iToverDose/Hardware· 5 JULI 2026 · 14:05

Microsofts Windows-GDID half die Festnahme eines Scattered-Spider-Hackers

Ein 19-jähriger US-Estonier wird beschuldigt, Teil der berüchtigten Hackergruppe Scattered Spider zu sein. Dank eines Windows-Identifiers und Microsofts Datenübermittlung an das FBI landete er in Helsinki auf dem Flug nach Japan – im Gepäck: belastende Beweise.

Tom's Hardware3 min0 Kommentare

Ein internationaler Hacker mit Verbindungen zu einer der gefährlichsten Cyberkriminalorganisationen der Welt wurde kürzlich festgenommen. Die Festnahme des 19-jährigen Peter Stokes in Helsinki markiert einen bedeutenden Erfolg im Kampf gegen die Scattered-Spider-Gruppe, die weltweit für Erpressungsangriffe bekannt ist. Die US-Behörden werfen ihm vor, an einer Verschwörung, Cyberangriffen und Betrug beteiligt gewesen zu sein. Seine Verhaftung erfolgte am Flughafen, kurz bevor er nach Japan abreisen wollte – mit zwei Festplatten voller belastender Daten im Gepäck.

Die Scattered-Spider-Gruppe und ihre Methoden

Die Scattered-Spider-Gruppe, auch unter den Namen Octo Tempest, UNC3944 und Oktapus bekannt, zählt zu den aktivsten und aggressivsten Cyberkriminalorganisationen weltweit. Laut Angaben des US-Justizministeriums hat sie in den vergangenen Jahren mehr als 100 Millionen US-Dollar durch Erpressungszahlungen erpresst. Die Gruppe setzt bevorzugt auf Social-Engineering-Taktiken, um an sensible Unternehmensdaten zu gelangen. Ein besonders dreister Vorfall ereignete sich im Mai 2025, als Angreifer – darunter möglicherweise auch Stokes – einen hochwertigen US-amerikanischen Juwelier erpressten.

Die Täter nutzten gefälschte Identitäten und kontaktierten die IT-Hotline des Unternehmens über Google Voice. Durch geschicktes Vortäuschen von Mitarbeiteridentitäten gelang es ihnen, die Hotline dazu zu bewegen, Passwörter zurückzusetzen. Dadurch erhielten sie Zugang zu drei Konten, von denen zwei Administratorrechte besaßen. Auf diese Weise drangen sie in die IT-Infrastruktur des Juweliers ein, stahlen wertvolle Daten und forderten ein Lösegeld von acht Millionen US-Dollar in Kryptowährung. Das Unternehmen konnte schließlich seine Systeme wiederherstellen und die Zahlung vermeiden, erlitt jedoch finanzielle Verluste in Höhe von etwa zwei Millionen US-Dollar durch die Betriebsunterbrechung.

Wie Microsofts GDID zur Festnahme beitrug

Ein zentraler Baustein der Ermittlungen war der Windows-Global Device Identifier (GDID), ein einzigartiger Identifikationscode, der bei jeder Windows-Installation automatisch vergeben wird. Dieser Code verknüpft Hardware- und Softwareaktivitäten mit einem bestimmten Gerät und sammelt dabei detaillierte Telemetriedaten. Selbst scheinbar harmlose Änderungen an der Hardware können dazu führen, dass Windows die Lizenz invalidiert – ein Mechanismus, der auch bei der Aufklärung des Falls eine Rolle spielte.

Die Ermittler nutzten die GDID-Daten, um die Aktivitäten von Stokes auf einem Windows-PC mit seinen physischen Geräten und Standortdaten zu verknüpfen. Die gesammelten Informationen umfassten unter anderem:

  • - Webaktivitäten und Browserverlauf mit Zeitstempeln
  • - Installierte Software, darunter Tools wie Ngrok
  • - IP-Adressen und Standortdaten
  • - Spielaktivitäten auf dem PC
  • - Azure-Nutzungsprotokolle

Diese Daten wurden dem FBI von Microsoft zur Verfügung gestellt und bildeten die Grundlage für die weitere Ermittlungsarbeit. Die richterlichen Dokumente zeigen, dass die GDID-Daten Stokes direkt mit den Angriffen auf den Juwelier in Verbindung brachten. Ohne diesen Identifikationscode wäre die Verknüpfung der digitalen Spuren mit der realen Person deutlich schwieriger gewesen.

Datenschutzbedenken und zukünftige Herausforderungen

Der Einsatz von GDID und ähnlichen Telemetriesystemen wirft jedoch wichtige Fragen zum Datenschutz auf. Windows sammelt seit Jahren umfangreiche Nutzungsdaten, was bei technikaffinen Nutzern immer wieder Kritik auslöst. Viele Anwender versuchen daher, die Telemetrie durch manuelle Anpassungen oder spezielle Tools zu reduzieren – doch der GDID-Code lässt sich nicht einfach deaktivieren oder entfernen. Diese Situation hat eine ganze Community von Windows-Optimierern hervorgebracht, die sich mit der Reduzierung unerwünschter Datenerfassung beschäftigen.

In diesem Fall diente die Telemetrie jedoch einem legitimen Zweck: der Aufklärung schwerer Straftaten. Dennoch bleibt die Frage, wie sicher diese Daten vor Missbrauch geschützt sind. Sollte ein Angreifer Zugriff auf solche detaillierten Protokolle erlangen, könnte dies weitreichende Konsequenzen haben. Die Festnahme von Stokes zeigt zwar, wie effektiv solche Daten für Ermittlungen sein können, doch gleichzeitig unterstreicht sie die Notwendigkeit strenger Sicherheitsvorkehrungen bei der Speicherung und Weitergabe von Telemetrieinformationen.

Ausblick: Ein Präzedenzfall für Cyberermittlungen

Die erfolgreiche Festnahme von Peter Stokes unterstreicht die wachsende Bedeutung digitaler Spuren in der Strafverfolgung. Technologien wie der Windows-GDID können Ermittlern wertvolle Einblicke in die Aktivitäten von Verdächtigen bieten. Gleichzeitig wirft der Fall wichtige Diskussionen über die Balance zwischen Sicherheit und Privatsphäre auf.

Die US-Behörden haben Stokes bereits nach Chicago ausgeliefert, wo er am 30. Juni 2026 vor einem Bundesgericht erstmals erschien. Der Fall wird nun weiter verhandelt, während die Cybersecurity-Community die Entwicklungen aufmerksam verfolgt. Sollte Stokes verurteilt werden, könnte dies ein Signal für weitere Ermittlungen gegen Mitglieder der Scattered-Spider-Gruppe und ähnlicher Organisationen setzen. Gleichzeitig bleibt abzuwarten, wie Microsoft und andere Tech-Unternehmen ihre Telemetriesysteme in Zukunft gestalten werden – mit Blick auf sowohl Ermittlungszwecke als auch den Schutz der Privatsphäre ihrer Nutzer.

KI-Zusammenfassung

Microsoft’un GDID sistemiyle takip edilen Scattered Spider üyesi 19 yaşındaki Peter Stokes, Finlandiya’da yakalandı. Siber suç örgütüyle bağlantılı zanlıya ABD’de conspiracy ve cyber intrusion suçlamaları yöneltiliyor.

Kommentare

00
KOMMENTAR SCHREIBEN
ID #RBH8Y9

0 / 1200 ZEICHEN

Menschen-Check

5 + 4 = ?

Erscheint nach redaktioneller Prüfung

Moderation · Spam-Schutz aktiv

Noch keine Kommentare. Sei der erste.