Werden mit meinem WLAN-Router Verbrechen begangen?
Stellen Sie sich vor, die Polizei klopft an Ihre Tür und hält Ihnen vor, dass über Ihre IP-Adresse Kindesmissbrauchsdarstellungen verschickt, IT-Systeme von Firmen und Behörden angegriffen oder Schadsoftware verschickt wurde – und Sie haben keine Ahnung, wie es dazu kam.
Es sei „durchaus im Bereich des Möglichen“, dass ausländische Behörden in den letzten Jahren gegen Österreicher und Österreicherinnen deswegen ermittelt haben, obwohl eigentlich sie zu Opfer eines Verbrechens wurden, sagt Martin Grasel, Büroleiter der Cybercrime-Ermittlungen im Bundeskriminalamt im Gespräch mit profil.
Was ist passiert? Die Betreiber des sogenannten Proxy-Dienstes „Socks Escort“ haben Sicherheitslücken bei Internet-Routern entdeckt und diese gehackt. Wer umgerechnet rund 10 Euro im Monat bezahlte, konnte über die Plattform – wie bei einem VPN-Anbieter – über die infizierten Router und mit deren IP-Adressen im Internet agieren. In Österreich wurden rund 700 Router von Firmen und Privatpersonen zu diesem Zweck missbraucht. Weltweit waren Abertausende Router betroffen.
Der Dienst wurde hauptsächlich von Kriminellen genutzt, die so ihre Verbrechen besser verschleiern konnten. Die Cybercrime-Ermittler des Bundeskriminalamts stießen bei verschiedensten Fällen in den vergangenen zehn Jahren immer wieder auf die Plattform, gegen die man ab August 2024 Ermittlungen startete. Man kooperierte mit Behörden aus Frankreich, den Niederlanden und den USA. Unter der Koordination durch Europol wurde daraus die „Operation Lightning“, die Ende 2025 zur Zerschlagung von „Socks Escort“ führte.
Die Behörden froren rund 3,5 Millionen Euro in Kryptowährungen ein und schalteten 27 Server in den USA, in Frankreich und in den Niederlanden ab.
Ein Katz-und-Maus-Spiel
Rund 130.000 Personen sollen das Bot-Netzwerk genutzt haben. Laut Grasel handelte es sich vergleichsweise um eine große Plattform. Der Cybercrime-Ermittler weiß aber auch: „Es ist ein Katz-und-Maus-Spiel.“ Es gibt zahlreiche ähnliche Plattformen und verschwindet eine, taucht die nächste auf.
Außerdem, so Grasel, konnte man die Hintermänner noch nicht ausfindig machen. Zu Festnahmen führte die „Operation Lightning“ bislang nicht. Die Verdächtigen vermutet man „nicht in Europa“. Mehr könne er dazu nicht sagen. „Die Strategie des Störens ist oft unser letztes Mittel“, räumt Grasel ein.
Von sich aus hätten die betroffenen Personen kaum merken können, dass ihre Router infiziert waren und was mit ihnen angestellt wurde: Der Traffic ist angestiegen, manchmal hatte man plötzlich keine Admin-Rechte mehr. Doch das kontrollieren durchschnittliche User nicht regelmäßig.
Umso wichtiger sei es, dass Router und Geräte mit Internetzugang besser geschützt werden. Regelmäßige Updates und der Austausch von älteren internetfähigen Geräten, für die es keine Updates mehr gibt, können Sicherheitslücken verhindern, so der Ermittler, der außerdem dringlich dazu rät, sichere Passwörter zu verwenden – und keinesfalls die WLAN-Passwörter aus der Werkseinstellung beizubehalten. Besonders ältere Router haben sehr einfache, voreingestellte Passwörter, die leicht geknackt werden können.
Die rund 700 betroffenen Geräte kamen von rund 50 verschiedenen Internetanbietern. Diese kontaktiere man nun, damit sie ihre Kunden kontaktieren und die Geräte austauschen können, so Grasel. Von der Polizei selbst werden die rund 700 betroffenen Personen in Österreich nicht kontaktiert und sie müssen auch keine Ermittlungen gegen sich befürchten.