Wiesbaden, 13.12.

2011

Betreff: Ennittlungsverfahren
Beldimpfung

der Generalstaatsanwaltschaft

Frankfurt I Main - Zentralstelle
Anhanger

zur

der Intemetkriminalitat

(ZIT). gegen noch unbekannte

der Gruppierung

Anonymous wegen des Verdachts des VerstoBes gg. 303a, 303b StGB

hier: Einleitevermerk zur Androhung einer DDoS-Attacke gegen die GEMA

Vermerk Die Gruppierung Anonymous ist in der Vergangenheit beznglich Angriffen aufverschiedene Institutionen im In- und Ausland, z.B. staatliche


e

www.polizei.de PayPal Mastercard

aufgetreten. Eine detaillierte Ubersicht fiber in der Vergangenheit erfolgte Angriffe kann der als Anlage 1 beigeftlgten Grafik entnommen werden.
In der Vergangenheit kant es insbesondere auch zu Angriffen auf die Webseite der Gesellschaft fur

musikalische Auffiihrungs- und mechanische Verfielfiiltigungsrechte

(GEMA). Am 20.10.2011 kam

es zu einem versuchten Zugriff auf eine Datenbank der GEMA. Nach hiesigem Verstandnis konnten rum damaligen Zeitpunkt keine kritisehen Daten eriangt werden, Hintergrund des- Angriffes war nach Aussage eigener von Anonymous in Open-Source Quellen im Internet der Streit zwischen der GEMA
und dem Diensteanbieter

Youtube, wonach Youtube fUr bestimrnte auf der Webseite angebotene

Musikvideos keine Rechte der Darstellung in Deutschland innehat. 1. Hinweis auf aktuell geplante Angriffe

In einem offentlich zuganglichen IRC-Netzwerk1 mit dem Namen

I Internet Relay Chat. kurz IRe. ~icbnet em rein textba&iertes Chat-System. Es ennoglicbt Gesprachmmden mit einer beliebigen von Teilnehmem in so genanntm Channels (GespI3chskanalen). abIa aucb ~hc ;tWi~hcn zwei Tcilnehmcm (Query}.[l] Neue Channel konnen iiblicherweise jederzeit von jedem Tei1nebmer ftei eroflilet werden. ebcnso kann IIIIIIl gleicbzeitig an mclum:n Cbannc:;is teilnehmen,

!!'!.

_ •• __ .~

.....

_

."

••••••••

>." •.•••••••••••

" ••• _

••••.

_ ••••..•..••.••••••••..••.••.•.••

, •• -~,.-.,

.,-.~

•• -~

••_

--~.-~-~.~-~-~~.~-~.

,

.~- ...

~ ..~.~ •.~ .. -<,~ ~

•• ,-,..--<

....... '-"

'

.~ .•.•

,;__.._~.-.--._..---~-_..~

irc.anonops.1i

im Kanal
#germany

wurden Nachrichten geposted, die auf einen emeuten Angriff auf die Webseite der GEMA schliellen lassen. Die Nachrichten lauten:

[Tuesday 29 November 2011] [12:27:36] <Anonise> [Tuesday 29 November 2011J [12:27:57] <crOwn> channel? [Tuesday 29 November 2011J [12:28:04] <PsycoHen:ny> [Tuesday 29 November 2011] [12:28: 12J <AnonLuz> [Tuesday 29 November 20Il] [12:28:16] <dPown> Jaway [Tuesday 29 November 2011J [12:28:19J <dPown>-.{Tuesday 29 November 2011] [12:28:23J <Psyc,!Henny> [Tuesday 29 November 2011] [12:28:31J <AnonLuz> [Tuesday 29 November 20llJ [12:28:32J <Egg> pastehtml.com) [Tuesday 29 November 2011] [12:29:12] <xhsdf»

Operation GEMA 17.12.2012 um 19:30

ist das datum richtig? jo

101
http://pastehtml.comivie:w/axt2bOniz.html Web Lazer [JS LOIC vO.1] (at

Title: Operation_GEMA webloic? alles klar frage:

[Tuesday 29 November 2011] [12:29:37] <PsycoHenny>

wenn ich den browser durch meinen lor-

proxy kommunizieren lasse, miisste das der weblazer doch ouch tun oder? [Tuesday 29 November 2011] [12:29:49J <Anoniuz> [Tuesday 29N~ember 2011] [12:30:JJJ <qwert> jo wer ilber tor lotctfrtsst auch babykatzen

[TUesday 29 November 2011J [12:30: 13J <xFtukan67 _> [Tuesday 29 November 2011] [12:30:28) <AnonLuz>

Tor funzt nirgendwie nicht au/Chrome http://www.gema.de:80

Ein Nutzer mit dem Nickname

AnonLuz

verkiindet die

"Operation GEMA, 17.12.2012 urn 19:30" Weiterhin wird durch den Nutzer AnonLuz ein Link geposted. Dieser Link lautet;

http://pastehtml.com/view/axt2bOnlz.html

eingesetzt. Hierbei handelt es sich schlussendlich urn einProgramm

mit dem der eigene Computer im

Rahmen einer DDoS-Attacke als Ressource (als ein Angreifer) zur Verfiigung gestel1t wird.

Die oben benannte Webseite referenziert auf das Programm LOIC mitteIs des Begriffes

JSLOIC

Die Buchstabenkombination ,,Java Script".

IS steht dabei nach hiesiger Einschatzung

:fiir die Programmiersprache

;'~

.~

Anhand des eingefiigten Screenshots ist deutlich erkennbar, class die Webseite der GEMA
:.

http://gema.de:80

,lit (wobei ":80" fUr den
emgetragen
• .. .

