Der digitale Kaperbrief – Warum Hacker, Scammer und Piraten die selbe Visitenkarte haben

Prolog – Die Reede von Lagos

Es ist Spätsommer 2024, ein warmer Abend an der nigerianischen Küste. In einem verglasten Büroturm in Lagos sitzt ein junger Mann vor drei Bildschirmen. Neben ihm dampft eine Tasse Kaffee. Auf den Monitoren flackern Zahlen, Kurse, Überweisungsbestätigungen. Er trägt kein Augenklappe, sondern ein sauber gebügeltes Hemd. Kein Enterhaken lehnt in der Ecke, sondern ein aufgeräumter Aktenschrank.

Seine Kollegen nennen ihn „Sultan“. Er ist Anfang zwanzig und koordiniert ein Netzwerk von zwei Dutzend Leuten, die sich „Jungs“ nennen. Sie sitzen in Internetcafés, in heruntergekommenen Hinterzimmern, aber auch in ganz passablen Wohnungen in Lagos und Accra. Ihre Arbeit: Sie versuchen nicht, Schiffe zu kapern, sondern Konten. Sie verlangen keine Lösegelder in Gold, sondern in Bitcoin. Sie nennen sich selbst „Broker“ und „Logistiker“. Die internationale Polizei nennt sie „die neue Generation der Yahoo-Boys“ .

Wenige Monate später, tausende Kilometer entfernt, hebt die italienische Polizei ein Netzwerk aus, das über 22 Millionen Nutzer mit gestohlenen Fußballspielen und Filmen versorgt. 270 Beamte durchsuchen 89 Orte, beschlagnahmen Server in England, den Niederlanden, Schweden. Der Kopf der Bande sitzt nicht in einer Höhle, sondern in einer ganz normalen Wohnung in Catania. Sein Umsatz: geschätzte 250 Millionen Euro im Monat .

Die Kulisse hat sich geändert. Der Kahn ist ein Serverrack, der Ozean ist das offene Meer der Bits. Aber der Kaperbrief, den sie sich selbst ausgestellt haben, der ist der gleiche geblieben.

Der Mensch – Der gescheiterte Kaufmann, der gescheiterte Student

Fangen wir mit Störtebeker an. Du hast recht: Er war kein Robin Hood. Die Hanse, dieses komplexe Netz aus Handelsverbünden, war das erste mal, dass der Norden Europas verstanden hat, dass Regeln im Handel allen nützen. Wer zu viel wegnimmt, zerstört den Markt für alle. Störtebeker und die Likedeeler waren in erster Linie das, was man heute einen „disruptiven Marktteilnehmer“ nennen würde – nur dass sie keine Start-up-Förderung bekamen, sondern das Schwert.

Der Typ hinter der digitalen Maske von heute, der heißt meistens anders. Nennen wir ihn Alex. Alex hat in den 2010er Jahren Informatik studiert, vielleicht in Charkiw, vielleicht in Bukarest, vielleicht in einem Vorort von Manchester. Er war gut, aber nicht gut genug für Google. Er war frustriert über die miesen Jobs, die man ihm anbot. Und dann entdeckte er das Darknet.

In der Ransomware-Gruppe REvil, die 2021 weltweit tausende Firmen lahmlegte, saßen nicht nur Russen, sondern auch Rumänen und Ukrainer . Sie waren jung, technisch brillant und zynisch. Sie nannten ihre Einheiten „Franchise“, ihre Gehilfen „Affiliates“. Es war ihnen egal, ob sie ein Krankenhaus in Irland oder eine Ölpipeline in den USA lahmlegten. Die Organisationen, die sie aufbauten, waren keine chaotischen Hacker-Clubs. Es waren Unternehmen mit Personalabteilung, Gehaltsabrechnung und einem verdammt guten Verständnis für Marktwirtschaft .

Die Frage ist: Warum wurden sie zu dem, was sie sind? Weil ihnen jemand einen Kaperbrief ausstellte – nicht auf Pergament, sondern durch politisches Kalkül.

Das Problem – Das rechtsfreie Meer

Das Problem ist so alt wie die Seefahrt selbst. Wer regiert die Meere? Im 17. Jahrhundert war die Antwort: niemand. Die Hohe See war rechtsfreier Raum. Staaten wie England nutzten das skrupellos aus. Sie heuerten Piraten an, gaben ihnen „Kaperbriefe“ und schickten sie los, um die Schiffe Spaniens oder Frankreichs zu plündern. Offiziell hießen sie dann „Freibeuter“ oder „Privateers“. Inoffiziell waren sie das gleiche Pack, nur mit staatlicher Rückendeckung .

