Scattered Spider: Live gestreamter Cyberangriff endet mit 5,5 Jahren Haft
Scattered Spider: Hacker-Duo erhält nach dem TfL-Cyberangriff 5,5 Jahre Haft. Millionen Datensätze gestohlen, Angriff sogar live gestreamt.
Scattered Spider hat sich in den vergangenen Jahren zu einem Synonym für moderne Cyberkriminalität entwickelt. Die Hacker-Group steht symbolisch für spektakuläre Social-Engineering-Angriffe und millionenschwere Cybercrime-Kampagnen. Aktuell hat ein britisches Gericht zwei Mitglieder der Gruppe zu jeweils fünfeinhalb Jahren Haft verurteilt. Ihr Angriff auf Transport for London verursachte Schäden in Millionenhöhe. Teile ihrer Attacke übertrugen sie dabei live ins Internet.
Hinter einer der schwersten Attacken auf die kritische Infrastruktur Großbritanniens standen zwei junge Männer, die zum Tatzeitpunkt noch Teenager waren. Gemeinsam verschafften sie sich Zugriff auf die Systeme von Transport for London (TfL). Sie legten zentrale Online-Dienste lahm, stahlen die Daten von Millionen Fahrgästen und streamten ihre Aktion sogar live.
Wie die BBC berichtete, hat nun das Woolwich Crown Court in London zu dem Fall ein Urteil gefällt. Owen Flowers (18) und Thalha Jubair (20) müssen jeweils fünfeinhalb Jahre ins Gefängnis. Für die britischen Ermittlungsbehörden ist das Verfahren ein Meilenstein im Kampf gegen die lose organisierte Hackergruppe Scattered Spider, die seit Jahren weltweit Unternehmen und Behörden ins Visier nimmt.
Der spektakuläre Angriff begann bereits am Abend des 31. August 2024. Dabei setzten die Täter auf Social Engineering. Gegenüber dem Helpdesk von TfL täuschten sie die Identität eines Mitarbeiters vor. Durch geschickte Manipulation überzeugten sie den Support davon, die Anmeldedaten eines Beschäftigten zurückzusetzen. Dies öffnete ihnen die Tür zu internen Microsoft-Azure-Systemen.
Von dort aus arbeiteten sich die beiden Hacker dann weiter nach oben vor. Sie erweiterten zunächst ihre Berechtigungen und legten eigene Administratorkonten an. Weiterhin errichteten sie dauerhafte Zugänge, die sie auch für ein wiederholtes Eindringen in das Netzwerk hätten nutzen können. Nach Einschätzung der Staatsanwaltschaft verfügten sie über die sprichwörtlichen „Keys to the Kingdom“, also Administratorrechte, mit denen sich so ziemlich sämtliche Bereiche der IT-Infrastruktur kontrollieren ließen.
Millionen Datensätze kopiert – London kam glimpflich davon
Während ihres mehrtägigen Aufenthalts im Netzwerk durchsuchten die Täter unter anderem die Kundendatenbank des Oyster-Systems. Dabei suchten sie gezielt nach Datensätzen prominenter Londoner. Zudem versuchten sie, Zugriff auf weitere sensible Informationen zu erhalten. Sky News zufolge erklärten die Ermittler, das Duo habe rund sechs Millionen Datenzeilen aus den kompromittierten Systemen gezogen.
Nach Darstellung der Anklage hätten die beiden Hacker sogar noch größeren Schaden anrichten können. Durch ihre weitreichenden Administratorrechte wäre es theoretisch möglich gewesen, große Teile der IT-Systeme von Transport for London vollständig lahmzulegen. Das schnelle Eingreifen der Sicherheitsverantwortlichen verhinderte nach Ansicht der Ermittler jedoch gravierendere Auswirkungen auf den öffentlichen Nahverkehr in der britischen Hauptstadt.
TfL reagierte entsprechend mit einer drastischen Notmaßnahme. Die Verkehrsbehörde trennte Teile seiner Infrastruktur vollständig vom Internet. Weil TfL dem eigenen Identitätssystem nicht mehr vertraute, mussten zudem rund 27.000 Mitarbeiter ihre Zugangsdaten vor Ort neu einrichten. Insgesamt waren 148 IT-Systeme zeitweise nicht mehr einsatzfähig. Auch Dienste wie Dial-a-Ride für mobilitätseingeschränkte Fahrgäste sowie verschiedene Online-Angebote und Zahlungsfunktionen fielen teilweise über Wochen aus.
Die wirtschaftlichen Folgen waren hier erheblich. Nach aktuellen Angaben beziffert Transport for London den entstandenen Schaden auf rund 29 Millionen Pfund.
Angriff über Stunden live übertragen
Wie The Guardian berichtet, dokumentierten die Hacker Teile ihres Angriffs auf Transport for London (TfL) und übertrugen die Aktivitäten dabei zeitweise per Livestream. Die Zuschauer konnten so in Echtzeit verfolgen, wie sich das Duo in die Systeme von Transport for London kontinuierlich vorarbeitete.