4tP~

:ri~

~~~
,.'~

<:,t

pO~7"~;~$eG~~,'F Darstellung
j-"}o:\o .~/JIi -

1St...

iiber den Button

-:p& Frei

, ':;'IIP

-

!!!~re
.:~.~: ,!i!fl'i,~
~I<J' ~ -:'/~

der Webseite definiert) bereits als Ziel

'.

,....

,,.:.('"

.

vermutlich gestartet werden,

Der Screenshot ist diesem Vennerk als Anlage 2 nochmaIs in hoherer Auflosung beigefilgt.

2.

Bewertung

Der Nutzer mit dem Nickname

AnonLuz 29.11.2011 die Operation GEMA fUr den 17.12.2011 urn 19:30 Uhr verknndet und einen Link

hat

aID

zu einer Webseite geposted, Der Link filhrt zu einer Webseite, die bereits als Ziel die Webseite der GEMA enthalt, Anhand der Webseite besteht der Verdacht, dass es sich hierbei um ein webbasiertes DDoS- Tool handelt, dass keine lokale Installation eines Programmes benotigt,

Ob die entsprechende nicht gesagt werden.

Webseite fiber die tatsachliche Kapazitiit verfiigt kann zum jetzigen Zeitpunkr

Es besteht der Verdacht der Durchftibrung einer DJ;:>oS;.Attacke strafbar gem. §§303~ 303b StGB. Es
.;_<';'.

wird angeregt ein Strafverfahren .etnzuletten.' ,;';,-;'
.
::"

-

3.

Weitere MaBnahmen

Es wurde Rncksprache mit der GEMA.

~

Abt.-Ltr. IT Technologie (Service! Betrieh GEMA Generaldirektion
IT Technologie .

.

~
..

~gema.de_ gehalten.Herr ••

S. wurde
fiber die Mogliehkeit eines bevorstehenden Angriffes infonniert
91.220.163.43

Zur testweisen Untersuchung ist hier geplant fiber die oben benannte Webseite einen Angriff auf einen BKA-eigenen Webserver mit der IP-Adresse

durchzufiihren. Der Test soIl zeigen: a) ob ein Angriffiiber die oben benannte Webseite iiberbaupt moglich ist und
b) welche Daten bei einem mogliehen Angriff auf dem Webserver auflaufen.

Da nieht hundertprozentig ausgeschlossen werden kann, dass, obwohl das ZieI des Angriffs geandert wird, dennoch die Webseite der GEMA angegriffen wurde, wurde Riicksprache mit ~ von der GEMA gehalten. Herr GEMA bat ggf. urn Durchfiihrung des Tests am 13.12.2011 ab 19:00
Uhr, da zu dem Zeitpunkt Wartungsarbeiten auf dem Webserver der GEMA durchgefnhrt warden und

somit eine entsprechende Attacke weniger ins Gewicht fallen wiirde.

/

Anlage 2

,

!:
N
III

z
----__£-~

-'" ",

,',t

..

I

I I

_

__i_"~

'

__

...

,

..•.. _._"'.

-.-

~ --._" ..-..

.. ~~.- .•..... ..•..

~~ - ~ ....
... ,~-. ....

Beim Aufrufen der benannten Webseite wird das folgende Bild prasentiert:

••

_~

L·~

•••••

,_~

,._~

••••••

_

:;

.::;,_ _--_:>.;'. ....

..,;.;

Die Uberschrift der Webseite lautet

OperationGEMA
Nach hiesiger

Web Lazer [1S LOIC vO.l]
handelt es sich bei der Webseite um den Versuch einer rein
.i;f1';~~'

Einschatzung

intemetbasierteil Anwendung zur Durchfuhnmg von DDoS-Angrif'fen?
In der Vergangenheit wurde durch die Anhanger von Anonymous

fUr die Durchfiihnmg von DDoS-

Attacken vennebrt das Programm LOIC (Low Orbit Ion Cannon)

2

A1s Denial ofServi.ce (lauz DoS. englisch fUr: Dienstablebnnng) wird in der digitaten Datenverarbeitung die Folge eiaer Oberlastung von Infiastiuktursyen bczeicbnet. Dies kanIl durch unbeabsichtigte Dberlastm1gen vemrsachtwerden oder durch einen mntwilligen Angriff auf einen Host (Server). einen Rechner oder sonstige KollipQnenten in einem Datennen:

Wiesbaden, 15.12.2011

Betreff: Errnittlungsverfahren

der Generalstaatsanwaltschaft

Frankfurt 1 Main - Zentralstelle

zur

Bekampfung der Intemetkrirninalitat (ZI11, Az: 60 Ujs 50005/12 ZIT, gegen noch unbekannte
Anhanger der Gruppierung Anonymous wegen des Verdachts des VerstoBes gg. §§ 303a, 303b StGB

hier: Testlauf des webbasierten DDoS-Programms

Vermerk

1.

Ausgangslage

In einem offentlich zuganglichen IRC-Netzwerkl mit dem Namen

irc.anonops.li

im Kanal

#gennany

wurden Nachrichten geposted, die auf einen emeuten Angriff auf die Webseite der GEMA schlieBen lassen. Die entsprechend bekannte Webseite lautet

http://pastehtm1.comlview/ax''t2bOnlz.html.

2.

Dnrchftib.rung eines Testlaufes

Nach Absprache mit der GenStA Frankfurt I Main - Zentralstelle
Internetkriminalitat der benannten Webseite durchgefuhrt, Hintergrund war zu testen, ob dureh das hinerlegte

rur

die Bekampfung der

wurde am Abend des 14.]2.2011 ein Testlauf zur Erhebung der Funktionsweise

Java Script tatsachlich

ein Angriff auf ein

festzulegendes Ziel (Webserver) erfolgt,

1 Internet Relay Chat. kUIZ lRC. bezeichnet ein textbasiertes Chat-SySkm. E$ mlloglicht Ge$priieMrunden mit ciner beliebigen Anzahl von Teilnehmern ill so genannten Channels (Gespriiehgkanalen). aber aueh GesprllChe zwischen zwei Teilllehmem (QueIy)_[J] Neue Channel kOllllen iiblicherweise jederzeit von jedem Teilnehrner !rei erOffi!et werden, ebenso kann man gleichzeitig an mehreren Channels teiloehmen.

RIm

1

./ <..

~'¥~!"':r;~."!

:':~" "

"Ober eine bier vorhandene virtuelle ~chine die oben benannte Webseite genommen.

wurde unter Nutzung eines Proxy-Servers

Zugriff auf

Als Ziel wurde ein BKA-eigener, Adresse eingetragen, Das Ziellautete

in der Ukraine angemieteter damit

Server, mit einer bestimmten

IP-

http://91.220.163.43:80

Weitere Anderungen wurden an der Webseite nicht vorgenommen.

Insbesondere, die im Rahmen der

Anfrage an den Webserver zu nbergebene Nachricht, laut Voreinstellung auf der Webseite

fu_gema (Anmerkung BKA: Die Abktirzung ,.fu" steht nach hiesiger Einscbatzung you")

fUr •.fuck

" wurde nicht geandert,

Der oben eingefiigte Bildausschnitt

verdeutlicht die gemnzten Voreinstellungen.

Der Screenshot ist

diesem Vennerk nochmals in hliherer Autl6sung als Anlage 1 beigefiigt

Im Anschluss wurde das Bedienfeld

Feuer Frei !!!
betatigt,

Die Ansicht der Webseite andert sich dann in der Art und Weise. dass die Webseite folgenden Inhalt ausgibt:

It!llhi

r

~

~

~

~
~~-~-.

~b ..

Hf~

~~~~~(lSLOO:"".l]

Der Bereich "AttacK ~n.i.}:'s"' (rate : i:'l~r?l:iffi:mg) zeigt dem jeweiligen Nutzer die durchgefhhrte

..

._. , .•• ".,,,_ .•~_, •••. _ •• _.,, .•. _.__._ ••_ ••• _,, ••

_

_ ..• ,_••.. _•.•...•••.•..

0.··.·_· •.••..•. _.....

•••••

- - " .•.- •.• ,- •. -.-- •.• --,.-.-~- ••-~--~ .. -- •. "_P_,.

"

,._~~-~~~"~,-

,,,~,

.. ~~.~

gesagt werden ob tatsachlich ein Angriff ausgefnhrt wird.Uber

das nunmehr geanderte Bedienfeld

.,Stop flooding" (siehe gelbe Umrahmung) kann ein Angriff wieder gestoppt werden.

Aus Sicht des Nutzers wird eine Attacke durchgefiihrt

Eine hochzahl1nde

I I

Anzeige im Bereich

,,Attack status" zeigt die Obermittelten Pakete (requests) und erfolgreiche A~tworten (suceeded).

Der Screenshot ist diesem Vennerk nochmals in hoherer Auflosung als

Anle
I

2 beigeftlgt

!

3.

Techaisehe Hintergrinde
von moglichen Anftagen im Rahmen

Zum Nachweis

der oben besch~ebenen

foJgende Vorkehrungen getroffen:

I I
I

Attacke wurden

a) Auf dem System der genutzten virtuellen Maschine wurde das 40gramm ObelWach~g des ein- und ausgehenden Netzwerkverkehrs

"Wireshark" zur

instame1 und ausgefuhrt,
I

b) Auf dem als Ziel gewahlten

Web server wurde das linuxbasierte

Programm "Tshark",

welches analog zu Wireshark arbeitet, installiert und ausgefiihrt.

Damit wurde der ein- und ausgehende Netzwerkverkehr auch des angegriffenen ZieIsystems (b)) protokolliert

sowohI des genutzten Angriffssysrems

(a» als

. Die interne IP-Adresse der virtuellen Machine lautet

192.168.130.128 3.1 Sicht aus Seite des genutzten virtuellen Systems
Angriffs das auf der oben benannten Java Script dafiir sorgt, dass der eigene genutzte Computer dann einen

Es wurde vennutet, dass im Rahmen eines durchgefilhrten
Webseite impJementierte Angriff auf das bestimmte Ziel durchfiihrt.

Nach Durchfiihrung

des unter Punkt [2] benannten Netzwerkprotokolle

Testlaufes

wurden die wie unter Punk! [3] unterzogen. Nachfolgend Systems in Form ist

angegebenen mitprotokollierten ein Auszug

einer Auswertung

aus dem Netzwerkprotokoll

des angreifenden

virtuellen

cines

Screenshots dargestellt.

file

,Edit

> .n!213-~.,.r~;go""'_~ C.opture anal\.'Ze SUtirtic Terephoo,£

Ii~§j Qi. ~
Filter:

S; ~ L. ~

..

<~.> o· it- g :_j e<Fnsslt;n.~

lWi ...._:.,6,' 1SVN_39941!ro:r.!r- ....;,..:O'61J I-~vls lntamals .!ielp_

I~101 ,~.:::_

,.1. 0 @! iYl C
["eti; ;;... -i ~_l:

JkijJJ~~iii!~.t3&,!# .

1R:~~~e

..J~to'''lILen~.m~.J:oa;

; •• tp

ttil_

LEI_B

72 iI'3.~91.~.1~43

73:.i:3';.~91:'22G"m;43·· 74a3,;S9i~2.16S.~;~
15 aa.89;192."i~.l30.~·

.,I:g>.:.c -. ~
..... '~.'.

