Cybercrime
Cybercrime
Cybercrime
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Dieter Kochheim, <strong>Cybercrime</strong> - 2 -3 Inhalt5 Einführung: <strong>Cybercrime</strong>6 A. Angriffe auf IKT-Systeme6 A.1 IT-Sicherheit, Schwachstellen,Angriffe24 A.2 Nummerntricks37 A.3 Malware45 A.4 Identitätsdiebstahl und Phishing55 A.5 Botnetze61 B. Social Engineering62 B.1 Fünf unwichtige Informationen ergebeneine sensible75 B.2 Beobachten und bewerten80 C. Underground Economy80 C.1 Schurken-Provider und organisierte<strong>Cybercrime</strong>91 C.2 arbeitsteilige und organisierte<strong>Cybercrime</strong>103 C.3 Basar für tatgeneigte Täter118 C.4 Publikationen zur <strong>Cybercrime</strong>122 D. SchlussDie Zitate in den Fußnoten, das Inhaltsverzeichnisund einzelne Textpassagen sind imPDF-Dokument mit Links unterlegt, die eineneinfachen Zugriff auf die Quellen oder eineBewegung im Dokument zulassen. Sie erscheinenin blauer Farbe. In ausgedruckterForm sind die Quellen leider nicht sichtbar.Thema:Autor:Version:Stand:Cover:Impressum:<strong>Cybercrime</strong>Dieter Kochheim1.0224.05.2010KochheimCF, cyberfahnder.de
Dieter Kochheim, <strong>Cybercrime</strong> - 3 -5 Einführung: <strong>Cybercrime</strong>6 A. Angriffe auf IKT-Systeme6 A.1 IT-Sicherheit, Schwachstellen,Angriffe7 1. Heimnetz-Architektur9 2. "harte" physikalische Angriffspunkte9 2.1 technische Geräte als Gefahrenquelle9 2.2 Telefonanschluss10 2.3 Keylogger10 2.4 Telefonanlage, Server10 2.5 WLAN-Router, Switch11 2.6 Telefon11 2.7 Klassiker und Kuckuck11 3. Angriffe aus dem Netz12 3.1 Hacking12 3.2 Telefonanlage12 3.3 aktive Komponenten13 3.4 internes Modem. Fremdnetzzugang13 4. Angriffe auf Funk-Schnittstellen13 4.1 Wardriving: Eindringen in lokale Funknetze14 4.2 Nahfunk14 5. Angriffe mit Crimeware15 5.1 Malware15 5.2 Datenträger, E-Mail16 5.3 E-Hacking16 6. Standard-Schutzmaßnahmen16 6.1 Sensible Daten16 6.2 Kontodaten, TAN17 6.3 Virenscanner, Firewall17 6.4 Datensicherung17 6.5 Administratorenrechte17 6.6 Updates17 6.7 Originale18 6.8 Schnittstellen18 6.9 Funknetz18 6.10 Fremdnetze und Angriffspunkte18 6.11 mobiles Computing18 6.12 Hotspots. Öffentliche Funknetze18 7. verschiedene Nutzungen18 7.1 Renate Mustermann und Otto Normalverbr.19 7.2 ... geschäftliche Datenverarbeitung19 7.3 ... professionelle Datenverarbeitung20 8. Bestandteile eines professionellenNetzwerkes20 8.1 professionelles Firmennetz20 8.2 Demilitarisierte Zone - DMZ21 8.3 internes LAN22 8.4 Sicherheitsüberwachung22 8.5 Sicherheitskultur und Akzeptan24 A.2 Nummerntricks24 1. intelligente Nummernverwaltung26 2. 1900-Nummern. Abrechnung. Missbrauch27 3. Dialer27 3.1 wider dem Missbrauch27 3.2 rechtliche Handhabung28 4. Regelungen im TKG29 5. kostenpflichtige Rückrufe29 6.1 Rückruftrick30 6.2 einheitliche prozessuale Tat30 7. versteckte Netz- und Auslandsvorwahlen31 8. kriminelle Verbindungen32 9. Adressierung im Internetprotokoll34 10. Umleitungen im Internet35 11. Angriffe gegen Webserver und CMS36 12. Fazit37 A.3 Malware37 1. Tarnung und Täuschung38 2. Massenware und gezielte Spionage39 3. Crimeware40 4. Angriffsmethoden40 4.1 Bootvorgang40 4.2 Betriebssystem41 4.3 Systemstart42 4.4 laufender Betrieb43 4.5 online44 5. Abwehr44 6. Fazit45 A.4 Identitätsdiebstahl und Phishing45 1. Identitätsdiebstahl46 2. Kontoübernahmen47 3. Ziele des Identitätsdiebstahls48 4. virtuelle Kriminalität49 5. Zahlungs- und Geschäftsverkehr49 5.1 Carding49 5.2 Phishing in neuen Formen51 5.3 Beutesicherung52 5.4 Online-Warenhäuser53 5.5 Aktienkursmanipulation54 6. Fazit55 A.5 Botnetze55 1. Infektion und Infiltration56 2. Übernahme. Konsole56 3. zentrale und dezentrale Steuerung57 4. Einrichtung des Botnetzes57 5. kriminelle Einsätze
Dieter Kochheim, <strong>Cybercrime</strong> - 4 -57 5.1 verteilter Angriff58 5.2 Spamming und Phishing59 5.3 direkte Angriffe59 5.4 The Man in the Middle59 6. Botnetze, die unerkannte Gefahr61 B. Social Engineering62 B.1 Fünf unwichtige Informationen ergebeneine sensible63 1. Security Journal63 2. Risikofaktor Mensch65 3. Verhaltensregeln für Mitarbeiter66 4. Vorgehen des Social Engineers66 5. noch einmal: Security Journal67 5.1 Psychotricks67 5.1.1 Emotionen manipulieren67 5.1.2 Fehlgeleitete mentale Verknüpfungen68 5.1.3 Fehler im Schema verursachen69 5.2 Geld machen mit <strong>Cybercrime</strong>70 5.3 gezielte Manipulationen71 5.4 Schwachstellen, Exploits und Fallen71 5.5 Typosquatting72 5.6 Adware und Spyware73 5.7 Ergebnisse aus dem Security Journal73 5.8 Fazit: Security Journal74 6. Lehren aus den Fallstudien ...75 B.2 Beobachten und bewerten75 1. einheitliche Organisationssicherheit76 2. Blick von außen78 3. Blick von innen79 4. Nachwort80 C. Underground Economy80 C.1 Schurken-Provider undorganisierte <strong>Cybercrime</strong>81 1. <strong>Cybercrime</strong> in Russland83 2. Zusammenarbeit von Spezialisten84 3. organisierte Botnetze85 4. Spezialisierung85 4.1 Drop Zones85 4.2 Carder86 4.3 Agenten86 4.4 Spezialisten86 4.5 Koordinator. Operation Group87 4.6 Rogue Provider89 5. Russian Business Network - RBN90 6. Fazit91 C.2 arbeitsteilige und organisierte<strong>Cybercrime</strong>91 1. ... Blick auf die Erscheinungsformen92 2. was ist <strong>Cybercrime</strong>?93 3. Hacker: Moral und Unmoral94 4. Einzeltäter95 5. Malware-Schreiber, Zulieferer, Auftraggeber96 6. spezialisierte Zwischenhändler97 7. kriminelle Unternehmer98 8. Koordinatoren98 9. Zwischenergebnis98 10. Organigramm der <strong>Cybercrime</strong>99 11. neue Definition der <strong>Cybercrime</strong>99 12. modulare <strong>Cybercrime</strong>100 13. Fazit101 14. modulare Kriminalität103 C.3 Basar für tatgeneigte Täter103 1. Hacker-Märkte103 1.1 Ende eines Hacker-Boards104 1.2 verstärkte Abschottung105 2. Wandlung der Erscheinungsformen105 2.1 Phishing106 2.2 Identitätsdiebstahl107 2.3 Botnetze107 2.4 Skimming108 2.5 Social Engineering109 3. der Basar111 4. Organisierte Internetverbrecher112 5. kriminelle Programmierer113 6. Operation Groups113 7. Koordinatoren114 8. Schurkenprovider114 9. Tarnung und Abschottung der Kunden114 9.1 Whois Protection114 9.2 anonyme Server114 9.3 Detektion116 9.4 heimlicher Betrieb117 9.5 IP-Adressen und Domain-Entführer118 10. Crämer und große Kriminelle118 11. Beutesicherung120 12. fließende Grenzen121 C.4 Publikationen zur <strong>Cybercrime</strong>121 1. McAfee. Globale Sicherheitsbedrohungen122 2. virtuelle Kriminalität und Cyberwar125 D. Schluss125 Lehren126 Cyberfahnder
Dieter Kochheim, <strong>Cybercrime</strong> - 5 -Einführung: <strong>Cybercrime</strong>Das IT-Strafrecht im engeren Sinne umfasst dieStraftaten, die die Informations- und Kommunikationstechnikdirekt betreffen. Als ihre Hauptgruppensehe ich, leicht abweichend von der üblichen Klassifikationan: die Computersabotage, der persönliche Lebens- und Geheimbereich, die strafbaren Vorbereitungshandlungen und den Schutz des Rechtsverkehrs.Hinzu kommt das IT-Strafrecht im weiteren Sinne.Es umfasst die klassische Kriminalität, die sich zuihrer Begehung der IKT bedient. Dazu gehörenganz besonders der Betrug und dieÄußerungsdelikte (Beleidigung, Verleumdung,Bloßstellung). Als ihre Hauptgruppen sehe ich an: das Nebenstrafrecht, die Inhaltsdelikte und den Anlagenschutz.In diesem Arbeitspapier geht es jedoch nicht umdie Einzelheiten der rechtlichen Beurteilung der<strong>Cybercrime</strong>, sondern um ihre Erscheinungs- undOrganisationsformen. Es ist eine Bestandsaufnahme,die den Blick auf die moderne Kriminalitätschärfen soll, und soll eine Grundlage dafür schaffen,die Probleme im Einzelfall einzugrenzen undLösungswege zu finden.Die <strong>Cybercrime</strong> ist ein zentrales Thema des Cyberfahnders.Schon 2007 befasste er sich mit demPhishing in der damals praktizierten Form, die zunächstnur die Kontaktaufnahme zu den Finanzagentenund schließlich zu den Bankkunden, derenKontozugangsdaten ausgespäht werden sollten,per Spam-Mail kannte 1 . Die Methoden desIdentitätsdiebstahls und seiner besonderen Erscheinungsformdes Phishings (password stealer)haben sich binnen kurzer Zeit geändert und vor Allemverfeinert und professionalisiert 2 .Zunächst widmete sich der Cyberfahnder denGrundlagen und beschrieb dazu die möglichen An-1Arbeitspapier CF, Phishing, 2007 (PDF)2CF, Phishing mit Homebanking-Malware,22.10.2008; CF, gewandelte Angriffe aus dem Netz,29.11.2008; CF, neue Methode gegen Homebanking-Malware, 06.11.2008.griffspunkte bei vernetzten Computern 3 und denwichtigsten Teilaspekten der <strong>Cybercrime</strong>. Das giltvor Allem für den hier erstmals veröffentlichtenBeitrag über den Identitätsdiebstahl und dasPhishing, die Botnetze und den Entwicklungenbei der Malware. Die damit verbunden Fragenwerden im Teil A. angesprochen.Abgelöst davon beschäftigt sich Teil B. mit dennicht-technischen Angriffsmethoden, die als Social Engineering bekannt sind. Sie schließendie geschickten Formulierungen in Spam-Mails,das Ausspionieren von Organisationen und dendirekten Kontakt zu deren Mitarbeitern mit ein.Damit verlassen sie die technischen Gefahren,die der Informations- und Kommunikationstechnnikdrohen.Der Teil C. beschäftigt sich mit der UndergroundEconomy des Internets und ihren organisatorischenStrukturen, soweit sie bereits erkennbarsind 4 .Die einzelnen Aufsätze sind unabhängig voneinanderseit 2007 zu verschiedenen Zeiten entstanden.Wiederholungen wegen einzelner Aspektelassen sich schon deshalb nicht vermeiden. Hinzukommt, dass jeder Aufsatz die <strong>Cybercrime</strong> aus einemeigenen Blickwinkel betrachtet, so dass auchdeshalb Überschneidungen zwangsläufig sind.Dieter Kochheim, Mai 201018.05.2010: 53 Korrekturen24.05.2010: Aktualisierung und Überarbeitung 53Angestaubt und noch immer aktuell: CF, IT-Sicherheit, Schwachstellen, Angriffe,20074CF, Basar für tatgeneigte Täter, 11.04.2010;CF, modulare Kriminalität, 05.10.2008.5Jüngst erschienen ist:Marc-Aurél Ester, Ralf Benzmüller, Whitepaper04/2010. Underground Economy - Update 04/2010,G Data 22.04.2010
Dieter Kochheim, <strong>Cybercrime</strong> - 6 -A. Angriffe auf IKT-SystemeDen Einstieg in den ersten Teil bilden die bekanntenund hypothetischen Angriffe auf vernetzteIKT-Systeme 6 ungeachtet dessen, ob es sich umeinzelne PCs, häusliche Netzwerke, mobile Endgeräteoder professionelle Firmennetzwerke handelt.Ihre potentielle Gefährdung besteht darin, dass sieSchnittstellen für Außenverbindungen haben, dieden Einstieg für äußere Angreifer prinzipiell ermöglichen.Einige der weniger bekannten Schnittstellen,so etwa der Nahfunk, die Telefonanlage oderdie TV-Karte, wirkten 2007 noch exotisch und utopisch,wenig realistisch und versponnen. DurchZeitablauf hat sich die Berechtigung des Ansatzesbestätigt, auch weit hergeholte Gefahrenquellen zubetrachten.Dem folgt ein Rückblick auf die ersten Formen der<strong>Cybercrime</strong>, die von Nummerntricks 7 geprägtwaren. Sie gilt es deshalb im Blick zu behalten,weil es sich gezeigt hat, dass sie in gewandelterForm immer wieder auftauchen können und dasauch dann, wenn sie längst als überholt gelten.Daran schließen sich die Aufsätze über die Malware 8 , den Identitätsdiebstahl und die Botnetze 9 an.Neu geschrieben wurde der Aufsatz über den Identitätsdiebstahl und das Phishing. In ihn flossenmehrere Meldungen aus dem Cyberfahnderein und einzelne Passagen aus dem ArbeitspapierPhishing aus 2007 haben immer nocheine aktuelle Bedeutung.A.1 IT-Sicherheit, Schwachstellen,Angriffe 10Wir müssen davon ausgehen, dass die Angreiferauf IT-Systeme äußerst kreativ sind und jedetechnische Neuentwicklung darauf prüfen, wie siepenetriert und für ihre Zwecke ausgenutzt werdenkann. Ich will die Situation weder dramatisierennoch bagatellisieren. Die Gefahr, angegriffen undausgenutzt zu werden, ist akut. Das kann sehrschlimm sein, wenn ein Angriff zu unmittelbarenVermögensschäden führt (Phishing, Kontomanipulationen,Identitätsklau), aber auch dann, wennunsere technischen Kapazitäten in Beschlag genommenwerden (Übernahme in ein Botnetz).Wir müssen ferner davon ausgehen, dass sichdie Vernetzung der IKT nicht mehr umkehrenlässt. Dies zu fordern wäre auch das falsche Signal.Das Internet hat einen Qualitätssprung ausgelöst,soweit es um die Beschaffung von alltäglichenund besonderen Informationen geht, und dieComputertechnik gibt uns Verwaltungs- und Gestaltungsmöglichkeiten,die ohne sie undenkbarwäre. Das gilt für die schlichte Textverarbeitung,die hier zum Einsatz kommt, ebenso wie für dieOnlineautorisierung der internationalen Finanzwirtschaft11 .Dem weiteren Aufsatz liegen einige Annahmenzugrunde, die das Verständnis erleichtern sollen: Grundsätzlich jede Schnittstelle zur Außenverbindungbirgt die Gefahr, angegriffen, übernommenund überwunden zu werden. Erst bei einerkritischen Risikobewertung kann sich herausstellen,dass nur ein zu vernachlässigendes Risikobesteht. Zu der Bewertung gehört auch die Frage,ob die Schnittstelle überhaupt benötigt wird. Istdas nicht der Fall, sollte sie im Zweifel deaktiviertwerden. Je intelligenter eine IKT-Komponente ist, destoanfälliger ist sie für einen Angriff. Intelligenz indiesem Sinne umfasst mehrere Aspekte.6Informations- und Kommunikationstechnik - IKT7CF, Nummerntricks. Adressenschwindel beiTelefondiensten und im Internet, 21.11.20088CF, Malware, 12.05.20089CF, Botnetze, Sommer 2007 Der erste ist die Steuerungsfähigkeit. Geräte,die über ein eigenes Betriebssystem verfügen, er-10Überarbeitete Fassung des Aufsatzes von 2007:CF, IT-Sicherheit, Schwachstellen, Angriffe, 200711Kochheim, Arbeitspapier Skimming #2, März 2010
Dieter Kochheim, <strong>Cybercrime</strong> - 8 -Regel zwei Netze miteinander (Gateway 24 ) undverhält sich gegenüber dem Netz, das er "kennt",wie ein Switch. Gegenüber den anderen Netzenverhält er sich hingegen wie ein Hub und sendetalle unbekannt adressierten Datenpakete ungerichtetin das zweite Netz, hier also in Richtung desZugangsproviders.Zwei nicht übliche Komponenten sind an den Routerim Schaubild angeschlossen: Ein "Server" 25und ein WLAN-Router 26 .In Privathaushalten wird man in aller Regel keinengesonderten Router finden, sondern nur einen24WP, Gateway (Netzwerkkomponente),Verbindungsstelle zwischen verschiedenen Netzen.25WP, Server26WP, WLAN-Router (Wireless Access Point)WLAN-Router, der ein Funknetz aufbaut, die Verbindungzum Provider herstellt und an den nochein oder mehrere PCs angeschlossen werdenkönnen. Solche Geräte verbinden die FunktionalitätenFunknetz und Routing miteinander. Die besondereFunktion des WLAN-Routers ist es aber,ein Funknetz einzurichten, über das mehrereEndgeräte drahtlos vernetzt werden können.Der "Server" kann mehrere Aufgaben haben. Inkleinen und mittleren Unternehmen kann er besondersals Fax- und E-Mail-Server eingerichtetsein, der sowohl den ein- und ausgehenden Verkehrverarbeitet und die Eingänge speichert.Im privaten Bereich ist eher zu erwarten, dass eingemeinsamer Server für die Speicherung und Bereitstellungvon Dokumenten (Urlaubsfotos u.ä.)
Dieter Kochheim, <strong>Cybercrime</strong> - 9 -verwendet wird, die allen Beteiligten zur Verfügungstehen sollen, ohne dass man sich gegenseitig Zugriffauf die privaten PCs geben will. Das ist eineunter Sicherheitsgesichtspunkten durchaus sinnvolleStrategie, bei der die privaten PCs konsequentgegen Außenzugriffe abgeschirmt werden.Die grün unterlegten Bereiche sind schnell erklärt.Oben ist ein PC dargestellt, der sowohl per Datenleitungwie auch per Telefonleitung mit den zentralenEinrichtungen verbunden ist. Unten wird einLaptop gezeigt, das per Kabel und per WLAN vernetztist. Auf die Einzelheiten kommen wir noch zurück.A.1 2. "harte" physikalische AngriffspunkteWegen der Gefahrenpunkte betrachten wir zunächstdie einzelnen technischen Komponenten ineinem Netzwerk, ihre Eignung, missbraucht zuwerden, und die von ihnen ausgehenden Gefahren.Wenn eine Komponente penetriert werden kann,so heißt das nicht, dass ein Angreifer durch sieeinen vollständigen Zugriff auf alle Daten im Netzwerkerringen kann. Üblich für das Vorgehen vonHackern ist es aber, dass sie Schritt für Schritt inein System eindringen und dazu auch Zwischenstationenverwenden, die sie nur als Sprungbrettzur nächsten oder zum Belauschen des Datenverkehrsverwenden können. Ihr Ziel ist es jedoch, andie sensiblen Daten in einer IT-Anlage heranzukommen,und dazu brauchen sie administratorischeRechte, also den Vollzugriff auf das System.A.1 2.1 technische Geräte als GefahrenquelleZur Datenspionage und zur fremden Beherrschungvon EDV-Systemen eignen sich grundsätzlich alleZugänge, Verbindungen und Schnittstellen, die einComputer zulässt. Es gilt der Grundsatz: Je komfortablerer eingerichtet ist und je einfacher (unbedachter)sich mit ihm arbeiten lässt, desto gefährdeterist er. Die beste Sicherung des Systems nutztnichts, wenn es irgendwo eine Hintertür oder eineÖffnung offen lässt.Wenn der Angreifer als Einbrecher oder bei einersich bietenden Gelegenheit selber Netzwerktechnikinstallieren oder konfigurieren kann, kann ersich an den meisten Sicherheitsmaßnahmen vorbeibewegen und Hintertüren installieren(Rootkit). IT-Sicherheit beginnt bei der einfachenTechnik und abgeschlossenen Räumen.Technisch-physikalische Angriffe sind eher im Zusammenhangmit der (Industrie-) Spionage zu erwartenund weniger im privaten Bereich. Wie sichder Angreifer einen direkten körperlichen Zugangverschaffen kann, lehrt das Social Engineering,was nichts anderes ist als eine Sammlung modernisierterDetektivmethoden 27 .Sie können jedoch zu einem unmittelbaren, unverzögertenund direkten Zugriff führen, wobeialle Sicherungsmaßnahmen umgangen und einals sicher geglaubtes System unmittelbar, aussich selbst heraus angegriffen werden kann. Dasmacht sie besonders gefährlich.A.1 2.2 TelefonanschlussDas gilt besonders für Abhöreinrichtungenin der Telefontechnikwie links gezeigtinnerhalb einer Telefonsteckdose.Hier könnensehr komfortabel der Telefonverkehrund die Verbindungsdatenmitgeschnittenwerden. Dieser Angriff eignet sich hingegen wenigerfür die Penetration anderer Geräte, weil dazu- wie auch mit der Malware - weitere Sicherheitslückenüberwunden werden müssen oder eineAußenverbindung geschaffen werden muss. Unmöglichist das nicht.27Interessante Einblicke in die Spionagemethoden -ganz ohne EDV - bietet Andreas Eschbach, DerNobelpreis [ausgewählte Zitate, Bergisch Gladbach(Lübbe) 2005].
Dieter Kochheim, <strong>Cybercrime</strong> - 10 -A.1 2.3 KeyloggerKeylogger dienen dazu, dieTastatureingaben zu protokollieren.Sie werden meistunscheinbar zwischen denTastaturstecker und der Eingangsbuchsedes PCs gesteckt28 . Sie müssen nacheiner gewissen Zeit ausgewechselt oder sokonstruiert werden, dass sie ihre Protokolldatendrahtgebunden oder per Funk weiter vermitteln.Der Einsatz von Keyloggern ist besonders im Zusammenhangmit der Überwachung von Arbeitnehmernbekannt geworden. In modernen Anwendungsfällenkommen jedoch keine Hardware-Keyloggerzum Einsatz, sondern ihre Software-Varianten29 .A.1 2.4 Telefonanlage, ServerWegen der Gefahr, die vontechnischen Angriffspunktenausgeht, gilt, dass sie umsohöher ist, je "intelligenter" dieSchnittstelle ist. Das hängtvon ihrer operativen Leistung(Rechenleistung) und ihremSpeichervolumen ab.Gegenüber den bislang vorgestellten Komponentenist die Telefonanlage ein "Geistesriese", einComputer im Kleinen. Wenn sie eine direkte Verbindungzum PC hat und auf ISDN-Technik beruht,kann sie die interne Steuerung des PCs übernehmen,wenn sie entsprechend angeleitet wird.Noch verheerender kann einpenetrierter Server wirken. Erist nicht nur ein vollwertigerComputer, sondern häufigauch noch ein besonders gutausgestatteter und leistungsfähiger,der von den anderenGeräten im Netzwerk als besondersvertrauenswürdig angesehen wird, weil erzentrale Dienste wie z.B. die Verwaltung gemein-28Siehe CF, Phishing. Keylogger, 2007.29Siehe Anmerkungen in der Urfassung.samer Dokumente, von Backups, die E-Mail-Konten, den Fax-Versand und ihren -Empfang zurVerfügung stellt.A.1 2.5 WLAN-Router, SwitchBesonders populär, allerdingsfür Angriffe aus demFremdnetz, sind die Ausnutzungund Übernahme vonWLAN-Routern, die mehreremobile Geräte miteinanderverbinden.WLAN-Router sind aber nicht nur Access Pointsfür die Funknetzverbindung, sondern - quasi zuranderen Seite hin - auch vollwertige, mit demNetz verkabelte Komponenten. Wer ihn steuert,kann alle Signale, Zugangscodes und Inhalte protokollieren,alle Beteiligten vom WLAN ausschließenund schließlich auch auf die anderen Netzkomponentenzugreifen. Er hat damit ebenfallsden direkten Zugang zum Internet per Festnetz.Router oder Switche eignensich besonders dazu, Datenzu protokollieren und dasNetzwerk zu stören. Mit ihnenkann sich der Angreiferden Zugang zu allen angeschlossenenGeräten verschaffenund jedes einzelnevon der Netznutzung ausschließen.Handelt es sich dabei um einen modernenSwitch, so enthält er sogar ein abgespecktes,aber vollwertiges Betriebssystem, das prinzipiellfremde Programme speichern, verwalten undausführen kann. Auch an Speicherplatz fehlt esihnen nicht, weil sie auch im Normalbetrieb diedurchgeleiteten Daten puffern, also zwischenspeichern30 .30Darin unterscheiden sich die aktivenNetzwerkkomponenten von den Medienwandlern,mit denen z.B. Kupfer- und Glasfaserkabelmiteinander gekoppelt werden können. Diesepuffern in aller Regel die verarbeiteten Daten nicht,so dass Medienwandler gelegentlich zu Nadelöhrenin weit verzweigten Netzen werden können.
Dieter Kochheim, <strong>Cybercrime</strong> - 11 -A.1 2.6 TelefonDie Infiltration eines Telefonapparates(Endeinrichtung)mag wenig spektakulär sein.Dennoch kann darüber eindirekter Kontakt zur EDV-Anlage möglich sein undderen Penetration.Telefonapparate sind allerdings in aller Regel nichtsonderlich "intelligent", so dass die Gestaltungsfreiräumefür den Angreifer sehr eingeschränktsind.Sie bieten aber auch den direkten Zugang zur Telefonanlage.Kann sie manipuliert werden und hatsie direkte Anschlüsse zu den Arbeitsplatzrechnern,kann über sie der direkte Zugang zu derenDaten, Funktionen und Rechten hergestellt werden.Das gilt noch mehr, wenn Voice over IP 31 zum Einsatzkommt. VoIP nutzt für die Sprach- und Datenkommunikationdieselben Kabel und Schnittstellen("Konvergenz") und schafft dann, wenn kostengünstigeLösungen per PC verwendet werden,einen direkten Zugang zur Datenverarbeitung 32 .Mit ihnen kann er womöglich mehr und gefährlichereoder geheime Informationen sammeln,als wenn er Schritt für Schritt in ein gutgesichertes EDV-System eindringen muss. Dieeinfachsten Methoden sind manchmal die erfolgreichsten.Für Paranoia sorgt auch eine klassische und einfacheVorstellung: Ein Besucher, Geschäftspartneroder Konkurrent kommt in das Unternehmenund hat seinen Laptop dabei. Sobald er unbeaufsichtigtist, sucht er ein leeres Büro auf und stöpseltseinen Laptop in die ungesicherte Netzwerkdose.Sogleich ist er mit dem Firmennetzwerkverbunden und kann schalten und walten.Moderne Netzwerkkomponenten für den professionellenEinsatz lassen den Zugang solcherfremden Geräte nicht zu, weil sie die MAC-Adresse auslesen 33 und vergleichen. Sie sind dadurchaber so "intelligent", dass sie ihrerseits zumAngriff reizen.Noch einfacher macht man es dem Angreifer,wenn die Mitarbeiter ihre PCs während ihrer Pausenund Abwesenheiten eingeschaltet lassen undweder Bildschirmschoner noch andere Maßnahmeneine Authentifizierung verlangen.A.1 2.7 Klassiker und KuckuckDie Darstellung wäre unvollständig,wenn nicht auchzwei geradezu "klassische"Abhör- und Angriffsmethodengenannt würden.Mit Mikrofonen und Kameraskönnen menschliche Handlungen,ihre Sprache und nicht zuletzt ihre Aktivitätenam Computer überwacht und "mitgehört" werden.Nicht selten sind diese Geräte bereits mit dem PCverbaut (Multimedia-PC) und werden für die Internet-Telefoniegenutzt. Der Angreifer, der die Datenvon der Soundkarte mitlesen kann, verfügt damitauch über die ein- und ausgehenden Sprachdaten.A.1 3. Angriffe aus dem NetzVerabschieden wir uns von der Vorstellung, dassNetze nur aus Kabeln bestehen. Die Funk- undNahfunktechnik werden auf den folgenden Seitendargestellt.Verabschieden wir uns auch davon, dass die Datensicherheitimmer auch mit Datennetzen in Verbindungsteht. Außerhalb unserer Wohnungen,Firmen und Behörden gibt es längst keine Trennungmehr zwischen der Daten- und Sprachkommunikation.Sie verwenden dieselben Netze undInfrastrukturen.31WP, Voice over IP - VoIP (IP-Telefonie)32Siehe auch CF, Online-Zugriff an der Quelle,08.11.2008.33WP, Media Access Control - MAC
Dieter Kochheim, <strong>Cybercrime</strong> - 12 -A.1 3.1 HackingGegenüber technisch-physikalischen Angriffenhaben Angriffe aus dem Netz den Vorteil, dass sieohne teure Geräte und ohne körperlichen Zugangund Installationen auskommen. Sie nutzenSchwachstellen und Lücken aus, die die Herstellervon Hard- und Software unbedacht ließen oder dieder Anwender nicht kennt und schließt 34 .Die Angriffe aus dem Netz kennzeichnen dasklassische Hacking. Bei ihm kommt es darauf an,Hintertüren oder Schwachstellen im Computeroder EDV-System auszukundschaften undschließlich zu missbrauchen, um in sie einzudringen.Manche Komponenten, insbesondere Netzwerkkomponenteneignen sich nur zum Protokollierenund Umleiten der durchgehenden Datenströmeoder dienen dem Angreifer als Zwischenschritt zumErreichen der datenverarbeitenden EDV.A.1 3.2 TelefonanlageSeit der Umstellung der Telekommunikationstechnikvon der analogen zur digitalen Technik verfügenwir über ein Signalisierungsnetz, das wegenseiner Eigenschaften vom öffentlichen Interessekaum wahrgenommen wird 35 . Per ISDN nutzt esden B-Kanal, um Wahlverbindungen herzustellen,Wähltöne zu übermitteln und Sonderdienste zuvermitteln (Mehrwertdienste, Auskunftsdienste,Netzvorwahlen [Call-by-Call]).Die Telefonanlage ist häufig genug ein "PC im Kleinem",also "intelligent" in dem Sinne, dass sie elektronischeDatenverarbeitungen selbständig erledigenkann.gesonderte Telefonnetz oder, wenn VoIP eingesetztwird, direkt über die Datenverbindungen zugreifen.A.1 3.3 aktive KomponentenDie aktiven Komponenten wurden bereits im Zusammenhangmit den physikalischen Angriffspunktenangesprochen. Soweit sie der Verbindungsvermittlungdienen, stellen sie keine nennenswerteHindernisse für einen Angreifer dar.Sind sie hingegen mit "Intelligenz" ausgestattetund haben eigene Sicherheitsfunktionen, könnensie einem Angreifer einerseits den Durchgriff erschweren.Andererseits liefern sie ihm, wenn sievom Hacker übernommen werden können, einenkomfortablen Vorposten, von dem aus der Datenverkehrüberwacht und der nächste Angriffsschrittdurchgeführt werden kann. Router und Switchelassen sich nicht nur mit dem Hacking, sondernauch mit massiven Angriffen überwinden, indemsie mit Datenlast bombardiert und überlastet werden36 .Server sind vollwertige und häufig auch hochwertigeComputer. Kann sich ein Angreifer in ihnenmit Systemverwalterrechten (Administrator, Datenveränderung)einnisten, steht ihm das lokaleNetzwerk offen. Wenn die übrigen Computer imNetzwerk unzureichend abgesichert sind, kann erauf diese zugreifen.Das ist prinzipiell auch vermittels eines Netzwerkdruckersmöglich, der über das Internetprotokollin das LAN eingebunden ist 37 .Je intelligenter unsere Haus-Telefonanlage ist, destoprinzipiell gefährlicher ist sie auch für unsereDatenkommunikation.Vielfach ist sie direkt mit den Arbeitsplatzrechnernverbunden. Sie ist eine erhebliche Gefahrenquelle,insbesondere dann, wenn sie günstige Fernverbindungstarifeselber ermittelt oder die Fernwartungfür die Hersteller- oder Vertriebsfirma zulässt.Auf das EDV-System kann sie entweder über das34Siehe unten A.3 Malware.35Siehe CF, TK-Netze, 200736WP, Pufferüberlauf (Buffer overflow)37Malte Jeschke, Sicherheitslücke Drucker,tecchannel 03.11.2006
Dieter Kochheim, <strong>Cybercrime</strong> - 13 -A.1 3.4 internes Modem. FremdnetzzugangExterne und interne Modems, die zum Beispiel zum Faxempfangverwendet werden,sowie direkte ISDN-Anschlüsse am PC bietenüber die Telefonleitung einenFremdnetzzugang, der anden übrigen Sicherheitsvorkehrungenvorbei zu einem unmittelbaren Angriffgenutzt werden kann. Eine solche Direktverbindungmit dem Telefonnetz und an dem Datennetzvorbei dürfte die bekannteste Sicherheitslückesein, die für Hacking-Aktionen genutzt werdenkann.Nur ausnahmsweise kommenzwei weitere Fremdnetzverbindungenzur Datenkommunikationin Betracht. Dassind z.B. TV-Karten mit ihrenAnschlüssen für den Fernseh-und Rundfunkempfang.Die TV-Karte hat eine direkteVerbindung zu den anderen Komponenten desComputers, aber nur eine beschränkte "Intelligenz"(hier Kommandosatz), der für einen Angriff missbrauchtwerden könnte.Prinzipiell kommt auch das Stromnetz als Fremdnetzzugangin Betracht, wenn es auch zur Anlieferungvon Telekommunikationsdiensten dient. ImNormalfall geht von ihm keine Gefahr aus, weil esan einer Schnitt- und Übersetzungsstelle zwischender Stromversorgung und den "intelligenten" Komponentendes Computers fehlt.A.1 4. Angriffe auf Funk-SchnittstellenErst vor wenigen Jahren sind lokale Funknetze bekanntund populär geworden (WLAN 39 ). Sie ersparendie häusliche Verkabelung, lassen sich schnelleinrichten und arbeiten verlässlich.Alsbald häuften sich die Berichte über teure Telefonrechnungendurch Internetnutzung und besondereDienste, so dass auch bekannt wurde, dass38WP, Modem39WP, Wireless Local Area Network - WLANsich Dritte in das Funknetz einschleichen undKosten verursachen können. Es entwickelte sicheine eigenständige Trittbrettfahrer-Kultur, dasWardriving 40 . Die Wardriver durchstöbernsystematisch die Wohn- und Geschäftsgebieteauf der Suche nach offen, ungeschützten oderleicht korrumpierbaren Funknetzen.Die Opfer, die ihr Funknetz ungesichert lassen(genaue Bestimmung der zugangsberechtigtenGeräte, Verschlüsselung, Beschränkung der zugelassenenOnlinezugriffe), blieben hilflos, weilsie die Trittbrettfahrer nicht namhaft machenkonnten, auf ihren Kosten sitzen blieben und einestrafrechtliche Verfolgung ebenfalls nicht stattfand,weil die missbräuchliche Nutzung ungeschützterTechniken keine Straftat ist.Es setzte sich die Erkenntnis durch, dass man zumindestdie übermittelten Daten verschlüsselnmüsse. Der dazu zunächst verwendete Standard,WEP 41 , erwies sich sehr schnell als unsicher. Mitden richtigen Programmen ließ er sich binnen wenigerMinuten brechen. Erst der neue StandardWPA 42 erwies sich als hinreichend sicher.In der Hackergemeinde hat sich zwischenzeitlicheine eigenständige Zeichensprache zur Kennzeichnungidentifizierter Funknetze etabliert (Warchalking43 ), die an die klassischen Gaunerzinkenerinnert 44 .A.1 4.1 Wardriving:Eindringen in lokale FunknetzeDie marktüblichen Programmerichten die WLANfähigenGeräte so ein, dasssie nach Funknetzen automatischsuchen. Sie tragendamit dem Umstand Rechnung,dass es viele offeneWLANs gibt, die dazu bestimmtsind, z.B. den Kunden eines Hotels oder40WP, Wardriving41WP, Wired Equivalent Privacy - WEP42WP, Wi-Fi Protected Access - WPA43WP, Warchalking44Gaunerzinken, Rotwelsch
Dieter Kochheim, <strong>Cybercrime</strong> - 14 -Restaurants einen komfortablen Zugang zum Internetund zu ihren E-Mails zu geben (Hotspots).Diese Anbieter sichern aber in aller Regel ihre eigeneEDV dadurch ab, dass sie sie in gesondertenNetzen betreiben, und beschränken den Internetzugriffauf den einfachen Zugang, wobei kostenpflichtigeDienste ausgeschlossen sind.In der Anfangszeit wurden WLAN-Router an Privatkundenso ausgeliefert, dass die Verschlüsselungextra eingestellt werden musste. Das hat sichschnell geändert.Über einen ungesicherten WLAN-Router erhält derAngreifer auch den Zugriff auf die Endgeräte, dieper Kabel vernetzt sind. Der Zugang zum Internetund dessen missbräuchliche Nutzung ist dann fastschon unvermeidlich.A.1 4.2 NahfunkDie Reichweite von WLANs ist begrenzt. Sie richtetsich auch nach der Bauweise der Gebäude (Betondeckensind meist undurchdringlich) und demStandort des Funk-Routers.Daneben gibt es aber auch verschiedene Methodendes Nahfunks. Ein üblicher Standard ist Bluetooth45 . Mit ihm werden Kopfhörer, Tastaturen undnicht zuletzt Mobiltelefone mit dem PC oder Laptopdrahtlos verbunden.Ungeachtet dessen, dass diebiologischen Wirkungen derverschiedenen Funkfrequenzenund -stärken streitig sind,kann über das Mobiltelefonein fast unbemerkter Kontakthergestellt und missbrauchtwerden. Wer achtet schonimmer auf die verschiedenen Statusanzeigen amunteren Rand seines Laptops?Als Kontaktquelle für den Kontakt per Bluetoothkommt alles in Betracht, auch das Geschenk einesnicht wohlmeinenden Geschäftspartners, in dessenInneren unerkannt Technik versteckt ist, die ihrefrisch gewonnenen Erkenntnisse über das InnenlebenIhres Laptops wie ein Mobilfunkgerät weiter45WP, Bluetoothsendet.Für die Signalübermittlungauf kurzer Entfernung kannneben der Funk- auch dieInfrarottechnik genutzt werden.Anstelle der Bluetooth-Technik kommen auch andereMobilfunktechniken in Betracht wie zumBeispiel UMTS 46 .A.1 5. Angriffe mit CrimewareUnter Crimeware 47 werden alle Programme zusammengefasst, die ausdrücklich dazu bestimmtsind, kriminellen Zwecken zu dienen.Die Crimeware wird flankiert von üblichen Netzwerkwerkzeugen,die zumeist nützlich eingesetzt,aber auch missbraucht werden können. Dies giltbesonders für das Kommando Ping 48 , das von jedemüblichen Betriebssystem geliefert wird undzu der Prüfung dient, ob eine Netzverbindung besteht49 . Es kann auch dazu missbraucht werden,aktive IP-Adressen und offene Ports zu erkunden,um diese sodann gezielt anzugreifen. Genausoverhält es sich mit Traceroute 50 , das den Weg einesDatenpakets im Netz protokolliert und damiteinem Angreifer auch zeigt, welche Stationen sichfür einen Angriff lohnen, um schließlich das Zielzu korrumpieren.Den Kern der Crimeware stellen Viren, Würmer,Trojaner und Keylogger dar ( Malware), die verschiedeneStrategien und Wege der Infiltrationnutzen 51 . Während Viren und die Würmer derersten Generation immer Träger benötigten, alsoDateien, in die sie sich eingefügt (Viren) oder andie sie sich angehängt haben (Würmer), könnenIP-Würmer der neuen Generation selbständig An-46WP, Universal Mobile Telecommunications System- UMTS47WP, Crimeware48WP, Ping49Siehe auch CF, Auskunftsdienste im Internet,06.12.2009.50WP, Traceroute51Erklärungen für WP, Malware, WP, Adware, WP,Keylogger, WP, Spyware, WP, Trojaner, WP, Virenund WP, Würmer.
