Mastodon Mastodon Mastodon Mastodon

Fünfeinhalb Jahre Haft für TfL-Hacker: Fall, Schäden und Lehren

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Am 16. Juli 2026 verurteilte das Woolwich Crown Court Owen Flowers (18 Jahre) und Talha Jubair (20 Jahre) jeweils zu fünfeinhalb Jahren Haft für den Angriff auf die Systeme von Transport for London (TfL) im September 2024. Die Attacke legte 148 Systeme des Verkehrsbetreibers lahm, der rund 9 Millionen Fahrten pro Tag abwickelt, und führte zu einer Offenlegung personenbezogener Daten von Fahrgästen. Nach Angaben der Crown Prosecution Service (CPS) und der National Crime Agency (NCA) beliefen sich Schaden und Wiederherstellungskosten auf 29 Millionen £. Der Fall war nach Einschätzung der CPS die erste erfolgreiche Verurteilung nach § 3ZA des Computer Misuse Act von 1990 – dem schwerwiegendsten Straftatbestand dieses Gesetzes.

Chronologie des Angriffs und Schadensumfang

Der Angriff dauerte vom 31. August bis zum 3. September 2024. Innerhalb von vier Tagen brachten die Täter kritische Dienste des Londoner Verkehrs durcheinander:

  • Dial-a-Ride – der Fahrdienst für mobilitätseingeschränkte Einwohner Londons – wurde außer Betrieb gesetzt;
  • Der digitale Kanal zur Bezahlung von Fahrten und zur Ausgabe vergünstigter Fahrkarten stellte den Dienst ein;
  • Die Annahme von Anträgen auf Oyster-Fotokarten für Kinder und Jugendliche wurde gestoppt;
  • Die Einführung kontaktloser Zahlung wurde verschoben, die Bearbeitung von Erstattungen erheblich verlangsamt.

Wie TfL den Fahrgästen mitteilte, erhielten die Angreifer Zugriff auf Namen, E-Mail-Adressen und in einigen Fällen auch Privatadressen von Kunden. Für etwa 5.000 Personen könnten nach Schätzung von TfL Daten zu Erstattungen für Oyster-Karten kompromittiert worden sein, darunter Bankkontonummern und Bankleitzahlen.

Die Folgen für die interne Infrastruktur waren nicht weniger gravierend: Alle 27.000 Beschäftigten von TfL mussten persönlich ins Büro kommen, um ihre Passwörter zurückzusetzen. Die NCA bezeichnet diesen Fall als das größte Strafverfahren wegen eines Cyberverbrechens in der Geschichte der britischen Gerichte, ohne jedoch die Methodik dieser Einordnung offenzulegen.

Beweisgrundlage und Festnahme

Flowers wurde am 6. September 2024 – drei Tage nach Ende des Angriffs auf TfL – zu Hause festgenommen. Nach Angaben der NCA befand er sich zum Zeitpunkt der Festnahme mitten in einem Angriff auf zwei US-amerikanische Gesundheitsorganisationen – die SSM Health Care Corporation und Sutter Health. Bei der Durchsuchung wurden Laptops, Desktop-Computer, Festplatten und USB-Speicher sichergestellt. Auf einem der Laptops fanden sich ein Screenshot einer Verbindung zur Infrastruktur von TfL sowie Videoaufnahmen, auf denen Flowers die Aktionen von Jubair innerhalb der Systeme des Verkehrsbetreibers festhielt.

Das Duo koordinierte sein Vorgehen über Telegram und einen gemeinsamen Online-Arbeitsbereich. Die Staatsanwaltschaft wies nach, dass Flowers mit einem Remote-Server verbunden war, der für alle drei Angriffe genutzt wurde. Beweise für die Beteiligung Jubairs am Angriff auf TfL wurden im Ausland mit Unterstützung ausländischer Staatsanwaltschaften erhoben.

Flowers räumte zwei weitere Anklagepunkte ein: Verschwörung mit dem Ziel eines Angriffs auf SSM Health sowie den Versuch eines Angriffs auf Sutter Health. Laut CPS drohte er in der Kommunikation damit, medizinische Systeme zu blockieren, und räumte zugleich ein, dass dies „irgendeinen 90-Jährigen an lebenserhaltenden Geräten töten könnte“. Erst seine Festnahme stoppte diesen Angriff.

Rechtlicher Präzedenzfall: § 3ZA

Beide Angeklagten legten am 22. Juni 2026 ein Geständnis ab – an dem Tag, an dem der Prozess beginnen sollte. Die Anklage stützte sich auf § 3ZA des Computer Misuse Act – den schwersten Straftatbestand dieses Gesetzes. Die Angeklagten räumten ein, mit rücksichtsloser Missachtung des Risikos gehandelt zu haben, ob sie eine erhebliche Gefahr schweren Schadens für das Wohlergehen von Menschen schufen.

Bemerkenswert ist hier eine Diskrepanz in den Formulierungen der beiden Behörden: Die CPS erklärt, dies sei die erste erfolgreiche Verurteilung nach dieser Vorschrift, während die NCA den Fall nur als das zweite Verfahren dieser Art bezeichnet. Beide Aussagen können gleichzeitig zutreffen – die eine zählt eingeleitete Verfahren, die andere abgeschlossene mit Urteil –, doch keine der Behörden erläutert den Unterschied.