.:"~
.. . '

:Whrtp ,..:([oi.r.yMOr'ld!loOtl~

~

~~
bi~.1.,woo,l

1.,--0 L.-G~:

··45se:.iHdio~u_~·IiI1'P;l;l

· ;60.~>_~-."liRd.{~N.ACK.l~;.d..~I;,i~ · .54' *'''U!>dY:littp·~l· ~~li.ck;;l

:

76 3!<.~gl.220.i~~

77~.~~LZ!i:I.~.~
Fraroo: 72: 4SS byt";$ on

'rolittp~ .,.·;"brd ~l.~. ""'~~ . 'wlit1:i>; lm.$ys-Ua IS'tr~ .JJ:I!.)seq..Oo\ck=lllii~ ..s.iumsirs:l.i4> ~lJ.9<lsecp;l;';;kii:l_ai~

L= ~

~

It:<

Do .tt-

rnir" (3640 bits) r 4SS b)'t-c:s c.ilpwr~ (3$40 oi~;)· 11, Src, '......... N_32:92:1Sd !OO:OC:29:32'92:lSdl. tin: v_ar~_10:b6:B2 !OO:s():~:fO:~c>,52l Int'-of"rt"i~t Pr;:'lo"tVC'ol v,. r,Si.cn 4 .. Src: l'92.158 ..1~_l2$ ilS2..1ee.13O.12ai,.. os.:.:; 91.23).163.43 C:9'1:220.1:63:.431 ~ TrallsOlission~n~t P,,,,,ocot. Sr" Port: donnY-o'O,td !J&;!li. Ds~ P<irt: hnp ,30;. ~: 1. Ado: 1, L~r.! 401 ~ ~r'tt!::k"'t Transf~r Prot~ot ... .

t>

E~.na~

0000 00 $OJ 56 fo b6 ~ 00 V<; 0010 Cl b:i 0.. M 40 0.:: SO 06
00.., 00;0 ~

z. ~

92 6d es W ~ GO sc 71 CO as S2 eo s>;Jc
<Ie ~ 20

.PIf •• ~••
@ __ ••

.)( i=iI~;··':lis~~s;~-iI~t:~!C"";t.tlJ~ ·i6i.~ ;j Pa~t,ets: -Oi-~~Ia_;~d: M~~d:Ii l!!ad i!iS.e.S

i~ f;;.

~

071d 00 SO dO S2 7f l'S 00 00 47 4S

,,<I ~"

i2.,;:·:e: q, •• _L

r-

.

2f

02 2<1a1 so IS" ~ 6~ 64 3<1 3l

." ••• F'.!> L.'.'.F'. ••• G•• GE T I?id~l

time: O:;::O.:::::S

~ !'refire:

Default

Der Screenshot zeigt, dass die virtuelle Maschine

massenhaft

Anfragen

an den als Angriffsziel

definierten Webserver mit der IP-Adresse 91.220.163.43 verschickt. Es handelt sich hier urn das httpProtokoll, Es ist dabei insbesondere interessant, dass in der Anfrage an den Server auch tatsachlich die Information fu_gema enthalten ist, die vorab auf der oben benannten Webseite angegeben wurde. Dies verdeutlicht, dass es sich bei den gesendeten Paketen auch tatsaehlich urn den zuvor initiierten Angriff handelt. Die Information "fu_gema" ist nicht statisch und kann auf der Webseite vor Angriffsbeginn abgeandert
werden.

Der Screenshot ist diesem Vermerk nochmals in hoaerer Auflosung als Anlage 4 beigefugt,

3.2

Sicht aus Seite des angegriffenen Webservers Netzwerkprotokolle einer Auswertung unterzogen, Nachfolgend ist virtuellen

Nach Durchfiihrung des unter Punkt [2] benannten Testlaufes wurden die wie unter Punkt [3] angegebenen mitprotokollierten Screenshots dargestellt. ein Auszug aus dem Netzwerkprotokoll des angreifenden

Systems in Form eines

. ..
'

~.~,

.. -....

"

.. .... .... .•. .. -.-._.
, ,

,-

~

.,

,

.. _,

""

.

~ -. '"

filOi! .Ejit

~ ~ Iif
filti!r:

:£i~.'" .G~. yptur;;
6j. ~ .-

"\, 1l12_l~-An!lrifl).:>feiger.e:lSe:vw(Se:wr),~~5llar:kl.6.;'1

iSVNRev39941

from ;lrulU-l.6}j

&tar'~e S.Utl~tiCS Tele~tl~n¥: Iiiiils

intemals

Z~

;'J.~
C-estinatiiio

,,-.i;

~> e. y :~
E:~preS$jiin•••

lid IG

Help

·:r.. =.. .}~ EJ ~!YJ

i-;;

~

Ut:. Tirn~ I:;":;;urca

=~::::'.:;~~:;.:~~,:i~~:i:~:{: ;-4::0?;~~:~ .....,'
SlW74.3?-<91.220~.1S.4S~ .., seta i4.34l;~~.i5,~"ll7.#'.· .... r ..• ,98.l$8.11i.s·ffi"TP,..
·'····::·9~ .

L=ngth Inf-:;;

~74.3S;98~JS:a.fI7.a . 310·74.35::9J..:z:.aO~1-ea,49: . . 311· 74"3!K:ss.1SS.11;:'-~ . . 31274.~gS.1SS~117,s, 313 74.39:91,~.le3;~· ,;l1474 • .wS8~~.;ii7;t( 315 74.4al9s.~.»7.-:g-·,;,

:..~I.zio~l63:~· .'.: "'Hm> ., ¢~j?id=~g=fu_~-=ma HiTPil.l ..98.158-;0,7,"* :,:":,,,_ .,:, '''', .. :~ '.. s.s,Hhl:i/I·~i:2OG QI( . Ct~''''~lJ .. . :91~~.r¢.<i3:' '. ... . TO> ...' :66,' ~ .i'!'-·lItq> [:.tKl~ "4=2417 ftir.:fS3: - :;a.:?2Q,l~;_>4S-. ffiTP· '~'46?G;I"nid=;~$~~u_gema i'IlIP/l.l : ~.iS!!~ll?)~' Hf'jp.:549'iIl'tPil.i.2OQ (K(t<>rt/htrDtl

..220.'i~~~..

. 'reP

.

549J:iITp/l.•i2po(l( h: ..xt!htrDl) 66'62574 > http rAQ(l~l60S :.:k=1~

~~~
l-oin=6S3:

,

.:' .. '---.
.....' .
;',{'

31674.A3:m.220.llB..Q
317 "4.46l9s,l$S~m:;;e 3]2 74.ol6ltisc,,_a4:db,Ol

~·_$!.~.163.A;t:<··
SrQadc:as1:

Sl.~.l~~4a

:_:9!~2:2P:~.l~;'~<t,;:_c
:.QL::i;o_:J.e:3:4a . . 9i.. _.ii7;,~·: :. ~ 91.•220.ii;3.4a.·· .gg~lS8~ii7;S ., '..
4«. '. _;,':

.~.ISS~ili:.8·"C

:.TQ> , .' . ,~$7~:.h1:tp[~lsali-29¢ Aa=2ll17 air~ ::~,,Hil'P._;. ··-.4iilGe(/1i~~ .._iF.IlB Hn'Pfl.l :c;~HirP- .. > ~:~ HrTP/l~i'~ CII. ftatjhtial) ..

'. T~.
~

.

Sl9 74,46e9S.15iI~il';i.s " 320 74.46f~1~220Ie3,G: .•

322 74.4S=911;l5S.117;e·.,,", 32S 74.4*~1.a:l.163-,:,?·:

m 74.:4«9S.~~:u?~.·.Si,220.~sa.43·
. ." 325 745:S'L9S..I58 1P'$' .

"J:It1l>. .
.: HJ71> . . .. '

.Hril>....~

-ro> .
.HitP-

. . ~"~ >:I!'ttp sl~ :.d<--2417 ;,i~3: lID ..-11(;h3S gl.220.1~.50~ T.,U 91.ZOO.1~.1 G!;r :/1.id=~u_~BIa l-liJl>il_l :s49 lG'TP[l;i '200 OC :(t~JhtrDU" -:', .-.157 fiE!'

[M:Kl

3Z474.53(gs,~.1l,i.s-.
.' .... ,_

=·~:::;:~:.~1:L·-:i'\t··L'~~~~~~~;::'?~\-.'-TCP ..· . :','E1Q 1lttP.-~ .arr.P.-:
'.' ....:;:~ 3:2S 74~·9S
..lSS.. ·117.8~· ....-.~'..
_"i .• ·<.

'.:-'. '09. L.:.2iO.' ~l¢ .• .:~;.>

. .. ,gl,~;ll5:;r.~·::-

.>i'·'.:

>_:' .:.tP'!_.·,:··E»~,;.hrtpjACK1~~17
. ffilp'
.' : '. 467,(£[' .I;i~~u.n~

.' S49,HfTI>il..l :200 .QK; {t:exi:lrtJDl)

66~"~1iUp r~CI(J$;i~ n?-~32.16e7~U_g.o

.=.d."24l7

.... HrT?jl.l
~

tiin=6S''('

'..

ffi-wti,i~ dc!~1obii.i

-~'..
.q=_mit.

HrI'P/l 1

.: _

·.;·:,m.:z»_lS.4a·

$i4-> .~·;::·J·~·.;.::.:467·GEr·?fd=~u i

~:A-;"~17;.i~ J«TP/i.l

Anhand des Screenshots ist ersichtlieh, dass der Webserver mit der IP-Adresse

91.220.163.43 Anfragen von der IP-Adresse

98.158.117.8

entgegenniromt

Bei der IP-Adresse 98.158.117.8 handelt es sich urn die IP-Adresse des wahrend des (Hinweis: Es handelt sich hier exakt urn die virtuelle Maschine wie

Tests genutzten Proxy-Servers

unter Punkt [3.1) dargestellt Dieses System hatte im Intemet die IP-Adresse 98.158.117.8 inne),

Aus den iibermittelten Anfragen geht auch hier hervor, dass diese die Nacbricht

fu_gema

enthalten. Der Screenshot ist diesem Vennerk nochmals in haherer Aufiosung als Anlage 3 beigefngt,

4.

Bewertung

Anhand des durchgefuhrten Tests konnte nachgewiesen werden, dass der beteiligte Rechner (virtuelle Maschine) nach Ausfiihrung des Java Scriptsauf der Webseite

hnp;//pastehtml.comlview/axt2bOnlz.htrnl

massenhaft Anfragen an den als Ziel festgelegten Webserver verschickte. Damit besteht zumindest die Moglichkeit der Durchfiihrung einer DDoS~Attacke. Ob diese dann auch erfolgreich durchgefiihrt

werden kann, ist derzeit nicht zu beurteilen.

Es

ist

insbesondere

Festzuhalten,

dass

nicht

der

fUr

die

Webseite

hnp://pastehtml.comlview/axt2bOnlz.html Rechner des Nutzers.

verantwortliche

Server den Angriff ausfiihrt sondem der

1m Rahmen der Anfragen durch den Angreifer wurden in dies em Falle Informationen in Form der
Nachricht

fu_gerna

mit an das angegriffene Ziel ubergeben. Diese Information ist jedoch nicht statisch und kann durch

einen Angreifer beliebig geandert werden, Anlagen:
Die NetzwerkprotokoUe beigefugt, aus dem Test werden dies em Vermerk als Anlage 5 in Form einer CDIDVD .

7

Anlage 1:

8

Anlage 2:

9

Anlage 3:

("';

-

.-

.', 1:m3 - A."I9'11' @;ge.,.er.~ ~,,: Q,.pturi 6ndly:., ~atistjcs T~lephonv

SothoI'

?Ni~:.J;,4 rr.temals

GIm Rb' 399·41 from Itno.~~~;",lj

I::1ols

J:!elp

~ :£ U $ a
Filter:

".;;(.~.~.~

i:~ ~~

D ~0

.~
.....

.;5 :;G;a:;£91:~~l63.~ 66 33.SilEl!I2.li;e; l3O~~:'

OT ;G.eacl.92;16Q.;

6S 33~S3C9i.220:;163.43 ,.,,:: "'::~.I9;iAi!s.:nn69.3U5191.Z!O.$;~~.,c: ..;-l~; i~.PQ;J2a;· 70 33.ssu92 ..1ap.so:~_' .", . ~~~6a.~·:.

l3();m ':

··:_'~:l~.i28. . ~i.2iO.l63;~ -:,:·.,91~::@,ls.e '.' ":.';.. .. .

. ·<~92 .. 1g;iSo.~

