DDoS-Angriffe aus EinsamkeitEine Geschichte ungehörter Hilferufe

Zwei junge Männer aus Deutschland sollen DDoS-Attacken verübt und einen Millionenschaden verursacht haben. Einer war erst 16 Jahre alt. Seine Geschichte begann in der Klötzchenwelt von Minecraft, Warnsignale gab es viele.

Auch die Website und das Online-Banking der Deutschen Kreditbank legten die Angreifer teilweise lahm.
Während der Angriffe fiel unter anderem die Website der Deutschen Kreditbank aus, auch das Online-Banking war betroffen. – Daniel Laufer | Bearbeitung: netzpolitik.org

Schon sein Name ist blanker Hohn. Auf Twitter nennt er sich Naifu911. Wie das Messer auf Japanisch, wie der Notruf in den USA. „Seit fünf Stunden haben sie es bisher nicht geschafft, den Angriff zu unterbinden“, schreibt er. „Schwache Leistung.“

Es ist der 7. Januar 2020 und der Angreifer verspottet sein Opfer. Über die Deutsche Kreditbank (DKB) prasselt zu jenem Zeitpunkt eine sogenannte Distributed-Denial-of-Service-Attacke (DDoS) herab. Die Website der Bank ist zum Teil nicht erreichbar, damit auch das Online-Banking. Für die rund vier Millionen Kund:innen der Bank ist dies ein Ärgernis, für die DKB selbst eine Katastrophe.

Fünf Monate werden vergehen, bis herauskommt, wer hinter den Angriffen stecken soll. Vergangene Woche vermelden die Sicherheitsbehörden einen Erfolg. Sie durchsuchen die Wohnungen eines 16-Jährigen im niedersächsischen Soltau und eines 20-Jährigen im Schwarzwald. Dem Duo werfen sie vor, für eine ganze Serie solcher Vorfälle verantwortlich zu sein.

Nach Recherchen von netzpolitik.org hat dabei womöglich vor allem der Jüngere der beiden die tragende Rolle gespielt, offenbar auch nicht zum ersten Mal. Bei ihm handelt es sich wohl um die Person, die unter dem Pseudonym Naifu auftrat. Nur: Was könnte das Duo dazu gebracht haben, an diesem Dienstagabend eine Bank zu attackieren?

Genau genommen gilt der Angriff dem Finanz Informatik Technologie Service, einem Unternehmen der Sparkassen-Gruppe. Es betreut die DKB als Dienstleister. Die Firma ergreift Maßnahmen, sie leitet den Datenverkehr um, schaltet Dienste dazwischen, die die Attacken eindämmen sollen.

Besucher:innen der Website werden durch Server von Drittanbietern geschleust, die einen DDoS-Schutz versprechen. Sie tragen Namen großer Firmen aus dem Bereich der IT-Sicherheit, SecurityDAM, Radware oder Cloudflare. Aber der damals noch anonyme Angreifer Naifu zeigt sich unbeeindruckt. „Solange man nicht weiß, wie man mit den Anbietern umgeht, wird das nichts“, lästert er auf Twitter.

Über Tage hinweg wird das Theater andauern und die DKB nur eingeschränkt erreichbar bleiben.

Tödliche Anfälle von Einsamkeit

Die Angreifer suchen sich derweil wohl ihr nächstes Ziel, jetzt trifft es den Telekommunikationsanbieter Freenet. Auch dessen Website hat mit der Last der Attacke zu kämpfen. Auf Twitter feiert Naifu seinen Erfolg. Ein Dienst, der Störungsmeldungen erfasst, dokumentiert diesen. „Mal schauen, ob ich die Sparkasse auch in die Top-10-Störungen der Woche bekomme“, schreibt er.

Naifu lädt ein Video hoch, das zeigt, wie er auch deren Informationsportal aus dem Netz befördert, es ist ein Vorher-Nachher-Vergleich. Im Hintergrund läuft japanische Musik, eine Frauenstimme besingt „tödliche Anfälle von Einsamkeit“.

Wer Naifu bei seinen Angriffen zusieht, wohnt einer Inszenierung bei. Sie wirkt wie eine melodramatische Machtdemonstration. So, als solle jeder sehen, wozu er, Naifu, in der Lage ist.

Eine große Kanone

Bei DDoS-Attacken werden Ziele mit so vielen Anfragen bombardiert, bis sie überlastet sind. Irgendwann ist schlichtweg die Leitung dicht. Mitunter stellen Angreifer:innen besonders rechenintensive Anfragen, die auch noch den Server selbst lahmlegen. In jedem Fall können Besucher:innen einer Website nicht mehr wie gewohnt auf diese zugreifen.

Wer solche Attacken ausführen will, muss üblicherweise eine große Zahl von ans Netz angeschlossenen Geräten kontrollieren. DDoS-Angriffe werden deshalb üblicherweise mithilfe sogenannter Botnetze verübt. Sie bestehen aus etlichen Geräten, die mit Schadsoftware infiziert sind und dadurch ferngesteuert werden können.

