Der Code des Bösen

Ein deutscher Informatiker geriet durch seine Dissertation zufällig in die weltpolitischen Geschehnisse. Dabei deckte er einen der meistgesuchten Cyberkriminellen der Welt auf: einen russischen Hacker, der möglicherweise auch als Spion agiert.

---

 

Eines trüben Nachmittags im November, nach wochenlanger Recherche, fand sich Christian Rossow völlig unerwartet im Zentrum internationaler Politik wieder. In einem kleinen Büro, gerade groß genug für zwei Schreibtische und einen Aktenschrank, saß er vor seinem Computer und arbeitete sich durch eine endlose Reihe von blinkenden Zahlen. Doch plötzlich fiel ihm etwas Ungewöhnliches auf.

Die Zahlen stammten aus dem Keller, eine Etage tiefer, aus einem fensterlosen Raum. Nur vier Personen neben ihm hatten Zugang zu diesem Raum – dem Hochsicherheitslabor der Universität, für die er damals arbeitete. Wann immer Rossow hinunter musste, beeilte er sich. Der Raum war kalt und laut, gehalten auf konstant 19 Grad durch eine alternde Klimaanlage. Der Grund: 15 Hochleistungsrechner, so groß wie Kleiderschränke, die extrem empfindlich auf Hitze reagierten. Diese Computer dienten ihm als Versuchskaninchen. Er infizierte sie mit den neuesten Viren, Trojanern und Würmern, die ihm täglich von den Herstellern von Antivirenprogrammen zugeschickt wurden. Auf dem Bildschirm in seinem Büro konnte er den Schaden analysieren, den jede Schadsoftware anrichten konnte. Nur eine Handvoll Rechner war über ein spezielles Programm mit dem Labor im Keller verbunden.

Die erste Zahl auf Rossows Bildschirm zeigte ihm, dass im Keller eine Malware wütete, wie er sie nur selten gesehen hatte. Innerhalb weniger Minuten konnte sie sich mit Hunderten externer Computer verbinden. Genau das hatte er gesucht. Rossow führte einige Tests durch und prüfte online, ob jemand – ein Techniker, ein Computerfreak oder ein anderer Wissenschaftler – dieses Programm bereits untersucht hatte. Er fand keine Hinweise darauf. Das war es, dachte er, endlich die perfekte Fallstudie für seine Dissertation.

Was er in diesem Moment nicht wusste: An diesem Nachmittag begann Rossows Jagd auf einen der meistgesuchten Cyberkriminellen der Welt. Fünf Jahre später, stolz, aber auch etwas blass und besorgt, sitzt er nun auf einem schwarzen Ledersofa in seinem Zuhause und erzählt seine Geschichte. Er hat etwas Einzigartiges erreicht, doch die Situation ist ihm längst entglitten.

Die USA benannten das Phantom, einen Meister des digitalen Diebstahls, als Evgeniy Mikhailovich Bogachev – einen 32-jährigen Russen mit rundem Gesicht, Glatze und dunklen Ringen unter den Augen. Seitdem haben Strafverfolger aus über zehn Ländern versucht, ihn zu fassen. Sie setzten verdeckte Ermittler auf ihn an, baten Nerds und Spezialisten aus der IT-Branche um Hilfe und arbeiteten sogar mit Firmen wie Dell und Microsoft zusammen. Doch am Ende waren es Christian Rossow und seine Freunde, die Bogachev in seinem eigenen Spiel besiegten.

Das FBI bezeichnet Bogachev als einen Hacker der Spitzenklasse. Mit den Programmen, die er entwickelte und verkaufte, unternahmen er, seine Helfer und seine Kunden Hunderttausende von Raubzügen.

