Polizei ermittelt im witch.de-Fall

Was zunächst aussah wie ein unglücklicher Unfall entwickelt sich immer mehr zum Kriminalfall: Ein Mailserver der Suchmaschine witch.de ist am Freitag nachmittag gehackt worden. Ein Unbekannter hat daraufhin im Namen von witch.de eine Nachricht an alle in der Mailingliste eingetragenen Personen gesandt und eine Maillawine ausgelöst, die ihresgleichen sucht.

Ärgerlich: Die Mail ist in einem asiatischen Schriftsatz verfasst, so dass europäische Normaluser nur kryptischen Zeichensalat sehen. Einzelne Personen haben bis zu 3.000 Mails erhalten. Wie der Virenexperte bei Network Associates, Dirk Kollberg, gegenüber ZDNet bestätigte, haben Unternehmen bis zu 50.000 Mails von witch.de erhalten.

Vermutlich in Österreich ist eine der witch-Mails dann auf einen mit dem „ILOVEYOU“-Virus verseuchten PC getroffen. Daraufhin wurde die Mail-Lawine noch größer und vor allem um den gefährlichen „.vbs“-Anhang angereichert. Auch in der Schweiz soll die Nachrichten-Bombe Schaden angerichtet haben, aber besonders hart sollen Österreicher betroffen gewesen sein.

„Es hat uns zum unglücklichsten Zeitpunkt getroffen“, sagte Lutz Karolus der Vorstandvorsitzende der Speyernet AG, der Muttergesellschaft von witch.de gegenüber ZDNet. Karolus geht von einem gezielten Angriff gegen sein Unternehmen aus. „Es bietet einen gewissen Anreiz, eine gut gesicherte Bank oder ein bekanntes Unternehmen zu knacken. Da wollte wohl jemand mal eine Suchmaschine hacken.“

Am Freitag war wegen des vorhergehenden Fronleichnams-Feiertages weniger Mitarbeiter anwesend als normal. Daher dauerte es einige Zeit, bis diese bemerkten, dass ein Hacker die Ursache für die Probleme auf dem witch.de-Mailserver war. Die alarmierten Webmaster benötigten weitere Zeit, um sich um den Rechner zu kümmern. „Wir konnten auch niemand warnen, wir haben in Österreich und der Schweiz keine Provider ans Telefon bekommen“, so Karolus.

Obwohl die Server bei Speyernet nach Angaben von Karolus durch eine „sehr sichere Lösung“ geschützt waren, geht der Unternehmens-Chef nicht von einem Angriff durch einen Insider aus: „Das haben wir ausgeschlossen.“ Laut Karolus ermittelt die Kriminalpolizei Rheinland-Pfalz „in drei Richtungen“. Zwar hat Speyernet einige Bekennerschreiben erhalten, aber: „Da sind jetzt viele Trittbrettfahrer dabei. Ich glaube auch nicht an die Theorie, dass das ein 14-Jähriger aus Hamburg war, wie manche berichten“, so Karolus.

Der Firmenchef geht davon aus, dass der HTTP-Server des Unternehmens am Mittwoch Vormittag wieder am Netz sein wird. Der Mailserver soll bis Donnerstag Mittag funktionstüchtig sein. „Wir haben jetzt die Server, die genau wie der angegriffene konfiguriert waren, neu aufgesetzt. Das betrifft unsere Maschinen genauso wie die unserer Kunden.“

Die Telefone von Speyernet waren am Wochenende nicht mehr stillgestanden, weil sich von der Maillawine Betroffene beschwert hatten. Doch mittlerweile, so Karolus, „haben die Leute mitbekommen, dass wir nicht die Verursacher waren und reagieren eher positiv.“

ZDNet berichtet in einem laufend aktualisierten News Report zu ‚ILOVEYOU‘ über die weitere Entwicklung und stellt neben Grundlagenwissen auch Links zu Virenschutz-Anbietern bereit.

Kontakt:
Network Associates, Tel.: 089/37070