"No-Name-Crew" wird abgewickelt

Erst durch Journalisten erfuhr das Bundesamt für Sicherheit in der Informationstechnik vom Einbruch auf Server des Zollfahndungsdiensts, erklärt die Bundesregierung jetzt kleinlaut

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Am 7. Juli 2011 ging beim Hamburger Abendblatt ein Schreiben einer "No-Name-Crew" ein, das ein Leaking brisanter Dateien eines "Paip-Tracking-Servers" ( PATRAS) ankündigte.

Mittels zweier dieser PATRAS-Server stellt der Zollfahndungsdienst die Standorte seiner "Zielverfolgungseinheiten" fest und stellt sie mittels Software grafisch dar. Die "No-Name-Crew", die zuvor bereits NPD-Server gehackt hatte, veröffentlichte kurz darauf Softwarepakete, Gebrauchsanweisungen und Einsatzdaten des sogenannten "Zielverfolgungssystems". Zugänglich waren anonyme GPS-Tracking-Daten, Anwahlnummern eingesetzter Peilsender, Verzeichnisnamen sowie sachbearbeitende Dienststellen. Die Verbreitung der Daten wurde mit dem aus dem Lot geratenen "Gleichgewicht zwischen Sicherheit und Freiheit" begründet:

"Vorratsdatenspeicherung. Telekommunikationsüberwachung. Online-Durchsuchungen. Erweiterte Rasterfahndung. Großer Lauschangriff. Speicherung aller Fingerabdrücke. Biometrische Passdaten. Nutzung der Mautdaten. Die automatische Erfassung von Autokennzeichen. Fluggastdatenspeicherung, Briefkontrollen, Geruchskontrollen, Verwanzung von Wohnungen, Zensus2011 – so schränkt der Staat die Freiheits- und Bürgerrechte immer weiter ein. Jedoch haben wir alle etwas zu verbergen, wir sind weder Terroristen, noch geht es unseren Staat etwas an, wie wir leben. " (No-Name-Crew)

Die jetzt vorliegende Antwort der Bundesregierung auf eine Kleine Anfrage zu "Datensicherheit und Datenschutz bei Zoll und Bundespolizei" dokumentiert, wie leicht Behördenrechner zur von der "No-Name-Crew" geforderten Transparenz genötigt werden konnten: Demnach wurde das Hintertürchen durch einen "automatischen softwarebasierten Scan auf definierte Schwachstellen des Datenbankadministrationssystems ausfindig gemacht". Gefunden wurde eine Sicherheitslücke in der Anwendung "phpMyAdmin". Hierfür seien "lediglich durchschnittliche Fähigkeiten ausreichend" gewesen. Angeblich habe die "No-Name-Crew" das Schlupfloch nicht selbst gefunden, sondern dieses "für eigene Zwecke (Erhöhung des Bekanntheitsgrades)" ausgenutzt, nachdem sie von "Dritten" darauf hingewiesen worden waren.

Der Einbruch scheint durch die Indiskretion eines Bundespolizisten begünstigt worden zu sein, der sich dienstliche Mails entgegen einer Dienstanweisung auf seinen privaten Rechner schickte. Dieser wiederum wurde von den Hackern später "kompromittiert" und mitgelesen, wobei ihnen auch "lokal begrenzte Dienststelleninformationen (Organisationspläne, Dienstanweisungen, Formulare)" in die Hände fielen.

Das Landeskriminalamt Nordrhein-Westfalen hatte im August bundesweite Durchsuchungen gegen angebliche "führende Mitglieder" der "No-Name-Crew" angezettelt, die auch in Bayern, Rheinland-Pfalz, Niedersachsen und Sachsen ausgeführt wurden. Mindestens zwei der acht Festgenommenen hatten danach Geständnisse abgelegt und sogar Passwörter verschlüsselter Daten verraten, nachdem sie mit der Beschuldigung einer "besonders schweren Computersabotage" konfrontiert wurden.

Die beschlagnahmten Rechner, Speichermedien und Mobiltelefone werden jetzt vom Bundesamt für die Sicherheit in der Informationstechnik ausgewertet. Das Landeskriminalamt Nordrhein-Westfalen hatte angeblich eine zehnköpfige Task Force aus IT-Spezialisten und Ermittlern zusammengestellt. Eilig wurde auch das neue "Nationale Cyber-Abwehrzentrum" (Cyber-AZ) eingeschaltet, das aber angeblich nur "alle verfügbaren Informationen über den Vorfall und die Hackergruppe 'No-Name-Crew' zusammengetragen und diese den beteiligten Behörden zur Verfügung gestellt" habe.

"Teils überdurchschnittliche Fähigkeiten"

Die Bundesregierung attestiert der "No-Name-Crew" zwar "teils überdurchschnittliche Fähigkeiten", bezichtigt sie allerdings auch als Aufschneider: Die Behauptung, dass ein Jahr lang der Netzwerkverkehr des Bundeskriminalamts (BKA), der Bundespolizei und des Zolls mitgeschnitten worden wäre, sei "unzutreffend". Im Gegenteil habe das BKA keine Zwischenfälle gemeldet, "bei denen sicherheitsrelevante und/oder personenbezogene Daten und Informationen für den Zugriff unbefugter Dritter offen standen". Indes erklärt die Bundesregierung selbst, dass die betreffenden Server "erstmalig am 8. September 2010 kompromittiert" wurden.

Ermittelt wird jetzt vom Bundeskriminalamt und dem Zollkriminalamt. Die zuständige Staatsanwaltschaft Karlsruhe hatte das Ermittlungsverfahren an die Staatsanwaltschaft Würzburg abgegeben, ein zusätzliches Verfahren wurde in Detmold und Köln Staatsanwaltschaft eröffnet. Untersucht wird sowohl der Einbruch beim Zoll und der Bundespolizei wie auch das vorhergehende Ausschnüffeln der Schwachstelle und deren Weitergabe an die "No-Name-Crew". Die Staatsanwaltschaft Köln ermittelt darüber hinaus "weitere durch die 'No-Name-Crew' begangene Straftaten". Ermittlungsergebnisse landen auf den Schreibtischen des Bundesinnenministeriums und des Finanzministeriums.

Laufende Ermittlungen von Zoll oder Bundespolizei seien durch die Indiskretion der "No-Name-Crew" nicht gefährdet und müssen nicht abgebrochen werden, beschwichtigt die Bundesregierung. Weil allerdings alle eingesetzten "PATRAS-Zielverfolgungssysteme" vorsorglich abgeschaltet wurden, können Observationen derzeit nur mit "höherem Aufwand weitergeführt werden".

Weitere Angriffe oder Leaks der "No-Name-Crew" hatte es trotz Ankündigung nicht gegeben, die Webseite der Gruppe ist offline. In einem Interview erklärte eines der Mitglieder vor den damals drohenden weiteren Festnahmen: "Wenn es passiert, ist es halt so. Wir glauben der Großteil von uns kann mit den Konsequenzen leben. Und wenn wir nur etwas verändern konnten in dem Bereich, haben wir unsere Ziele schon erreicht."