Behörden & Strafverfolgung in der IT
Wenn ein digitaler Schaden nicht ermittelt wird, weil niemand die Zusammenhänge sieht
1. Ein Schaden, der nach Hilfe verlangte
– und Behörden, die ihn nicht erkannten
Über zwei Jahre hinweg wurden Geräte, Konten, Domains, Telefonnummern, Identitäten und Systeme manipuliert.
Mehrere Dienstleister verstärkten den Schaden, große Konzerne reagierten nicht, und die Infrastruktur war kompromittiert.
Es wäre die Aufgabe der Behörden gewesen:
- Sicherheit herzustellen,
- Beweise zu sichern,
- Täterwege zu erkennen,
- Systeme zu prüfen,
- Zusammenhänge zu analysieren.
Doch genau das passierte nicht. Die durch NetAlive durchgeführte Schadensanalyse hat zahlreiche schwerwiegende Risiken und Bedenken in Bezug auf die Sicherheit und den Schutz meiner Systeme und Daten aufgezeigt. Diese Analyse, zusammen mit vielen weiteren Beweismitteln, wurde bereits im November 2023 der Polizei im Rahmen der ersten Strafanzeige vorgelegt. Die Ergebnisse dieser Analyse verdeutlichen, wie gravierend die Fehler und Sicherheitslücken waren, die während der Manipulation und des Missbrauchs der Systeme nicht erkannt wurden. Die nachfolgende Tabelle fasst die wesentlichen Risiken und Bedenken zusammen, die während der Untersuchung aufgedeckt wurden.
Risiken und Bedenken: Beweis Schadensanlyse NatAlive Bouck-Standen
| Risiko/Bedenken | Beschreibung |
|---|---|
| Unmittelbares Risiko für die Datensicherheit | Wenn ClosedXML nicht korrekt verwendet wird, können unsichere Serverkonfigurationen einen unbefugten Zugriff auf das Verzeichnis ermöglichen, in dem die Excel-Daten gespeichert werden. |
| Zugriff über SSH oder unsichere Verzeichniskonfigurationen | Wenn der Zugriff auf das Verzeichnis über eine unsichere Konfiguration (z.B. fehlende Schreibschutzrechte oder ungesicherte SSH-Verbindungen) ermöglicht wird, könnten Dritte unbefugten Zugriff auf die Daten erlangen. |
| Übertragung von personenbezogenen Daten | Es wird klar, dass Sentry möglicherweise personenbezogene Daten überträgt, die nicht gemäß den Datenschutzrichtlinien des Auftraggebers verarbeitet werden. |
| Fehlende Auftragsverarbeitungsvereinbarung | Die Datenübertragung erfolgt ohne vertragliche Absicherung, was rechtliche Bedenken aufwirft. |
| Sicherheitsrisiko bei externen Servern | Da Sentry-Daten an externe Server übertragen werden, die außerhalb des Einflussbereichs des Auftraggebers liegen, stellt dies ein potenzielles Sicherheitsrisiko dar. |
| Unverschlüsselter Versand | Der Versand von Nachrichten über SendinBlue erfolgt unverschlüsselt, was das Risiko birgt, dass Dritte Zugriff auf personenbezogene Daten erhalten könnten. |
| Sicherheitslücken bei E-Mail-Daten | Die Verwendung von E-Mail zur Übertragung von Daten stellt ein Sicherheitsrisiko dar, da die Daten im Kommunikationsweg abgefangen werden könnten. |
| Empfehlung | Es wird empfohlen, Daten nur nach Login zu übertragen und sicherzustellen, dass die Verbindung zwischen dem Prüfobjekt und dem Webbrowser des Benutzers ausreichend gesichert ist. |
| Zugriffskontrolle | Wenn die Dokumentation öffentlich zugänglich ist, können sensible Informationen, wie z.B. API-Endpunkte oder Systemdetails, ungewollt preisgegeben werden. |
| Dokumentationsinhalte | Es ist wichtig, dass keine internen Systeminformationen oder vertrauliche Datenstrukturen in der API-Dokumentation veröffentlicht werden. |
| Erweiterungen und Plugins | Bei Verwendung von Erweiterungen oder Plugins mit Swashbuckle muss auch die Datenschutzrichtlinie überprüft werden, um sicherzustellen, dass keine ungewollte Datenübertragung stattfindet. |
