Hacker erpressen Schweizer mit angeblichen Pornos

Illustration: Mario Wagner

Der Cybergangster kommt gleich zur Sache: «Ich kenne Ihr geheimes Passwort», steht in seiner ­E-Mail, verfasst auf Englisch, «Sie aber haben keine Ahnung, wer ich bin. Vielleicht möchten Sie wissen, warum ich Sie aus dem Blauen heraus anschreibe?» Die Frage beantwortet der Gangster gleich selber: «Weil ich Sie erpresse!»

Der anonyme Verfasser des elektronischen Erpresserbriefs behauptet, genau zu wissen, wie viel Zeit der Empfänger der Nachricht auf Porno-Websites verbringe. Ein Keylogger, eine Software zur Protokollierung von Tastatureingaben, habe E-Mail- und Facebook-Passwörter des Opfers aufgezeichnet. Als Beweis wird das persönliche Passwort mitgeliefert.

Gleichzeitig, so der Erpresser weiter, sei die Webcam des Nutzers gekapert worden, um alles filmisch zu dokumentieren. Die ­E-Mail schliesst mit der Forderung, innert zweier Tage Bitcoins im Wert von 1000 US-Dollar auf ein anonymes Digitalkonto einzuzahlen. «Ansonsten», droht der Erpresser, «werde ich das Video an alle Ihre Onlinekontakte senden. Stellen Sie sich die Demütigung vor.»

Aufgepasst: Es kursieren vermehrt betrügerische Mails. (Symbolbild) Bild: Getty Images

Das Erpresserschreiben wurde in diesen Tagen an Tausende Schweizer verschickt. Die Melani (Melde- und Analysestelle Informationssicherung des Bundes) bestätigt die Häufung sogenannter Cyber-Sextortion.

Das Beunruhigende an diesen Mails: Das jeweils mitgelieferte Passwort stimmt. In vielen Fällen ist es zwar veraltet. Aber die meisten Nutzer haben, wie von ihrem Erpresser behauptet, zu irgendeinem Zeitpunkt ein Internetkonto mit dem gelieferten Geheimcode geführt. Diese Zeitung weiss von mindestens zehn Fällen, in denen das zutrifft.

Die Daten finden die Erpresser in Hackerforen im Darknet

«Wie um Himmels willen sind die Hacker an mein Passwort gelangt?» – «Gibt es Videos davon, wie ich Pornos schaue?» Diese beiden Fragen beschäftigen aktuell etliche Schweizerinnen und Schweizer, die die Erpressernachrichten erhalten haben. Einige waren so besorgt, dass sie den Zahlungsforderungen nachgekommen sind. Die Bilanzen der Bitcoin-Konten sind öffentlich einsehbar und betragen aktuell einige 10'000 US-Dollar.

Die gute Nachricht: Es ist höchst unwahrscheinlich, dass Hacker tatsächlich eine Bibliothek mit Videos von Porno schauenden Schweizern angelegt haben. Die schlechte Nachricht: Die Cyberkriminellen haben die Nutzernamen und Passwörter wohl in Hacker­foren im Darknet gefunden.

Das wirft das Schlaglicht auf ein ungelöstes Problem der digitalen Wirtschaft: Webshops, Hotelbuchungs-Sites, Social-Media-Plattformen behaupten alle, Log-ins, Passwörter oder Kreditkartennummern seien bei ihnen bestens aufgehoben. Ein Blick in einschlägige Hackerforen im Darknet zeigt aber, dass das Gegenteil der Fall ist: Der Handel mit kompromittierten Nutzerdaten floriert unter Cyberkriminellen wie nie zuvor.

In einschlägigen Hackerforen im Internet ist alles zu finden: von Apple-Nutzerdaten bis zu Kundenkarteien der Nationalbank von Katar.
Foto vergrössern

Das ist auch das Ergebnis einer Auswertung durch die Lucy Security AG. Das Zürcher Sicherheitsunternehmen ist darauf spezialisiert, das Deepweb, das Darknet und das offene Internet nach gehackten Internetkonten zu durchforsten. Die Daten aggregiert Lucy Security in circa 70 Foren und Online-Marktplätzen.

Im Auftrag der SonntagsZeitung hat die Firma ihre Datenbank nach Personen durchsucht, die in der Bundesverwaltung, in bundesnahen Betrieben oder Organisationen und Universitäten arbeiten; nach E-Mails, die auf admin.ch oder auf ruag.com enden, die Waffenfirma, die dem Bund gehört.

Zusammengekommen ist eine Liste mit über 15'000 Konten — also 15'000 Fälle, in denen Geschäfts-E-Mails für private Zwecke verwendet wurden und deren Log-ins und Passwörter geleakt sind. Die Konten gehören unter anderem Mitarbeitern des Bundesgerichts oder hochrangigen Ermittlern des Bundesamts für Polizei.

Am meisten Hacks zählt ein Universitätsprofessor, von dem man mehr Vorsicht erwarten könnte. Sein Spezialgebiet: Informationsmanagement. Aus den Daten lässt sich nachvollziehen, dass sich der Professor für Luxus-Motorräder aus den USA interessiert, dass er Mitglied der Philharmonischen Gesellschaft Ostfestwalen-Lippe ist oder offenbar gerne in Val De Mouthe im französischen Jura Ferien macht. Für alle seine Konten verwendet er ein Passwort mit 32 Zeichen – immer dasselbe.