Dieter Kochheim, <strong>Cybercrime</strong> - 15 -griffsziele erkunden und attackieren. Trojaner versteckensich in anderen Programmen, die dem Anwendereinen besonderen Nutzwert versprechenund handeln sozusagen im Geheimen.Keylogger und Spyware bezeichnen hingegen dieFunktionsweise der Malware, aber nicht die Art desVorgehens bei der Infiltration.A.1 5.1 MalwareZur Abwehr der Malware werden verschiedeneProgramme wie Virenscanner und Firewalls sowieihre ständigen Aktualisierungen angeboten. Siebieten einen Grundschutz. Während die Virenscannernoch vor ein paar Jahren mehr als 90 %der Malware auf Anhieb erkannten ist die Erkennungsrateinzwischen auf unter 40 % gesunken.Sie sind nach wie vor nötig, müssen aber um weitereSchutzmaßnahmen ergänzt werden.Eine wichtige Aufgabe kommt insoweit den Programmherstellernzu, die die in ihren Anwendungenenthaltenen Sicherheitslücken (Exploits) immerschneller erkennen und mit Updates schließenmüssen.Ebenso wichtig sind die Maßnahmen, die der Anwenderund die IT-Organisation durchführen müssen,in die er eingebunden ist. Dazu gehören vorAllem die Rechteverwaltung (keine Programminstallation,beschränkte Schreibrechte) und die kritischeBeobachtung des laufenden Betriebs sowieder eigenen Handlungen.Aber auch die Techniken, die die Malware-Programmierer verwenden, sind nicht banal. Sienutzen alle Möglichkeiten der Tarnung und Täuschung.Dazu wird die Malware nicht nur in dieLage versetzt, ihren Namen, ihren Standort undihre Form zu verändern, sondern vor allem, sichüber eine Netzverbindung zu erweitern, zu aktualisierenund weiter zu verbreiten (Tarnkappentechnikfür Viren, Stealth-Viren 52 ).Die Infiltration erfolgt immer über bekannte odernoch allgemein unbekannte Sicherheitslücken,also offene Zugänge oder Verbindungen, die mitmassenhaftem "Datendruck" sturmreif geschossen52WP, Stealth-Virenwerden können (Pufferüberlauf).Dem Nachwuchs der Angreifer wird es dadurchleicht gemacht, dass inzwischen regelrechte Baukästen(Toolkits 53 ) im Umlauf sind, mit denen sichper Mausklick die Malware, ihre Zugangsstrategieund ihre Schadfunktion "zusammenklicken" lassen(ursprüngliche Bedeutung von Rootkit 54 ;jetzt: Werkzeugsammlung, mit dem ein kompromittiertesSystem für den künftigen Missbrauchpräpariert wird). Dazu ist kein besonderes Wissenmehr nötig.A.1 5.2 Datenträger, E-MailDer klassische Datenspeicherzum Transport vonMalware ist die Diskette, diekeine Bedeutung mehr hatund von großvolumigen optischen(CD, DVD), elektronischen(USB-Stick) undmagnetischen Datenträgern(Wechselfestplatten) abgelöst wurde. Wichtig dabeiist, dass diese Datenträger entweder zumStarten des Systems verwendet werden, wozudie Malware in den Bootbereich eingefügt wird,der vom Computer beim Start ausgelesen undausgeführt wird, oder Programme enthält, die derAnwender unbedarft und ungeprüft startet.Die zweite wichtige Infiltrationsmethodebedient sichTrägerdateien, die die Programmumgebungausnutzen,in der ihr Wirt gestartetwird. Besonders anfällig dafürsind Office Anwendungenwegen Visual Basic forApplications - VBA, andere Formate wie PDF, dieJava for Applications benötigen, Internetbrowser,53Toolkit: "Baukasten" (Werkzeugkasten) zumeinfachen Zusammenbau von Programmen mitausgewählten Funktionen, besonders auch zurHerstellung von Malware;Phishing-Tool kreiert neue Betrüger-Sites inSekunden, tecchannel 12.07.2007;Trojaner-Basteln für Dummys, Heise online20.07.200754WP, Rootkit
Dieter Kochheim, <strong>Cybercrime</strong> - 16 -die zur Präsentation directX benötigen und anerster Stelle E-Mail-Programme, die Dateianhängeautomatisch anzeigen. Die Aufzählung ließe sichbeliebig fortsetzen.A.1 5.3 E-HackingIP-Würmer sind automatischeHacker, die über dasNetz Angriffsziele wegen ihrerErreichbarkeit und Anfälligkeitdetektieren. Währenddie anderen Malware-Programme eine Mitwirkungdes Opfers benötigen (Installationeines Datenträgers, Ausführen einer Datei),nutzen sie die fehlende Aufmerksamkeit desOpfers dadurch aus, dass es die nötigen Abwehrmaßnahmenunterlässt (Hintertüren, offene Systeme,unzureichende Firewalls und Virenscanner).Gepaart mit den entsprechenden Schadfunktionen,die z.B. gezielt auf das Homebanking abgestimmtsein können, zeigen sie eine neue Qualität von Gefährlichkeit,die bislang unbekannt war. Auch imZusammenhang mit Botnetzen spielen sie einebedeutende Rolle.A.1 6. Standard-SchutzmaßnahmenIm privaten Bereich erfolgen zumeist breitflächigeAngriffe mit Crimeware und zwar entweder mit infiziertenWebseiten (verstärkt auch in sozialen Netzwerken),die über den Webbrowser in das Systemeindringen, mit E-Mail-Anhängen, die die Malwareenthalten und vereinzelt gegen Netzwerkrouter.Für die Massenerscheinung ist ausschlaggebend,dass sie ungezielt erfolgt und bevorzugt Sicherheitsmängelin gängigen Betriebssystemen, Browsernund Anwenderprogrammen zur Infiltrationnutzt.Die Tendenz geht jedoch dahin, dass die Angriffeimmer gezielter gegen Personengruppen mit gleichenInteressen und Neigungen, öffentlich bekanntenoder wohlhabenden Personen sowie zur gezieltenSpionage gegen Unternehmen und Organisationengeführt werden. Je gezielter ein Angriff erfolgt,desto ungewöhnlicher kann auch die Methodesein, mit der Angriff ausgeführt wird. Der individuelleAngriff erfolgt nicht wahllos mittelsCrimeware, sondern erfolgt durch einen Hacker,der sich zur Unterstützung der Crimewarebedient.Der Einsatz von breit gestreuter Malware ist eineeher junge Erscheinungsform. Die frühenHacking-Angriffe richteten sich ganz gezieltgegen staatliche Einrichtungen, Universitäten undUnternehmen, wobei vor Allem ungeschützteSchnittstellen, verwaiste Netzkomponenten undFernwartungszugänge kompromittiert wurden, umschrittweise immer tiefer in das fremde Netzeinzudringen.Einige grundlegende Schutzvorkehrungen für Privatanwenderhaben im Laufe der Jahre ihreBedeutung erhalten 55 .A.1 6.1 Sensible DatenArbeiten Sie mit sensiblen Daten, deren unbefugteKenntnis oder Verwendung Sie oder andereschaden können? Solche Daten gehören verschlüsseltoder auf mobile Datenträger gespeichert,die Sie sicher verwahren müssen.Das gilt besonders auch für freie Netzspeicher beiGoogle, gmx oder anderen Anbietern, auf denenSie Ihre Daten ablegen, um auf sie bei jeder Gelegenheitzugreifen zu können. Verwenden SieVerschlüsselungen und verzichten Sie darauf,sensible Daten im öffentlichen Netz zu speichern.A.1 6.2 Kontodaten, TANKontozugangsdaten für Verkaufsplattformen, zumHomebanking und ganz besonders die Transaktionsnummernfür das Homebanking gehören nichtim Computer gespeichert. Fragt Ihr Browser, obdie Zugangsdaten gespeichert werden sollen,was sehr bequem wäre, klicken Sie auf "nein".Solche Daten verwahren Sie entweder nur in gutverschlüsselten Dateien oder notieren Sie auf Papier,das Sie sicher verwahren.55Der Text ist 2007 geschrieben worden und wirktdeshalb bereits etwas antiquiert. Nur dort, wo erüberholt oder unvollständig war, habe ich ihnüberarbeitet und ergänzt.
Dieter Kochheim, <strong>Cybercrime</strong> - 17 -Verwenden Sie Kennworte, die Sie sich gut merkenkönnen, aber verwenden Sie dabei auchSonderzeichen und Zahlen! Wählen Sie verschiedeneKennworte für ihre Konten und wechseln Siedie Kennworte in regelmäßigen Abständen.Misstrauen Sie falschen Freunden und Fremdenund geben Ihre Zugangsdaten nur dann preis,wenn Sie dem anderen auch wirklich vertrauenund die Preisgabe auch erforderlich ist.A.1 6.3 Virenscanner, FirewallVirenscanner und Firewall gehören zum Basisschutz.Jeder private PC, der an das Internet angebundenist, muss über sie verfügen, wollen Siesich nicht dem Vorwurf der Fahrlässigkeit aussetzen.Die Programme werden häufig von den Herstellermitgeliefert (seit Windows XP) oder vonDritten kostenlos angeboten. Achten Sie auchdarauf, dass die Signaturen für den Virenscannerund die Sicherheitseinstellungen regelmäßig aktualisiertwerden.Auch wenn wegen der Vielzahl der heutigen Malwaredie Erkennungsrate der Virenscanner starkzurückgegangen ist, so wehren sie mit ihnen wenigstensdie älteren Varianten ab, die immer nochim Umlauf sein können.Besonders wichtig sind deshalb die Firewalls inVerbindung mit Virenscannern geworden. Sie sperrenNebenzugänge aus dem Internet, überwachenonline die Aktivitäten, die im Webbrowser und imE-Mail-Browser ausgeführt werden, und warnenbei ungewöhnlichen Funktionen. Damit lässt sichdie überwiegende Masse der Angriffe abwehren.weil alle heute angebotenen verschleißenkönnen. Vermeiden Sie dabei Verschlüsselungenund Kompressionen (ZIP), weil siemöglicherweise nach längerem Zeitablauf nichtmehr funktionieren, und verwenden Siemarktübliche und gebräuchliche Dateiformate.A.1 6.5 AdministratorenrechteArbeiten Sie nur dann als Administrator, wenn Siewirklich neue Programme installieren wollen oderAdministratorenrechte zwingend erforderlich sind.Wenn möglich, trennen Sie dabei die Verbindungzum Internet (was meistens deshalb nicht geht,weil die Programme per Download angebotenwerden).A.1 6.6 UpdatesInstallieren Sie die vom Hersteller ihres Betriebssystemsangeboten Updates (Service Packs vonMicrosoft), weil sie immer Sicherheitslückenschließen, die unmittelbar nach ihrem Erscheinenvon Malware ausgenutzt werden. Fertigen Siejedoch vor der Installation ein Komplett-Backup -man weiß ja nie.Vermeiden Sie jedoch die unüberlegte Aktualisierunganderer Programme und neuer"Spielzeuge", die sich Ihnen zum Download anbieten.Neue Versionen können die Leistung IhresPCs überfordern und zum Absturz bringen. Programmeaus unbekannten Quellen könnten sichals Spyware oder Trojanische Pferde herausstellen.A.1 6.4 DatensicherungEine regelmäßige Datensicherung ihrer am häufigstenverwendeten Dateien gehört zum Basisschutz.Kopieren Sie sie auf Wechseldatenträgeroder verwenden Sie ein Backupprogramm.Backupdateien gehören auf einen gesonderten Datenträger(Wechselfestplatte, CD, DVD).Wollen Sie Dateien langfristig aufbewahren (z.B.Fotos), müssen Sie die Daten spätestens nach 10Jahren auf einen anderen Datenträger kopieren,A.1 6.7 OriginaleVerwahren Sie die Datenträger mit Ihren gekauftenund ständig eingesetzten Programmen an einemOrt auf, wo Sie sie auch wieder finden. Dazugehören auch die Passwörter der Hersteller. Sokönnen Sie nach einem fatalen Ausfall alle Programmewieder herstellen und Ihre Daten weiterverarbeiten.
Dieter Kochheim, <strong>Cybercrime</strong> - 18 -A.1 6.8 SchnittstellenModerne Laptops bringen eine Fülle von physikalischenSchnittstellen mit. Schalten Sie die WLANundBluetooth-Funktionen ab, wenn Sie sie nichtbenötigen.A.1 6.9 FunknetzNutzen Sie alle Sicherheitseinstellungen, die IhrWLAN-Router bietet. Verteilen Sie feste IP-Adressen für alle Geräte, die Sie zulassen wollen,und verwenden Sie eine starke Verschlüsselung(WPA).A.1 6.10 Fremdnetze und AngriffspunkteBetreiben Sie keine ungeschützten Computer inihrem Netzwerk.Für kleine private Netze gilt: Geben Sie Ihren PCund ihren Drucker nicht für andere Mitglieder imNetzwerk frei. Wenn Sie sicher gehen wollen, tauschenSie innerhalb der Gruppe die Daten entwederper Datenträger oder per E-Mail aus (Verringerungdes Zeitfensters für eine Penetration).A.1 6.11 mobiles ComputingNeben Verschleiß und Malware ist Ihr Laptop, dasSie mobil einsetzen, zwei weiteren wesentlichenGefahren ausgesetzt: Diebstahl und unbefugteNutzung.Unbefugte Nutzung: Arbeiten Sie in der Öffentlichkeitniemals als Administrator.Fahren Sie das Gerät vollständig runter, wenn Siees vorübergehend - auch in beaufsichtigten Räumen- unbeobachtet zurück lassen müssen.Ein "Spielkalb" oder böswilliger Mitmensch könnteansonsten die viele Jahre lang in der Öffentlichkeitnicht bekannte Festplattenverschlüsselung aktivierenund für die Preisgabe des Ihnen dann unbekanntenKennworts eine gewisse Aufwandsentschädigungverlangen.Sichern Sie Ihre wichtigsten Daten auf mobileSpeicher (USB-Stick oder -Festplatte), die Sie bequemam Körper tragen können.A.1 6.12 Hotspots. Öffentliche FunknetzeÖffentliche Hotspots für den bequemen Zugangzu einem WLAN per Laptop sind besondersanfällig dafür, dass der Ihnen unbekannteBetreiber oder ein Spion Ihren Datenverkehrmitschneidet oder sogar als Man-in-the-Middleagiert. Verarbeiten Sie vertrauliche Daten permobile Computing nur in gesichertenVerbindungen (Virtual Private Network - VPN - mitVerschlüsselung).A.1 7. verschiedene NutzungenA.1 7.1 Renate Mustermann undOtto NormalverbraucherFür "einfache" Privatanwender reichen in allerRegel die oben genannten Sicherheitsvorkehrungenaus. Wichtig dabei ist, dass Sie sich fragenund bewusst machen, ob Sie mit personenbezogenenoder sogar sensiblen Daten arbeiten undwelche Folgen Sie sich ausmalen, wenn diesemissbraucht werden.Private Netze und Funknetze lassen sich mit einemangemessenen technischen Aufwand kaumvollständig gegen Angriffe von außen absichern.Sie müssen im Allgemeinen keine Spionage-Hardware und keine Hacker befürchten, die sich"einfach mal umschauen wollen", wohl aber Malwareund Hacking im Zusammenhang mit IhrenKontodaten (Homebanking, eBay, Man-in-the-Middle).Ihre Bemühungen müssen sich deshalb auf IhrArbeitsgerät, also Ihren PC oder Ihr Laptop konzentrieren.Vermeiden Sie deshalb technischeSpielereien in Ihrem Netzwerk, besonders ständigerreichbare Netz-Festplatten und Server für diegemeinsame Dateiablage oder Backups.Besondere Sicherungspflichten für Privatleutegibt es bislang nicht. Es entwickelt sich allerdingseine Rechtsprechung, die jedenfalls wegen groberFahrlässigkeit Schadenersatzansprüche wegenunerlaubter Handlungen (§ 823 BGB) erwartenlässt.Ungeachtet dessen vermeiden Sie persönlichenÄrger und finanzielle Verluste, wenn Sie Ihrer pri-
Dieter Kochheim, <strong>Cybercrime</strong> - 19 -vaten Informationstechnik einen Grundschutz verpassen.Das gilt besonders für private Funknetze. Der geduldeteoder unbefugte Missbrauch Ihres Zugangszum Internet führt zunächst zu Ihnen, weil vonaußen nur die IP-Adresse Ihres Routers bekanntwird, mit dem die Verbindung zum Internetaufgebaut wurde. Wegen Schadenersatzansprücheund strafrechtliche Ermittlungen wird man sichalso zuerst an Sie als den Betreiber wenden.Dasselbe müssen Sie befürchten, dass Ihre persönlichenDaten von einem Unbekannten zumBeispiel für unlautere Geschäfte bei eBay oder zuvolksverhetzenden Präsentationen missbrauchtwerden.A.1 7.2 berufliche undgeschäftliche DatenverarbeitungBei der beruflichen oder geschäftlichen Datenverarbeitungunterliegen Sie weiter gehenden Sorgfaltspflichtenals bei der reinen Privatnutzung, weilSie Vertraulichkeits-, vertraglichen Partnerschutz-,Datenschutz- und firmenrechtlichen Handlungsanforderungenunterliegen können.Vermeiden Sie deshalb den sorglosen Umgang mitungeschützten Daten und machen Sie gelegentlicheine Risikoanalyse: Wen könnte ich mit der Preisgabeder bei mir gespeicherten Daten Schaden zufügenund wer könnte ein besonderes Interesse ander Erlangung dieser Daten haben?Wenn Sie in Workgroups, also mit mehreren vernetztenArbeitsplätzen arbeiten müssen, so vermeidenSie möglichst den Anschluss an das Internetund errichten ein Kabelnetzwerk, kein WLAN.Auch der Aufwand, zwei Netzwerke aufzubauen,könnte den Aufwand lohnen. In dem einen, isoliertenNetz verarbeiten Sie die sensiblen Daten, indem anderen agieren Sie in der Öffentlichkeit. VermeidenSie dabei aber unbedingt unbedachteSchnittstellen, vor allem für die Telekommunikation,und Arbeitsplätze, die gleichzeitig mit beiden Netzenverbunden sind. Wenn Sie Daten zwischenbeiden Netzen austauschen, verwenden Sie physikalischeDatenträger und achten gleichzeitig darauf,dass auch das isolierte Netz hinreichend durchaktualisierte Virenscanner gegen Malware geschütztist.A.1 7.3 gewerbliche undprofessionelle DatenverarbeitungDie Geschäftsführer und Vorstände von Kapitalgesellschaftenunterliegen nach US-amerikanischemund europäischem Gesellschaftsrecht einerunmittelbaren Verpflichtung zur IT-Sicherheit.Verstöße und Schluderigkeiten können zu empfindlichenpersönlichen Schadenersatzpflichtenführen.Aber auch die Leitungen und Sicherheitsverantwortlichenanderer großer Organisationen (z.B.Hochschulen, die als öffentlich-rechtliche Körperschaftenin der Öffentlichkeit agieren) unterliegenerhöhten Anforderungen aus dem Datenschutzund als Träger privater Geheimnisse.Die gewerbliche und professionelle Datenverarbeitungverlangt deshalb nach einer klaren Strategiezur IT-Sicherheit, nach geregelten Prozessenzum IT-Betrieb und nach einer ständigen Risikoanalyse.Die Einzelheiten ergeben aus demGrundschutzhandbuch des Bundesamts für Sicherheitin der Informationstechnik - BSI - undaus der einschlägigen Fachliteratur.Wegen der IT-Architektur zeigt die übernächsteSeite ein Beispiel, wie mit einer DemilitarisiertenZone und dem Einsatz von Firewalls eine Abschottungerreicht werden kann.Im Hinblick auf die aufgezeichneten Angriffspunkteund -methoden kommen alle Gefahrenquellenin Betracht. Malware- und Hacker-Schutz ist dabeiein Massengeschäft, der Schutz der eigenenGeheimnisse ein weiteres beachtliches Aufgabengebiet.Konkurrenten und böswillige Angreiferkönnten alle Register zum Ausforschen und Penetrierenbis hin zur Erpressung ziehen und auchvor Spionage- und terroristischen Attacken nichtzurück schrecken.Das größte Sicherheitsrisiko stellt dabei derMensch dar. Das können uninformierte, unbedarfteund bequeme Mitarbeiter sein, die Sicherheitsregelnnicht beachten oder bewusst umgehen,halbwissende Kollegen, die ihren "Spieltrieb" aus-
Dieter Kochheim, <strong>Cybercrime</strong> - 20 -leben, oder ehemalige Mitarbeiter, die Ihr Wissenzu schädlichen Aktionen ausnutzen.IT-Sicherheit beschränkt sich dabei nicht auf denBetrieb von Technik. Die Beispiele für das SocialEngineering zeigen deutlich, dass auch das sozialeKommunikationsverhalten – nicht zuletzt mit Kunden,Partnern und in sozialen Netzwerken, die physikalischeSicherheit (Serverräume, Schließanlagen,Zugangskontrollen) und das allgemeine Sicherheitsverständnisaller Mitarbeiter gefordertsind.A.1 8. Bestandteile eines professionellenNetzwerkesIn dem abschließenden Teil werfen wir einen grobenBlick auf die professionelle Organisation vonIT-Sicherheit. Sie verlangt nach einer klaren physikalischenOrdnung, um Quereinstiege und Hintertürenzu vermeiden.A.1 8.1 professionelles FirmennetzOhne eine Firewall am unmittelbaren Netzeingangkommt kein professionelles Netzwerk aus. Erforderlichist eine Hardware-basierende Firewall mitnur einem Eingang und einem Ausgang, die auchnur eine einzige Aufgabe hat: den aus- und vor allemeingehenden Datenverkehr zu überwachen, zuanalysieren, nötigenfalls zu blockieren und ganzbesonders alle Anstrengungen von außen zu unterbinden,protokollierend oder steuernd auf dasInnere des Unternehmens Einfluss zu nehmen (imSchaubild: links oben, roter Block, FW1).Im Hinblick darauf, dass immer mehr Dienste miteinem unmittelbaren Außenkontakt für E-Mail oderdie Unternehmenspräsentation gefordert werden(Internet-Shopping, eGovernment), müssenFirewalls in einem gewissen Maße Außenkontaktezulassen. Es hat sich deshalb in der Praxis mehrund mehr durchgesetzt, dass vor der eigentlichen(produktiven) Unternehmens-IT eine besondersgeschützte Zone errichtet wird, die nur für dieAußenkontakte bestimmt ist (demilitarisierte Zone -DMZ; hellblau unterlegter Bereich).Sie muss von der Unternehmens-IT mit einer weiterenund besonders restriktiv arbeitenden Firewallgetrennt werden (links oben, roter Block,FW2).Rechts oben ist im Bild ein sogenannter Honeypotvorgesehen. Es handelt sich dabei um eineArt Hinterzimmer, in dem interessante und in allerRegel falsche Daten bereit gehalten werden. DerHoneypot ist entweder durch keine Firewallgeschützt oder durch eine, die verhältnismäßigeinfach überwunden werden kann. Zu ihm undseinen "Spieldaten" sollen Angreifer gelocktwerden, um sie von dem internen LANabzulenken und bei ihren Handlungenbeobachten zu können.Ich halte das Honeypot-Konzept für eineinformationstheoretische Spielerei mit mehrerenNachteilen: Es akzeptiert, dass sich Angreifer inder DMZ austoben und die dort vorgehaltenen,keineswegs unwichtigen Daten kompromittierenkönnen. Dazu vernachlässigt es womöglich densicheren Betrieb der Firewall "FW1" undverursacht wirtschaftlich fragwürdige Kosten fürdie Technik und den Betrieb des Honeypots.A.1 8.2 Demilitarisierte Zone - DMZIn der DMZ werden die Geräte und Dienste installiert,die einen unmittelbaren Außenkontaktbenötigen. Untereinander werden sie mit einer(intelligenten) aktiven Netzwerkkomponenteverbunden, einem Switch (oranger Block, Sw). ImGegensatz zu "dummen Datenpumpen" (z.B.einem Hub) kann der Switch Datenverbindungenzielgerichtet lenken und zum Beispiel einemHacker, der die Eingangs-Firewall überwundenhat (FW1), schwer behindern.In die DMZ gehört auf jeden Fall der Webserver(gelber Block, WS), auf den die Kunden und dieÖffentlichkeit zugreifen können. Je nach Bedarfmuss ihm auch ein Datenbankserver zur Seitegestellt werden, der jedenfalls einen Teil derUnternehmensdaten enthält, die der Öffentlichkeitzugänglich gemacht werden sollen.Im Beispiel ist auch der Mailserver in der DMZplatziert worden (gelber Block, MS). SeineAufgaben können jedoch auch getrennt werden.
Dieter Kochheim, <strong>Cybercrime</strong> - 21 -Dann werden nur die Funktionalitäten zum E-Mail-Versand in der DMZ vorgehalten, die Verwaltungder Postfächer für die Unternehmensangehörigenwird dazu in den geschützten Bereich verlagert,also ins Unternehmensinnere.Die Entscheidung über die Architektur hängt abvon einer Abwägung zwischen den Risiken undden Kosten.Im Beispiel ist auch der Proxy-Server (hellblauerBlock, PS) in der DMZ. er verwaltet den Zugangder Mitarbeiter zum Internet und zwischenspeichertdie Inhalte aus dem Internet. Auch seine Aufgabenkönnen gesplittet werden. Dann dient er in derDMZ nur als Zwischenspeicher (Cache) und wirddie Benutzerverwaltung im geschütztenUnternehmensinneren geleistet.Aufgrund einer Risiko- und Wirtschaftlichkeitsuntersuchungmuss auch entschieden werden, wound wie der Server für die Telekommunikationeingerichtet wird (rosa Block, T). Auch insoweitkann es sich anbieten, nur die Vermittlungsfunktionenin die DMZ zu verlegen, die Verwaltung dereingehenden Faxe und Sprachnachrichten hingegenin den geschützten inneren Bereich des Unternehmens.A.1 8.3 internes LANDie innere Firewall (FW2) muss so eingerichtetwerden, dass sie wirklich nur die nötigsten Datenverbindungenzulässt.Alle Daten, die schutzwürdig sind, gehören in deninneren, besonders geschützten Bereich. Dassind vor allem die Datenbanken und Dokumentensammlungen(gelbe Blöcke, DB und FS [Fileserver])sowie die Ausfall- und Datensicherungskomponenten(gelber Block, BS [Backup]).Diese technischen Einrichtungen gehören auch
Dieter Kochheim, <strong>Cybercrime</strong> - 22 -nicht in irgendeine Abstellkammer, sondern ineinen zugangsgesicherten Serverraum mit einerKlimaanlage, mit einer unabhängigen Stromversorgung- USV - und einer Zugangssicherung. Siesind das Herzstück des Unternehmens (grün unterlegterBereich).Ausfallsysteme und das Archiv für die Datensicherungsspeichergehören in einen räumlich weitgetrennten Serverraum. Die beste Ausstattung fürdie Daten- und Ausfallsicherung nützt nichts, wennein Feuer oder ein brutaler Angriff beide auf einenSchlag vernichten kann.A.1 8.4 SicherheitsüberwachungNeben der Sicherheits- und Firewalltechnik, allgemeinzusammengefasst unter "Security", habensich mehrere Modelle und Strategien etabliert, diesich der aktiven Sicherheitsüberwachung widmen.Der Grundgedanke dafür ist, dass allein nur dieReaktion auf Sicherheitsgefahren nicht ausreicht,sondern dass Sicherheitsstrategien entwickelt werdenmüssen, die vorausschauend sind und dienoch unbekannte Quellen für Beeinträchtigungenschließen oder zumindest überwachen, um gefährlicheEreignisse und Allgemeinumstände zu melden.Die Palette dieser Maßnahmen reicht von der Serverraumüberwachung(Rauchmelder, Temperatur,Bewegungsmelder) über die Betriebsbereitschaft(Auslastung, Defekte) und die Netzverfügbarkeitbis hin zu Umweltmeldungen (Hochwasser- undUnwettermeldungen).Für den IT-internen Bereich wurden verschiedeneTechniken und Strategien entwickelt, um Angriffeund zufällige Belastungen zu erkennen und abzuwehren.An erster Stelle sind dazu die Methodenzur Intrusion Detection zu nennen, die sich derErkennung, Beobachtung und Abwehr vonAngriffen widmen. Sie benötigen eine ausgefeilteund teure Technik, haben aber zwei Zielrichtungen.Die Erkennung von Angriffen gegen das IT-Systemist wirtschaftlich notwendig (auch wegen der damitverbundenen Personalkosten). Ob es dazu aucheines Honeypots bedarf, um einen Angreifer in einergeschützten Umgebung mit banalen oderfalschen Informationen zu beobachten, muss anhandder besonderen Bedürfnisse der Organisationentschieden werden. Im Allgemeinen dürfteder Honeypot nicht erforderlich und wirtschaftlichineffektiv sein.A.1 8.5 Sicherheitskultur und AkzeptanzDas sicherste IT-System ist das, das den IT-Verantwortlichen den höchsten Grad an Kontrolleund den Mitarbeitern die geringste Möglichkeit zurManipulation lässt. Das gilt nicht nur wegen mutwilligerProvokationen der Mitarbeiter, sondernvor allem deshalb, damit Malware und Hackernicht die Systemrechte der Mitarbeiter für ihreMissbräuche ausnutzen können.Sicherheitsbewusste IT-Organisationen neigendazu, ihre eigenen Sicherheitsinteressen in denVordergrund zu stellen und gleichzeitig die Sicherheitsinteressenanderer zu ignorieren.eBay ist ein Beispiel dafür, das mir besondersaufgefallen ist und deshalb hervorgehoben wird.Dieses Unternehmen gibt umfassende Informationenan Strafverfolgungsbehörden, wenn sie sicheBay öffnen. Das widerspricht aber der Sicherheitsphilosophieder Polizei und der Staatsanwaltschaft,die gerne auch ihre eigenen IT-Systemeschützen wollen 56 .Eine Sicherheitskultur nach dem Grundsatz, "ichakzeptiere Deine Sicherheitsinteressen und Dumeine", ist noch nicht hinreichend verbreitet.Eine strikte IT-Organisation neigt zum Totalitarismus.Sie bevormundet die Anwender (zu Recht?),ist konservativ in dem Sinne, dass alle Neuerungendas funktionierende System beeinträchtigenkönnten, und will die totale Kontrolle der Technikund ihrer Anwendung erreichen.Solange Unternehmen und Behörden die IT-Organisation und ihre Ausrichtung nicht zu ihrembestimmenden Unternehmensziel machen, werdensie die unternehmenspsychologischen undwirtschaftlichen Dimensionen nicht begreifen. DieInformationstechnik hat in den letzten beidenJahrzehnten heftig dazu beigetragen, Arbeitsab-56Siehe auch CF, Overlay-Netze der öffentlichenVerwaltung, 2008
Dieter Kochheim, <strong>Cybercrime</strong> - 23 -läufe zu optimieren und die Produktivität zu erhöhen.Sie war willkommen, um wirtschaftlicheKennzahlen zu erreichen. Das hat sie getan.Jetzt ist eine Umbruchsituation erreicht. Ohne ITkönnen große (und ganz viele kleine) Organisationennicht mehr handeln und wirtschaftlich tätigwerden.Dadurch werden die Folgekosten interessant.Die Unternehmens-IT muss jetzt transparent undgestaltbar werden. Sie muss sich wandelnden Unternehmenszielen(Enterprise-Management) undden internen Unternehmensprozessen öffnen.Die Unternehmensleitung und die Mitarbeitervertretunghaben gemeinsame, aber auch elementarentgegengesetzte Interessen. Beide gilt es, auchim Hinblick auf die IT, zu bedienen und zu sichern.Die Arbeitnehmerinteressen spielen für die Strategienzur IT-Sicherheit bislang keine Rolle. Das wirdsich ändern müssen. Aber auch die Unternehmensleitungenwerden im Hinblick auf ihreUnternehmensziele neue Perspektiven entwickelnmüssenJe weniger Einfluss die Mitarbeiter auf ihre Arbeitsumgebungenhaben, desto größer sind die Möglichkeitenihrer Unternehmensleitung, Arbeits- undLeistungskontrolle auszuüben (Big Brother).Je mehr die Unternehmensleitung die GestaltungsundZugriffsmöglichkeiten ihrer Mitarbeiter einschränkt,desto weniger Ideen, Innovationen undGenialitäten kommen ihr zu Gute. Gleichzeitig sinktdie Arbeitszufriedenheit.Die Ära der Kostensenkung ist vorbei. Künftig istes erforderlich, einen vernünftigen Ausgleich zwischenUnternehmensgewinnen, Arbeitnehmerinteressenund (neu) der IT-Sicherheit zu erlangen.
Dieter Kochheim, <strong>Cybercrime</strong> - 24 -A.2 NummerntricksAdressenschwindel bei Telefondienstenund im Internet 57Die ersten Erscheinungsformen der <strong>Cybercrime</strong> imZusammenhang mit der Digitalisierung der Telekommunikation58 und der breiten privaten Nutzungdes Internets konnten durch regulatorische, alsodurch gesetzliche Maßnahmen beschränkt werden.Das betrifft vor allem den schrankenlosen Missbrauchvon Mehrwertdiensterufnummern aus dem190-0-Rufnummernkreis, Dialer und die nur verhaltenaufgetretenen Probleme im Zusammenhangmit kostenpflichtigen Rückrufen. Für alle drei Erscheinungsformenaus dem zurückliegenden undangehenden Jahrhunderten gilt, dass sie zurückgedrängtund erschwert wurden. Sie können inneuer Form wieder in Erscheinung treten, so dasssie in Erinnerung bleiben sollten.Dieser Aufsatz widmet sich besonders den Adresssystemender Telekommunikation und des Internets59 unter dem Gesichtspunkt der Adressenmanipulation.Die Einführung von Mehrwertdiensten ermöglichtees, unmittelbar über die Abrechnungen der Anschlussnetzbetreiberzu Geld zu kommen, ohnekomplizierte Verwertungsmaßnahmen durchführenzu müssen, die wir vom klassischen Phishing 60kennen: Ausspähen, Kontomissbrauch, Beutesicherungmit Finanzagenten.Bei den neuen Formen der <strong>Cybercrime</strong> 61 ist zu beobachten,dass sie sich immer schneller wandelnund neu geschaffene Abwehrmethoden unterlaufen.Sie scheinen aus der Lernfähigkeit des Gesetzgebersihrerseits gelernt zu haben, verdecken57Dieser Aufsatz vom 21.11.2008 führt einen Beitragaus dem EDV-Workshop aus dem Jahr 2003 fort,aus dem einige der Beispiele stammen. Der Textwurde vollständig neu gefasst. Einzelne Passagensind bereits an anderer Stelle im Cyberfahndererschienen und werden hier zusammen gefasst.58Siehe auch: CF, Führung <strong>Cybercrime</strong>, 07.08.2008und CF, Formen der IT-Kriminalität, 2007.59Vertiefend zum Internet:CF, internationale Kabel und Netze, 2007,CF, autonome Systeme und Tiers, 2007,CF, Namensauflösung im DNS, 2007.60CF, Phishing mit Homebanking-Malware, 22.10.200861CF, <strong>Cybercrime</strong> und IT-Strafrecht, 08.08.2008NummerBeschreibung110 Betreiberkennzahlen 62115 Einheitlicher Behördenruf116 Harmonisierte Dienste von sozialem Wert(kostenlos)118 Auskunftsdienste12 Kurzwahl- und Neuartige Dienste(innovative Dienste)137 Massenverkehr zu bestimmten Zielen:MABEZ (z.B. für das Televoting)180 Geteilte Kosten (Shared Cost-Dienst - SC)181 internat. Direktverbindungen;Internationale Virtuelle Private Netze191 - 194 Online-Dienste32 Nationale Teilnehmerrufnummern700 Persönliche Rufnummern800 Entgeltfreie Telefondienste900 Mehrwertdienste; Premium-Dienste9009 Anwählprogramme (Dialer), R-Gespräche,Premium-SMSihre kriminellen Aktivitäten und nutzen vermehrtdie Methoden der heimlichen Geldwäsche als diedes bargeldlosen Zahlungsverkehrs, der von Aufsichtseinrichtungenbeobachtet wird und staatlichenRegulierungen unterworfen werden kann.A.2 1. intelligente NummernverwaltungDie analoge Telefonie ist ein technisches Verbindungssystem,das sich auf die Schaltung von Einzelverbindungenin einem Netz beschränkt. Eskennt nur wenige Sondernummern wie die Notrufe110 und 112, die in allen Ortsnetzen reserviertwerden mussten. Abrechnungssysteme fürFremddienste, Rufnummernmitnahmen und besondereDienste (siehe Tabelle oben) ließen sichdamit nicht realisieren.Die moderne Telekommunikation beruht auf intelligentendigitalen Netzen, die eine differenzierteNummernverwaltung zulassen. Digitale Netzesind erst aufgrund des internationalen Standards62Die Bundesnetzagentur hat ihren Webauftrittumgestellt, so dass die ursprünglich gesetztenLinks nicht mehr zutreffen.
Dieter Kochheim, <strong>Cybercrime</strong> - 25 -für ISDN 63 möglich, worauf die Deutsche Telekomseit 1989 ihr Telefonnetz umgerüstet hat. Vor allemzur breitbandigen Netzverbindung 64 wird ISDN seitden neunziger Jahren zusammen mit den DSL-Standards 65 betrieben, die besondere Anforderungenan die Leistungsfähigkeit der Verbindungsnetzestellen 66 .Intelligente Netze 67 benötigen zu ihrem Betriebund ihrer Steuerung einer zentralen Daten- undNummernverwaltung, die es ermöglicht, unabhängigvon dem mechanischen Nummernsystem der63WP, Integrated Services Digital Network - ISDN64Siehe CF, Netzneutralität und Breitbandtechnik,08.12.2007, und CF, kollabiert das Internet?13.09.2008.65WP, Digital Subscriber Line – DSL, siehe auch CF,DSL-Versorgung in Deutschland, 08.12.2007.66CF, Backbone der DTAG, 08.12.2007, CF, TK-Netze,2007, CF, Roaming im Verbindungsnetz, 23.08.2008.67WP, Intelligentes Netz, CF, TK-Netze, 2007.klassischen, analogen Telefonie 68Sondernummern und -dienste anzusteuern undabzurechnen. Dazu verlangt der ISDN-Standard,dass neben dem Sprachnetz, das für dieÜbertragung von Sprache und Daten verwendetwird, ein Signalisierungsnetz 69 besteht, das fürden Verbindungsaufbau und ihren Bestandzuständig ist 70 .Die Tabelle (Vorseite) zeigt die wichtigsten Rufnummernblöcke,die für besondere und Premium-Dienste reserviert sind (Nummernverwaltung 71 ).Für die digitalen Anschluss- und Verbindungsnetzegilt, dass sie konvergent sind, also für dieSprach- und Datendienste gleichermaßen genutzt68WP, Telefonnetz69WP, Signalisierungsnetz70WP, Festnetz-Struktur71BNA, Nummernverwaltung
Dieter Kochheim, <strong>Cybercrime</strong> - 26 -werden können (Netzkonvergenz 72 ). Für dieAdressierung und Übertragung werden nur verschiedeneProtokolle und Standards verwendet,die dieselbe physikalische Netzstruktur verwenden.Durch die Internettelefonie 73 (Voice over IP – VoIP74) ist selbst die protokollarische Trennung aufgehobenworden.A.2 2. 1900-Nummern. Abrechnung. MissbrauchBis 2003 erregten die Mehrwertdienstenummer190 und die Dialer eine besondere Aufmerksamkeit,weil sie häufig zu Missbräuchen genutzt wurden.Das Besondere an der 190-0-Nummer war, dassdiese Anschlüsse frei tarifierbar waren. Das heißt,dass der Anschlussinhaber mit seinem Netzbetreiberdie Höhe der Verbindungskosten vereinbarenkonnte. Meldungen über horrende Kosten für eineeinmalige Einwahl oder für Zeitblöcke waren ander Tagesordnung.Möglich machte das die Einführung von PremiumRate-Diensten, die zwei Gebührenanteile enthalten,einen für die Netzverbindung, der für die Netzbetreiberbestimmt ist, und einen mehr oder wenigergroßen, der an den Anschlussinhaber abgeführtwird.Der Zweck der Mehrwertdienste besteht darin, dieTelekommunikation zur Verbreitung und Abrechnungvon Dienstleistungen zu nutzen und demDienstleistenden die Identifikation des Anrufers zuersparen, indem die Abrechnung durch den Anschlussnetzbetreibererfolgt. Gedacht war an Beratungsdienste(Rechtsanwälte, Lebenshilfe, Auskünfte,Testergebnisse) und zum Beispiel an diekostenpflichtigen Downloads zur Verbreitung vonDateien, Musik und Programmen. Bekannt wurdensie jedoch eher durch die instinktorientierten Angebote75 werbender Damen.Die Missbräuche von Premium Rate-Diensten erfolgtenauf verschiedene Weisen: Täuschung überdie Tatsache, dass ein solcher Dienst angerufenwird, kostenpflichtige Warteschleifen, Schlechtleistungund untergeschobene Dialer.In der Anfangszeit der Mehrwertdienste kamenden Abzockern mehrere Mängel des Systems zuGute: Jedenfalls der 190-0-Nummernkreis warwegen der Verbindungskosten nicht gedeckeltund es gab lediglich ein Verzeichnis - bei der damalsnoch: Regulierungsbehörde für Telekommunikationund Post - RegTP - über die Carrier, denenTeile aus dem Rufnummern-Block zugewiesenwaren. Die Carrier hingegen bedienten sichbei dem Vertrieb der Anschlussnummern Resellern76 , die ihrerseits Unterhändler beauftragtenund diese wiederum andere. Durch eine langeKette solcher Unterhändler, die nicht selten insAusland reichte, konnte die Identität eines missbräuchlichhandelnden Anschlussinhabers vollständigverschleiert werden.Auch die Verteilung der Premium Rate-Gebührenließ sich nicht immer leicht verfolgen. Ihre Abrechnungund ihr Einzug ist die Aufgabe des Zugangsnetzbetreibers(Carrier) gegenüber seinem Kunden(Anschlussinhaber). Dabei erfolgt die Abrechnungautomatisch während der Verbindung aufgrundeiner Rückmeldung des Inhabers des Rufnummernblocks,wobei es sich um einige wenigeCarrier handelt, und der Zeittaktabrechnung desAnschlussnetzbetreibers, der die Gebühren gegenüberseinen Kunden abrechnet (die Anrufer).Die Einnahmen mit Ausnahme des Anteils für dieVerbindung führen die Anschlussnetzbetreiber andie anderen großen Carrier ab und diese, nachAbzug ihres Anteils, an die Inkassostellen der Reseller.Dadurch entstanden Verwertungsketten,die denen der Unterhändler-Ketten entsprachenund die sich ebenfalls nicht selten im fernen Ausland"verliefen".72CF, Netzkonvergenz, 12.02.200873CF, Abgrenzungen, 200774CF, Formen der Quellenüberwachung, 08.11.200875CF, instinktorientierte Online-Angebote, 23.01.200876WP, Wiederverkäufer
Dieter Kochheim, <strong>Cybercrime</strong> - 27 -A.2 3. DialerDialer sind Einwahlprogramme, mit deren Hilfeüber das analoge Telefon- oder das ISDN-Netzeine Wählverbindung zum Internet oder anderenComputernetzwerken aufgebaut werden kann 77 .Nach dieser allgemeinen Definition sind sie einHilfsmittel zur Unterstützung des Anwenders dabei,seinen PC in ein Netzwerk einzubinden oder internetfähigzu machen.Die Kehrseite davon: Dialer sind auch in der Lage,neben bestehenden Netzwerkverbindungen solchezu anderen Zugangsprovidern einzurichten oderdie Grundeinstellungen zu überschreiben.Missbräuchlich (bis etwa 2003) eingesetzte Dialerfunktionierten so, wie wir es heute von der Malwaregewohnt sind, nur dass sie noch keinen modularenAufbau kannten 78 . Zunächst mussten die Hemmungendes Anwenders überwunden oder dasDialerprogramm verdeckt installiert werden. LautereInstallationsprogramme geben dabei klar bekannt,welches die Auswirkungen ihres Einsatzessind und vor allem, welche Kosten dadurch entstehen.Unlautere verschweigen das und versuchen,ihre Konfiguration an die Stelle der Standardeinstellungenzu setzen. Es gab Meldungen, wonachDialer nach der Art der Trojaner mit anderen Programmeninstalliert wurden und dass sie sogar ihreGestalt wechseln konnten: Ihre spätere Analysezeigte, dass sie sich offen zu erkennen gaben, wassie bei der Erstinstallation tatsächlich nicht taten.A.2 3.1 wider dem MissbrauchDie Mängel im technischen System und seiner Organisation,die im Zusammenhang mit den Mehrwertdienstenangesprochen wurden, kamen auchden Dialern zu Gute, die in aller Regel mit einemPremium Rate-Dienst gekoppelt wurden 79 .Dank des Gesetzes gegen den Missbrauch vonMehrwertdiensten aus dem April 2003 80 wurde den77WP, Dialer78CF, Malware. Tarnung und Täuschung, 12.05.2008;CF, strafbare Vorbereitungshandlungen, 200779CF, IT-Straftaten: Mehrwertdienste. Dialer, 200780Gesetz zur Bekämpfung des Missbrauchs von0190er-/0900er-Mehrwertdiensterufnummern,Missbräuchen weitgehend der Boden entzogen,indem die Bundesnetzagentur - BNA - mit der Regulierungbeauftragt wurde. Sie richtete drei Datenbankenfür die Registrierung von 900er- und190er-Anschlüssen sowie für Dialer ein 81 . OhneRegistrierung können seither weder die Kostenfür die Mehrwertdienstnummern noch für Dialer,jedenfalls im gerichtlichen Verfahren, geltend gemachtwerden. Die Praxis zeigt, dass die BNAzwar so gut wie keine Kontrolle bei der Eintragungausübt, aber sehr schnell dabei ist, auffälligeAnbieter wieder zu löschen.Gleichzeitig wurden die Belehrungspflichten verschärftund die Kosten gedeckelt. Seit 2006 könnendie 190-Nummern nicht mehr eingesetzt werden.In der Übergangszeit waren sie dadurch privilegiert,dass in der Datenbank bei der BNA nichtdie Anschlussinhaber, sondern die Anschlussnetzbetreibereingetragen waren.Dialer sind seither fast ganz vom Markt verschwunden,aber ganz maßgeblich aus einem anderenGrund: Unter DSL funktionieren sie nurdann, wenn der PC neben einer DSL-Verbindungauch über einen Anschluss zum Telefonnetz verfügt.Das ist nur noch selten der Fall, etwa dann,wenn der PC auch für den Versand und den Empfangvon Faxschreiben über das Telefonnetz genutztwird.A.2 3.2 rechtliche HandhabungDie seinerzeit von mir im Gespräch mit anderenKollegen entwickelte Handhabung und strafrechtlicheBeurteilung der verschiedenen Dialer-Formen hat sich auch aus heutiger Sicht nicht geändertund kann auf Mehrwertdienste aus dem900er-Nummernblock übertragen werden: Erklärt die Menü- und Programmführung beider Installation alle Funktionsweisen offen unddeutlich - dass eine neue DFÜ-Netzwerkverbindungerzeugt oder eine bestehende überschriebenwird, dass alle künftigen Verbindungenüber die 900er Nummer abgewickelt werden -und muss der Kunde die Installation bewusst mit09.08.200381BNA, Dialerdatenbank; BNA, 0900-Datenbank
Dieter Kochheim, <strong>Cybercrime</strong> - 28 -einem Klick bestätigen, dann liegt gar keine Strafbarkeitvor. Werden Teile der Funktionsweise weniger offenerläutert - also etwa der Umstand, dass künftig alleInternetverbindungen mit der teuren Nummer abgewickeltwerden oder dass bereits die einmaligeVerbindungsaufnahme zu unerwarteten Kosten inHöhe von mehreren 100 € führt, dann kommt inAnlehnung an die Rechtsprechung zum Offertenbetrug82 § 263 StGB in Betracht (die Vermögensverfügungbesteht in der unüberlegten, auf einerTäuschung beruhenden Installation des Programms;sie verwirklicht sich bei den künftigen,kostenauslösenden Einwahlen). Werden Teile der Funktionsweise verschwiegenund erfolgt eine teilweise Installation ohne Kenntnisdes Anwenders, so dürfte das eine Datenveränderungi.S.v. § 303a StGB sein (Veränderung derDFÜ-Verbindung oder - ganz gemein - der Registry-Eintragungen).Wird die DFÜ-Verbindung zumteuren Anschluss unbewusst vom Anwender hergestellt,so dürfte § 263a StGB zum Tragen kommen.Die heimliche Installation stellt dann den Beginndes Versuchsstadium dar. Wird das Programm insgesamt heimlich odersogar gegen den ausdrücklichen Willen des Anwendersgestartet (deaktivierter "Abbrechen"-Button),handelt es sich ebenfalls um eine Datenveränderungin Tateinheit mit versuchtem Computerbetrug.Die Abgrenzung zwischen Vorbereitungshandlungund Versuch muss im Einzelfall geklärtwerden. Die Tat wird bei der nächsten Internetverbindungvollendet.A.2 4. Regelungen im TKGDie Abrechnungsmodalitäten sind jetzt in den §§45g, 45h TKG geregelt. Danach sind die Zugangsnetzbetreiberweiterhin verpflichtet, die ForderungenDritter (aus Premium Rate-Diensten) in Rechnungzu stellen. Dabei müssen die Dritten einschließlichihrer Kontaktdaten und kostenfreienServicenummern genau bezeichnet und der Kundedarüber belehrt werden, dass er begründete Einwendungengegen einzelne in der Rechnung ge-82CF, Offertenbetrug, 02.08.200813a. § 66a S. 1, 2, 6,7 oder 8unrichtige Preisangabe13b. § 66a S. 3 zu kurze Preisangabe13c. § 66a S. 4 unrichtige Hinweise13d. § 66b Abs. 1 S. 1 unrichtige Preisansage13e. § 66c Abs. 1 S. 1 unvollständige Preisanzeige13f. § 66d Abs. 1oder 2Überschreitung derPreisgrenze13g. § 66e Abs. 1 S. 1 verspäteteVerbindungstrennung13h. § 66f Abs. 1 S. 1 Einsatz unregistrierterDialer13i. § 66i Abs. 1 S. 2 Gespräch alsMehrwertdienst13j. § 66j Abs. 1 S. 1oder 3unzulässiger Einsatz vonKurzwahlenstellte Forderungen erheben kann (§ 45h Abs. 3TKG).Der Nummerierung widmen sich jetzt die §§ 66 ff.TKG. Als Reaktion auf frühere Abzockereien sindeine Reihe von Verstößen bereits als Ordnungswidrigkeitennach § 149 TKG verfolgbar (sieheTabelle oben). Die BNA als Verwaltungsbehördekann sie mit einer Geldbuße bis zu 100.000 €ahnden.Auch in das neue Hackerstrafrecht 83 sind jedenfallsinsoweit Schlussfolgerungen aus den früherenMissbräuchen eingeflossen, dass erheblicheFormen der Computersabotage - auch gegen Privatleute- nach § 303b StGB strafbar sind.Zuletzt per 01.09.2007 sind weitere Änderungenim TKG vorgenommen worden 84 , die besondersdie Kostenklarheit und -begrenzung zum Gegenstandhaben.83CF, Computersabotage, 200784CF, mehr Preisangaben bei TK-Diensten,28.08.2007
Dieter Kochheim, <strong>Cybercrime</strong> - 29 -Die Telefongesellschaft Prompt hat den Rückruf alsneue Einnahmequelle erschlossen. Für einen Anrufbeim Kunden kassiert der Anbieter 0190-Gebühren.Der Ablauf ist einfach: Der Kunde ruft eine kostenfreie0800-Rufnummer an und gibt dort die Nummer desAnschlusses an, auf dem er einen Rückruf wünscht.Anschließend erfolgt ein Anruf von Prompt - zu 0190-Konditionen. Den Posten findet der Angerufene anschließendauf der Telefonrechnung mit dem StichwortTeleInternet Services ...Eines der ersten entsprechenden Angebote, 'Recall Direct'der Firma EST24, ging im Juli in Betrieb. NachAngaben der Firma handelte es sich nur um einenTestlauf, allerdings tauchten die entsprechenden Postenbereits auf Telefonrechnungen von Kunden auf.Bei EST24 konnte man während des Tests von jedembeliebigen deutschen Anschluss aus anrufen, sogarvom Handy. Der Anrufer erhielt eine Ansage mit demHinweis, dass der Rückruf kostenpflichtig sein werdeund der Aufforderung, die gewünschte Telefonnummerim Festnetz einzutippen. An dieser Stelle nannte derAnbieter einen Minutenpreis von 1,99 Euro.Urs Mansmann in c't 10/02, S. 94A.2 5. kostenpflichtige Rückrufe2002 tauchten einige wenige Meldungen überMissbräuche im Zusammenhang mit einem seinerzeitneuen technischen Dienst auf, bei dem dieVerbindungs- und Dienstleistungsentgelte nichtdem Anrufer, sondern dem Angerufenen belastetwurden 85 (R-Gespräche; siehe Zitat oben).Der mögliche Missbrauch dieser technischen Abrechnungsumleitungmusste besonders jene vorsichtigenMitmenschen schrecken, die bei ihremAnschlussnetzbetreiber die Sperrung von PremiumRate-Nummern beantragt hatten. Das verhinderteaber nur die unbedachte Anwahl einer teuren Anschlussnummer,nicht aber den Anruf von einersolchen.Der einzige mir in Erinnerung gebliebene Missbrauchsfallwurde ebenfalls von Mansmann in derc't berichtet 86 , indem er ein Behindertenwohnheimvorstellte, in dem alle Telefone für abgehende Anrufegesperrt waren. Einer der Bewohner fordertejedoch per Handy Rückrufe auf sein stationäres Te-85Urs Mansmann in c't 10/2002, S. 94 und c't 22/2002,S. 4686Urs Mansmann, Erste Rückruf-Opfer. Die neue'Mehrwert'-Masche bringt schon Profit, c't 22/2002,S. 46lefon an, die schließlich mit Kosten von rund 440Euro zu Buche schlugen.Derartige Fälle werden jetzt von § 66i TKG unterbunden.A.2 6.1 RückruftrickDie erfolgreiche Regulierung hat die extremenAuswüchse verschwinden lassen. Missbräuchevon Mehrwertdiensten werden dadurch aber nichtvöllig verhindert.Eine besonders dreiste Form des Rückruftrickswurde 2002 publik und kann sich jederzeit wiederholen87 . Von den kostenpflichtigen Rückrufenunterscheidet sich diese Fallgruppe dadurch,dass der Anrufer zu einem eigenen Handeln aufgerufenwird.Der Inhaber von mehreren Mehrwertdienstenummernstartete auf seinem Computer ein Programm,das den D1-Nummernkreis systematischanwählte und die Verbindung sofort wieder unterbrach.Das reicht aber für die Meldung "Anruf inAbwesenheit" auf dem Handy. Nur wenige derEmpfänger wählten den Anrufer an und bekamendas Freizeichen zu hören, so als wenn keine Verbindungzustande gekommen wäre. Das Freizeichenstammte jedoch vom Tonband und der Gebührenzählerlief. Sehr lukrativ. Der Täter wurde870190-Betrug: Jetzt mit "gefälschten" Freizeichen,Heise online 07.08.2002
Dieter Kochheim, <strong>Cybercrime</strong> - 30 -später wegen Betruges (§ 263 StGB) zu FreiheitsstrafeverurteiltMit der zunehmenden Neigung, ständig erreichbarzu sein 88 , steigt auch die Gefahr, dass die Leuteauf solche Tricks hereinfallen.A.2 6.2 einheitliche prozessuale TatEine wichtige strafrechtliche Konsequenz weist dergeschilderte Fall auf, die auch für den Massenversandvon Spam- und Phishing-Mails gilt: Der Täterhandelt nur einmal, indem er den Versand vonNachrichten startet. Die potentiellen Opfer sindaber breit in der Fläche verstreut. Wenn sie mit einerVerzögerung von mehreren Wochen mit ihrerTelefonrechnung zur Polizei gehen, um einen Betruganzuzeigen, werden sie zu ihrer örtlichen Polizeigehen, die womöglich sogar den Inhaber derMehrwertdienstenummer ermittelt und die Akten andie Staatsanwaltschaft abgibt.Der überschaubare Schaden, den der einzelne Anzeigeerstattererlitten hat, könnte den zuständigenStaatsanwalt dazu veranlassen, das Ermittlungsverfahrengegen eine geringe Geldauflage vorläufiggemäß § 153a StPO einzustellen. Zahlt der Täterdie Buße, dann tritt wegen aller anderen GeschädigtenStrafklageverbrauch 89 ein (Art. 103Abs. 3 Grundgesetz - GG), weil alle Schadensereignisseauf das Einmal-Handeln des Täters beimStart des Computerprogramms zurück gehen. Sieberuhen auf einer einheitlichen prozessualen Tat(§ 264 Abs. 1 StPO).Wegen solcher massenwirksamen Handlungenvon Straftätern wird sich die Strafverfolgung zunehmendsensibilisieren müssen.A.2 7. versteckte Netz- und AuslandsvorwahlenEine Masche aus optischen Werbemedien funktioniertnoch immer: Das Verstecken verdächtigerAnschlussnummern in einem Rattenschwanz ausZiffern.Im ersten Beispiel wird die Mehrwertdienstnummerhinter der deutschen Auslandsvorwahl versteckt,wobei zusätzlich die Gruppierung der Ziffernvon dem verräterischen String ablenken soll.004 - 990 - 012 - 345 - 678 - 901Auflösung der Ziffernfolge:Auslandsvorwahl: 0049Premium Rate-Dienst: 900Anschlussnummer: 1234567..Das zweite Beispiel ist eine Variante, bei der dieNetzvorwahl der DTAG verwendet wird. Hierbeiwird außerdem die verdächtige Nummer dadurchversteckt, dass eine ununterbrochene Ziffernfolgepräsentiert wird.Um die Verwirrung zu erhöhen müssen nur nochein paar Ziffern an die Anschlussnummer angefügtwerden. Häufig konnten jedenfalls die Anschlussnetzbetreiberkeine Auskunft über den Inhaberdes Anschlusses geben.010339001234567890Auflösung der Ziffernfolge:Netzvorwahl: 01033Premium Rate-Dienst: 900Anschlussnummer: 1234567..Auch für Auskunftsdienste und Kurzwahlnummernkönnen neben den VerbindungskostenDienstleistungskosten erhoben werden 90 . Übereinen Missbrauchsfall berichtete die Neue Pressebereits 2002 91 . Dasselbe gilt grundsätzlich für88CF, Kommunikationsflut, 29.10.200789WP, Strafklageverbrauch90Tabelle S. 24.91Neue Presse, 11845 - Die neue Abzocke perTelefon, 04.10.2002 (Zitat auf der Folgeseite).