Die NCA schätzt den hypothetischen Schaden eines vollständigen Ausfalls des TfL-Netzes auf bis zu 56 Milliarden £ für die britische Wirtschaft. Diese Zahl blieb hypothetisch: TfL trennte das eigene Netz selbstständig vom Netz, um die Bedrohung zu isolieren; dies verhinderte nach Angaben der CPS das katastrophale Szenario. Die Methodik zur Berechnung der 56 Milliarden £ wird nicht offengelegt.

Bezug zu Scattered Spider und offenes Verfahren in den USA

Die NCA beschreibt beide Verurteilten als führende Mitglieder der Gruppierung Scattered Spider (auch nachverfolgt als Octo Tempest, UNC3944 und 0ktapus). Die CPS formuliert vorsichtiger: Die Angeklagten hätten zu unterschiedlichen Zeiten erklärt, einer Gruppe anzugehören, die nach Ansicht der Staatsanwaltschaft zwischen 2022 und 2025 Hunderte Angriffe verübte. Das in der Mitteilung der NCA zitierte FBI bringt die Gruppierung mit Datenerpressung, SIM-Swapping und Social Engineering in Verbindung.

Für Jubair ist die Sache längst nicht abgeschlossen. Eine im September 2025 in New Jersey entsiegelte Klageschrift wirft ihm Verschwörung zum Computerbetrug, Betrug unter Nutzung von Telekommunikationsmitteln und Geldwäsche vor. Nach Darstellung der US-Staatsanwaltschaft umfasste das Schema rund 120 Netzwerkangriffe und mindestens 47 Opfer in den USA im Zeitraum von Mai 2022 bis September 2025, wobei die insgesamt gezahlten Lösegelder mehr als 115 Millionen US-Dollar betrugen. Ihm wird außerdem Beteiligung an Einbrüchen in die Systeme eines US-Unternehmens der kritischen Infrastruktur und der US-Justizbehörden zur Last gelegt sowie die Verlagerung von rund 8,4 Millionen US-Dollar in Kryptowährung aus einer Server-Wallet in dem Moment, als die Ermittler deren Sicherstellung durchführten. Das maximale Strafmaß für alle US-Anklagepunkte beträgt 95 Jahre. In keinem der veröffentlichten Dokumente wird die Frage einer Auslieferung angesprochen.

Lehren für die Verteidigung: Social Engineering bleibt der Hauptvektor

Weder NCA noch CPS legten offen, wie Flowers und Jubair den Erstzugang zu TfL erlangten. Der Kontext, den die Untersuchung von Mandiant zur Expansion von ShinyHunters liefert, deutet jedoch auf das typische Arsenal ähnlicher Gruppen hin: Voice Phishing (Vishing) mit Anrufen bei Mitarbeitenden, gefälschte, auf die Marke des Opfers abgestimmte Seiten zur Erfassung von Zugangsdaten, das Abfangen von SSO-Logins und Codes für Multi-Faktor-Authentifizierung und anschließend die Registrierung eines eigenen Endgeräts der Angreifer zur MFA-Nutzung.

Das Google-Leitfaden zur Stärkung der Abwehr fasst die zentrale Empfehlung auf einen Grundsatz zusammen: Identitätsprüfung bei Passwort-Resets, der Registrierung von Geräten und Änderungen an MFA-Einstellungen – genau jenen manuellen Prozessen, über die diese Gruppierungen mittels Social Engineering in Systeme eindringen.

Die NCA betont außerdem, dass diese Urteile wahrscheinlich nicht zustande gekommen wären, wenn TfL sich nicht bereits in einer frühen Phase des Vorfalls an die Strafverfolgungsbehörden gewandt hätte. Parallel nutzte die Polizei der City of London die Urteilsverkündung, um die Idee sogenannter „Cyber-Risk-Anordnungen“ voranzubringen – gerichtlicher Beschränkungen für die Nutzung von Geräten und Online-Diensten durch Verurteilte, die Einsatzleiter Ollie Shaw als ein „digitales Gefängnis“ bezeichnete. Solche Befugnisse hat die Polizei bislang nicht.

Der TfL-Fall zeigt zwei praktische Wahrheiten. Erstens: Organisationen der kritischen Infrastruktur müssen eine strikte Identitätsprüfung in sämtliche Prozesse des Kontomanagements integrieren – Passwort-Resets, Geräte-Registrierung, Änderung der MFA –, da genau diese „manuellen“ Einstiegspunkte von Gruppierungen auf dem Niveau von Scattered Spider ausgenutzt werden. Zweitens: Eine frühzeitige Einschaltung der Strafverfolgungsbehörden bei Entdeckung eines Einbruchs hilft nicht nur, den Schaden zu begrenzen, sondern schafft – wie dieser Fall gezeigt hat – auch die Beweisgrundlage, um Täter zur Rechenschaft zu ziehen, bis hin zur Festnahme im Moment der Ausführung des nächsten Angriffs.


CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.