Zum Hauptinhalt springen

Alptraum in der Cyberwelt

Von Heike Hausensteiner

Wissen

Opfer eines Hackers zu werden, ist alles andere als romantisch. Eine wahre Geschichte aus dem Alltag des Internet.


Es ist einer dieser typischen Montage, ein grauer Wintertag, der morgendliche Werksverkehr bedeutet die erste Stressspitze der Woche. Inge Kluger* startet ihren Arbeitstag mit einer Tasse Kaffee mit Milch, ohne Zucker, am Computer und wählt sich wie immer zu allererst ins Internet ein. Ihr Ein-Personen-Unternehmen kann nur dank der schnellen Cyberwelt funktionieren: Ihre Korrespondenz, Vertragsabschlüsse mit den Auftraggebern, Abrechnungen, Bank-Überweisungen, alles das wickelt sie online ab. Sie checkt ihre Posteingänge, beantwortet die wichtigsten Mails und will sich dann einem neuen Auftrag widmen. Da fällt ihr ein, dass sie noch eine Nachricht ausdrucken wollte, sie möchte nochmals ihr Mail-Konto abrufen - aber das Login funktioniert nicht. Sie probiert es nochmals und immer wieder, nichts zu machen. Dabei verwendet sie doch den Account seit sieben Jahren problemlos.

Das Telefon läutet, eine Kollegin ruft an, von der sie schon lange nichts gehört hat: "Ich habe soeben ein Mail von Dir bekommen..." - aber Inge Kluger hat ihr ganz sicher keines geschickt. "In dem englischen Mail steht, Du seist in Madrid überfallen und all Deiner Wertgegenstände beraubt worden...". Ach, Du meine Güte! Sofort dämmert ihr, dass hier ein Hacker sein Unwesen getrieben haben muss. Da kommen schon die nächsten Anrufe, ein Vertreter des Europäischen Gerichtshofes (EuGH), mit dem Inge Kluger vor sieben Jahren zuletzt beruflich zu tun hatte, spricht auf die Sprachbox: "Ich wollte Sie informieren, dass ich in diesen Minuten eine Nachricht in Ihrem

Namen erhalten habe, man möge Ihnen 2100 Euro überweisen... Damit Sie das abstellen." Um Gottes willen, wie peinlich! Eine von Inges Bekannten hatte postwendend auf die ominöse Nachricht geantwortet: "Ich freue mich zwar, von Dir zu hören, aber ich nehme nicht an, dass dieses Mail von Dir ist. Geht’s Dir eh gut?" Darauf antwortet der Hacker seinerseits postwendend, wieder in schlechtem Englisch: "Ich habe Dir schon geschrieben, wie Du mir helfen kannst. Deine Inge." Da wirkt die Cyberwelt gespenstisch.

Ohnmacht

Auch wohlgesonnene Kollegen und Freunde rufen an. "Hast Du dieses Mail auch erhalten? Tut mir leid", sagt sie nur mehr, "da ist jetzt ein ganz großes Chaos passiert." Als sie am Nachmittag ihre Tochter mit dem Auto abholt, läutet ebenfalls ununterbrochen das Handy - normalerweise telefoniert Inge Kluger nie beim Autofahren, schon gar nicht ohne Freisprechanlage. Da ruft ein ehemaliger Kollege, gut bekannt in der Wiener PR-Branche, an; eine Kooperation mit ihm war einmal geplatzt, als sie das am Telefon mit ihm erörtern hatte wollen, hatte er das Gespräch abgewürgt mit den Worten "ich hab heute so Kopfweh" und aufgelegt. Ausgerechnet der meldet sich jetzt. Mag sein, dass bei manchen Anrufern Schadenfreude mit im Spiel ist.

Ich bin ruiniert, kann wieder von null anfangen, denkt Inge. Das ist Ruf-schädigung! Aber wie stellt man so ein falsches Bettelmail bloß ab? Offenbar geht es den Hackern ja nur darum, schnell an Geld zu kommen. Neben dem Gefühl, am Boden zerstört zu sein, machen sich Verzweiflung und Ohnmacht breit. Doch das hilft alles nicht. Das gefakete Rundmail haben die Hacker anscheinend an alle mehr als 900 Kontakte von Inge Kluger verschickt. Sie hatten ihren Mail-Account "gehackt" und das Passwort geändert.

Das kostenlose E-Mail-Konto von Google hatte bisher sehr gut funktioniert, verfügte über eine hohe Speicherkapazität - sehr praktisch für die Einzelunternehmerin. Nur: Eine telefonische Hotline konnte der Gmail-Server seinen gut 500 Millionen Usern nicht anbieten. Und davon hätte Inge jetzt dringend Gebrauch gemacht, um ihre Verzweiflung abzuladen.

Also heißt es in diesem Wechselbad der Gefühle einen kühlen Kopf bewahren - und Online-Masken zur Kontowiederherstellung ausfüllen: "Wann hatten Sie zuletzt Zugriff auf Ihr Gmail-Konto? Welche waren die am häufigsten verwendeten Kontakte? Wer hat Sie zu Verwendung von Gmail eingeladen und wann?" Diese Details kann Inge Kluger halbwegs rekonstruieren. "Wie hieß Ihre erste Klassenlehrerin?" Christa Fuchs - so hatte die Sicherheitsfrage zum Mail-Konto gelautet. Doch die Antwort ist leider falsch: Die Hacker haben sogar diese Einstellung geändert!