Dieter Kochheim, <strong>Cybercrime</strong> - 31 -11845 - Die neue Abzocke per TelefonDas Landeskriminalamt (LKA) warnt vor einer neuenTelefonbetrugs-Masche."Die Täter antworten auf Zeitungsanzeigen und bittendie Inserenten auf Mailbox und Anrufbeantworter umeinen Rückruf", sagt LKA-Sprecher Frank Federau.Dazu geben sie die Kurzwahlnummer 11845 an.Das Problem: "Wer diese Nummer wählt, tritt in dieKostenfalle", so Federau. Denn dort melde sich einangeblicher Telekom-Auftragsdienst. Der Anruferwerde in eine aussichtslose Warteschleife geschickt -und die kostet 1,99 Euro pro Minute. Der gewünschteTeilnehmer werde nicht erreicht. Nach Auskunft derTelekorn hat das Unternehmen nichts mit derServicenummer zu tun. ...Neue Presse, 04.10.2002MABEZ-Nummern 92 , die jedoch nur vorübergehendund gezielt von der BNA vergeben werden.Über die Verwendung einer sehr teuren Verbindungkann man auch täuschen, indem man alsRückruf-Nummer eine Auslandsvorwahl angibt, dieteure Tarife möglich macht. Dies gilt z.B. fürdieSalomonen mit der Vorwahl +677 oder 00677 93 .Auch Nauru mit der Vorwahl ... 674 ist alsNetzadresse eines automatischen Dialers bekanntgeworden, der seit der Nacht zum 23.11.2002 denRufnummernbereich des Mobilfunkproviders O2mit Kurzanrufen abarbeitete. Dies war die dritteRückrufserie unter Verwendung von Naurus Netzvorwahl,die seinerzeit bekannt geworden war.Welche Ländervorwahlen seit 2002 noch hinzu gekommensind, habe ich nicht verfolgt.Die bereits älteren Beispiele zeigen, wie ungeläufigetechnische Funktionen mit betrügerischenTricks verbunden werden können, um die Opfer zuübertölpeln. Die oben angesprochene, optischeTarnung kann noch dadurch verstärkt werden,dass gemeinhin unbekannte Vorwahl- oder Dienstenummernverwendet werden. Das gilt jedenfallsfür die Auskunftsdienste, die sich inzwischen ebenfallsstark auf instinktorientierte Auskünfte konzentrierthaben, die Kurzwahl- und (eingeschränkt) dieMABEZ-Nummern sowie die exotischen Auslandsvorwahlen.92Massenverkehrsnummern für das Televoting.93c't 10/02, S. 39A.2 8. kriminelle VerbindungenDie bisherigen Beispiele sind darauf ausgerichtetgewesen, den Anschlussinhaber zu täuschen unddazu zu veranlassen, teure Verbindungen aufzunehmen.Sie ähneln den Trickbetrügereien, dievom Täter handwerkliches Geschick verlangen 94 .Zwei Hacking-Beispiele sollen das Bild abrunden.Fernwartungsfähige Telefonanlagen sind anfälligfür Angriffe von außen. Lassen sie die Fernwartungzu und sind die Grundeinstellungen der Hersteller"offen", so fällt es Hackern leicht, über denISDN-B-Kanal die Anlage zu manipulieren undz.B. so einzustellen, dass die Anlage selbsttätiganstelle von Mitteilungsdiensten, die die aktuellengünstigsten Fernverbindungen übermitteln, teureMehrwertdienstenummern anruft. In einem schon2002 bekannt gewordenen Fall sind dadurch Kostenin Höhe von 4.000,- Euro verursacht worden95. Daneben sind sie auch anfällig gegenüber gebräuchlichenAngriffsmethoden: Telefonanlagensind immer "intelligenter" im informationstechnischemSinne geworden und können wegen ihrerSteuerung unbekannte Sicherheitslücken aufweisen.Dadurch sind sie anfällig gegen Brute Force-Angriffe 96 und Buffer Overflows 97 .Über einen eher seltenen Fall hatte das LandgerichtHannover zu befinden. Es ordnete am25.06.01 - 33 Qs 123/01 - als Beschwerdegerichtdie Untersuchungshaft gegen einen Beschuldigtenan, dem 47 Straftaten des Computerbetruges(§ 263a StGB) mit folgenden Besonderheiten vorgeworfenwurden:94Das gilt auch für andere Kriminalitätsformen, z.B.für das von mir, jedenfalls begrifflich, eingeführteCF, Proll-Skimming, 18.05.2008.95Betrug per TK-Anlage, c't 24/2002, S. 7196Bei WP, Brute-Force-Angriffen wird einepasswortgesteuerte Zugangssicherung so lange mitneuen Passwörtern penetriert, bis die zutreffendeKombination gefunden ist; siehe CF, Passwörterund Sicherungscode, 2007.97Buffer Overflow: WP, Pufferüberlauf. Hierbei wirdder Arbeitsspeicher eines Zielsystems mit einerVielzahl von Verarbeitungsanfragen überlastet. ImGegensatz zum verteilten Angriff (CF, Sommer2007; DoS), mit dem der Absturz des Zielsystemsbezweckt wird, ist beim Buffer Overflow denAnfragen Schadcode beigefügt, der vomüberlasteten System ausgeführt werden soll.
Dieter Kochheim, <strong>Cybercrime</strong> - 32 -Der dem Beschuldigten zur Last gelegte Sachverhaltist als Computerbetrug in der Tatbestandsalternativedes "unbefugten Verwendens von Daten"im Sinne des § 263a StGB strafbar. Das Herstellender Telekommunikationsverbindung, entweder vomFestanschluss ... oder vom Mobiltelefon des GeschädigtenO. ..., ist als Datenverarbeitungsvorgangzu werten.Denn bei der Herstellung solcher Verbindungenhandelt es sich um automatisierte Vorgänge, bei denendurch Aufnahme von Daten und deren VerknüpfungArbeitsergebnisse - namentlich gebührenpflichtigeTelekommunikationsverbindungen - erzieltwerden. Über eine bloße Manipulation an derHardware gehen die Tathandlungen des Beschuldigtendemnach hinaus.Der Beschuldigte hat diesen Datenverarbeitungsvorgangmissbraucht, indem er als Unbefugter die Daten,die zur Herstellung der Verbindungen vom jeweilskonkret genutzten Anschluss zu der von ihmbetriebenen 0190ger Telefonnummer notwendig waren,eingesetzt hat, obwohl er zur Herstellung dieserVerbindungen nicht berechtigt war. Berechtigt warendie M.-Hotelgesellschaft in den Fällen in denen Verbindungenvon hoteleigenen Anschlüssen hergestelltwurden; bzw. in den Fällen in denen die Telefonverbindungenvom Mobiltelefon aus erfolgten,der Geschädigte O. Eine vertragliche Befugnis, diejeweiligen Telefonanschlüsse in irgendeiner Formzu nutzen, hatte der Beschuldigte nicht.... Im vorliegenden Fall ist Grundlage der Taten dagegeneine verbotene Eigenmacht des Beschuldigten.Dem Beschuldigten ist letztlich im Rahmen derBegrenzung des weit gefassten Tatbestandsmerkmals"unbefugt", welches jedes vertragswidrige Verhaltenumfassen würde, ein betrugsspezifischesVerhalten zur Last zu legen. Geschäftsgrundlage einesjeden Telekommunikationsvertrages ist die indiesem Rahmen bestehende Berechtigung zur Nutzungder Anlage sowie der Inanspruchnahme derdaraus resultierenden Leistung. Gehört aber die Befugnisdes Täters zur Inanspruchnahme der Computerleistungzur Geschäftsgrundlage, ist dasSchweigen über den Mangel der Befugnis alsschlüssiges Vorspiegeln der Verwendungsberechtigungzu werten. Dies ist vorliegend der Fall. DerUmstand, dass der Beschuldigte keinen Zugangscodeüberwinden musste, weil sowohl die Telefonanlageim Hotel als auch das Mobiltelefon freigeschaltetwaren, spielt dabei keine Rolle, weil dieEingabe eines bestimmten Zugangscodes nur einebesonders evidente Form der Täuschung über dieBerechtigung darstellt.Beschluss des LG Hannover vom 25.06.01 - 33 Qs123/01 (Vermerk des Kammervorsitzenden, Auszug)Der Beschuldigte war als Kontrolleur einer Putzkolonnein einem Hotel tätig. Er ließ sich zunächsteine 0190-Servicenummer einrichten. Im Mai2001 benutzte er unberechtigt verschiedene Telefongerätedes Hotels und das Handy eines Hotelgastes,um seine kostenintensive Servicenummeranzurufen. Die dadurch entstandenen Gebührenin Höhe von mehreren tausend DM wurden seinemKonto gutgeschrieben (siehe links).A.2 9. Adressierung im InternetprotokollVerschleierungen wie bei den versteckten Vorwahlnummernsind auch im Zusammenhang mitInternetadressen möglich. Die Requests for Comments– RFC 98 – dienen zur Standardisierung derInternet-Technik und damit zur Vereinheitlichungder üblichen Anwendungen und Dateiformate.Der RFC 2396 widmet sich dem Uniform ResourceLocator – URL 99 , also dem Kernstück derAdressierung im Internetprotokoll 100 und demDomain Name System – DNS 101 .Die danach üblichen Adressen weisen eine einheitlicheStruktur auf:http://www.cyberfahnder.deAuflösung der DNS-Adresse:Hypertext Transfer Protocol 102 : httpWorld Wide Web 103 (Netz): wwwSecond Level Domain 104 : cyberfahnderTop Level Domain 105 : deDie Auflösung dieses Adressen-Strings erfolgt jedochvon rechts nach links, also vom Namensraumausgehend, und die Punkte sowie "://" dienenals Feldtrenner. Rechts daneben könnennoch Unterverzeichnisse und Dokumente ange-98WP, Request for Comments - RFC99WP, Uniform Resource Locator - URL100WP, Internet Protocol101CF, Auflösung von DNS-Adressen, 2007102WP, Hypertext Transfer Protocol - HTTP103WP, World Wide Web - WWW104WP, Second Level Domain - SLD105WP, Top Level Domain - TLD
Dieter Kochheim, <strong>Cybercrime</strong> - 33 -geben werden, links neben der SLD weitereSubdomains.Als Feldtrenner für die Unterverzeichnisse dientder Schrägstrich. Dagegen werden die Subdomains106 mit Hilfe von Punkten in den String eingeführt.Unterverzeichnisse und Dokumente:http://www.kochheim.de/cf/nav/impressum.htmSubdomain:http://www.dokumente.cyberfahnder.deRFC 2396 eröffnet aber auch die Möglichkeit, Zusatzinformationenzur Steuerung von Prozessenund zur Identifikation (Zugangsberechtigung,Rechtesteuerung) anzufügen. Sie erscheinen dannlinks vom Domänennamen.Der wichtige Feldtrenner ist dabei das Arroba-Zeichen: @ 107 . Es bewirkt, dass für die Adressierungnur der String rechts von ihm verwendet wird.Der linke Teil des Strings wird ignoriert, weil er nurfür die Zielanwendung bedeutsam ist.Kontozugang:http://Konto%7c:Kennwort@www.cyberfahnder.deDas europäisch geprägte Auge schaut jedoch wenigerzum (rechten) Ende einer Zeichenkette, sonderneher zu ihrem (linken) Anfang. Deshalb lassensich ihrem rechten Teil Adressangaben verstecken,wenn am Beginn des Strings unverdächtigeAngaben gemacht werden.Dieser URL führt nicht zu "meine-Bank.de" sondernzu "abzocker.ru".Eine Abwandlung dieses Tricks wird auch im Zusammenhangmit E-Mail-Anhängen verwendet.Eine Programmdatei, die Malware installierensoll, verrät sich zum Beispiel durch ihre Endung".exe" (für execute, deutsch: ausführen). Wennman einem Dateinamen jedoch unverdächtigeEndungen anfügt, dann kann der unbedarfteAnwender über die Gefährlichkeit der Dateigetäuscht werden.Im folgenden Beispiel handelt es sich nicht umeine (auch nicht ganz harmlose 108 ) PDF-Datei,sondern um ein Programm, das alles Möglicheanstellen kann.Täuschung über das Dateiformat:Rechnung.pdf.exeDieser Trick funktioniert noch viel besser, wennder Anwender eines der WindowsBetriebssystemenutzt, bei der die echte Endung eines Dateinamensausgeblendet wird. Er sieht dann nur:Rechnung.pdf.Die Liberalisierung für die Gestaltung von Dateinamen,die vor 15 Jahren von Windows 95 eingeführtwurde, hat auch ihre Kehrseite. Anwenderfreundlichkeitwendet sich sehr schnell zur Gefahr.Zur Tarnung von DNS-Adressen werden inzwischenauch die verschiedenen Zeichensätze verwendet,die im Internet zugelassen sind. Bei derHomograph Spoofing Attack wird zum Beispieldas kyrillische „a“ anstelle des lateinischen „a“ imDomainnamen verwendet. Die westeuropäischeingestellten Browser zeigen beide identisch an.Tatsächlich bestehen die Namen aber aus verschiedenenZeichenfolgen; zum Beispeil: PayPal109.Täuschung über Zieladresse:http://meine-bank.de/zugang@www.abzocker.ru108CF, Tarnung und Täuschung, 12.05.2008106WP, Subdomain107CF, Ät, 10.01.2008109CF, Homograph Spoofing Attack, 17.05.2010;siehe Kasten auf der Folgeseite
Dieter Kochheim, <strong>Cybercrime</strong> - 34 -Bemerkenswert ist, dass die APWG bislang nursehr wenige sogenannte Homograph Spoofing Attacksim Zusammenhang mit der Unterstützung desInternational Domain Name (IDN) beobachtet hat.Dabei sehen Zeichen in einer URL zwar richtig aus,sind es aber nicht. Beispielsweise werden ein kyrillischesa und ein lateinisches a von den meisten Zeichensätzengrafisch gleich dargestellt, obwohl essich um unterschiedliche Zeichen handelt (look alikecharacter). Diesen Umstand könnten Phisher beiAdressen wie www.paypal.com prinzipiell zur Täuschungbenutzen. Die APWG vermutet, dass Phishernicht darauf zurückgreifen, weil der Domainnameohnehin keine Rolle spiele – offenbar prüfen AnwenderURLs immer noch nicht sorgfältig genug. 110A.2 10. Umleitungen im InternetDie bislang vorgestellten Täuschungen bei derAdressierung im Internet zielen darauf ab, dass derAnwender unbedarft handelt. Sie sind Methodendes Social Engineering, also der Suggestion undder Manipulation.Die moderne Malware 111 manipuliert informationstechnischeVerarbeitungsvorgänge hingegenim Geheimen, unbemerkt und fatal. Ihre bevorzugtenZiele sind korrumpierte Internetseiten, derVerarbeitungsvorgang im laufenden Betrieb einesPCs und schließlich sein Systemstart.Manipulationen beim Systemstart setzen voraus,dass die Schadsoftware das Zielsystem bereits infizierthat, ohne sich (bislang) einnisten, also installierenzu können. Die Malware (der Starter) wartetdarauf, zusammen mit einem normalen Systemstartin das System eindringen zu können. Anfälligdafür sind innere Komponenten, die Speicherfunktionenhaben 112 , und Netzkomponenten, die regelmäßigangesprochen werden 113 . Bei die-sen Gerätenhandelt es sich selber um "intelligente" informationsverarbeitendeSysteme, die ihrerseits infi-110Daniel Bachfeld, Einzelne Bande war für zwei Drittelaller Phishing-Angriffe verantwortlich, Heise online17.05.2010111CF, Phishing mit Homebanking-Malware, 22.10.2008112Neben den Komponenten für den Startprozess (WP,Basic Input Output System - BIOS, WP,Bootbereiche von Speichermedien) können dazuauch Peripheriegeräte wie die Grafik-, Sound- undTV-Karten missbraucht werden, die alle wegen ihrerFunktionstüchtigkeit angesprochen werden.113WP, Router, WP, Switch, WP, Wireless LANDNS-PoisoningDiese Methode setzt voraus, dass der PC bereitsmit Malware infiziert ist. Sie verändert die Eintragungenin der lokalen Hostdatei 114 , die dazu dient,die DNS-Namen 115 häufig besuchter Webseiten inihre nummerische Adresse für das Internetprotokollumzuwandeln. Das gemeine daran ist, dass derPC zunächst die Hostdatei danach fragt, ob ihr diegesuchte IP-Adresse bekannt ist, ohne die DNS-Server im Internet abzufragen. Enthält sie veränderteDaten zum Beispiel für das Internet-Banking,werden sie automatisch zu einer nachgemachtenWebseite geführt, die Ihre Bankdaten ausspioniert(zum Beispiel durch einen Man-in-the-Middle-Angriff 116 ).serverbasiertes DNS-PoisoningDas serverbasierte DNS-Poisoning ähnelt der erstenVariante, nur dass hierbei die DNS-Tabellen eineshäuslichen Netzes oder eines Zugangsproviderskorrumpiert werden. Besonders unauffälligsind Manipulationen an den den Netzkomponentenkleiner häuslicher oder betrieblicher Netze, weil siein aller Regel einmal eingerichtet, kaum überwachtund deshalb vom Anwender bald nicht mehr alsGefahrenquelle wahrgenommen werden 117 .Die Host-Tabellen großer Zugangsprovider sindzwar schon Opfer von Angriffen geworden. Bei ihnenist jedoch die Kontrolldichte höher, so dass dieManipulationen schneller bemerkt und korrigiertwerden.ziert sein und den Startvorgang zur Infiltrationnutzen können 118 .Der Zugriff auf das Internet erfolgt nicht nur dadurch,dass der Anwender seine E-Mails oder imBrowser Webseiten aufruft. Viele Programme machendas auch selbsttätig, um nach neuen Meldungen,Virensignaturen oder Programmversionennachzufragen.Solche vom PC zugelassenenNetzkontakte lassen sich prinzipiell auch von der114Unter Windows:C:\WINDOWS\system32\ drivers\etc\lmhosts;siehe auch Namensauflösung.115CF, Auflösung von DNS-Adressen, 2007116CF, The Man-in-the-Middle, Sommer 2007117CF, Umleitungen zu manipulierten Webseiten,09.12.2008118Trojaner konfiguriert Router um, Heise online13.06.2008;siehe auch CF, Malware. Betriebssystem,12.05.2008
Dieter Kochheim, <strong>Cybercrime</strong> - 35 -iframe-UmleitungHierbei werden die Suchfunktionen auf Webseitenmissbraucht, wenn sie die von ihnen vermitteltenSuchanfragen für Google zwischenspeichern. Danachist es möglich, in die Adressen auf der Ergebnisseitevon Google "iframe-Tags" einzuschmuggeln119. Iframes sind dazu eingeführt worden, um aufeiner Webseite Bereiche festzulegen, in denenfremde Dateien (zum Beispiel Werbung) eingeblendetwerden können. In Verbindung mit DNS-Adressen werden die Browser jedoch auf eine Seitegeführt, die der Angreifer bestimmt (Drive-By-Download). Dort werden dann Antivirenprogrammeoder Video-Codecs zum Download angeboten, indenen allerdings der Trojaner Zlob stecken soll(Heise online).Eine neue Variante soll statt iframes JavaScript indie Ergebnislisten injizieren 120 .gehackte WebserverDynamische Webseiten werden auf eine Abfragejeweils neu zusammen gestellt. Dadurch kann dasErscheinen von Artikeln, Werbeeinblendungen undAktualisierungen zeitlich gesteuert und angepasstwerden. Die Bestandteile der Webseite sind dabei ineiner Datenbank gespeichert (Content ManagementSystem).Wenn die Datenbank gehackt wird, kann in der neugenerierten Seite auch Schadcode eingebettet werden121 .Malware missbrauchen.Eine kriminelle Variante davon ist das DNS-Poisoning, bei dem die lokale Hostdatei manipuliertwird (siehe Kasten), um unbemerkt auf präparierteInternetseiten umzuleiten. Diese Methode ist besondersim Zusammenhang mit der Weiterentwicklungdes Phishings 122 zum Pharming 123 und beider Infiltration mit Botsoftware bekannt geworden.Die angesprochenen Manipulationsmethoden die-119Betrüger missbrauchen Suchfunktionen bekannterWebseiten, Heise Security 08.03.2008120Massenhacks von Webseiten werden zur Plage,Heise online 14.03.2008121Wieder groß angelegte Angriffe auf Web-Anwenderim Gange, Heise Security 09.01.2008;Massen-SQL-Einspeisung geht weiter, tecchannel10.05.2008122CF, Massenhacks von Webseiten werden zur Plage,14.03.2008123CF, Pharming, 2007nen dazu, entweder den Anwender auf nachgemachte Webseitenzu locken, um seine privaten Daten abzugreifen124, einen Starter für die Installation mit Malwareeinzuschleusen oder die Malware direkt in das Zielsystem einzubringen.Ein Beispiel für das serverbasierte DNS-Poisoning wurde 2008 bekannt 125 , wobei einDSL-Router auf einen vorgegaukelten DHCP-Server 126 im lokalen Netz umgeleitet wird, derseinerseits mit einem externen DNS-Server verbindet127 .A.2 11. Angriffe gegen Webserver und CMSBeim Cross-Site-Scripting werden in den Codeder Originalseite im Internet korrumpierte Teileeingesetzt, die den Kunden unbemerkt zu einermanipulierten Seite führen.Das gilt besonders für die iframe-Umleitung. Hierbeiwerden vor allem die Suchfunktionen aufWebseiten missbraucht, wenn sie die von ihnenvermittelten Suchanfragen für Google zwischenspeichern.Danach ist es zum Beispiel möglich, indie Adressen auf der Ergebnisseite von Google"iframe-Tags" einzuschmuggeln 128 . iframes sinddazu eingeführt worden, um auf einer WebseiteBereiche festzulegen, in denen fremde Dateien(zum Beispiel Werbung) eingeblendet werdenkönnen. In Verbindung mit DNS-Adressen werdendie Browser jedoch auf eine Seite geführt, die derAngreifer bestimmt (Drive-By-Download). Dortwerden dann Antivirenprogramme oder Video--Codecs zum Download angeboten, in denen allerdingsder Trojaner Zlob stecken soll.124CF, Umleitungen zu manipulierten Webseiten,09.12.2008125CF, DNS-Poisoning, 21.11.2008;CF, Pharming, 2007126WP, Dynamic Host Configuration Protocol - DHCP127CF, Umleitungen zu manipulierten Webseiten,09.12.2008128Betrüger missbrauchen Suchfunktionen bekannterWebseiten, Heise Security 08.03.2008
Dieter Kochheim, <strong>Cybercrime</strong> - 36 -Dynamische Webseiten basieren nicht auf einzelnen,in Handarbeit erstellten Skriptdateien (wie derCyberfahnder), sondern aus aktuell aus einer Datenbankerstellten Textfragmenten (Content ManagementSystem - CMS 129 ). Hackt man die ihnenzugrunde liegende Datenbank, kann mit den manipuliertenErgebnisseiten beliebiger Schadcode verbreitetwerden 130 .A.2 12. FazitEine der wichtigsten Voraussetzungen dafür ist,motivierte und neugierigen Leute zu gewinnen,die einen wesentlichen Teil ihrer Arbeitszeit mitder eigenen Fortbildung und Recherche verbringenund genügend Zeit dazu haben, zu überlegen,abzuwägen und zu analysieren. Das Tagesgeschäftmuss dazu entsprechend beschränktsein. Die üblichen Effektivitätsanforderungen lassensich auf eine strategische <strong>Cybercrime</strong>bekämpfungnicht anwenden. Sie ist ein Wert ansich.Der Adressenschwindel dient der Desorientierungund soll die Nutzer der Telekommunikation und desInternets zu Endpunkten führen, deren Existenzund deren Funktionsweise sie nicht erwarten. Dasgilt für teure Mehrwertdienste ebenso wie für Pharmen,in denen mit nachgemachten Bankseitenoder anderen Internetdiensten eine gewohnte,aber eben falsche und gefährliche Umgebung vorgegaukeltwird.Manuel Schmitt behauptet, die Strafverfolgung anhandvon identifizierten IP-Adressen berge Fehlerund könne zur Verfolgung Unschuldiger führen 131 .Das ist Unfug 132 .Ungeachtet dessen: Die Methoden der unauffälligenEntführung haben sich immer mehr verfeinertund werden sich immer weiter perfektionieren. Dasgilt auch für die Methoden zu ihrer Abwehr, die diefrüheren Abzockmethoden verdrängt haben. Dasalte Igel-und-Hase-Spiel wird sich hingegen fortsetzenund die kriminellen Abzocker werden uns immerwieder Überraschungen bereiten.Kann man ihnen begegnen?Ich glaube, dass die Strafverfolgung Schritthaltenkann mit den Gedankenwelten und der Phantasieder modernen Abzocker und Kriminellen, wenn siedie <strong>Cybercrime</strong> ernst nimmt und ihr die nötigenRessourcen zur Verfügung gestellt werden 133 .129Content Management System - CMS130Wieder groß angelegte Angriffe auf Web-Anwenderim Gange, Heise Security 09.01.2008131Manuel Schmitt, IP-Adressen nur mit sicheremRouting eindeutig, Heise online 13.05.2010132CF, IP-Adressen ohne Beweiswert, 16.05.2010133CF, Straftaten mit der Informations- undKommunikationstechnik, 09.03.2010
Dieter Kochheim, <strong>Cybercrime</strong> - 37 -A.3 Malware 134Die Methoden für das Ausspähen von Daten unddie Infiltration mit schädlicher Software - zusammengefasst: Malware 135 - betreffen alle Verarbeitungsprozesse,die von einem PC ausgeführt werden.Immer geht es darum, mit automatischen Prozessenin die Prozessverarbeitung des PCs zu gelangen,um den "Rechner" für fremde Zwecke zumissbrauchen. Darin unterscheidet sie sich vondem Hacking 136 , bei dem der Angriff unmittelbarvon einem Menschen gesteuert wird.Die Infiltrationsmethoden für die Malware habensich im Zeitverlauf gewandelt. Ihre älteste Form istder Virus 137 , also ein kleines Programm, das sichin eine Trägerdatei hineinkopiert und mit ihr zusammenausgeführt wird (passive Aktivierung).Würmer 138 sind hingegen selbständige Programmdateien,die aktive Umgebungen ausnutzen, umausgeführt zu werden. Das kann dadurch geschehen,dass sie als Anhänge zu E-Mails übermitteltwerden oder in andere Dokumente eingebettetsind, die aktive Elemente enthalten, die vom Systemautomatisch geladen werden (activeX 139 , Java140; Office-Programme 141 , Multimedia-Player 142 ,PDF 143 und andere Anwenderprogramme 144 ).Eine andere Strategie verfolgen IP-Würmer 145 , dieNetzadressen automatisch absuchen und in fremdeSysteme eindringen, indem sie Sicherheitslückenbeim Netzzugang ausnutzen.Eine genaue Grenzziehung zwischen den drei Angriffsstrategienist nicht immer möglich, weil esdurchaus Mischformen und Varianten gibt. So ver-134Die Urfassung dieses Aufsatzes stammt vom12.05.2008.135WP, Schadprogramm136WP, Hacker137WP, Computervirus138WP, Computerwurm139WP, ActiveX140WP, Java (Programmiersprache)141WP, Office-Paket142WP, Mediaplayer143WP, Portable Document Format144WP, Anwendungssoftware145CF, IP-Würmer, 2007eint der Trojaner 146 eine nützliche Anwendung mitschädlichen Aktivitäten, die er im Geheimen ausführt.A.3 1. Tarnung und TäuschungDie Malware kennt nur zwei Übertragungstechniken:Datenträger oder Netzverbindung 147 . Bei derNetzverbindung sind drei grundlegend unterschiedlicheMethoden möglich: Die Malware bedient sich eines Trägers, indemsie sich als Anlage 148 an eine E-Mail hängt(Wurm) oder ein Bestandteil eines ansonsten ungefährlichoder gar nützlich wirkenden Programmsist (Trojaner). Sie attackiert von außen die Sicherheitseinstellungendes angegriffenen Systems und nutzt anschließendandere Sicherheitslücken aus, umsich einzunisten (IP-Wurm). Sie verbirgt sich in harmlos wirkenden Scriptcodes.Dabei kann es sich um nachgemachte Homebanking-Seiten,um Links in E-Mails, Forenoder Webseiten handeln oder um unbemerkt startendeRoutinen (Code Injection 149 ; Peer-to-Peer150, Download 151 ).Wegen der Infektionsstrategie verwendet die Malwarealle Spielarten des Versteckens (Trojaner),des selbständigen Angriffs und des Übertölpelns.Beim selbständigen Angriff werden technischeFunktionen genutzt, die den Missbrauch aufgrundvon Sicherheitslücken oder unbedarften Systemeinstellungenermöglichen.Auch die Methoden der Täuschung sind vielfältig( Social Engineering). Sie reichen vom Plagiat(nachgemachte Webseiten, Pharming 152 ), über146WP, Trojanisches Pferd (Computerprogramm)147Gemeint sind kabelgebundene und drahtloseNetze. Selten sind unmittelbare Manipulationen amComputer (Keylogger, Hardwareinstallation oderAusführung eines Programmes am angegriffenenRechner).148WP, Dateianhänge149Siehe unten.150WP, Peer-to-Peer - P2P151WP, Herunterladen152CF, Massenhacks von Webseiten werden zur
Dieter Kochheim, <strong>Cybercrime</strong> - 38 -aufreizende Angebote ("Frau in Deiner Nähe suchtGelegenheit zum Seitensprung") und andere Formender Gier (Finanzagenten 153 , Nigeria-Connection 154 ) bis hin zur Maskerade (Bestellbestätigung155 , Rechnung 156 , Kontobelastung 157 ,"Betti meldet sich").Daneben kommen technische Tricks zur Tarnungzum Einsatz. Die installierte Malware verändert ihrErscheinungsbild, wechselt ihren Standort (Stealth-Viren 158 ) oder setzt den Virenscanner außer Betrieb(Retro-Viren 159 ). Mit den Zombie-Programmenzur Botnetzsteuerung 160 wurden schließlichauf breiter Ebene Malwareversionen eingesetzt,die modular 161 aufgebaut sind. Für die Infiltrationwird nur ein Grundmodul benötigt, das sich einnistet,tarnt, eine Verbindung zum Netz schafft (Backdoor162 , Rootkit 163 ) und schließlich einen FTP-Server 164 installiert. Mit ihm können beliebige Bestandteilenachgeladen und installiert werden, sodass die Malware für jeden Zweck umgerüstet werdenkann.Für die Zukunft ist abzusehen, dass die Malwareihre Grundkomponenten in die Speicherchips 165von Hardwareelementen 166 (Grafikkarte 167 , TV-Karte 168 , Switch 169 , DSL-Router 170 ) kopiert, wo sievon Virenscannern unbemerkt bleibt und sich auchPlage, 14.03.2008153CF, Finanzagenten, 2007154CF, Evergreen: Vorschussbetrug nach Nigeria-Art,17.03.2008155CF, gemeiner Versuch: Zahlungsbestätigung,21.03.2008156CF, Abzocke mit KATI, 15.04.2008157CF, Testbelastung, 11.09.2007158WP, Stealth-Viren159WP, Retro-Viren160CF, zentrale Steuerung, Sommer 2007161CF, Anatomie des Sturm-Wurms, 06.03.2008162WP, Backdoor163WP, Rootkit164WP, File Transfer Protocol - FTP165WP, Integrierter Schaltkreis166CF, Angriffsobjekt PC, 2007 (Auseinandersetzung mitder Onlinedurchsuchung).167WP, Grafikkarte168WP, TV-Karte169WP, Switch (Computertechnik)170CF, Angriffe auf DSL-Router, 23.01.2008dann neu installieren kann, wenn eine Festplatteformatiert und ein Betriebssystem neu installiertwird.Eingabemaske für den Einbau von Malwarein PDF-Dokumente 171A.3 2. Massenware und gezielte SpionageMalware ist Massenware. Sie ist auf den breitflächigenEinsatz ausgerichtet und von ihm abhängig.Deshalb werden auch vorwiegend die amMarkt erfolgreichen Betriebssysteme von Malwareangegriffen. Wenn sie irgendeine Schwachstellehaben, dann können sie sehr schnell in großerAnzahl kompromittiert werden, allein weil sie einegroße Verbreitung haben.Die Betriebssysteme von Microsoft werden nichtdeshalb immer wieder als Opfer von Malware-Kampagnen bekannt, weil sie besonders schlechtwären, sondern weil sie sich auf fast jedem privatenRechner befinden. Neuerdings vermehrensich aber die Meldungen, die von Angriffen auf Linux-und MacIntosh-Systeme berichten.Linux 172 basiert auf der Kommandosprache desklassischen UNIX 173 und ist besonders begehrtfür den Betrieb von Datenbank- und Webservernsowie für die Steuerung von Firewalls, Switcheund andere "intelligente" Netzwerkkomponenten.MacIntosh (Apple) 174 war ganz lange Zeit führendbei der grafischen Benutzerführung, führte als171F-Secure, Creating Malicous PDF Files,02.06.2008; Angriffe über präparierte PDF-Dateienwerden ausgefeilter, Heise online 03.06.2008172WP, Linux173WP, UNIX174WP, Apple Macintosh
