Aus dem Rechenzentrum

Eine lange Angelegenheit findet in einem einzeiligen Schreiben der Staatsanwaltschaft Koblenz ihren Abschluss:

Das vorbezeichnete Ermittlungsverfahren wurde gemäß § 170 Abs. 2 der Strafprozessordnung eingestellt.

Damit ist nun also offenbar auch dort angekommen, dass der Vermieter eines Servers, der dann von einem Webhoster verwaltet wird, der dort eine Website eines Küchenhändlers betreibt (nun mehr: betrieb), der dort einen Onlineshop betreibt und dann seine Kunden nicht mit der bestellten Ware beliefert … nun, also, dass wir daran keine Schuld tragen.

Das Schreiben bezieht sich übrigens auf einen Vorgang, über den ich bereits vor zehn Monaten unter dem Titel Schlampig ermittelt gebloggt habe – und schon damals zog sich der Fall bereits ein halbes Jahr lang hin. Auch mein Rechtsbeistand freut sich über die späte Einsicht und kommentiert:

Es wundert nur, dass Ermittlungsorgane dafür so lange brauchen.

Dass ich der zuständigen Polizeidienststelle – was aktenkundig ist – in Kooperation mit meinem Kunden angeboten hatte, entsprechende Protokollauszüge von FTP- oder E-Mail-Logins zu sichern, um sie im Fall einer richterlichen Verfügung bereitstellen zu können: Das hat offenbar niemanden interessiert. Bis heute wurde nichts dergleichen abgefragt. Dass ich weiterhin mitteilte, dass unser Kunde genauere Informationen über den Küchenhändler bereitstellen könnte: Egal. In der Ermittlungsakte fand sich nicht einmal ein Versuch einer Kontaktaufnahme mit meinem Kunden (er hätte gerne geantwortet, wie auch schon in gleicher Angelegenheit drei anderen Polizeidienststellen davor).

Zwischenzeitlich wurde mir übrigens großzügig angeboten, das Verfahren einzustellen, wenn ich denn – aufgemerkt! – einfach nur den entstandenen Schaden begleichen würde. Mein Rechtsbeistand und ich haben herzlich gelacht, und ich habe dann mein Kreuz im Feld „Ich bin NICHT einverstanden“ gemacht.

Nun hat die Geschichte also ein Ende gefunden – jedenfalls für mich; denn dass die Vorwürfe gegen mich zurückgezogen wurden, könnte ja auch bedeuten, dass man den tatsächlich Schuldigen dingfest machen konnte.

Vor allem den Geschädigten wäre dies mehr als alles andere zu wünschen. Vor allem nach so langer Zeit.

Ich habe mal wieder mit der Polizei zu tun und bekomme dabei direkt die Frage beantwortet: Was sind das eigentlich für Leute, die ernsthaft auf Phishing reinfallen?

nach Angaben des Geschädigten, wollte sie am $Datum zu Hause eine Überweisung mittels $Bank Online-Banking durchführen. Bei der Durchschau ihrer E-Mails, stellte sie fest, dass sie eine Nachricht der $Bank erhalten hatte. In dieser Mail wurde sie aufgeforderten wegen einer angeblichen Sicherheitskontrolle, 70 TANs einzugeben. Gutgläubig kam sie dieser Aufforderung nach.

Wenig überraschend:

Am $Datum+2 stellte sie bei einer Kontrolle ihres $Bankkontos fest, dass durch Unbekannt am $Datum+1 – $Betrag € von ihrem Konto abgebucht wurden.

Und hier kommen nun wir ins Spiel: $Bank teilte nämlich im Zuge der Ermittlungen mit, dass die Überweisung von einer IP durchgeführt worden wäre, die in einem unserer Netze liegt. Das ist schon mal ausgesprochen merkwürdig: Die Server, die bei uns laufen, haben keine grafischen Oberflächen und damit maximal textbasierte Browser, mit denen jedes mir bekannte Onlinebanking unbenutzbar ist. Und jeder, der schon mal versucht hat, ein Tool zu schreiben, was sich automatisiert durch ein Onlinebanking-Webinterface durch“klickt“, weiß, dass das nicht so trivial ist, zumal bei vielen Banken inzwischen auch noch reichtlich Javascript zum Einsatz kommt. Aber natürlich bleibt es prinzipiell möglich, auch von einem Server ohne grafische Oberfläche aus so etwas durchzuführen; es ist einfach nur erfahrungsgemäß doch eher unwahrscheinlich, denn die meisten Angriffe sind schlicht gesagt platt und dumm. Aber vielleicht gibt es für $Bank ja ein fertiges Tool für die Script-Kiddies, wer weiß.

