Einen Fahndungserfolg im Fall der 2020 und 2021 weltweit durchgeführten Angriffe auf Microsoft Exchange Server meldet das US-Justizministerium: Italien hat demnach den chinesischen Staatsbürger Xu Z. in Mailand verhaftet. Die USA streben seine Auslieferung an. Eine am Dienstag veröffentlichte US-Anklage wirft dem 33-Jährigen sowie seinem 44 Jahre alten Landsmann vor, in die Angriffswelle involviert gewesen zu sein. Ebenfalls angeklagt sind zwei namentlich noch nicht genannte Spione der Volksrepublik, die die beiden Täter geführt haben sollen.

Dabei sollen sie zwar bei einem chinesischen Unternehmen angestellt gewesen sein, tatsächlich aber im Auftrag der chinesischen Staatssicherheit gehandelt haben. Ziel der Angriffe auf die Exchange-Server sei die Ausspähung von Forschungsergebnissen zum Coronavirus gewesen sein, das die weltweite COVID-19-Pandemie verursacht hat. Die Vorwürfe sind bislang unbewiesen, für die beiden Angeklagten gilt die Unschuldsvermutung.

Die Angriffswelle

Die zielgerichteten Angriffe gegen Universitäten, Immunologen und Virologen haben laut Anklageschrift bereits im Februar 2020 begonnen. Ende 2020 begannen die Täter damit, damals noch unbekannte Sicherheitslücken in Microsoft Exchange Server auszunutzen, um dort einzudringen und dauerhafte Hintertüren zu installieren (Advanced Persistant Threats, APT). Anfang Januar 2021 bemerkte die Sicherheitsfirma Volexity Angriffe auf Exchange-Server. Noch bevor Microsoft die Lücken stopfen konnte, wurden die Angriffe Ende Februar 2021 verstärkt und gingen in die Breite, um möglichst viele Systeme mit einer Hintertür versehen zu können.

Als Microsoft Anfang März 2021 Sicherheitsupdates veröffentlichte, wurden die Angriffe ein weiteres Mal verstärkt. Offenbar wollten sich die Angreifer noch schnell in möglichst vielen Systemen verankern, bevor die Lücken geschlossen wurden. Die Angriffe trafen in den USA Behörden, Rüstungskonzerne, Forschungseinrichtungen, die an Covid-19 forschen, sowie weitere Unternehmen.

Mehr als 100.000 Exchange-Server sollen in den USA betroffen gewesen sein, in Deutschland mehrere Zehntausend. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ging davon aus, dass alle Exchange-Systeme, die nicht abgesichert waren, mit einer Hintertür infiziert wurden. Weltweit sollen nach Schätzung des britischen Außenministeriums und des National Cyber Security Centers mehr als eine Viertelmillion Server kompromittiert worden sein.

Die Anklage

Die Tätergruppe wurde in IT-Sicherheitskreisen als Hafnium bekannt. Bereits 2021 machten die USA, die Europäische Union und andere damals verbündete die Volksrepublik China als Drahtzieher aus. Peking stellte die Vorwürfe in Abrede.

Juristisch enthält die Anklage neun Anklagepunkte. Vorgeworfen werden absichtliche Beschädigung geschützter Computer, Erlangung von Information durch nicht autorisierten Zugriff auf geschützte Computer, schwere Identitätsanmaßung, Betrug unter Verwendung von Telekommunikation, sowie jeweils Verschwörung dazu. Verschwörungen sind leichter nachzuweisen, weil es dabei nicht darauf ankommt, welches Mitglied einer Tätergruppe tatsächlich welchen Aspekt des Tatbildes verwirklicht oder zu verantworten hat. Entscheidend ist lediglich die rechtswidrige Mitwirkung.

Das Verfahren ist am US-Bundesbezirksgericht für das südliche Texas unter dem Az. 4:23-cr-00523 anhängig.

(ds)

In der Windows-Version des Shooters „Call of Duty WW2“ lauert offenbar eine schwere Sicherheitslücke. Wie mehrere Spieler mittels Videoaufzeichnung zeigten, scheinen Unbekannte einen Weg gefunden zu haben, Schadcode auf den Windows-PCs ihrer Mitspieler auszuführen. Betroffen ist wohl die in Microsofts Game Pass enthaltene Version des 2017 erschienenen Shooters. Onlinespiele sind nicht mehr möglich, das weitere Vorgehen unklar.