Dieter Kochheim, <strong>Cybercrime</strong> - 39 -her 177 . Ihnen folgten die Botnetzer 178 und diemehr im Handwerk verwurzelten, aber sehrschadensträchtigen Skimmer 179 .die pandemische Ausbreitung von Malwareerstes Betriebssystem die Steuerung mit der Computermausein, war beliebt bei den Medienschaffenden,weil es besonders gut die Grafikbearbeitungund die Herstellung von Druck- und Layoutvorlagen(Desktop Publishing 175 ) unterstützte, undblieb ein Nischenprodukt für die Anwender, die etwasmehr für eine nicht mehr ganz aktuelle Technikauszugeben bereit waren.Mit dem iPhone und anderen Produkten drängtApple jetzt auf den breiteren Konsumentenmarkt.Deshalb werden seine Geräte auch verstärkt zumOpfer von Malware.Die Entwicklung und Verbreitung von Malware istHacking nach der Methode des Gießkannenprinzips.Wie beim Spamming gilt: Es ist egal, wen estrifft. Hauptsache ist, dass es trifft.Den "Malworkern" ist die Identität des Opfers, seineKonfession, seine weltanschaulichen Vorstellungenim Übrigen und sein Einkommen völligegal. Wenn sich sein Bankkonto für illegale Transaktionenausnutzen, sein Kundenkonto für den Absatzvon Hehlerware missbrauchen oder sein PCals Zombie für ein Botnetz korrumpieren lässt,dann schlagen sie ungeachtet der geschädigtenPerson und bedenkenlos zu.Am Anfang waren die Spammer 176 , die wenigstensnoch legale Standbeine im Direktmarketing und imAdressenhandel hatten. Die ersten nur-kriminellausgerichteten Softwareentwickler waren die Phis-175WP, Desktop-Publishing - DTP176CF, Zusammenarbeit der Szenen, 2007Daneben ist eine professionelle Szene entstanden,die sich dem gezielten Angriff auf Unternehmenund Einzelpersonen widmet. Sie lässt sichteuer für Malware und Aufträge bezahlen, die zurIndustriespionage 180 , zur Ausforschung geheimerInformationen oder zum Abhören prominenterPersonen eingesetzt werden. Das funktioniertmeistens nur mit einer gehörigen Portion SocialEngineering.Beide Erscheinungsformen der massenhaftenund der individuellen Penetration werden uns weiterbegleiten und beschäftigen.A.3 3. CrimewareDer Begriff Crimeware 181 taucht seit 2006 verstärktim Internet auf und umfasst alle Formenschädlicher Software, die für kriminelle Zweckemissbraucht werden.Während bei Malware häufig das „nicht wirtschaftlich“motivierte Verursachen von digitalenSchäden an Computern im Vordergrund steht,wird Crimeware ausschließlich entwickelt undverbreitet, um damit Geld durch kriminelle Aktivitätenzu verdienen 182 .Der Begriff ist gut gewählt, weil er alle schädlichenProgramme, die bislang als Malware bezeichnetwurden (Viren, Würmer, Trojaner, Spyware183 ), erweitert auf alle Formen, die zum Angriffauf sensible Daten und die Privatsphäre verwendetwerden.177CF, Phishing, 2007178CF, Botnetze, Sommer 2007179CF, arbeitsteiliges Skimming, 18.05.2008180CF, erhebliche Schäden durch Industriespionage,11.03.2008181CF, Angriffe mit Crimeware, 2007182WP, Crimeware183WP, Spyware
Dieter Kochheim, <strong>Cybercrime</strong> - 40 -A.3 4. AngriffsmethodenA.3 4.1 BootvorgangDer Start eines PCs ist ein meist vollständig automatisierterVorgang 184 , der von Malware dazu genutztwerden kann, dass ihre Komponenten, die imSystem nach der Infektion schlummern, tatsächlichauch installiert und aktiviert werden.Die älteste Methode ist die, dass Datenträger verseuchtwerden, um beim Start des Systems dieMalware zu installieren 185 . Hierzu kann jeder Datenträgermissbraucht werden, ob Festplatte, Diskette,CD-ROM oder USB-Stick, wenn es gelingt,die Malware in den Bootsektor 186 des Datenträgerszu schreiben, der immer zuerst ausgeführt wird.Die hier platzierte Malware muss nur ein einzigesKommando enthalten, das die an anderer Stellegespeicherten oder aus dem Netz abgefordertenProgrammteile lädt.Auf den Bootsektor greifen das BIOS 187 , das dieHardware betriebsbereit macht, und das Betriebssystem188 zu, das die Arbeitsumgebung für dieProgramme herstellt. Das BIOS enthält in einemSpeicherchip "fest verdrahtete" Bestandteile, dieals solche nicht manipuliert werden können. Danebenverfügt es jedoch auch über programmierbareTeile, die missbraucht und mit Malware überschriebenwerden können. Das heißt, dass die Malwareauch das BIOS infizieren kann, was von modernenSystemen weitgehend unterbunden wird (aberprinzipiell nicht ausgeschlossen ist).Überwachungs-Hardware, die nicht nur Datenströmekopiert (Keylogger 189 ), muss vom BIOS aktiviertwerden. Dazu bedarf es entweder einer spezifischenAnmeldung dieses Geräts oder die Nutzungeiner Sowieso-Schnittstelle. Dafür bietet sichganz besonders die USB-Schnittstelle 190 an, dieinzwischen durchgängig von allen Peripheriegerätenund Spielereien genutzt wird. Der USB liefert184WP, Booten185WP, Bootvirus186WP, Master Boot Record187WP, Basic Input Output System - BIOS188WP, Betriebssystem (Operation System - OS)189WP, Keylogger190WP, Universal Serial Bus - USBBetriebsstrom und transportiert Daten in beideRichtungen. Über ihn lassen sich die PCs auchsteuern und booten. Er ist die optimale Schnittstellefür Missbräuche und lässt sich auch nichtabschalten, weil er für andere nützliche Anwendungengebraucht wird (Tastatur, Maus, Drucker,Scanner, externe Festplatte, Speicherstick, digitaleKamera ...).A.3 4.2 BetriebssystemNachdem das BIOS die physikalische Umgebungdes PCs aktiviert hat, gestaltet das Betriebssystemdie Umgebung für die Programme, die zumEinsatz kommen sollen.Um die Besonderheiten jedes einzelnen Systemsberücksichtigen zu können, greift das Betriebssystemdabei auf Systemtabellen und ausführbareSkripte zurück, die ebenfalls infiltriert sein können.Wie gesagt: Ein einziges böswilliges Kommandoreicht!Klassisch für DOS (Microsoft) 191 sind das die Dateienconfig.sys 192 und autoexec.bat 193 . UnterUNIX 194 übernimmt diese Aufgaben u.a. dieCrontab 195 . Seit der Einführung von Windows 98werden die Konfigurationsdaten in eine dafür vorgeseheneDatenbank geschrieben, die Registry196. Alle Manipulationen an diesen Konfigurationsdateienführen dazu, dass während des Startsdes Betriebssystems Malware installiert werdenkann.Mit dem Betriebssystem werden auch andereProgramme auf Vorrat geladen. Das verzögertzwar den Systemstart, beschleunigt jedoch dielaufende Arbeit am PC.Zu diesen Programmen gehören vor Allem die Firewallund der Virenscanner, das können aberauch Büroanwendungen und E-Mail-Browser sein(Outlook 197 wird häufig beim Startvorgang aufge-191WP, Microsoft Disk Operating System192WP, Config.sys193WP, Autoexec.bat194WP, Unix195WP, Cron196WP, Windows-Registrierungsdatenbank197WP, Outlook
Dieter Kochheim, <strong>Cybercrime</strong> - 41 -rufen). Verantwortlich dafür sind in erster Linie diePfadeintragungen in der Registry, die für Autostart-Programme vorgesehen sind, oder die Programme,die sich in dem Autostart-Verzeichnis befinden.Beide werden von modernen Betriebssystemen imVerein mit Firewalls und Virenscannern argwöhnischüberwacht. Das bedeutet aber nicht, dass dieInfektion dadurch ausgeschlossen ist. Gut getarnteMalware setzt auf andere, als gutwillig eingestufteProgramme auf und schleicht sich damit ein. Dazueignen sich besonders auch die "gutwilligen" Programmbibliotheken(DLL-Injection 198 ), die die Objekteund andere Umgebungsvariablen verwalten,auf die die Anwenderprogramme dann zurück greifen.Beim Systemstart wird meistens auch die Netzverbindunggeprüft, indem der PC mit dem nächstenNetzknoten 199 Kontakt aufnimmt (Router 200 , Switch201, Wireless LAN 202 ). Dadurch wird das Systemnach außen geöffnet. Bei den genannten Gerätenhandelt es sich selber um "intelligente" informationsverarbeitendeSysteme 203 , die ihrerseits infiziertsein und den Startvorgang zur Infiltration nutzenkönnen 204 .Der Zugriff auf das Internet erfolgt nicht nur dadurch,dass der Anwender seine E-Mails oder imBrowser Webseiten aufruft. Viele Programme machendas auch selbsttätig, um nach neuen Meldungen,Virensignaturen oder Programmversionennachzufragen. Solche vom PC zugelassenen Netzkontaktelassen sich prinzipiell auch von der Malwaremissbrauchen.Eine Variante davon ist das DNS-Poisoning 205 , beidem die lokale Hostdatei manipuliert wird, um unbemerktauf präparierte Internetseiten umzuleiten.Diese Methode ist besonders im Zusammenhang198WP, DLL-Injection199CF, Angriffe aus dem Netz, 2007200WP, Router201WP, Switch (Computertechnik)202WP, Wireless Local Area Network - WLAN203CF, Telefonanlage, Server, 2007204Trojaner konfiguriert Router um, Heise online13.06.2008205CF, Massenhacks von Webseiten werden zur Plage,14.03.2008mit dem Phishing und der Infiltration mit Botsoftwarebekannt geworden.A.3 4.3 SystemstartDie zentralen technischen Komponenten des PCssind der Prozessor 206 , der eigentliche "Rechner",der Arbeitsspeicher 207 (auch Hauptspeicher)und der Massenspeicher 208 (Festplatte).Der Prozessor wird für die datentechnischen Verarbeitungsvorgängebenötigt. Er führt den Programmcodeaus, liest Daten, verarbeitet sie, leitetsie zu anderen Schnittstellen, z.B. zum Bildschirm,und speichert Dateien ab. Zur Beschleunigungseiner Arbeitsoperationen verfügt er immerhäufiger über eigenen Cachespeicher (Zwischenspeicher),der sich auch für eine Infiltrationeignet 209 .Anders ist das beim Arbeitsspeicher. Beim Pufferüberlauf210 (buffer overflow) werden gezielt bestimmteSpeicheradressen angesprochen, um derenKapazität zu überlasten. Dabei kommt es zum"Überlauf", indem die angelieferten Daten zu anderenAdressbereichen verlagert werden. Dasführt meistens zum Systemabsturz, kann aberauch dazu genutzt werden, Malwarecode einzuschleusen.Anspruchsvolle technische Erweiterungen sindhäufig wie ein selbständiger PC im PC konstruiert.Das gilt vor Allem für hochwertige Grafik- undVideokarten, die über eigene Prozessoren und Arbeitsspeicherverfügen und damit das System imÜbrigen entlasten.Je verbreiteter solche Karten sind, desto attraktiverwerden sie für die Malware, um böswilligeVerarbeitungsprozesse, die im Hauptsystem zuauffällig wären, hierhin zu verlagern.Dasselbe Vorgehen ist auch bei vernetzten Syste-206WP, Prozessor (Hardware)207WP, Arbeitsspeicher208WP, Massenspeicher209Hacker finden einen neuen Platz, um rootkits zuverbergen, tecchannel 10.05.2008210WP, Pufferüberlauf
Dieter Kochheim, <strong>Cybercrime</strong> - 42 -men möglich. Beim verteilten Rechnen 211 werdendie Verarbeitungsvorgänge zu ihrer Beschleunigungauf verschiedene Systeme und ihre Ergebnissezentral zusammen geführt 212 . Ohne dieseTechnik wären Google und andere große Netzanwendungennicht denkbar.Sie kann von der Malware - vor Allem in Botnetzen,die über eine Vielzahl von Rechnern verfügen -dazu genutzt werden, den gezielt angegriffenenRechner nur mit geringfügigen Lese- und Schreibprozessenzu belasten und die kapazitätsintensivenund auffälligen Prozesse auf andere Rechnerzu verteilen (Brute-Force-Methode 213 zumCracking 214 ).A.3 4.4 laufender BetriebNeben dem direkten Eingriff auf Systemkomponentenversucht vor Allem die klassische Malwaresich in laufende Verarbeitungsprozesse einzuschleichen.Das geschieht beim Bootvorgangebenso wie beim laufenden Betrieb.Anfällig dafür sind solche Programme, die im Hintergrundlaufen und die Arbeit mit dem PC erleichternsollen. Besonders bekannt geworden sind insoweitdie E-Mail-Browser, die die Anhänge von E-Mails 215 automatisch ausführen. Moderne Programmeverhindern das und untersuchen die Anhängezugleich auf schädliche Inhalte. Die Malworkersind deshalb dazu übergegangen, dem AnwenderVersprechungen zu machen, um ihn zumunbedarften Programmstart zu bewegen.Aber auch andere Anwenderprogramme sind anfällig.Das Office-Paket von Microsoft 216 stellt mit VisualBasic for Applications - VBA 217 - eine Umgebungfür selbst ausführende Makros 218 zur Verfügung,die auch mit schädlichem Code bestückt211WP, Verteiltes Rechnen212Siehe: CF, Passwort vergessen? Cloud hilft!19.12.2009213WP, Brute-Force-Methode214WP, Cracker (Computersicherheit)215WP, Dateianhänge216WP, Microsoft Office217WP, Visual Basic for Applications - VBA218WP, Makrosein können und mit Word-Dokumenten 219 ,Excel-Tabellen 220 oder Powerpoint-Präsentationen 221 verbreitet werden.Inzwischen wird auch von infizierten PDF-Dokumenten 222 (Adobe 223 ) berichtet 224 , die alsLaufzeitumgebung nach Java (for Applications 225 )verlangen. Dasselbe gilt für den FlashPlayer 226von Adobe 227 .Hinter der Makrosprache VBA stecken Programmmodule,die unter ActiveX 228 zusammengefasst werden und die Datenverarbeitung unterstützen.Das gilt besonders für grafiklastige Anwendungen,z.B. für Computerspiele.Besonders Trojaner, aber auch andere selbstablaufendeProgramme (mit .exe und anderenExtensionen) nutzen hingegen die Kommandoumgebung,die das Betriebssystem zur Verfügungstellt.Daneben dienen, wie schon gesagt, exotischeAbspielprogramme für Musik und Videos sowieals besondere Software für geschlossene Anwenderkreisebeworbene Programme zum Transportvon Malware. Dies gilt besonders für instinktorientierteOnline-Angebote 229 und Warez-Seiten 230 .219WP, Microsoft Word220WP, Microsoft Excel221WP, Microsoft PowerPoint222WP, Portable Document Format - PDF223WP, Adobe Systems224Angriffe über präparierte PDF-Dateien werdenausgefeilter, Heise online 03.06.2008225WP, Java (Programmiersprache)226WP, Adobe Flash227Kritische Schwachstelle im Flash Player wird aktivausgenutzt, Heise online 28.05.2008228WP, ActiveX229CF, instinktorientierte Online-Angebote, 23.01.2008230WP, Warez
Dieter Kochheim, <strong>Cybercrime</strong> - 43 -A.3 4.5 onlineDer Anwender, der eine fremde Webseite aufruft,gibt dabei einige Basisdaten über sich preis. Dasist zunächst die nummerische Internetadresse, mitder er sich bewegt und die ihm in aller Regel vonseinem Zugangsprovider vorübergehend (dynamisch)zugewiesen wird. Daneben offenbart erauch den Typ seines Webbrowsers und seinen"Referrer" 231 , wenn er etwa eine Suchmaschineoder eine Linksammlung genutzt hat.Auch die auf seinem System vorhandenen Cookiessind lesbar, wenn sie vom Zielserver angefordertwerden, und können weitere personenbezogeneDaten enthalten. Das gilt besonders für die HTTP-Cookies 232 , die vom Webbrowser gespeichert undübermittelt werden.Diese relativ allgemeinen Informationen sind nichtbesonders gefährlich und bieten nur wenige Angriffspunkte.Sie offenbaren allerdings die persönlichenNeigungen und Eigenschaften des Anwenders,die zum Social Engineering missbrauchtwerden können.Wegen der im Browser gespeicherten Zugangsdatenfür das Homebanking oder Shopping im Internetsieht das schon anders aus. Sie können zwarnicht unmittelbar ausgelesen werden, wohl aber,wenn es dem Angreifer gelingt, den PC mit Malwarezu infiltrieren.Die dazu verwendeten Methoden wurden bereitsangesprochen. Es handelt sich um das DNS-Poisoning 233 , bei dem die interne Host-Datei soumgeschrieben wird, dass der Browser zu einernachgemachten und präparierten Seite geführtwird, die iframe-Umleitung 234 und das Hacking vonDatenbanken für die Bestückung dynamischerWebseiten (SQL-Injection 235 ).Die aufgerufene Webseite kann zudem so präpariertsein, dass sie unter Ausnutzung von Schwachstellenim Browser eigene Aktivitäten ausführt. Diedazu verwendeten Kommandos können sowohl im231WP, Referrer232WP, HTTP-Cookie233Siehe oben.234Siehe oben.235WP, SQL-InjectionQuellcode der Seite (vor Allem Java-Script 236 )oder in einem plötzlich erscheinendenWerbefenster (Pop-up 237 ) eingebunden sein.Dasselbe gilt für iFrames 238 , die häufig fürWerbeeinblendungen von fremden Seitenverwendet werden und deshalb auch zurEinschleusung von Schadcode missbrauchtwerden können.Diese aktiven Funktionen können dann zu einemDrive-by-Download 239 führen, bei dem alleinschon das Aufrufen der Seite dazu reicht, dassdie Malware unbemerkt zum Anwender übermitteltwird.Besondere Vorsicht ist geboten, wenn die Websiteein Plug-in 240 zum Download anbietet, das angeblichfür irgendwelche besondere Dienste notwendigsei. Damit soll in aller Regel der Browsermanipuliert und die Malware direkt installiert werden.Ganz ähnlich funktioniert die Verbreitung überPeer-to-Peer-Netzwerke 241 (Tauschbörsen 242 ),wobei der Download nicht von einem Webserver,sondern von einem Partner erfolgt.Ganz unbemerkt kann ein Angreifer dann die Malwareeinsetzen, wenn bereits eine "Hintertür"(Backdoor 243 ) besteht, die entweder mit einemRootkit 244 oder bereits herstellerseits eingerichtetwurde (Fernwartung 245 ). Besonders gefürchtetsind insoweit Telefonanlagen 246 , die häufig einedirekte Verbindung zum informationsverarbeitendenSystem haben und das besonders dann,wenn Voice-over-IP 247 - VoIP - genutzt wird (Internettelefonie).236WP, JavaScript237WP, Pop-up238WP, Inlineframe239WP, Drive-by-Download240WP, Plug-in241WP, Peer-to-Peer242WP, Tauschbörse243WP, Backdoor244WP, Rootkit245WP, Fernwartung246CF, Telefonanlagen247WP, IP-Telefonie
Dieter Kochheim, <strong>Cybercrime</strong> - 44 -Zur Vertiefung ist auf Bachfeld zu verweisen 248 . Mitfachlicher Tiefe beschäftigt er sich in der Zeitschriftc't mit den aktuellen Gefahren aus dem Netz undbeschreibt er die Techniken im Zusammenhang mitinfizierten Webseiten. Dazu geht er zunächst aufdas Cross-Site-Scripting 249 am Beispiel des XSS-Wurms ein, wobei mit Hilfe von eingeschleustenKommandofolgen (JavaScript) versucht wird, diesezusammen mit ungeschützten Systemfunktionenauszuführen. Anschließend beschreibt er Angriffeauf DSL-Router und Webseiten mit dem Cross SiteRequest Forgery – CSRF 250 , wobei die schädlichenKommandoanweisungen zusammen mit einemLink übertragen werden 251 . Es folgen Ausführungenzum DNS-Poisoning 252 , dessen ServervarianteBachfeld als DNS-Rebinding vorstellt, und zuIFrames 253 .Abschließend stellt Bachfeld die Same Origin Policy- SOP 254 - vor, die danach verlangt, dass dasaufrufende Kommando aus derselben Quelle stammenmuss wie das damit ausgeführte Programm.Die SOP verhindert damit viele Formen der vorgestelltenAngriffe, nicht aber zum Beispiel das Nachladenvon Grafiken in IFrames.A.3 5. AbwehrGegen die technisch ausgerichteten Angriffe helfenvor Allem die ständige Aktualisierung der eingesetztenProgramme, der Einsatz einer Firewall(zum Absichern benutzter und Schließen ungenutzterZugangswege) und eines Virenscanners,der kontinuierlich den Onlineverkehr und die Prozessverarbeitungüberwacht.konto ohne Administratorenrechte ein. DieInstallation von Programmen und Malware ohneIhr Zutun wird dadurch ausgeschlossen.Wenn Sie außerdem keine Zugangsdaten (undbesonders keine TANs) im System speichern undbei verlockenden Diensten erst nachdenken unddann handeln, kann Ihnen fast nichts mehrpassieren 255 .A.3 6. FazitMalworker versuchen, persönliche Datenauszuforschen und zu missbrauchen oder denPC für andere Böswilligkeiten 256 zu verwenden.Sowohl ihre technischen Methoden wie auch ihreÜberredungskünste haben sie immer mehrverfeinert, um fremde Systeme infiltrieren undihre Malware installieren zu können.Dazu werden entweder präparierte Datenträgeroder Netzverbindungen verwendet. Wegen derNetzverbindungen kommen alle Dienste in Betracht,die das Internet und das digitale Telefonbieten.Malware soll den Missbrauch unterstützen und istdeshalb wegen ihrer zerstörerischen Eigenschaftenzurückhaltend. Manchmal kommt es jedochzu dummen Zufällen 257 .Es mag sie gegeben haben, die Spielkälber unterden Hackern und Malware-Entwicklern, die nur ihrenSpaß haben wollten und wenig Schaden anrichteten.Die moderne Malware ist jedoch professionellesWerkzeug, um Straftaten zu begehen.Daneben ist das Nutzungsverhalten besonderswichtig. Richten Sie unter Windows ein Benutzer-248Dirk Bachfeld, Dunkle Flecken. Neuartige Angriffeüberrumpeln Webanwender, c't 11/2008, S. 82;siehe auch CF, gewandelte Angriffe aus dem Netz,29.11.2008.249WP, Cross-Site Scripting250WP, Cross-Site Request Forgery251Siehe auch CF, Nummerntricks. Adressierung imInternetprotokoll, 21.11.2008252CF, DNS-Poisoning, 21.11.2008253CF, Angriffe gegen Webserver, 21.11.2008254WP, Same Origin Policy - SOP255Wegen der weiteren Einzelheiten siehe A.1.256CF, verteilter Angriff, 2007257CF, alte Praktiken im neuen Gewand, 2007
Dieter Kochheim, <strong>Cybercrime</strong> - 45 -A.4 Identitätsdiebstahl und Phishing 258Die Einsätze von Malware 259 und des Social Engineerings260 waren lange davon geprägt, dass siezerstörerischen Zwecken dienten 261 . Das hat sichin den letzten Jahren geändert 262 . Digitale Angriffewerden fast nur noch mit dem Ziel durchgeführt,kriminellen Gewinn zu machen, und das heißt in allerRegel, Konto- und andere persönliche oder gewerblicheDaten auszuspähen, um sie zur Erpressungoder zum Missbrauch zu verkaufen oderselber zu verwenden.A.4 1. IdentitätsdiebstahlDer Identitätsdiebstahl 263 ist das Ausspähen persönlicher(Echt-) Daten mit dem Ziel, mit ihnen Zugangzu fremden Online-Konten zu bekommen, ummit den fremden Daten Leistungen zu erlangen,Geschäfte abzuschließen, die zulasten des Kontoinhabersgebucht werden, oder um sich unter fremderIdentität im Internet und anderswo zu bewegen264.exklusiven Diensten und Leistungengewähren. Sie könnenbei Handelsplattformen wieAmazon oder eBay bestehen265, bei Warenhäusern, Informationsdiensten(Fachinformationen,Zeitungen, Wetterdienst),virtuellen Veranstaltungen wie SecondLife 266 oder geschlossene Spiele 267 , zu Versanddienstenwie DHL 268 und UPS 269 und schließlichzum Onlinebanking 270 und anderen Bezahldiensten271 wie PayPal 272 , E-Gold 273 und WebMoney274.In der Zeitschrift c't hat Bachfeld die Situation zutreffendbeschrieben 275 :Leider ist im Internet nichts mehr isoliert zu betrachten,alles ist irgendwie miteinander verknüpft– und das wissen die Betrüger für sich zu nutzen.Das sollte allerdings kein Grund sein, den Kopf inden Sand zu stecken und gar nicht mehr ins Internetzu gehen. ...Online-Konten in diesem Sinne sind nicht nurBankkonten, sondern alle Accounts, die Zugang zu258Die frühen Formen des Phishings werden in demersten hier veröffentlichten Arbeitspapierbeschrieben: CF, Phishing. Wie funktionieren dieInformationstechnik und das Internet? 22.01.2007.Die Erscheinungsformen des Phishings haben sichstark gewandelt und werden in diesem neuenAufsatz als besondere Ausprägung desIdentitätsdiebstahls behandelt.Die Prognosen, die ich 2007 angestellt habe, sindweitgehend eingetreten. Das „alte“ Arbeitspapier istauch deshalb noch immer von Interesse, weil eszeigt, wie Internetadresse und Header-Daten in E-Mails interpretiert werden können.Siehe auch:CF, Suchmaschinen und -techniken, 29.12.2008;CF, Auskunftsdienste im Internet, 06.12.2009;CF, eurasische Verbindungen, 06.12.2009259Siehe oben A.3.260Siehe unten B.261Siehe noch CF, neue Herausforderungen, 2007 (WP,Sasser).262Siehe auch CF, Länderstudie USA, 27.07.2008(digitaler Bürgerkrieg).263WP, Identitätsdiebstahl264François Paget, Identitätsdiebstahl, McAfee04.01.2007 (ZIP-Datei)265CF, Missbrauchsgefahren, 2007266CF, Second Slum, 15.12.2007267CF, Länderstudie China, 27.07.2008 (Real MoneyTrade - RMT)268WP, DHL269WP, United Parcel Service270CF, Sicherheit von Homebanking-Portalen,22.03.2008; CF, sicheres Homebanking,19.12.2008271CF, Internet-Finanzdienste, 2007; CF, neuartigeFinanzdienste, 2007; CF, Bezahlen im Internet,19.06.2008.272CF, PayPal-Phishing, 13.05.2009273CF, Verrechnungssysteme auf der Basis vonEdelmetallen, 2007274CF, Botnetz-Software und -Betreiber, 13.07.2008275Dirk Bachfeld, Dunkle Flecken. Neuartige Angriffeüberrumpeln Webanwender, c't 11/2008, S. 82;siehe auch CF, gewandelte Angriffe aus dem Netz,29.11.2008.
Dieter Kochheim, <strong>Cybercrime</strong> - 46 -A.4 2. KontoübernahmenDie wichtigste Form des Identitätsdiebstahls ist dieÜbernahme bestehender fremder Konten. Eine besondereBedeutung kommt dabei den Handelsplattformenmit Bewertungssystemen zu 276 . UnauffälligeKonten mit guten Bewertungen eignen sichbesonders gut zum Stoßbetrug oder zum Absatzvon Hehlerware 277 .Zunächst muss der Angreifer die Kontozugangsdatenausspähen. Dazu wendet er entweder dieüblichen Überredungsmethoden (soziale Kontakte,vorgetäuschte E-Mails, die angeblich vom Veranstalterstammen und zur Bestätigung der Zugangsdatenauffordern) oder technische Methodenan (Malware, präparierte Webseiten, Keylogger).Mit diesen Daten dringt er in das fremde Konto einund sperrt den Berechtigten dadurch aus, dass erdas Zugangskennwort ändert. Alle weiterenÄnderungen in den Kontoeinstellungen richten sichdanach, welche Ziele der Angreifer verfolgt. Geschäfte zulasten des Inhabers. In diesem Fallnutzt der Angreifer vor Allem das hinterlegte Bankkontodes Inhabers für die Bezahlung von Dienstenund Leistungen. Er lässt also die Zahlungsdatenunberührt und ändert nur die Lieferadresse, an diezum Beispiel Warensendungen gerichtet werdensollen. Nach erfolgter Lieferung wird die Lieferadressewieder gelöscht, um die Nachverfolgungzu erschweren. Betrug und Absatzgeschäfte. Wenn der Angreiferauf Handelsplattformen betrügerische Geschäfteabwickeln oder Hehlerware absetzen will, dannändert er die Kontodaten, an die die Bezahlung gerichtetwerden soll. Zu gegebener Zeit wird dasvom Angreifer eingetragene Konto wieder gelöscht,um die Nachverfolgung zu erschweren. verschleierte Zahlungsströme. Gar keine Änderungennimmt der Angreifer dann vor, wenn er einBank- oder Bezahlkonto nur zur Durchschleusungvon Zahlungen verwenden will. Er parkt den Zah-276Siehe auch CF, Identitätsdiebstahl. Mischformen,19.04.2009;CF, Plattformhaftung bei Identitätsdiebstahl,12.04.2008277CF, Entwicklungen, 01.11.2008;CF, falsche Produkte und Hehlerware, 23.02.2008.lungseingang auf dem gekaperten Konto undleitet ihn im Lastschriftverfahren weiter 278 . Daskann er auch ohne TAN oder iTAN 279 machen.Alle Formen des Identitätsdiebstahls können zubrutalen Missbräuchen genutzt werden, beidenen der Angreifer davon ausgeht, dass dasKonto alsbald verbrannt und für ihn unbrauchbarist. Er kann aber auch behutsame Missbräucheunternehmen, die kaum auffallen, weil er seineKontoeinstellungen immer wieder zurücksetzt, umsich das gekaperte Konto möglichst lange zuerhalten.Im weiteren Sinne gehört auch die Identitätsverschleierungdazu. Sie zeigt sich einerseits in derEinrichtung von neuen Konten unter fremdenEchtdaten, die besonders im Zusammenhang mitWarenbestellungen und Handelsgeschäften beobachtetwird. Andererseits können Konten auchunter erfundenen Daten eingerichtet werden, dievor Allem zur Kommunikation und zur Verbreitungvon Dateien genutzt werden. Schließlich kann esauch darum gehen, eine vollständige Tarnidentitätaufzubauen, die mit falschen Personalpapierenund einer Legende untermauert wird, zu der auchE-Mail- und andere Konten zum täglichen Bedarfund zur Kommunikation gehören. Somit erzielenauch die Daten ausgespähter E-Mail-Kontenhohe Schwarzmarktpreise 280 . Der einfachste Fallder Identitätstäuschung ist die Umgehung von Altersbeschränkungenmit fremden oder vorgetäuschtenPersonalien 281 .278CF, Einzugsermächtigung und Lastschriftverfahren,2007279CF, Sicherheit von Homebanking-Portalen,22.03.2008280CF, Schwarzmarkt, 19.12.2008;Thorsten Holz, Markus Engelberth, Felix Freiling,Learning More About the Underground Economy: ACase-Study of Keyloggers and Dropzones, UniMannheim 18.12.2008 (englisch);Keylogger unter die Lupe genommen, HeiseSecurity 18.12.2008;Kriminelle verdienen kräftig an Keyloggern,tecchannel 19.12.2008.281Vornamen und die Seriennummern vonPersonalausweisen lassen eine Abschätzung desAlters des Verwenders zu. Inzwischen gibt esProgramme, die das digitale Abbild einesPersonalausweises so darstellen, dass ein Kind alsangeblich Erwachsener durchkommt.
Dieter Kochheim, <strong>Cybercrime</strong> - 47 -A.4 3. Ziele des IdentitätsdiebstahlsAllen Zielen des Identitätsdiebstahls ist gemein,dass der Angreifer seine eigene Identität tarnt. Wegenseiner Beweggründe im Einzelfall sind sie vielfältig: Belastung von fremden Verkehrskonten bei Bankenund Leistungsanbietern. Ausnutzung des Rufes, z.B. im Zusammenhangmit den Bewertungen bei eBay. Abschluss betrügerischer Geschäfte mit Vorauszahlungendes getäuschten Käufers. Nutzung und Verschleierung des Zahlungsverkehrsüber Bankkonten und neue Bezahlsysteme. Erlangung virtueller Werte in digitalen Weltenund Online-Spielen.Bei den ersten drei Ausprägungen dürfte die strafrechtlicheBewertung verhältnismäßig einfach sein,wenn auch im Einzelfall immer Probleme zu erwartensind. Das Problem ist jedoch, dass das Internetortsungebunden ist und das deutsche Strafrecht anden nationalen Grenzen seine Wirkung verliert. Wenn „echte Menschen“ getäuscht werden unddadurch einen Vermögensnachteil erleiden, handeltes sich in aller Regel um einen Betrug gemäߧ 263 StGB. Wenn automatische Prozesse – allein schondurch die unbefugte Nutzung fremder Daten – beeinflusstwerden und dadurch fremdes Vermögenverringert wird, dürfte zumeist ein Computerbetruggemäß § 263a StGB vorliegen 282 . Die Veränderung der Kontodaten, um damitGeschäfte oder Zahlungen abzuwickeln, dürfte alsFälschung beweiserheblicher Daten im Sinne von§ 269 StGB zu behandeln sein 283 . Allein schon die Aussperrung des berechtigtenInhabers durch Veränderung des Zugangspasswortswürde ich als Datenveränderung und Computersabotagegemäß §§ 303a und 303b StGB ansehen284 .282CF, Computerbetrug, 2007283CF, Fälschung beweiserheblicher Daten, 2007284CF, Computersabotage, 2007.Zu berücksichtigen ist die gesetzliche Definition in §Wegen der Verschleierung des Zahlungsverkehrsist ebenfalls § 269 StGB zu prüfen. Es handeltsich um ein Urkundsdelikt, so dass es dann bedeutsamist, wenn die Identitätsmerkmale desKontonutzers verschleiert werden. Außerdemkommt § 303a StGB (Datenveränderung) schondann in Betracht, wenn die Daten des berechtigtenInhabers verändert werden.§ 269 StGB kennt zwei Tathandlungen der Datenmanipulation,nämlich das Speichern und dasVerändern, wodurch sowohl die Manipulationstationärer Daten, die bereits gespeichert sind,der Verarbeitungsvorgang, nach dem die Datenschließlich gespeichert werden, als auch an denDaten umfasst ist, die nach ihrer Veränderung aneine andere Stelle übermittelt werden. Hierbei istzu prüfen, ob die verfälschten Daten Einfluss auf eine Rechtsbeziehung haben, vonder mindestens bei einem Beteiligten Rechte oderPflichten berührt werden, sich auf einen konkreten Aussteller beziehen,der mithilfe der Daten seine Rechtsbeziehungengestaltet, und in einer Rechtsbeziehung Beweis für eineTatsache erbringen sollen.Mindestens vier wichtige Anwendungsfälle sindvon der Rechtspraxis als strafbare Fälschung beweiserheblicherDaten anerkannt worden: Manipulation des Guthabens auf einer Guthabenkarte285 , nachgemachte E-Mails, die zum Beispiel denAnschein erwecken, von einer Bank zu stammen(Phishing), nachgemachte Websites, die ebenfalls den Anscheinvermitteln sollen, sie würden von einer202a Abs. 2 StGB. Die Daten müssen entwederphysikalisch gespeichert sein, dann können sieausgespäht werden (§ 202a Abs. 1 StGB), oder siemüssen übermittelt werden, dann greift dasAbfangen von Daten (§ 202b StGB). Nicht erfasstsind jedenfalls die unmittelbaren Dateneingaben miteiner Tastatur oder anderen physikalischenSchnittstellen (Tablet, Scanner).285CF, "Nachladen" von Guthabenkarten, 2007(Telefonkarte);BGH, Beschluss vom 13.05.2003 - 3 StR 128/03.