Anfang Januar ist offensichtlich, dass auch Naifu Zugang zu einem solchen Botnetz hat. Er nutzt es wie eine große Kanone, mit der er ein Ziel nach dem anderen abschießt. Wie groß diese Kanone ist, macht er noch einmal ein paar Tage später deutlich, als er eine weitere Bank attackiert. Er twittert: „Ich schaue dann mal bei Comdirect vorbei.“ Vier Minuten vergehen, dann geht auch zu dieser eine Flut an Störungsmeldungen ein.

Angriffe auf kritische Infrastruktur

Banken zählen zur sogenannten kritischen Infrastruktur. Dabei handelt es sich um Systeme, die für die Gesellschaft von wesentlicher Bedeutung sind. Da sie durch Angriffe aus dem Netz gefährdet sind, hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den „Krisenplan Cyber“ entwickelt, mit dem sie sich auf eine großangelegte Attacke vorbereitet.

„Noch hat es wenig Cyberangriffe gegeben, und die Banken haben sie gut überstanden“, ließ sich BaFin-Direktor Raimund Röseler kürzlich in einer Publikation seiner Behörde zitieren. „Aber die Bedrohung ist da. Und sie wächst.“ Fast 700 schwerwiegende Fälle sind nach Angaben der Aufsichtsbehörde seit 2018 bekannt geworden.

Auch die Sicherheitsbehörden nehmen Angriffe auf kritische Infrastruktur ernst. Wie ernst, das wird auch bald Naifu zu spüren bekommen. Mit seinen Taten soll er einen Millionenschaden verursacht haben. Insgesamt zwölf DDoS-Fälle in Deutschland bringt die Polizei mit ihm in Verbindung, sie ermittelt in fünf Bundesländern, auch das Bundeskriminalamt ist eingebunden.

Zusammen laufen die Fäden in Kiel. Dort hat das Landeskriminalamt (LKA) Schleswig-Holstein eigens die Ermittlungsgruppe „Welle“ gebildet. Sie wertet die Spuren aus, die der Angreifer hinterlassen hat. Sie verfolgt sie zurück. Sie steht am 16. Juni vor der Wohnungstür in Soltau.

In der Stadt, die eher für ihren Heide-Park bekannt ist, treffen die Ermittler:innen auf Naifu, den 16-Jährigen, der eigentlich M. heißt.

Ein Werk von Script-Kiddies?

Seinem mutmaßlichen Partner, dem 20-Jährigen, der in Calw lebt, wirft die Schwerpunkt-Staatsanwaltschaft „Cybercrime“ in Itzehoe vor, einen Command-and-Control-Server angemietet zu haben. Also den Computer, mit dem das Duo das Botnetz gesteuert haben soll. Bereits in der Vergangenheit sei er polizeilich in Erscheinung getreten, im Zusammenhang mit sogenanntem Computerbetrug.

Bei M. ist die Sache komplizierter. Erst bei Nachforschungen wird deutlich, dass diese Eskalation Anfang des Jahres nur der Höhepunkt einer Entwicklung zu sein scheint, die offenbar schon vor Jahren begann.

Naifus Geschichte ist nicht die eines jungen Superhackers. Das zeigen die Spuren, die er selbst über die Jahre im Netz hinterlassen hat. Bekannte, die wir ausfindig gemacht haben, zeichneten das Bild eines unglücklichen Jugendlichen, der vor allem Anschluss suchte und dafür wieder und wieder zu weit ging.

Angreifer haben das Botnetz wohl selbst aufgebaut

In der Hacker-Szene werden DDoS-Attacken belächelt. Um sie auszuführen, ist kaum technisches Können notwendig, heißt es häufig. Tatsächlich lassen sich Botnetze für solche Angriffe auf einschlägigen Websites schon für wenig Geld anmieten. Verübt werden sie mitunter von sogenannten Script-Kiddies, die fertige Programme ausführen und so mitunter ohne viel eigenes Können enormen Schaden anrichten.

„Was die Angreifer hier getan haben, ist am Ende trivial. Das erfordert eben ein bisschen Fleiß“, sagt Linus Neumann, Sprecher des Chaos Computer Club. „Am Ende ging es um die Frage, ob die Angreifer genug Ausgangspunkte und Bandbreite unter ihre Kontrolle bringen können, um ihr Ziel zu überfordern.“ Da selbst die größten Anbieter über endliche Ressourcen verfügen, lasse sich der Erfolg eines solchen Angriffs nie vollständig ausschließen.

Die Ermittler:innen der Ermittlungsgruppe „Welle“ glauben, dass M. und sein Mitstreiter ihr Botnetz, mit dem sie Websites von Banken in die Knie zwangen, selbst aufgebaut haben könnten. Wie ihnen das gelungen sein soll, dazu will sich das LKA nicht äußern.