Bei der Suche im Internet macht Inge Kluger einen sofortigen Online-Support für Computerprobleme mit Sitz in Deutschland ausfindig, aber auch der kann nicht helfen. "Ich fürchte, Sie werden bei Gmail schlüssig nachweisen müssen, dass Sie die tatsächliche Konto-Inhaberin sind, sonst sehe ich keine Chance zur Wiederherstellung. Tut mir leid, dass ich Ihnen nicht weiterhelfen kann." Verdammt, jetzt ist nicht nur mein Ruf ruiniert, sondern auch meine Kontakt-Adressen und Daten, die ich online archivieren wollte, sind weg, denkt Inge. Sie wiegte sich hier in falscher Sicherheit und verabsäumte eine doppelte Datensicherung. Sie war der Annahme, Google würde sich doch sicherlich vor einem Imageverlust wie durch Hacker-Angriffe selbst schützen. Deswegen hat sie auch nie an besondere Vorsichtsmaßnahmen gedacht und ihren Account auch an öffentlichen Hotspots genützt, zum Beispiel in Kaffeehäusern. Sie spürt, wie ihr Adrenalin-Spiegel weiter steigt.

In der automatischen Rückmeldung auf die Anfrage zur Konto-Wiederherstellung schreibt Google, man setze sich normalerweise innerhalb von 24 Stunden mit dem Gmail-User in Verbindung. Also heißt es weiter abwarten, sie fühlt sich wie gelähmt. In der Nacht kann sie kaum schlafen, tagelang. Zu allem Überdruss melden sich dann auch noch ein betagter Freund der Familie und die Schwiegereltern, mit denen sie sich überworfen hat: Sie würden gerne helfen und Geld überweisen - und haben nicht erkannt, dass sie ein gefaketes Mail erhalten hatten. "Warum sollte ich Euch per Mail und in horrendem Englisch um Hilfe bitten?", würde sie sie am liebsten fragen. Inge kann es nicht fassen, dass Menschen auf so einen Trick hereinfallen würden.

Kontakt aufnehmen

Nach drei Tagen schickt Google endlich eine erste beruhigende Nachricht - Inge Kluger besitzt zum Glück für die private Korrespondenz eine andere E-Mail-Adresse. "Wir haben gute Nachrichten für Sie. Ihr Gmail-Konto kann in Kürze wieder freigeschaltet werden, wenn Sie uns noch ein paar Fragen beantworten." Ein erster Anflug von Erleichterung macht sich breit. Die Spannung steigt. Es vergehen nochmals drei Tage, dann hat sie endlich wieder Zugriff auf das beruflich intensiv genutzte Gmail-Konto. Sie checkt den Posteingangsordner: Die gespeicherten Daten sind noch vorhanden, die Hacker waren daran ganz offensichtlich nicht interessiert. Doch im Postausgangsordner sieht sie ihre Vermutung bestätigt: Die 900 Kontaktadressen haben alle das gefakete Bettel-E-Mail in ihrem Namen erhalten! Wachsam be-obachtet sie die kommenden Tage auch ihr Bankkonto - alles in Ordnung.

Das Bundeskriminalamt (BKA) lässt fast zeitgleich mit Inges Hacker-Episode aufhorchen, schildert ein identisches Vorgehen inklusive vorgetäuschtem Überfall im Ausland und der Bitte um Geldüberweisung und warnt vor derartigen Hacker-Mails. "Nehmen Sie mit den Hackern Kontakt auf", empfiehlt das BKA. Das tut auch Inge Kluger. Denn bei der Wiederherstellung ihres Gmail-Kontos ist in den von den Hackern geänderten Kontoeinstellung zu sehen, dass sämtliche Mails an eine yahoo.com-Adresse eines Michael Fadulu umgeleitet wurden. Ihm schreibt sie: "Leider haben Sie mein Gmail-Konto gehackt. Brauchen Sie noch Geld? Woher stammen Sie?" Bis heute hat sie keine Antwort erhalten.

Am Wochenende entwirft Inge Kluger ein Rundmail, in dem sie sich für das gefakete Bettel-E-Mail in ihrem Namen entschuldigt. Es ist auch ein Versuch, das Vertrauen bei ihren Kunden wiederherzustellen. "Danke für diese Informationen. Meiner Frau ist vor zwei Wochen genau das Gleiche passiert", mailt ihr als Rückmeldung ein Geschäftspartner. Er berichtet, zwei Freunde der Familie hätten tatsächlich Geld überwiesen. Um wieder Zugriff auf das Mail-Konto zu bekommen, hatte es jedoch einer Eskalation bedurft, schildert er. Der Geld-Transfer wurde über die Bank "Western Union" abgewickelt und die Summe von einem Mitglied der Hacker-Bande abgeholt. Das Geld zurückzufordern war chancenlos.

Inge Kluger hat der Hacker-Alptraum mehr als eine Arbeitswoche, viele Schlafstunden und Stresshormone gekostet. Ab nun verwendet sie den Mail-Server eines kommerziellen Internet-Providers, der bietet inzwischen annähernd die gleiche Speicherkapazität wie die Gratis-Mail-Server aus den USA. Außerdem erwartet sie hier in punkto Datenschutz mehr Sicherheit, und im Falle des Falles steht auch eine telefonische Hotline zur Verfügung. Als sie nun zur Archivierung die Gmail-Nachrichten in den neuen Mail-Ordner überspielt, sind auch 10.000 im Laufe der Jahre längst gelöschte Nachrichten dabei. Was Gmail treibt, ist mir unheimlich, wundert sich Inge nur mehr. Und nimmt sich fest vor, ihr neues Passwort in Zukunft regelmäßig zu ändern.