Dieter Kochheim, <strong>Cybercrime</strong> - 48 -Bank oder einem anderen Anbieter stammen und Auftreten unter fremdem Namen (Identitätsdiebstahlim engeren Sinne) 286 .Wenn es um den Absatz gestohlener, ertrogeneroder anderweitig rechtswidrig erlangter Warengeht, ist wegen des Helfers (Finanz- und andereAgenten) Hehlerei zu prüfen (§ 259 StGB). Soweites um die Sicherung rechtswidrig erlangter Forderungengeht (Bankguthaben oder andere Forderungen,die nicht körperlich sind), kommt auchGeldwäsche in Betracht (§ 261 StGB). Die Verschiebungvon gestohlenen Daten, die man Datenhehlereinennen würde, ist für sich allein nichtstrafbar 287 .A.4 4. virtuelle KriminalitätFür den „Diebstahl“ virtueller Werte in digitalenWelten und Online-Spielen gibt es vereinzelte Beispiele.Sie betreffen den Ausschluss von Mitspielern,die gemeinsam ein Raumschiff für einevirtuelle Umgebung konstruiert haben 288 , denDiebstahl von kostenpflichtigen Möbeln aus einervirtuellen Hotelsuite 289 , Ausstattungsgegenständefür virtuelle Spiele 290 und von Spielgeld, das dortzum Einsatz kommt 291 . Den Höhepunkt markiertder rachsüchtige virtuelle Mord einer betrogenenMitspielerin, die das Benutzerprofil ihres (virtuell!)Geschiedenen löschte 292 .Die rechtliche Einstufung dieser virtuellen Kriminalitätist nicht immer ganz einfach, orientiert sich amEinzelfall und bewegt sich wegen der Kontomanipulationenim Bereich des Ausspähens und Abfangensvon Daten (§§ 202a, 202b StGB), der Daten-veränderung (§ 303a StGB), und dort, wo Werteverschoben werden, die auch in der realen Welteinen wirtschaftlichen Wert haben (Möbel im virtuellenHotel), beim Computerbetrug (§ 263a StGB)und der Fälschung beweiserheblicher Daten (§269 StGB).In dem Fall, dass jugendliche Mitspieler mit realerGewalt die Herausgabe virtueller Spielausstattungenverlangt haben, handelt es sich um eineschlichte räuberische Erpressung (§ 255 StGB).Beachtlich ist die Bedeutung, die virtuelle Spielehaben. McAfees Länderstudie für China machtdas besonders deutlich 293 . Hier sind Goldfarmenentstanden, in denen rund 100.000 bezahlteSpieler Punktestände erspielen, die dann an zahlungsbereiteInteressenten verkauft werden. Dort,wo sich Wirtschaft mit klingender Münze zeigt,verwaschen und überschneiden sich die Grenzenzwischen virtueller und realer Welt. Das hat schonsehr schnell das Second Life gezeigt, wo Bankengecrasht sind 294 , Kinderpornos ausgetauscht undmit Prostitution Geld 295 gemacht wurde.286Siehe Alexander Schultz, § 269 StGB - Fälschungbeweiserheblicher Daten, mediendelikte.de;AG Euskirchen, Urteil vom 19.06.2006 - 5 Ds279/05 (bei www.a-i3.org);bestätigendes Berufungsurteil des LG Bonn, Urteilvom 13.10.2006 - 36 B 24/06 (ebenda).287Eine Ausnahme gibt es nur im Zusammenhang mitGeschäfts- und Betriebsgeheimnissen: § 17 UWG.288CF, künftige Herausforderungen, 2007289CF, Diebstahl virtueller Sachen, 15.11.2007290CF, virtueller Diebstahl, 25.10.2008291CF, Diebstahl in Online-Spiel, 01.02.2009292CF, virtueller Mord, 31.10.2008293CF, globale Sicherheitsbedrohungen. China,27.07.2008294CF, Bankenkrach in der Zweiten Welt, 20.08.2007295CF, Prostitution im Second Life, 21.10.2007
Dieter Kochheim, <strong>Cybercrime</strong> - 49 -A.4 5. Zahlungs- und GeschäftsverkehrIm Zusammenhang mit dem Zahlungs- und Geschäftsverkehrhaben sich besondere Formen desIdentitätsdiebstahls herausgebildet, die im einzelnenbetrachtet werden müssen.A.4 5.1 CardingBeim Ausspähen von Kontodaten geraten nicht nurdie Homebanking-Daten 296 der Opfer in das Interesseder Täter, sondern auch andere persönlicheDaten, die sich verkaufen oder anderweitig missbrauchenlassen 297 . Das Bundeskriminalamt fasstdiese Formen des Kreditkartenbetruges 298 unterdem Begriff Carding zusammen 299 , womit die umfassendeVerwertung von EC- und Kreditkartendatengemeint ist – vom Ausspähen der Kartennummernund Sicherheitsschlüssel über deren Vermarktungim Web bis zur Produktion gefälschterKartenkopien 300 .Der Handel mit Kreditkartendaten dürfte den größtenAnteil an der Underground Economy ausmachen301 . Dort sollen 2007 gestohlene Waren undentsprechende Dienstleistungen im geschätztenGesamtwert von 276 Millionen Dollar angebotenworden sein 302 . Am meisten würden Kreditkarteninformationengehandelt werden (31 %), was einemMissbrauchsvolumen von 5,3 Milliarden Dollarentspräche. Ihnen sollen mit 20 % Marktanteil dieKontozugangsinformationen folgen, die ein Missbrauchspotentialvon 1,7 Milliarden Dollar präsentierenwürden.Für diese Form des Betruges werden manipulierteWebseiten eingesetzt, die den Besuchern lukrativeAngebote vorgaukeln und bei dieser Gelegenheitdie Kreditkartendaten abfragen, oder Malware mitKeylogger-Eigenschaften, die den Online-Verkehr296Siehe 5.2 Phishing.297Siehe auch CF, Carder, 13.07.2008298WP, Kreditkartenbetrug299CF, Zahlungskartenkriminalität, 01.11.2008300Thomas Kuhn, Die raffiniert dreisten Tricks derOnline-Betrüger, wiwo.de 06.11.2008301CF, Schattenwirtschaft im Internet, 24.11.2008302Cyberkriminelle lieben Kreditkarten, tecchannel24.11.2008des Opfers protokollieren 303 . Solche Protokolleerstellt inzwischen jede gut gemachte Bot-Software. Schon seit 2005 soll der Homebanking-Trojaner Torpig im Einsatz sein, der unter Windowsneben Daten für Bankkonten auch Kreditkartendatenund FTP-Accounts ausspäht 304 .Das Carding beschränkt sich hingegen nicht aufKreditkarten, sondern tritt auch im Zusammenhangmit anderen Guthabenkarten auf, zum Beispielmit „nachgefüllten“ Tankkarten. Sie täuschendie prüfende Automatik über den Wert der Gegenleistung,die in Anspruch genommen werdenkann 305 .A.4 5.2 Phishing in neuen FormenBeim Phishing 306 geht es den Tätern darum, dieKontozugangsdaten zum Onlinebanking auszuspähenund für Kontoverfügungen zu missbrauchen307 . In seiner ersten Erscheinungsform zeigtees sich in der Weise 308 , dass mit verschiedenenSpam-Mail-Kampagnen Bankkunden mit mehroder weniger originellen Forderungen zur Preisgabeihrer Kontozugangsdaten und besondersvon Transaktionsnummern – TAN – bewegt werdensollten 309 . Hierzu kamen vor allem E-Mailsmit Formulareigenschaften zum Einsatz, bei derdie Kontodaten in die vorgegebenen Felder eingetragenwerden sollten 310 . Mit anderen Spam-Kampagnen wurden und werden noch immer Finanzagentengeworben, die die erbeuteten Gel-303CF, Gegenspionage wider 'ZeuS' und 'Nethell',19.12.2008304Trojaner stiehlt Zugangsdaten von 300.000Bankkonten, Heise online 03.11.2008305CF, "Nachladen" von Guthabenkarten, 2007306WP, Phishing307CF, Phishing: Zusammenfassung kriminellerMethoden, 2007308Siehe auch CF, Phishing. Wie funktionieren dieInformationstechnik und das Internet? 22.01.2007.309CF, Phishing-Aktion, 2007;die alte Vorgehensweise taucht gelegentlich immernoch auf: CF, TAN-Nachweis, 02.03.2010.310CF, Formen des Phishings, 2007;siehe auch CF, Urteil gegen Phisher-Gruppe,04.09.2008
Dieter Kochheim, <strong>Cybercrime</strong> - 50 -der an die Hinterleute weiter leiten sollen 311 .Ende 2007 wandelte sich die Gestalt des Phishings312 . Die E-Mails forderten die Bankkundennicht mehr dazu auf, per Mail zu antworten, sondernaus Sicherheitsgründen die (nachgemachte)Bankseite im Internet aufzusuchen, um dort weitereAnweisungen zu erhalten. Daraus wurde schnellein Massenphänomen, das als Pharming bezeichnetwird 313 . Dazu werden auf einem gehacktenWebserver eine Vielzahl nachgemachter Bankseitenverschiedener Finanzinstitute abgelegt, zu denendie Kunden verführt werden. Auch wenn dienachgemachten Webauftritte nur wenige Tage aktivblieben, so reichte das den Tätern für ihre kriminellenGeschäfte aus.Gleichzeitig wurden das Layout der Anschreibenund der Webseiten immer besser und auch dieSprache fehlerfrei und jargonangemessen 314 . Alsthematischer Aufhänger wird jede Gelegenheit genutzt,um das Interesse der Bankkunden zu wecken,so auch die Finanzkrise 315 .Seit 2008 werden kaum noch Phishing-Mails versandt.Die Täter sind dazu übergegangen, harmloswirkende und in den Suchmaschinen gut platzierteWebseiten zu manipulieren, um darüber Bankkundenauf nachgemachte Bankseiten zu führen 316 .Dazu entstand äußerst schnell in der UndergroundEconomy ein Markt für ausgespähte Konto- (Phishing)und Kartendaten (Carding) 317 sowie Dienstangebotezur Erstellung von Phishing-Seiten 318 .Dadurch ist das Phishing und der Einsatz vonBotnetzen zusammen gewachsen. Beidebenötigen eine ständige Verfügbarkeit im Netz, die311CF, Finanzagenten, 2007312CF, Lagebild IT-Sicherheit 2007, 12.03.2008313CF, Anstieg von Phishing-Seiten (Pharming),21.06.2007314CF, Länderstudie Deutschland, 27.07.2008315CF, Die Krisenphisher, 22.12.2008316CF, Massenhacks von Webseiten werden zur Plage,14.03.2008317CF, geklaute Daten zum Schnäppchenpreis,09.04.2008318CF, qualitätskontrollierter Kontomissbrauch,09.05.2008Botnetze für ihre CC- 319 und Fluxserver 320 undPhishing-Malware für ihre Updates sowie für dieFormulare, die sie beim Angriff einsetzt 321 .Die wichtigste Gegenmaßnahme der Finanzwirtschaftist die Einführung indizierten Transaktionsnummern,iTAN gewesen 322 . Bei ihrem Einsatzfragt das Rechenzentrum der Bank keinebeliebige TAN aus der dem Kunden vorliegendenListe ab, sondern eine bestimmte aus der jetztdurchnummerierten Liste. Verwandte Verfahrenwerden zum Beispiel unter den BezeichnungenmTAN 323 und eTAN 324 betrieben. Bei einemanderen, aufwändigen Verfahren werdenGrafiken und Schlüsselcodes sowohl per Internetwie auch per Mobilfunk ausgetauscht, wobeigrafische Anzeigen manuell übertragen werdenmüssen 325 .Silentbanker war der erste im Herbst 2007 aufgetreteneTrojaner, der sich unmittelbar in den Homebanking-Vorgangeinschaltete und Kontoverfügungenmanipulierte 326 . In Brasilien wird der dortsehr verbreitete Einsatz von Onlinebanking-Malware unter dem Begriff Password Stealer diskutiert327 .Die neue Generation dieser Malware überträgtzunächst nur einen Loader. Dabei handelt es sichmeistens um sehr kleine Kommandopakete, diesich zusammen mit attraktiven Anwendungen,Dokumenten oder Bildern einnisten und installie-319Command-and-Control-Server; zentrale Steuerungeines Botnetzes.320Dezentrale Steuerung eines Botnetzes durch(gekaperte) Webserver. Dabei bleibt der CC-Servergetarnt.321Daniel Bachfeld, Einzelne Bande war für zweiDrittel aller Phishing-Angriffe verantwortlich, Heiseonline 17.05.2010322Sie wird gelegentlich auch mit einerBestätigungsnummer – BEN – kombiniert.323CF, Sicherheit von Homebanking-Portalen,22.03.2008;CF, Bezahlen mit dem Handy, 25.01.2008324WP, eTAN-Generator (BW-Bank)325Fotohandy-Verfahren trickst Trojaner aus,tecchannel 05.11.2008326CF, neue Methode gegen Homebanking-Malware,06.11.2008327CF, Länderstudie Brasilien, 27.07.2008
Dieter Kochheim, <strong>Cybercrime</strong> - 51 -ren 328 . Nach der Methode, die auch die Botnetz-Malware verwendet, nimmt der Loader sodannKontakt zu seinem Update-Server auf und lädt dieProgrammteile und Einstellungen, die als Malwarezum Einsatz kommen sollen. Auf diese Weisekönnen auch neue Bestandteile installiert oder dieTarnung erneuert werden 329 .Die ersten bekannt gewordenen Formen überwachtenund protokollierten den Homebanking-Vorgang, brachen eine Überweisung des Opfersnach Eingabe der Transaktionsnummer – TAN – abund übermittelten die Kontozugangsdaten, alsoKontonummer und Persönliche Identifikationsnummer– PIN – sowie die ausgespähte TAN andie Drop Zone, den sicheren Speicherort des Täters.Danach kappte die Malware die Internetverbindungdes Opfers und verhinderte die Wiederaufnahmeder Verbindung. Aus der Drop Zonenahm der Täter die ausgespähten Daten auf undmissbrauchte das Konto des Opfers mit etwas zeitlichemVerzug.Die Entwicklung ging weiter. Neuere Methodenführen den Missbrauch direkt während der Homebanking-Sessiondes Opfers aus 330 . Dazu kann dieMalware selbständig eine Überweisung generierenmit den Empfängerdaten, die ihr entweder festeinprogrammiert sind oder die sie vom Update-Server holt. Von dem Opfer erfordert sie entwedermit Tricks die Eingabe der vom Bankservererforderten iTAN (z.B. mit einem Sicherheitshinweisoder anlässlich von Seitenaufrufen, die üblicherweisekeine Angabe einer iTAN verlangen -wie bei der Kontoübersicht) oder sie wartet, bis dasOpfer selber eine Transaktion ausführt. In diesenFällen wird dem Opfer mit entsprechend manipuliertenBildschirmanzeigen vorgegaukelt, dassnur die von ihm gewollte Transaktion ausgeführtoder bestätigt wird. Bachfeld: Solche Trojaner baueneigene Verbindungen zum Online-Banking desKunden auf und nehmen mit einer abgeluchstenTAN eigene Überweisungen vor. Dabei präsentierensie dem Anwender im Browser nachgemachteBanking-Seiten. Der Trojaner Win32.Banker.ohq328CF, Phishing mit Homebanking-Malware, 22.10.2008329CF, Formularfelder von Trojaner Limbo, 30.09.2008330Daniel Bachfeld, Zahl oder Karte. Sicherer Zugriffaufs Online-Konto, c't 17/2008, S. 94soll beispielsweise laut dem Antiviren-Spezialisten Kaspersky 56 Bankenseitenimitieren können.Eine Variante davon übermittelt den Beginn derHomebanking-Session dem Täter, der sich dannals Man-in-the-Middle einklinken kann und die beschriebenenManipulationen von Handdurchführen kann.Auf eine gemeine Phishing-Variante ist ein Mitarbeiterder US-Supermarktkette Supervalu hereingefallen.In einer E-Mail haben die Täter behauptet,dass sich die Kontoverbindungen von zweiLieferanten geändert habe. Der Mitarbeiteränderte die Kontodaten. Dadurch flosseninnerhalb weniger Tage etwa 10 Millionen $ aufNimmerwiedersehen auf die Konten der Phisher331.A.4 5.3 BeutesicherungFinanzagenten dienen dazu, die Geldbeträge vonden Konten der Phishingopfer an die Hinterleuteweiter zu senden. In den frühen Fällen versuchtendie Täter, das Geld unmittelbar in die Länderdes Baltikums oder nach Russland zu überweisen,was an den Sicherheitsprüfungen der Bankenganz überwiegend scheiterte.Die Finanzagenten wurden meistens damit beauftragt,das auf ihren Konten eingehende Geld überWestern Union ins Ausland zu transferieren 332 .Das Unternehmen geriet dadurch in den Ruf,leichtfertig Kriminelle zu unterstützen, und leitetebereits 2006 Gegenmaßnahmen ein. Seither sindkeine anonymen Transaktionen in Deutschlandmöglich und müssen sich alle Kunden ausweisen.Im Ausland sieht das anders aus; die Empfängerbleiben unerkannt.Nach einem oder zwei Einsätzen sind die Finanzagentenverbrannt. Sie machen sich wegenleichtfertiger Geldwäsche strafbar 333 (§ 261StGB) und haften den Phishingopfern in vollerHöhe des Geldbetrages, der ihren Konten belas-331CF, Kontoverbindungs-Phishing, 31.10.2007332CF, Auslandsüberweisungen per Bargeldtransfer,2007333CF, Finanzagenten, 2007
Dieter Kochheim, <strong>Cybercrime</strong> - 52 -tet wurde 334 .Die Beutesicherung stellt deshalb eines der größtenProbleme für die Phishing-Täter dar. Sie experimentierendeshalb mit allen Formen der Geldwäsche,die schon bekannt sind 335 und mit Web-Money und Paysafecard weitere Spielarten bekommenhaben 336 .Eine Variante davon sind die Paketagenten 337 . Siestellen keine Lieferadresse für Geldüberweisungenzur Verfügung, sondern empfangen an ihrerPrivatadresse Pakete, die mit werthaltigen Warengefüllt sind (Elektronik, Arzneimittel und entsprechendeHandelsgüter) und die sie an die ausländischeZieladresse weiter senden. Nicht seltenwird bei ihrer Einwerbung an ihrem Robin-Hood-Nerv gerüttelt: Die Handelsbeschränkungen derEU würden Drittländer benachteiligen und deshalbkönnten die Paketagenten mehr Gerechtigkeit indie Handelswelt durch ihr Tun bringen. Natürlichsei alles ganz legal – wenn da nicht das Strafrechtwäre (Absatzhilfe 338 , § 259 Abs. 1 StGB).Jedenfalls im Zusammenhang mit dem Phishing334Zum Beispiel LG Köln, Urteil vom 05.12.2007 - 9 S195/07335CF, grenzüberschreitender Vermögenstransfer, 2007336CF, Beutesicherung, 11.04.2010337CF, Transfer von Sachwerten, 2007338Dieter Kochheim, Der Hehler ist kein Stehler.Hehlerei und Absatzhilfe, 11.11.2009scheinen sich die Täter qualifiziert und getrenntzu haben. Die Anwerbung von Finanzagentenund die Durchführung des Phishings selber scheinenjetzt unterschiedliche Operation Groups zupraktizieren.A.4 5.4 Online-WarenhäuserDas Schaubild zeigt das vollständige Vorgehender Täter beim Missbrauch von ausgespähten Zugangsdatenzu Warenhaus-Konten. Zunächstwerden von einer Malware die persönlichen Datendes Opfers ausgespäht, protokolliert und in einerDrop Zone 339 wahllos abgelegt. "Interessenten"können dann mit einer einfachen Softwareden Datenbestand sichten, auswerten und die sieinteressierenden Daten erwerben.Mit diesen Daten sucht der Täter das vom Opfergenutzte Online-Warenhaus auf und ändert zunächstdas Kennwort, womit er den rechtmäßigenInhaber des Kontos von der weiteren Nutzungausschließt. Sodann ändert der Täter die Lieferadresse.Die neue Lieferadresse wird meistenssein: Anschrift eines Agenten, der den Weiterversanddurchführt. Wie dem Finanzagenten drohtdiesem Annahmeagenten die Identifikation undStrafverfolgung.339CF, Drop Zone, 13.07.2008
Dieter Kochheim, <strong>Cybercrime</strong> - 53 - Scheinadresse, z.B. eine leer stehende Wohnungin einem Mehrfamilienhaus. Am Klingelschildund am Briefkasten müssen nur passende Namenangebracht werden. Für die Kontrolle des Briefkastensund die Entnahme von Zustellbenachrichtigungenempfiehlt sich ein freundlicherHausbewohner. Gemietetes Paketfach in einer Packstation. DieAbholung erfolgt dann anonym und außerhalb derGeschäftszeit. Die Lieferung an eine Packstation lässt sichauch mit einem Nachsendeantrag koppeln. Dasverhindert, dass das Warenhaus misstrauisch wird. Lieferung ins Ausland. Die europa- und weltweitoperierenden Paketdienste machen es möglich.Nur das Warenhaus wird das wahrscheinlich nichtmitmachen.Sobald die Kontodaten abgeändert sind, kann derTäter bestellen. Das Nachsehen hat das Opfer,dessen Daten missbraucht werden. Seinem Kontowerden die Kosten belastet und es hat den Ärgeram Hals.A.4 5.5 AktienkursmanipulationIn der klassischen Variante der Aktienkursmanipulationerwirbt der Täter zunächst Penny-Stocks zueinem kleinen Preis und versucht dann mit Spam-Aktionen und anderer gezielter ÖffentlichkeitsarbeitKäufer für diese Aktien zu gewinnen. Je mehrer zum Kauf überredet, desto höher steigt derMarktpreis der Aktien und damit der Depotwertdes Täters. Zur passenden Zeit verkauft er seineAktien zu dem gepushten Preis.Eine neue Spielart verzichtet auf die Öffentlichkeitsarbeitund ersetzt sie durch Hacking undKontomanipulationen.Zunächst muss der Täter auch bei dieser Methodeinvestieren, indem er ein Aktienpaket mit Penny-Stockserwirbt und vom Ausland aus in ein Aktiendepotin Deutschland stellt (blau unterlegt).Danach startet er eine groß angelegte Aktion inden USA, bei der er die Aktiendepots von Bankkundenmissbraucht. Die einlagernden Wertpapiereverkauft der Täter und erwirbt dafür genaudie Penny-Stocks, die er vorher selber eingekaufthat (hellgrün unterlegt).Je mehr Depots er auf diese Weise missbraucht,desto höher steigt der Kurs der Aktien und damitauch der Kurswert seines Depots. Sobald der
Dieter Kochheim, <strong>Cybercrime</strong> - 54 -Einkauf der Aktien den Grad der Marktsättigungund der Kurs den höchstmöglichen Stand erreichthaben, verkauft der Täter seinen eigenen Wertpapierbestand- an eines der von ihm missbrauchtenUSA-Depots und mit höchsten Gewinn. Diesenstreicht er ein, indem er das eigene Depot inDeutschland auflöst. In den USA verlieren die manipuliertenDepots darauf ganz erheblich an Wert.Die meisten dürften dann auf fast Null gefahrensein (insbesondere dann, wenn der Täter im Aktienhandelauch aus den Depots mit großen Beständen,die er zu Beginn seiner Aktion angelegt hat,Verkäufe zulässt).Dieses Beispiel zeigt die fatale Folge davon, dassim Bereich der <strong>Cybercrime</strong> die Täter zwar internationalagieren, die Rechtsordnungen jedoch an dennationalstaatlichen Grenzen enden.Selbst wenn man auf das Beispiel vollständig dasdeutsche Strafrecht anwenden könnte, wären dieEinrichtung, der Betrieb und die Auflösung des Aktiendepotsin Deutschland - für sich allein betrachtet- nicht strafbar.Die Manipulationen in den USA wären nach deutschemRecht als Computerbetrug (§ 263a StGB)und Fälschung beweiserheblicher Daten (§ 269StGB) strafbar. Der Handlungsort und alle andereneine örtliche Zuständigkeit begründenden Umständesind im Ausland angesiedelt, so dass die Strafverfolgungin Deutschland nicht zulässig ist.Die Wertsteigerung des Aktiendepots in Deutschlandbegründet keinen Erfolgsort im Sinne von§ 7 Abs. 1 StPO. Das liegt daran, dass die Strafvorschriftüber den Betrug (§ 263 StGB) und ihr folgendfür den Computerbetrug (§ 263a StGB) nacheiner Stoffgleichheit zwischen den Vermögensschäden,die durch die Manipulationen in den USAentstanden sind, und dem Vermögenszuwachsverlangen, den er erlangt hat.Daran fehlt es aus zwei Gründen. Der Wertverlustin den USA tritt erst ein, nachdem der Täter seinenAktienbestand verkauft hat und er weitere Kursmanipulationenin den USA unterlässt. Die Stoffgleichheitverlangt hingegen, dass ein Vermögensnachteilauf der einen Seite unmittelbar zu einem Vermögensvorteilauf der anderen Seite führt.Außerdem erfolgt die Wertsteigerung im deutschenDepot nicht dadurch, dass Zahlungen eingehen,sondern dadurch, dass der Tauschwert ander Börse gestiegen ist. Der Wertzuwachs gründetalso auf einem Tauschmechanismus, auf dender Täter zwar mittelbar (durch immer neue Kaufnachfragen)Einfluss genommen, den er abernicht unmittelbar beeinflusst hat. Somit fehlt es ander Stoffgleichheit.A.4 6. FazitMit der wachsenden Internetnutzung entfaltet undverbreitet sich auch der Identitätsdiebstahl. Ihmgeht es darum, andere zu schädigen, indem ihrAnsehen missbraucht oder ihr Vermögen gestohlenwird.Seine Formen richten sich gegen alle sozialenund wirtschaftlichen Prozesse im Internet. Bevorzugtwerden Geldgeschäfte. Aber auch privateÄußerungen können zum Social Engineering undzur Tarnung der Täter missbraucht werden.Das Internet ist keine Kuschelzone, sondern einöffentlicher Raum, in dem Gefahren lauern. Esverlangt nach einem bewussten Umgang und einergewissen Zurückhaltung, wenn es um die Offenbarungpeinlicher oder wirtschaftlich wertvollerInformationen geht.Jede offenbarte Information, die für sich alleineoder in Verbindung mit anderen Informationeneinen Missbrauch ermöglicht, birgt die Gefahr,dass ein solcher Missbrauch auch erfolgt. Daslehren die hier beschriebenen Beispiele. Sie zeigenauch, dass das Internet kein abgeschlossenesParalleluniversum ist, sondern ein integralerBestandteil unserer heutigen Lebensumgebung.Es hat Besonderheiten, weil es keine Grenzenund wahrnehmbare Entfernungen kennt. Dadurchist es schnelllebig und pausenlos.
Dieter Kochheim, <strong>Cybercrime</strong> - 55 -A.5 Botnetze1993 wurde die erste Botsoftware eingesetzt:Eggdrop 340 . Spätestens seit 2005 sind die Botnetzeim Interesse der Fachöffentlichkeit 341 , währenddie meisten Privatanwender wenig über sie wissen342. Es handelt sich dabei um infiltrierte Rechner ingroßer Zahl 343 , die z.B. für Spam-Aktionen oderverteilte Angriffe 344 missbraucht werden können.Drei Gruppierungen scheinen dabei um den größtenMarktanteil zu kämpfen: Warezov, Bagle undZhelatin.In der frühen Entwicklungsphase war das Schicksaleines infiltrierten PCs in erster Linie ärgerlichund kostenträchtig, weil die Bot-Malware "nur"Kosten für die Verbindungen zum Internet schmarozte,echte Schäden aber nur bei Dritten verursachte(Sankt Florian lässt grüßen). Mit den Entwicklungenim Zusammenhang mit dem Phishingund dem Identitätsdiebstahl sind alle befangenenPCs aber beängstigenden Gefahren unterworfen.Botnetze: Angriff der unerkannten Computerzombies... Der Ursprung der Botnetze liegt in der InternetRelay Chat (IRC)-Szene und klingt wie ein Märchen.Einst wurden dort Nutzer, die gegen die Regelnverstießen, hinausgeworfen - eine virtuelleVertreibung aus dem Paradies. Einige von ihnenwollten sich rächen und entwickelten Wege, umdie IRC-Server oder Kanäle zu schädigen. Dieswar vor allem deswegen so einfach, weil IRC einsehr offenes Protokoll ist, das ähnlich wie SMTP(Send Mail Transfer Protocol), leicht missbrauchtwerden kann. Im Laufe der Zeit entwickelten sichkleine Programme, die nun auch Server angreifenkonnten, die nichts mit IRC zu tun hatten - dieersten Denial-of-Service-Attacken. Noch heutenutzen viele Hacker den IRC-Kanal alsKommunikationsstrang, über den sie ihre Botnetzekontrollieren.Um ein Botnetz zu bauen, muss das entsprechendeProgramm erst einmal auf den Nutzerrechnergelangen. Meisten werden dafür Sicherheitslückenin Windows oder Server-Systemen ausgenutzt. Virenoder Würmer dringen durch diese Schlupflöcherauf den Rechnern ein und hinterlassen tief imSystem eine kleine .exe-Datei, die sich selbst fortpflanztund durch eine Hintertür Kontakt mit ihrem"Herren" aufnimmt. Das tut sie, indem sie sich aufeinen bestimmten IRC-Channel einwählt und dortstill und leise auf Befehle wartet. Der Nutzer bekommtdavon im Idealfall nichts mit. … 345A.5 1. Infektion und Infiltration340Rob Thomas, Was sind Bots und Botnetze? RUS-Cert 2003341Sturm-Wurm-Botnetz mit über 1,7 Millionen Drohnen,Heise online 18.08.2007Tom Fischer, Botnets, RUS-Cert - Uni Stuttgart14.03.2005BSI, Bot-Netze, BSI 2007342Symantec-Umfrage: Bots und Botnetze kaumbekannt, Heise Security 15.06.2007343Schädliche E-Mails bauen riesige Botnetze auf, Chiponline 23.08.2007;Krieg der Würmer, Heise online 14.05.2007;Weihnachten ließ Botnetze schrumpfen, Heise online28.12.2006344WP, Distributed Denial of Service - DDoSZum "Zombie" wird der eigene Rechner zunächstdurch Injektion. Sie nutzt alle Wege, die die Malwarekennt: Fremde Datenträger, Anhänge an E-Mails, Infusionen (Injektions) beim Aufruf vonWebseiten - als Beigabe zu aktiven Funktionen -und die direkte Manipulation eines Handwerkers.Im zweiten Schritt muss sie sich einnisten (Infektion)Gegen die Methoden des Social Engineering, dieuns zu übertöpeln versuchen (persönliche Kontakte,E-Mail-Anhänge, Website-Injection), hilft dieVorsicht in Kombination mit Firewalls und Virenscannern,die auch gegen die aktive Malware wirken(z.B. IP-Würmer).345Auszug aus Nicola D. Schmidt, Botnetze: Angriffder unerkannten Computerzombies, ZDNet.de26.08.2005
Dieter Kochheim, <strong>Cybercrime</strong> - 56 -Die Methoden, fremde Rechner steuern zu wollen,entstammen offenbar verschiedenen Quellen.ZDNet.de sieht ihren technischen Ursprung zuRecht im Internet Relay Chat – IRC 346 .Hier ging es aber um sehr harte Methoden, um Zugangsbeschränkungenzu umgehen. Die aktuelleBotnetz-Software ist feinsinniger 347 und dürfte wegenihrer Steuerungsfunktionen ihre Heimat eher inden gewerblichen Strategien zur Softwareverteilungund im zentralen IT-Management haben 348 .Mit der Botsteuerung "Zunker" lassen sich zumBeispiel alle infiltrierten Systeme wegen ihrer Erreichbarkeitund Leistungsmerkmale überwachen,steuern und für Aktionen koordinieren 349 . DieseFunktionsvielfalt ist sonst nur aus der Fernwartung350für zentral verwaltete Computernetzwerke bekannt.A.5 2. Übernahme. KonsoleDie ersten Schritte für die Infiltration unternimmtdie Bot-Software selbsttätig. Sie wirkt so, wie esauch von anderen Würmern und Trojanern bekanntist, nistet sich ein, manipuliert die Sicherheitseinstellungensowie die Firewall und tarnt sich vorder Entdeckung durch Viren- und anderen Malwarescannern351 .Anschließend prüft sie, ob der infiltrierte Rechnereine Verbindung zum Internet hat und meldet sichdann bei der Botnetz-Steuerung als bereit.Die zentrale Steuerung sollte keinen direkten Hinweisauf den Angreifer geben. Deshalb befindet sie346WP, Internet Relay Chat - IRC347Moritz Jäger, Das Netz der Phisher: Wie Online-Betrüger arbeiten, tecchannel 20.09.2006;Ihr PC als Komplize: Piraten-Software gezieltbekämpfen, Heise online 06.01.2007348WP, IT Infrastructure Library - ITIL349"Zunker", das Administrator-Tool für Bot-Netze, IT-Defender.com 15.05.2007Zunker Bot, PandaLabs Blog 08.05.2007;Screenshot, ebd.350WP, Fernwartung351CF, Datenveränderung, 2007; CF,Computersabotage, 2007; CF, Superwürmer, 2007;CF, Malware, 12.05.2008.sich in aller Regel auf einem gehackten IRC-Server.Der Angreifer kann das infiltrierte System missbrauchenwie ein erfolgreicher Hacker. Alle Systemfunktionen,Dokumente und ungesicherte Informationenstehen ihm offen 352 .Eine übliche Strategie besteht darin, das Systemals Konsole für die Botnetzverwaltung einzurichtenund hiermit die übrigen Zombies zu verwaltenund zu steuern. Bei einer Analyse des Botnetzeskann dann nur der infiltrierte Rechner festgestelltwerden, nicht aber die Herkunft des Angreifers.A.5 3. zentrale und dezentrale SteuerungFür die Steuerung des Botnetzes muss zumindestein zentraler Server eingerichtet werden. Seinewichtigste Eigenschaft ist die, dass er eine kontinuierlicheVerbindung zum Internet haben muss,also kein Gelegenheitsnutzer ist. Hierzu eignensich am besten Webserver, die als Hostserver Internetauftrittepräsentieren. Beliebte Standorte fürmissbrauchte Systeme sind in den USA und inAsien. Mit der zunehmenden Verbreitung dedizierterServer 353 bei Privatanwendern und ihrerhäufig unzureichenden Sicherung dürften besondersdiese Systeme zum Missbrauch reizen.Die zentrale Steuerung kann für verschiedeneZwecke eingesetzt werden. Die gebräuchlichstensind: Kontaktstelle für infiltrierte Botrechner Ablagestelle für ausspionierte Daten Depot für Programmupdates352Vergleichbar mit der Quellen-TKÜ: CF, Online-Zugriff an der Quelle, 08.11.2008.353WP, Dedizierter Server
Dieter Kochheim, <strong>Cybercrime</strong> - 57 - Hostplattform für "Pharmen"Aktuelle Botnetze haben keine zentrale Steuerung,sondern verfügen über eine Zwischenschicht ausProxyservern 354 .Bei ihnen wird zwischen dem zentralen IRC-Server, dem "Mutterschiff", und den infiziertenZombies ein "Fast-Flux-Netz" installiert, das ausProxyservern besteht, von denen jeder ein Teil derZombies steuert und verwaltet.Hierzu bekommen die Zombies bereits mehrere Internetadressen(IP) einprogrammiert, an die sieihre Bereitschaft melden. Wird der erste Kontaktherstellt, können sie mit neuen Instruktionen versehenwerden. Fällt ein Proxy aus, so können seineAufgaben von einem anderen wahrgenommenwerden.Das "Mutterschiff" versteckt sich hinter den Proxiesund kann vom Zombie aus nicht lokalisiert werden.Erst wenn die "Abwehr" einen der Proxies überwachenkann, kann sie dessen Steuerung und somitdas "Mutterschiff" erkennen.A.5 4. Einrichtung des BotnetzesDie infiltrierten Rechner melden ihre "Bereitschaft"an die einprogrammierte IP-Adresse des "Mutterschiffes"oder den zwischengeschalteten Proxyservern.Während die Dateien, die für die Infiltration erforderlichsind, so klein gehalten werden können, wiesie für den Angriff nötig sind, können jetzt neueVersionen (Updates), Erweiterungen und Einsatzzieleübermittelt und installiert werden.Über diese perfide Strategie verfügen erst neuereWürmer und Trojaner. Sie zeigt das erheblicheWissen, die konsequente Planung und die gewissenloseDurchführung, die mit den modernen Angriffenmit den Methoden der <strong>Cybercrime</strong> verbundensind. Die kriminelle Energie, mit der die Botnetz-Betreiberagieren, steht der der Phisher innichts nach 355 .354Jürgen Schmidt, Hydra der Moderne. Die neuenTricks der Spammer und Phisher, c't 18/2007, S. 76;CF, Angriffe und Botnetze, 01.10.2007.355CF, Phishing, organisierte Strukturen, 2007A.5 5. kriminelle EinsätzeIm Anschluss an die Übernahme durchforstet dieBot-Malware zunächst den Zombie nach den persönlichenDaten des Anwenders, die sich zu einemMissbrauch eignen. Sie werden an eineDrop Zone gesendet, wo sie in aller Regel von Interessiertendurchgesehen und erworben werdenkönnen.Ein „guter“ Zombie ist ein technisch gut ausgestattetesSystem mit einem ständigen Anschlussan das Internet. Mit möglichst vielen Zombies, diein das Botnetz eingebunden sind, lassen sichjede Menge krimineller Aktionen durchführen –und damit Geld verdienen.A.5 5.1 verteilter AngriffEin häufiger Einsatz ist die Durchführung von verteiltenAngriffen 356 - DDoS. Hierbei richten vielekoordinierte Rechner immer wieder dieselbenKontaktanfragen an einen ausgewählten Server,der diese Menge irgendwann nicht mehr bewältigenkann und seinen Betrieb einstellt. Viele namhafteInternetdienste sind bereits das Opfer solcherAngriffe geworden 357 .Allein mit der Drohung der Täter, sie könnten gegeneinen gewerblichen Internetdienst einenDDoS-Angriff durchführen, lässt sich Geld verdienen.Solche Ansinnen sind seit Jahren bekannt356WP, Denial of Service (Distributed Denial ofService – DdoS); siehe Grafik oben.357BSI, Denial-of-Service-Attacken, BSI 2007;Matthias Bernauer, Leonard Rau, Netzwerkangriffedurch DDoS-Attacken, Uni Freiburg 27.01.2006;Mailserver ächzen unter Spam-Last, Heise online25.05.2007;CF, täglich 250.000 neue Zombies, 26.09.2007
Dieter Kochheim, <strong>Cybercrime</strong> - 58 -und man nennt sie auch Erpressung 358 (§ 253StGB, 359 ).Die Folgen eines DDoS-Angriffs können aber auchganz unbeabsichtigt aufgrund eines unvorhergesehenenInteresses der Internet-Öffentlichkeit eintreten,wie eBay schmerzlich erfahren hat 360 .A.5 5.2 Spamming und PhishingDas werbende Spamming 361 und das Phishing362sind erst dadurch möglich geworden, dass E-Mails massenhaft an eine Vielzahl von Empfängernversandt werden und nur eine verschwindendeZahl erfolgreich bleibt 363 .Schon der "normale" Versand von Spam-Mails istkostengünstig. Noch billiger wird er, wenn gehackteServer oder Botnetze zum Einsatz kommen364 .358Beispiele: Belohnung für Hinweise zu DDoS-Attacken, Heise online 12.07.2007;Patrick Brauch, Geld oder Netz! Kriminelleerpressen Online-Wettbüros mit DDoS-Attacken, c't14/2004, S. 48;Frank Ziemann, Erpressungen mit DDoS-Angriffennehmen zu, PC-Welt 20.05.2005;50 Jahre Haft für den PC-Kidnapper? spiegel.de04.11.2005.359CF, besonders schwere Computersabotage, 2007360BR, "Papst-Golf" wird zum Streitwagen, br-online.de06.05.2005 (nicht mehr verfügbar);Papst-Golf bringt fast 190.000 Euro - und Streit,netzwelt 06.05.2005.Als „Heise-DoS“ ist der Effekt bekannt, dass Quellen,zu denen das Online-Magazin verlinkt, durch denplötzlichen Besucheransturm nur noch verzögertreagieren oder gar nicht mehr erreichbar sind;WP, Slashdot-Effekt.361CF, Spamming mit missbrauchterAbsenderadresse, 23.04.2007362Siehe CF, Zusammenarbeit der Szenen, 2007;Spammer und Phisher rüsten auf, Heise online18.08.2007;E-Mails: 90 Prozent sind Spam, Heise online13.05.2007;Viren- und Botnet-Aktivitäten haben zugenommen,itseccity.de 18.04.2007;Das Dreckige Dutzend: Die zwölf aktivsten Länderbeim Spam-Versand Stratio-Wurm sorgt für Anstiegbei weltweitem Spam-Aufkommen, Sophos06.11.2006.363Kalkuliert werden die Spams wohl üblicherweise miteiner Erfolgsquote von 0,1 %; siehe: Alfred Krüger,Angriffe aus dem Netz. Die neue Szene desdigitalen Verbrechens, Heise Verlag 2006, S. 66 f.364Siehe: 50 Jahre Haft für den PC-Kidnapper?spiegel.de 04.11.2005.
Dieter Kochheim, <strong>Cybercrime</strong> - 59 -A.5 5.3 direkte AngriffeBotnetze sind darauf angelegt, größer und größerzu werden. Die größten Masseneffekte lassen sichentweder durch die Versendung von Spam-Mailsmit Malware-Anhängen erreichen oder indem mandie Malware Adressbereiche im Internet aufEndgeräte mit Sicherheitslücken scannen lässt.Gemeint ist die Technik der IP-Würmer, die im Internetkaum beschrieben oder diskutiert wird 365 .Sie arbeiten automatisch und suchen systematischvorgegebene Adressen nach dem Internetprotokoll366nach Rechnern ab, die sie übernehmen können.Im Fall ihres Erfolgs übertragen sie eine Basisversionvon sich auf den Zielrechner, die sich wie dieSoftware von Botnetzen einnistet, aktualisiert underweitert.Dazu müssen sie eine Sicherheitslücke ausnutzen,die der Programmierer exklusiv nutzt oder die erstkurzfristig bekannt ist, so dass erwartet werdenkann, dass sie noch nicht von allen Anwendern geschlossenwurde (Updates von Betriebssystemenund Virensoftware). Bevorzugt werden dazu Fehlerin Programmen, die massenhaft im Einsatz sind,weil sie die größten Erfolgsaussichten bieten (z.B.Betriebssysteme und Büroanwendungen).A.5 5.4 The Man in the MiddleJedes einzelne Gerät im Botnetz lässt sich auchindividuell steuern. Das ermöglicht es demAngreifer, sich neben dem Anwender alsAdministrator auf den Zombie einzuloggen undunter der IP-Adresse und Identität des Anwenderszu kommunizieren und jede im Internet möglicheAktion durchzuführen.Der Angreifer kann die Steuerungssoftware soeinrichten, dass sie den Internetverkehr einesRechners besonders wegen Homebanking-Aktivitätenüberwacht (im Beispiel A). Ein anderesinfiziertes Gerät kann er dann dazu verwenden,als Übertragungsstation (Man in the Middle 367 )zum Kommunikationspartner (im Beispiel B) zuwirken. Dabei kann er die komplette Kommunikationüberwachen und im passenden Moment füreinen Missbrauch unterbrechen (siehe Beispiel imZusammenhang mit dem Phishing 368 ).A.5 6. Botnetze, die unerkannte GefahrBotnetze lassen sich für jede Gelegenheit einsetzen,bei denen es entweder darauf ankommt, alsAngreifer unerkannt zu bleiben, oder für Missbräuche,die große Rechnerkapazitäten erfordern.Somit kommen auch Peer-to-Peer-Netze 369 ,die Verteilung und Speicherung von Dateien(Computercluster 370 ) oder die verteilte Nutzungvon Rechenleistung (verteiltes Rechnen 371 , DistributedComputing) in Betracht.Der (auch kranken) Phantasie sind bekanntlichkeine Grenzen gesetzt.Der Betrieb von Botnetzen ist neben der Herstellungvon Malware im übrigen und dem Phishingdie gefährlichste Erscheinungsform der <strong>Cybercrime</strong>.Ihre Betreiber verfügen über ein erheblichesWissen und eine kaum zu überbietende Böswilligkeit.365Peter Schill, Die neuen Herausforderungen derContent Security. Netzwerkfilter aufApplikationsebene, eSafe Januar 2004, benenntetwas versteckt drei Beispiele auf Seite 24 derPräsentation: CODERED, SLAMMER, BLASTER.366WP, Internet Protocol367WP, Man-in-the-middle-Angriff368CF, Phishing mit Homebanking-Malware,22.10.2008369WP, Peer-to-Peer370WP, Computercluster371WP, Verteiltes Rechnen
Dieter Kochheim, <strong>Cybercrime</strong> - 60 -Botnetze lassen sich zu Allem verwenden, wasentweder zur Tarnung von Aktivitäten dient odergroße Rechenleistungen erfordert. Die häufigsteAnwendungsfälle sind der Versand von Spam-Mails und die Durchführung von verteiltenAngriffen. Jüngst wurden auch Angebote bekannt,die große Rechenleistungen zum Knacken vonPasswörtern erfordern 372 .Botnetze benutzen dieselbe Injektionstechniken,die auch von der Malware im übrigen benutztwerden, also bevorzugt in Form von Anhängen zuSpam-Mails, durch Website-Injection 373 oder alsIP-Würmer.Wie alle anderen Formen der <strong>Cybercrime</strong> kennendie Betreiber von Botnetzen keine nationalstaatlichenGrenzen, wodurch ihre Verfolgung wennnicht ausgeschlossen, so doch ganz erheblich erschwertwird.Über eine internationale Zusammenarbeit derStrafverfolgungsbehörden ist nichts bekannt. Nurprivate Initiativen haben bisher ein journalistischesEcho erfahren.Der Wert der Botnetze für billige kriminelleAktionen wird dafür sorgen, dass sie bleiben, sichallen aktuellen Änderungen der Technik und desNutzerverhaltens anpassen und weiter verbessertwerden.Das sind keine guten Aussichten.372CF, Passwort vergessen? Cloud hilft! 19.12.2009;siehe auch: WP, Brute-Force-Methode.373WP, Cross-Site Scripting
Dieter Kochheim, <strong>Cybercrime</strong> - 61 -B. Social EngineeringDie technischen Methoden und Tricks, die im erstenTeil beschrieben wurden, haben eine verbindendesoziale Komponente. So hinterhältig eineMalware auch programmiert sein mag, sie kannsich in kein technisches System einschleichen, dasihr dazu nicht die Möglichkeit eröffnet. Dazu zählenunüberwachte Schnittstellen, unzureichende Updates,Verzicht auf Virenscanner und Zugangsbeschränkungensowie unüberlegte Handlungen desAnwenders wie die Gewährung von Administratorenrechten,die unvorsichtige Auswahl von Webadressenoder die fatale Aktivierung von E-Mail-Anhängen.Die Auseinandersetzung mit der Malware hat bereitsdie Techniken der Überredung und Täuschungangesprochen, die in E-Mails und infizierten Webseitenzum Einsatz kommen. Sie sind inzwischenin feiner deutscher Sprache verfasst, treffen denrichtigen Ton und suggerieren Vorteile oder drohendeNachteile, die den Anwender zu unbedarftenHandlungen veranlassen sollen.Diese Techniken werden unter dem Begriff des SocialEngineering 374 zusammen gefasst und greifenerheblich weiter. Das SocEng kombiniert interaktiveund technische Methoden, um seine Zielpersonenauszuspähen, ihre Geheimnisse zu erkundenund schließlich Informationen zu gewinnen, diekombiniert und bewertet werden, um daraus wiederneue Rückschlüsse zu gewinnen.Der Angreifer handelt immer eigennützig, zielstrebigund gnadenlos, wenn er seine Malware platzieren,Geheimnisse erkunden oder Spionage betreibenwill.Social Engineering benutzt Techniken der Beeinflussungund Überredungskunst zur Manipulationoder zur Vortäuschung falscher Tatsachen, überdie sich ein Social Engineer eine gefälschte Identitätaneignet. Damit kann der Social Engineer anderezu seinem Vorteil ausbeuten, um mit oder ohneVerwendung von technischen Hilfsmitteln an Informationenzu gelangen.Kevin MitnickKevin Mitnick 375 ist ein verurteilterHacker aus den USA. DemSocial Engineering hat er einwirklich spannendes Buch gewidmet,das er „Die Kunst derTäuschung“ nennt 376 . Die Methodendes SocEng sind klassischeHandlungsweisen der Detektiveund Spione, die von der Hackerszene entdecktund für die Penetration informationsverarbeitenderSysteme verfeinert wurden. Sie sindbereits begierig aufgenommen worden von denInformationsbrokern und den Industriespionen,die damit ihr Repertoire erweitert haben.374Im Folgenden abgekürzt: SocEng.WP, Social Engineering (Sicherheit)375WP, Kevin Mitnick;siehe auch: Lothar Lochmaier, RisikofaktorMensch: Die Kunst des Social Engineering,ZDNet.de 27.02.2007376Kevin Mitnick, William Simon, Die Kunst derTäuschung. Risikofaktor Mensch, Heidelberg (mitp)2003;CF, IT-Sicherheit, 2008
Dieter Kochheim, <strong>Cybercrime</strong> - 62 -B.1 Fünf unwichtige Informationenergeben eine sensible 377Beschaffung und Bewertung vonInformationen für die <strong>Cybercrime</strong>In einer früheren Fassung definierte die Wikipediadas SocEng als die Kunst, Menschen mittels sozialerKontakte zu Handlungen zu veranlassen,welche zum Nachteil der Zielperson oder Dritterführen 378 ."Die Kunst der Täuschung" von Kevin Mitnick 379 istnicht nur spannend geschrieben, sondern kann alsdas Standardwerk zum Thema mit der Einschränkungangesehen werden, dass es sich vorrangigum Fallstudien handelt, die nur begrenzt verallgemeinerungsfähigsind.Mitnick stellt seinem Buch von 2003 eine Definitionvoran, mit der er das Social Engineering (SocEng)klar von den technischen Methoden des Hackings,dem er sein zweites Buch gewidmet hat 380 , undden Überredungstechniken in Spam-Mails und aufWebsite-Pharmen abgrenzt.Sie sind wegen ihrer Ähnlichkeiten als SocEng imweiteren Sinne zu betrachten, so dass wir unterscheidenkönnen: die kommunikative (sozialpsychologische) Erkundungund Kombination vertraulicher Daten mitdem Ziel, diese zu missbrauchen (SocEng im engerenSinne), den Einsatz von Abhörtechniken und den Einsatz von Manipulationsstrategien,um EDV-Anwender ohne persönliche Ansprachedurch Online-Informationsträger zur Offenbarungvertraulicher Informationen (z.B. Phishing) oder zurunbedarften oder heimlichen Installation vonschädlichen Programmen (Crimeware 381 ) zu ver-377Die erste Fassung dieses Aufsatzes erschien am01.03.2009.378Jetzt: WP, Social Engineering (Sicherheit)379Siehe vorherige Seite.380Kevin Mitnick, William Simon, Die Kunst desEinbruchs. Risikofaktor IT, Heidelberg (mitp) 2006,CF, IT-Sicherheit, 2008381Siehe CF, gewandelte Angriffe aus dem Netz,29.11.2008; CF, Phishing mit Homebanking-Malware,22.10.2008; CF, Missbrauch fremder Identitäten,anlassen.Die Auseinandersetzung mit dem SocEng eröffnetdie Chance, die Angreifbarkeit und Sicherheit vonUnternehmen und Behörden insgesamt und unterEinschluss der technischen Sicherheit wahrzunehmen,zu bewerten und schließlich Sicherheitsmaßnahmenzu entwickeln.22.11.2008; CF, Nummertricks, 21.11.2008.
Dieter Kochheim, <strong>Cybercrime</strong> - 63 -B.1 1. Security JournalDem Schwerpunkt SocEng widmetesich zunächst die englischeFassung des SecurityJournals von McAfee 382 , dasspäter auch auf Deutsch erschienenist 383 .Die White Papers und sonstigen Publikationen vonMcAfee werden etwas versteckt im Threat Center384präsentiert, aber nicht weiter beworben. Das SecurityJournal ist die Fortsetzung der jährlichen Berichteüber die globalen Sicherheitsbedrohungen,die mich im vergangenen Jahr mit spannendenLänderberichten 385 überrascht haben. Sie sind mitdafür ausschlaggebend gewesen, dass ich zunächstdie Theorie von der modularen <strong>Cybercrime</strong>386entwickelt und dann für die modulare Kriminalität387 verallgemeinert habe.Die Erfahrungen zeigen (leider), dass ich damitRecht gehabt habe.B.1 2. Risikofaktor MenschMehr als 60 oder 70 Prozent aller Angriffe gegenDatenverarbeitungssysteme erfolgen nicht von außen,sondern von innen, also von den eigenen Mitarbeitern,die selten aus Böswilligkeit, sondern ausUnwissenheit, aus Unbekümmertheit oder aus BequemlichkeitBetriebs- und Sicherheitsvorgabenmissachten, umgehen oder aushebeln 388 . Dasselbegilt für Betriebs- und Unternehmensgeheimnisse,die nirgendwo so unüberlegt ausgeplaudertwerden wie am Telefon oder in E-Mails anGeschäftspartner.382McAfee, Security Journal. Social Engineering (eng.),09.10.2008;Internetverbrechen wird persönlich: McAfee SecurityJournal zum Thema "Social Engineering",securitymanager.de 14.10.2008;CF, Überredungstechniken, 23.11.2008383McAfee, Security Journal. Social Engineering (dt.),05.10.2008384McAfee, Threat Center385CF, globale Sicherheitsbedrohungen, 27.07.2008386CF, modulare <strong>Cybercrime</strong>, 07.08.2008387CF, modulare Kriminalität, 05.10.2008388IT-Sicherheit: "Interne Mitarbeiter größteSchwachstelle", tecchannel 16.04.2008Angriffe werden zunehmend personalisiertDie Zahl der interaktiven Angebote im Web wächstebenso wie die Bereitschaft der Nutzer,persönliche Informationen öffentlich zugänglich zumachen. Immer öfter werden diese Informationendaher auch von Cyberkriminellen missbraucht ...Auf Social Engineering basierter Spam nimmtzuImmer öfter verleihen Cyberkriminelle ihren Spam-Nachrichten dadurch Glaubwürdigkeit, dass sie siemit echten Informationen über die Adressatenanreichern ...Aktienkursmanipulation schreitet voranAktienbetrug per Internet funktioniert üblicherweisenach der Methode "pump and dump". Dabei wirdder Kurs von Aktien niedrig bewerteter Unternehmen- sogenannter Pennystocks - durch massenhaftversandte Kaufempfehlungen gezielt in dieHöhe getrieben ("pump"), worauf der Betreiber seinezuvor gekauften Anteile unter Ausnutzung desKurssprungs mit Gewinn auf einen Schlag wiederabstößt ("dump") ...Betrüger setzen auf die Angst der AnwenderMcAfee hat eine zunehmende Verbreitung bösartigerProgramme registriert, die sich als Anwendungenvon "Sicherheitsanbietern" ausgeben undInternetnutzern mittels Pop-ups angedient werden.Es wird auf eine vermeintliche Infizierung desRechners hingewiesen, die sich nur unterAnwendung eines bestimmten Programmsbeheben lässt. Installiert der Nutzer dasbeworbene Programm, öffnet dieses oft weitererMalware die Tür …nach: securitymanager.deMaßnahmen gegen das SocEng gehören deshalbinzwischen zum Grundschutzstandard für die IT-Sicherheit 389 .Dieser Erkenntnis folgend hat sich bereits in vielenUS-amerikanischen Firmen eine Sicherheitsphobieentwickelt, die zu massiven (illegalen)Überwachungen des Telefon- und E-Mailverkehrsgeführt hat 390 . Das größte Echo in der Öffentlich-389BSI, Gefährdungskataloge im BSI,Grundschutzhandbuch: G 5.42 Social Engineering390Wolf-Dieter Roth, Sicherheitsrisiko Mitarbeiter,Telepolis 12.06.2006;Peter Mühlbauer, Trojaner vom Chef, Telepolis04.04.2006;Peter Mühlbauer, Anonymisieren oderPseudonymisieren, Telepolis 18.04.2006.