Nach Recherchen von netzpolitik.org könnte vor allem der 16-Jährige hierfür verantwortlich gewesen sein. Wir sind auf deutliche Hinweise darauf gestoßen, woraus dieses Botnetz mindestens teilweise bestanden hat. Die Erkenntnisse sind so erstaunlich wie erwartbar für den Modus Operandi eines 16-Jährigen.

Es beginnt mit Minecraft

Fünf Jahre zuvor ist M. elf Jahre alt. Und wie viele Kinder und Jugendliche steckt er tief in der bunten Klötzchenwelt von Minecraft, einem Computerspiel, das Spieler:innen große Freiheiten lässt. Sie können sie nach ihren eigenen Wünschen gestalten oder über das Netz gemeinsam mit anderen erkunden.

Wem das nicht reicht, der kann bereits mit rudimentären Programmierkenntnissen eigene Erweiterungen schreiben und der Minecraft-Welt seinen eigenen Willen aufzwängen, jenseits der Gesetze der ursprünglichen Spielphysik. Viele junge Spieler:innen reizt das, und so machen sie mit Minecraft ihre ersten Schritte. Auch M. gehört zu ihnen. Wie er in einem Tweet schreibt, lernt er für das Spiel die Programmiersprache Java. M. wird über die Jahre mehrere Twitter-Accounts nutzen, Naifu ist nicht sein einziges Pseudonym.

Es dauert nicht lange, bis erste Hinweise auftauchen, dass seine wahren Interessen jenseits dieser bunten Klötzchenwelt liegen könnten. Nach einigen Monaten, in denen er an dem Spiel herumbastelt, ändert er den Namen seiner Spielfigur. In Minecraft nennt sich M. jetzt LuminosityLink.

Vielleicht ist das einfach ein Zufall. Vielleicht hat er sich bei dem Namen aber auch inspirieren lassen. LuminosityLink, so heißt damals jedenfalls ein neues Programm aus den USA, das für 40 US-Dollar erhältlich ist. Es ist so beliebt, dass sich sogar das FBI dafür interessiert: Es wird später den Entwickler festnehmen. Denn bei LuminosityLink handelt es sich um Schadsoftware. Sie erlaubt Angreifer:innen, Geräte zu infizieren und anschließend zu kontrollieren.

Trojaner-Angriff in der Schule

Als weitaus deutlicheres Warnsignal muss man rückblickend einen Vorfall deuten, den M. verursacht, als er in der siebten Klasse ist.

Er infiziert mehrere Schulcomputer mit dem, was der zuständige Landkreis in einer E-Mail an diese Redaktion später als multifunktionale Schadsoftware bezeichnen wird. Offenbar installiert M. einen sogenannten Trojaner. Sobald sich Lehrer:innen und Mitschüler:innen an den Schulcomputern anmelden, kann er diese fernsteuern.

Die unerlaubten Zugriffe fliegen wohl deshalb auf, weil er bei einem Freund damit angibt. So erzählt er selbst davon auf Twitter. Nicht zum letzten Mal wird es die Prahlerei sein, die ihn in ernsthafte Schwierigkeiten bringt. Wenn M. Mist baut, wissen am Ende offenbar alle Bescheid – sogar die Behörden.

Schon damals sind die Folgen immens. Die Firma, die die Schulsoftware betreut, muss in Soltau vorbeikommen und den Server überprüfen. Und der Niedersächsischen Landesschulbehörde zufolge wird M.s Mutter zu einem Gespräch in die Schule bestellt. Auch ein Mitarbeiter aus der IT-Abteilung des Landkreises ist dabei.

Für M. geht die Sache glimpflich aus. Seinen Tweets zufolge erhält er im Halbjahreszeugnis die Note fünf für sein „Sozialverhalten“. Der Landesschulbehörde zufolge verzichtet die Schule jedoch darauf, Strafanzeige zu stellen.

Ein Programm, um zu betrügen

„Ich habe überhaupt kein Bock auf Schule, derzeit auch kein Bock auf Schlafen“, twittert er ein paar Wochen später mitten in der Nacht, an einem Tag unter der Woche. Aus seinem Zeugnis, das er auf Twitter teilt, geht hervor, das er nur in einem einzigen Fach gut ist: Informatik. Seine Freizeit fließt mittlerweile in ein großes Projekt, das den Namen LiquidBounce trägt.

Dabei handelt es sich um ein Stück Software, das Minecraft-Spieler:innen erlaubt, Servern beizutreten und zu betrügen, indem es ihnen neue Funktionen freischaltet, die eigentlich gar nicht vorgesehen sind. Vorteile, die ihnen erlauben, gegen die Regeln zu verstoßen. Genau genommen ist es eine Art Hack.