Kurze Videos zeigen, wie eine blutige Spielszene vor Weltkriegskulisse plötzlich pausiert und zwei Fenster auf dem Bildschirm erscheinen: Zuerst die typische Transferanzeige des Kommandozeilen-Downloadprogramms cURL, wenige Sekunden später ein weiteres Kommandozeilenfenster und dann der Windows-Editor Notepad: „Marc E Mayer just RCEd your ass please contact Mitchell Silberberg and Knupp LLP“, besagt die Botschaft des mutmaßlichen Angreifers auf dem PC des Opfers.

RCE steht für „Remote Code Execution“, also Codeausführung aus der Ferne. Und genau das ist hier offenbar passiert: Über eine im Spielclient enthaltene Sicherheitslücke konnte ein Spieler offenbar Schadcode auf den PC seines Mitspielers schleusen. Die kurze Botschaft ist möglicherweise eine Protestnote an Activisions Adresse. Bei „Mitchell Silberberg & Knupp LLP“ handelt es sich um eine US-Anwaltskanzlei, die Activision in der Vergangenheit vertreten hat – und zwar unter anderem gegen den deutschen Cheat-Anbieter EngineOwning. Marc E. Mayer ist ein Partner jener Kanzlei, der Activision in vielerlei juristischen Auseinandersetzungen gegen Bot-Hersteller, Anbieter privater Multiplayer-Server und Konkurrenzunternehmen repräsentierte.

Microsoft und Activision haben mehreren Berichten zufolge, unter anderem bei Rock Paper Shotgun, die Server offline genommen. Wir haben das getestet und konnten das Spiel installieren und starten – der Versuch, einer Online-Partie beizutreten, blieb jedoch ebenso erfolglos wie der Versuch, ein lokales Match zu starten. Auch eine Anfrage bei der Microsoft-Pressestelle blieb kurzfristig unbeantwortet. Wir werden diese Meldung gegebenenfalls aktualisieren.

Auch im Steam-Forum zu Call of Duty: WW2 sammeln sich erste Betroffene. In Rezensionen warnen Spieler davor, die Online-Version zu starten und raten Opfern zu Malware-Scans. Die Steam-Version hat ihr letztes Update im Jahr 2020 erfahren.

Klassiker mit gut abgehangener CoDebasis

Ob Activision vor der Wiederveröffentlichung noch Aktualisierungen und Fehlerbehebungen bei „COD:WW2“ vorgenommen hat, ist unklar. Somit ist nicht auszuschließen, dass auch andere Versionen des acht Jahre alten Spiels betroffen sind. Die Codebasis scheint gut abgehangen, denn das letzte Update für die herkömmliche PC-Version außerhalb des Microsoft-Pauschalangebots erschien offenbar im Jahr 2018. Das verrät eine Archivkopie der entsprechenden Activision-Produktseite. Das dort erwähnte „Attack of the Undead Community Event“ fand im Mai 2018 statt.

Kürzlich wandte sich ein Games-Lobbyverband, dem auch Microsoft angehört, gegen eine Petition zur Erhaltung von Spielen – die geforderte Nachhaltigkeit mache Spiele unwirtschaftlich. Die Lobbyisten führen unter anderem die Haftbarkeit für illegale Inhalte an. Dennoch sah Activision offenbar keine Probleme darin, ein fehlerhaftes Spiel erneut auf die Spielerschaft loszulassen.

(cku)

„Psychisch Auffällige, Vielschreiber, Gewalttäter“ lautet der Name einer Taskforce, die es seit Februar 2025 beim hessischen Landeskriminalamt gibt. „Behörden intensivieren Umgang mit psychisch Kranken“ titelte das hessische Innenministerium zum Start der mit PAVG abgekürzten Taskforce in einer Pressemitteilung.

Die Arbeitsgruppe soll alle Personen in Hessen überprüfen, die bereits im Auskunftssystem der Polizei gespeichert sind und deren Einträge einen bestimmten Zusatzhinweis haben, den sogenannten personengebundenen Hinweis. Davon gibt es bundesweit mehrere, zum Beispiel: „bewaffnet“, „gewalttätig“, „Ausbrecher“, „Ansteckungsgefahr“, „Betäubungsmittelkonsument“ oder „Explosivstoffgefahr“. Oder eben „Psychische und Verhaltensstörung“, kurz „PSYV“. Diese Hinweise sollen der Polizei bei einer Identitätsfestellung ermöglichen, sich selbst oder die Person zu schützen.

