Auf dem Campus der Universität des Saarlandes kennen ihn viele. Er ist Forscher und Dozent im Fach Informatik. Doch was nur wenige wissen: Er hat für das Federal Bureau of Investigation (FBI ) - den US-amerikanischen Inlandsgeheimdienst - gearbeitet. Zusammen mit dem FBI hat der Saarbrücker IT-Wissenschaftler russische und ukrainische Cyberkriminelle auffliegen lassen, die rund 100 Millionen US-Dollar von amerikanischen Banken gestohlen haben. Aus Gründen der Sicherheit zieht es der IT-Forscher vor, dass sein Name nicht öffentlich bekannt gemacht wird. In diesem Text wird er schlicht "John Doe" genannt.

Der Saarbrücker Informatiker forscht seit mehreren Jahren an sogenannten Botnetzen. Das sind viele verschiedene Computer privater Nutzer (Bots), die durch eine Schadsoftware unbemerkt miteinander kommunizieren können, erklärt der Informatiker. In der Regel sind alle infizierten Computer mit einem gemeinsamen Server verbunden, den ein Hacker steuert und über den er Befehle an die anderen Computer weitergeben kann. Solche Botnetzwerke werden zentralisierte Botnetze genannt. Um sie auszuschalten, muss nur der Server des Hackers gefunden und abgeschaltet werden - für Experten keine schwere Aufgabe. Woran der Saarbrücker FBI-Helfer intensiv forscht, sind sogenannte dezentrale Botnetze. Die besitzen keinen zentralen Server, der sich einfach abschalten lässt. Um diese Netzwerke zu zerschlagen, muss jeder einzelne infizierte PC isoliert und vom Rest des Botnetzes abgetrennt werden.

Die Technik, mit der das gelingt, hat "John Doe" im Jahr 2013 in den USA vorgestellt. "Um ein dezentrales Botnetzwerk anzugreifen, müssen wir erst die dafür verwendete Software verstehen", erklärt der Forscher der Saar-Uni. Da die Hacker aber nicht einfach verraten, wie ihre Programme aufgebaut sind, müssen die Informatiker die Schadsoftware Programmzeile für Programmzeile rekonstruieren - eine Arbeit die Monate in Anspruch nimmt. Ist diese Aufgabe geschafft, muss jeder einzelne infizierte Computer aufgespürt werden. "Dafür brauchen wir einen PC aus dem Netzwerk. Der verrät uns, mit welchen anderen Computern er in Verbindung steht", erläutert der IT-Experte. Auf diese Weise können sich die Wissenschaftler von PC zu PC durch das gesamte Netzwerk durcharbeiten.

"Als der wissenschaftliche Artikel dazu veröffentlich war, wurden wir vom FBI angesprochen", sagt "John Doe". Die US-Agenten beobachteten seit 2011 ein dezentrales Botnetzwerk russischer und ukrainischer Hacker , Gameover-Zeus genannt. Das Netzwerk bestand aus weit über 100 000 Rechnern weltweit. Auf allen konnten durch die Schadsoftware Bankgeschäfte von Nutzern manipuliert und das Geld unzähliger Konten auf die der Cyberkriminellen umgeleitet werden. "John Doe" und Kollegen von der Freien Universität Amsterdam sowie Mitarbeiter der Sicherheitsfirmen Crowd-strike und Dell Secureworks erhielten vom FBI den Auftrag dieses Netzwerk zu zerschlagen. Zwei der Forscher flogen im Mai diesen Jahres in die USA, um von dort aus mit dem FBI den Angriff auf Gameover-Zeus zu koordinieren. "Wir analysierten das Schadprogramm und identifizierten die Rechner im Botnetzwerk", so Doe. Während die IT-Forscher das Schadprogramm untersuchten, änderten die Hacker allerdings immer wieder ihre Software. "Fast täglich kamen neue Updates von den Hackern", sagt Doe. Deshalb passten er und seine Kollegen ihre Angriffs-Strategien ständig an: "Wir mussten rund 20 verschiedene Programmversionen analysieren, bis wir bereit für den Angriff waren."

Als dieser bevorstand, erhielten die IT-Forscher Unterstützung durch FBI-Agenten, die außerhalb des Internets Jagd auf die Hacker machten. Gleichzeitig mit dem Angriff hatten auch Entwickler von Antivirenprogrammen damit begonnen, Schutzsoftware zu entwickeln, die Gameover-Zeus von infizierten Computern entfernt und nicht betroffene Rechner davor schützt. "Außerdem bekamen die Anbieter von Internetzugängen eine Liste ihrer betroffenen Kunden, um sie über die Infektion ihres Computers zu informieren", erklärt der Informatiker der Saar-Uni.

Nach zwei Wochen konnte das riesige Netzwerk vollständig aufgedeckt und zerschlagen werden, sagt "John Doe". Die Kriminellen hinter dem Botnetz wurden ebenfalls ausgemacht. Auch der Kopf der Hackerbande wurde von den amerikanischen Behörden identifiziert. Der russische Hacker Evgeniy Bogachev ist von der US-amerikanischen Staatsanwaltschaft in Pittsburgh für die digitalen Raubzüge angeklagt worden. Laut der Staatsanwaltschaft befindet er sich allerdings in Russland oder der Ukraine auf freiem Fuß.

Zum Thema:

Auf einen BlickEinen effektiven Schutz gegen digitalen Bankraub bieten heute optische Chip-TAN-Generatoren. Dabei wird bei einer Online-Überweisung die EC-Karte in ein Lesegerät gesteckt, das einen blinkenden Strichcode auf dem Bildschirm abliest und daraus eine sogenannte Transaktionsnummer erstellt. Diese muss auf der Internetseite der Bank eingegeben werden, um die Überweisung vornehmen zu können. Die Experten der Saar-Uni erklären, dieses System sei sicher. Allerdings sollten Nutzer grundsätzlich die eingegebene Kontonummer, Bankleitzahl und den Betrag genau überprüfen, bevor sie die Überweisung bestätigen. Auch das mobileTAN-Verfahren, bei dem eine Transaktionsnummer per SMS an den Nutzer gesendet wird, bewerten die IT-Forscher als unbedenklich. Allerdings nur, wenn das Handy, auf dem die SMS empfangen wird, über keinerlei Internetverbindungen verfügt - kritisch sind also Smartphones, da diese ständig mit dem Internet verbunden sind. Neben sicheren Transaktionsverfahren, empfehlen Experten außerdem, immer ein Antivirenprogramm zu verwenden und keine Datei-Anhänge oder Links aus unbekannten E-Mails zu öffnen. flom