LiquidBounce, das M. mit einem Freund betreibt, entwickelt sich in der Minecraft-Szene zu einem großen Erfolg. Einem Screenshot zufolge setzen Tausende das Programm täglich ein. Aber im Sommer 2018 zeichnet sich ein Problem ab: Auf einmal kennzeichnen Antivirenprogramme LiquidBounce wohl als Schadsoftware. Sie halten es für gefährlich, es besteht der Verdacht, bei LiquidBounce könnte es sich in Wahrheit um einen Trojaner handeln.

Hintertüren in Erweiterungen für Minecraft-Server

M. beklagt sich darüber auf Twitter. Und er wischt diese Bedenken beiseite. Eine Fehlfunktion, behauptet er in Tweets. Der Freund, mit dem er die Software in Stand hält, dementiert heute gegenüber netzpolitik.org, dass LiquidBounce Schadsoftware enthielt. Quelloffen und damit für jeden überprüfbar, machen die Entwickler das Programm jedoch erst viel später.

Der Verdacht, in LiquidBounce könnten geheime Hintertüren verbaut worden sein, drängt sich auch deshalb auf, weil M. wohl parallel dazu an entsprechenden Programmen arbeitet. Mehrere Bekannte berichten netzpolitik.org übereinstimmend, der Teenager habe fremde Erweiterungen für Minecraft mit einer Hintertür versehen und über gängige Plattformen weiterverbreitet. Nichtsahnende Spieler:innen hätten sie auf ihren Minecraft-Servern installiert und diese dadurch infiziert.

Träfe dies zu, dann hätte M. Zugang zu Geräten, die er fernsteuern kann. Die entscheidende Voraussetzung für ein Botnetz. Die Ermittler:innen glauben, er und der heute 20-Jährige hätten spätestens im Januar 2019 begonnen, ein solches aufzubauen.

Erpressung in Nigeria

In dieser Zeit entwickelt M. offenbar eine erhebliche kriminelle Energie. Zum ersten Mal scheinen seine Taten einen finanziellen Hintergrund zu haben. Der Staatsanwaltschaft zufolge schlägt er im April 2019 außerhalb von Deutschland zu, in Westafrika.

Dort habe M. Router von Telekommunikationsanbietern und deren Kund:innen angegriffen, teilt die Behörde mit. Das LKA sagt, er habe eine Sicherheitslücke ausgenutzt. Internetnutzer:innen in Nigeria bekamen einen Sperrbildschirm angezeigt. Um die Geräte wieder freizugeben, soll der Angreifer rund 100 Euro in der Krypto-Währung Bitcoin gefordert haben. Die Staatsanwaltschaft Itzehoe wirft M. deshalb gewerbsmäßige Erpressung vor.

Die nigerianischen Telekommunikationsanbieter, denen der Account Naifu demonstrativ auf Twitter folgt, lassen Anfragen von netzpolitik.org unbeantwortet. Wie groß der durch diese Angriffe entstandene Schaden ist, kann auch das LKA noch nicht sagen.

M. selbst scheint jedoch konkrete Vorstellungen davon zu haben, was er in dem Land angerichtet hat. „Erst recht habe ich dort nicht nur die Anbieter offline genommen, ich habe alle Router ‚gehackt‘ und unbrauchbar gemacht“, schreibt er einer Bekannten in einer Nachricht. Er prahlt, die betroffenen Unternehmen seien dadurch fast pleite gegangen.

Die Lust an der Zerstörung

netzpolitik.org liegen umfangreiche Gesprächsprotokolle vor, die über die Jahre auf der Chat-Plattform Discord entstanden sind. Zum Teil konnten wir sie selbst sichern, zum Teil wurden sie uns zugespielt. M. tritt unter verschiedenen Pseudonymen mit unterschiedlichen Accounts auf, zum Teil auch gleichzeitig.

In mindestens einem Fall fragt er sich vor den Augen weiterer Teilnehmer:innen offenbar selbst zu den Angriffen aus. Womöglich ein Versuch, um weitere Aufmerksamkeit zu erzeugen.

Wer M.s Nachrichten liest, lernt einen Menschen kennen, der keinerlei Anteilnahme am Leid Anderer zu verspüren scheint. „Ich mache seit Jahren nichts anderes, als anderen Leuten ihr Leben schwer zu machen“, schreibt er. „Es macht mir Spaß, anderen Leuten unnötig Arbeit zu machen oder ihr Leben zu zerstören.“

Angriff auf den YouTuber Unge

Wo immer M. auftaucht, scheint es Ärger zu geben. Er ist auch in einen Angriff auf Suro verwickelt, ein von langer Hand geplantes, mehrtägiges Minecraft-Event des YouTubers Unge, der von den Einnahmen durch seine Videos und Livestreams lebt.

Mehrere Personen aus M.s Team sabotieren das Projekt. Mithilfe einer Sicherheitslücke brechen sie in Unges Minecraft-Server ein.