~~~~~4:<$
::1"CP."

.

.4$

(iEf

J1i~~~,,_g

, .~I>~

i:$-;::: .
.:-.0

'H.ni' ..
"TCP

ro>-,

.:»

.:rG> <,':

.n..

~fcp_
·.reP
TO>

.' ~$:.I?i~_!iema HTTP/l_l -', "i;j;jhttp >- -ox:agen1:.[.J';O{]~q=l Aci<= .. i~ " l.o!11=D ~t.t:q;,>.' .jvnn)-iror:ld~ Ism. ~r ~;;";k~l nir,:S42:40 ~n.oo .s,; ,<iOr>n:iW<>~l.dimp, (Ml() swcFl i:dc~l ..i.-..64240 t..~n=O ',..
¢hrip..

.:50:flt~. ;oia9£nt: .,.s.s: ~~~ http

.;."tat~ till r:.a;J ~
[SI'(II, [1'.0'.]',

>flTI>/l.l

;.oi;l~

:.-;ko.G02 I>i~ I...o;noO ~k~l ·,.;in--54240L~"'_-O MS.':":

So~l

Ad(~

ldn=642s0

1..A..Il=i)

fl

72 33.86191.220..1S"43· 73 33_89:;91~~_~6S.~:.· . .74:33_=192..1SS.:l3Ii~i28 7S 7& 33_as:;9i~?O.I~._43:. 77 33.gz;91.220.1~.~ To! 33_S2: 19;q,;s.l_.:\G: uS

-.~9iZ;1!!S._l3O.l2?
';~.220.16a..·~
·.9LZ20o:ili3,.;a

::jS2:clEii;,;~~cia:

'

up ..

~_~w.~i3i.Us

.

,'~::~~_~_1~ '_'.
',-~;~;):63;~':,:.
. ~9;!"~,l_.~lSO.Ut>.

.Hfu.

-:

;> ~donn}:,u,rl.d I"qcl ~l ...tt=402 "riin=54240 L<>n=O ",,:,:~:uid ·[svriAcKl se;ro .0.:"=1 c."in=64240 L .... =o HSS=: ~~~~:taxI >: b~ £~] -si.pl',A<:I<"l l;i.~ L~ '~~_I,ti~~U_9_ HlTP/1.1 ::BD:httf;;,,s·~y.,q.ocx]·~ ;idc:40:n.i~ 1..... =0 . ~,~ ht:tr:,. 'un~s~~ b [sm. ;.at] ~=D A<:k~ l;i= L->noOHS: .':~t.n1ii~;u...;'· ~'[!=i:ir s=q;.l Ado";l Cin==.ac L....:a b

SO'!ittJ>:>

I> I> ~ ~

Fr.aow 71: 4SS 1:..1:~s on -..ir .. (31;40 bits). 4SS by1:~ <apw r .,d (VAO li-itsi E1:Mm"t II. S.c: ~_ar .. _32:S2,&l tOO:0C;,Z:a2:92;edl. !1st: 'J.... ar"_fO,b6:62 iOO:5G,S5,fO:i>1>:62i Int~'Mt Pr<>t«"l. v~r.sion 4. Sr';! 192.16£t.13G.ua U02_1ES.l2G_nei. Drt: ",1.220_163_43 !9LZlO_IOS_43; T,,,,smissi~n Contr<>lProtoc"l. sre dGnny",;o.ld ilS2lJ. Os!: Part: http ~80l. seq: 1. ~, 1. I..." 401

"".t:

I> 1i)'-p~rt.,Xl: Transi~r

i'l"01:OCQl

0000

0010

00 4S 0<:) 51> <I~ COZO oS 21:. 07 l·~ 00 so <105-2 4<: <ld .... 02: 2d a1 50 180030 fa TO 7f ~ 00 oo er 45 s.; 20 3f ~ 6.:1 3d ill
,J.::;

SO 56

fa

b6 6.2 0:1 De
40
Q;>

01 ~9 ~

;;d

ao

06

ac

29 32 ,,2: 6<1
"1 cO

as

oa

.I"V_

.b •• :2.m••E.
.... -.[-

l!:<: 80

._ •• @ •• -

:r.

.+ •• _"_~ I. ••• -_P. ~ ~_S •• GE T .'1'i-:l;;:1

10

Anlage 4:

'" "

'\ HUll-

AIlgril'l' auf e'geHn

Se_r~.p,cip

~l1i!s!l:arl< :.6.4 ;SVlIi:t.w 3994:f!Oll" ;=,,1<.1.6)1

£il~ ;Edit ~jew ~(; £a.Ptur~ Anal'i:::~ itatistic5

TelEph~rri 1::;01:>Internals

lielp

EI
';in=6S3":l :
HrTP/l.l

.S05.74.3l.£~.~.1l7.,S 306-74.B2L9a;lse.~lt s ~_ 307 74.32J;91:220~16?;43 30S 74 341093 'lSe -ill 3

;.46?:GEr/?i~g=fu
·::·;··;9122i)' iis3 43' .' ····reP

. ~~.

';'h~tP

£ACKt~lQO$.Adr-l934

=.~i::::~i~:~~;';~:-r:-·~:,.:~'·E·.~:~~~~~r::._-:.~· '.~"~.'., ';~~~;f~i=U-~~
31i74:39C§.:lSS"~.~J"~~':' <:
. 31274.35eSEl.lSS;1l7.S ... ·,;Gl;220.lG3.43 31374.~91.ziP;1~.a.··. . .•. ·:SS.*11:)';8;( 31474. 4V9<i.rSs.li; .S:.:sl.220.1a,_@· 315 74.,43193.~;11!.·g~.·:·si.2Xq6;!.43.tirrP; 31674.«~1~2ZI. is.~; , ... ·~I.S?~li7:":s ; 31774.1QlJ'lS.:is8'1l7~8<;;,,: ..gl;.~"l$t;~ 011$ 74.460: isct'_a4;db:Ol C eraa-d~ast

S4!!.HliPji.12.Po:a«~htiitU .. 66¢;S74..""fittP.iAdq S;;q~i>a>Aclc.=i934 ..in=6S3:
'ee ~.;ht1:p

__-ma ¥

·.:·~i:~:?l~.J~.4S.<~·_Tq>'.