Sein Programm-Paket trug den Namen "Gameover Zeus". Der Name kombiniert die Welt des Gamings mit der griechischen Mythologie. Eine grobe Übersetzung könnte lauten: „Es ist vorbei, wenn der mächtige Herrscher des Olymps eingreift.“ Kein bescheidener Name, aber passend. Denn Bogachev erschuf ein digitales Werkzeug, mit dem er und seine Komplizen mit wenigen Mausklicks in fremde Bankkonten einbrachen, Computer sperrten und Server lahmlegten.

Laut den Ermittlungen des FBI infizierten Bogachev und etwa zwanzig seiner Helfer mit "Gameover Zeus" weltweit eine Million Computer. Zu den Opfern zählten große Unternehmen, Banken und Privatpersonen. Ein indianischer Stamm im US-Bundesstaat Washington wurde um 277.000 Dollar beraubt, eine Bank in Florida verlor 6,9 Millionen Dollar. Niemand weiß genau, wie viel Geld gestohlen und wie viel Schaden angerichtet wurde. Das FBI schätzt, dass allein in den USA etwa 100 Millionen Dollar erbeutet wurden – weltweit dürfte der Betrag um ein Vielfaches höher liegen, da Bogachev auch in Asien und Europa, darunter Deutschland, aktiv war.

 

Keine Zeugen, keine Täterbeschreibungen

Jahrelang fühlte sich Bogachev sicher. Er hatte das perfekte Verbrechen gefunden, bei dem die Täter geschützt waren, während die Ermittler mit einem Fall konfrontiert wurden, den sie ohne externe Hilfe nicht lösen konnten.

Die Ermittler im Bereich der Cyberkriminalität stehen Geistern gegenüber – Kriminellen, die sich hinter Akronymen und Pseudonymen verstecken. Diese Fälle fehlen nahezu alle klassischen Ermittlungsansätze. Es gibt keinen Tatort, keine Fingerabdrücke, keine DNA-Spuren wie Haut oder Haare. Es gibt keine Zeugen, keine Täterbeschreibungen.

Die Diebe des digitalen Zeitalters müssen nicht mehr in eine Bank oder ein Haus einbrechen. Mit Viren können sie ihre digitale DNA in fremde Computer einschleusen, die dann andere Computer infizieren und ein Netzwerk aus gekaperten Geräten, ein sogenanntes Botnetz, bilden. Diese Botnetze steuern die Hacker im Verborgenen, um an die Bankdaten der Internetnutzer zu gelangen, ihre Passwörter zu stehlen und schließlich ihr Geld zu entwenden. Bogachevs Programm perfektionierte diese Methode. Solche Botnetze können aber auch für Spionage eingesetzt werden.

 

Der Kampf gegen Geister

Die Ermittler der Cyberkriminalität kämpfen oft jahrelang, meist vergeblich, in einem ungleichen Duell. Manchmal haben sie jedoch Glück und finden die Person hinter den Pseudonymen – einen Menschen mit Schwächen, die ihn greifbar machen. Genau das passierte letztlich bei Bogachev. Die USA identifizierten und klagten ihn unter den Namen "slavik", "lucky12345" und "Pollingsoon" an. Das FBI ist stolz auf diesen seltenen und bedeutenden Erfolg, doch ohne die Arbeit von Christian Rossow wäre es niemals so weit gekommen.

An einem klaren, kalten Freitagmorgen sitzt Rossow in seiner Dachgeschosswohnung in Dinslaken, einer Kleinstadt im Westen Deutschlands, umgeben von roten Backsteinhäusern. Alles an ihm wirkt lang und schmal – sein Gesicht, sein Körper, seine Finger. Neben ihm auf dem Sofa liegt ein schwarzer Laptop, so klein wie ein Blatt Papier.

Er muss lachen, wenn er an seinen allerersten Computer denkt, einen massiven IBM. Mit neun Jahren programmierte er von seinem Kinderzimmer aus sein erstes Computerspiel. Mit elf, als das Internet populär wurde, baute er für Freunde Websites, um Filme oder Bücher zu verkaufen. Nach dem Abitur machte er eine Ausbildung zum IT-Spezialisten, studierte an der Universität und spezialisierte sich auf Malware – Schadsoftware, die entwickelt wurde, um Schäden anzurichten oder Verbrechen zu begehen.