Einen PSYV-Vermerk gibt es aktuell zu rund 1.600 Menschen in Hessen, schreibt das dortige Innenministerium auf Anfrage. Diese Menschen geht die Taskforce nun systematisch durch, um sie „im Hinblick auf eine bestehende Gefahr/ein bestehendes Risiko zur Begehung einer schweren Gewalttat“ zu bewerten. Das Ministerium betont, es gehe ausschließlich um Personen, die bereits polizeilich in Erscheinung getreten sind und bei denen eine „ärztlich attestierte psychische Erkrankung“ vorliege. Das kann beispielsweise dann der Fall sein, wenn die Schuldfähigkeit einer Person durch ein Gutachten überprüft wird oder ein Sachverständiger bei der zwangsweisen Unterbringung in einer Klinik konsultiert wird.

Psychisch erkrankt mit „Risikomarker“

„Aus einer Erkrankung alleine resultiert nicht zwingend eine Gefahr“, heißt es. „Im Fokus“ stünden diejenigen, die „einen Risikomarker zur Begehung einer schweren Gewalttat“ aufweisen. Das Innenministerium listet exemplarisch auf, was ein solcher Risikomarker sein kann: Gewaltaffinität oder Gewaltanwendung, Substanzmittelmissbrauch, akute Krisen wie Suizidalität, Hinweise auf Wahn oder Psychosen oder aktuell ausgesprochene Drohungen gegen andere.

Einige dieser Marker dürften auf sehr viele psychisch erkrankte Personen zutreffen. Es kommt etwa sehr häufig vor, das eine Person sowohl eine Substanzabhängigkeit als auch bestimmte psychische Erkrankungen hat.

Laut Robert-Koch-Institut erhielten im Jahr 2023 40,4 Prozent der Erwachsenen in Deutschland eine Diagnose für eine psychische Störung. Psychische Erkrankungen können sich bei Betroffenen ganz unterschiedlich auswirken und zeigen, sie haben teils so wenig miteinander zu tun wie ein Beinbruch mit einem Magengeschwür.

Ein internationales Klassifikationssystem für Krankheiten listet unter „Psychische und Verhaltensstörungen“ eine Vielzahl von Erkrankungen auf. Dazu gehören etwa Demenz bei einer Alzheimer-Erkrankung, Essstörungen, soziale Phobien als auch paranoide Schizophrenie. Manche der Erkrankungen haben organische Ursachen, andere werden von äußeren Faktoren ausgelöst. Manche verlaufen chronisch, bei anderen treten Beschwerden akut und vorübergehend auf. Über einen Kamm scheren lassen sie sich nicht.

“Erfahrungswissen im Umgang mit psychisch auffälligen Personen“

Doch wie genau funktioniert die Einschätzung der Taskforce und welche Mittel stehen ihr dabei zur Verfügung? Derzeit arbeiten beim Landeskriminalamt 19 Personen in der Arbeitsgruppe, schreibt das Innenministerium. Die meisten davon stammten „aus Organisationseinheiten, welche sich grundsätzlich mit der Bearbeitung von Gefährdungssachverhalten beschäftigen“. Daher würden sie auch „im Umgang mit psychisch auffälligen Personen über entsprechendes Erfahrungswissen verfügen“. Hessen arbeite bereits seit mehreren Jahren mit einem „polizeilichen Bedrohungsmanagement“, bei dem Personen betrachtet werden, „von welchen konkrete Gefahren für andere Personen oder für die Allgemeinheit ausgehen“.

Innenminister setzen Vertrauen bei der Behandlung psychischer Erkrankungen aufs Spiel

Die Mitglieder der Taskforce können sich außerdem Unterstützung und Expertise aus anderen Bereichen einholen, etwa von Psycholog:innen aus dem Zentrum für polizeipsychologische Dienste (ZPD). Die sollen die Arbeitsgruppe „in der Bewertung und Konzepterstellung“ unterstützen. Gemeinsam mit dem ZPD habe die Taskforce auch eine „Bewertungsvorlage“ entwickelt, auf Basis derer die Einschätzung von Gewalt- und Risikopotenzial „kriteriengeleitet“ erfolge, teilt das Innenministerium mit.

