Digital Life 

Ein Blick hinter die Kulissen von Microsofts "Cyberpolizei"

Mit einem Team von 100 Mitarbeitern versucht der Softwaregigant den Machenschaften von Kriminellen im Netz auf die Spur zu kommen (Symbolbild).
Mit einem Team von 100 Mitarbeitern versucht der Softwaregigant den Machenschaften von Kriminellen im Netz auf die Spur zu kommen (Symbolbild).
Foto: imago stock & people
Um Cyberkriminellen auf die Schliche zu kommen, setzen die Redmonder auf Hightech und deckten so bereits einen riesigen Betrugsfall auf.

Das Hauptquartier von Microsofts Cybercrime-Jägern könnte unscheinbarer nicht sein: ein dreistöckiger Klinkerbau mit großen, in Stahl gefassten Fenstern. Kein Schild gibt Hinweise darauf, was sich im Innern verbirgt. Dass der Technikgigant von hier aus – nur wenige Gehminuten vom Hauptcampus entfernt – seinen weltweiten Kampf gegen Internetkriminelle koordiniert, erfährt erst, wer es hinter zwei schwere, per Zugangscode geschützte Glastüren schafft.

Jagd auf Köpfe hinter Malware

Hinter den Türen beginnt das Reich von Patti Chrzan. Sie ist leitende Direktorin der „Digital Cybercrime Unit“ (DCU) und verantwortet Microsofts Jagd nach den Köpfen hinter Schadsoftware (Malware), Produktpiraterie und Hotline-Betrug. „Cyberkriminelle sind heutzutage technisch und finanziell bestens ausgestattet. Sie operieren im großen Stil“, sagt Chrzan und führt die kleine Besuchergruppe einen Flur entlang. In die Wand integrierte Displays sorgen für eine schummrige Beleuchtung.

„Keine Videos, keine Fotos, bitte!“ Diskretion sei wichtig. „Innovation ist ein großes Thema für uns. Denn viele unserer Aufgaben drehen sich um die Frage: Wohin entwickeln sich die Kriminellen, und was tun sie als Nächstes?“ Die Netzdetektive wollen ihnen immer einen Schritt voraus sein, zu viele Informationen über ihre Arbeit könnten von Nachteil sein im Wettlauf mit den Kriminellen.

Team von 100 Mitarbeitern

Etwa 100 Experten arbeiten derzeit für die DCU, nur knapp drei Dutzend davon im Hauptquartier in Redmond an der US-Westküste. Der Rest ist über 30 Standorte rund um den Globus verteilt. Die wichtigsten Personen sind dabei nicht die Programmierer: „Der Kern der DCU besteht aus Anwälten. Denn wir versuchen, Klagen einzuleiten und voranzutreiben. Ob nun zivilrechtliche oder strafrechtliche“, sagt Chrzan. Die Juristen werden unterstützt von Ermittlern, Analysten, Datenwissenschaftlern und Fachleuten aus der Wirtschaft.

Aktuell ermittelt die DCU in den unterschiedlichsten Bereichen: Kinderpornografie, geschäftsmäßige Urheberrechtsverletzungen oder Schadsoftware – also all die Viren, Trojaner und anderen Programme, die Unheil auf Computern anrichten. „Wir schauen uns die Malware an, die global den größten Schaden anrichtet, analysieren Funktion und Verbreitungswege und fangen dann an, Beweise zu sammeln, um damit vor Gericht zu gehen“, erklärt Chrzan.

Microsoft kooperiert mit Interpol und Europol

In der Regel steht komplexe Schadsoftware in Kontakt zu einem Kontrollserver von Cyberkriminellen. Gesammelte Informationen der Opfer werden dorthin geschickt oder neue Befehle von dort empfangen. Der wichtigste Schritt sei deshalb, diese Server zu übernehmen oder die Anfragen an dessen Webadresse auf einen eigenen Server umzuleiten. Anders als die Kriminellen muss Microsoft sich dabei an die Gesetze halten und für jeden sogenannten Takedown eine gerichtliche Anordnung im zuständigen Land erwirken.

„Das funktioniert nur über internationale Partnerschaften. Deshalb arbeiten wir sehr eng mit Organisationen wie Europol und Interpol zusammen“, sagt die DCU-Chefin. Meist könne nur so verhindert werden, dass den Tätern noch Zeit bleibt, auf andere Server auszuweichen und das Spiel von vorn zu beginnen.

Chrzan drückt auf eine kleine Fernbedienung. Plötzlich wird der Flur hell erleuchtet. Eine zuvor blickdichte Wand ist durchsichtig geworden und gibt den Blick frei in ein Labor voller Computer und Bildschirme. „Das hier“, sagt Chrzan und deutet auf die Glasscheibe, „ist eines unserer Malware Labs. Hier haben unsere Partner, egal ob Kunden, Sicherheitsforscher oder Strafverfolgungsbehörden, während gemeinsamer Projekte alles, was sie brauchen, um forensische Untersuchungen durchzuführen.“ Heute ist das Labor leer.