 

Es gibt unzählige Viren, Trojaner und Malware-Programme; täglich werden rund eine halbe Million neue veröffentlicht. Manche sind schlecht programmiert, ungeschickt und fast wirkungslos, aber einige sind gefährliche Cyberwaffen, in der Lage, Banken auszurauben, Kraftwerke lahmzulegen oder ganze Länder zu sabotieren. Rossow interessieren nur die gut programmierten. Täglich analysiert er Dutzende von ihnen, liest die Codes, jede einzelne Befehlszeile. Er will verstehen, wie sie funktionieren, wie sie in fremde Computer eindringen und wie man sie unschädlich machen kann. Er ist Teil eines stillen Krieges, der mit Tastaturen, Bytes, Codes und Glasfasern ausgetragen wird – Programmierer gegen Programmierer, das Gute gegen das Böse. Eine Seite entwickelt die Cyberwaffen, die andere Seite analysiert sie und versucht, sie zu entschärfen. „Es ist ein Spiel“, sagt er.

Meist sitzt er an einem Schreibtisch oder auf einem Sofa, vor einem Bildschirm, der ihn mit der Außenwelt verbindet. Er studiert seine Gegner und ihre Strategien, um vorauszuahnen, was ihr nächster Schritt sein wird. Es könnten Teenager sein oder erwachsene Männer, irgendwo in einem abgedunkelten Zimmer, vielleicht mit Kapuzenpulli und Spitzbart – das weiß er nie genau. Viele von ihnen haben wahrscheinlich so angefangen wie er: Sie programmierten oder hackten Spiele, um sie nicht bezahlen zu müssen. Rossow jedoch entschied sich früh, einer der „Guten“ zu sein. Ein Wissenschaftler – unabhängig, gewissenhaft, objektiv.

 

Ein Code, geschrieben wie eine kaum entschlüsselbare Sprache

Er erzählt, wie professionelle Hacker immer besser und gezielter vorgehen. Was sie nicht selbst programmieren können oder wollen, kaufen sie in Foren im Internet, dem Schwarzmarkt der digitalen Unterwelt. Dort kann man auch Computer für Angriffe mieten oder sich Zugriff auf Rechner verschaffen, die ohne Wissen der Besitzer in Botnetze integriert wurden. Diese Foren dienen als Marktplatz für eine arbeitsteilige Industrie, die Komponenten für digitale Hochleistungswaffen anbietet, manchmal in geschlossenen Gruppen, die nur zahlenden Mitgliedern zugänglich sind.

Mitte November 2011 begegnete Rossow zum ersten Mal „Gameover Zeus“. Jemand hatte einem Angestellten eines Unternehmens im Nordwesten des US-Bundesstaates Pennsylvania einen Link geschickt, der aussah, als stamme er vom Chef des Mitarbeiters. Dieser Link verschaffte den Angreifern Zugang zu den Daten und Bankkonten des Unternehmens. Später stellte sich heraus, dass dies Bogachevs erster großer Coup war. Die Beute – rund eine Million Dollar – wurde mithilfe von Mittelsmännern und Strohmännern auf ein Konto in London transferiert.

Rossow wusste davon noch nichts. Das Programm, das er in seinem Labor entdeckte, war unbekannt. Sein Code war geschrieben wie eine fast unentzifferbare Sprache. Es nistete sich tief in den Computer ein, verschickte keinen Spam und schien einfach dort zu lauern. Zudem war es extrem gut verschlüsselt. Doch Rossow wollte herausfinden, wie dieses Programm genau funktionierte. Er wollte die Waffe in Aktion sehen.

 

Wochenlang verbrachte er seine Tage in seinem grauen Universitätsbüro und die Nächte zu Hause mit seinem kleinen schwarzen Laptop – oft bis spät in die Nacht. Er schlief kaum und sah seine Freundin nur selten. Gelegentlich, wenn die Sonne schien, ging er für eine halbe Stunde joggen, um den Kopf freizubekommen.