Eine theoretische Möglichkeit wäre noch, dass HBCI im Spiel war, was als Schnittstelle ja gerade für die automatisierte Nutzung gedacht ist. Allerdings muss ein Konto üblicherweise erstmal für die Nutzung per HBCI freigeschaltet werden, und ich habe gewisse Zweifel, ob jemand, der gutgläubig 70 TANs auf einer Phishing-Site eingibt, das getan hätte. Davon abgesehen erwähnt das Schreiben der Polizei explizit „Online-Banking“ und verliert kein Wort in Sachen HBCI.

Nun aber der eigentliche Knackpunkt: Die fragliche IP-Adresse liegt überhaupt nicht auf einem Server, sondern gehört zu einem IPMI-Modul. Solche Module, die sich bei Servern häufig direkt auf dem Mainboard befinden oder manchmal auch als Steckkarte nachgerüstet werden können, dienen der Fernwartung und können, vereinfacht gesagt, den Server remote ein- und ausschalten und bieten zudem einen Zugriff auf die Konsole, als wenn man Tastatur und Monitor angeschlossen hätte – sprich, man kann auf diese Weise bereits auf den Bootprozess des Servers zugreifen. Eins aber ist nach meinem Ermessen ausgeschlossen: Dass man auf so einem IPMI-Modul eigene Software so wie beispielsweise einen Webbrowser oder auch nur ein Script, das sich automatisch durch eine Seite klickt, installieren könnte. Das Mini-Betriebssystem dieser Module ist eben fest auf den Chip geflasht. Selbst wenn man über das IPMI-Modul Zugriff auf den Server erlangt hätte und von dort aus dann den Angriff auf das Konto der geschädigten Person gefahren hätte, wäre der Angriff aus Sicht der $Bank dann von der IP des Servers und nicht der IP des IPMI-Moduls gekommen.

Bliebe maximal noch IP-Spoofing. Das hätte aber durch arpwatch auffallen müssen, was ARP-Pakete, die für eine IP plötzlich eine andere MAC-Adresse als bisher kommunizieren, automatisch bemerkt und bei uns am Mirrorport des Uplinks mitläuft. Insofern ist also auch das keine ernsthafte Option, die als Erklärung taugen könnte.

Meine derzeitige Theorie ist ein Zahlendreher – wäre schließlich nicht das erste Mal.

Was schließlich jemanden reitet, 70 (!) TANs auf einer gefälschten Bank-Website einzugeben, erschließt sich mir einfach nicht. Nicht mal meine richtige Bank würde von mir verlangen, das zu tun – ganz davon abgesehen, dass sie schon lange auf automatisch per optischem Leser generierte TANs umgestellt hat, was nebenbei nicht nur sicherer, sondern auch viel bequemer ist. Mir ist einfach ein Rätsel, wieso wir im 21. Jahrhundert die ollen TAN-Listen nicht schon längst abgeschafft haben und uns immer noch mit Phishing herumschlagen müssen.

Zynismus liegt mir selten, aber in diesem Fall kann ich mir ein kopfschüttelndes „Unsere Steuergelder bei der Arbeit“ nicht verkneifen.

Ein Küchenhändler lässt sich per Vorkasse bezahlen und liefert nicht. Die genauen Details sind mir nicht bekannt, aber die einschlägigen Foren sind voll davon; die Liste der Geschädigten umfangreich. Man spricht von Betrug, Insolvenzverschleppung; die Stichhaltigkeit der Vorwürfe entzieht sich meiner Kenntnis.

Darum soll es auch gar nicht gehen. Es geht darum, dass der Küchenhändler auch eine Website hat. Die hat er sich mitsamt Domain bei einem meiner Kunden bestellt und auf dessen Server gehostet, der seinen Platz in einem unserer Racks im Rechenzentrum hat.