Dieter Kochheim, <strong>Cybercrime</strong> - 64 -keit erfuhr die interne Untersuchung bei Hewlett-Packard wegen Insiderinformationen aus demVerwaltungsrat, die an die Medien weitergegebenwurden 391 . In jüngerer Zeit häufen sich aber auchvergleichbare Beispiele aus Deutschland 392 .Studien zur IT-Sicherheit sprechen davon, dass2005 jeder zwölfte Angriff zum Totalausfall der Firmen-ITgeführt hat (8,4 %). In 17,4 % der Fälle warenbetriebskritische Anwendungen nicht verfügbar,traten finanzielle Verluste (5,3 %) oder eine Schädigungdes Rufes oder der Marke ein (4,2 %). 393Als die vier wichtigsten Ursachen, die dem SocialEngineering von innen heraus den Boden bereiten,gelten schlechtes Betriebsklima, keine Karrierechancen,Lohndumping sowie mangelndeFort- und Weiterbildungskonzepte 394 .Dem SocEeng geht es um die Informationsbeschaffungund nicht zwingend darum, die Datenverarbeitungzu stören. Ihr Arsenal besteht aus allenMethoden der Manipulation und Suggestion:„Täuschung, Bestechung, Erpressung, Einschüchterung,Bedrohung, Appellieren an die Hilfsbereitschaftoder Ausnutzen der Arglosigkeit des Opfers“395.passt werden 397 .Ihr Anwendungsfeld reicht von der klassischen Industriespionage398 über das Ausforschen behördlicherGeheimnisse 399 und das Abwerben besondersqualifizierter und kenntnisreicher Mitarbeiter400bis hin zur Erstellung von Persönlichkeitsprofilen401 , die über Bewerber, Konkurrenten oder potentielleOpfer Auskunft geben 402 .Die Prognosen von Sicherheitsfachleuten sindbereits für 2009 davon ausgegangen, dass sichHacking- und Malware-Angriffe verstärkt auf einzelneGruppen, Organisationen und Unternehmenkonzentrieren werden 403 . Sie werden gepaartsein mit den Überredungstechniken desSoc-Eng, sei es, um Zugang zu geschützten Organisationenzu bekommen, ihre innere Strukturund ihre Schwachstellen zu erkunden oder umÜberwachungstechnik oder Malware zu platzieren404.Die dazu entwickelten Angriffsmethoden reichenvom Durchstöbern von Abfällen nach interessantenAufzeichnungen bis hin zu psychologisch geschicktenBefragungen 396 . Dabei handelt es sichum klassische Methoden der Detektiv- und Spionagearbeit,die an die heutigen Bedürfnisse ange-391Beschuldigungen gegen Ex-HP-Verwaltungsratsvorsitzende aufgegeben, Heiseonline 15.03.2007392Siehe: CF, viel Feind, viel Ehr, 03.02.2009; CF,illegaler Datenhandel, 15.12.2008; CF, abgehobenerJargon, 15.02.2009.393Angriffe auf IT-Sicherheit: Störfälle nehmen zu,tecchannel 06.10.2005394Lothar Lochmaier, Risikofaktor Mensch: Die Kunstdes Social Engineering, ZDNet.de 27.02.2007:"Human Firewall" beginnt mit klaren Regeln395Christoph Baumgartner, Social Engineering – trauschau wem, computerworld.ch 05.08.2005396Philipp Schaumann, Sicherheitsrisiko Mensch.Psychologische Aspekte des Social Engineerings,31.08.2006397CF, Schnittstellen zur Datenübertragung, 2007398CF, erhebliche Schäden durch Industriespionage,11.03.2008;siehe auch: CF, Eschbach, Der Nobelpreis,14.02.2009.399CF, filigraner Angriff, 14.05.2008400CF, Kopfjäger (Headhunter), 05.09.2008401CF, Preisgabe des Privaten, 09.07.2008402Siehe auch: Sicherheitskultur im Unternehmen,securitymanager.de, besonders das Kapitel"Datenklau für Dummies", S. 58.403CF, stärkere Ausrichtung auf Neigungsgruppen,31.12.2008404CF, Tarnung und Täuschung, 12.05.2008
Dieter Kochheim, <strong>Cybercrime</strong> - 65 -Verhaltensregeln für die Organisationssicherheit Keine Auskünfte erteilen, zu denen ich nichtausdrücklich ermächtigt bin. Das gilt für die Arbeitsaufgabenselber, die Arbeits- und Betriebsorganisationsowie für die Zuständigkeit von Kollegen,ihre geänderten Aufgaben und ihre Abwesenheit.Sie sind gerade nicht erreichbar und nicht etwa imUrlaub oder im Mutterschutz. Kein Zutritt für Fremde in geschlossene Bereiche,von denen ich nicht genau weiß, dass sie dazuberechtigt sind. Höflichkeit ist fehl am Platz! Schriftliche Aufzeichnungen und Dateien gehörensicher vernichtet. Jede Information kann in derZusammenschau mit anderen Schlüsse ermöglichen.Das gilt auch für Telefonlisten, Geschäftsverteilungspläneund andere organisatorischen Pläneund Aufzeichnungen. Offenbar brisante, vertrauliche oder geheime Informationenwerden nur mit den Mitarbeitern erörtert,die dazu ermächtigt sind. Das sind Kollegen mitbesonderen Aufgaben (Datenschutz, Unternehmenssicherheitusw.) oder die Vorgesetzten. IhrAnsprechpartner ist Ihr unmittelbarer Vorgesetzter.Er hat die Führungsverantwortung für Sie. HabenSie Zweifel an der Integrität Ihres Vorgesetzten,können Sie sich auch an dessen Chef wenden. Aufpassen und melden. Offene Türen, die eigentlichgeschlossen sein müssten, technischeVorrichtungen, die bislang nicht vorhanden waren,Personen, die man nicht kennt, oder merkwürdigesVerhalten des PCs. Alles kann darauf hindeuten,dass die Organisationssicherheit bedroht ist. Seien Sie zurückhaltend mit Auskünften! Lassen Sie sich nicht unter Druck setzen! Trauen Sie sich, ein Gespräch zu beenden! Überprüfen Sie die Identität eines Anrufers! Sichern Sie sich ab! Achten Sie auf sensible Dokumente! Seien Sie schweigsam in der Öffentlichkeit! Sprechen Sie fremde Personen an! Sicherheit geht vor Höflichkeit! Seien Sie auch in der Freizeit wählerisch mitden Gesprächsthemen!Schaumann (Secorvo) 407in den privaten Bereich hinein und stammen vonder Secorvo.Ganz wichtig dabei ist, dass Sicherheit nicht alsKontrolle der Mitarbeiter ausgerichtet wird, sondernals Identität und gemeinsames Anliegen.Dazu gehört auch der kritische Blick auf das auffälligeHandeln anderer Kollegen.Eine richtig verstandene und sensibel organisierteSicherheitskultur schützt gleichermaßen die IT-Infrastruktur,vor Datenmissbrauch und Korruption.Sie erfordert Schulungen und ein funktionstüchtigesMeldesystem mit geregelten Zuständigkeiten.Ihre Methoden sind die Motivation und der Lob.Sie muss gemeinsam von allen Beteiligten alsselbstverständlich gelebt werden.B.1 3. Verhaltensregeln für MitarbeiterVorsorge gegen das SocEng ist aber keine reineIT-Aufgabe, sondern eine Maßnahme zur Unternehmenssicherheit.Die Sicherheitskultur, die dazugeschaffen werden muss, lässt sich mit wenigenRegeln (siehe Kasten oben) formulieren 405 .Philipp Schaumann, der zur Sicherheitskultur undInformationssicherheit eine engagierte Webseitebetreibt 406 , gibt die Regeln in der Form von Merksätzenwieder (siehe oben rechts). Sie reichen bis405CF, wider dem Tratsch, 13.03.2008; CF, Sicherheitdurch Monitoring, 14.09.2007.406Philipp Schaumann, Secorvo Security Consulting,Video "Social Engineering" (Demo).407Philipp Schaumann, Sicherheitskultur undInformationssicherheit; ders., Schutz gegen SocialEngineering - neue psychologische Ansätze,Dezember 2008
Dieter Kochheim, <strong>Cybercrime</strong> - 66 -B.1 4. Vorgehen des Social EngineersSven Vetsch 408 beschreibt das Vorgehen beimSocEng in sechs typischen Schritten: InformierenInformationen über das Ziel der SocEng-Attackesammeln, z.B. Im Internet oder per „Dumpster diving“,also das Durchwühlen von Abfällen auf derSuche nach betriebsinternen Informationen wieOrganigramme, Telefonverzeichnisse, persönlicheAufzeichnungen. Andere öffentliche Quellen sindz.B. Bibliotheken, Patentschriften, Museen und öffentlicheAuftritte auf Messen. Kontakt aufbauenmit Anruf, persönlichem Besuch, Brief, E-Mail,Newsgroup, Weblog. Vortäuschung einer IdentitätIn eine andere Rolle schlüpfen, z.B. als Vorgesetzterder Kontaktperson, als Endanwender, alsKunde oder als Interviewer bei einer Telefonumfrage. Zielinformationen erarbeitenSich durch verschiedene Fragen an die Zielinformationenherantasten. Beispiele: Ich bin neu in der Systemverwaltung und mussIhre Anwenderdaten überprüfen. Wie war noch IhreZugangskennung? Und das Passwort? Hier arbeitet doch die Frau Sowieso (Informationaus einem Organigramm aus dem Vorjahr).Arbeitet die hier gar nicht mehr? Hier Meier, PI Garbsen. Ich habe von meinemKollegen den Vorgang wegen des Verkehrsunfalls(dort und dort) übernommen. Ist der Vorgang mitdem Führerschein schon bei Ihnen? Kontakt haltenWenn man die Zielinformationen hat, soll man denKontakt möglichst nicht “verlieren“. Die Kontaktpersondarf nicht merken, dass sie sensibleDaten an einen Social Engineer weitergegebenhat. Gute Kontakte kann man immer wieder verwenden.Der Zugang zu ihm ist leichter, weil man408Sven Vetsch, Social Engineering, 21.01.2006,disenchant.ch; nicht mehr verfügbar.auf die zurückliegenden Kontakte Bezug nehmenkann und die Kommunikation bereits vertraut ist.Der geschickte Angreifer lässt dabei auch immerwieder persönliche Informationen einfließen, dieer bei den früheren Kontakten gesammelt hat. Informationen zusammensetzenDie Teilantworten müssen sinnvoll miteinanderkombiniert werden. Meistens hat man nur nachTeilinformationen gefragt und auch nur solche erhalten.Sie mögen noch so banal erscheinen,können jedoch häufig zu sensiblen Informationenverbunden werden.Der Social Engineer ist ein intellektueller Angreifer.Er muss nicht nur über Einfühlungsvermögenverfügen, sondern auch gebildet sein. Er musssein Handwerk verstehen. Dazu gehören nichtnur Kenntnisse über die Zielorganisation, sondernauch über die Sprach- und Handlungsgewohnheitenihrer Mitarbeiter. Schließlich muss der SocialEngineer die Informationen, die er erhalten hat,bewerten, verbinden und wieder feinfühlig bewertenund hinterfragen.Das ist ein kriminalistisches Vorgehen, das identischmit der Prüfung des Verdachts 409 im Zusammenhangmit Straftaten ist.B.1 5. noch einmal: Security JournalDas Security Journal - SJ 410 - befasst sich mit derheimtückischsten und allgegenwärtigen Bedrohung– dem Social Engineering 411 . McAfee istkein Consulter für die Unternehmensorganisation,sondern ein Anbieter von Sicherheits- und Anti-Malware-Software. Seine Aussage überrascht,weil sie so gar nichts mit dem Vertrieb desUnternehmens zu tun hat.McAfee's Blickrichtung ist jedoch eine andere alsdie von Mitnick oder Veitsch, weil die Studie dietechnischen Angriffsszenen in den Vordergrundstellt und dann erst nach den betrügerischenStrategien fragt, mit denen sie umgesetzt werden.409CF, Verdacht, 2008; CF, Geltung von Beweisen undErfahrungen, 29.11.2009.410McAfee, Security Journal. Social Engineering,05.10.2008411SJ, S. 3
Dieter Kochheim, <strong>Cybercrime</strong> - 67 -Dieser Blick auf das SocEng im weiteren Sinne istgenau richtig, weil wir nach den Bedrohungen imZusammenhang mit der IT fragen und nicht danach,wie man Leute überhaupt betrügen kann 412 .Einen amüsanten Einstieg liefert Hiep Dang, indemer überlieferte Beispiele für das SocEng aus derklassischen Sagenwelt und der Bibel beschreibt 413 .Anschließend zeigt er die Entwicklungen bei derMalware und den Sicherheitstechniken auf.Die Aufsätze im übrigen beschäftigen sich mit denErscheinungsformen und Techniken des SocEng.B.1 5.1 PsychotricksKarthik Raman schildert die medizinischen undpsychologischen Grundlagen für menschliche Entscheidungenund deren Missbrauch 414 .Dazu geht er zunächst auf die Bedeutung emotionalerEntscheidungen ein, die nicht zwangsläufigim Einklang mit rationalen Erwägungen stehen.Unredliche Politiker, Spione und Hochstapler wissennur zu gut, dass sie ihre Ziele sehr effizient erreichenkönnen, wenn sie an Emotionen – insbesonderean die Angst – appellieren, um eine emotionaleReaktion auszulösen. Diese Tradition setzenSocial Engineers nun fort 415 .Raman widmet sich sodann verschiedener Spielartendes SocEng. Viele seiner Beispiele sind vonMitnick übernommen worden, was die Darstellungnicht schmälert. Ihm geht es darum, die bekanntenTechniken auch bekannt zu machen, um sie durchSicherheitskonzepte und Schulungen abzuwehren.412CF, Trickbetrüger, 31.12.2008; CF, Proll-Skimming,18.05.2008.413Hiep Dang, Die Anfänge des Social Engineering, SJ,S. 4414Karthik Raman, Bittet, dann wird euch gegeben, SJ,S. 9415Ebenda, S. 10.Kunden der Nordea Bank erhielten (im Januar2007) eine E-Mail, in der sie gebeten wurden, diedarin angegebene „Anti-Spam“-Software herunterzuladenund zu installieren – und da die Nachrichtallem Anschein nach von ihrer Bank stammte, kamen250 Kunden dieser Aufforderung nach. Beidieser Anti-Spam-Software handelte es sichtatsächlich um einen Trojaner, der Kundendatensammelte, mit denen sich Kriminelle auf derWebsite der Bank anmeldeten und Geld stahlen.Es kam zu einem Schaden von 877.000 Euro.Karthik Raman, SJ, S. 9B.1 5.1.1 Emotionen manipulierenHierbei wird auf universale Gefühle wie Angst,Neugier, Gier und Mitgefühl abgezielt. Das Beispieloben zeigt, wie die Angst instrumentalisiertwerden kann. Die Neugier der Mitmenschen wurdeim April 2007 ausgenutzt, als die Angreifer aufeinem Parkplatz in London USB-Sticks "verloren".Die glücklichen Finder infizierten ihre PCs mitPhishing-Malware (SJ, S. 10).B.1 5.1.2 Fehlgeleitete mentale VerknüpfungenDarunter versteht Raman ein Vorgehen, bei demdie Faustregeln des Alltagslebens (Heuristik)durch kognitive Verzerrungen durcheinander gebrachtwerden. Entscheidungsstützende VerzerrungSie zielt auf Gewohnheiten und Erfahrungen derAnwender. Nachgemachte Webseiten, Spam-Mails, die bekannte Unternehmensinformationenoder Newsletter nachahmen, und Nachrichtenvon angeblich vertrauten Kommunikationspartnernnutzen diese Methode, um das Opfer zurPreisgabe persönlicher Informationen zu bewegen. BestätigungsfehlerAls Beispiel nennt Raman die in vielen Unternehmenübliche Uniformierung von Mitarbeitern. EinAngreifer in derselben oder in einer nachgemachtenUniform wird vom Opfer ohne Nachfrage alsMitarbeiter jenes Unternehmens identifiziert.Eschbach spricht insoweit von der Magie von Visitenkarten.
Dieter Kochheim, <strong>Cybercrime</strong> - 68 -Auf dem Weg dorthin hielt ich an Fotogeschäften,Copyshops und ähnlichen Läden, bis ich einen miteinem Automaten fand, der Visitenkarten druckte.Fünf Minuten später war ich im Besitz von zwanzigfrisch gedruckten, erstaunlich gut aussehenden Karten,denen zufolge ich Mats Nilsson hieß und ProductionDesigner einer Filmgesellschaft namensColumbia-Warner Entertainment mit Sitz in BeverlyHills, Los Angeles, war.Eschbach 416 Mere-Exposure-EffektDer "Effekt der bloßen Darstellung" nutzt die Sensationslustbei spektakulären Ereignissen wie Katastrophenund Unglücke 417 . In ihrer Folge steigtdie Zahl der Phishing-Seiten an, die sich demThema widmen und ihre Malware platzieren sollen. AnkerheuristikDabei geht es um ins Auge springende Identifikationsmerkmale(Bank-Logo, Kennzeichen von Marken,Corporate Identity), die Vertrautheit bewirkenund die Kritikfähigkeit schwächen (nachgeahmteBankseiten).B.1 5.1.3 Fehler im Schema verursachenSozialpsychologen definieren ein „Schema“ als Abbildder Realität, auf das wir uns beziehen, umSchlussfolgerungen zu unserer Umgebung ziehenzu können (SJ, S. 11). Schemata sind danach ausder Erfahrung gebildete Schablonen für Verhaltensweisen,die als "normal" oder "unauffällig" betrachtetwerden. Der Angreifer nutzt sie, um in derMenge unterzutauchen. 418416Andreas Eschbach, Der Nobelpreis, BergischGladbach (Lübbe) 2005, S. 291417… oder andere Ereignisse wie die Wahl von Obamazum US-Präsidenten: McAfee, February 2009 SpamReport, 02.02.2009, S. 6.418Die automatische Erkennung unüblichenmenschlichen Verhaltens wird versucht, steckt abernoch in den Kinderschuhen: CF,Überwachungskameras. Prävention und Aufklärung,29.12.2007; CF, biometrische Erkennungsverfahren,01.02.2009.Die Kunst der Verkleidung besteht in der Veränderungder zwei entscheidenden Merkmale:Körpersilhouette und Bewegung. ... Nichtsübertreiben, darauf kam es an. Völligdurchschnittlich auszusehen und niemandemaufzufallen war das anzustrebende Ideal.Und bloß nicht schleichen! Schleichen ist verdächtig.Man darf auf feindlichem Gelände niemalsohne Not schleichen, sondern muss sichentspannt bewegen, zielstrebig, soselbstverständlich, als habe man hier zu tun, alsgehe man nur seinem mäßig geliebten Job nach.Ich konnte ein Wachmann sein, ein Bote,irgendjemand, der einfach etwas vor die Haustürzu legen hatte.Mit dieser Haltung war ich einmal sogar von einemgroßen Firmengelände entkommen, obwohl schonein von mir versehentlich ausgelöster Alarm in vollemGange gewesen war. Überall drehten sichgelbe Warnlichter, heulten Signalhupen, doch ichspazierte gelassenen Schrittes am Pförtnerhausvorbei und brachte es fertig, den Pförtnerverwundert zu fragen, was denn da los sei.Eschbach 419 AttributionsfehlerHierbei geht es um gut geübte Schauspielerei.Angreifer können sich sympathisch verhalten,wenn sie eine Bitte äußern, oder dominierendauftreten, wenn sie ihre Opfer zu einer bestimmtenHandlung nötigen. (SJ, S.11) SalienzeffektDie Angreifer fügen sich unauffällig wie ein Chamäleonin ihre Umgebungen ein, schließen sichGruppen an, die verschlossene Eingänge nutzen,und lösen sich von ihnen ebenso unauffällig. Siegeben sich vielleicht als Kunde im Anzug oder alsBetreuer in Arbeitskleidung aus, aber nicht alsGaukler auf Stelzen. Die Integration ist dabeinicht nur auf die Kleidung oder das Erscheinungsbildbeschränkt – sie kann sich auch auf dieKenntnis von unternehmenseigenem Jargon, firmeninternenEreignissen sowie Mitarbeitern desUnternehmens und sogar auf die Beherrschungdes lokalen Dialekts erstrecken. (SJ, S. 11)419Eschbach, ebenda, S. 189, 373
Dieter Kochheim, <strong>Cybercrime</strong> - 69 -Ich glaube nicht, dass Computerkriminelle neueTechniken anwenden. Sie setzen lediglich leicht veränderteMethoden ein, um Menschen zu betrügen.Die aktuellsten und effizientesten Bedrohungen sindmeist automatisierte Angriffe, da diese leichterdurchgeführt werden können und ein besseres Aufwand-Nutzen-Verhältnisbieten. Sie werden immerdie Technik wählen, mit der sie weniger Zeit oderGeld für bessere Ergebnisse investieren müssen.Matthew Bevan 420 Konformität, Nachgiebigkeit und GehorsamAuch hier geht es um das Auftreten, jedoch gepaartmit Eindruck schindenden Elementen wieHerablassungen, Drohungen oder Versprechungen.So könnte sich ein Social Engineer als Führungskraftauf Geschäftsbesuch ausgeben undsich gegenüber einem jungen Sicherheitsbedienstetendurchsetzen, dass er ihm Zugang zumFirmengelände gewährt, obwohl er kein Namensschildträgt. (SJ, S. 11)B.1 5.2 Geld machen mit <strong>Cybercrime</strong>Die Zeit der Unschuld ist vorbei 421 . Das legt auchMarkus Jakobsson zugrunde und beschreibt dieaktuelle und künftige <strong>Cybercrime</strong> als geschäftsmäßigeAktivitäten 422 .Die Methoden des Betruges im Internet betrachtetJakobsson als eine Mischung aus IT und SocEng.Wegen der zunehmenden Strafverfolgung meint er,dass die Cyber-Kriminellen verstärkt dazu übergehenwerden, ihre Spuren zu verwischen.Dazu blickt er zunächst zurück auf den Trojaner Archiveus,eine "Lösegeld-Ware" (Ransomware 423 ),mit der die Daten der Opfer verschlüsselt wurden.Anschließend kam die erpresserische Forderung,dass gegen Geld der Schlüssel für die Entschlüsselunggeliefert werde. Das Scheitern des Troja-420McAfee, Bericht ... zum Thema Virtuelle Kriminalität,Matthew Bevan, S. 4; McAfee, Computerkriminalitätund Computergesetze, 08.12.2008421CF, Hacker: Moral und Unmoral, 07.08.2008422Markus Jakobsson, Social Engineering 2.0: Wasbringt die Zukunft? SJ, S. 13423CF, hilfsbereite Gauner, 10.01.2010ners hatte aber nicht nur technische Gründe: Esgab für die Kriminellen keine Möglichkeit, an daserpresste Geld heranzukommen, ohne dass manihnen auf die Spur gekommen wäre (SJ, S. 14).424Sodann geht Jakobsson auf die Vandalware ein.Bevor sie zum Einsatz kommt, erwirbt der AngreiferPut-Optionen gegen ein Handelsunternehmen,also Wettscheine auf die Erwartung, dass derHandelswert des Unternehmens sinkt. Dann folgtder Angriff mit dem SocEng, um in dem Unternehmenüber Mitarbeiterkontakte die Vandalware zuverbreiten. Wenn das erfolgreich war, dann folgtder zerstörerische Angriff, der zum Beispiel zurVeröffentlichung von Kundendaten auf der Unternehmenshomepage,zum Zusammenbruch derWebshops oder zum Ausfall des Rechnungswesensführt. Die Börsen reagieren darauf unmittelbar,seine Put-Optionen gewinnen an Wert undder Angreifer macht Gewinn (SJ, S. 14).Schließlich stellt Jakobsson den Klickbetrug vor.Wenn ein Käufer auf eine Werbung klickt, zahltder Inserent sowohl an den Betreiber der Website,auf der die Werbung angezeigt wird, als auchan das Portal, das die Website mit der Werbungbereitgestellt hat, eine Gebühr. Allein schon beider Auswahl der Referenzwörter können mehroder weniger hohe Kosten zu Buche schlagen(Suchwort-Arbitrage). Aber das ist noch kein Betrug(Szenario 2, SJ, S. 15)Mit angeworbenen Klickern, also Menschen, automatischenWebsite-Weiterleitungen und Klick-Robotern, also Programmen, die den Seitenaufrufpermanent durchführen, können jedoch die Klickzahlenin die Höhe getrieben werden ... und derGewinn.Noch besser dazu geeignet sind Botnetze. JederZombie klickt einmal und die Klickzahl geht insUnermessliche ... dann folgt die nächste Runde.Das zahlungspflichtige Unternehmen hat kaumeine Chance zu beweisen, dass es mit kaufdesinteresiertenZombies betrogen wurde.424CF, teure Placebo-Software: Scareware,23.10.2008;siehe auch: CF, Koobface-Gang antwortet,23.05.2010
Dieter Kochheim, <strong>Cybercrime</strong> - 70 -Ein feinsinniges Beispiel liefert Jakobsson dafür,wie Preisunterschiede bei den Klickwörtern ausgenutztwerden können. Das Suchwort "Asthma"ist verbreitet und eine Platzierung bei Google kostetetwa 0,10 US-$. Wenn der Täter auf seinerWebseite zum Thema Asthma einen Artikel einstellt,in der die sachlich blödsinnige Frage gestelltwird: „Wussten Sie, dass bei zehn Prozent derAsthmatiker das Risiko besteht, an einemPleuramesotheliom zu erkranken?“, kann er erwarten,dass sehr viele besorgte Besucher dieWerbung zum Suchwort Pleuramesotheliom anklicken.Jeder Klick bringt etwa 63 US-$ (SJ, S. 15).B.1 5.3 gezielte ManipulationenAn Jakobsons Vandalware schließt Anthony Bettiniwegen der Schwachstellen an den Aktienmärktenan 425 . Er betrachtet zyklische und vorhersehbareAktienkursschwankungen sowie andere Besonderheitendes Aktienmarktes. Am Rande berührter Spam-Mails, die zum Kauf von Penny-Stocks aufrufen. Wenn sich der Spammer selbereingedeckt hat, dann kann er durch seine Werbungvorübergehend die Kurse ansteigen lassen undrechtzeitig bei (erwartetem) Höchststand verkaufen.Diese Methode ist nicht ganz so brutal wie dievon mir geschilderte 426 .Elodie Grandjean analysiert im einzelnen dieSpam-Mails und Malware-Angriffe, die 2008 dieOlympischen Spiele in China und die politischenAuseinandersetzungen um den politischen Statusvon Nepal zum Gegenstand hatten 427 .Wir haben bereits erlebt, dass einzelne Mitgliedervon Pro-Tibet-Gruppen E-Mails erhielten, die einemit der Situation in Tibet, China im Allgemeinenoder der Olympiade in Verbindung stehende CHM-(kompilierte Hilfe), PDF-, PPT-, XLS- oder DOC-Datei als Anlage enthielten. Sämtliche dieser E-Mails schienen von einer vertrauenswürdigenOrganisation oder Person zu stammen. Die Empfängerwaren es gewohnt, solche Dokumente vonihren Unterstützern zu erhalten, und warendeshalb wohl nicht allzu wachsam. Die Anlagenjedoch waren bösartig (SJ, S. 17).Craig Schmugar hebt die zunehmende Bedeutungvon sozialen Netzwerken hervor und weistbesonders auf ihre Werbe- und Marketingmöglichkeitenhin 428 . Er beschreibt sodann ihre Anfälligkeitgegen Malware 429 und ihre künftigen Entwicklungen:Integration von GPS für standortabhängigeDienste, Datamining und Auswertung derbesonderen Nutzerinteressen.Social-Websites werden auch cleverer werdenund Benutzerinformationen im Web sammeln.Social-Bookmarking-Funktionen wie Digg werdenmit sozialen Netzwerken kombiniert und mitselbstlernenden Technologien wie Pandora oderStumbleUpon und Tagging-Funktionen wie Flickraufgewertet werden. Im Endergebnis steht derCommunity ein noch umfangreicherer und detailliertererStrom an relevanten Informationen zurVerfügung, als dies derzeit der Fall ist. Auf IhremiPhone werden Sie Empfehlungen zu Filmen ausIhrem Netzwerk erhalten können. ... (SJ, S. 29)Ob das alles wünschenswert ist, ist eine zweiteFrage. Diese Dienste vergläsern die Anwenderund lassen eine genaue Platzierung von Werbungzu. Die von ihnen gesammelten Daten und ihreAuswertungen eröffnen aber auch dem MissbrauchTür und Tor. Das verkennt auch Schmugarnicht, der breit die "Zunahme von Risiken" anspricht(SJ, S. 30).425Anthony Bettini, Schwachstellen an denAktienmärkten an, SJ, S. 22;siehe auch CF, merkwürdiger Markt, 27.10.2008.426CF, Aktienkursmanipulation, 28.11.2008427Elodie Grandjean, Ein ideales Ziel für Social-Engineering-Malware, SJ, S. 16;siehe auch CF, olympische Angriffe, 11.08.2008.428Craig Schmugar, Die Zukunft von Social-Networking-Websites, SJ, S. 28429CF, prominente Verführung & Sex, 11.01.2009;CF, Angriffe aus dem Internet, 22.06.2008;CF, leichtfertiger Umgang mit sozialen Netzen,23.10.2008; CF, harte Realität, 12.02.2009
Dieter Kochheim, <strong>Cybercrime</strong> - 71 -Spionageaktionen laufen für gewöhnlich verdeckterab und sind wesentlich schwerer aufzudecken, alsein aus reinen Profitgründen durchgeführter Angriff.In vielen Fällen waren die Schwachstellen in diesenböswilligen eingebetteten Dokumenten Zero-Day-Angriffe, wodurch diese Dokumente noch schwererzu entdecken sind, da diese Schwachstellen oft erstgefunden werden, wenn der Schaden bereits entstandenist. Weil diese Zero-Day-Schwachstellenauf bestimmte Behörden oder militärische Einrichtungenabzielten, kann nicht ausgeschlossen werden,dass ausländische Agenten oder Regierungendiese Angriffe gesponsert haben.Rahul Kashyap 430B.1 5.4 Schwachstellen, Exploits und FallenRahul Kashyap zeigt die Entwicklung der Malwareauf und vor allem ihre zunehmende Individualisierungfür gezielte Angriffe gegen Unternehmenund Behörden 431 .Er weist zunächst auf die seit 2004 stagnierendeund seit 2006 abnehmende Zahl von Malware-Angriffen gegen Server-Produkte von der FirmaMicrosoft hin, was deren Strategie bestätigt, regelmäßigautomatische Updates bereit zu stellen,mit denen Programmfehler und festgestellte Sicherheitslücken(Exploits) behoben werden.Gleichzeitig stieg jedoch die Zahl der Angriffe gegendie Arbeitsplatzrechner (Clients), wobei wenigerdie Betriebssysteme als die gebräuchlichenAnwenderprogramme missbraucht werden. Dasbeschränkt sich nicht auf die weit verbreitetenProdukte im Ofice-Paket von Microsoft, sondernbetrifft auch z. B. Adobe, Mozilla und Apple (S. 32).432Für die Ausnutzung von Client-Schwachstellensind jedoch Benutzerinteraktionen entscheidend.Malware-Autoren mussten deshalb Wege finden,wie sie Benutzer zum Klicken auf Links und Herunterladenvon Bildern sowie Dokumenten ausdem Internet verleiten konnten. Und damit sind wirwieder beim SoEng.430Rahul Kashyap, Das neue Gesicht derSchwachstellen, SJ, S. 31431Ebenda.432Siehe: CF, gewandelte Angriffe aus dem Netz,29.11.2008.Gleichzeitig habe sich auch die Methodik der Malwareschreiberzur Spionage hin verändert, berichtetKashyap. Waren die Angriffe zunächst breitangelegt, roh und zerstörerisch, so seien sie immerfeiner auf einzelne Einrichtungen, Unternehmenund Behörden ausgerichtet worden 433 .Zwei weitere Trends stellt Kashyap vor: ManipulierteWebserver 434 und Angriffe gegen Router inprivaten Heimnetzwerken 435 .B.1 5.5 TyposquattingDaran schließt Benjamin Edelman an, der sichdem Typosquatting widmet 436 .Zur Vorbereitung dieser schon länger bekanntenMethode 437 registrieren die Angreifer für sich Domänennamenmit leichten Abweichungen gegenüberbekannten Markennamen und Internetanbietern.Dazu ist es besonders beliebt, Buchstabenmit solchen auszutauschen, die auf der Tastaturunmittelbar daneben angeordnet sind (z.B."giiple.com") und damit Erfolg bei "Vertippern"versprechen. Auch das Weglassen von Zeichengehört dazu, z.B. des Punktes bei"wwwmcafee.com" (SJ, S. 34).Im Auftrag von McAfee hat Edelmann 80.000 Typosquatting-Domänenallein für die Top 2.000-Websites gefunden (Mai 2008). Für besondersgefährlich erachtet er solche Vertipper-Seiten, diesich auf besonders von Kindern besuchten Seitenbeziehen und ihrerseits pornographische Bilderpublizieren.433CF, Massenware und gezielte Spionage,12.05.2008; CF, Cyberwar, 13.12.2008; CF,filigraner Angriff, 14.05.2008; CF, Umleitungen zumanipulierten Webseiten, 09.12.2008.434CF, Angriffe gegen Webserver, 21.11.2008;CF, SQL-Würmer, 20.09.2008; CF, Gegenspionagewider 'ZeuS' und 'Nethell', 19.12.2008;CF, Kollisionsangriff gegen Webseitenzertifikat,15.02.2009.435CF, Malware. Betriebssystem, 12.05.2008;CF, Angriffe auf DSL-Router, 23.01.2008.436Benjamin Edelman, Unfreiwillige Abenteuer beimSurfen im Internet, SJ, S. 34437CF, Typo-Squatting, 29.11.2007; CF, Abzocke mitDomain-Tasting, 31.01.2008; CF, Domain-Namen-Inflation, 29.01.2009.
Dieter Kochheim, <strong>Cybercrime</strong> - 72 -David Marcus greift eine Studie von McAfee ausdem Juni 2008 auf und stellt die gefährlichsten Domainsvor 438 , die mit einer Häufung als Spam-Versender, Malware-Depots oder manipuliertenWebseiten auffallen 439 . Die beiden Spitzenreitersind die USA und Polen.B.1 5.6 Adware und SpywareAdware und Spyware sind potentiell unerwünschteProgramme - PUP, die wegen ihrer Verbreitungden Begriff "Trojaner" bekannt gemacht haben 440 .Sie waren in aller Regel in ein selbständiges Programmeingebettet, mit denen die Funktionen desPCs erweitert werden konnten (z.B. MP3-Player,Übersetzungsprogramme, Spiele). Mit ihrer Geschichteund Funktion setzt sich Aditya Kapoorauseinander 441 .Als Adware werden Programme bezeichnet, dieneben ihrer nützlichen Funktion unvorhergesehenWerbung anzeigen 442 .Im engeren Sinne steht der Begriff Spyware fürÜberwachungssoftware, die ohne angemesseneKenntnisnahme, Zustimmung oder Kontrolle durchden Benutzer installiert wird. (SJ, S. 38) Imweiteren Sinne wird Spyware als ein Synonym für(Technologien) verwendet, die ohne entsprechendeZustimmung des Benutzers installiert und/oderimplementiert werden ... (SJ, S. 38)Es gibt auch Mischtypen davon, etwa Adware, diegleichzeitig das Nutzerverhalten überwacht undauswertet, um dann gezielt ausgewertete Werbungzu übermitteln.Die PUPs erschienen erstmals 2000, hatten 2005438CF, Schurkenstaaten, 20.06.2008;CF, gefährliche Lokale, 21.02.2008.439David Marcus, Wie gefährlich sind Top-Level-Domains? SJ, S. 44440Heute werden als "Trojaner" vor allem Trägerdateienmit eingebetteten Malware-Funktionen bezeichnet,siehe: CF, Malware. Tarnung und Täuschung,12.05.2008.441Aditya Kapoor, Was ist aus Adware und Spywaregeworden? SJ, S. 38;siehe auch: Anna Stepanov, Spyware: BeständigerWandel, McAfee 02.12.2007442Eine jüngere Spielart davon ist dieCF, Nörgelsoftware (Nagware), 14.01.2008.den höchsten Grad ihrer Verbreitung und gehenseither zurück (SJ, S. 39). Bei ihrer Verbreitungwerden zunehmend die Methoden des SocEnggenutzt.Ihre Verbreitung finden die PUPs wegen einesbesonderen Vergütungssystems, dem Pay-Per-Installation - PPI, bei dem für jedes installiertePUP eine Provision bezahlt wird. Kapoor nenntein Beispiel: ZangoCash zahlt ... für jede installierteAdware in den USA zwischen 0,75 und 1,45US-Dollar (SJ, S. 39). Die Installation wird vermittelseines Refferers (Nachverfolger) signalisiert.Für den Verbreiter kommt es also darauf an, möglichstviele Installationen zu erwirken, so dass siein häufigen Fällen auf die Anzeige der Endbenutzer-Lizenzverzichten oder die PUPs gleich mitder Malware verbreiten.Ein anderes Vergütungssystem ist das Pay-Per-Click - PPC.Einige der gebräuchlichsten Transportmechanismenfür PPC-Inhalte sind:• Bannerwerbung: Werbeanzeigen werden innerhalbeines Banners oder vordefinierten Bereichseingeblendet. Wechselnde Inhalte sind möglich.• Pop-Up- oder Pop-Under-Werbung: Die Werbungwird in eigenen Fenstern angezeigt, wasvon den Benutzern meist als störend empfundenwird.• Flash-basierte Werbung: Ist der Bannerwerbungähnlich, es werden jedoch Flash-Animationenverwendet, um wechselnde Inhalte anzuzeigen.(SJ, S. 40)Im Weiteren referiert Kapoor verschiedene Methodenund Vorfälle der missbräuchlichen Verbreitungvon PUPs über Spam-Mails, soziale Netzwerke,Suchmaschineneinträge und gefälschteWebseiten.