.:-HrlP

.TCP :.. ' . ,

#fri>

. S¥<"'i'TPfi:i200:IX{#~iht"l} .- ·66·6257i,i ".httP· [:.tit] ~
467 GEl' Irid=~_~ma

457w,'ii~~=fu_g.ena

t.. ~ oc].

tnTP/I.I
~t"o=6S«:

~7

Hl"li>fl.l kk'=2417 ...in=6S3: ' HTTP/I.l

.

'~~§g!~~q"t~]s'~~il\:§~;~'~'!~
~.
·.~'iho has 91.22fl.163.SO?

HtTT> .:. 5'19 irrTl'Il" 1.:2cio ciK." .. ~fI;tIDJJ h .t~·,>.·66@ii,~I;IriP:~#:!£l ~ ;.dc=2417;.i."'*5S:
r"U
91.220.163.1

=;::EE:=:J~J ··::.;",:·i':;l:~.;;.;g~.r;,!'!~~~,::::
a2B74.s6<gs"lSS.li7~$C··.,";·:,
I"V"I-

_

~

......._
-.

...,'iml:!

:~G;f

·n:fo;,;,~=f":"""""

HlTP/1.1

.!V'VV'\

1~

......

""V"'.

-4n

~.-

• ..,.

1.--

1I0'"Io

_.110

..

no-

</f~ ~:_:;;:~;::
n"'Io ,.,..

Ae-

~

_!

. ':.:~-., ••

r-

(;1 File: ":'U5ersfmu~t<:&fDeskto

... ~ Pa,"ets:

17S'SV Displayed:

17S% Marr.ed: 0 Lead time: v:Ol.67S

~ Profile: Default

.:,

...

11

••••••••••

,

.-

,

'"-

•••••••

--.--

-

~

-

-.-.~.,

•••••••••••••

-.-.-.-.-'"

•••••

-

.•••••••••

-.,

..

'"

.•••••

-.--,

,,--,

~, ••••••••

'

••••••••

".

-

•••

~.~,

•••••••••

0'

•••

_,_.

__

•••

_._

_

,.~~

"~_.~

•••

__

.~.,

~

••••

~._".~_u.

.-..
T~ebuch • Nr. Aktenzeichen der StA

BUNDESKRIMINALAMT

.._..
on. Datum·

1

1.1

1.2
1.3

Nur bei mindel'J"lhrigen Zeugen; Anschrift der gesetzrlChen vertreter (Name. Vomame, StraBe und Hausnummer. Postleitzahl und Ort) 1.4 Staatsangehorigkeit
(auch evil. fliihere) ReisepaB

Deutsch 2
2.1

ausgewiesen durch (z.B. Personalausweis.

etc., Numwer. Ausstellungsdatum. ausstellende

',•.•

Behame)

verlobt Ja,seft

veriteiratet Ja,seit

[] Nem

[] N

10
2.2

Nein

AuskUnftsverweigerungsrecht (Die 8eleluUng ist bei Vf)l'liegenderVoraussetztJng nach §55 S1PO erfonlerlieh) lell bin vor meiner Vemehmung dariiber belehrt worden. dae iell die Auskunft auf solche Fragen verweigem kano, durch deren Beantwortung Ich mich selbsl oder eine in §52 stPO genannte Persen (siehe 2.1) der Gefahr aussetze, wegen einer Straftat oder Ordnungswidrigkeit veriolgt zu werden. Hinweis Ich bin darauf hingewiesen worden, dae Zeugen. die im Ennittlungsverfahren bewuBt die Unwabrheit sagen. um der beschuldigten Person die Vorteile der rechtsWidrigen Tat zu sichem oder die beschuldigte Person der strafverfolgung zu entziehen, sich wegen BegUnstigung (§ 257 StGB) oder Slrafvereitelung (§ 258 StGB) der Gefahr einer Bestrafung aussetzen. feh babe die Belehrung I den Hinweis versfanden und erklire: Ichwill nicht

2.3

13

-I Erklirung

zur Sache

I AUgemeiner Teil

Frage: Welche Funktion haben Sie bei der GEMA inne? Antwort: Ich bin Abteilungsleiter fUr IT - Technologie, Service und Betrieb. Diese Bereiche umfassen u.a, Helpdesk, Rechenzentrum., Softwareentwicklung und Begutachtung neuer Entwicklungen. Nebenbei bin ich noch der IT-Sicherheitsverantwortlicher der Firma. Frage: Was sind die Aufgaben der GEMA? Antwort: Die GEMA vertritt die ihr ubertragenen Dhrheberrechte gegenUber den ~ . .' _'. ~ Lizenznehmem. Frage: Gab es,"i:>,isher Angriffe auf die Web_si~~ www.gema.de, der GEMA?
. :$-:t.~,~~~,:.
'-0'.

Anmerkung: Eine Kopie eines Schreibens der Staatsanwaltschaft Berlin sowie ein Anschreiben an den Polizeiprasidenten in Berlin wurde durch Herrn ._ nbergeben und Iiegt bei.

n GEMA- eigene Erkenntnisse
der GEMA vem 17.12.2011

beziiglich der versuchten DDoS-~ttacke auf die Website

Am 29.11.2011 hat ein User mit dem Nickname "AnonLuz" in einem IRC~Channel die Opemtion GEMA fiir den 17.12.2011 urn 19:30 Uhr verldindet und einen entspreclienden Link
zu eine DDoS- Tool veroffentlicht,

Frage: Wie erfuhr die GEMA von der DDoS-Attacke?
.Antwort: Frau~arketingchefin der GEMA) hat diesbezO.glich am 30.11.2011,00:45 Uhr eineMail an mich gesandt, mit dem Hinweis auf den bevorstehenden Angriff. Am 11.12.2011 haben wir dazu bereits mit~elefonischen Kontakt gehabt. Frage: Welche Auswirkungen

auf den Betrieb der Website, www.gemade, Untemehmens hatte der DDoS-Angriffvom 17.12.2011?

bzw. des

Antwort: Wir hatten kurzzeitige Performance-Probleme, bis bin zum kurzzeitigen Ausfall der Website. Der Ausfall diirfte bei ca, 5 Minuten gelegen haben. Der finanzielle Schaden belauft sich auf ca. 12.000 EURO. Die Summe setzt sich aus der Beau:ftragung eines extemen Dienstleisters ftirdie Uherwachung des GEMA.Netzes am 17.12.2011 und am 22.12.201 I

c

-.,

.,

•• ,._

••

_

••

, ••••

_

•• c

••••

_

•••••••

_

••••••

_

•••

_

••••

_ •••••••

_

••••••••

_

•••

_._._._

••

_

••..

_._._

••••

,

....

_

••••••••••••••

,_

.....
zusammen, Am 22.12.2011 sollte die Urteilsverkundung im Rechtstreit zwischen der GEMA und Youtube stattfinden. Daher wurde diesbeziiglich unser Netz besonders tlberwacht.
,._~

...

,:

".

Frage: Welche MaBnahmen wurdeil

~6nSeiten der GEMA

getroffen?

Antwort: Vorab haben wir unsere Systeme auf den neusten Stand gebracht. Wir haben einen Notfallplan festgelegt, falls die Website down geht und wir haben em manuelles Monitoring aufgestellt

m Technische

Voraussetzungen

Frage: Wie ist die Website, www.gema.de, technisch aufgebaut? Antwort: Der Webserver ist ein Apache auf einem Linux-System. Auf einem zweiten Server liegt die Mysql-DB, in der der Content ist, Auf dem Linux-System liegt eine php. Dieser hat die intemen Bezeichnung "whiteboard33". Bei diesen beiden Systemen handelt es sich urn virtuelle Maschinen, welche im intemen Netz liegen. Zugriff darauf erfolgt fiber einen Webproxy (Apache). Dieser hat die interne Betzeiehnung "wolf30". Dieser ist nach millen durch eine extra Firewall gesehiitzt. Die Firewall ist von der Finna<;ISCO.

;i\.

Frage: Welehe der vom 18.122011 durch die GEMA an das ~KA ii~ttelten

.

'"

Logdaten sind

. relevant?
•'0 •

\
~ ..•

".
:"'-.' .0' ".