Ein Mitschnitt zeigt, wie sie sich dabei auf M.s Discord-Kanal organisieren. Auch er selbst nimmt teil. Während der YouTuber livestreamt, postet die Gruppe massenhaft Werbebotschaften für das Programm LiquidBounce in den Chat des Spiels. Schließlich tötet sie mithilfe eines Server-Befehls alle Spielfiguren.

Verglichen mit dem, was im Sommer 2019 beginnt, ist dieser Angriff auf Suro aber nur Kleinkram. M.s Zerstörungswut scheint jetzt eine neue Dimension zu erreichen. Und er verlässt die bunte Minecraft-Welt wohl endgültig. Zunächst, weil er ein neues Lieblingsspiel hat. Was wie das einfache Hobby eines mittlerweile 15-Jährigen aussehen mag, wird bald auch die Sicherheitsbehörden beschäftigen.

DDoS-Attacken auf eine gesamte Gaming-Community

„SCP: Secret Laboratory“ ist ein Indie-Shooter, der damals nach Entwicklerangaben mehr als 50.000 Spieler:innen hat. Es gibt einige hundert Server, auch M. ist an einem beteiligt. Einer, der mit M. im Team dieses Servers ist, räumt später ein, es könnte darum gegangen sein, die Konkurrenz zu behindern, damit mehr Menschen auf ihrem eigenen Server spielen.

Über Wochen hinweg prasseln DDoS-Attacken auf die Spieleserver ein. Die meisten deutschen Server sind hiervon betroffen, wie Łukasz Jurczyk später sagt. Bei dem polnischen Entwicklerstudio Northwood ist er für die IT-Sicherheit zuständig.

Zeitweise greift wohl M. an, sobald mindestens zwei Spieler:innen einem Spieleserver beitreten. Wie er selbst in einem Chat behauptet, betrifft dies mehr als 500 Server.

Botnetz bestand wohl auch aus Minecraft-Servern

netzpolitik.org konnte umfangreiche Protokolle des Netzwerkverkehrs einsehen, die während Angriffen aus dieser Serie entstanden sind. Sie lassen Rückschlüsse zu auf die Quellen, von denen die Attacken ausgingen.

Wir haben IP-Adressen, die daran beteiligt waren, abgeglichen und stichprobenartig zurückverfolgt. In vielen Fällen finden sich eindeutige Belege dafür, dass die Angriffe von Minecraft-Servern ausgingen. Offenbar handelt es sich mindestens bei einem Teil des Botnetzes tatsächlich um Server, von denen M. zuvor behauptet hat, er habe sie durch umgebaute Erweiterungsprogramme mit Schadsoftware infiziert.

Die Internetanbindung eines Spieleservers sollte weitaus leistungsfähiger sein als ein herkömmlicher Internetanschluss zuhause. Viele Spieler:innen müssen sich gleichzeitig mit dem Server verbinden können, ohne dass es zu Störungen kommt. Das sind Voraussetzungen, die es besonders attraktiv machen, solche Server für einen DDoS-Angriff zu missbrauchen. Dies könnte erklären, warum die Attacken des Botnetzes so effektiv waren.

Strafanzeige in Schleswig-Holstein

Schon wenige Tage nach dem Beginn der großflächigen DDoS-Serie in der Community von „SCP: Secret Laboratory“ erstattet eine betroffene Person an ihrem Wohnort in Schleswig-Holstein Strafanzeige bei der Polizei. Sie übergibt auch einen USB-Stick mit Belegen, die sie gesammelt hat, darunter Screenshots. Spätestens im Sommer 2019 erfahren die Ermittler:innen von dem Angreifer mit dem Pseudonym Naifu.

Bereits damals lässt sich ein deutlicher Hinweis auf das Täterprofil finden: Als Avatar nutzt Naifu ein Bild von Shiro, einem Charakter aus der Anime-Serie „No Game No Life“, beliebt vor allem bei Teenagern. Shiro ist eine Gamerin, bekannt dafür, dass noch niemals jemand gegen sie gewonnen hat.

Auch M. scheint sich unbesiegbar zu fühlen. „Die deutsche Polizei ist ziemlich schlecht in sowas“, schreibt er in einem Chat. „Sie haben es die ganzen Jahre nicht geschafft, mich zu bekommen – egal, wie viele Informationen es gab.“

Vielleicht geht er deshalb bald noch größere Risiken ein. Naifu attackiert jetzt auch in Deutschland Ziele, die nichts mehr mit seinen Computerspielen zu tun haben.

Auch Internetanbieter geraten in die Schusslinie

Im Juli und August beschießt das Botnetzwerk eine Reihe lokaler Internetanbieter. Zu den Leidtragenden gehört die TNG Stadtnetz GmbH in Kiel. Einer der Angriffe sei von 5.000 unterschiedlichen IP-Adressen ausgeführt worden, teilt ein Sprecher des Unternehmens netzpolitik.org mit. Dabei habe er eine Bandbreite von rund 500 Gigabit pro Sekunde erreicht.

