Ein Hamburger kam einer Gang von Cyber-Kriminellen in der Ukraine auf die Schliche. Sie betrogen Internetnutzer mit falschem Virenschutz.
Die Meldung flackerte auf, als Egon Dinzel den PC startete. "Sie haben einen Virus auf dem Rechner." Daneben pries ein Link die schnelle Lösung: ein Anti-Viren-Programm zum Herunterladen, für 50 Euro. "Ich hatte keine Wahl, der Rechner war wie eingefroren, nur dieser eine Button funktionierte", sagt Dinzel, selbstständiger Energieberater aus Hamburg. Er lud das Programm und zahlte mit EC-Karte. "Dann funktionierte der Rechner noch ein paar Minuten, bevor er völlig abstürzte." Das Anti-Viren-Programm entpuppte sich als Attrappe, als Schadprogramm. Mit wenigen Klicks war Egon Dinzel zum Opfer eines globalen Internetverbrechens geworden, dessen Drahtzieher mit wirkungsloser Anti-Viren-Software viele Millionen Euro abzockten.
Die Millionenmasche funktionierte mit sogenannter Scareware. Das ist Erpressungssoftware, die den Usern vorgaukelt, gegen den angeblichen Schaden könne nur das eine kostenpflichtige Programm helfen. Wenn der Nutzer es dann kauft, verschwindet die Virenmeldung, aber das ist auch alles. Kauft er nicht, nistet sich die Schadsoftware in den Tiefen des Betriebssystems ein und sabotiert den Computer.
Der Hamburger IT-Sicherheitsexperte Dirk Kollberg, 38, hat Hunderte Fälle wie den von Dinzel gefunden. Hinter allen steckt eine Bande Cyber-Gangster im ukrainischen Kiew. Die Chefs - zwei Kanadier, ein Schwede, ein Brite und Jain "Sam" Shaileshkumar, ein 41 Jahre alter Amerikaner mit indischen Wurzeln - stammen aus dem Westen, aber die Ukraine bietet ihnen mit jungen arbeitslosen Computer-Assen und laxer Verfolgung offenbar die perfekte Basis für den Betrug.
Kollberg ist einer der hartnäckigsten Gegenspieler dieser Cyber-Gangster. Hauptberuflich arbeitet er als Senior Threat Researcher für das renommierte britische Anti-Viren- und IT-Sicherheitsunternehmen Sophos. Der gelernte Industrie-Elektriker hat sich das Programmieren selbst beigebracht. Neben dem Schreibtisch klebt eine Plakette von Scotland Yard. "Ein Dank, weil ich mal bei einer Fahndung geholfen habe", sagt Kollberg. Er verbindet die Neugier eines Detektivs mit den technischen Fähigkeiten eines Computer-Geeks, weil ihn die vielen Abzocker im Netz ärgern. Wenn er einmal eine Spur aufgenommen hat, folgt er ihr wie ein Terrier. Feierabend habe er nie: "Ich werde für mein Hobby bezahlt", sagt er.
Kollberg sitzt vor fünf Bildschirmen in seinem Arbeitszimmer in Hamm-Nord und raucht. Er zeigt die Ergebnisse seiner letzten Recherche. Auf den Monitoren flackern Grafiken und Tabellen, Landkarten mit selbst markierten Orten und heruntergeladene Fotos von dubiosen Gestalten mit Pistolen und Geldbündeln.
Im Juli 2007 erschien auf Kollbergs Rechnern zum ersten Mal die vorgetäuschte Viren-Warnung. Sofort war ihm klar: Das ist eine Lüge. Sein Rechner war sauber, hundertprozentig. Aber was steckte dahinter? Kollberg machte sich auf die Suche und fand mehr als 3000 Betrugsprodukte der Cyber-Gang. Sie hießen "Antispyware 2009", "MegaFixer", "Personal Internet Security 2011" oder "Windows Additional Guard", die Internetseiten waren professionell gestaltet. "Alle haben eines gemeinsam: Sie sind wirkungslos", sagt Kollberg. Er schaute sich die installierten Schaddateien genauer an. "Eine Datei kommunizierte über das Internet mit dem Heimatserver", sagt Kollberg. So stieß er auf die Firma Innovative Marketing Ukraine (IMU) aus Kiew - und innovativ war deren Geschäftsansatz tatsächlich. Sie lebte ausschließlich vom Internetbetrug.