Die Ermittlungen ziehen sich seit Monaten hin. Mitte Januar erhielt ich eine Anfrage der Hamburger Polizei mit einem Auskunftsersuchen zur IP-Adresse der fraglichen Website, in der auch der Domainname genannt wurde. Ich konnte daher nicht nur die gewünschte Auskunft erteilen, sondern aufgrund der Nennung des Domainnamens auch gleich Details ergänzen, da mir der Vorgang aufgrund von Beschwerden von Geschädigten bereits bekannt war. Ich nutzte daher die Gelegenheit, um auch gleich aufzuklären, welche Rollen ich (Serverhosting-Provider) sowie mein Kunde (Webhosting-Provider) hierbei spielen – nämlich gar keine, so wie ja auch der Vermieter des Küchenhändlers nichts für dessen Nichtlieferung kann, genausowenig wie, sagen wir, dessen Telefonanbieter. Ich schloss mit dem ausdrücklichen Hinweis darauf, dass sowohl ich als auch mein Kunde unsere weitergehende Kooperation anbieten, wenn es beispielsweise noch um Protokollauszüge von FTP- oder E-Mail-Logins ginge.

Monatelang hörte ich nichts mehr von diesem Verfahren. Bis ich Ende April eine Vorladung von der Polizei Mainz erhielt. Als Beschuldigter. Wegen Warenbetrugs. Ich fiel aus allen Wolken. Nachdem ich über meinen Rechtsanwalt Akteneinsicht gefordert hatte, war klar: Es geht um diesen Küchenhändler.

Mein erster Gedanke war: Könnte die Mainzer Polizei nicht freundlicherweise mal mit der Hamburger Polizei reden, der ich ja nun schon umfangreich Auskunft erteilt hatte? Von meinem Kunden wusste ich zudem, dass er bereits drei weiteren Polizeistellen ebenfalls Auskünfte erteilt hatte – was nebenbei kein besonders gutes Licht auf die interne Kommunikationsfähigkeit der Polizeistellen wirft.

Bei Durchsicht der Akte gemeinsam mit meinem Rechtsanwalt stellten wir dann überrascht fest: Meine Stellungnahme befindet sich bereits in der Akte. Sie wurde auch zur Kenntnis genommen; finden sich doch mehrere handschriftliche Markierungen und Unterstreichungen darauf.

Was sich in der Akte hingegen nicht fand, war irgendein Versuch einer Kontaktaufnahme mit meinem Kunden, um weiter zu ermitteln. Er hätte ihnen dann vermutlich als vierter Polizeistelle die gleiche detaillierte Auskunft mit allen Kontaktdaten des Küchenhändlers erteilt wie schon den drei Polizeistellen davor. Namen und Kontaktdaten aller ihm bekannten beteiligten Personen; in Deutschland, Schweiz, Luxemburg. Kurz: Wertvolle Informationen für die Ermittlungen, nicht zuletzt, da er auch mitteilen konnte, bei welchen anderen Polizeistellen sonst noch in dieser Sache ermittelt wird, womit er genau die Vernetzung hätte herstellen können, die die Polizei alleine offensichtlich nicht auf die Reihe bekommt.

Stattdessen ist der nächste Vorgang in der Akte etwas, was ich nur kopfschüttelnd zur Kenntnis nehmen kann: Die Hamburger Polizei übergibt die Akte an die Staatsanwaltschaft Koblenz. Wieso, das frage nicht nur ich mich, sondern auch die Koblenzer Staatsanwaltschaft: Sie sendet die Akte an die Staatsanwaltschaft Hamburg, mit dem Vermerk, die Tatortzuständigkeit nach § 7 StPO läge nun mal eben dort – und mit dem Seitenhieb, dass nebenbei für den Beteiligten „Pasche“ die Staatsanwaltschaft Mainz zuständig wäre und somit in Koblenz keine Zuständigkeit erkennbar sei.

Am 30. April 2010 – über vier Monate nach meiner Auskunft; vier Monate, in denen nichts Weiteres ermittelt wurde – trifft die Akte bei der Polizei in Mainz ein. Die Hamburger Staatsanwaltschaft weist an, die Ermittlungen abzuschließen und mich als Beschuldigten zu vernehmen.

Die Antwort meines Anwalts wird knapp ausfallen. Ein Verweis auf Seite 17 der Akte. Mit meiner detaillierten Stellungnahme zur Sache. Er habe selten einen Fall gesehen, in dem derartig schlampig ermittelt worden sei. Einem Strafverfahren sehe ich von daher gelassen entgegen. Im Grunde wäre es sogar wünschenswert, wenn es dazu käme: Im Fall eines Freispruchs – wovon angesichts der Sachlage zweifellos ausgegangen werden muss – bekäme ich so nämlich zumindest noch die Kosten für meine rechtsanwaltliche Verteidigung erstattet. Soweit wird es aber sicher nicht kommen. Ich kann mir nämlich nicht vorstellen, dass ein Richter angesichts dieser offenkundigen Sachlage ein Verfahren überhaupt eröffnen würde.