Die tatsächliche Wirksamkeit einer solchen Attacke richtig zu bemessen, ist schwierig, weil es dabei darauf ankommt, wie viele Ressourcen dem Angriffsziel zur Verfügung stehen. Die Datenmenge, die auf zwei Ziele der TNG Stadtnetz GmbH einprasselt, entspricht zum Vergleich etwa 100.000 Menschen, die gleichzeitig einen HD-Film bei Netflix schauen. Was für manche Anbieter Alltag sein mag, kann die Kapazitäten anderer um ein Weites übersteigen.

Auch in Hessen sind drei Unternehmen betroffen. In einem Fall genügt M. nach eigenen Angaben auf Discord als Grund, dass die Internet-Bandbreite eines Freundes gedrosselt worden sein soll.

Er gefällt sich offensichtlich in der Rolle des maskierten Rächers, der Unheil stiftet. In der Statusanzeige auf Discord, wo normalerweise steht, welches Computerspiel Nutzer:innen spielen, trägt er für alle sichtbar das Ziel ein, das sein Botnetz gerade ins Visier nimmt.

Spekulationen über einen Auftragshacker

Der 15-Jährige will auffallen, auch außerhalb seiner Gaming-Community. Unter dem Namen Naifu registriert er hierzu auch mehrere Accounts bei Facebook. „Ich hoffe euch gefällt der Angriff auf das Netz“, kommentiert er etwa einem Dienstleister aus Kassel auf die Seite. „Das wird noch ein bisschen länger laufen, freut euch.“

Tausende Kund:innen der betroffenen Anbieter fliegen in dieser Zeit immer wieder aus dem Netz oder können sich gar nicht erst einwählen. Der wirtschaftliche Schaden, der durch solche Ausfälle verursacht wird, kann immens sein. Abwehrmaßnahmen kosten die Internetanbieter Geld und beschädigen das Vertrauen der Kund:innen, zu denen wiederum Firmen gehören, die selbst auf das Internet angewiesen sind.

Christopher Mandt, Geschäftsführer des einem Facebook-Beitrag zufolge betroffenen Internetanbieters Nexiu aus dem Hochtaunuskreis, spekuliert gegenüber der Zeitung Frankfurter Neue Presse im August sogar, ein unzufriedener Kunde könnte einen Hacker beauftragt haben, um sein Unternehmen zu attackieren. Wie schon in Schleswig-Holstein nimmt die Polizei nun auch in Hessen Ermittlungen auf.

Monate vergehen, bis Ermittler:innen auf M. stoßen

Nicht klar ist, wie lange es wirklich dauert, bis die Einsatzgruppe „Welle“ all die Spuren miteinander verknüpft. Bereits im Januar ist eine Verbindung zwischen den DDoS-Angriffen auf kritische Infrastruktur und den Attacken in der Gaming-Community von „SCP: Secret Laboratory“ ersichtlich.

Während Naifu mit seinem Botnetz die DKB und die Sparkasse beschießt, prahlt er damit in einem Discord-Kanal. Auch Monate später werden seine Nachrichten noch einsehbar sein.

In dieser Community sind auch Menschen aktiv, die genau wissen, wie M. heißt, sogar wo er zur Schule geht. Ist es wirklich vorstellbar, dass ihn dort im Januar niemand mit dem Angreifer Naifu in Verbindung bringt?

Weitere fünf Monate werden vergehen, bis die Polizei seine Wohnung durchsucht. Fünf Monate, in denen Naifu noch weiteren Schaden anrichtet.

Forderungen nach besserer Zusammenarbeit der Sicherheitsbehörden

Zusammenhänge zwischen einzelnen Straftaten im Bereich der Internetkriminalität würden häufig viel zu spät erkannt, sagt der stellvertretende Vorsitzende der Grünen-Fraktion im Bundestag Konstantin von Notz gegenüber netzpolitik.org. „In der Vergangenheit sind Probleme bei der Zusammenarbeit der Strafverfolgungsbehörden bei der Verfolgung entsprechender Delikte über Landesgrenzen hinweg immer wieder offen zu Tage getreten.“

Auch die Kooperation mit dem Nationalen Cyber-Abwehrzentrum funktioniere nicht so, wie sie es solle, so der Innenpolitiker. „Dass allein bei dieser Tat ein Schaden in siebenstelliger Höhe entstanden ist, zeigt, wie drängend es ist, sich endlich angemessen mit Fragen der IT-Sicherheit und der Abwehr von Angriffen zu beschäftigen – statt über Hackbacks und Co. zu sinnieren und so die wenigen wertvollen Ressourcen zu verschwenden, die wir in dem Bereich haben.“

Die stellvertretende Parteivorsitzende der Linken Martina Renner gibt gegenüber dieser Redaktion zu bedenken, ein zentraler Blick von oben garantiere keinen schnelleren Ermittlungserfolg. Aber auch sie fordert eine engere Zusammenarbeit.