Immenser Schaden durch Malware

Microsoft schätzt den weltweiten wirtschaftlichen Schaden durch Schadsoftware auf drei Billionen Dollar. Für Verbraucher gibt es aber noch eine andere Gefahr: „Der derzeit am schnellsten wachsende Konsumentenbetrug sind sogenannte Tech-Support-Scams“, sagt Chrzan. Dabei geben sich Kriminelle am Telefon oft als Microsoft-Mitarbeiter aus und bieten ihre Hilfe bei der Beseitigung angeblicher Schadsoftware an. Die Opfer kann dies am Ende teuer zu stehen kommen, teilweise werden sie um mehrere Hundert Euro geprellt.

Gehen Betroffene zur Polizei, nimmt die eine Anzeige auf – und das war es in der Regel. Deshalb fing die DCU an, die Beschwerden zu bündeln. „Heute bekommen wir monatlich weltweit 12.000 solcher Beschwerden. Wir benutzen künstliche Intelligenz und Big Data, um Trends zu erkennen und erste Spuren zu gewinnen. Die geben wir an unsere Ermittler weiter, die die Spuren zu tatsächlichen Fällen entwickeln, die wir entweder selbst als Zivilklage vor Gericht bringen oder an die Justiz weitergeben.“

Größter Fälschungsprozess der US-Geschichte

Zwei Korridore später lässt Patti Chrzan erneut per Knopfdruck eine Wand durchsichtig werden. „Hier sehen Sie unser forensisches Labor.“ Ein heller Raum mit vielen Displays und Computern. An einigen sitzen Menschen und arbeiten. Sie nehmen Schadsoftware Stück für Stück auseinander, um sie zu analysieren. Keiner der Mitarbeiter schaut auf.

Dann lässt die DCU-Leiterin auf einem großen Präsentationsschirm einen virtuellen Globus rotieren und legt schichtweise Ermittlungsdaten über die Weltkarte. Millionen einzelner Datenpunkte werden hier zu einer 3D-Karte zusammengeführt. „Solche Datenvisualisierungen sind ein wichtiges Hilfsmittel für uns und geben wichtige Hinweise“, erklärt Chrzan. Sie erzählt von einer derzeit laufenden Ermittlung, die bereits jetzt in den größten Fälschungsprozess der USA mündete.

Handel mit Seriennummern

Es begann damit, dass das Heimatschutzministerium im Müll eines Verdächtigen Software-Seriennummern gefunden hatte, die üblicherweise genutzt werden, um Software wie das Microsoft-Office-Paket zu aktivieren. Die Ermittler baten Microsoft um Hilfe. „Wie sich herausstellte, stammten die Nummern von einem Diebstahl in einer chinesischen Fabrik eines Vertragspartners“, so Chrzan. Ein Angestellter hatte sie dort per Hand abgeschrieben und über das Internet für einen Dollar pro Stück an Zwischenhändler verkauft.

Die DCU konnte anschließend sichtbar machen, in welchen Regionen der Welt diese Codes aktiviert wurden. Sie stieß dabei auf eine gewaltige Häufung innerhalb der USA, wo nahezu 3000 Codes auf nur vier Geräten eingegeben wurden – ein Händler, der offenbar geprüft hatte, ob seine Ware funktioniert. „Wie sich herausstellte, war das genau der Verdächtige, aus dessen Mülleimer die Codes gefischt wurden.“ Mittlerweile habe man acht Verdächtige festgenommen und mehr als 22 Millionen Dollar beschlagnahmt. Die Behörden seien kurz davor, auch den Hauptverantwortlichen zu fassen. „So kann Datenvisualisierung dabei helfen, nicht nur Betroffene zu identifizieren, sondern auch Täter.“

----------

Das könnte auch interessant sein:

----------

Als sich die beiden schweren Glastüren hinter der Besuchergruppe wieder schließen, ist Patti Chrzan längst wieder im unscheinbaren Cybersecurity Center verschwunden. Sie hat zu tun – die Internetkriminalität schläft nie.

Digital Life 

Unter Beobachtung: Android-Geräte senden Standortdaten an Google

Ein Android-Smartphone. Seit Anfang 2017 erfassen alle Android-Geräte die umliegenden Mobilfunkmasten und schicken diese Daten an Google Server.
Ein Android-Smartphone. Seit Anfang 2017 erfassen alle Android-Geräte die umliegenden Mobilfunkmasten und schicken diese Daten an Google Server.
Foto: pxhere

Egal ob eine SIM eingesetzt ist oder nicht: sobald die Geräte mit dem Internet verbunden sind, werden die Daten an Google übermittelt. Auch dann, wenn eine entsprechende Option zuvor deaktiviert worden ist.

Mehr lesen