Dieter Kochheim, <strong>Cybercrime</strong> - 73 -B.1 5.7 Ergebnisse aus dem Security JournalDie Ergebnisse der Studien wurdenin der Meldung über dieenglischsprachigen Ausgabeveröffentlicht 443 .Der Ansatz von McAfee, im Zusammenhangmit dem SocEngeinen besonders intensivenBlick auf die Malware zu werfen,ist sicherlich berechtigt, verkürzt aber das Themaals solches. Richtig daran ist, dass die Verbreitungvon Malware und das Locken auf manipulierteWebseiten ohne die mittelbaren sozialpsychologischenÜberredungsmethoden des SocEng nichtmehr möglich sind oder jedenfalls nicht in dieserHäufung funktionieren würden. "Mittelbar" deshalb,weil hier vor allem mit Texten, Bildern und demLayout umgegangen wird, um den Anwender inVertrauen zu wiegen oder zu übertölpeln.Das unmittelbare SocEng benutzt keine Medien,sondern findet nur in sozialer Kommunikation statt.Es wird immer auch Mischformen geben, in denender Social Engineer auch Medien einsetzt oderAbhörtechnik und die Methoden des Hackings.Die Auseinandersetzung mit dem SocEng, die KarthikRaman nach einer nicht geglückten Einleitungüber die medizinischen und psychologischenGrundlagen vollführt, beschränkt sich auf die vonMitnick bekannten Fallstudien und findet keine Verbindungzu den Themen im Security Journal im übrigen.Sein Verdienst ist es, dass er die Methodender Manipulation in den Zusammenhang zu sozialpsychologischenSchemata stellt und damit bessersystematisiert.Die übrigen Aufsätze liefern gute Zusammenfassungenzu einzelnen Themen und Aspekten. Ihnenfehlt jedoch der Zusammenhang und besondersfehlt eine Systematik der Methoden des mittelbarenSocEng. Außerdem weisen die AufsätzeLücken auf, weil sie Botnetze und ihre Betreiberunerwähnt lassen und die verschiedenen Formender <strong>Cybercrime</strong> sowie die dabei verwendeten Methodennicht analysieren und systematisieren.443Siehe oben undCF, Überredungstechniken, 23.11.2008B.1 5.8 Fazit: Security JournalDas Security Journal 444 ist einewichtige und zum Lesen empfohleneVeröffentlichung. Esbleibt aber hinter meinen Erwartungenzurück.Der letztjährige Report über dieglobalen Sicherheitsbedrohungen445 war nicht nur spannenderund exotischer, sondern auch Erkenntnis fördernder.Es ist schade, dass er keinen Nachfolgerbekommen hat.Dabei ist McAfee inzwischenviel weiter, als das SecurityJournal erkennen lässt. DerJahresbericht zur Entwicklungder Virtuellen Kriminalität 2008hat deutliche Worte zurStrafverfolgung 447 , zumCyberwar 448 und zum kriminellenZahlungsverkehr gefunden.Diese Gesichtspunkte werden im SecurityJournal nur gestreift, was die Vermutung entstehenlässt, dass sie auch nicht hintergründig eingeflossensind.Auch die Prognosen von McAfee sind inzwischenerheblich härter und punktgenauer geworden. DieVoraussagen über die Bedrohungen in 2009 449begrüßen den nachhaltigen Rückgang des Spammingsnach dem Abschalten der IP-Adressen derals Spammer berüchtigten McColo Corporationund fordern weitere solche Aktionen vonRegierungen und Zugangsprovidern (S. 10) 450 .Darüber hinaus erwarten sie neue Formengefälschter Webseiten mit angeblichen Finanz-444McAfee, Security Journal. Social Engineering (dt.),05.10.2008445CF, globale Sicherheitsbedrohungen, 27.07.2008446McAfee, Bericht ... zum Thema VirtuelleKriminalität, McAfee, Computerkriminalität undComputergesetze, 08.12.2008447CF, Strafverfolgung, 13.12.2008448CF, Cyberwar, 13.12.2008449McAfee, 2009 Threat Predictions, 13.01.2009450Das Geschäftsfeld wurde inzwischen vonBotnetzen übernommen: McAfee, January SpamReport, 08.01.2009 (S. 4)
Dieter Kochheim, <strong>Cybercrime</strong> - 74 -und staatlichen Dienstleistungen (S. 5).Wünschenswert wäre eine Auseinandersetzung mitdem SocEng als Bestandteil der Erscheinungsformender <strong>Cybercrime</strong> insgesamt gewesen.Das könnte ein zu stark wissenschaftlicherAnspruch sein, weil dazu, jedenfalls wegen deraktuellen Ausprägungen, mehr Erfahrungswissenüber die Datenspionage und den Cyberwar erarbeitet,gewürdigt und bewertet werden muss.Aber auch Mitnicks Werk 451 besteht aus Fallstudienund Balduans 452 Bericht musste ich mit anderenQuellen verbinden, bis ich daraus die Theorievon der modularen <strong>Cybercrime</strong> 453 entwickelnkonnte.B.1 6. Lehren aus den Fallstudien zumSocial EngineeringDie von Mitnick und dem Security Journal geliefertenFallstudien zeigen, dass das Social Engineeringkeine eigenständige Erscheinungsform der<strong>Cybercrime</strong> ist. Seine Ursprünge liegen in denMethoden der Rhetorik, der Manipulation und derSuggestion und können ganz verschiedenenZwecken dienen.Seine ersten konkreten Ausformungen bezieht dasSocial Engineering aus den Erfahrungen undPraktiken der Trickbetrüger 454 . Seine selbständigeAusrichtung hat es jedoch durch die Spionagebekommen, die von Kundschaftern, Diplomaten,Spionen und Agenten entwickelt wurden. Wenn siegut sein und unentdeckt bleiben wollten, musstensie technisches und sonstiges Wissen mit sozialerKompetenz und Abgebrühtheit verbinden. Genaudas zeichnet den "echten" Social Engineer aus.Seine Methoden und Machenschaften unterscheidensich vom Grundsatz her nicht von denen andererTätigkeiten, denen es um die Beschaffunggeheimer Informationen und den Schlüssen geht,die aus ihnen und öffentlichen Informationen gezogenenwerden. Darin unterscheidet er sichüberhaupt nicht von Informationsbrokern, Geheimdienstlernund Ermittlern.Das Social Engineering darf eine gewisse Eigenständigkeitnur in dem Bezug beanspruchen,dass es ihm um die Penetration informationstechnischerSysteme und Daten geht. Seine Ausrichtunggeht auf die Informationstechnik und ihre Besonderheitenbestimmen die Ausprägung der sozialpsychologischenMethoden und eingesetztenTechniken.Die künftige Entwicklung, die vermehrt individualisierteAngriffe und Spionage gegen Einrichtungen,Unternehmen und Behörden erwarten lässt,wird das Social Engineering als eigenständige Erscheinungsformim Zusammenhang mit der Informationstechnikvernichten. Alle anderen Spionage-und Ermittlungsformen werden sich wegen ihrerMethoden angleichen, schnöde und IT-Technik miss- und gebrauchen ähnliche Gedankengängewegen der Auswertung von Informationenentwickeln.Das gilt besonders auch für staatliche Ermittler,die technische und soziale Kompetenz verbindenmüssen - und bei ihren Methoden an Recht undGesetz gebunden bleiben.Das will ich auch nicht anders.451Siehe oben.452Gordon Bolduan, Digitaler Untergrund, TechnologyReview 4/2008, S. 26 ff.;siehe: CF, <strong>Cybercrime</strong>: Zusammenarbeit vonSpezialisten, 13.07.2008.453CF, arbeitsteilige und organisierte <strong>Cybercrime</strong>,07.08.2008454CF, Trickbetrüger, 31.12.2008
Dieter Kochheim, <strong>Cybercrime</strong> - 75 -B.2 Beobachten und bewertenEin geschickter Angreifer kann allein mit seinenBeobachtungen, mit öffentlichem Allgemeinwissenund überlegten Kombinationen sensible Informationenüber eine fremde Organisation, ihren Aufbauund ihren inneren Abläufen sammeln und erschließen.Die folgenden, erdachten Geschichten zeigen,wie das gemacht werden kann.B.2 1. einheitliche OrganisationssicherheitAuch in Mitnicks Berichten 455 über das SocEngwerden Szenen beschrieben, wie mit belangloseninternen Informationen Vertrauen geschafft und dieGesprächspartner dazu gebracht werden, weiterevertrauliche Informationen bis hin zu personenbezogenenDaten und echten Geheimnissen zu offenbaren.Er beschreibt den Einsatz von Keyloggern,die am PC installiert werden, um die Tastatureingabenzu protokollieren, wie ungesicherteDatensteckdosen zum Eindringen in das EDV-Systemverwendet und wie die Zugangsdaten von Mitarbeiternmissbraucht werden können. Für den Angreifer,der es auf die EDV abgesehen hat, ist esbesonders wichtig, einen Zugang mit Administratoren-,also mit vollen Zugriffsrechten zu erlangen,mit denen er auf alle geschützten Informationenzugreifen kann.Die Sicherheit der Informationstechnik beginnt beider einfachen Physik. Serverräume müssen verschlossen,klimatisiert und brandgeschützt sein.Verteilerkästen für Datenleitungen müssen abgeschlossensein; wenn nicht, lässt sich womöglichmit einem Nagelknipser die EDV in mehreren Etagenso sabotieren, dass eine neue Verkabelung installiertwerden muss. Datensicherungsbänder gehörenin einen Stahlschrank, der sich möglichst ineinem anderen Gebäude befindet. Nur dann ist beieinem fatalen Störungsfall (Feuer, Hochwasser,Sabotage) sicher gestellt, dass die Daten mit neuerTechnik wieder hergestellt werden können.Die heutigen Methoden zur technischen IT-Sicherheitsind so verfeinert, dass einfache Angriffescheitern müssen. Das beginnt bei Datensteckdosen,die nur auf ein bestimmtes Endgerät reagie-455Siehe obenren, das dort mit seinen individuellen Merkmalenangemeldet ist, und endet bei strikten Regelwerken,die die Installation von fremder Software unddamit auch von schädlicher Crimeware am Arbeitsplatzrigoros verhindern. Das Bundesamt fürSicherheit in der Informationstechnik – BSI 456 –hat hierzu ein Regelungswerk geschaffen undverschiedene Studien veröffentlicht, die kaumLücken offen lassen und neben einem „Grundschutz“auch „kritische“ Datenverarbeitungsvorgänge457 im hohen Maße sichern.Die IT-Sicherheit wird häufig nur als technischeSicherheit angesehen. Die Diskussion um dasSocEng zeigt hingegen, dass die IT-Sicherheit immereingebettet ist in die allgemeine Organisationssicherheit.Die Korruptionsbekämpfung oderdie Abwehr von Spionen beschränken sich deshalbheute nicht mehr auf die klassischen Betrachtungsweisen,sondern müssen sich auchden Besonderheiten der Informationstechnik stellenund sie in ihre Konzepte einbinden.Das Wichtigste bei allen Sicherheitsfragen ist dieAusbildung und die gelebte Sensibilität der Mitarbeiter.Sie lassen sich mit Dienstanweisungen unterstützen,aber nicht ersetzen. Die Mitarbeitermüssen erkennen lernen, wo Unsicherheitsquellensind und wo ihnen ungewöhnliche oder sensibleInformationen abgefragt werden – und siebrauchen Handlungsanleitungen und eine Ansprechstelle,an die sie ihre Beobachtungen undBefürchtungen vorbehaltlos melden können.Die Überredungstechniken, die das SocEng prägen,haben längst Eingang in andere kriminelleTechniken gefunden. Damit haben sich vor allemdie Aufsätze über die Malware und das SocialEngineering befasst.456BSI, IT-Grundschutz-Kataloge(früher: Grundschutzhandbuch - GSHB)457BSI, Veröffentlichungen zum Thema "KritischeInfrastrukturen"
Dieter Kochheim, <strong>Cybercrime</strong> - 76 -B.2 2. Blick von außen 458Die Staatsanwaltschaft liegt unweit des Hauptbahnhofs.Sie ist in einem L-förmigen Gebäudeuntergebracht, dessen südlicher Teil sieben Stockwerkeüber dem Erdgeschoss aufweist. DieserTrakt ist leicht konkav gebogen, wie ein Hohlspiegel.Das Erdgeschoss wird durch ein großes vergittertesTor unterbrochen, das den Blick zu einembegrünten Innenhof zulässt. Im Hintergrund sindweitere Gebäude erkennbar.Es ist ein Nachmittag im späten Herbst. Der größereTeil der Fenster ist von innen in verschiedenenStärken beleuchtet. Je zwei Fenster zeigen immereine gleichartige Beleuchtung oder sind gar nichtbeleuchtet, so dass sie zu jeweils einem Raum gehören.An verschiedenen Stellen reicht die gleichartigeBeleuchtung auch über mehrere Fenster hinwegund man kann auch erkennen, dass einige Leuchtröhrenrechts und links über einen Mauersturz hinwegreichen. Sie kennzeichnen größere Räume, indenen entweder mehrere Leute arbeiten oder Archiveuntergebracht sind.Ich gehe um den Gebäudeteil links herum und betrachteseine Schmalseite. Es besteht aus massivemMauerwerk, das in jeder Etage mittig von einemkleineren Fenster unterbrochen wird. DieseFenster sind höhengleich mit den Fenstern an derLangseite.Sie liegen also an den Enden von Mittelgängen,von denen beiderseits Räume abzweigen, ohnedass am Ende ein Treppenhaus eingebaut ist. Dieswürde sich durch höhenversetzte Fenster oder erkennbareTreppenstrukturen zeigen.Etwas nach hinten versetzt schließt ein anderesund wahrscheinlich älteres Gebäude an. In diesemAnschlussbereich muss sich ein von außen nichterkennbares Treppenhaus befinden, weil das dieBauvorschriften verlangen. Der Blick auf die Rückfrontist im wesentlichen verdeckt.Aus einigem Abstand erkenne ich schließlich eineRichtfunkanlage auf dem Gebäudedach. Es han-458Die Geschichte stammt vom 17.06.2007. DieSicherheitsmaßnahmen sind seither erheblichverbessert worden.delt sich dabei um einen Zylinder, oder man kannauch sagen „Blecheimer“, dessen flache Seite inRichtung Nordwesten ausgerichtet ist. Etwa indieser Richtung befinden sich, wie ich im Stadtplangesehen habe, eine größere Polizeibehördeund das Landeskriminalamt. Die Größe des„Blecheimers“ zeigt, dass die Richtfunkanlage aufeine Entfernung bis zu etwa 20 Kilometer ausgelegtist. Sie könnte also auch die Verbindung zueinem entfernteren Behördenteil, zu einer Nebenstelleoder zu einem Archiv herstellen. Um dieAusrichtung der Richtfunkanlage zu klären, müssteich sie aus einer besseren Beobachtungspositionvermessen (genau gegenüber ist ein Hotel!)und mit Kartenmaterial vergleichen, zum Beispielvon Google Maps.Ich gehe zurück und zähle dabei meine Schritte.Der konkave Gebäudeteil ist etwa 70 Meter lang.An seinem „Knickpunkt“, wo also das andere Teildes „L“ anschließt, befindet sich ein rundläufigesTreppenhaus, wie man von außen ganz klar erkennenkann. Das anschließende Gebäudeteil istgradlinig, knapp 100 Meter lang und weist nurfünf Etagen über dem Erdgeschoss aus. DieRaumanordnung entspricht dem, was ich aucham konkaven Gebäudeteil beobachtet habe. Nureine Besonderheit ist zu sehen: In der ersten Etageführt nach etwa einem Drittel der Strecke einegläserne „Beamtenlaufbahn“, also eine umschlossenePersonenbrücke zum gegenüberliegenden,wilhelminischen Gebäude des Amtsgerichts. Inihr bewegen sich vereinzelt Personen.Am nördlichen Ende dieses Gebäudeteils schließtdas offenbar etwas ältere Landgericht an. Die Anordnungder Fenster variiert etwas, so dass dieEtagen beider Gebäude wahrscheinlich mit kleinenTreppen verbunden sind. Von außen ist imBereich des Gebäudeanschlusses kein Treppenhauserkennbar.Das muss innen liegen, weil es vom Baurechtvorgeschrieben ist. Auch dieser Gebäudeteilweist Innengänge auf mit beidseitig anschließendenBüroräumen, wie man sieht.Am nächsten Vormittag stelle ich mich in bessererAlltagskleidung neben den Eingang rechts nebendem Tor zum Innenhof. Er besteht aus einer
Dieter Kochheim, <strong>Cybercrime</strong> - 77 -zweiflügeligen Glas-Schiebetür, die in einer gläsernenPersonenschleuse mündet, die zwei Türenhat. Die linke, ebenfalls eine Schiebetür, öffnetsich automatisch.Hinter ihr befindet sich eine Pförtnerloge, die miteinem „formlos uniformierten“ Menschen besetztist. Auf seinem Sweatshirt befindet sich die Aufschrift„Justiz“.Ich benehme mich unauffällig, wartend, rauche inRuhe eine Zigarette. Würde mich jemand ansprechen,würde ich sagen: „Ich warte auf einen Kollegen.“Dies ist ein öffentlich zugängliches Gebäudeim Innenstadtbereich und deshalb auch ein üblicherTreffpunkt. Die Ausrede zieht immer.An mir ziehen Menschen vorbei, die sich in fünfGruppen einteilen lassen.Das sind zunächst die etwas „abgewrackt“ wirkendenLeute mit nachlässiger Kleidung, die häufigauch ungepflegt aussehen. Sie haben fast immereinen Zettel in der Hand – eine Zahlungsaufforderungoder eine Ladung, wie ich vermute – wendensich immer an den Pförtner und werden von ihmimmer nicht ganz freundlich bedient, wie man ander Gestik und den Körperbewegungen sieht. Eshandelt sich also um „Kundschaft“, die zur Vernehmung,zum Strafantritt oder zu einem Gerichtstermingeladen ist und hier vermittelt wird.Die zweite Gruppe zeichnet sich dadurch aus,dass sie meist einzeln, aber auch in Gruppen miteinem Pkw vorgefahren kommen und immer Aktenin roten Aktenhüllen bei sich trägt. Die meisten dieserLeute sind zivil gekleidet und die anderen tragenPolizeiuniformen.Auch sie wenden sich immer an den Pförtner undwerden von ihm offenbar freundlicher bedient.Schneller als bei der ersten Gruppe greift derPförtner zum Telefon und sie verschwinden zu denbeiden Fahrstühlen, die sie nach oben befördern.Bei der dritten Gruppe handelt es sich offenbar umMitarbeiter oder Vertraute. Sie gehen – meistensgrüßend – am Pförtner – der zurück grüßt – vorbeiund warten vor den Fahrstühlen, bis sie einsteigenkönnen. Sie grüßen auch andere Wartende undsprechen – gelegentlich vertraulich wirkend – mitihnen.Ich vermute, dass diese Leute „Schlüsselgewalt“haben und die Zugänge zu den Büroräumen verschlossensind – sonst würden sich die „Polizisten“nicht artig beim Pförtner melden – nicht alle.Die vierte Gruppe ist interessant. Sie ist nicht elegant,aber geschäftsmäßig gekleidet. Alle ihrerVertreter tragen eine mehr oder weniger großeAktentasche und fast alle warten nicht auf denFahrstuhl, sondern besteigen gruß- und kontaktlosdie Wendeltreppe in Richtung erstes Geschoss.Viel höher werden sie nicht steigen. Einerseitsmachen sie überwiegend einen gehetztenEindruck (Termindruck? Erledigungsdruck?),andererseits scheinen sie mit den Räumlichkeitenund Anbindungen vertraut zu sein.Sie müssen offenbar keine verschlossenen Türenpassieren und die Laufbrücke, die ich im Bereichder ersten Etage gesehen habe, zeigt, dass hierwahrscheinlich alle drei Behörden miteinanderverbunden sind. Nur ganz wenige dieser Leutewenden sich an den Pförtner und lassen sich vermitteln.Die letzte und kleinste Gruppe besteht aus jüngerenLeuten im Studentenalter, die grußlos (autistisch?unsicher?) und zielstrebig in den hinterenBereich der Eingangshalle gehen, wo sich, wieich jetzt sehe, der Eingang zur Bibliothek desLandgerichts befindet.Ich habe mir Zeit gelassen und weiß jetzt einigesüber diese Behörde, ohne einen Schritt in sie gesetztzu haben:Nach der Anzahl der Räume, ihrer Anordnungund dem Publikumsverkehr müssen hier mindestens200, wahrscheinlich mehr als 250 Leute arbeiten.Es ist eine öffentliche Behörde mit DurchgangsundPublikumsverkehr. Ihr innerer Bereich istwahrscheinlich durch verschlossene Flurtüren gesichert.Sie hat drei Treppenhäuser, davon ein öffentlichzugängliches im „Knickbereich“ des L-förmigenGebäudes und zwei weitere, die baurechtlich vorgeschrieben,aber von außen nicht direkt erkennbarsind.Eine Standard-Verkabelung für EDV-Anlagen
Dieter Kochheim, <strong>Cybercrime</strong> - 78 -kann keine Strecken von mehr als 100 Meterüberbrücken. Die Flurlängen des Gebäudes zwingendazu, dass irgendwo im Bereich des sichtbarenTreppenhauses die zentralen Komponentender EDV zusammen laufen. Wahrscheinlich in derersten Etage, weil das Erdgeschoss von der Bibliothekund linksseitig offenbar von einem Sitzungssaaleingenommen wird.Die Richtfunkanlage ist auf hohe Leistung ausgelegt.Sie benötigt eine Wandlungs- und Steuerungsstationin dem Bereich zwischen den zentralenKomponenten und ihrem Standort, weil sonstdie Strecke von 100 Metern überschritten wäre.Dazu dürfte ein eigener, zwar kleiner, aber wahrscheinlichabgeschlossener Raum verwendet werden.Ich werde jetzt meine Aktentasche unter den Armklemmen und grußlos zum Fahrstuhl gehen, dortwerde ich die Taste für die erste Etage drücken,aber dann in den siebten Stock fahren. Zuerst werdeich danach schauen, ob die Flure wirklich verschlossensind und ob es noch unverschlosseneNebenräume gibt, wo technische Komponentenoder andere interessante Einrichtungen abgestelltoder installiert sind. Dabei lohnt sich immer auchein Blick auf Blechtüren im Mauerwerk, hinter denensich häufig die Verteilerkästen für die Telekommunikationund die Datennetze befinden.Von oben nach unten werde ich das Treppenhausnutzen, das ist immer unauffällig, weil die meistenLeute mit dem Fahrstuhl nach oben fahren undeher gelassen das Treppenhaus nach unten benutzen.Ich liebe bequeme Leute, die eigentlich verschlosseneTüren mit Keilen oder anderen Gegenständengeöffnet halten, um den Zugang zu denFluren frei halten oder ihren Besuchern den Zugangzu ermöglichen, ohne ihnen einen Schlüsselgeben zu müssen.Besuchergruppen liebe ich sowieso. Ihr Leiterkennt die einzelnen Personen der Delegation in allerRegel nicht, so dass man sich der Gruppe einfachnur unauffällig anschließen muss, um in verschlosseneBereiche zu gelangen.Unauffälligkeit und Smalltalk sind die wichtigstenTüröffner für geschlossene Bereiche, deren Sicherheitvon Niemanden so richtig überwacht wird.B.2 3. Blick von innenKurz vor zwölf Uhr. Mittagszeit. Kolleginnen undKollegen treffen sich und machen sich auf denWeg zur Kantine. Ich grüße – freundlich und zurückhaltend– und schließe mich der Gruppe an.Man hält mir die Tür auf und schon bin ich in dem„verschlossenen“ Flur. Die Gruppe biegt zu eineminnen liegenden Treppenhaus ab (wie ich von außenvermutet hatte!) und ich gehe ein paarSchritte weiter. Schon bin ich wieder unauffälligvon der Gruppe getrennt.Ich gehe zurück zu der Tür, aus der Mann kam,der sich zuletzt der Gruppe anschloss. SeinName steht auf einem Schild neben der Tür,„Müllermann“, aber die Tür ist verschlossen.Ich klopfe an der Nachbartür und trete ein. DasZimmer ist besetzt. „Entschuldigen Sie, ich binmit Herrn Müllermann verabredet.“ „Der müsstegerade zu Tisch sein“, lautet die freundliche Antwort.Auch die beiden nächsten Türen sind verschlossen.Eine weitere systematische Untersuchungkönnte bei dieser Tageszeit zu auffälligsein.Ich schlendere den Flur zurück. Fast an seinemEnde führt ein dicker aufgeschraubter Kabelschachtquer an der Decke über den Gang. Hierlaufen also die Datenleitungen für die Büros desFlures zusammen. Wie ich vermutet hatte, befindetsich der zentrale Raum für die Datenverarbeitungin der Nähe des zentralen Treppenhauses.Die Flurtüren lassen sich von innen mit einemTürgriff öffnen. Zwei Etagen tiefer habe ich Glück.Die Flurtür ist unverschlossen, weil sie nicht richtigins Schloss gefallen ist.Auch hier treffen sich Kolleginnen und Kollegenzum Mittagessen. Eine von ihnen vergisst, ihreBürotür abzuschließen. Kaum ist die Gruppe ausmeinem Blick, bin ich in ihrem Büro. Ich habejetzt etwa zwanzig Minuten Zeit. Der PC ist eingeschaltetund der Bildschirmschoner oder eine andereZeitschaltung sind noch nicht aktiv. Ich kommejetzt an alle Informationen, zu denen auch dieunvorsichtige Mitarbeiterin Zugang hat.
Dieter Kochheim, <strong>Cybercrime</strong> - 79 -B.2 4. NachwortInspiriert zu den beiden Geschichten haben michdie kernigen Aussagen von Eschbachs Industriespion459 : Ich komme nicht durch ein Kabel, ichkomme durch die Tür. Ich knacke keine Passwörter,ich knacke Schlösser.Auch er ist eine fiktive Figur, ebenso wie der Ich-Erzähler in den beiden Geschichten. Sie zeigen jedoch,wie mit Beobachtung, Allgemeinwissen undKombinationsgabe tiefe Einblicke in eine fremdeOrganisation gewonnen werden können.Solche Einblicke lassen sich auch nicht vermeiden.Verhindern lässt sich nur der Missbrauch der gewonnenenInformationen durch ein durchdachtesund konsequent durchgeführtes, mit anderen Worten:gelebtes Sicherheitskonzept.Diesem Ziel dienen die beiden Geschichten. Siesollen den Blick dafür schärfen, wie ein Angreiferdenken und handeln könnte.Hacker - also Leute, die sich über Datennetze infremde Computersysteme einklinken, um dort aufdie Suche nach interessanten Daten zu gehen -gibt es wie Sand am Meer. Sie mögen ihre Daseinsberechtigunghaben; auf jeden Fall verkörpernsie das Bild, das sich die Öffentlichkeit von einemIndustriespion macht. Ich jedoch begebe michvor Ort, ich weiß, was ich tue, und ich kann einschätzen,was ich zu sehen bekomme. Das istmein persönlicher Wettbewerbsvorteil.Denn was ist, wenn sich die interessanten Datenin Computern befinden, die an kein Netz angeschlossensind? Was, wenn die Unterlagen, aufdie es ankommt, überhaupt nicht in digitaler Formvorliegen, sondern als Papiere, Pläne, handschriftlicheNotizen? In solchen Fällen schlägt meineStunde. Ich komme nicht durch ein Kabel, ich kommedurch die Tür. Ich knacke keine Passwörter, ichknacke Schlösser. Ich bin nicht darauf angewiesen,dass es einen Zugang gibt zu den Informationen,die meine Auftraggeber interessieren, ichbahne mir meinen Zugang selbst.Andreas Eschbach459Andreas Eschbach, Der Nobelpreis, BergischGladbach (Lübbe) 2005, S. 160.
Dieter Kochheim, <strong>Cybercrime</strong> - 80 -C. Underground EconomyDie ersten beiden Teile widmen sich den Methodender <strong>Cybercrime</strong>, der dritte Teil beschreibt ihre Akteureund ihre Zusammenarbeit.Ich gehe davon aus, dass das Massengeschäft der<strong>Cybercrime</strong> von einer Vielzahl von Einzeltätern geprägtist, die Malware einsetzen, Identitätsdiebstähledurchführen, Malware programmieren undschließlich Hacking betreiben, um damit Geld zuverdienen. Sie prägen das Bild von einer chaotischund diffus erscheinenden <strong>Cybercrime</strong>-Szene.Dieses Bild verstellt jedoch den Blick auf die professionellenAkteure im Hintergrund. Sie stellen dieInfrastruktur für anonyme Hostserver, maskierteDNS-Adressen und Bezahlsysteme zur Verfügungund betreiben Botnetze, das Skimming 460 und dasPhishing im großen Stil. Sie sind die organisiertenInternetverbrecher, von denen McAfee bereits2006 gesprochen hat 461 .Die Bekämpfung der <strong>Cybercrime</strong> muss beideGruppen im Auge behalten. Wegen der individuellenTäter ist sie ein Massengeschäft und wegender organisierten Täter ein strategisches.C.1 Schurken-Provider undorganisierte <strong>Cybercrime</strong> 462Russian Business Network - RBNRussland: Ein sicherer Hafen für die Internet-Kriminalität?Die wesentlichen Erscheinungsformen der <strong>Cybercrime</strong>sind immer hinterhältigere Formen derMalware, der schädliche Einsatz von Botnetzen,das Phishing und das Skimming. Sie lassen aufarbeitsteilige und einander unterstützende Strukturenschließen.Mit den Schurken-Providern und namentlich demRussian Business Network setzen sich mehrereVeröffentlichungen aus der jüngeren Vergangenheitauseinander. Sie zeigen ein Netzwerk, das indie technische Infrastruktur des Internets eingebundenist und kriminelle Aktivitäten von der Öffentlichkeitund der Strafverfolgung abschottet.Die Akteure der <strong>Cybercrime</strong> haben sich den Herausforderungender Informationstechnik und desInternets gestellt und verdienen mit ihren kriminellenAktivitäten offenbar gutes Geld.Die meiste Malware kommt aus Russland 463 , meldeteder Cyberfahnder am 21.02.2008 unter Bezugnahmeauf tecchannel. Dabei wurde auch derZusammenbruch des RBN (Russian BusinessNetwork) erwähnt, der schon bejubelt wurde 464 ,sich im Nachhinein aber als eine vorübergehendeUmstrukturierung heraus stellte.462Der Aufsatz erschien erstmals am 13.07.2008.460CF, Arbeitspapier Skimming #2, 02.03.2010;Dieter Kochheim, Skimming (Arbeitspapier)461CF, erste Typenlehre, 27.07.2008463CF, gefährliche Lokale, 21.02.2008;Russland wieder auf Platz Eins in der Malware-Achse des Bösen, tecchannel 21.02.2008.Jüngere Zahlen wegen Malware-Anhänge an E-Mails lassen Russland eher unverdächtigerscheinen (CF, Schurkenstaaten, 20.06.2008).Auch im CF, Spam-Monitor von funkwerk(21.06.2008) hat Russland seinen festen Platz,ohne aber auffallend häufig vertreten zu sein464CF, Russian Business Network ist offline,07.11.2007
Dieter Kochheim, <strong>Cybercrime</strong> - 81 -Aufsehen erregte die Untersuchungvon David Bizeul 465 . LautHeise erkundete er seit Sommer2007 vier Monate lang in peniblerComputer-Detektivarbeit dieStruktur des RBN. Auf 406 Servernmit rund 2090 Internet-Adressen fand er so ziemlich alles,was es im Internet nicht geben dürfte: Kinderpornos,Software zum Datendiebstahl, Anwerbeseitenfür angebliche Finanzagenten, Drop Zones.466Im April 2008 beschäftigte sichGordon Bolduan im TechnologyReview mit dem RBN und stelltals Aufmacher voran 467 :Das Internet ist ein mächtigesWerkzeug – sowohl für legale Geschäftewie auch für Verbrechen.Mittlerweile hat sich im Netz einegut organisierte kriminelle Subkultur entwickelt, dieMilliarden verdienen dürfte und selbst MittäternAngst macht.Im Mai 2008 folgte schließlich einwirklich spannender Artikel in derc't von Frank Faber 468 . SeinAufmacher lautet:Wenn Girokonten von Phishernleer geräumt oder Kreditkartendaten missbrauchtwerden, führen die Spuren oft nach Russland. Mitder Unterstützung von Netzbetrügereien verdienendie Hintermänner des „Russian Business Network“Millionen. Und das augenscheinlich, ohne entscheidendvon Strafverfolgungsbehörden gestörtzu werden.465David Bizeul, Russian Business Network study,bizeul.org 19.01.2008;CF, Russian Business Network – RBN, 04.05.2008.466Innovation im Untergrund, Heise online 20.03.2008;drop zones: Sichere Speicherorte für kriminellerlangte oder kriminell genutzte Daten.467Gordon Bolduan, Digitaler Untergrund, TechnologyReview 4/2008, S. 26 ff.468Frank Faber, Unter Verdacht. Eine russische Bandeprofessionalisiert das <strong>Cybercrime</strong>-Business, c't11/2008C.1 1. <strong>Cybercrime</strong> in RusslandBezüge nach Russland tauchen tatsächlich häufigerauf, wenn man die Datenspuren in Spam- undMalware-Mails genauer unter die Lupe nimmt 469 .Schon 2006 hatte Moritz Jäger in tecchannel aufdie Verbreitung krimineller Dienste und Dienstleistungenim Internet hingewiesen 470 und mich dazuangeregt, hinter dem Phishing organisierte Strukturenzu vermuten 471 . Über solche Angebote undihre Preislisten wird immer wieder berichtet 472 sowieüber spektakuläre Angriffe, die nicht im Alleingangdurchgeführt werden können 473 .Über die informelle und geschäftsmäßige Zusammenarbeitverschiedener Tätergruppen im Internetsind mir Hinweise seit 2005 und nicht erst seitdem allgemeinen Bekanntwerden von Botnetzengeläufig 474 . Auch das breit angelegte Ausspähenvon Kontozugangsdaten mit dem Ziel, gefälschteZahlungskarten zum Missbrauch an Geldautomateneinzusetzen 475 , ist nur in einer strukturiertenOrganisation vorstellbar. Sowohl beim Phishing 476wie auch beim "professionellen" Skimming 477müssen verschiedene Arbeitsschritte durchgeführtund Fachleute eingesetzt werden, so dasseine steuernde Instanz zu erwarten ist. Schließlichmuss auch wegen der Betreiber von Botnetzender arbeitsteilige Zusammenschluss von Entwickeln,Systemverwaltern und "Kaufleuten" er-469CF, gemeiner Versuch: Zahlungsbestätigung,21.03.2008470Moritz Jäger, Das Netz der Phisher: Wie Online-Betrüger arbeiten, tecchannel 20.09.2006471CF, Phishing, organisierte Strukturen, 2007472CF, geklaute Daten zum Schnäppchenpreis,09.04.2008;CF, Trojanerbaukasten mit Support, 20.06.2008;CF, qualitätskontrollierter Kontomissbrauch,09.05.2008.473CF, filigraner Angriff, 14.05.2008474Holger Bleich,Trojaner-Sümpfe. DDoS- und Spam-Attacken gegen Bezahlung, c't 1/05, Seite 43;Ferngesteuerte Spam-Armeen. Nachgewiesen:Virenschreiber lieferten Spam-Infrastruktur, c't 5/04,Seite 18475CF, arbeitsteiliges Skimming, 18.05.2008476CF, Das Unternehmen Phish & Co., 2007477CF, steuernde Instanz, 18.05.2008
Dieter Kochheim, <strong>Cybercrime</strong> - 82 -wartet werden 478 .Mit den Erscheinungsformender <strong>Cybercrime</strong> in Russlandsetzt sich besonders Igor Muttikvon den McAfee Avert Labs auseinander479 .Schon in der Sowjetunion wurdendie Ausbildungen in denNaturwissenschaften, der Mathematik und der Informatikerheblich mehr gefördert als die in denGeisteswissenschaften. Muttik sieht heute eineKombination aus relativ niedrigen Gehältern, einerhohen Arbeitslosenquote und der breiten Verfügbarkeitvernetzter Computer (S. 17) im größtenFlächenland der Welt mit mehr als 142 MillionenEinwohnern - ganz überwiegend im europäischenTeil des Landes. Er führt sodann prominente Viren,Virenautoren und führende Kenntnisse aus denBereichen Datenkompression, Kopierschutz, Fernwartungund Systemanalyse auf, die für die Programmierungvon Malware hervorragend missbrauchtwerden können.Es gibt ein russisches Sprichwort, das besagt,dass die unbeugsame Härte des russischen Gesetzesnur durch die Unmöglichkeit ausgeglichenwird, es durchzusetzen (Muttik, S. 18). In diesemZusammenhang referiert er über die IT-strafrechtlichenVorschriften in Russland, über einigespektakuläre Fälle der Strafverfolgung und überprivate Organisationen, die sich der Bekämpfungder IT-Kriminalität verschrieben haben.Muttik hat nach Crimeware-Angeboten in Russlandgesucht und ist reichlich fündig geworden: Spam-Adressen, Bot-Software, Spionageprogramme zuverhaltenen Preisen (S. 19, 20) und für Großabnehmergegen Rabatt (S. 20).Sein Fazit (S. 21): Russland verfügt - ebenso wieChina, ... Brasilien und die Ukraine - über hochqualifizierte IT-Fachleute ohne Perspektive am legalenIT-Markt. Selbst wenn sie Arbeit haben, sinddie Einkommen, die durch kriminelle Programmeund ihren Einsatz erwartet werden können, ein478Tom Espiner, Harald Weiss, Sicherheitsexperten:Storm-Botnet wird bald verkauft, ZDNet 17.10.2007479Igor Muttik, Die Wirtschaft und nicht die Mafia treibtMalware voran, McAfee 12.02.2008Über die innere Struktur der Botnetzbetreiber gibtes nur Spekulationen. Ich bin bisher davon ausgegangen,dass sie eher als Einzelpersonen handeln.Das mag falsch sein, weil auch insoweit verschiedenelogistische Aufgaben bewältigt werdenmüssen, die eine Arbeitsteilung geradezu aufdrängen: Softwareentwicklung und -pflege. Vertrieb der Malware zur Verbreitung der Zombieprogrammedurch Spam-Aktionen 480 und Infiltrationfremder Webseiten 481 . Vertragsverhandlungen wegen des Einsatzesdes Botnetzes. Administration des Botnetzes. Finanzverwaltung.Für die Annahme, dass auch der Einsatz von Botnetzendurch arbeitsteilige Gruppen erfolgt, sprechenvereinzelte Meldungen. 482ganz erheblicher Anreiz.Seine Beispiele für die Strafverfolgung beschränkensich auf Einzelfälle, die teilweise im Auslanderfolgten. Ein "Marktdruck durch Strafverfolgung",wie ich es nennen würde, scheint nicht vorhandenzu sein, so dass das eher geringe Verfolgungsrisikodie Bereitschaft, <strong>Cybercrime</strong> zu praktizieren,besonders fördern dürfte.Das Thema "individuelle Spionagesoftware" spartMuttik aus. Es kann bedeutungslos, angesichtsder Perspektive von McAfee als Anbieter von Anti-Malware-Softwareein vereinzeltes Problemoder bewusst ausgeblendet worden sein.Ich glaube, dass die zweite Antwort zutrifft. Perspektivischwerden sich aber McAfee und alle anderenIT-Security-Unternehmen auch um die individuellenMalwareformen zur Industriespionageund zur Ausforschung privater Geheimnisse kümmernmüssen, weil diese Angriffe mit Sicherheitzunehmen und einen Bedarf des Marktes hervorrufenwerden.Muttiks Prognosen klingen sehr allgemein undzurückhaltend. Er erwartet, dass der russische480CF, Anatomie des Sturm-Wurms, 06.03.2008;CF, Kraken-Bot, 08.04.2008481CF, Massenhacks von Webseiten werden zurPlage, 14.03.2008482CF, <strong>Cybercrime</strong>. Botnetze, 07.08.2008
Dieter Kochheim, <strong>Cybercrime</strong> - 83 -DDoS-Angriff auf EstlandIm April und Mai 2007 gab es einen großen DDoS-Angriff, der auf viele Regierungswebsites in Estlandgerichtet war. Ermittler gehen davon aus, dass derAngriff durch die Umsetzung des „bronzenen Soldaten“veranlasst wurde, einem Denkmal für einen unbekanntenrussischen Soldaten im Zweiten Weltkrieg.Estnische Behörden hatten beschlossen, dasMonument vom Zentrum Tallins auf einen vorstädtischenMilitärfriedhof zu versetzen. DieserBeschluss löste unter der Bevölkerung TallinsUnruhen aus, bei denen eine Person getötet wurde.Später, kurz vor dem Jahrestag des Sieges (zurBeendigung des 2. Weltkriegs, der in Estland am 9.Mai gefeiert wird), begann ein mehrere Tageandauernder DDoS-Angriff. Viele große estnischeWebsites standen während dieser Zeit nicht zurVerfügung. Unter Sicherheitsexperten herrscht dieMeinung vor, dass dieser Angriff von einer Gruppevon Einzelpersonen durchgeführt und von derenpatriotischen Gefühlen angeheizt wurde. ... Eskonnten keine Hinweise auf eine Beteiligung derrussischen Regierung an diesen Angriffen gefundenwerden, und selbst wenn es eine Verbindung gäbe,würde diese mit sehr großer Wahrscheinlichkeitnicht entdeckt werden. Nach dem Vorfallbeschuldigten sich beide Seiten gegenseitig derCyber-Angriffe. 483Staat die IT-Kriminalität verstärkt verfolgen und damitzurückdrängen wird. Für eine Entwarnung seijedoch kein Platz, weil andere Regionen der Weltnachdrängen werden.Wenn aber in Russland das technische Wissen besonderskonzentriert ist und gleichzeitig große sozialeSpannungen und Verteilungskämpfe bestehen,dann dürfte Muttiks Einschätzung mehr alsfraglich sein. Ich befürchte, dass der russische Bärauch bei der <strong>Cybercrime</strong> noch gehörig mitwirkenwird.Muttik erwähnt die russische Mafia am Rande underkennt, dass sie ein wirtschaftliches Interesse ander Förderung der <strong>Cybercrime</strong> haben könnte. Ichbin ganz sicher kein Experte für die Einschätzungdieser Situation, befürchte aber auch, dass solangesolche kriminellen Strukturen frei oder relativfrei agieren können, das profitable Geschäft mitder <strong>Cybercrime</strong> einen besonders "sicheren Hafen"haben könnte. Frei von Strafverfolgung und unter483Muttik, S. 21stützt von sprudelnden kriminellen Einnahmen.Keiner hackt mehr heute zum Spaß, das ist knallhartesBusiness geworden. 484C.1 2. Zusammenarbeit von SpezialistenGordon Bolduan 485 stellt in das Zentrum seinerBetrachtung die modernen Botnetze, die er zutreffendals das mächtigste kriminelle Werkzeugansieht, das zur Verfügung steht. Die von derBot-Malware infizierten Rechner lassen sich nichtnur nach persönlichen Daten und Zugangscodesausforschen, sondern in ihrer Gemeinschaft zu allenMassenerscheinungen im Internet missbrauchen.Die wichtigsten Formen sind das werbendeSpamming, die Verbreitung von Malware mittelsE-Mail-Anhänge, das Phishing und schließlichverteilte Angriffe (DDoS). Allein schon die Drohungmit einem solchen Angriff kann zur Erpressungzu Schutzgeld eingesetzt werden.Wegen der Leistungsfähigkeit der Botnetze ist zuergänzen, dass die Zombie-Software zumeist modularaufgebaut ist, so dass sie immer wieder aktualisiertund sich wandelnden Bedürfnissen angepasstwerden kann.Einzelne Geräte aus dem Botnetz können zudemals Webserver für die Verteilung von Software-Updates, zur Steuerung kleinerer Gruppen von infiltriertenRechnern und zu ihrer Überwachungverwendet werden. Einzelne Varianten der Botsoftwaregehen sogar sehr behutsam mit den infiltriertenRechnern um, um nicht aufzufallen undden Zombie möglichst lange missbrauchen zu484Balduan, Digitaler Untergrund, Technology Review4/2008, S. 28485Gordon Bolduan, S. 26 ff.
Dieter Kochheim, <strong>Cybercrime</strong> - 84 -können 486 .Bolduan bleibt nicht bei der Beschreibung des Botnetz-Phänomens,sondern widmet sich vor alemdem Netzwerk der Cyber-Kriminellen.Die beteiligten Spezialisten lassen sich nämlichwegen ihrer Aufgaben und Tätigkeiten unterscheidenund dürften teilweise in Bandenstrukturen organisiertsein.C.1 3. organisierte BotnetzeMalware missbraucht Sicherheitslücken. Die Zombie-Softwarezum Betrieb eines Botnetzes ist einespezialisierte Form von Malware, die ihrem Einsatzzweckangepasst ist.In der frühen Hackerkultur war es üblich, Sicherheitslückenzu veröffentlichen, um die Herstellervon Hard- und Software unter Druck zu setzen, damitsie Gegenmaßnahmen treffen. Daneben hatsich inzwischen ein Markt für unbekannte undeben nicht veröffentlichte Sicherheitslücken entwickelt.Diese Händler nennt Bolduan Exploit-Händler(Exploit Vendors), die ihre Kenntnisse an dieEntwickler von Malware verkaufen.Mit den Toolkit-Schreibern identifiziert er einezweite Gruppe von Spezialisten. Sie liefern dieFunktionen zur Tarnung der infiltrierten Software.Die Malware-Schreiber führen die Zulieferungender Exploit-Händler und Toolkit-Schreiber zusammen.Sie produzieren entweder ein fertiges Programmoder entwickeln Malware-Baukästen, diesie vermarkten 487 .Bereits Moritz Jäger hat darauf hingewiesen, dassin dieser Szene Verrechnungskonten auf der Basisvon Edelmetallen sehr beliebt seien 488 . Sie lassendie verzögerungsfreie Verrechnung geldwerter Forderungenzu und sind nur etwas zögerlich bei demTransfer zu nationalem Geld. Der Anbieter E-Goldführt zum Beispiel für jeden der Beteiligten ein Guthabenkontoin der Verrechnungseinheit "Gold", womitdie gegenseitigen Forderungen ab- und zuge-486CF, Anatomie des Sturm-Wurms, 06.03.2008487CF, Trojanerbaukasten mit Support, 20.06.2008488CF, neuartige Finanzdienste, 2007bucht werden können 489 .Bolduan 490 benennt als Alternative den BezahldienstWebMoney (wmz), dessen Webadresseauf eine WebMoney Corporation in Japan registriertist und der als Support-Kontakt eine Adressein Moskau angibt; auf einer Liste der WebMoneyakzeptierenden Händler finden sich hauptsächlichOnline-Kasinos, Kreditkartendienste undGoldbörsen – und dazu ein ukrainisches Programmierer-Team.Botnetze richten sich meistens gegen eine Vielzahlvon Opfern 491 , wenn nicht ein verteilter Angriffoder eine Spionageaktion gegen ein einzelnesZiel gerichtet wird.Einzelne Zombies fallen immer wieder aus, weilsie vorübergehend aus dem Netz genommenwerden, eine Antiviren-Software die Malware aufgespürtund unschädlich gemacht oder das Opfersich einen neuen PC zugelegt hat 492 . Zum Erhaltseines Botnetzes muss der Betreiber deshalb immerwieder Malware verteilen, um durch neueZombies den Bestand zu erhalten oder auszubauen.Solange dabei E-Mail-Anhänge verwendetwerden, lässt sich zur Verteilung das schon bestehendeBotnetz nutzen.Die Kenntnisse der Anwender und die Sicherheitsfunktionenin den PCs haben zugenommen,so dass die Malwareverbreitung vermehrt dazuübergegangen ist, Injektionsverfahren einzusetzen,die beim Surfen im Internet oder beim Öffnenbislang als harmlos geltender Dokumente zumZuge kommen.Die inzwischen sehr häufig eingesetzten infiltriertenWebseiten bedürfen eines Speicherplatzes,von dem aus sie abgerufen werden können. Dazukann ein infiltrierter Rechner aus dem Botnetzverwendet werden. Das ist jedoch ineffektiv, weildie Zombies in aller Regel über ihre Zugangsproviderdynamische IP-Adressen zugewiesen bekommenund der belastende Datentransfer zu489CF, Verrechnungssysteme auf der Basis vonEdelmetallen, 2007490Balduan, S. 32491CF, Botnetze: Wirkung wie DDoS, 17.10.2007492Weihnachten ließ Botnetze schrumpfen, Heiseonline 28.12.2006
Dieter Kochheim, <strong>Cybercrime</strong> - 85 -auffällig wäre.Sinnvoller ist es, dafür einenServer zu verwenden, bei demder zusätzliche Traffic (Datendurchsatz)nicht weiter auffälltoder vom Anbieter toleriertwird. Die erste Wahl für die Installationinfiltrierter Webseitensind gekaperte, also gehackteHostserver, zumal ihre statischeInternetadresse nach jedem- spätestens zweiten -Missbrauch "verbrannt" und in die üblichen Spamming-und Malware-Abwehr-Datenbanken aufgenommenist. Dasselbe gilt für die Ablage der Update-Versionenfür die Zombie-Software.Wenn der Täter nach der Guerilla-Strategie verfährt,sind gekaperte Hostserver tatsächlich diebeste Wahl. Sie werden missbraucht und sogleichwieder aufgegeben. Langfristige Planungen bedürfenjedoch "sicherer Häfen". Nur hier können aufwändigeWebsite-Farmen und konspirative, geschlosseneBenutzergruppen eingerichtet und kriminelleDaten gehostet werden. Sie bedürfen derschützenden Hand eines starken und souveränenTürstehers, der sowohl neugierige Nachfragen wieauch die Nachstellungen von Strafverfolgungsbehördenabprallen lässt. Sie nennt man SchurkenoderRogue-Provider und das Russian BusinessNetwork - RBN - dürfte das bekannteste von ihnengewesen sein.CC.1 4. SpezialisierungNach Balduan lassen sich verschiedene Personengruppendefinieren, die sich durch ihre besonderenFertigkeiten und Aufgaben unterscheiden.C.1 4.1 Drop ZonesIm System der <strong>Cybercrime</strong> hat der Rogue-Providereine zentrale Rolle, weil er die sicheren und abgeschottetenDrop Zones zur Datenhaltung liefert.Hier werden die Farmen und die Malware-Updatesgespeichert, bevor sie in das Botnetz zur weiterenVerbreitung eingespeist werden, sowie die von denOpfern ausgespähten Daten zwischengelagert. Außerdemist er der bevorzugte Lieferant fürKommunikationsplattformen und geschlosseneBenutzerkreise zum Informations- und Datenaustauschmit Inhalten, die nicht für die Öffentlichkeitund schon gar nicht für die Strafverfolgung bestimmtsind.C.1 4.2. CarderAls Carder wird ein Krimineller bezeichnet, dergeklaute Kreditkartendaten kauft und diese zuBargeld macht 493 .Wie alle anderen Hauptpersonen auch bleibt derCarder im Hintergrund und kann sich verschiedenerMethoden bedienen. Beim Phishing sind dasim wesentlichen drei Methoden: mit Hilfe eines Hackers werden die Kontozugangsdateneingesetzt, um Überweisungen vorzunehmen, das Homebanking des Opfers wird online überwachtund im entscheidenden Moment eine Überweisungumgeleitet, die infiltrierte Malware verändert während einesÜberweisungsvorgangs die Zieldaten mit denendes Carders.Die vierte Methode ist das Kopieren von Zahlungskartendatenauf Rohlinge. Sie ist im wesentlichenvom Skimming bekannt.493Bolduan (4), S. 30:... die damit Kreditkarten fälschen oder hochwertigeWirtschaftsgüter im großen Stil bestellen.