| Lokale Ausführung | xUnit.net führt Tests lokal aus und sendet keine Daten an Dritte. |
| Integration von Plugins | Bestimmte Plugins oder Integrationen könnten Daten senden, die möglicherweise ungewollt an externe Server weitergegeben werden. |
| Datensensibilität | Es wird darauf hingewiesen, dass sensible oder vertrauliche Daten geschützt und nicht versehentlich preisgegeben werden sollten, besonders wenn Testprojekte in öffentlichen Repositories gespeichert werden. |
| Unzureichende Rechteverwaltung | Wenn Lese- und Schreibrechte nicht korrekt konfiguriert sind, könnte dies zu unbefugtem Zugriff auf sensible Daten führen. |
| Datenmanipulation | Fehlerhafte Berechtigungen könnten es Dritten ermöglichen, Daten zu ändern oder zu stehlen, insbesondere wenn es sich um personenbezogene Daten handelt. |
| Externe Plugins und Erweiterungen | Bei der Installation von Plugins (z.B. Zahlungs-Gateways) sollten Datenschutzrichtlinien überprüft werden, da diese Daten an Dritte senden können. |
| Fehlerberichterstattung und Unterstützung | Bei Problemen könnten Daten an externe Dienstleister gesendet werden, was zu einem Sicherheitsrisiko führen kann. |
| Speicherung von Zugangsdaten und API-Schlüsseln | Diese Informationen könnten ohne ausreichend Schutz in öffentlichen Repositories landen und so potenziellen Dritten zugänglich werden. |
| Komprimierte Sicherheitslücken | Wenn Zugangsdaten in öffentlich zugänglichen Bereichen wie GitHub gespeichert werden, kann dies zu schwerwiegenden Sicherheitsrisiken führen, da nicht autorisierte Entwickler auf diese Daten zugreifen könnten. |
| Unbekannte Quellen | Die Nutzung von externen Quellen wie „BCX“ birgt das Risiko, dass Bibliotheken von unsicheren Quellen bezogen werden, die nicht mehr zugänglich oder von Dritten kompromittiert werden könnten. |
| Veränderte Zugriffsrechte | Wenn der Zugriff auf die Paketquelle durch eine Änderung der Zugangsdaten eingeschränkt wird, könnte der Zugriff auf wichtige Funktionen und Pakete verloren gehen. |
| Sicherheitslücken | Durch die Verwendung von unsicheren Paketquellen können Sicherheitslücken eingeführt werden, die Angreifern den Zugang zum Quellcode oder zu Daten ermöglichen. |
| Produktivsystem-Konfiguration | Eine mangelhafte Konfiguration des Systems, insbesondere bei der Zugriffssteuerung und der Zugriffsberechtigung, wurde als hochgradig bedenklich eingestuft. |
| Sicherheitsrisiken bei der API-Nutzung | Die Nutzung von SendinBlue und die ungesicherte Übertragung von Zugangsdaten stellt ein Datensicherheitsrisiko dar. |
| API-Schlüssel in GitHub | Zugangsdaten und API-Schlüssel sollten nicht in öffentlichen Repositories gespeichert werden, um unbefugten Zugriff zu verhindern. |
| Drittanbieter-Plugins | Die Verwendung von Drittanbieter-Plugins birgt das Risiko, dass externe Dienstleister auf Daten zugreifen könnten, die über unsichere Kanäle übertragen werden. |
| Unbefugter Zugriff auf GitHub | Das Hochladen von nicht-Open-Source-Projekten auf GitHub kann zu Zugriffsrisiken durch Dritte führen, da diese unbefugten Zugriff auf den Quellcode erhalten könnten. |
| Sicherheitslücken durch unzureichende Konfiguration | Wenn das Repository öffentlich oder unsachgemäß konfiguriert ist, kann es zu einem Zugang von Unbefugten und Datenmissbrauch kommen. |
2. Fehlannahmen der Polizei – Beweise, die nicht ernst genommen wurden
Viele Entscheidungen der ermitteltnden Beamten, basierten auf Aussagen, die den Schaden unterschätzten oder falsch einordneten.