Zu den Aufgaben des ZPD in Hessen gehört es, die Polizei bei Einsätzen und Ermittlungen psychologisch zu unterstützen und auch Polizist:innen nach belastenden Ereignissen zu betreuen. Es ist an der hessischen Hochschule für öffentliches Management und Sicherheit angesiedelt.

Gefährderansprachen bei Erkrankten

Geht die Taskforce davon aus, dass eine überprüfte Person schwere Gewalttaten begehen könnte, kann sie mehrere Maßnahmen ergreifen. Grundlage dafür ist das hessische Gesetz über die öffentliche Sicherheit und Ordnung (HSOG), also das hessische Polizeigesetz.

Laut Innenministerium könnte die Polizei dann andere Behörden oder Institutionen informieren, damit diese aktiv werden können. Sie könnte aber auch selbst agieren und Gefährderansprachen durchführen. Kommen die Beamt:innen zum Ergebnis, dass eine konkrete Gefährdung bestehen könnte, kann sie Kontakt-, Annäherungs- oder Aufenthaltsverbote aussprechen, oder Betroffene observieren oder in Gewahrsam nehmen.

Was auch möglich wäre: Die Daten der betreffenden Personen mit Hessendata auswerten, dem Datenanalysesystem der hessischen Polizei von Palantir. Dafür müssen bestimmte Vorraussetzungen aus dem HSOG erfüllt sein, beispielsweise dass es tatsächliche Anhaltspunkte für anstehende „schwere oder besonders schwere Straftaten“ gibt. „Die Anwendung kam bisher noch nicht zum Tragen“, schreibt das Innenministerium, könne aber „nach erfolgter Einzelfallprüfung herangezogen werden“.

Mehr Daten nach Entlassung aus der Psychiatrie

Seit Beginn ihrer Arbeit im Februar hat die Taskforce PAVG schon etliche Personen überprüft. „Annähernd 80 Prozent der Gesamtpersonenzahl“ seien bereits abgearbeitet, also vermutlich mehr als 1.200 der rund 1.600 Personen mit dem personengebundenen Hinweis „PSYV“. Laut Innenministerium soll der Durchlauf im zweiten Halbjahr 2025 abgeschlossen sein. Danach wird die Taskforce aufgelöst, doch die Überprüfung psychisch erkrankter Menschen in Polizeidatenbanken dürfte nicht enden: Nach „vollständiger Bewertung“ werde die temporär eingerichtete Arbeitsgruppe „in die Regelorganisation überführt“, schreibt das Innenministerium.

Für weitere Personen, die man künftig überprüfen kann, scheint das Land unterdessen selbst sorgen zu wollen: Im Juni haben CDU und SPD in Hessen einen Gesetzentwurf zur Änderung des hessischen Psychisch-Kranken-Hilfe-Gesetzes in den Landtag eingebracht. Dieses Gesetz regelt unter anderem, wie und unter welchen Voraussetzungen Menschen zwangsweise in psychiatrischen Kliniken untergebracht werden können. Künftig sollen bei deren Entlassung die Ordnungs- und Polizeibehörden am Wohnort informiert werden, wenn von ihnen „ohne ärztliche Weiterbehandlung eine Fremdgefährdung ausgehen könnte“. Das soll der „effektiven Gefahrenabwehr“ dienen.

Zu einer besseren Versorgung und Begleitung psychisch Erkrankter nach ihrer Entlassung findet sich in dem Entwurf, zu dem im September eine Anhörung im Landtag stattfinden wird, nichts. Genau dieses Defizit wird immer wieder von Betroffenenvertretungen von psychiatrieerfahrenen Menschen oder ärtzlichen und pflegerischen Verbänden kritisiert. So bemängelte etwa die Deutsche Fachgesellschaft Psychiatrische Pflege, dass Maßnahmen wie die Taskforce zu Stigmatisierung statt wirksamer Hilfe führen könnten. Die DFPP betonte die Bedeutung, die „niedrigschwellige, bedarfsgerechte und interdisziplinäre Unterstützungsangebote“ haben und appelierte an den hessischen Ministerpräsidenten, präventive Angebote zu stärken.