einen Angriff über eine gewisse Zeit nicht verfügbar sind.
Die Meldestelle für Internetsicherheit (Melani) des Bundes schützt kritische Infrastrukturen vor Cyberangriffen. Seit Anfang 2016 beobachtet sie eine deutliche Zunahme an DDoS-Attacken, bestätigt Melani-Vizechef Max Klaus gegenüber der «Aargauer Zeitung».
Die Fachstelle spricht von einem «riesigen Tummelfeld von Angreifern mit unterschiedlichsten Fähigkeiten». Genutzt werde dieses für Erpressungen ebenso wie für politischen Aktivismus, sagt Klaus. «Jeder kann sich heute quasi ohne grossen Aufwand eine DDoS-Attacke erkaufen.»
Hierzulande besteht keine Meldepflicht für Cyberangriffe. Die Dunkelziffer dürfte hoch sein. Gerade Provider behielten entsprechende Vorfälle lieber für sich, sagt der Geschäftsführer eines Providers, der nicht namentlich genannt werden will. «Es herrscht die Meinung vor, dass DDoS-Attacken ohnehin nicht ernsthaft verfolgt werden.» Zudem bestünde bisweilen kein Interesse daran, dass Vorfälle öffentlich werden.
Die Verfolgung von entsprechenden Delikten obliegt den kantonalen Strafverfolgern. Allerdings verfügen nur die Zürcher Behörden über ein Cybercrime-Kompetenzzentrum. In anderen Kantonen befinden sich solche Abteilungen bestenfalls im Aufbau, oft können Strafanzeigen wegen Ressourcenmangels gar nicht ernsthaft bearbeitet werden. Spezialisten sind rar. Regelmässig werden Forderungen laut, die Ermittlungen zumindest auf regionaler Ebene zu zentralisieren. Eine Arbeitsgruppe der Schweizerischen Staatsanwälte-Konferenz arbeitet seit Jahren an einer gemeinsamen Strategie – bislang ohne nennenswerte Ergebnisse.
Max Klaus von Melani kennt das Problem. «Das Bewusstsein für Cyberkriminalität ist bei den kantonalen Behörden noch nicht flächendeckend vorhanden», sagt er. Gerade deshalb raten die Experten des Bundes, DDoS-Attacken auf jeden Fall bei der zuständigen Kantonspolizei anzuzeigen. Nur so könne auch politischer Druck erzeugt werden.
Als Firma mit Sitz in Winterthur hat die Init7 AG also Glück, wenn man so will: Das Zürcher Cybercrime-Kompetenzzentrum wird in ihrem Fall ermitteln.