Antwort: Bei dem Ordner "wo1f30" handelt es sieh urn. den eigentIichen Proxy der Website. Dieser zeichnet den gesamten Traffic, welehe von auBen auf die Websi~ tr1tft auf. Mogliche relevante JP-Adressen befinden sich darin. Die Zahl steht dafiir, dassifler Webserver im Produktivbetrieb liiuft. Im Ordner Kiwi_ Syslog liegen die log-Dateiender Firewall. In den anderen Ordnern (whiteboard33, atlas31 und atIas30) sind nur interne IP-Adressen gespeiehert. Frage: Bitte stellen Sie kurz dar, wie die Logdaten von Seiten der GEMA aufbereitet wurden. Antwort: Die Daten vom Webserver wurden komprimiert und dann per FTP versandt. Eine Bearbeitung unsererseits hat nieht stattgefunden. Frage: Konnen Sie noch weiter Angaben zu dem. Sachverhalt maehen? Antwort: Ich kann keine weiteren Angaben machen,

24.02.2012

Strafanzeige namens und im Auftrag der GEMA gegen Verantwortliche
nymous wegen Computersabotage

von Ano-

Sehr geehrte Damen und Hen-en, hiermit erstatte ich namens und im Auftrag de! GEMA Sttafanzeige gegen Verantwortliche von Anonymous und stelle Sttafantrag wegen aller in Bettacht kommenden Delikte.

A.

Sachverhalt

Hintergrund

fiir diese Sttafanzeige ist, dass del: Intemetauftritt

del: GEMA (Gesellschaft fur http://www.gema.de)

musikalische Auffiihnmgs- und mecha.nische Vervielfaltigungsrechte; offensichtlich

gezielt lahmgelegt wurde und somit nicht erreichbar war. Hierfiir bedienten sich die Tater

sog. ,,Distributed Denial-of-Service-Atacken" (DDos), mit denen koordiniert von einer groBeren Anzah! von Systemen aus cine Uberlastung mutwillig herbeigefuhrt wird in de! Absicht, einen oder mehrere bereitgestellte Dienste a:rbeitsunfahig zu machen. Die Tater griffen erstmals am 19.06.2011 den Server an. Ein Etherpad auf der Intemetseite http://prooops.~om:9000/ep/pad/view/Ixj3kYBFtd/latest gibt den Angriff wieder (s. Anlage .). Er ist tiber Google relativ schnell zu finden, sodass davon auszugehen ist, dass

diedort

dargestellten Erkennmisse 6ffentlich sind (http://pastebin.com/pf3ja4Le). Am 20.06.2011 folgte dann cine SQL-Injection im tt_-news-Modul von typ03. Logfiles hiervon liegen als Anlage _ bei. Die IF des Angreifers lautete 178.73.225.185 und gehort einem schwedischen GEMA-Server Intemetprovidet (www.port1ane.com/en).Am 21:06.2011 versuchte
man

dann, die Passworter zu knacken. Ani 29.06.2011 haben die Tater erneut angekiindigt, zu hacken. Ziel war es wohl, auf der Homepage sen (http://img40.~~C;k..~!~O/5138/gemanon2.jpg; s. Anlage .). .

die

cine Graphik zu hinterlas-

.

~ ., ;:

'_

-~~.~,~~

.

..

Die

wird beispielsweise auf der Internetseite http://pastehtmlcom/view/axt2bOnlz.html sogar ndie Arbeit abgenommen" und man muss nur noch den Knopf "Feuer frei!!!" driicken (5. Anlage .). Der Server steht in Riga.

Angriffe werden koordiniert, _ So

Ziel der kriminellen Machenschaft ist es, die GEMA zur Freigabe von Youtube Videos zu zwingen (vgl. Video auf http://www.youtube.com/watch?v=g-qFLX2608&fearure youtu.be; http://www.youtirhe.com/watch?v=olxxouJAXPO&feature=watch_response_rev; Meldung vom 19.06.2011 als Anlage .; e-mail von Anonymous <nobody@remailer.paranoiciorg> vom 04.07.2011, 01:19:57 als Anlage .) Die Intemetseite

der GEMA spielt fiir die GEMA und we Mitglieder sowie die MusiknutBedeutung. Die GEMA vertritt in Deutschland die Urheberrechte

zer cine entscheidende

von mehr als 64.000 Mitgliedern (_I(omponisten, Textautoren und Musikvet1eger) sowie von iiber zwei :Millionen Rechteinhabem aus aller Welt. Sie ist weltweit eine der gtoBten Autorengesellschaften fitr Werke der Musik. So dient die Homepage nicht nur der Infonnation, sondem es konnen auch zablreiche online-Services Werkanmeldungen Internetseite gestort, oder Lizenzie.rungen in Anspruch wie beispielsweise genommen Kontoabfragen, der GEMA werden. Sobald also die

der GEMA nicht erreichbar Ist, ist der gesamte Geschliftsablauf

B.

RechtlicheWiirdigong
Computers a-

Durch den dargestellterr Sachve:rhalt haben sich die Tater wegen vollendeter

borage gemaB § 303b Abs. 1 Nr, 2, Abs. 2 StGB,~afbar
Attacken wurde cine Datenverarbeitung,

gemacht.

Durch

die DDoSBedeutung

die fur di~. GEMA von wesentlicher

isr, dadnrch erheblich gestort, class die Titer gezielt ~~kootdiniert

Daten in der Absicht

iibennittelt haben, die Homepage der GEMA lahmzulegen und Ihrem Geschaft zu schaden.

-

Die zugefiigten Nachteile sollen die GEMA ~
einzulenken.

bewegen, bei den Lizenzstreitigkeiten

Die DDoS-Attacken stellen cine Dateniibennittlung im Sinne des § 303b Abs. 1 Nr. 2 StGB dar. Die Nonn wurde gerade geschaffen, urn DDoS-Attacken unter Strafe zu stellen (BT-Drs. 16/3656). Diese Ansicht hat das LG Dusseldorf kUrzlich bestatigt, iodem es in einem Fall beziiglich solcher DDoS-Attacken die Sttafbarkeit gem. § 303b 4bs. 1 Nr, 2 StGB bejaht hat (LG Dusseldorf, Urteil vom 22.03.2011~ KLs 1/11~Anlage .);,~~ 3 Ob durch die Tat auch der Sttaftatbestand der besonders schweren Computersabotage ..~ gem. § 303b Abs. 4 Nr. 2 StGB erfiillt ist, bleibt den weiteren Ermitdungen vorb~ten.
.
~

.

~('

..

Gleiches gilt £iiI die Frage, ob durch die Tat a~ der Sttaftatbestand de! versu+ pressung gem. § 253 Abs. 1~ Abs. 3 StGB erfiillt ist
Ich bitte urn Dbermitth~ des polizeilichen Aktenzeichens.

~:"

Er-

~h

Fiir Riickfragen stehe ich geme zur Verfiigung.

Mit freundlichen Griillen

::";'

;

.',.

,

".

.

~. ~

Staatsanwaltschaft

Berlin
Sitz
Berlin (Moabit). TurrnstraBe 91 • ffjr Briefsendungen: 10548 Berlin (Keine StraBenangabe) fUr Paketsendungen: Turmstra6e 91, 10559 Berlin

P0st3nschrift

Herrn

Rechtsanwalte Lo~

Sprechzeiten Montag. Oienstag und Donnerstag 8.30 -15 Utlr Miltwoch und Freitag 8.30 - 13 Uhr Weitere Termine nach Vereinbarung

In dem Ermittlungsverfahren
gegen Unbekannt wegen Computensabotage

Sehr geehrter Herr Recbtsanwalt, ~%::".,.../ioI· .I
das auf Ihre Strafanzei~~_07_2011 gegen Unbekannt wegen Computersabotage eingeleitet Ermittlungsverfahren
., ....

habe ich emeut eingestellt (§ 170 Absatz 2 der Strafpro-

'zessordnung).
,.

Die zu der von Ihnen mitgeteilten E-Mailadresse gefQhrt.;'A Ermittlungen haben keinen weite.J.... .-_" ~

ren Tateranhalte, insbesondere keine IP-Adresse od~'deJ ben.
'~

Namen des mailin-Servers erge-

Mit freundlichen GruBen-

Verkehrsverbindungen (unvesblndlich): Busse 187. 245, 342. 343; U-Bhf. Turmstr.: S-Bhl Bellevue; Oienstgebaude AIt-Moabit 5: Busse TXl, 187. 245; s-Bhf. Bedin·Hauptbahnhof Dienstgebaude Kirchstr. 7: Busse 246. TXL; U-Shf. Turmstr., S-Bhf. Bellevue

---.-.-.-.~----.- ..--.- ..- .. _.

-- -

-.-.-. .. -.~-.--.--.---- -

_._- _. __ ._._._ .._._ .._._.-._.

_._ ..__

._ ... ,

-- - --

--

---

-- - -- --

- - - - - --

-

..

LOHBERGER & LEIPOLD
Rechtsanwalte

If..