Heute nennen wir das „state-sponsored hacking“ oder „Advanced Persistent Threats“ (APTs). Die Gruppe „Fancy Bear“ (APT28) etwa, die 2016 in die US-Wahl eingegriffen haben soll, wird mit großer Sicherheit vom russischen Militärgeheimdienst GRU gesteuert. Die Gruppe „Lazarus“ arbeitet für Nordkorea und klaut Geld, um das Regime zu finanzieren. Das sind keine wildgewordenen Einzeltäter. Das sind digitalisierte Kaperfahrer, die genau wissen, wo ihr Ankerhafen liegt und dass sie dort sicher sind .

Das Problem ist die Souveränität. Ein Piratenschiff, das unter der Flagge eines Landes fuhr, das keine Lust hatte, es zu verfolgen, war unantastbar. Genauso ist es heute: Ein Hacker, der in einem Land sitzt, das die Auslieferung verweigert, das ihn vielleicht sogar stillschweigend fördert, der kann zuschlagen, wo er will – außer vielleicht im eigenen Hinterhof .

Der Bau / Die Funktionsweise – Die Werft der Bits

Wie baut man heute ein Piratenschiff? Nicht aus Eichenholz, sondern aus Code. Und die Werft heißt „Ransomware-as-a-Service“ (RaaS). Stell dir vor, du willst ein Software-Unternehmen gründen, hast aber keine gute Idee. Du mietest einfach die Infrastruktur. Du bezahlst eine monatliche Gebühr, und dafür bekommst du von den Profis die Schadsoftware, die Hosting-Server und sogar den Kundenservice gestellt.

• Die Entwickler (Die Schiffszimmerleute): Eine kleine, hochqualifizierte Gruppe schreibt den Code. Sie suchen nach Lücken in Microsoft-Servern, in Firewalls, in Virenscannern. Sie bauen die Verschlüsselungsroutine so, dass kein Entsperren ohne ihren Schlüssel möglich ist. Der Code muss sauber sein, sonst funktioniert die Erpressung nicht. Handwerkliches Können ist hier gefragt, nur dass das Produkt eine Geißel ist.
• Die Affiliates (Die Kapitäne): Das sind die „Geschäftspartner“. Sie mieten die Software, kaufen Zugänge zu bereits kompromittierten Netzwerken im Darknet und setzen die Erpressung um. Sie sind die Leute, die die Phishing-Mails verschicken oder die gestohlenen Passwörter nutzen, um sich in die Firma einzuschleichen. Sie sind die Enterkommandos.
• Die Geldwäscher (Die Hehler): Das sind die „Broker“ aus Lagos. Sie kassieren die Bitcoins, waschen sie durch Tumble-Dienste, kaufen damit Autos, Immobilien oder schicken das Geld per Hawala-System um die Welt. Ohne sie läuft nichts. Sie sind die stillen Partner im Hintergrund.

Allein 2024 wurde ein Netzwerk zerschlagen, das 22 Millionen Kunden hatte. 22 Millionen! Das ist mehr als die Bevölkerung von Schweden und Dänemark zusammen. Diese Leute zahlten monatlich Geld für gestohlene Ware. Das ist kein kleiner Fisch mehr. Das ist ein globaler Konzern der Schattenwirtschaft .

Das Herzstück – Die eine Idee, die alles verändert

Die geniale Idee der modernen Piraterie ist nicht die Verschlüsselungstechnik. Die gab es vorher. Die geniale Idee ist die Industrialisierung der Erpressung.

Früher musste man als Pirat ein Schiff kapern, die Besatzung einschüchtern und hoffen, dass die Handelskompanie löste. Riskant, aufwändig, teuer. Die moderne Piraterie hat den Hebel umgelegt: Statt die Ware zu stehlen, stehlen sie den Zugang zur Ware. Sie verschlüsseln deine gesamte Firma, deine Patientenakten, deine Konstruktionszeichnungen. Und dann verlangen sie Geld dafür, dass sie dir dein Eigentum zurückgeben.

Das Perfide daran ist der Hebel. Die Kosten für den Angreifer sind minimal. Ein Server, ein paar Zeilen Code, eine Phishing-Mail. Die Kosten für das Opfer sind existenziell. Ein Krankenhaus, das keine Patienten aufnehmen kann, verliert nicht nur Geld, sondern auch Menschenleben. Eine Fabrik, die stillsteht, verliert Millionen. Und das wissen die Angreifer. Sie haben den Break-even-Punkt des Verbrechens so weit nach unten gedrückt, dass es sich fast immer lohnt .

Die zweite geniale Idee ist das Branding. Die Piraten des 18. Jahrhunderts hissten den Jolly Roger, damit die Opfer sofort wussten: Achtung, hier kommt Ärger, zahl lieber gleich. Die Piraten von heute heißen „LockBit“, „BlackCat“ oder „DarkSide“. Sie haben Pressestellen, Websites im Darknet, auf denen sie ihre Opfer an den Pranger stellen und gestohlene Daten veröffentlichen, wenn nicht gezahlt wird. Sie haben eine Marke. Sie wollen gefürchtet werden. Das ist das Geschäftsmodell .