Über ihre Aktivitäten tauschten sich die beiden Täter auf Telegram aus. Dort feierten sie ihre Erfolge und machten sich über ihr Opfer lustig. Nachdem sie Zugriff auf die Oyster-Datenbank erhalten hatten, suchten sie gezielt nach den Datensätzen prominenter Londoner. In einer weiteren Nachricht schrieb Flowers spöttelnd: „Scattered Spider“ spinnt Netze in der U-Bahn.“
Der Satz wurde später im Gerichtssaal erneut aufgegriffen und als Ausdruck von Übermut, Geltungsdrang und fehlendem Unrechtsbewusstsein interpretiert. Nach Einschätzung der Ermittler ging es den beiden um Anerkennung innerhalb der Cybercrime-Szene. Digitale Reputation hat demnach gerade für junge Täter einen ähnlich hohen Stellenwert wie finanzielle Gewinne.
Zwei Lebensläufe, viele Warnsignale
Vor Gericht zeichnete sich das Bild zweier junger Männer, die einen Großteil ihres Lebens vor dem Bildschirm verbrachten. Beide wurden mit einer Autismus-Spektrum-Störung diagnostiziert und galten als sozial isoliert. Die Verteidigung machte diese Isolation dafür verantwortlich, dass sie anfällig waren für eine Rekrutierung durch erfahrene Cyberkriminelle.
Owen Flowers lebte bei seiner Großmutter in Walsall. Nach Angaben der Polizei verließ er das Haus nur selten. Er verbrachte den überwiegenden Teil seiner Zeit am Computer. Schon 2023 erhielt er wegen früherer Cyberdelikte eine sogenannte Cease-and-Desist-Anordnung der Polizei. Die Behörden boten ihm über das Präventionsprogramm Cyber Choices Unterstützung an, um seine Fähigkeiten in legale Bahnen zu lenken. Dieses Angebot lehnte er jedoch ab.
Nur wenige Monate später war Flowers bereits an weiteren Angriffen beteiligt. Als Ermittler ihn im September 2024 wegen der TfL-Affäre festnahmen, überraschten sie ihn nach Angaben der Staatsanwaltschaft gerade dabei, wie er in die Systeme zweier US-Gesundheitsdienstleister eingedrungen sein soll.
Thalha Jubair war den Strafverfolgungsbehörden ebenfalls bekannt. Er hatte schon als Jugendlicher Verurteilungen wegen Computerkriminalität, Betrugsdelikten und Belästigungen erhalten. Mit 14 Jahren geriet er erstmals ins Visier der Polizei. Später erhielt er im Zusammenhang mit der Hackergruppe Lapsus$ eine Jugendstrafe. Zum Zeitpunkt des TfL-Angriffs stand er unter einer noch laufenden gerichtlichen Auflage.
Hinzu kommt, dass die USA seine Auslieferung anstreben. Dort wird ihm vorgeworfen, an Angriffen auf 47 amerikanische Opfer beteiligt gewesen zu sein, bei denen Lösegeldzahlungen von insgesamt rund 115 Millionen US-Dollar geflossen sein sollen.
Scattered Spider: Jagd auf eine unsichtbare Hacker-Group
Die beiden Verurteilten gelten als Teil von Scattered Spider, einem losen Netzwerk englischsprachiger Cyberkrimineller. Anders als klassische Ransomware-Gruppen existiert hier keine starre Hierarchie. Experten vergleichen die Struktur mit einem offenen Kollektiv, in dem sich Mitglieder je nach Angriff zusammenschließen, wieder verschwinden und durch neue Akteure ersetzt werden.

Wie The Guardian berichtet, bringen Sicherheitsforscher Scattered Spider unter anderem mit den Angriffen auf MGM Resorts, Caesars Entertainment, Marks & Spencer und Co-op in Verbindung. Auch der Cyberangriff auf Jaguar Land Rover wird mit einer Hackergruppe in Verbindung gebracht, die Überschneidungen mit Scattered Spider aufweisen soll.
Die Täter setzen bei ihren Angriffen bevorzugt auf Social Engineering. Helpdesk-Mitarbeiter werden telefonisch manipuliert, Multi-Faktor-Authentifizierungen durch MFA-Fatigue-Angriffe ausgehebelt oder gestohlene Zugangsdaten genutzt. Technisch sind diese Methoden vergleichsweise simpel. Ihre Erfolgsquote ist dennoch sehr hoch, sie zielen auf den Menschen als Schwachstelle.
Scattered Spider: Zwischen Krypto-Gewinnen und digitaler Machtdemonstration
Während des Verfahrens wurde bekannt, dass beide Angeklagten über Kryptowährungen in Millionenhöhe verfügten. Allein bei Flowers stellten Ermittler digitale Vermögenswerte im Wert von rund einer Million Pfund sicher. Frühere Ermittlungen deuten darauf hin, dass über Wallets der beiden Täter weitaus größere Summen bewegt wurden.