Insbesondere angesichts der massiv gestiegenen Begehrlichkeiten zum Beispiel in Sachen Internetsperren oder der Vorratsdatenspeicherung wird mir – und das ist durchaus nicht zynisch gemeint, sondern bitter ernst – Angst und Bange, wenn in Zukunft noch machtvollere Instrumente in die Hände von inkompetenten Beamten gelegt werden sollen. Mir scheint, ein gehöriges Maß an Fortbildung wäre hier wesentlich angemessener. Und es ist beileibe nicht so, dass ich im Laufe der letzten Jahre nicht schon wiederholt Polizeibeamten im Zuge von Ermittlungen nicht nur kurze Auskünfte erteilt hätte, sondern auch detaillierte Erklärungen über technische Zusammenhänge, die durch die Bank weg interessiert, dankbar und oft sogar überrascht zur Kenntnis genommen wurden. Ich weiß nicht, ob es die Regel ist, nach einer Auskunft Tage später nochmal ein ausdrückliches Dankeschön für die hilfreichen Erklärungen zu bekommen – ich nehme an, eher nicht, und freue mich um so mehr über entsprechende Rückmeldungen der letzten Zeit.

Jene Beamten hatten aber eben zumindest soviel Sachverstand, mich als Zeuge zu befragen. Wer mich als Beschuldigten vorlädt, kann dann auch entsprechend nur mit knappen Antworten und nur einem Minimum an Kooperation rechnen. Dass die Polizei erstmal ihre eigenen Hausaufgaben macht, kann ja nun wohl nicht zuviel verlangt sein.

Gestern bekam ich ein Fax eines Polizeireviers: Ich möge bitte Auskunft darüber erteilen, wer an einem bestimmten Termin Inhaber der IP-Adresse 82.98.82.22 war. Ich war reichlich verwundert, da ich ja nun kein Zugangsprovider bin, sondern meine IP-Adressen alle fest im Rechenzentrum geroutet sind. Auf die einfachsten Varianten (mal die IP im Browser aufrufen, wo dann eine Seite von selfHOST erscheint … oder sich mal das Reverse Lookup anschauen, wo ebenfalls was von selfHOST herauskommt) war man irgendwie noch nicht gekommen.

Einigermaßen verunsichert habe ich zunächst versucht, herauszufinden, worum es denn hier eigentlich geht, denn für meine Kunden lege ich die Hand ins Feuer, und für die Maschine selbst ebenso, da sie von mir gepflegt wird.

Des Rätsels Lösung: Irgendwo in Magdeburg gibt es jemanden, der sich bei selfHOST einen DynDNS-Account zugelegt und auf seinem Rechner eingerichtet hatte. Bei einem Einbruch wurde dieser Rechner nun gestohlen. Nun läuft auf dem Rechner aber ein IP-Updater, der sich bei jeder IP-Änderung bei selfHOST meldet, um dem DynDNS-Dienst die aktuelle IP bekannt zu machen. Die dahinterstehende Logik war also: Wenn nach dem Diebstahl ein IP-Update durchgeführt wird, können wir den Anschlussinhaber der entsprechenden IP ermitteln, denn dort muss dann ja schließlich der entwendete PC stehen.

Lustigerweise hat nun aber eben überhaupt niemand ein IP-Update veranlasst – niemand, außer selfHOST selbst. Dort gibt es nämlich eine automatische Abschaltungsfunktion: Immer, wenn für eine definierte Zeit eben gerade kein IP-Update reinkommt, wird der DynDNS-Account automatisch auf die 82.98.82.22 geschaltet, wo dann eine hübsche selfHOST-eigene Seite darüber informiert, dass der entsprechende per DynDNS angebundene Server wohl gerade offline sei. Das war’s auch schon.

So gesehen muss ich wohl froh sein, dass die Herren in Grün zumindest erstmal freundlich bei mir nachgefragt haben, statt mir direkt eine Hausdurchsuchung anzuhängen. Immerhin bin ich per WHOIS Inhaber des IP-Netzes. Warum die Polizei mich nun eher als Provider und nicht als den endgültigen Inhaber und damit direkt für die IP Verantwortlichen identifiziert hat – wer weiß das schon. Auf jeden Fall: Nochmal gutgegangen! Und das Polizeirevier hat sich anschließend auch nochmal sehr nett für meine Ausführungen bedankt. Bleibt nur zu hoffen, dass der gestohlene Rechner auf anderem Wege wieder auftaucht.