LQHBERGER &. LElP01..O • BrienIler SIra8e 56·

80333 MIinchen

RechIsanwaIte

Bundeskriminalamt Wresbaden z.Hd.Herm_
Thaerstr, 11 65193 Wiesbadeil

Dr. Klaus Leipold" *"
Dr: Stephan 8eukelmann "
• •• Fachamovalt fur strafrecht letubeauItragIe an de!" ludwigMaxnnl!Jans..UmvetSiIat MUnchen

Brienner StraBe 56 f I
80333 MiinChen

...
13.03.2012

Telefon (089) 54 59 97-0 ·Telefax (089) 54 59 97·98 www.lohberger-leipoldde Kanzlei@lohbefger-ieipold.de

Sebt geehrter Hett~ die GEMA wild von mit anwaltlich vertreten. Namens und im Aufttag meiner Mandantin stelle ich hiermit Strafanzeige wegen des (versuchten) DDoS-Angriffs vom 17.12.2011 wegen des Verdachts del: (versuchten) Computersabotage gem. § 303b StGB. Die DDoSAttacken ste1len cine Dateniibennittlung im Sinne des § 303b Abs. 1 Nr, 2 StGB dar. Die Norm wurde gerade geschaffen, urn DDoS-Attacken unter Strafe zu stellen (BT-Drs, 16/3656). Diese .Ansicht hat das LG Diisseldorf kdrslich bestiitigt, mdem es jn einem Fall beziiglich solcher DDoS-Attacken die Sttafbarkeit gem. § 303b Abs. 1 Nr. 2 StGB bejaht hat (LG Dfisseldorf, Urteil vom) 22032011- 3 KLs 1/11). Die wahrend des Angriffs gesammelten
tet,

Log-Infonnationen

wurden Ihnen bereits zugelei-

Etwaig erforderlicheStrafantrage

werden hiermit gestellt. .
zur VerfUgung.

Als Zeuge steh~ Ihnen aufSeiten der GEMA Herr ~ Fiir alle Riickfragen stebe auch ich Ihnen getne zur VerfUgung.

Umsatzsteuer-IONr.: DE129998358

HypoVereinsbank Konto 5087~ Bt2 700202 70
Reuschel Bank

Konto 138 3334

BLZ 700 303 00

•••

~-~--.-

_.,-_.

"-.

_,_.

""".

,_

.•

,....

.n ••••

, ••

_'.'

••••

_.

_

.,.

,_

,.,

__

".

_

•••

,n

,_

"'."

_'~"

n

•••.••

~.,.~,_._.,

•• ~ ••••

_.~

•••

"._

••.•••

~

_._,,_.

_._~

••• ~.~

,_

....

, .•...

" .• ~

••..•••

,.

"'.

_.

""._

,_.

_,

~

.••.•••

~ ••••••

_~

.••.

_

""""~'-""'-'.""-.,

.•••

-

••

"~

......

-.-.-

.• -.~

•••.•

"

......

~-.~

•.•.

"'

••

~.~

.• ,.J

••

'.,...

··-······-·-·-·::·

••

; ••

,-.;r.~ ..-,-~------"'_ •.~._"·,-~,"."' -

N~"~~'cr

.• " .•• __ .c"",~." •.• ·,.

Wiesbaden, 15.03.2011

Betreff: Erminlungsverfahren Bekampfung

der Generalstaatsanwaltschaft (ZIT). Az.

Frankfurt I Main - Zentralstelle

zur

der Internetkrirninalitat

ZIT, gegen noch unbekannte

Anhanger der Gruppierung Anonymous wegen des Verdachts des VerstoBes gg. 303a, 303b StGB hier: Informationen zum Angriff auf die Webseite der GEMA

Vennerk

1.

AusgangsJage zugangfichen IRC-K.ana165 (Name:irc.ananops.li)
wurden im Kanal #germany

Uber einen offentlich

Nachrichten veroffentlicht, welche den Verdacht nahe legten, dass am 17.12.2011 ab 19:30 Uhf ein Angriff auf die Webseite der GEMA stattfinden wiirde. Daftir soUten die Beteiligten die Webseite http://pastehtmI.comlview/axt2bOnIz.html darnber die DDoS-Attacke starten (S. Vennerk .Androhung vom 13.12.2011). einer DDoS-Attacke aufrufen und gegen die GEMA"

Hen.

(Abt.-Ltr. IT Technologie/Service/Betrieb,

GEMA) wurde fiber die Moglichkeit eines

Angriffs infonniert.

Aufgrund der

0: g. Erkenntnis

wurde nach Absprache mit der GenStA Frankfurt I Main am 14.12.2011 der Funktionsweise der zuvor genannten Webseite durchgefiihrt (S.

ein Testlauf zur Erhebung

Vermerk ..Testlauf des webbasierten DDoS- Prograrnms" vorn 15.12.2011).

Am 17.12.2011 erfolgte dann ein Monitoring

der betreffenden

offentlich

zuganglichen

IRC-Chat

Kanak Zudem wurde die Webseite der GEMA ab 19:30 Uhr kontinuierlich beobachtet. Dabei wurde
festgestellt, class die Webseite zeitweise langsamer reagierte, aber kein kompletter Ausfall verursacht wurde.

65

internet Relay Chat. kun IRe, bezeichnet ein rein textbasiertes Chat-System. Es ermoglicbt Gespt.icbsrundcn mit c:inerbeliebigen Anzahl von Teilnehmem in SO genannten Channels (GesprllcbsJcanalen). abcr <web Gespri~c zwischen zwei Tellnehmem (Query).[I] Neue Channel konnen iiblicherweise jederzeit von jedem Teilnebmer frei eroffnet werden, ebenso kann man gicichzeitig an mehreren Channels reilnehmen.

1

2.
2.1

Logdaten
Allgemein

Die GEMA iibennittelte am 18.12.2011 die Logdaten des Webservers von 17.12.2011.00:00 Uhr bis 18.12.2011.06:00 Uhr.

rur ihre Webseite

im Zeitraum

Die Logdaten wurden auf einen BKA-eigenen FTP-Server geladen und von dart durch Beamte S043 herunte~eladen:

Die Daten umfassen die folgenden Ordner:

• • • • •

atlas30 atlas31 Kiwi _ Syslog whiteboard33 wolf30 Mitteilung der GEMA handelt es sich bei den Ordnern urn folgende

GernaJ3 fernmtmdlicher Systemteile:

a)atlas30

Hierbei handelt es sich urn einen in den internen Systemen der GEMA vorhandenen Server. Die Logdaten spielen keine weitere Rolle.

FTP-

b) atlas31

Hierbei handelt es sich urn einen in den internen Systemen der GEMA vorhandenen Server. Die Logdaten spielen keine weitere Rolle.

FTP-

c) Kiwi _ Syslog

Hierbei handelt es sich urn die Bezeichnung der seitens der GEMA genutzten Firewall. Die Logdaten spielen keine weitere Rolle:

d) whiteboard33

2

_,,_ ... ,._ ..

... _,_ ....•... ,_,_._,_._" ..._-., _ ... ,

_,_.- _.-.,

._- ... .. _.- .. ... ... .. _. ..... _ ..~.-_..
,~ , , ,

,.~.'"'-._-

..-_-~-.. ,.,,~-...

Bei dem benannten System handelt es sich nach

Mitteilung der GEMA um den eigentlichen
Logdaten lediglich IP-

Webserver, del" dazu dient die Webseite gems.de anzuzeigen. Dieses System liegt allerdings hinter einer Art Eingangsportal. Adressen weshalb aus den entsprechenden

aus einer intemen lO.xxx.xxx.xxx Range vorliegen. Damit sind diese Daten im

Weiteren zu vernachlassigen.

e) woJf30

Bei diesem System handelt es sich nach Mitteilung der GEMA urn den vorgeschalteten Load
Balancer der ein- und ausgehenden Verkehr mit dem Internet regelt. FUr weitere Auswertung relevante Daten wiirden in diesen Daten vorhanden sein.

2. 2
2.2.1

Auswertung der relevanten Daten
AUgemeine Aussagen

1m genannten Ordner befinden sich im Unterordner online.gema.de die Dateien
access_log

sowie in gepackter Form (access_log.l.gz)

accessIog.l
Hierbei handelt es sich nach Aussage der GEMA urn Logdateien, die den Zugriff auf die Webseite der GEMA abbilden.

Die Dateien worden durch KOK Dornbusch

in mittels eines Editors in Augenschein

genom men.

Hierbei konnten folgende allgemeine Feststellungen gemacht werden:

a) Fur Datei access_log. 1

..

Anhand der Zeitstempel kann festgestellt werden, class diese Datei die Zugriffe vom 17.12.2011, abbildet 00:01:01 Uhr bis 18.12.2011, 00:01:06 Uhr (MEZ = UTe +01:00)

Die Datei enthilt Zeilenweise lnformationen

fiber die Zugriffe auf die Infrastruktur

der GEMA. insbesondere auch Zugriffe auf den Webserver (http-get Zugriffe)
b) FUr Datei accessIog

..