Dennoch gehen die Ermittler davon aus, dass finanzielle Motive nicht im Vordergrund standen. Chats und beschlagnahmte Nachrichten sprechen vielmehr dafür, dass Anerkennung innerhalb der Hackerszene, technisches Prestige und öffentliche Aufmerksamkeit eine ebenso große Rolle spielten. Der Livestream des Angriffs und ihre Telegram-Nachrichten zeugen zudem davon.
Ebenso wie das fehlende Mitgefühl bei Nachrichten, die Flowers während eines Angriffs auf US-Krankenhäuser verschickt haben soll. Darin machte er sich laut Anklage darüber lustig, dass seine Aktionen möglicherweise Patienten gefährden könnten. Solche Aussagen spielten bei der Strafzumessung eine Rolle. Sie verdeutlichen die Gleichgültigkeit gegenüber den Folgen der eigenen Taten.
Haftstrafe soll Signalwirkung entfalten
Vor Gericht betonte Richter Mr Justice Turner, dass beide Angeklagten trotz ihres jungen Alters genau gewusst hätten, welche Folgen ihr Handeln haben konnte. Die Attacke sei hochprofessionell geplant gewesen, habe sich über mehrere Tage erstreckt und eine kritische öffentliche Infrastruktur ins Visier genommen. Dass die schlimmsten Szenarien letztlich ausblieben, sei allein dem schnellen Eingreifen von TfL und den Ermittlungsbehörden zu verdanken.
Beide Angeklagten bekannten sich im Juni schuldig und erhielten dadurch eine Strafmilderung. Das Gericht verurteilte Owen Flowers und Thalha Jubair schließlich zu jeweils fünf Jahren und sechs Monaten Freiheitsstrafe. Flowers erhielt die gleiche Gesamtstrafe auch für weitere Angriffe auf zwei US-amerikanische Gesundheitsdienstleister.
Behördenvertreter der britischen National Crime Agency (NCA) sprechen von der bisher komplexesten Cybercrime-Ermittlung ihrer Geschichte und von der größten Strafverfolgung gegen Hacker im Vereinigten Königreich. Erstmals wurden Täter erfolgreich nach Section 3ZA des Computer Misuse Act 1990 verurteilt, einer Vorschrift, die besonders schwere Angriffe auf Computersysteme mit erheblichen Schäden erfasst.
Ist Scattered Spider damit Geschichte?
Trotz der empfindlichen Haftstrafen erwarten Analysten von Sicherheitsunternehmen wie ReliaQuest und KnowBe4 nicht, dass die Verurteilungen das Ende von Scattered Spider einläuten. Die Gruppe gilt als loses Netzwerk, das nicht von einer Führungsstruktur abhängig ist. Nach Rückschlägen wäre das Cybercrime-Kollektiv dazu imstande, sich neu zu organisieren. Auch NCA-Vizedirektor Paul Foster erklärte in einer Stellungnahme der Behörde nach dem Urteil, die Bedrohung durch Scattered Spider sei durch Festnahmen in Großbritannien und anderen Ländern geschwächt worden. Von einer vollständigen Zerschlagung des Cybercrime-Kollektivs sprach die Behörde jedoch nicht.
Zu ähnlich ernüchternden Einschätzungen kommen zudem weitere unabhängige Sicherheitsforscher. Allison Nixon, Chief Research Officer bei Unit 221B, sieht hinter Scattered Spider keine klassische Hackerbande, sondern eine Online-Jugendsubkultur. Ihnen wäre Anerkennung durch spektakuläre Angriffe wichtiger ist als langfristige finanzielle Gewinne. Junge Täter vernetzen sich über Plattformen wie Telegram oder Discord und können sich dort gegenseitig zu immer riskanteren Aktionen anspornen. Gegenüber CbsNews führt sie aus:
„Es gibt diese toxischen Online-Plattformen, auf denen junge Menschen mit Kriminellen und Bandenmitgliedern in Kontakt treten und sich vermischen können. Das Endergebnis ist eine Online-Subkultur, die Verbrechen verherrlicht und den persönlichen Wert eines Menschen daran misst, wie viel Schaden er der Welt zufügen kann.“
Graeme Stewart von Check Point Software Technologies bezeichnet Scattered Spider als dezentralisiert und anpassungsfähig. Gegenüber Sky News erklärte er, dass die Gruppe trotz Festnahmen ihre Struktur nutzen könne, um sich neu zu formieren. Der britische Cybersicherheitsexperte zieht den anschaulichen Vergleich, das Netzwerk gleiche eher einer Jazzband als einer festen Organisation. Einzelne Musiker verlassen die Bühne, neue kommen hinzu und das Stück geht weiter:
„Es ist eher ein loses Kollektiv. Man kann es sich wie eine Jazzband vorstellen. Es kommen Leute hinzu und andere gehen wieder. Jemand kommt herein, spielt ein kleines Solo … und verschwindet wieder – es verändert sich ständig.“