Nach und nach begann Rossow, die Logik dieses Trojaners zu verstehen: wie er mit anderen Computern kommunizierte, sich einschleuste und ein riesiges Botnetz aufbaute. Im Hochsicherheitslabor seiner Universität begann Rossow, eine Kopie der Malware zu erstellen, um weitere Tests durchführen zu können. Dann stieß er auf einen Artikel in einem Fachblog aus Polen. Ein anderer Wissenschaftler hatte offenbar denselben Trojaner entdeckt, analysiert und kam zu dem Schluss, dass er nicht geknackt werden könne. „Gameover Zeus“ war nicht nur unglaublich schnell, sondern sein Erschaffer hatte ihm eine besondere Tarnung verliehen.

 

Ein fast unsichtbarer Feind

Hacker müssen bei der Entwicklung ihrer Malware zahlreiche Entscheidungen treffen, zum Beispiel, wie infizierte Computer wichtige Befehle erhalten sollen. Sie können diese Informationen direkt im Code der Cyberwaffen hinterlegen oder die Kontrolle über die übernommenen Computer von einem oder mehreren externen Geräten steuern lassen. Der Vorteil der ersten Option ist die Direktheit und Zuverlässigkeit, der Nachteil jedoch, dass sie Datenspuren hinterlässt, die von Cyberermittlern oder Fachleuten wie Rossow verfolgt werden können. Bogachev entschied sich für die zweite Variante. Der Computer, der den Trojaner verbreitete, nutzte infizierte Rechner als Mittler. Das machte Bogachev praktisch unsichtbar, nur ein Computer unter Hunderttausenden, die ständig Befehle senden und weiterleiten.

Rossow war beeindruckt. So eine ausgeklügelte Waffe hatte er selten gesehen; der Schöpfer hatte es seinen Gegnern extrem schwer gemacht. Doch Rossow wusste auch, dass jedes Programm eine Schwachstelle hat. Es gibt keinen perfekten Code, sonst wären Betriebssysteme wie Windows, Mac OS oder Linux unverwundbar.

 

Die Entdeckung der Schwachstelle

Eines Nachts, während er durch das Fenster seines Arbeitszimmers den dunkelblauen Himmel betrachtete, war sich Rossow sicher, die Schwachstelle gefunden zu haben. Bogachev kontrollierte nicht, wer seinem Botnetz beitrat. Er hatte kein zuverlässiges Sicherheitsschloss für sein Netzwerk eingebaut. Vielleicht hatte er dieses Problem einfach nicht bedacht oder war zu selbstsicher und glaubte, seine Tarnung sei unüberwindbar.

Rossow gelang es, unbemerkt in Bogachevs Botnetz einzudringen. Jetzt war er es, der seinen Feind beobachtete – in Verkleidung. Wenn seine Annahmen richtig waren und es ihm gelang, Bogachevs Trojaner lahmzulegen, würde dies sicherlich das Interesse seiner Professoren, der Hersteller von Antiviren-Software, großer IT-Unternehmen und deren Sicherheitsabteilungen, des Bundeskriminalamts, von Europol und vielleicht sogar des FBI wecken. Aber er wusste, dass er diese Aufgabe nicht allein bewältigen konnte. Es war zu viel Arbeit, und er musste schnell sein, wenn er der Erste sein wollte. Zwei Personen erklärten sich bereit, ihm zu helfen: ein Student von ihm und ein langjähriger Kollege.

Dieses kleine Team, verteilt auf Wohnungen in Dinslaken, Amsterdam und Düsseldorf, analysierte Daten und hielt Videokonferenzen ab, sobald sie etwas Neues entdeckten – was oft mehrmals täglich geschah. Nach ein paar Wochen waren sie überzeugt, einen Weg gefunden zu haben, Bogachevs Waffe anzugreifen, und sie fanden auch den besten Zeitpunkt dafür: einen Freitagabend.