Schon 2003 hatte IMU sich mit Internetpornografie, Musik-Raubkopien und dem illegalen Verkauf von Viagra profiliert. Später stiegen die Kriminellen auf gefälschte Anti-Viren-Software um. Da war es wohl nur noch ein kleiner Schritt, mit Programm-Attrappen Geld zu machen.
Mit ihrer eigenen Datensicherheit nahmen es die Internetbetrüger allerdings nicht so genau. "Ihre Server waren gar nicht geschützt, jeder konnte darauf zugreifen", sagt Kollberg. Das war seine Chance: Auf den mehr als 20 Servern, die irgendwo in der Ukraine standen, fand er Telefonlisten von Mitarbeitern - rund 670 Namen, Fotos, Kontaktdaten -, genaue Beschreibungen des Geschäftsmodells der Abzocke, der Zweigniederlassungen in vielen Ländern, Abrechnungen, Tabellen und Datensätze mit Statistiken. Dem Hamburger Rechercheur fielen der Businessplan und ein Teil der Buchhaltung der Cyber-Gangster in die Hände.
Eine Liste mit Ordernummer zeigte, wie oft die wirkungslosen Programme heruntergeladen wurden: 4,5 Millionen Mal in einem Jahr. "Allmählich wurde mir klar, dass das keine kleine Geschichte ist", sagt Kollberg. Selbst wenn man pro Download nur 30 Euro berechnet, ergibt sich eine Beute von 135 Millionen Euro im Jahr. Im Prinzip hatten die Ukrainer damit das perfekte Verbrechen entwickelt: Denn keiner der Geschädigten würde wegen 30 Euro und einem abgestürzten Rechner zur Polizei gehen oder sich einen Anwalt nehmen. Auf Grundlage der IMU-Dokumente schätzt Kollberg die Opferzahl in Deutschland auf mehr als 100 000.
Als er die Namen auf der Mitarbeiterliste in Sozialen Netzwerken wie Facebook, LinkedIn oder Xing suchte, stellte er fest, das IMU viele junge Leute an der Universität Kiew rekrutierte. Einer der Angeworbenen namens Maxim sagte später, als alles aufgeflogen war, der Nachrichtenagentur Reuters: "Wenn du 20 bist, denkst du nicht viel über Ethik nach." Ihm sei es wie vielen nur ums Geld gegangen. Vom Anwerben der Programmierer über die Entwicklung bis zum "Verkauf" der Software war die Firma hochprofessionell aufgestellt. Sogar an verärgerte Kunden hatten die IMU-Hintermänner gedacht und mehrere Callcenter in der Ukraine, den USA und in Indien eingerichtet. "Mit den Kundendiensten haben sie vielen Verärgerten erst mal den Wind aus den Segeln genommen", sagt Kollberg. Die Operatoren sprachen Englisch, Deutsch, Spanisch, Französisch und Hindi, hörten zu und waren freundlich. Kaum ein User merkte, dass er hier zum zweiten Mal über den Tisch gezogen wurde. "Mancher kaufte am Telefon sogar noch ein zweites Attrappen-Produkt", sagt Kollberg.
Er weiß das, weil er auf den Servern auch Mitschnitte der Beschwerde-Gespräche fand. "Ich habe drei Tage nicht geschlafen und nur zugehört", sagt er. Eine freundliche Frau mit leichtem Akzent - nach eigener Angabe ist sie Polin - beruhigt die Anrufer, die sich über die Fehlfunktionen der Programme empören. Ein Schweizer etwa klagt: "Ich dachte, wenn nichts mehr geht, dann bezahle ich einfach die 70 Franken, und dann ist Ruhe, aber es ist nicht Ruhe, es geht immer weiter. Ich bekomme so viele Pop-ups." Der Mann war auf die Erpressung eingegangen, nun ist er stinksauer: "Es ist eine Schweinerei, macht ihr das absichtlich?" Die Mitarbeiterin beruhigt ihn, verspricht ihm, ein Reparaturprogramm per E-Mail zu senden. Geld gebe es nur zurück, wenn sie die Probleme nicht beheben könnten.
Anderen Kunden wird geraten, ihre früheren Anti-Viren-Programme zu löschen ("Zwei Anti-Viren-Programme vertragen sich nicht"). So löschten die ahnungslosen User auch noch den wirksamen Schutz renommierter IT-Sicherheitsunternehmen. Die Anruflisten, die Kollberg fand, enthalten 1890 Nummern deutscher Herkunft allein für die beiden Monate Dezember 2008 und Januar 2009, darunter mindestens 50 aus Hamburg.