„Notwendig scheint mir doch eher, dass die beteiligten Behörden sich in solchen Fällen viel schneller austauschen“, sagt Renner. „Das Ziel darf dabei nicht sein, Ermittlungen irgendwohin auszulagern, sondern Ermittlungsschritte und Erkenntnisse miteinander abzugleichen und zu koordinieren.“

Ein rätselhaftes Motiv

Ein Rätsel dürfte für die Einsatzgruppe „Welle“ lange Zeit das Motiv geblieben sein, mit dem der Unbekannte Naifu scheinbar wahllos Banken und Internetanbieter attackierte. Verdient hat er daran offenbar nicht. Nach allem, was bislang bekannt ist, blieben Lösegeldforderungen eine Ausnahme, die sich auf die Angriffe in Nigeria beschränkte.

Aber warum würde ein 16-Jähriger derartige Taten begehen? Die Staatsanwaltschaft geht davon aus, dass M. die Angriffe aus Langeweile und Einsamkeit verübt hat.

Er selbst lässt an dieser Lesart kaum Zweifel aufkommen. „Falls jemand mit mir schreiben möchte: Ich bin einsam“, steht in einem Tweet, den er ganz oben in seinem Account festgepinnt hat, dahinter ein tieftrauriges Emoticon und seine Kontaktdaten beim Messengerdienst Telegram.

Es ist derselbe Twitter-Account, mit dem Naifu die DDoS-Angriffe ankündigt. Für M. scheinen sie ein trauriger Versuch zu sein, um neue Kontakte zu knüpfen.

Zum letzten Mal schlägt er wohl am 20. Mai zu. „REDDIT TAKEN DOWN BY NAIFU“, twittert er, dazu ein Screenshot. Demnach hat er nun auch noch die große internationale Plattform Reddit angegriffen. Also ausgerechnet einen Ort, an dem Menschen in den mehr als einer Million Unterforen zusammenkommen und so etwas wie Gemeinschaften bilden. Das LKA Schleswig-Holstein will diesen Fall nicht kommentieren – wie es heißt, um laufende Ermittlungen nicht zu gefährden.

Das Botnetz könnte noch immer funktionstüchtig sein

In einem Forum, in dem M. regelmäßig aktiv war, hat er sich seinem Profil zufolge seit dem Tag der Durchsuchungen nicht mehr angemeldet. Dabei ist er, wie auch der 20-Jährige aus dem Schwarzwald, auf freiem Fuß. Das LKA sagt, es bestehe kein Haftgrund.

Bei der Auswertung des Netzwerkverkehrs, der während der Angriffe in der Gaming-Community von „SCP: Secret Laboratory“ entstanden ist, hat netzpolitik.org eine Entdeckung gemacht. Etliche IP-Adressen, die darin auftauchen, haben wir maschinell abgefragt.

In vielen Fällen sind die Geräte, die mutmaßlich mit Schadsoftware infiziert sind, noch immer am Netz. Sie werden auch weiterhin als Minecraft-Server genutzt. Das bedeutet: Naifus Botnetz könnte womöglich noch immer funktionstüchtig sein.

16 Ergänzungen

  1. Bei Minecraft stellt sich die Frage, auf welcher Plattform eine hintertürbehaftete Anwendung veröffentlich wurde.

    Erweiterungen werden je nach Plattform auch inspiziert, was natürlich keine Garantie dafür ist, alle Schadprogramme immer zu finden. Wer mit Hintertüren erwischt wird, sollte eigentlich gebannt werden. Ein dauerhaftes Pseudonym bekommt man damit also nicht überall hin. Irgendwo aus dem Internet etwas herunterladen geht immer… und oft schief.

    1. Einige „Minecraft-Server-Owner“ greifen auf YouTube-Videos zurueck, wo die Files ueber G-Drive / Drop Box / Mediafire / etc gehostet sind… Es gibt leider genug Leute ohne Kenntnis ueber Viren, um es mal neutral zu beschreiben… Bzw diese Personen, welche aus diesen Quellen Sachen downloaden nutzen nicht ihren Verstand.

      Und so verbreiten sich infizierte Programme ohne Ueberpruefung durch Spigot und Co.
      Warum das nicht von dem Windows-System erkannt wird ist auch einfach erklaert: Direktlink zum download ueber w3m/curl/wget – fuer den Linux Server – um ein Beispiel zu nennen.

  2. Wie viele einsame Kinder wie dieses hinterlässt der ungezügelte Medienkonsum? Dieses Wegparken der lästigen Kinder vor der Konsole?

  3. „Langeweile und Einsamkeit“ ist sicherlich der kleinere Teil seiner Motivation. Die Art und Weise wie er über seine Taten prahlt macht m. E. eine narzisstische Störung sehr wahrscheinlich.