Rossow nutzte sein Virenlabor, um herauszufinden, welche Computer in Bogachevs Botnetz am meisten Informationen miteinander austauschten. Diese waren höchstwahrscheinlich die Steuerungspunkte von Bogachevs Netzwerk. Er und sein Team stellten außerdem fest, dass Updates für „Gameover Zeus“ immer unter der Woche veröffentlicht wurden, meist frühmorgens. Das deutete darauf hin, dass die Cyberkriminellen am Wochenende nicht arbeiteten und vermutlich in einer ähnlichen Zeitzone lebten, vielleicht in Europa, aber wahrscheinlicher in der Ukraine oder Russland. Viele gut ausgebildete IT-Experten leben dort, doch während sie in Deutschland von großen Unternehmen gut bezahlt würden, gibt es in Russland nicht genug Arbeitsplätze für alle.

 

An einem Freitagabend im Mai 2012, kurz nach 17 Uhr, saß Christian Rossow in seinem Arbeitszimmer und blickte auf zwei geöffnete Fenster auf seinem Bildschirm. Eines zeigte die Gesichter seiner beiden Teammitglieder, genauso angespannt wie er selbst. Sie schauten alle auf dasselbe schwarze Fenster, die Matrix. Während andere nur eine lange Reihe von Zahlen, Buchstaben und Zeichen sehen würden, erkannten sie darin eine ganze Welt.

Es hatte fast zwei Monate gedauert, den Code für ihren Angriff zu schreiben. Dieser Code war darauf ausgelegt, die Verbindung der Computer zu manipulieren und sie nacheinander aus Bogachevs Botnetz zu lösen. Aber sie mussten schnell sein. Ein Computer aktualisiert sich alle 20 bis 30 Minuten automatisch. Das war die Zeit, die sie hatten. War der Vorgang langsamer, würde der Computer den Angriff automatisch blockieren. Deshalb nutzten sie das Internet und das Computersystem der Universität – die Verbindung zu Hause wäre zu langsam gewesen.

Rossow drückte die Eingabetaste und wartete.

Die weißen Linien auf dem Bildschirm begannen sich so schnell zu bewegen, dass sie verschwammen. Jeder Computer, der von Bogachevs Botnetz getrennt wurde, sendete eine Bestätigung in Form einer Textzeile. Es waren so viele, und alles geschah unglaublich schnell. Um 2 Uhr in der Nacht überprüfte Rossow das Warnsystem noch einmal – alles war in Ordnung. Er ging glücklich ins Bett, dass der Plan erfolgreich verlaufen war.

Am nächsten Morgen stand er früh auf. Die Hacker hatten noch nicht reagiert. Das Wochenende verging, dann eine Woche, dann noch eine weitere. Rossow war überrascht. Er hatte Bogachev ein teures Problem bereitet, indem er ihm die Kontrolle über die Computer entzogen hatte, deren Besitzer er beraubt hatte. Auf diesen Computern konnte er nicht mehr wie gewohnt operieren, was ihn teure Einnahmen kosten musste. Doch drei Wochen nach dem Angriff schlugen Bogachev und seine Leute zurück. Sie hackten sich in Rossows Universität und griffen deren Internetverbindung an – genau wie Rossow es erwartet hatte.

 

Eine neue Herausforderung

Diese Gegenattacke bestätigte Rossow, dass Bogachev und sein Netzwerk verwundbar waren. Der Erfolg des Angriffs hatte das Botnetz schwer beschädigt. Je mehr Computer an einem Botnetz beteiligt sind, desto schwieriger wird es, es zu reparieren, wenn ein Fehler eingebaut wird – genau das hatte Rossow getan.