IMU brauchte die Callcenter wegen der Banken. Damit diese den Zahlungsverkehr mit mehreren Millionen Bestellungen reibungslos abwickeln, darf die "Charge-Back-Quote" nicht zu hoch werden, also die Zahl der verärgerten Kunden, die das abgebuchte Geld von der Bank zurückholen lassen. Passiert das zu oft, streiken die Banken. IMU wechselte regelmäßig die Kreditinstitute von Kanada bis Bahrain.
Um möglichst viele Rechner zu infizieren, schaltete IMU mithilfe von Briefkastenfirmen Werbebanner im Internet, sogar auf so populären Webseiten wie die der "New York Times". Dafür heuerte IMU auch Gelegenheitsganoven an, die ihre Dienstleistungen in dubiosen Internetportalen feilbieten. Einer von ihnen war der Russe Gavril D., genannt "die Krabbe". Auf privaten Fotos, die Kollberg unverschlüsselt auf dem Server der "Krabbe" fand, posiert der feiste Mann typisch für die Russenmafia: mit Pistolen, Geldbündeln, nackten Frauen und auf einem wenig appetitlichen Bild sogar mit einer Zeitschrift auf dem Klo.
"Krabbes" Spezialität war die Verbreitung der Betrugssoftware. Er war Kontaktmann für Spammer und Betreiber sogenannter Botnetze, die sich unbemerkt in Tausende Computer hacken oder sie fernsteuern. So konnten sie auch anonym die IMU-Scareware installieren. Wie Kollbergs Unterlagen zeigen, konnten Top-Helfer von IMU 100 000 Euro pro Woche verdienen. Über "Krabbe" weiß Kollberg inzwischen sogar, dass er sich eine Villa in Pattaya in Thailand baute.
Kollbergs digitale Indiziensammlung schwoll im Fall IMU schnell auf mehr als 60 Gigabyte Datenmaterial an. Mit diesem Fund ging er in Hamburg zum Landeskriminalamt (LKA). "Aber die Behörde hatte kein Interesse. Sie sagten, es liege keine Anzeige der Opfer vor, und die Täter säßen im Ausland." Das LKA bestätigt das Treffen. Im September 2009 haben zwei Mitarbeiter mit Kollberg gesprochen. "Vor seinem Besuch im Hamburger LKA hatte Herr Kollberg in dieser Sache bereits mit dem Bundeskriminalamt Kontakt aufgenommen, das üblicherweise länderübergreifende Ermittlungen einleitet und koordiniert. Insofern gab es keinen Anlass, parallel in Hamburg Ermittlungen einzuleiten", sagt Polizeisprecherin Ulrike Sweden.
Hier zeigt sich das Dilemma regionaler Polizeibehörden, die im Internet mit globalen Verbrechen konfrontiert werden. Immerhin hörten die Hamburger Kollberg zu. Die Anfrage beim Bundeskriminalamt sei im Sand verlaufen, sagt er. Stattdessen fand er andere Zuhörer: Mitarbeiter der amerikanischen Federal Trade Commission (FTC) für Wettbewerbs- und Verbraucherschutz und des Federal Bureau of Investigation, besser bekannt als FBI. Seither telefoniert Kollberg regelmäßig mit den Amerikanern, die sich für jedes noch so kleine Detail seiner Recherche interessierten. Mehr als 1000 IMU-Kunden aus den USA haben sich zusammengetan und bei der FTC Beschwerde eingelegt. Da ist die Hilfe des Hamburgers ein absoluter Glücksfall.
2010 klagte die FTC vor einem US-Gericht und erzwang die Auflösung der Betrügerfirma. Die Hintermänner müssen, so der Gerichtsbeschluss, ihren amerikanischen Geschädigten rund 163,2 Millionen Dollar erstatten. "Diese Jungs waren die Pioniere und größten Profiteure von Scareware-Betrug für eine lange Zeit", sagte Ethan Arenson, der die FTC-Ermittlung leitete. Im Juni 2011 haben Schweizer Behörden Bankkonten von Jain "Sam" Shaileshkumar eingefroren. Der Mann ist untergetaucht, wie viele seiner Komplizen.
Während Interpol ihn sucht, recherchiert Kollberg schon am nächsten Fall. Diesmal geht es um einen Botnetzbetreiber aus Sankt Petersburg.