Auf der Anhöhe des Drachenfelser Ländchens, im Schatten der weltgrößten Radarkuppel, die zum Schwester-Institut FHR gehört, gehen FKIE-Forscher ihrer Detektivarbeit nach - in aller Stille, um den Gegner nicht unnötig aufzuschrecken.

Peter Martini, Direktor des Instituts, reagiert deshalb auch gar nicht begeistert auf die Frage, ob er und sein Team hinter der Aufdeckung des millionenfachen Identitätsdiebstahls stünden. Schließlich antwortet er sibyllinisch: "Die Sache ist ein gutes Beispiel dafür, wie fruchtbar die Zusammenarbeit des BSI mit Forschern und Ermittlungsbehörden sein kann."

Die 16 Millionen Mail-Accounts wurden in einem sogenannten Botnet gefunden. Das Aufstöbern und Enttarnen von Botnets ist eine Spezialität des FKIE. Vinton Gray Cerf, einer der geistigen Väter des Internets, hielt im Jahr 2006 beim Weltwirtschaftsforum in Davos eine höchst interessante Rede, die von der Weltöffentlichkeit weitgehend ignoriert wurde.

Cerf versicherte, dass 25 Prozent aller Rechner dieser Welt verseucht seien. Das war vor acht Jahren - für IT-Spezialisten sind acht Jahre eine Ewigkeit. Heute gehen Kriminalexperten davon aus, dass in der westlichen Welt mindestens jeder dritte, wenn nicht gar jeder zweite Rechner befallen ist.

Viren-Programme, die gelangweilte, pickelgesichtige Pubertierende in ihren Kinderzimmern schreiben, um ihr Ego aufzupäppeln, weil kein Mädchen aus der Klasse sie küssen will - so kennen wir das aus Hollywood-Filmen. Doch die Realität des Jahres 2014 sieht anders aus: Heute sind weltweit Profis am Werk, die keine Streicheleinheiten fürs Ego benötigen.

Sie schreiben Schadprogramme, die niemand entdecken soll. Und sie lassen sich gut dafür bezahlen, zunehmend von Mafia-Organisationen in aller Welt. Die kriminellen Mitglieder dieser Banden müssen sich auch nicht mehr in verrauchten Hinterzimmern treffen. Sie müssen sich nicht mal persönlich kennen.

Nicht wenige der Täter sprechen russisch - auch wenn die Verkehrssprache im Netz englisch ist: "I'll do anything für money, I'm not a pussy", versichert ein Anbieter von Schadsoftware auf seiner Website namens "Rent-A-Hacker". Für 50 Euro Pauschale ist er willens und in der Lage, zum Beispiel dem verhassten Kollegen des potenziellen Auftraggebers aus der Ferne mal eben Kinderpornografie auf den Dienstcomputer zu schmuggeln.

Schon ist der Leumund des Kollegen irreparabel geschädigt. Außerdem heute im Sonderangebot: Komplette Datensätze und fremde Kreditkarten. Ein "Zero-Day" hingegen, ausgelöst mittels einer maßgeschneiderten, noch völlig unbekannten Angriffs-Software, gegen die keine Möglichkeit der Verteidigung besteht und deshalb mit einem Schlag eine komplette Firma oder eine Behörde lahmlegt, kann den Auftraggeber auch schon mal eine halbe Million kosten.

Die Mehrzahl der Viren hingegen wird heute zielgerichtet entwickelt und eingesetzt, um Computer zu manipulieren, ohne dass die Eigentümer dies bemerken sollen. Computer-Kriminalität ist inzwischen ein Wachstumsmarkt, der weltweit mehr Gewinne als der illegale Drogenhandel garantiert. Experten schätzen den Schaden pro Jahr bundesweit auf 25 Milliarden Euro, weltweit auf 400 Milliarden US-Dollar.

Und wie funktioniert das? Ein Botnet (Bot steht für Roboter, Net für Netzwerk) besteht aus Tausenden heimlich und ohne Wissen der Eigentümer vernetzter, fremdgesteuerter Computer und verfügt somit über eine gigantische Rechner-Kapazität. Die Besitzer der einzelnen Computer ahnen gar nichts von dem Missbrauch.

Da hockt beispielsweise ein Doktorand der Landwirtschaftlichen Fakultät der Universität Bonn daheim in seiner Poppelsdorfer Dachkammer vor dem Monitor, schreibt fleißig an seiner Dissertation und hat keine Ahnung, dass sein Rechner gerade dabei hilft, massenhaft Spam-Mails in alle Welt zu versenden.

Oder per Phishing das Girokonto eines belgischen Fliesenlegers abzuräumen. Der Bonner Computer ist nur ein winziges Zahnrad im Getriebe dieses Botnets, so wie vielleicht auch der Computer eines irischen Grafikers in Dublin oder der Rechner einer spanischen Zahnarzt-Praxis in Sevilla. Die kriminellen Betreiber bezeichnen die ferngesteuerten Computer und deren ahnungslose Eigentümer wenig schmeichelhaft als "Zombies".

Ein Botnet hat für die kriminellen Nutznießer den angenehmen Nebeneffekt, dass deren wahre IP-Adressen unerkannt bleiben. Wenn das Bundeskriminalamt also nach langwierigen Ermittlungen einen illegalen Händler gefälschter Viagra-Produkte im Internet aufstöbert, finden die Ermittler einen völlig ahnungslosen Doktoranden in Poppelsdorf vor.