In den nächsten Tagen veröffentlichten Bogachev und sein Team mehr als zwölf Updates, um ihre Malware zu verbessern. Es gab neue Funktionen, doch sie hatten den Schwachpunkt ihres Programms noch nicht erkannt. Das bedeutete, dass Rossow und seine Kollegen erneut angreifen konnten, diesmal jedoch mit besseren Waffen: einem ausgefeilteren Code, größeren Computern und mehr Serverkapazität.

Im August 2012 bat Rossow seine Freundin, vorübergehend zu ihren Eltern zu ziehen. Für eine Woche verwandelten er und seine Kollegen seine Wohnung in ein Arbeitscamp, das an die Zimmer ihrer Jugend erinnerte. Sie saßen tagsüber an ihren Laptops, Gummibärchen und Dokumente lagen auf dem Esstisch, und nachts rollten sie Schlafmatten aus, um ein paar Stunden zu schlafen. Sie begannen jeden Tag früh, diskutierten über Peer-to-Peer-Netzwerke, „bulletproof hosting“ und „sinkholing“ beim Frühstück und arbeiteten weiter an ihrem Code.

 

Der zweite Angriff

Sie kontaktierten zwei Männer, die für IT-Sicherheitsunternehmen arbeiteten und die sie auf Konferenzen kennengelernt hatten. Einer von ihnen, Tillmann Werner, setzte sich zu ihnen an den Tisch. Der andere, Brett Stone-Gross aus Kalifornien, loggte sich abends über Skype ein. Stone-Gross hatte außergewöhnliche Fähigkeiten und enge Kontakte zur National Security Agency (NSA) der USA. Auch er jagte schon eine Weile Bogachev.

Am Ende der Woche waren sie bereit für ihren zweiten Angriff. Vier Unternehmen stellten ihnen Server zur Verfügung, was es ihnen ermöglichte, nicht nur über die eine IP-Adresse der Universität zu operieren. Dies machte sie schwerer auffindbar. Der wichtigste Unterschied: Ihr Code war dieses Mal viel raffinierter.

Obwohl Rossow nicht an den perfekten Code glaubte, versuchte er, so nah wie möglich daran zu kommen. Für ihn war der Code die Handschrift des Programmierers, die dessen Handwerkskunst und Persönlichkeit offenbart. Ein eleganter Code, der das Schwierige einfach erscheinen lässt, war für ihn das Ideal. Bogachevs Code war in der Tat elegant, aber Rossow glaubte, dass sein Team ihn schlagen konnte.

Währenddessen, fast 8.000 Kilometer entfernt, erließ ein Gericht im Norden der USA eine Anklage gegen die Person hinter den Pseudonymen „slavik“, „lucky12345“ und „Pollingsoon“. Die Vorwürfe: Erpressung, Bankbetrug und Verstöße gegen mehrere Computerkriminalitätsgesetze.

 

Rossow stand vor einer schwierigen Entscheidung, als es darum ging, wer nach Pittsburgh reisen sollte, um die finale Phase des Angriffs auf Bogachevs Botnetz zu leiten. Peterson, der Kopf hinter der internationalen Operation, hatte Stone-Gross und Werner in das nationale Cyberabwehrzentrum der USA geholt. Während ihr Programm sich in Bogachevs Netzwerk eingrub und es langsam demontierte, führten Ermittler weltweit, besonders in Russland und der Ukraine, Razzien durch. Zehn von Bogachevs Komplizen wurden festgenommen. Dies war Teil von Petersons Plan.

Am Freitagmorgen um kurz nach 8 Uhr PST drückten Stone-Gross und Werner die Eingabetaste. Sieben Stunden später, gegen 21 Uhr deutscher Zeit, klingelte Rossows Handy. Er war im Urlaub, saß auf einer Bank vor seiner Ferienwohnung und las ein Buch. Werner war am Apparat und sagte: "Etwas stimmt nicht."

