Internationale Bande von Online-Banking-Hackern gesprengt

29. Oktober 2010 | Themenbereich: Kriminalität | Drucken

Es ist eines der umfangreichsten Ermittlungsverfahren gegen Verbreiter von Schadsoftware und Online-Betrüger, das es bislang in Deutschland gegeben hat. Einer gemeinsamen Ermittlungskommission der Landeskriminalämter Baden-Württemberg und Nordrhein-Westfalen unter dem Namen „Katusha“ ist es im Auftrag der Staatsanwaltschaft Stuttgart, Abteilung Organisierte Kriminalität, gelungen, die Hintermänner einer international agierenden Gruppierung, die im großen Stil Online-Banking-Transaktionen manipuliert haben sollen, zu ermitteln. Die Ermittlungen erfolgten in enger Kooperation mit den estnischen und britischen Strafverfolgungsbehörden, die nach Hinweisen der deutschen Behörden ihrerseits Ermittlungen gegen dort wohnhafte Verdächtige einleiteten und damit wesentlich zur Zerschlagung der Gruppierung beitrugen.

Die Haupttäter sollen über 260 manipulierte Überweisungen in Höhe von mindestens 1,65 Millionen Euro ins In- und Ausland getätigt haben. Zuvor wurden durch die Verdächtigen Echtzeit-Trojaner auf den PCs der Betroffenen installiert, um Online-Bankgeschäfte zu manipulieren. „Gegen diese Masche der Hacker hatten die betroffenen Bankkunden kaum eine Chance. Der Ermittlungserfolg beweist, dass länderübergreifende Kooperationen der richtige Weg sind, um auch international agierenden Straftätern das Handwerk zu legen“, stellt Klaus Hiller, Präsident des Landeskriminalamtes Baden-Württemberg, fest.

Durch umfangreiche Überwachungsmaßnahmen sowie durch Auswertung von Servern und Kommunikation zwischen den Tatverdächtigen ist es der Ermittlungskommission zudem gelungen, rund 470 so genannte Finanzagenten zu ermitteln. Diese Finanzagenten haben sich bei von den Hauptverdächtigen betriebenen fiktiven Firmen als „Finanzmanager“ beworben. Sie haben dann bei unterschiedlichen Banken Konten eröffnet, um eingehende Gelder abzuheben und an bestimmte Personen weiterzuleiten. Gegen sie wurden deshalb Strafverfahren wegen Verdachts der Geldwäsche eingeleitet.

„Neben der Ermittlung von Strukturen und Straftätern verfolgten wir von Beginn an auch präventive Ziele. Durch fortgeschrittene Ermittlungsmethoden gelang es uns, finanzielle Schäden in Höhe von 1,2 Millionen Euro von den betroffenen Bürgern abzuwenden und den Tätern die Gewinne zu entziehen, noch bevor diese realisiert werden konnten. Wir waren den Tätern immer einen Schritt voraus“, berichtet Wolfgang Gatzke, Direktor des Landeskriminalamtes Nordrhein-Westfalen. Denn sobald neue Erkenntnisse zu ausgespähten Kunden oder neue Konten festgestellt wurden, teilte die EG „Katusha“ diese – teilweise mehrfach täglich – den Banken mit. Diese hatten damit die Möglichkeit, bereits erfolgte missbräuchliche Überweisungen zurückzubuchen, Konten von Finanzagenten schon vor dem Eintritt eines Schadens zu sperren oder Konten von ausgespähten Bürgern bereits im Vorfeld gegen missbräuchliche Überweisungen zu sichern.

Die Infektion der Kunden-PCs erfolgte sowohl über manipulierte PDF-Dateien als auch über so genannte Drive-by-Infections. Dabei werden PCs über Schwachstellen des Browsers angegriffen, wenn ein Nutzer beim Surfen im Internet auf manipulierte Webseiten gelangt. Das Aufrufen der manipulierten Seite reicht bereits aus, um den PC zu infizieren. Da die Täter die Schadsoftware ständig aktualisiert und verändert haben, wurde diese selbst von aktueller Antiviren-Software häufig nicht erkannt. Der Trojaner nistete sich auf den infizierten PC als so genannter „Man in the Browser“ ein. Sobald ein Geschädigter eine Onlinebanking-Sitzung begonnen hatte, wurde der Trojaner aktiv. Nachdem der Kunde eine Überweisung geschrieben hatte und zur Eingabe einer i-TAN aufgefordert wurde, veränderte der Trojaner Betrag, Saldo, Verwendungszweck sowie die Empfängerdaten. Der Kontoinhaber konnte dies nicht erkennen. Erst dann wurde die Überweisung mit der angeforderten i-TAN an die Bank übermittelt. Auch wenn der geschädigte Bürger die Kontoübersichtsseite betrachtet hat, blieb ihm die missbräuchliche Überweisung verborgen, da auch diese Seite vom Trojaner manipuliert wurde. So war für die Geschädigten die missbräuchliche Überweisung erst auf dem Papierkontoauszug erkennbar.

Im Lauf der Ermittlungen wurden weltweit rund 2,5 Millionen, davon rund 400.000 in Deutschland, derart infizierte PC-Systeme festgestellt. Es wird daher dringend zur Eigenvorsorge geraten, Hilfestellung ist beispielsweise im Rahmen der Anti-Botnet-Kampage des BSI und des ECO-Verbandes unter www.botfrei.de zu erhalten.

Bei den hauptverdächtigen Hackern handelt es sich um zwei deutsche, einen britischen und fünf estnische Staatsbürger. Sieben mutmaßliche Hintermänner befinden sich wegen des Verdachts des gewerbs- und bandenmäßigen Computerbetrugs, des Ausspähens von Daten, Datenveränderung und Computersabotage in Untersuchungshaft. Im Zuge der Ermittlungen wurden bereits am 03. August 2010 vier Wohnungen in Deutschland (drei in Hessen, eine in Nordrhein-Westfalen) und fünf Wohnungen in Estland sowie Mitte Oktober eine Wohnung in London durchsucht.
Dabei wurden EDV-Daten / -Geräte und schriftliche Aufzeichnungen sichergestellt, die den Verdacht erhärten. Die Staatsanwaltschaft Stuttgart betreibt die Auslieferung von vier Tatverdächtigen aus Estland.

Ausgangspunkt der Ermittlungen war die Strafanzeige eines geschädigten Bürgers im Landkreis Esslingen. Die Auswertung seines PCs durch die Polizeidiektion Esslingen hatte erste Hinweise auf die von den Tatverdächtigen verwendeten Server ergeben.