Botnets schützen also ihre Kunden aus aller Welt vor dem Zugriff nationalstaatlicher Justizbehörden. Der sogenannte Botmaster sitzt vielleicht im russischen St. Petersburg, vielleicht aber auch in China, in Nigeria oder in Panama. Nur eines ist sicher: Wenn die Exekutive des jeweiligen nationalstaatlichen Rechtssystems zum Zuge kommt, befindet sich die Kommandozentrale höchstwahrscheinlich schon nicht mehr dort, sondern längst woanders. Für die fluchtartige Verlegung werden nur wenige Minuten benötigt.

Cyber Defense: Das klingt nach Abwehrschlacht und nach Krieg. Nach Auffassung von Peter Martini, Leiter des Fraunhofer-Instituts und zugleich Professor für Praktische Informatik an der Bonner Universität sowie Direktor des Uni-Instituts Informatik IV, klingt das nicht nur so: "Wir haben eine extrem ernste Bedrohungslage."

Und was kann man dagegen tun? "Das hängt davon ab, was politisch gewollt ist." Martini vergleicht das gern mit einer möglichen Welle von Wohnungseinbrüchen, sagen wir in der Gemeinde Wachtberg: "Dann wird die Polizei verstärkt Streife fahren, möglichst auch nach Einbruch der Dunkelheit, es werden zusätzlich Zivilstreifen eingesetzt, verdächtige Personen werden auch schon mal angehalten und nach ihrem Ausweis gefragt - aber kein Bürger käme deshalb auf die Idee, den Polizeistaat oder Überwachungsstaat zu befürchten. Wenn es aber um die vermeintliche Einschränkung der Freiheit im Internet geht, ist die Empörung groß."

Ein anderes Beispiel kommt Martini in den Sinn: "Auch die Sicherheit im Straßenverkehr besteht aus unterschiedlichen Komponenten: sichere Autos, routinierte, verantwortungsbewusste Fahrer, gesetzliche Regeln, Kfz-Kennzeichen, damit Verstöße geahndet werden können. Wir dulden das gefährliche Motorradfahren, aber wir haben immerhin eine Helmpflicht. Auch beim Thema Sicherheit im Netz brauchen wir Antworten auf die Fragen: Wie viel Überwachung wollen wir? Welche Wertesysteme sind uns heilig? Die Antworten kann nur der Gesetzgeber liefern."

Die Forschungsarbeit der FKIE-Wissenschaftler erinnert mitunter an jene des Sisyphos, des tragischen Helden der Antike. Denn wie echte Seuchen-Erreger vermehren sich die gefährlichen Schädlinge im Netz nicht linear. 1971 wurde der erste Wurm identifiziert, 1986 der erste Virus. 2006 lag die Zahl der frisch identifizierten unterschiedlichen Schad-Codes im Netz schon bei knapp unter einer Million, 2007 bei fast sechs Millionen, 2009 bei zwölf Millionen, 2010 bei 20 Millionen. Tendenz steigend.

Mit ihrer Hilfe werden Computer heimlich infiziert und zu Botnets vernetzt. Würmer, Viren, Trojaner, Dialer, Rootkits, Spyware, Scareware, Ransomware, Keylogger (das sind Programme, die heimlich jeden Fingerdruck beim Tippen auf der Tastatur mitlesen): "Die bisherigen Kategorisierungen reichen schon längst nicht mehr aus", sagt Elmar Gerhards-Padilla, Leiter der Schadsoftware-Analyse im Wachtberger Institut.

Gern nutzen Kriminelle auch öffentliche Ereignisse, die Neugier erzeugen, weiß Professor Martini: "Sie googeln die Begriffe Schumacher und Skiunfall. Sie finden ein Video im Angebot und klicken es an. Und noch während Sie enttäuscht feststellen, dass darauf gar nicht Michael Schumacher, sondern ein völlig unbekannter Skifahrer zu sehen ist, wird im Hintergrund Ihr Rechner verseucht."

Für die Mitarbeiter der FKIE-Abteilung Cyber Defense wäre es technisch keine große Herausforderung, aus der Ferne den verseuchten Rechner eines Privatmenschen zu säubern und aus den Fängen der Botnet-Betreiber zu befreien. Aber sie dürfen es nicht. Salopp gesagt: Das wäre etwa so, als würde man in eine fremde Wohnung einbrechen, um dort mal die Teppiche gründlich zu staubsaugen.

Die Ermittler haben sich an bestehendes Recht zu halten - den Kriminellen hingegen ist die Rechtmäßigkeit ihres Handelns völlig schnuppe. Schadsoftware-Analyse-Leiter Elmar Gerhards-Padilla verweist auf "eine Fülle solcher Asymmetrien" im täglichen Kampf gegen das Verbrechen im Internet. So ist die Ermittlungsarbeit extrem zeitintensiv und mit hohen Kosten verbunden, während das Cyber-Verbrechen hohe Rendite bei geringem Risiko verspricht.

Zudem sind die kriminellen Werkzeuge mitunter zu Schnäppchen-Preisen erschwinglich und werden sogar ganz dreist auf Facebook feilgeboten: Eine Stunde permanenter DDoS-Angriff (mit dieser Technik des Anfragen-Bombardements per Mails wurde 2007 landesweit das Internet in Estland lahmgelegt) ist schon für zehn US-Dollar zu haben, 1000 Installationen von Schad-Programmen auf fremden Rechnern übernimmt ein Dienstleister für 50 US-Dollar, das Versenden von fünf Millionen Spam-Mails kostet gerade mal 300 US-Dollar.

"Maßanfertigungen sind zwar etwas teurer als Konfektionsware von der Stange", sagt Gerhards-Padilla. "Dafür bietet das Vertriebsmanagement des kriminellen Malware-Herstellers mitunter Service-Center samt Kunden-Support und Schulungen."