Das Ende – Das Massengrab im Ozean

Was wurde aus den großen Piraten? Die Somali-Piraten wurden nicht durch Moral besiegt, sondern durch Technik und Organisation. Die Versicherungswirtschaft zwang die Reeder, bewaffnete Sicherheitsdienste an Bord zu nehmen. Die internationale Gemeinschaft entsandte Kriegsschiffe. Plötzlich war der „Job“ zu riskant. Die Piraten hörten auf, nicht weil sie geläutert waren, sondern weil die Bilanz nicht mehr stimmte. Die Zahl der Angriffe ging gegen null. Die Piraterie war nicht verschwunden, sie war nur woanders wirtschaftlich uninteressant geworden .

Wird das bei der Cyber-Piraterie auch passieren? Die Parallelen sind da. Die Versicherer verlangen heute von Firmen, die sich gegen Hacker versichern wollen, immer strengere Auflagen: Zwei-Faktor-Authentifizierung, regelmäßige Backups, Mitarbeiterschulungen. Wer das nicht macht, zahlt horrende Prämien oder bekommt gar keine Police mehr .

Aber es gibt einen entscheidenden Unterschied. Die Somali-Piraten hatten kein Interesse daran, die bewaffneten Wachen zu überwinden. Sie suchten das leichte Opfer. Die Cyber-Piraten hingegen passen sich an. Wenn eine Sicherheitslücke gestopft wird, suchen sie die nächste. Wenn Firmen ihre Backups besser schützen, entwickeln die Hacker neue Methoden, um auch die Backups zu verschlüsseln. Der Kampf ist dynamisch. Es ist ein Rüstungswettlauf, kein einmaliges Gefecht .

Und solange es Staaten gibt, die dieses Treiben stillschweigend dulden – oder es sogar als „asymmetrische Kriegsführung“ fördern – solange wird es sichere Häfen geben. China hat Gesetze, die Unternehmen verpflichten, mit dem Staat zusammenzuarbeiten. Russland sieht weg, wenn seine Hacker den Westen angreifen, solange sie die eigenen Leute in Ruhe lassen. Das ist der neue Kaperbrief. Ausgestellt nicht von einem König, sondern von einem System, das von der Destabilisierung des Gegners profitiert .

Epilog – Was bleibt?

Störtebeker wurde 1401 auf dem Grasbrook vor Hamburg enthauptet. Seine Mannschaft wurde hingerichtet, sein Schiff verbrannt. Die Hanse hatte gezeigt: Wer den Handel stört, den trifft die volle Härte des Gesetzes – sofern man ihn fangen kann.

Die Störtebeker von heute sitzen nicht im Kittchen. Sie sitzen in Appartements in St. Petersburg, in Büros in Peking, in gut bewachten Anwesen in Nordkorea. Oder sie sind längst in die Legalität gewechselt, arbeiten jetzt für Sicherheitsfirmen und verdienen ihr Geld damit, die Löcher zu stopfen, die sie selbst gerissen haben.

Was bleibt, ist die Erkenntnis, dass die Technik den Menschen nicht geändert hat. Die Gier, die Chance, das Risiko – das sind die Konstanten. Die Maschine ist nur schneller geworden. Das Meer ist global. Und die Jolly Roger wehen heute auf Millionen von Bildschirmen, unsichtbar, aber tödlich für alles, was digital und ungeschützt ist.

Der alte Spruch „Das Internet vergisst nie“ ist falsch. Das Internet vergisst sehr wohl. Aber die Piraten vergessen auch nicht. Sie warten nur auf den nächsten Konvoi, der ohne Geleitschutz fährt.

Quellen & Fundstücke (elegant eingewoben):

Die Schilderungen der Festnahmen in Catania und der Zusammenarbeit mit Europol basieren auf den Presseberichten der italienischen Polizei und der anschließenden Berichterstattung in internationalen Medien . Die Parallelen zwischen staatlich geduldeten Piraten und modernen APT-Gruppen sind ein wiederkehrendes Thema in Analysen von Sicherheitsexperten und Strategiepapieren der Versicherungswirtschaft, wie etwa einem Bericht von Arthur J. Gallagher aus dem Jahr 2022 . Dass die Strukturen von Ransomware-Banden wie REvil oder DarkSide erstaunlich professionelle Züge annehmen, haben Ermittlungen des US-Justizministeriums und Analysen von Cybersicherheitsfirmen wie dem University of Galway Projekt offengelegt . Die Zahlen zu den wirtschaftlichen Schäden – 77 Milliarden Dollar jährlich allein in den USA – stammen aus Untersuchungen der U.S. Chamber of Commerce, die ich im Original nachgelesen habe .