Rossow hatte lange überlegt, ob er nach Pittsburgh reisen sollte. Schließlich war er derjenige, der Bogachev aufgespürt hatte, ihn über Monate hinweg verfolgt und dessen Persönlichkeit zu verstehen versucht hatte. Aber er hatte seiner Freundin diesen Urlaub versprochen, und in wenigen Wochen würden sie heiraten. Rossow arbeitete sowieso lieber allein, ohne den Druck, dass jemand ihm dabei zusah. Für ihn spielte es keine Rolle, ob er in Deutschland oder in den USA war – der Kampf gegen Bogachev fand im Cyberspace statt, nicht an einem physischen Ort.

Doch jetzt stand alles auf dem Spiel. Ihr Programm lief viel zu langsam. Wenn sie das Problem nicht schnell lösten, würde Bogachev weiterhin die Kontrolle über die infizierten Computer behalten. Rossow vermutete einen Fehler im Code. Ohne Internetverbindung in der Ferienwohnung sprang er auf sein Fahrrad und fuhr in die Stadt, wo er ein Hotel mit WLAN fand. Im Dämmerlicht setzte er sich in die Lobby, startete seine Programme und suchte in der Matrix nach dem Fehler. Stunden vergingen, während Rossow sich völlig in die Arbeit vertiefte. Schließlich drückte er die Eingabetaste und sah zu, wie das Programm sich in Bogachevs Netzwerk fraß.

Drei Tage später trat James Cole, stellvertretender Generalstaatsanwalt der USA, vor die Presse und verkündete eine sensationelle Nachricht: Dank eines internationalen Teams sei es gelungen, einen der erfahrensten Cyberkriminellen der Welt zu fassen. Evgeniy Mikhailovich Bogachev hatte das komplexeste System von Computerviren erschaffen, das die Ermittler jemals gesehen hatten. Über eine Million Computer, darunter auch Server von US-Banken, seien infiziert worden. Bogachev werde wegen Internet- und Bankbetrugs, Erpressung, Datendiebstahl und Geldwäsche angeklagt.

An diesem Nachmittag telefonierte Rossow mit Werner, der ihm jeden einzelnen Schritt der Operation schilderte. Als Rossow auflegte, dachte er, die Geschichte sei vorbei. Doch in den folgenden Jahren entwickelte sich die Sache weiter. Fünf Jahre später sitzt Rossow in seinem Wohnzimmer und ist sich nicht sicher, was er von all dem halten soll. Er hat Grund, stolz zu sein: Er hatte etwas Außergewöhnliches geleistet. Das FBI überreichte ihm eine Urkunde in einem dunkelblauen Rahmen, der nun in seinem Büro steht. Nach seinem Abschluss erhielt er ein Angebot, seine eigene Forschungsgruppe zu leiten. Seine Vorlesungen sind beliebt, und er wird regelmäßig zu Vorträgen nach Nizza oder ins Silicon Valley eingeladen.

Trotz seines Erfolges fühlt sich Rossow unbehaglich. Jedes Mal, wenn sein Name öffentlich genannt wird, zuckt er zusammen. Er hatte es nicht mit irgendeinem Hacker zu tun, sondern mit einem gefährlichen Kriminellen, der zu allem fähig sein könnte. Rossow fürchtet, dass Bogachev Rache nehmen könnte. Außerdem gibt es noch die Frage der Spionage. Tief im Inneren von Bogachevs Botnetz stießen Rossow und sein Team auf Befehle und Durchsuchungsbefehle, die üblicherweise nicht in Malware von digitalen Bankräubern zu finden sind. Dies deutet darauf hin, dass Bogachev nicht nur ein gewöhnlicher Krimineller war, sondern möglicherweise auch in Spionageaktivitäten verwickelt war.

