Legalisierte Plünderung

Das beklagt auch Dr. Thilo Weichert, Landesbeauftragter für den Datenschutz in Schleswig-Holstein [2] und damit zuständig für das Dienstleistungsunternehmen S. Ltd. aus Itzehoe. Daher sichtet seine Behörde schon seit längerem Datenfunde und versucht sie zu korrelieren, um gegebenenfalls die Staatsanwaltschaft einzuschalten. Bei einem Streitwert von wenigen Euro hat die aber oft nur wenig Interesse, solchen Fällen nachzugehen, bedauert der Jurist.

Ist Marco B. nun ein schwarzes Schaf der Branche, gehört ihm der thüringische Server und würde das Abschalten des Servers dem Spuk ein schnelles Ende für die mutmaßliche halbe Million Telefonterroropfer machen? Eine Untersuchung der vielen Dateien deutet darauf hin, dass die Adressen aus unterschiedlichen Quellen stammen. So hat jede Tabelle einen anderen Aufbau, manchmal sind Datensätze einer halben Stadt in Versalien erfasst, anderswo fehlen bestimmte Attribute wie das Geburtsdatum (siehe Abbildung 2).

Abbildung 2: Die Daten stammen offenbar aus mehreren Quellen. Schreibweisen in Versalien oder Spaltenüberschriften deuten das an. Callcenter stellen daraus Anrufpläne für Kampagnen zusammen.

Namen und Zeitstempel der Dateien zeigen, dass jemand aktiv an ihnen arbeitet. So kennt der Server »500_Hohes_Einkommen.xls« von Mitte März oder »5500_Banking.xls« vom Januar 2009. Die Dateiinformationen in Open Office unter »Datei | Eigenschaften ...« geben weiteren Aufschluss (siehe Abbildung 3): Hier taucht sehr häufig der Name Cenk Y. auf. Außerdem findet er sich in einer Reihe von Code-Schnipseln. Welche Rolle spielt er in dem internationalen Verwirrspiel?

Eine weitere Erkenntnis ergibt sich beim Suchen in den entdeckten Dateien. Sie enthalten nämlich nicht nur Adressen, sondern auch Fragmente von Webseiten, zumeist in Microsofts Active Server Pages. Unterverzeichnisse deuten auf eine Reihe von Domains mit türkischen Namen hin. Tatsächlich gibt es diese Domains, die ein wenig wie eine türkische Version eines Domaingrabbers aussehen (siehe Abbildung 4). Darüber hinaus erscheinen sie harmlos: Eine Reihe von Versuchen, Foren und Kontaktbörsen mit Microsoft-Mitteln zu programmieren.

Abbildung 3: Der Programmierer Cenk Y. arbeitet regelmäßig an den gefundenen Dateien, um sie nach bestimmten Kriterien auszuwerten.

Abbildung 4: Auf dem FTP-Server hostet der Inhaber vordergründig unspektakuläre ausländische Websites.

Türkische Callcenter

Einzig [http://callcenterinput.com] sticht aus dem Namensschema hervor, zeigt jedoch wieder nur eine einfache Webseite an, die auf einen Klick hin per Javascript das Fenster schließt - das ist harmlos. Schließlich findet das Untersuchungsteam in den Serverlogs doch noch einen Hinweis: Aus Antalya an der türkischen Riviera loggt sich der Besitzer Cenk Y. regelmäßig als Nutzer ein, sodass auch das Untersuchungsteam schließlich den Zugang [http://sueperphone.callcenterinput.com] entdeckt: Die Zugangsdaten dazu stehen direkt in den Logs. Nun wird einiges klarer: Eine aufwändige Webanwendung für Callcenter begrüßt sie (siehe Abbildung 5).

Abbildung 5: Aus der Türkei betreibt Cenk Y. für Partner eine mandantenfähige Callcenter-Anwendung. Täglich rufen knapp 40 Agents bis zu 4000 Teilnehmer an.

Cenk Y. betreibt offenbar die mandantenfähige Software für eine Reihe von Callcentern, da es neben »Süperphone« noch ein halbes Dutzend weiterer Mandanten gibt. In einem Callcenter riefen laut Statistikfunktion 38 Agents rund 4000 Teilnehmer an einem Tag an. Jeder Agent hat eine komfortable Maske, in die er die Reaktion der Angerufenen eingibt.