So zum Beispiel:
- „Ein Apple kann man nicht hacken!“
Eine Aussage, die jeder IT-Experte sofort widerlegen kann.
Sie führte dazu, dass Apple als „unantastbar“ galt — und die Sperre nie hinterfragt wurde.
- „Ein ungeschützter Hotspot ist ok!“
Ein Hotspot, der offen ist, nicht abschaltbar und im Hausnetz hängt, ist nie „ok“.
In deinem Fall war er der Angriffspunkt für alles,
wie Netfactory dokumentierte.
Der ermittelnde Polizist war ehemaliger Sparkassen-Administrator
Ein Hinweis auf technische Vorerfahrung – aber keine Expertise für Tenant-Strukturen, DNS-Manipulationen, Mehr-Faktor-Sabotagen oder komplexe Identitätsdiebstähle.
Einer der beiden Beamten stellte sich als ehemaliger Sparkassen-Administrator vor und sagte, er sei 20 Jahre bei der Sparkasse gewesen. Der andere Beamte stand kurz vor dem Ruhestand und ging dann auch in Rente.
Komplexe digitale Schäden können nicht mit Standardwissen analysiert werden.
Hintergründe zu den Missständen im Bankensektor finden sich in meiner Analyse in Banken DNA
3. Keine forensische Datensicherung – ein schwerwiegendes Versäumnis
Trotz Hinweise auf:
- Gerätezugriffe
- Alias-Erstellung
- Domain-Manipulation
- Tenant-Verschiebung
- Hotspot-Angriffe
- GitHub-Uploads
- Apple-Sperre
gab es keine forensische Untersuchung der Geräte.
Das bedeutet:
- Spuren gingen verloren,
- Zeitstempel veränderten sich,
- Logs liefen weiter,
- Täterwege wurden unkenntlich,
- und der Schaden wurde nicht rekonstruierbar.
Ein echter digitaler Schaden kann ohne forensische Datensicherung nicht aufgeklärt werden.
Doch diese Sicherung fand nie statt.
4. Polizei schrieb Apple an – aber Apple reagierte nicht
Ein Polizist aus Karlsruhe bestätigte am 21.05.2024 schriftlich:
„Die Anfrage an Apple ist raus.“
Doch Apple reagierte nicht.
Das bedeutet:
- Die Polizei versuchte zu helfen,
- aber der Konzern verweigerte praktisch jede Kooperation,
- und die Ermittlungen kamen nicht voran.
Ein internationales Unternehmen ignorierte eine Anfrage der Strafverfolgung —
und niemand konnte Apple dazu verpflichten, zu antworten.
5. Systemischer Fehler: Jeder sieht nur „seinen“ Bereich
Niemand verband die Punkte:
- Vodafone Hotspot
- Microsoft Tenant
- Alias-Adressen
- DNS-Manipulation
- GitHub-Upload
- Apple-Sperre
- falsche Weitergabe von Telefonnummern
- Arbeiten der IT-Dienstleister
Für die Polizei war jeder dieser Punkte ein Einzelfall.
Für die Versicherungen ein „neuer Schaden“.
Für Microsoft „ein Ticket“.
Für Apple „ein Sonderfall“.
Für Vodafone „kein Problem“.
Für die Dienstleister „eine Dienstleistung“.
Doch in Wirklichkeit gehörte alles zusammen:
Ein einziger Schaden, verteilt über dutzende Systeme.
Behörden sind strukturell nicht darauf ausgelegt,
komplexe digitale Mehr-System-Sabotagen zu erkennen.
6. Fehlende Kompetenzbereiche – ein strukturelles Problem in DE
Kein Vorwurf an einzelne Personen —
sondern ein systemisches Versagen:
- Keine spezialisierten Teams für Tenant-Missbrauch
- Keine Ausbildung zu Domain-Manipulation
- Keine Kompetenz für Cloud-Identitäten
- Kein Verständnis für Hotspot-Sabotage
- Keine Tools für forensische Log-Analyse
- Keine zentrale Stelle, die solche Fälle bewertet
Während große Konzerne wie Apple, Microsoft, Vodafone, Google, GitHub
gigantische Systeme betreiben,
arbeiten Behörden mit Strukturen aus einer Zeit,
in der Identitätsdiebstahl noch analog war.