Anhand der Zeitstempel kann festgestellt werden, dass diese Datei die Zugriffe vom

18.12.2011, 00:01:06 Uhr bis 18.12.2011. 18.12.2011, 05:17:28 Uhr (MEZ "" UTe
+01:00) abbildet

Die Datei enthalt Zeilenweise

Informationen uber die Zugriffe auf die Infrastruktur

der GEMA, insbesondere auch Zugriffe auf den Webserver (http-get Zugriffe)

Die Logdaten sind im Original auf der beiliegenden CD diesem Vennerk aIs Anlage 1 beigefugt,

2.2.2

Spezifische Auswertung
war. Beispielhaft solI an einer Zeile erklart werden inwiefem sich diese

Die Sichtung der Logdaten ergab, dass es nach hiesiger Einschatzung tatsachlich zu einem DDoSAngriff gekommen

Einschatzung ergibt.
84.133.220.126 I?id= 1324162855343&msg=fu _gema ''http://pastehtml.comlviewlaxt2bOnlz.html'' AppleWebKitl535.7 [18IDecl201J:00:01:06 HTIPll. I" ''Mozilla/5.D (Windows +0100J 301 NT "GET

322 6.1;
WOW64)

(KHTML, like Gecko) ChromelJ6. 0.912. 63 Safari/535. 7"

Es handel sich nach hiesiger Einschatzung urn folgenden Aufbau:

84.133.220.126 = anfragende IP-Adresse (laut einer Whois Anfrage handelt es sich hierbei urn eine IP-Adresse der Deutschen Telekom)

[I8IDed2011;00:01:06

+0100J = Zeitstempel der Anfrage mit Zeitzone (hier MEZ)

"GET l?id=1324162855343&msg=fo_gema Anfrage

HITPI1.1" = Art der Anfrage: bier eine bttp-get-

301 322 = zu ignorieren

''http://pastehtml.comiviewlaxt2bOnlz.html''

= Hierbei handelt es urn den sogenannten

Referrer, Ein Referrer ist die Internetadresse der Webseite, von der der Benutzer dUTCh
Anklicken cines Links zu der aktuellen Seite gekommen ist (engl. to refer" verweisen"), Beirn Abruf der Seite wird der Referrer an den Server, der die Seite bereitstellt, uberrnittelt.

"Mozilla/5_O (Windows ChromeI16.0_912_63

NT

6.1;

WOW64)

AppleWebKit/535_7

(KHTML.

like

Gecko)

Sajari/535.7";:;;;;

Hierbei handelt es sich urn bestimmte Spezifikationen

des genutzten anfragenden Systems (Betriebssystem, genutzter Browser)
Als relevante Daten wurden identifiziert:

a) die anfragende IP-Adresse (der Angreifer) inklusive Zeitstempel b) der GET Request mit der lnfonnation "fu_gema" c) der Referrer ''http://pastehtml.comlview/axt2bOnlz.html''

Anhand der Daten kann fiir die entsprechende Zeile ausgesagt werden:

Die IP-Adresse 84.133.220.126 Webseite der GEMA

hat am IS.12.2011 urn 00:01:06 Uhr (+0100) eine Anfrage an die die die Information

verschickt,

fu_gema

sowie

den

Referrer

http://pastehtml.comlview/axt2bOitlz.htmlenthaltenhat.Beidieser sich dabei um eine Anfrage im Rahmen einer DDOS-Attacke.

konkreten Anfrage handelt es

Bei der im Referrer genannten Webseite http://pastehtml.comlview/axt2bOnlz.htmlhandelt genau urn die Webseite, fiber die die DDoS-Attacke ebenfalls standardmaBig auf der benannten Nachricht eingetragen, Die Information initiiert wird. Die Information

es sich fu_gema ist

Webseite als fUr die DDoS-Attacke

zu ubermittelnde

fu_gema

kann aber durch den Nutzer beliebig geandert fest angegeben ist.

werden, wahrend der Referrer http://pastebtmLcomiview/axt2bOnJz.html

1m Folgenden wurden die Daten anhand der gewonnen Erkenntnisse gefiltert. Dabei konnten folgende
Erkenntnisse gewonnen werden: ~~ dem Zeitra~' vom 17.12.2011 bis 18.12.2011 (anhand der

Insgesamt wurden'iin

vorhandenen Logdateien 534.328 veidachtige Zugriffe auf die Webseite festgestellt.

,;;t
~,.
'

Eine genaue Identifizierung
-,

der Anzahl angegebenen

konnte durch den in der Anfrage Links erfolgen. ermittelt, welche der

des

.···::.::·~(http://pastehtml.comlview/axt2bOnlz.html) .. '~~nsgesamt

\\;~.:

jeweiligen

Rechners

Angriffsseite

Angriff beteiligt waren.
Anonymisiernngsdienste

wurden 312 Unique-IP-Adressen66

an dem DDoS-

Dabei handelte es sich in 181 Hillen urn deutsche Systeme. ergaben, dass es sich bei 28 dieser IP-Adressen urn

Open Source Recherchen

(TOR oder VPN) handelt,

5

Durch Anfragen zu Bestandsdaten gem. § 113 TKG bei den Providem konnten 109 IP-Adressen den jeweUigen AnschlOsse zugeordnet werden, 44 IP-Adressen konnten

keinem Anschlussinhaber zugeordnet werden.
2.3 Betrachtong im EinzelfaU

Anhand der unter Punkt [2.2.2] festgestellten Methodik hat die IP-Adresse

zu nachfolgend genannten Zeitpunkt

auf die Webseite der Anonymous darstellt):

GEMA unter Nutzung des Referrers (welcher die Angriffseite der Gruppe

http://pastehtmI.comiview/axt2bOnlz.html

zugegriffen,
\.:

Damit ist die IP-Adresse nach hiesiger Einschiitzung Tell des angeknndigten DDoSGEMA. Die genaue Anzahl dec entsprechenden Zugriffe durch die IP-

Angriffs auf die Webseite der

Adresse ergibt sich aus den Logdaten, . ~~

" Die

=. benannte
-.

IP-Adresse gehort gemaB einer Whois-Anfrage zum Provider

1m Rahmen einer Anfrage gem. § 113 TKG beim entsprechenden folgende Anschlussinhaber

Provider wurde von dort der

zur benannten IP-Adresse zum spezifizierten Zeitpunkt mitgeteilt:

Laut

einer

einwohnermeldetechnischen

Abkliirung

sind

an

der

benannten

Adresse

des

Anschlussinhabers folgende Personen gemeldet:

3.

Bewertung
Personen unter Nutzung des I Computersabotage gegen

Es besteht der Verdacht, dass eine der unter Punkt [0] benannten

benannten Anschlusses Teilnehmer an der versuchten Datenvetiinderung

die Webseite der GEMA strafbar gem. §§ 303a, 303b i.V.m. § 23 5tGB war.

Die DDoS-Attacke war zwar aus Sieht der Tater nieht erfolgreich, da die Webseite durchgehend erreichbar war. Der User hat aber nach hiesiger Einsehatzung. wie die von der GEMA iibermittelten Logdaten zeigen, fiber die Angriffsseite http://pastehtml.comiview/axt2bOnlz.htmlan teilgenommen. der Attacke

4.

Anregung
bzgL der benannten Personen zu erwirken und das in eigener Zustandigkeit an die ortlieb zustandige StA zwecks weiterer Bearbeinmg

Es wird angeregt einen Ourehsuchungsbesehluss
Verfahren abzuverfiigen.

Es

wird

weiterhin

angeregt im

die

ortlieh eines

zustandige

StA

darum Zeitpunktes

zu

ersuchen am

die

DurchsuchungsmaBnahmen durchzufiihren.

Rahmen

abgestimmten

16.05.2012.

I

.

General&taatsanwaltschaft Frankfurt am Main Dar Generalstaatsanwalt

GeI)cbi!l$zelchen

Bearbeien'in
DurdlwaM

Fax E-MaiJ fIIr Zelchen Ihre NBdIricht Oalmn

19.08.2011

In dem Ermittlungsverfahren
gegen Unbelmnnt wegendesVer~botage(§303bStGB) .' Staatsanwaltscbaft Wiesbaden

Aktenzeichen:_~

. lch ~ such Irlnsichtlich etwaiger getrennt ZI1 ftfurender Folgeverfabren - die HerreaOberstaatsanwalte May unci F~ Berm Staatsanwah Lecher bzw. deren Urlaubs- ode]: Krankheitsvemeter('m) sowie Frau Oberstaafsanwiltin Kohler gemaJ3 § 145 ADs. I GVG zusitzlich mit der Wabmebm~g der Amtsvemcntungen der Staatsanwa!tschaft Wiesbaden.

1
[

i i

i i
I i;
j
j
i

ii

II

L r

II
t
i
J

I

II
t

Ii l~

1i
II

:l

q

i~~
I

I

Zeil42 • 60313 Flankfmtam Main

I
Ir·