IT-Sicherheit

02. Dezember 2009 22:25; Akt: 13.07.2010 15:20 Print

Hacker rächen sich für Minarett-Verbot

von Henning Steier, Rupen Boyadjian - «Unser Krieg gegen die Gegner der wahren Religion Islam wird weitergehen», verbreiten Cyberkriminelle auf Webseiten wie boutiq.ch und fruitcake.ch. Ihr Hoster konnte das Problem bislang nicht lösen. 20 Minuten Online hat zahlreiche Spuren der Angreifer im Netz entdeckt.

storybild

So sehen die gehackten Seiten aus.

Zum Thema
Fehler gesehen?

Wie viele Webseiten von der Attacke betroffen sind, steht zurzeit noch nicht fest. Mehrere Leser-Reporter haben sich bei 20 Minuten Online gemeldet, um den Angriff der Cyber-Piraten zu melden. Es betrifft Seiten wie boutiq.ch, fruitcake.ch, die bahnhoefli-bar.ch in Eschlikon TG oder auch das Forum von Jungwacht und Blauring aus Birsfelden BL.

Diese Seiten werden von Kreativ Media GmbH in Zürich gehostet, nach eigenen Angaben mit 30 000 Seiten einer der zehn grössten Webhoster der Schweiz. Auf Nachfrage von 20 Minuten Online hiess es, man arbeite mit Hochdruck an der Lösung des Problems. Seit wann, wollte ein Mitarbeiter des Unternehmens nicht sagen. Auch zu weiteren betroffenen Webseiten wollte er keine Angaben machen. Die oben erwähnten Seiten sind auch heute Morgen noch nicht wiederhergestellt worden.

Die Hacker namens schalteten ein Bild der Sultan-Ahmed-Moschee in Istanbul auf. Sie ist auch bekannt als «Blaue Moschee» und ist seit der Umwandlung der Hagia Sophia in ein Museum (1934) die Hauptmoschee Istanbuls (siehe Wikipedia). Unter dem Bild steht die Botschaft «Unser Krieg gegen die Gegner der wahren Religion Islam wird weitergehen». Dann folgen Grüsse an andere Hacker, zum Schluss an «All Morocco» und «Arab Hackers».

Spurensuche im Netz

Die Angreifer scheinen sich sicher zu fühlen, denn sie haben auf den geknackten Seiten, die seit etwa 9:30 Uhr immer wieder nicht erreichbar sind, ihre Pseudonyme hinterlassen. So führt beispielsweise eine Suche nach j0rd4n14n.r1z zum Blog einer gewissen ~#0x3 Crew, der von einem Eddy aus der jordanischen Hauptstadt Amman betrieben wird, wie auf der Seite zu lesen ist, die sich passenderweise mit Sicherheitsthemen beschäftigt. Auf den gehackten Websites findet sich auch der Tarnname h4ck3r#47, welcher zu einem Profil im sozialen Netzwerk Netlog passt. Von den Hackern namens SarBoT511, Red-D3v1L und zAx liessen sich problemlos E-Mail-Adressen finden. Auf Anfragen von 20 Minuten Online hat bislang keiner reagiert.

«Parolen in schlechtem Englisch»

Bei einem Sprecher der Zürcher Boutiq AG wurden Erinnerungen an eine ähnliche Attacke Mitte September wach: «Damals wurden unter anderem unsere Websites boutiq.ch, praxis.li und amnesty.li gehackt - und zwar kurz nachdem letztgenannte ins Netz gestellt worden war», sagte er zu 20 Minuten Online, «es waren islamistische Parolen in schlechtem Englisch auf den Seiten zu finden. Nach einem Tag wurde das Problem gelöst.» Warum Websites des Unternehmens ein bevorzugtes Ziel für Cyber-Gangster zu sein scheinen, konnte sich der Sprecher nicht erklären. Bemerkt hatte man die Attacke gestern gegen 22:00 Uhr.

Einer Sekretärin der Berner Fruitcake AG fiel die geknackte Web-Präsenz des Unternehmens heute Morgen auf. Firmen-Chef Lahor Jakrlin gab sich im Gespräch mit 20 Minuten Online gelassen: «Das ist auch eine Art von Werbung für uns», sagte er und wurde anschliessend ernst: «Die Hacker erreichen letztendlich mit solchen Aktionen genau das Gegenteil von dem, worauf sie aus sind. Denn Verständnis der Bevölkerung für ihr Anliegen dürften sie so nicht bekommen. Könnte ich noch einmal abstimmen, wäre ich für die Minarett-Iniative.» Auch Jakrlin hatte keine Erklärung für die Angriffe auf seine Seite, vermutete aber, dass die Attacke einfach auf einen der grössten Schweizer Web-Hoster ausgerichtet war. Zunächst hatten Fruitcake-Mitarbeiter noch mit eigenen Mitteln versucht, die Website wieder ins Netz zu bringen, aber schnell einsehen müssen, dass sie keine Chance hatten.

Nicht die erste Attacke dieser Art

Am vergangenen Sonntag war ein Server der Spiezer Bürki-Hosting gehackt worden. (20 Minuten Online berichtete). Rund 300 Webseiten waren betroffen. Beim Öffnen der Seiten erschien anstelle des herkömmlichen Inhaltes eine Meldung der Hacker, die mit folgendem Satz endete: «Es gibt keinen Grund Minarette zu verbieten.» Das Ganze wurde gezeichnet durch «H4ck3d By r0ver for Wizardz». Zuvor wurde aus einer Passage des Korans zitiert, in der es um das Thema Toleranz geht. Wieso gerade einer seiner Server gehackt wurde, konnte sich Firmen-Chef Olivier Bürki nicht erklären, zumal er politisch nicht engagiert ist. «Ich habe Strafanzeige gegen Unbekannt eingereicht und das KOBIK (Schweizerische Koordinationsstelle zur Bekämpfung der Internetkriminalität) hat bereits damit begonnen, die Log-Dateien zu untersuchen», sagt er gegenüber 20 Minuten Online.