Windows-Funktion GDID: FBI fängt Hacker trotz VPN-Nutzung

Eine wenig bekannte Windows-Kennung überführte einen mutmaßlichen Scattered-Spider-Hacker, obwohl er ein VPN verwendete.

Der Fall des 19-jährigen Peter Stokes zeigt, wie selbst VPNs nicht vor der „Global Device ID“ schützen.

Die Spur, die kein VPN verbergen konnte

Die Bundesstaatsanwaltschaft in den USA hat Anklage gegen den 19-jährigen Estnisch-Amerikaner Peter Stokes erhoben. Laut der kürzlich entsiegelten Anklageschrift spielte eine hartnäckige Windows-Kennung die entscheidende Rolle bei der Identifizierung des Verdächtigen. Die sogenannte Global Device Identifier (GDID) – eine wenig bekannte Telemetrie-Funktion – kann selbst dann einzelne Geräte identifizieren, wenn Nutzer VPNs verwenden.

Die Ermittler nutzten die Windows GDID mit der Nummer g:6755467234350028, um Stokes mit einer Reihe von Cyberangriffen in Verbindung zu bringen. Zwar hatte der Beschuldigte angeblich ein Tzulo-VPN genutzt, um seinen Netzwerkstandort zu verschleiern – doch die GDID blieb als unveränderlicher Fingerabdruck bestehen.

Millionen-Schaden bei Juwelier-Einbruch

Im Zentrum der Ermittlungen steht ein Einbruch in ein Luxus-Juweliergeschäft im Mai 2025. Die Angreifer erbeuteten 77 Gigabyte Daten und forderten ein Lösegeld von acht Millionen Euro. Der entstandene Schaden wird auf rund zwei Millionen Euro geschätzt.

Die FBI-Ermittler fanden heraus, dass die besagte Windows-Geräte-ID genutzt wurde, um sich am 12. Mai 2025 um 21:21 Uhr MEZ auf der Plattform ngrok anzumelden. Durch den Abgleich der IP-Verlaufsdaten dieser Geräte-ID mit Stokes‘ persönlichen Konten bei Apple, Snapchat, Facebook und dem Spiel Growtopia konnten die Behörden seine Identität zweifelsfrei feststellen.

Anzeige

Der Fall zeigt eindrucksvoll, wie tiefgreifend die Telemetrie-Funktionen in modernen Betriebssystemen wie Windows verankert sind. Was hinter dem neuen Startmenü, Cloud-Funktionen und weiteren Neuerungen von Windows 11 steckt, erfahren Sie kompakt zusammengefasst in diesem kostenlosen Report. Diese 3 Windows-11-Neuheiten jetzt entdecken

Wie die GDID funktioniert

Die GDID ist eine dauerhafte Kennung auf Geräteebene, die seit 2015 im Windows-Betriebssystem integriert ist. Technische Dokumentationen zeigen, dass diese ID selbst über System-Updates und Neustarts hinweg stabil bleibt. Zwar kann eine Neuinstallation von Windows eine neue Kennung erzeugen – die alte GDID bleibt jedoch in den Telemetriedaten von Microsoft mit historischen Aufzeichnungen verknüpft.

Cybersicherheitsexperten betonen: Ein VPN verbirgt zwar die Netzwerkadresse, nicht aber hardwarenahe Identifikatoren wie die GDID. Datenschützer und Branchenanalysten kritisieren die mangelnde öffentliche Dokumentation und das Fehlen einer einfachen Opt-out-Möglichkeit für diese Tracking-Funktion. Der Sicherheitsexperte Matthew Hickey bezeichnete die Telemetrie des Betriebssystems aufgrund dieser dauerhaften Überwachungsmöglichkeit als „überwachungsstaatlich“.

Anzeige

Viele Nutzer zögern beim Wechsel auf das aktuelle Windows 11, da sie Sorgen um den Datenschutz oder mögliche Datenverluste haben. Ein kostenloser Expertenreport zeigt Ihnen nun, wie der Umstieg ohne Risiko gelingt und wie Sie das System sicher einrichten. Windows 11 Starterpaket jetzt kostenlos anfordern

Festnahme und Hintergrund

Stokes wurde Anfang des Jahres in Helsinki festgenommen und anschließend in die USA ausgeliefert. Am 30. Juni 2026 stand er erstmals vor einem Gericht in Chicago. Die Anklage lautet auf Verschwörung, Computerbetrug und Einbruch in Computersysteme.

Die Gruppe „Scattered Spider“, der Stokes angeblich angehört, soll mehr als 100 Unternehmen in den USA angegriffen haben. Die Strafverfolgungsbehörden schätzen, dass die Gruppe durch ihre Operationen Lösegeldzahlungen von über 100 Millionen Euro erpresst hat. Die Täter setzen häufig auf Social Engineering sowie auf Tools wie ngrok und Teleport, um in fremde Systeme einzudringen.

Microsoft hat bislang keine konkrete Richtlinie veröffentlicht, wie die GDID-Daten mit Strafverfolgungsbehörden geteilt werden. Der aktuelle Fall zeigt jedoch, dass diese Telemetriedaten für Bundesermittlungen zugänglich sind – eine Praxis, die in der Tech-Branche für Diskussionen sorgen dürfte.