 

Lebt Bogachev noch in Russland?
Es gibt Hinweise darauf, dass jemand Informationen über Georgien und die Ukraine sowie über Syrien und die Türkei sammelte. Dabei handelte es sich um möglicherweise brisante Daten. Die Suchanfragen deuteten darauf hin, dass geheime Regierungsdokumente und bestimmte Mitarbeiter ausländischer Geheimdienste im Fokus standen. Dies könnte auf eine russische Beteiligung hinweisen. In diesem Zeitraum war niemand so sehr an diesen Ländern interessiert wie Wladimir Putin, der Präsident Russlands. Er hatte einen Krieg gegen Georgien geführt, und das Verhältnis zwischen den beiden Ländern blieb angespannt. Der syrische Herrscher Bashar al-Assad bombardierte sein eigenes Volk, während Putin ihn unterstützte, während die Türkei auf der Seite Europas und Amerikas stand. Auch führte Putin einen Krieg gegen die Ukraine.

Die von Bogachevs Malware gesammelten Daten legen nahe, dass sich ein Spion, möglicherweise sogar ein direkt vom russischen Staat eingesetzter, in Bogachevs Botnet eingeschlichen hatte. Die Qualität seiner Cyberwaffe schien diese Vermutung zu bestätigen. „Ich wäre mit solchen Sachen vorsichtig“, sagt Rossow und weist darauf hin, dass es zahlreiche Möglichkeiten gibt, sich im Internet zu tarnen und jemandem falsche Fährten zu legen.

Trotzdem sprechen die amerikanischen Ermittler, einschließlich des FBI-Agenten Peterson, von Spionage und der Rolle Bogachevs bei der Suche nach potenziell gefährlichen Informationen. Im Sommer 2014 baten die USA Russland um die Auslieferung Bogachevs – vergeblich, da zwischen beiden Ländern kein Auslieferungsvertrag besteht. Im Februar 2015 wurde Bogachev von den FBI zur Fahndung ausgeschrieben, mit einer Belohnung von 3 Millionen Dollar. Das ist die höchste Prämie, die je für die Festnahme eines Cyberkriminellen ausgeschrieben wurde.

Zahlreiche Hinweise deuten darauf hin, dass Bogachev weiterhin in Russland lebt, genauer gesagt in Anapa, einem Kurort mit sechzigtausend Einwohnern an der Schwarzmeerküste. Offiziell ist er dort mit einer Adresse in einem Hochhaus verzeichnet, das sich nur wenige Hundert Meter von einer Polizeistation entfernt befindet. Nach Angaben seiner Nachbarn, die russischen und englischen Journalisten Auskunft gaben, ist er regelmäßig dort anzutreffen. Sie beschreiben ihn als sehr angenehm und berichten, dass er in einem alten Volvo mit einem Aufkleber für Computerreparaturen herumfährt. Gelegentlich soll er auch auf seiner Yacht sein, die vor der Küste ankert. Bogachev scheint nicht besonders darauf bedacht zu sein, im Verborgenen zu bleiben – ein Grund, weshalb die Ermittler in den USA und Europa vermuten, dass ihn die Regierung Putins möglicherweise schützt.

All dies ist spekulativ, aber solche Spekulationen verbreiten sich wie ein Computervirus. Elliott Peterson, der FBI-Ermittler, der Bogachev verfolgt, machte dies vor einigen Monaten öffentlich. Auf einer Cyberkonferenz in Las Vegas präsentierte er einen ausführlichen Bericht über die Jagd auf Bogachev. Peterson behauptete, dass „Gameover Zeus“ von Anfang an zur Spionage eingesetzt wurde. In seinem Epilog dankte er Rossow persönlich.

Rossow reagiert auf diese Fragen mit einer grimassierenden Miene. Manchmal hat er das Gefühl, die Welt stehe in Flammen. Es fühlt sich an, als wären die USA und Russland wieder im Kalten Krieg. Er fürchtet, dass in solch turbulenten Zeiten schon die kleinste Provokation ausreichen könnte, um eine Eskalation auszulösen: Spionage, diplomatische Komplikationen, Cyberkriege. Das Ganze scheint für ihn zu groß geworden zu sein.

Er ist Informatiker. Er wollte etwas herausfinden und das Richtige tun. Doch jetzt scheint es, als ob niemand mehr daran interessiert ist.