Besonders betroffen sind Fedpol- und Ruag-Mitarbeiter

Für einen Hacker könnten diese Informationen äusserst nützlich sein. Zum Beispiel dann, wenn er an Forschungsarbeiten der Universität gelangen will, die nicht für die Öffentlichkeit bestimmt sind. Vielleicht verwendet der Professor auch für das interne Netz der Universität dasselbe Passwort. Vielleicht lässt sich die Website der Philharmonischen Gesellschaft manipulieren, um beim nächsten Web-Besuch des Professors dessen Computer zu infiltrieren.

In den Daten finden sich auch Personen, die Zugang zu staatsrelevanten Informationen haben. Darunter sind Gerichtsschreiber des Bundesgerichts oder Mitarbeiter der Bundesanwaltschaft. Das Bundesgericht sagt auf Anfrage, ihm sei bewusst, dass Mitarbeiter die Geschäfts-E-Mail für private Zwecke eingesetzt hätten. Es habe entsprechend reagiert.

Auffällig ist, wie viele Mitarbeiter des Bundesamts für Polizei (Fedpol) betroffen sind. Insgesamt 42 Personen, darunter auch Kadermitglieder und führende Ermittlungsbehörden. Das Fedpol bat diese Zeitung, keine Namen zu nennen, und wies darauf hin, dass es Mitarbeiter anweise, für die private Web-Nutzung die geschäftliche E-Mail nicht zu verwenden.

Machen Sie sich immer wieder bewusst: Personen sind möglicherweise nicht die, für die sie sich im Internet ausgeben. Wenn Sie Opfer von #Sextortion werden, brechen Sie den Chat ab und erstatten Sie Anzeige. Erpressung im Internet ist ein #Verbrechen. https://t.co/pglXM8Ynnm https://t.co/q8jQnkai5P

— fedpol (@fedpolCH) 3. August 2018

Eine besonders hohe Dichte von Personen, die in den Daten vertreten sind, ist beim Waffenkonzern Ruag festzustellen. Die Firma gehört dem Bund. 324 der 15'000 ermittelten kompromittierten Konten gehören Ruag-Mitarbeitern, darunter sind auch Mitglieder der Konzernleitung und des Verwaltungsrates. Hochgerechnet auf alle 8000 Mitarbeiter der Firma, heisst das: Von jedem zwanzigsten Ruag-Angestellten wurde ein privates Internetkonto gehackt, das mit der Geschäfts-E-Mail verknüpft war.

Gut möglich, dass diese Konten beim bisher grössten Schweizer Fall von Cyberspionage eine Rolle gespielt haben. 2016 wurde bekannt, dass die Waffenfirma Ruag über Jahre von Cyberkriminellen ausspioniert worden war. Bis heute ist unklar, wie die Angreifer, angeblich aus Russland, ins IT-System des Unternehmens und teilweise auch ins System des Bundes vorgedrungen sind. Die Melani stellte in ihrem Schlussbericht zur Attacke fest, dass sich die Angreifer gezielt Mitarbeiter ausgesucht hatten, um anzugreifen.

Geschäftliche E-Mail nicht für private Zwecke benutzen

Die Ruag bedankte sich für die Information über die Konten. Sie will erst Stellung nehmen, nachdem sie vom Bund informiert worden ist. Das wird in den kommenden Wochen geschehen. Diese Zeitung hat die Daten verschlüsselt an die zuständige Bundesstelle übermittelt, das Computersicherheits-Ereignis- und -Reaktionsteam, kurz Govcert.

Unverständlich ist, dass Mitglieder von bundesnahen Organisationen nicht schon längst eingetrichtert worden ist, die geschäftliche E-Mail nicht für private Zwecke im Internet zu verwenden. Die Melani schreibt, es gelte in der Bundesverwaltung zwar ein solcher Grundsatz. Nur für die Durchsetzung fühlt sich offenbar niemand verantwortlich. Die Melani sagt: «Deren Einhaltung liegt in der Verantwortung der Departemente und Verwaltungseinheiten.»

In ihrem Erpresser­schreiben drohen die Hacker, belastende Pornovideos erst zu löschen, wenn sie 1000 US-Dollar erhalten haben.

Die Gegenseite ist da wesentlich professioneller organisiert. Das zeigt ein Blick in zwei der aktivsten Hackerforen: Raidforums.com, in Panama registriert, und Lolznet, in China registriert. Die Drahtzieher beider Foren werden in Russland vermutet. Nachprüfen lässt sich das allerdings nicht. Sowohl in Panama als auch in China ist es möglich, Web-Domains anonym zu registrieren.

Bevor der Handel auf den Web-Plattformen beginnt, müssen sich Neumitglieder das Vertrauen der Community erarbeiten. Für Chats mit langjährigen Mitgliedern gibt es zum Beispiel Punkte, oder es wird Hackerwissen abgefragt. Nur wer genügend Punkte gesammelt hat, erhält Zugang zu sensitiven Daten. Für kürzlich gestohlene und besonders wertvolle Daten, etwa Patientendaten, werden in den Foren oft mehrere 100'000 Franken verlangt. Je älter ein Datensatz, desto grösser die Chancen, dass der Inhalt veraltet ist, und desto weniger wert ist er. Viele Datensätze sind nach einer Weile umsonst zu haben.

Die kreativsten Hacker wissen allerdings selbst mit alten Daten etwas anzufangen. Wie der Verfasser der eingangs erwähnten Erpresser-E-Mails. Das Risiko, erwischt zu werden, geht gegen null. Zuerst müsste ein Betroffener klagen; die Kantonspolizei müsste den Kriminellen identifizieren; und wenn der in Russland sässe, wäre selbst eine gelungene Ermittlungsarbeit für die Katz gewesen. Russland weigert sich, Cyberkriminelle an Drittstaaten auszuliefern.

Erstellt: 04.08.2018, 21:07 Uhr