    1. Hallo Tom,

      die narzisstische Störung würde ich hier nicht vermuten, sondern eher eine Art Kompensation.

      Wenn man einsam ist, versuchst man halt mit allen Mitteln auf sich aufmerksam zu machen oder das Selbstbewusstsein anderswo zu holen. Zumindest rein nach Maslow würde das passen.

  4. Eines der fruehen „sozialen Netzwerke“ war Ende der 90er IRC, und schon damals haben solche „Kiddies“ enorm viel Zeit in kindische Machtspielchen gesteckt und dabei bedenkenlos Infrastruktur und Dritte geschaedigt. Das ist idR kein Hilferuf, das ist ruecksichtslose Selbstinszenierung ohne Schuldbewusstsein, in Erwartung vernachlaessigbarer persoenlicher Konsequenzen.

    1. Ergaenzung: das ist auch eine Frage persoenlicher Reife, der Bezug auf Kinder ist nicht prinzipiell abwertend gemeint.

  5. Um die Story mal runterzubrechen: Gelangweilte, einsame Teenager stellen großen Mist an, und ihre Kumpels verpetzen sie nicht an die Polizei – ja no shit. Die Taten sind in dem Fall offensichtlich rechtlich belangbar, aber ich find eure Perspektive auf den Fall merkwürdig: Was sollen tendenziöse Formulierungen wie „sind auf freiem Fuß“? Ja himmel, die sind unter 21, kein Gewaltverbrechen, keine Fluchtgefahr. Und die psychologisch aufgeladenen Beschreibungen? Greift ihr auf ein fachliches Gutachten zurück, oder ist das Küchenpsychologie? Eure Stärke ist doch, es mit den Großen aufzunehmen, und nicht Scheinwerfer auf script kiddies mit diversen Problemen zu lenken. Großes Möp.

    1. M. ist in der Lage, Existenzen zu zerstören. Er selbst sagt: „Es macht mir Spaß, anderen Leuten unnötig Arbeit zu machen oder ihr Leben zu zerstören.“ Das sollte man nicht verharmlosen. Ich halte ihn für gefährlich und natürlich ist das auch einen ausführlichen Artikel auf netzpolitik.org wert.

    2. > tendenziöse Formulierungen wie „sind auf freiem Fuß“

      Tendenziös sind immer nur die Anderen. Hedonistische Unterstellungen des Tendenziellen werden leider inflationär. ‚Auf freiem Fuß‘ ist ein juristischer Terminus Technicus, der so leidenschaftslos wie vorurteilsfrei ist.

  6. „Besucher:innen der Website werden durch Server von Drittanbietern geschleust, die einen DDoS-Schutz versprechen. Sie tragen Namen großer Firmen aus dem Bereich der IT-Sicherheit, SecurityDAM, Radware oder Cloudflare.“

    Wurde bereits zuvor Cloudflare genutzt? Das möchte ich jetzt mal bezweifeln. Ich gehe davon aus, dass die Finanz Informatik Technologie Service das selbst gemanaged hat.

    Erst nach dieser dDoS wurde Cloudflare direkt davor geschaltet und kann übrigens in der aktuellen Konfiguration höchstwahrscheinlich den gesamten Datenverkehr mitlesen: Kontostände, Buchungen, etc.
    Cloudflare ist US basiert und eine ziemlich üble Nummer.
    Übrigens ist Cloudflare in der Datenschutzbestimmung der DKB nicht erwähnt. Es kam also durch die Hintertür.
    Weitere Analysen dazu hier:
    https://forum.kuketz-blog.de/viewtopic.php?f=16&t=5430

  7. Hatte selbst mit ihm viel Chatverkehr.
    Hat mehr mal einige meiner privaten Gameserver attackiert.
    Ich würde mal, aber auch aus meine Chatverkehr deuten das er Emotional leicht verletzlich ist, als auch das ihn Geld nicht sehr interessiert, da er mal selbst behauptet hat das wäre „zu langweilig.“
    Na endlich ist er Weg.
    Der Artikel war bei uns in der Gruppe das Highlight des Tages ^^

  8. Höre bitte mit dem Unfug auf, Buchstaben mit einem Doppelpunkt zu verbinden! Was soll Kund:innen sein? Was ist ein Kund? Dieser Genderschwachsinn zerstört die Lesbarkeit eines Textes und hat mit der deutschen Sprache nichts zu tun!

  9. Naifu lädt ein Video hoch, das zeigt, wie er auch deren Informationsportal aus dem Netz befördert, es ist ein Vorher-Nachher-Vergleich. Im Hintergrund läuft japanische Musik, eine Frauenstimme besingt „tödliche Anfälle von Einsamkeit“.

    Nein, das ist keine Frauenstimme. Mafu (der Künstler), ist ein Mann.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.