7. Das Ergebnis: Der Schaden wurde nicht gestoppt
Weil:
- niemand die Zusammenhänge sah,
- niemand den Tenant korrigierte,
- niemand den Hotspot abschaltete,
- niemand Alias-Adressen prüfte,
- niemand DNS-Manipulationen verfolgte,
- niemand Apple zum Reagieren bewegen konnte,
- niemand Geräte forensisch sicherte,
ging der Schaden weiter —
und weiter —
und weiter.
Bis ihr 2025 aus dem Hotspot-Haus ausgezogen seid.
Erst da endeten alle Eingriffe.
Und genau hier zeigt sich das Versagen am deutlichsten:
Der Schaden wurde nicht gestoppt, sondern nur örtlich verlassen.
**8. Fazit – Die Behörden haben nicht versagt, weil sie wollten.
Sie haben versagt, weil das System nicht vorbereitet war.**
Der Behörden-Fall zeigt:
- wie schnell moderne digitale Identitätsdiebstähle überfordert,
- wie alte Strukturen nicht mit neuen Bedrohungen mithalten,
- wie komplexe IT-Schäden zu „Einzelfällen“ zerfallen,
- wie Ermittlungen scheitern, wenn niemand das ganze Bild sieht,
- wie Betroffene mit der Last allein bleiben.
Behörden wollten helfen —
doch sie konnten es nicht.
In einem System, das nicht für solche Schäden gebaut ist,
bleibt der Bürger am Ende schutzlos.
Und genau deshalb muss dieser Fall öffentlich werden.
Details zu den Schadensverursachern
In diesem Abscnnitt verlinken wir Sie zu den ausführlichen Berichten zu den Schadensverursachern aus denen sich ergibt, wie der Schaden durch Programmierungen und vorkonfigurierte Server entstanden ist. Schwächen, Versäumnisse und Manipulation von Technik, als Ursche für einer seit über 2 Jahren anhaltende digitale Zerstörung meiner Identität, waren in verbindung mit einer nicht gesicherten Vodadone-Hausinsnstallation. Jeder dieser Dienstleister trug in seiner Weise dazu bei (beabsichtigt oder unbeabsichtigt), den Schaden zu vergrößerten. Die Verantwortung der Dienstleister – Einzelbeiträge zu PBJ GmbH, BroadcastX, NetAlive und Netfactory...
Jeder dieser Dienstleister trug in seiner Weise zur Verschärfung des Schadens bei. Es war nicht nur der eine Fehler, sondern die Summe vieler Fehler und falscher Entscheidungen über einen langen Zeitraum. Das Zusammenspiel dieser Faktoren führte zu einem massiven und unkontrollierten Schaden, der mehr und mehr Bereiche meiner digitalen Infrastruktur beeinträchtigte
Teilen Sie Ihre Erfahrungen - helfen Sie, Systemlücken zu schließen.
Wir möchten von Ihnen hören.
Haben Sie ähnliche digitale Angriffe, Sabotagen oder Probleme mit Dienstleistern, Behörde, Auftragsverarbeitern wie Microsoft, Vodafone, Apple oder anderen BIG-Playern erlebt? Erzählen Sie uns von Ihrer Geschichte. Wir sammeln Erfahrungen, um Transparenz zu schaffen, Systemfehler besser zu verstehen und künftige Schäden einzuordnen.
Teilen Sie Ihre Geschichte mit uns:
Expertise
Rechtliches
Diese Website dient der Dokumentation realer Fälle und persönlicher Erfahrungen.
Alle Inhalte wurden nach bestem Wissen erstellt. Die Darstellung dient der Einordnung wiederkehrender Sachverhalte anhand dokumentierter Vorgänge. Eine rechtliche Beratung findet nicht statt.
Namen und personenbezogene Daten werden, soweit erforderlich, anonymisiert.
© GSt – Gutachter-Staffel
Alle Inhalte dieser Website sind urheberrechtlich geschützt.