Dieter Kochheim, <strong>Cybercrime</strong> - 86 -C.1 4.3 AgentenDie Agenten sind die Klinkenputzerder <strong>Cybercrime</strong>. Siehandeln in der Öffentlichkeitund werden mit verschiedenenAufgaben eingesetzt.Am bekanntesten sind seitdem Phishing die Finanzagenten.Auf ihre Girokontenwerden die Überweisungenumgeleitet und sie sollen perBargeld-Transfer oder mit anderenMethoden die kriminellen Gewinne zu denHinterleuten bringen.Beim Skimming werden verschiedene Agenten eingesetzt.Die erste Gruppe muss die Überwachungstechnikinstallieren und schließlich wiederabbauen und die zweite in einem anderen Land dienachgemachten Zahlungskarten einsetzen. Dabeiist die Tätigkeit des Cashing, also der Einsatz gefälschterZahlungskarten am Geldautomaten, verhältnismäßigeinfach, aber wegen des Entdeckungsrisikosgefährlich.Zu den Agenten können auch die Hacker gezähltwerden, die fremde Bankkonten manipulieren(Phishing).Organisatoren bleiben der Öffentlichkeit in allerRegel verborgen (Schaubild auf der Vorseite). DieAgenten müssen in der Öffentlichkeit arbeiten undunterliegen einem mehr oder weniger großemEntdeckungsrisiko. In dem Bereich dazwischensind die Hacker beim Phishing, die Unterhändler,z.B. zum Anwerben von Agenten, und dieKontrolleure angesiedelt, die die Agentenüberwachen und die Erlöse einsammeln. Siemüssen mit zurückhaltendem Risiko in derÖffentlichkeit auftreten.In arbeitsteiligen Organisationen ist damit zurechnen, dass die handelnden Personengruppenstreng voneinander getrennt sind. Die Hinterleutelassen sich deshalb kaum feststellen.C.1 4.4 SpezialistenVon den Agenten muss man die Spezialisten unterscheiden,die das kriminelle Handwerkzeug liefern.Das sind die Malwareschreiber und Adressenlieferantenfür Spamaktionen, die Texter für Webseitenund Spams, die den richtigen Jargon treffenund fremdsprachensicher sein müssen, die Webdesignerfür das Pharming und die Administratorenfür Botnetze.Im Zusammenhang mit dem Skimming kommenauch richtige Handwerker zum Einsatz, die einerseitsdie Überwachungstechnik her- oder zusammenstellenund andererseits Zahlungskarten fälschen.Es werden vereinzelt Fassaden eingesetzt,deren Herstellung großes handwerkliches Geschickerkennen lässt.Die Lieferanten, Spezialisten, Koordinatoren undC.1 4.5 Koordinator. Operation GroupDie zentrale Figur jedoch ist ... ein „IndependentBusiness Man“ – eine Person, die Kontakte zurUnterwelt pflegt und zwischen Bot-Herdern, Hackern,Malware-Schreibern und Spammern koordiniert.... mithilfe der Botnetz-Infrastruktur kannder Koordinator Unternehmen mit verteilten Massenangriffenauf ihre Webseiten drohen und soSchutzgeld erpressen, Spam-Wellen mit Werbungfür überteuerte Produkte oder Aktien lostretenoder tausendfach persönliche Informationenwie Bankzugangsdaten ergaunern. 494Nach einem von Bolduan zitierten Gewährsmannsoll es sich bei den Koordinatoren in aller Regelum frühere KGB-Leute und / oder Angehörige der494Bolduan, S. 30
Dieter Kochheim, <strong>Cybercrime</strong> - 87 -russischen Mafia handeln 495 . Diese Leute seienauch erfahren in der Geldwäsche.Der Koordinator betreibt <strong>Cybercrime</strong>-Managementund hat dafür gewisse Gestaltungsfreiräume, jenach dem, welche Aufgaben er an Subunternehmeroutsourcen kann und will.Um zum Beispiel eine Phishing-Aktion durchzuführen,braucht er ausgespähte Kontozugangsdaten.Die kann er kaufen, selber erheben oder die Erhebungund den Missbrauch in eine kombinierte Malware-Aktioneinbinden.Mit dem Einkauf von Kontodaten, anderen Dienstenoder Modulen, die der Koordinator benötigt,kann er national tätige Operation Groups 496 , alsoSubunternehmer oder Vermittler beauftragen.Sobald er über diese "veredelten" Daten verfügt,braucht er noch Hacker für den Kontomissbrauchund Agenten für die Sicherung der kriminell erlangtenGewinne.Die "Hacker" müssen mehr vertrauenswürdig alskompetent sein. Der Aufruf eines Homebanking-Portals und der Missbrauch von Kontozugangsdateneinschließlich "normaler" Transaktionsnummernnach dem alten TAN-Verfahren ist eine eherbanale Sache.Komplizierter wird es, wenn die ausländische Herkunftdes Angriffs verschleiert werden muss. Dannmuss der Hacker einen Anonymisierer benutzen,der allerdings dem Rechenzentrum der angegriffenenBank ebenfalls auffallen könnte.Die Alternative dazu ist die Nutzung eines unauffälligenRechners, dessen Standort im Zielland ist.Dazu muss sich der Hacker entweder bereits dortbefinden oder ein infiltriertes Gerät nutzen. Dazuwiederum eignen sich entweder gehackte Einzelgeräteoder Zombies aus einem Botnetz.Schließlich benötigt der Koordinator noch Agenten,die ihre Girokonten zur Verfügung stellen und denkriminellen Gewinn zu ihm übertragen.Die übrigen Erscheinungsformen der <strong>Cybercrime</strong>weichen wegen ihrer Anforderungen von diesemBeispiel ab. Das Grundmodell bleibt immer gleich:495Balduan, ebenda496Balduan, ebendaAuf der Ebene unterhalb der Koordinatoren sinddie Betreiber angesiedelt, die über Botnetze oderDrop Zones (Rogue-Provider) verfügen.Sie sind ihrerseits auf Subunternehmer angewiesen,die ihnen die nötige Malware liefern oder fürbestimmte "Geschäfte" besonders spezialisiertsind (z.B. Carder, Operation Groups).Die Zulieferung besonderer Informationen (Adressen,Sicherheitslücken, Bankkonten) oder Modulen(Rootkit, Hardware) erfolgt durch Zulieferer.Sie bleiben ebenso wie die Spezialisten undHandwerker im Hintergrund, die z.B. die Überwachungstechnikund die Dubletten für das Skimmingoder Webseiten und Texte für das Phishingherstellen.Die Administratoren kümmern sich um den laufendenBetrieb von Botnetzen und Pharmen.Hacker im hier verwendeten Sinne werden fürden Online-Missbrauch beim Phishing oder fürdas Ausspähen bei der Industriespionage benötigt.Auf dieser Ebene sind auch die Kontrolleure(Vorarbeiter) für die Agenten angesiedelt, die derenEinsätze abstimmen oder Finanzagenten betreuen.Die Basis stellen schließlich die Agenten, die sichim Licht der Öffentlichkeit bewegen müssen.C.1 4.6 Rogue ProviderSchurken-Provider betreiben wie andere Anbieterim Internet auch eine normale technische Infrastruktur.Sie sind autonome Systeme, also in sichgeschlossene technische Netzwerke, die mit andereninternationalen Netzen und Carriern durchVerträge verbunden sind 497 .Ihre Netzdienste sind dieselben, die auch andereHost- und Zugangsprovider bieten: Die Verwaltungvon DNS-Adressen 498 , Speicherplatz (Hostspeicher)und Kommunikationsplattformen (Chat,geschlossene Benutzergruppen).Sie unterscheiden sich hingegen wegen ihres Geschäftsmodells,weil sie ihre Kunden gegenüber497CF, autonome Systeme und Tiers, 2007498CF, Auflösung von DNS-Adressen, 2008;CF, Kontakte. Tier-1. DeCIX, 2007
Dieter Kochheim, <strong>Cybercrime</strong> - 88 -In einer ... Grauzone operieren die sogenanntenRogue Provider, die mit „bullet proof hosting“ werben,also im Prinzip versprechen, dass sie Ermittlungenvon Strafverfolgern nicht übermäßig unterstützenund dass sie auf Missbrauch-Beschwerdennicht reagieren. ...Das ... Geschäftsmodell des RNB war simpel unddreist: Je mehr eine Domain in den Fokus der Öffentlichkeitgeriet, je mehr Beschwerden an die E-Mail-Adresse für Missbrauch geschickt wurden,desto mehr Geld verlangten die Russen von ihrenKunden.Bolduan, S. 32der Öffentlichkeit und vor allem vor den Strafverfolgungsbehördenabschotten. Dazu werden Scheinfirmeneingerichtet, die als Inhaber von Domänengeführt werden, oder Fantasie- und Aliasnamenbenutzt. Solche schurkischen Dienste schließen esaus, dass die Betreiber und Hinterleute aus Registernoder anderen öffentlichen Quellen identifiziertwerden können (Bullet Proof Domains 499 ). ZumZweck der Abschottung werden vereinzelt auchtechnische Tricks eingesetzt, die den technischenStandort des Rogue-Servers verschleiern 500 .antispam.de nennt diese Art von Unternehmen beschwerdeignoranteProvider und Hoster 501 und benennteinige von ihnen aus China, Korea, Russlandund den USA. In Bezug auf Russland sinddas informtelecom.ru 502 und das Russian BusinessNetwork 503 . Auch Deutschland ist nicht frei vonzögerlich reagierenden Providern.Das Russian Business Network (RBN) ist ein russischerInternetdienstanbieter mit Sitz in St. Petersburg,Levashovskiy Prospekt 12. Ein großesNetz von Tochterfirmen haben u.a. ihren Sitz aufden Seychellen, in Panama, Türkei, China undGroßbritannien. Als Carrier sind RBN-Rechner teilweisemit denen von Firmen wie AkiMon sowieSBT-Tel vernetzt, deren Uplink Silvernet über Anschlüssean großen Rechnerknoten wie MSK-IXverfügen. Die Zeitschrift c't ordnet den Provider derGruppe der Rogue ISPs zu, die ihre kriminellenKunden vor dem Zugriff von Justizbehörden schützenund welche deren Dienstleistungen auch dannweiter betreiben, wenn sich Beschwerden häufen.Zu den Angeboten von Kunden von RBN gehörenAffiliatensysteme wie iFramecash.net, Rock-Phish-Crew. Zu den Techniken gehören teilweise Innovationenwie Fast Flux-botnet (schneller Wechsel),welche IP-Spuren verwischen sollen. Schadsoftwarewie MPack-Kit, Sturmwurm-Bot, Gozi-Bot,Torpig oder 76Serve, (vermietbare Bot-Armee-Software, die zur Ausspähung von Kreditkartenoder Identitäten dient), wird von RBN gehostet.Wikipedia 504499Jürgen Schmidt, Hydra der Moderne. Die neuenTricks der Spammer und Phisher, c't 18/2007;ders. ebenda: ... Bullet Proof Domains500Russian Business Network bekannt? tecchannel17.10.2007501beschwerdeignorante Provider und Hoster,antispam.de502informtelecom.ru: Dieser russische Webhoster istseit einigen Jahren schon immer wieder durchHosten von Phishing-/Muli-Webseiten, Warez-Piracy-Seiten, Casino-Spam-Seiten, Bride-Scam-Seiten u.a. aufgefallen.503RBN: Man erfreut sich offensichtlich besterBeziehungen zur russischen Regierung, der Betriebgeht seit Jahren unbehelligt in dieser Richtungweiter. Der gesamte IP-Adressbereich diesesrussischen Providers steht auf der Blackliste vonSpamhaus.org.504WP, Russian Business Network - RBN
Dieter Kochheim, <strong>Cybercrime</strong> - 89 -C.1 5. Russian Business Network - RBNHeise nennt die Betreiber des RBN die "Bösestender Bösen im Internet" 505 und meldete im Herbst2007, dass es sich aus dem Internet zurück zöge:Fast alle bekannten Autonomous Systems (AS)des RBN sind seit Kurzem aus den globalen Routing-Tabellenverschwunden: RBN-AS, SBT-AS,MICRONNET-AS, OINVEST-AS, AKIMON-AS,CONNCETCOM-AS und NEVSKCC-AS. EinzigCREDOLINK-ASN ist im Moment noch in den Tabellen,obwohl deren Netze ebenfalls nicht mehrerreichbar sind. 506Dank Bizeuls Untersuchung 507 kam etwas Licht indie Geschäftsaktivitäten des RBN und seiner Leitungspersonen.An der Spitze des RBN steht nachBizeuls Recherchen ... ein Mann mit dem Decknamen"Flyman" 508 . Der Firmensitz des nirgendworegistrierten und seit 2005 tätigen Unternehmensist in St. Petersburg, Levashovskiy Prospekt 12 509 .Von flyman wird behauptet, er sei der Neffe eineshochrangigen Politikers aus Sankt Petersburg. Soließe sich erklären, warum der Bandenkopf offensichtlichunbehelligt seinen Geschäften nachgehenkann 510 . Faber identifiziert einen weiteren Akteur:Ging es um Domains von RBN oder SBT-Tel undAkiMon, fand sich oft der Name Nikolay Ivanov 511 .Faber beschreibt in groben Zügen die Anbindungendes RBN 512 , die Ursprünge seiner kriminellenAktivitäten (das Verbreiten von Kinderpornographie,die Verbreitung von Schadcode und die aktiveBeteiligung am Phishing; Rock-Phish-Crew) bishin zur aktuellen Vermietung von Botnetzen, die fürdas Phishing optimiert sind: Die Monatsmiete proBot konnte je nach dem, wie lange er bereits in-stalliert ist, schon mal 1000 US-Dollar betragen.Je frischer der Bot, desto teurer ist er 513 .Schließlich bringt Faber das RBN mit den Betreiberndes Sturmwurm-Botnetzes 514 in Verbindung,weil die über manipulierte Webseiten verbreiteteMalware (MPack-Kit) bei RBN gehostet war 515 .Faber: Es scheint so, als fungiere das RussianBusiness Network als Katalysator, als jenes fehlendeTeil, das zum Aufbau einer regelrechtenSchattenwirtschaft im IT-Bereich nötig gewesenwar 516 .Das Verschwinden des RBN im November 2007war nur vorübergehend, wie schon Frank Ziemannim Februar 2008 zurückhaltend berichtete:St. Petersburg gilt als Hochburg der organisiertenOnline-Kriminalität. Auch das berüchtigte RussianBusiness Network (RBN), eine Art Internet-Providerfür Online-Kriminelle, war bis vor wenigenMonaten dort angesiedelt, soll mittlerweile jedochumgezogen sein. 517Faber 518 : Nur einen Tag später tauchten die erstenSites wieder auf, gehostet allerdings in Chinaund Hong Kong. ... In der Tat war wenig später zubeobachten, dass das RBN zwar weiterhin inSankt Petersburg residiert, seine Services aberauf verschiedene Länder verteilt. ...RBN habe seine Niederlassungen in Panama undder Türkei ausgebaut.Das RBN ist also Mitte 2008 keineswegs Geschichte,sondern aufgrund der neuen Strategielediglich wesentlich schwerer zu entdecken. 519505Die "Bösesten der Bösen im Internet" isoliert, Heiseonline 07.11.2007506Ebenda507David Bizeul, Russian Business Network study,bizeul.org 19.01.2008;CF, Russian Business Network – RBN, 04.05.2008508Innovation im Untergrund, Heise online 20.03.2008509Frank Faber, Unter Verdacht. Eine russische Bandeprofessionalisiert das <strong>Cybercrime</strong>-Business, c't11/2008510Ebenda, S. 93.511Ebenda.512Kasten auf der Vorseite; ebenda S. 93.513Ebenda, S. 94.514CF, Anatomie des Sturm-Wurms, 06.03.2008515Frank Faber, ebenda, S. 95.516Ebenda; unter Bezugnahme auf Muttik.517Frank Ziemann, Sturm-Wurm-Bande bald hinterGittern? PC-Welt 04.02.2008518Frank Faber, ebenda, S. 96.519Ebenda.
Dieter Kochheim, <strong>Cybercrime</strong> - 90 -C.1 6.FazitBizeuls Recherchen zeigen, dass beharrliche Forschungenin Verbindung mit Erfahrungswissen verdeckteStrukturen und Zusammenhänge erhellenkönnen. Das Russian Business Network zeigt dabeibeispielhaft, wie mit der Kombination aus technischemWissen, technischer Infrastruktur und denMethoden der Geldwäsche sowie der Verschleierunggeschäftlicher Aktivitäten sichere Häfen fürkriminelle Machenschaften im Internet aufgebautund dauerhaft erhalten bleiben können.Die Annahme von Bolduan, Rogue-Provider in derForm des RBN hätten keine Zukunft und würdenvöllig von Botnetzen abgelöst, teile ich nicht. Botnetzesind ein schlagkräftiges und wandlungsfähigesInstrument für kriminelle Aktivitäten, könnenaber Drop Zones für die Lagerung krimineller Inhalte,die kontinuierliche Kommunikation zwischenLieferanten, Subunternehmer usw. und geschlosseneBenutzerkreise nicht ersetzen. Sie werdensich wandeln, aber nicht verschwinden.Die Auseinandersetzung mit dem RBN hat eineReihe neuer Begriffe wie Rogue-Provider, Carder,Koordinator oder Exploit-Händler zu Tage gefördert.Sie bergen in sich die Gefahr, die ganze <strong>Cybercrime</strong>-Szeneals differenzierte Veranstaltungvon Fachleuten anzusehen. In ihr werden sich sicherlicheinige hoch qualifizierte und spezialisierteEinzelpersonen bewegen, die sich besonders mittechnischen Einzelheiten befassen.Wegen der geschäftsmäßigen Präsenz ist jedocheine Unternehmensstruktur erforderlich, wie sieauch im Wirtschaftsleben bekannt ist. Auch dafürist das RBN ein Beispiel.Andererseits zeigt sich die <strong>Cybercrime</strong>-Szene auchnicht als geschlossenes Ganzes, sondern docheher als ein geschäftlicher Verbund. Anders sinddie offen angebotenen Dienste von Spezialistennicht zu deuten.Die Malware-Schreiber dürften sich in aller Regelals Einzelkämpfer herausstellen und die Betreiberals bandenförmige Gruppen. Dasselbe gilt für dieOperation Groups, bei denen ich eine strenge Führungvermute.Das RBN und andere Schurkenprovider könnennur dort existieren, wo sie politisch unterstütztwerden oder das behördliche und gesellschaftlicheBewusstsein über ihre Gefährlichkeit unterentwickeltist. Insoweit gebe ich Muttik recht, auchwenn ich nicht glaube, dass sich Russland alsbaldaus der <strong>Cybercrime</strong> verabschiedet.Sicherlich werden sich andere Schurkenproviderin Schwellenländern ansiedeln. Sie brauchenaber zweierlei: Eine leistungsfähige technischeNetzstruktur, an die sie sich anschließen, undeine gesellschaftliche Umgebung, in der sie sichfrei bewegen können. Beides bietet Russland.
Dieter Kochheim, <strong>Cybercrime</strong> - 91 -C.2 arbeitsteilige und organisierte<strong>Cybercrime</strong>Der klassische Blick auf die Kriminalität in der Informationstechnikund dem Internet ist der vonTechnikern und Informatikern geprägte auf die Erscheinungsformen,Sicherheitslücken, Infiltrationswegeund Funktionen. Das ist der Security-Blick,dessen Ziele die Sicherung informationstechnischerSysteme, die Datensicherheit und die Abwehrvon Angriffen sind.Diesen Blick haben auch Sicherheitsunternehmen,die ihre Firewall-, Antiviren- und sonstige Sicherheitsprogrammeverkaufen wollen. Daran ist nichtsFalsches, wenn es um die technische IT-Sicherheit, um betriebliche Abläufe und ihreGefahrenquellen geht.Die Grundlage für eine rechtliche und strategischeBefassung mit der <strong>Cybercrime</strong> ist die, dass manzunächst die Grundzüge verstehen muss, wie sieund ihr technisches Umfeld funktionieren. DiesemBlick auf die Erscheinungsformen widmet sichauch der Cyberfahnder, wenn er sich mit den Angriffspunkten und -methoden, mit der Netztechnik520 und den kriminellen Erscheinungsformen521 auseinander setzt.Die strategische und kriminalpolitische Auseinandersetzungmit der <strong>Cybercrime</strong> muss jedoch diehandelnden Personen, ihre Motive und ihre Zielebetrachten.Dabei hilft auch der Blick auf die Details, wenn esum handwerkliches Können und die Vorschusskostengeht, die aufgebracht werden müssen, um kriminelleGewinne zu erzielen. Ganz wesentlich istjedoch die Frage danach, wie die Steuerung arbeitsteiligerProzesse, die Bezahlung und die Sicherungder Beute funktionieren. Nur so lassensich Strukturen erkennen und zerschlagen.Solche Fragen hat der Cyberfahnder immer wiederangesprochen, meistens aber ohne das Gesamtbildzu betrachten 522 .520CF, Telekommunikation und Internet (Themenseite)521CF, <strong>Cybercrime</strong> und IT-Strafrecht, 08.08.2008522Die arbeitsteiligen Strukturen beim Phishing (CF, DasUnternehmen Phish & Co., 2007) und beimSkimming (CF, steuernde Instanz, 18.05.2008)Dieser Aufsatz führt die (journalistischen) Quellenund Überlegungen zusammen, um die <strong>Cybercrime</strong>wegen der handelnden Personen und ihreMotive zu betrachten.Die grundlegende These lautet:Je aufwändiger und arbeitsteiliger die Cyber-Kriminellen vorgehen, desto mehr sind sie davonmotiviert, eine lohnende und dauerhafteEinnahmequelle für kriminelle Gewinne zuschaffen und zu nutzen.C.2 1. der IT-typische Blick auf dieErscheinungsformenFindet ein IT-ler (oder ein Marketing-Mensch)eine neue Lösung, ein neues Design, eine isolierteAufgabe, die er er aus einem Paket gelöst hat,oder eine neue Erscheinungsform einer Malware,so bekommt sie einen eigenen Namen. So entstehtein Zoo vielfältiger Namen, die vieles trennen,aber nichts verbinden.Wenn es um die Kriminalität im Internet geht, istdas nicht anders. Wir haben mindestens zwei"Skimmings", das alte 523 und das POS-Skimming524. Aber auch das "alte" hat so viele Erscheinungsformen,dass (selbst) ich zwischen demProll-Skimming 525 und dem arbeitsteiligen Skimming526 unterschieden habe.Das klassische Phishing 527 versuchte, mit nachgemachtenNachrichten bekannter Geschäftsbanken- also direkt über E-Mails - die Kunden zurPreisgabe ihrer Zugangsdaten zu bewegen. Dazuboten sich Eingabefelder in der E-Mail oder einLink an, mit dem auf ein nachgemachtes Bankwurdenmit den Erscheinungsformen behandelt undim Zusammenhang mit der CF, Führung:<strong>Cybercrime</strong> (07.08.2008) zusammen gefasst. Diejüngeren journalistischen Quellen lassen einumfassendes Bild erkennen:CF, Schurkenprovider und organisierte <strong>Cybercrime</strong>,13.07.2008;CF, globale Sicherheitsbedrohungen, 27.07.2008523CF, Skimming, 2008524CF, POS-Skimming, 2008525CF, Proll-Skimming, 2008526CF, arbeitsteiliges Skimming, 2008527CF, Ausforschung von Kontozugangsdaten, 2007
Dieter Kochheim, <strong>Cybercrime</strong> - 92 -portal geführt wurde. Weil die Täter gleich mehrerePortale fälschten und auf einem gekaperten Serverbereitstellten, wurde das in Anlehnung an eine"Farm" 528 als Pharming 529 bezeichnet.Auch die Methoden zur Tatausführung haben sichdahin gehend gewandelt, dass beim alten Phishingeine zeitliche Trennung zwischen dem Einsammelnder Daten und ihrem Missbrauch bestand. Das"moderne" Phishing führt beide Arbeitsschritte zusammen,indem eine Automatik – nur noch seltenein Mensch - nach der Art des Man-in-the-Middle530in den Überweisungsvorgang direkt eingreiftoder eine Malware mit vordefinierten Daten diesenVorgang manipuliert. Das heißt dann, jedenfalls inBrasilien, PWS-Banking 531 .Beim Grabbing 532 geht es darum, begehrte Domainnamenzu registrieren und damit für andere zublockieren, um dann über einen guten Preis für dieÜbertragung des Namens zu verhandeln. DieRechtsprechung nennt das Erpressung und Markenverwässerung,wenn es dabei um Firmennamenund Marken geht, was heute als Cybersquatting533 bezeichnet wird.Um die Frage, wie sich eine Malware transportierenlässt, sind Grabenkämpfe geführt worden. Infiziertsie sich in eine Programm- oder Kommandodateiund ist ein Virus? Lässt sie sich gleichsamhuckepack von einer Anwendungsdatei tragen undist sie deshalb ein selbständiger Wurm? Oder docheher ein Trojaner, weil sie in eine Anwendungsdateieingebettet ist, die etwas anderes zu seinscheint?Darin zeigt sich ein kurzsichtiger Blick auf die Erscheinungsformenund die Infiltrationstechnikenund nicht auf das, worauf es ankommt: Wasbezweckt die Malware und warum wird sie eingesetzt?Sicherheitsunternehmen sprechen deshalb ganzüberwiegend nur noch von Malware. Hervorzuhebenist McAfee, wo man sich immer mehr dafür in-528CF, Phishing - neue Tendenzen, 30.08.2007529CF, Pharming, 2007530CF, The Man in the Middle, 2007531CF, Länderstudie. Brasilien, 27.07.2008532CF, Grabbing, 2007533CF, Grabbing, 2007teressiert, welche Menschen Malware programmierenund einsetzen.Diese auf das Ergebnis ausgerichtete Betrachtungäußerte sich zunächst dadurch, dass der BegriffCrimeware eingeführt wurde. Darunter werdenalle Programme zusammen gefasst, die ausdrücklichdazu bestimmt sind, kriminellen Zweckenzu dienen.C.2 2. was ist <strong>Cybercrime</strong>?Eine allgemeingültige Definition ist nicht in Sicht.Die Wikipedia verweist auf den OberbegriffComputerkriminalität 534 und schließt sich derPolizeilichen Kriminalstatistik - PKS 535 - an. Danachwerden folgende Fallgruppen im Einzelnenerfasst 536 : Betrug mittels rechtswidrig erlangter Kreditkartenmit PIN Computerbetrug (§ 263a StGB) Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung(§§ 269, 270 StGB) Datenveränderung, Computersabotage (§§303a, 303b StGB) Ausspähen [und Abfangen] von Daten (§§202a, 202b StGB) Softwarepiraterie private Anwendung z.B. Computerspiele, oder in Form gewerbsmäßigen Handelns Herstellen, Überlassen, Verbreiten oder Verschaffensogenannter „Hacker-Tools“, welche daraufangelegt sind, „illegalen Zwecken zu dienen“(„Hackerparagraf“, § 202c StGB)Es handelt sich um eine sehr formalisierte Betrachtung,mit der Fallzahlen bewältigt werden534WP, Computerkriminalität535WP, Polizeiliche Kriminalstatistik (Deutschland)536CF, Anstieg der Internetkriminalität, 23.05.2010;BMI, Polizeiliche Kriminalstatistik 2009, 18.05.2010;BMI, Polizeiliche Kriminalstatistik 2009, 29.04.2010
Dieter Kochheim, <strong>Cybercrime</strong> - 93 -können. Ihre Stärke ist die Fortschreibung. Indemdas jährliche Aufkommen anhand von definiertenFallgruppen mit den früheren Zahlen verglichenwird, können Entwicklungen, besonders Steigerungenund Rückgänge, ausgelotet werden. Das hilftbei der Bemessung des Erfolges gesetzgeberischerund polizeilicher Maßnahmen und Schwerpunkte.Die <strong>Cybercrime</strong> ist jedoch eine junge und äußerstdynamische Erscheinungsform der Kriminalität, diesich dadurch der statistischen Erfassung entzieht.Eine ebenso formalisierte Betrachtung hat der Cyberfahnderpräsentiert, indem er vom IT-Strafrecht537im engeren 538 und weiteren Sinne spricht 539 .Diese Unterscheidung macht Sinn, wenn man <strong>Cybercrime</strong>als eine Kriminalitätsform ansieht, diesich zu ihrer Vorbereitung oder Ausführung der Informations-und Kommunikationsnetztechnik bedient.Das Bundesverfassungsgericht spricht insoweitzusammen fassend von InformationstechnischenSystemen – itS 540 .Ein itS ist eine technische Einrichtung, die digitaleInformationen herstellt, verarbeitet oder übermittelt.Der Chip in der Zahlungskarte ist ebenso ein itSwie das Innenleben einer digitalen Uhr und das Internetals Ganzes.Für die Herangehensweise des BVerfG ist dieseDefinition nahe liegend und nicht zu kritisieren. Eshat die Gestalt und Grenzen eines neuen Grundrechts541 definiert und dazu auf die Allgegenwartvon itS zurück gegriffen, um einen individuellenVertrauensschutz einzuführen. Auch das BVerfGwird in den nächsten Jahren erkennen, dass gegendie kriminellen Formen des Gebrauchs und Missbrauchsvon itS gleichwertige Handlungsermächtigungender Strafverfolgung erforderlich sind. SeinBefreiungsschlag gegen eine ausufernde Onlinedurchsuchungschafft rechtsstaatliche Grundlagen,die mit Leben ausgefüllt werden müssen.537CF, IT-Straftaten, 2007538CF, IT-Strafrecht im engeren Sinne, 08.08.2008539CF, IT-Strafrecht im weiteren Sinne, 08.08.2008540CF, Informationstechnische Systeme, 05.04.2008541CF, Gestalt und Grenzen eines neuen Grundrechts,05.04.2008Alle drei Varianten zur Definition entstanden, umeine Aussage zu einer spezifischen, aber jeweilsanderen Frage zu treffen.Die polizeiliche Statistik fragt nach den Entwicklungenund ist ein Instrument für die Kriminalpolitik.Das materielle IT-Strafrecht fragt danach, welcheHandlungen strafbar sind und welche nur mit denMitteln der IT oder auch mit den Mitteln der Informationstechnikbegangen werden können.Die verfassungsrechtliche Betrachtung fragt nachdem Einfluss und die Bedeutung der IT für dieGestaltung und den Schutz persönlicher Freiheitsräume.Die kriminalistische Frage nach den Beweggründenbleibt damit unbeantwortet.Typenlehre nach McAfee 542Innovatorenruhmgierige AmateureNachahmerInsiderorganisierteInternetverbrechergeringe Gefahrmittelmäßige Gefahrmittelmäßige Gefahrhohe Gefahrhohe GefahrC.2 3. Hacker: Moral und UnmoralWas unterscheidet den klassischen Hacker, wieer gelegentlich noch im Chaos Computer Club -CCC 543 - auftritt, von dem Sasser-Programmierer?544Der klassische Hacker hat noch eine Moral,eine Vorstellung von gut und richtig. Dort begannauch der Sasser-Programmierer, als seine Malwarezunächst nur andere schädliche Malwarebeseitigen sollte. Sein Spieltrieb und seine mangelndeWeitsicht brachten ihn aber dazu, die Folgenseine Würmer nicht mehr abzuschätzen,nicht mehr wahrzunehmen und schließlich immermehr Böswilligkeiten in sie einzubauen.Zusammen mit den Script-Kiddies 545 , die fertige542CF, erste Typenlehre, 27.07.2008543CF, Wir sind die Guten! 20.01.2008544CF, neue Herausforderungen, 2007545CF, Länderstudie. USA, 27.07.2008
Dieter Kochheim, <strong>Cybercrime</strong> - 94 -Toolkits 546 für ihre gefährlichen Spielereien einsetzen,markiert der Sasser-Programmierer dieTypen "ruhmgierige Amateure" und "Nachahmer",wie sie von McAfee bezeichnet wurden 547 .Die Programmierer von Toolkits 548 sind hingegenGrenzgänger: Teilweise noch "Innovatoren" undteilweise schon Internetverbrecher, um in der Typenlehrevon McAfee zu bleiben.Klassische, innovative Hacker, die nach Sicherheitslückensuchten und ihre Erkenntnisse denVerantwortlichen berichteten, konnten für sich inAnspruch nehmen, jedenfalls insgesamt der IT-Sicherheit zu dienen.Sie taten das gelegentlich auch öffentlich und setzendamit nicht nur die Hersteller von Hard- undSoftware unter Zugzwang, sondern eröffnetenauch der Schar der Nachahmer ein neues Spielfeld.Ist dieses Handeln noch "moralisch", wenn Nachahmergeradezu dazu motiviert werden, itS zu penetrieren,auszuforschen und zu sabotieren?Die Veröffentlichung von Sicherheitslücken ist keineAnstiftung (§ 26 StGB) zum Ausspähen von Daten(§ 202a StGB) oder zur Computersabotage (§§303a, 303 StGB), weil es an an der Aufforderungzu einer bestimmten Straftat fehlt, kann aber eineAnleitung zu Straftaten sein, wenn damit ausnahmsweisegemeingefährliche Verbrechen ermöglichtwerden (§ 130a StGB 549 ).Ein Cracker ist jemand, der Zugriffsbarrieren vonComputer- und Netzwerksystemen umgeht 550Cracking ist die Tätigkeit, ein Computerprogrammzu analysieren, um den Kopierschutz zu entfernen551Im Jargon der Hackerkultur wird gerne zwischen546CF, Trojaner für Dummies, 03.01.2008547CF, erste Typenlehre, 27.07.2008548CF, Trojanerbaukasten mit Support, 20.06.2008549CF, strafbare Bombenbau-Anleitungen im Internet,2007550WP, Cracker (Computersicherheit)551WP, Crack (Software);Eine bemühte WP, Abgrenzung zum Begriff ‚Cracker’den "guten" Hackern und den nicht so sauberenCrackern unterschieden. Die Definitionen sind jedochnicht einheitlich, weil sich das Cracking aufverschiedene Schwerpunkte beziehen kann.Worin unterscheiden sich Hacker, Cracker undExploit-Händler ? 552Sicherlich nicht in ihren Methoden. Sie betreibenHacking, indem Sie Netzzugänge oder andere Sicherungstechnikenaushebeln, brechen oder zuumgehen versuchen.Damit machen sie sich auch vom Grundsatz herstrafbar."Moral" ist kein hinreichendes Kriterium dafür, Kriminalitätzu definieren 553 . Sie kann die Schuldschwerebeeinflussen, nicht aber das "Ob". Wennder Betreiber von IT Sicherheitslücken erkundenlassen will, so rechtfertigt das den Einsatz desHackings. Will er das nicht, dann gibt es jedenfallskeine strafbefreiende Begründung dafür.Der Exploit-Händler wird jedoch vom Strebennach Gewinn getrieben. Darin unterscheidet ersich tatsächlich vom Hacker und vom Cracker.Das macht ihn auch zu einer neuen Form von Kriminellen.C.2 4. EinzeltäterKein Einzeltäter handelt ohne gesellschaftlichemHintergrund und ohne Einbindung in eine Bezugsgruppe.Man sucht sich, findet sich, unterstütztsich, streitet und kämpft miteinander. Die Expertenfür Exploits, Toolkits und Malware dürftenüberwiegend späte Nachfahren der Kosmos-Experimentierkasten-Generation sein, mit der ichaufgewachsen bin. Sie sind keineswegs asozial,sondern durchaus kommunikativ. Man hört aufein-552Der Exploit-Händler verkauft die von ihmentdeckten oder gekauften Sicherheitslücken:WP, Exploit-Händler. 13.07.2008553Die Rechtsoziologie unterscheidet zwischen derindividuellen Moral als Handlungsprinzip, dergruppenbezogenen Sitte und dem staatlichenRecht. Starke Sitten können das Recht im Einzelfallbeeinflussen, wenn es im Widerspruch zu ihmsteht. Das ist aber kein Freibrief zumrechtswidrigen Handeln.CF, neue Knäste braucht das Land, 27.122007
Dieter Kochheim, <strong>Cybercrime</strong> - 95 -ander und lernt voneinander. Echte Zusammenarbeitkennen sie nur mit höchst vertrauten Kumpeln.Arbeitsteilung, Prozessplanung und -überwachungsind ihnen nicht unbekannt, aber fremd.Sie achten es, wenn Andere diese Fertigkeiten haben,und nutzen sie, wenn sie sie brauchen. IhrDing machen sie aber lieber alleine.Das ist keine Analyse, sondern eher eine subjektiveEinschätzung.Ich glaube tatsächlich, dass Bolduans 554 Darstellungzutrifft, dass die IT-Handwerker im Bereich der<strong>Cybercrime</strong> eher Einzeltäter sind. Man unterwirftsich einem Auftraggeber für ein Projekt, arbeitetrund um die Uhr und liefert irgendwann ein gutes,vielleicht auch geniales Ergebnis ab.Bertold Brecht hat gesagt: Erst kommt das Fressenund dann die Moral.Was ist, wenn man nicht mehr zuhause bei den Elternwohnt, nicht mehr Vaters Flatrate benutzenkann und Hotel Mama den Dienst verweigert?Dann muss man Geld verdienen mit dem, wasman am besten kann.Zusammenarbeit, Diskussion und Kommunikationsind alltägliche soziale Prozesse. Gefährlich werdensie, wenn eine In-Group-Sitte entsteht mit abweichendenSitten- und Rechtsvorstellungen, dieganz schnell zu einer Wagenburg-Identität werdenkönnen, die alles Äußere als falsch und bekämpfenswertansehen.In-Group-Prozesse sind gut und richtig, wenn sieeine Identität und das Rückgrat der Mitglieder fördern.Sie sind falsch und "sektisch", wenn sie sichzur Außenwelt abgrenzen und keine vernünftigeKommunikation mit ihr mehr zulassen und sie zurFeindwelt wird.Die virtuelle Welt befriedigt aber keine realen Bedürfnisse.Wohnen, Essen, Trinken, Internet, Sex und dieKatze, die um die Beine streicht, verlangen nachGeld.Individualisten bekommen es von Kontaktpersonen,die die Aufträge erteilen, die Ergebnisse ab-554CF, Botnetz-Software und -Betreiber, 13.07.2008holen und das Geld bringen. Damit sind wir indem klassischen Bild von den Geld- undAusweisfälschern.Gute Individualisten in diesem Sinne müssen sichauf ihre Fertigkeiten konzentrieren und brauchenum sich herum Vermarkter, Buchhalter für das Inkassound eine Firma, die sie vom Alltagsgeschäftentlasten.Damit ist die mittelständische organisierte <strong>Cybercrime</strong>geboren.Ihre Vertreter verdienen die Strafverfolgung. Dasist aber nur Marktbereinigung, weil neue Anbietersofort wieder nachwachsen werden.Richtig gefährlich sind ihre Auftraggeber.C.2 5. Malware-Schreiber, Zulieferer undAuftraggeberAn den Anfang der "Produktionskette" stellt Balduan555 die Malware-Schreiber, die zwei Zulieferungenbenötigen: Vom Exploit-Händler erhaltensie die Beschreibung einer Sicherheitslücke, aufder sie die Malware aufsetzen können, und vomToolkit-Schreiber erhalten sie die aktuellen Instrumentezum Tarnen der Malware.Bevor jedoch die geeigneten Werkzeuge ausgewähltund beschafft werden können, bedarf es einesAuftraggebers und dessen Vorstellungenüber die Funktionsweise der Malware.Als Auftraggeber kommen vor Allem Botnetzbetreiber,Botnetznutzer, Phisher und Informationshändlerin Betracht. Sie haben sehr unterschiedlicheBedürfnisse.Botnetzbetreiber haben ein besonderes Interessean der Pflege, dem Erhalt und der Erweiterungdes Botnetzes. Bei der Pflege und dem Erhaltgeht es darum, die Zombierechner und ihreSteuerungssoftware mit den neuesten Methodenzur Tarnung und zur Steuerung auszustatten. Wegender Tarnung kommen die Toolkit-Schreibermit ins Boot, die sich auf dem Markt der Antivirensoftwareauskennen und immer neue Methodenentwickeln, wie man die installierte Malware vor555Ebenda
Dieter Kochheim, <strong>Cybercrime</strong> - 96 -der Enttarnung bewahren kann. Um die Funktionstüchtigkeitzu erhalten, sind Kenntnisse im Zusammenhangmit Peer-to-Peer-Netzen und derFernwartung erforderlich. Insoweit ist eine Zusammenarbeitmit den Fachleuten der Botnetzbetreibernötig oder mit freien Fachleuten, deren Wissen eingekauftwerden muss.Der Einsatz der neuesten Tarnungen ist auch fürdie Erweiterung des Botnetzes von Bedeutung.Hierbei kommt es jedoch besonders darauf an,neue Zombies zu gewinnen, also auf die Verteilungder Malware (Methoden), Infiltration und Übernahmevon PCs.Die Palette der Anforderungen an eine Bot-Software lässt es kaum erwarten, dass nur ein einzelnerMalware-Schreiber zum Einsatz kommt. ImGegensatz zu "normaler" Malware soll der Zombiemöglichst lange erhalten bleiben, so dass dieSteuerung und die Beeinträchtigung behutsamsein sollen 556 .Die Malware muss deshalb beherrschen: Infiltration und Übernahme modularer Aufbau und Update Tarnung Steuerungsfunktionen, Betriebsüberwachung EinsatzsteuerungDiese Vielfalt bedarf eines Projektmanagementsund der Leitung durch einen Koordinator.Die Anforderungen der Auftraggeber im Übrigensind vielleicht nicht ganz so umfassend, aber auchnicht unbedeutend. Phisher benötigen eine präziseSteuerung zum Missbrauch des Homebankingsund Industriespione eine präzise Funktion zur Ausforschungdes Zielrechners.Erst wenn die Aufgabe mit ihren besonderen Anforderungenbekannt ist, kann der Malware-Schreiberdie geeigneten Exploits und Toolkits auswählenund seine Software zusammenstellen.Maßgeblich für die weitere Auftragsabwicklung istdie Bezahlung. Insoweit kommen vor Allem Bargeldund Bezahlsysteme auf der Grundlage von556CF, Anatomie des Sturm-Wurms, 06.03.2008Edelmetallen in Betracht 557 . Wegen der Barzahlungist eine "unechte" Hawala denkbar, bei derBoten die Geldübergabe besorgen. Der Einsatzvon Operation Groups, von dem Balduan berichtet,lässt das nahe liegend erscheinen.C.2 6. spezialisierte ZwischenhändlerDie Funktionsvielfalt der Malware lässt Zweifel ander Einzeltäterannahme aufkommen. Warum solltesich ein begnadeter Malware-Schreiber einekleine Firma schaffen, die sich um seine Vermarktungkümmert? Warum sollte er Marktforschungbetreiben, um sich die geeigneten Exploits undToolkits zu beschaffen? Unter marktwirtschaftlichenGesichtspunkten liegt es viel näher, anzunehmen,dass sich für jede dieser Aufgaben spezialisierteZwischenhändler herausbilden, die ihreeigenen Zulieferer für Exploits, Toolkits und andereSpezialformen von Software haben.Ein Blick auf das Skimming 558 macht die Sinnhaftigkeitdes Einsatzes von Spezialistengruppen mitunterschiedlichen Qualifikationen besondersdeutlich: echte Handwerker bauen Skimmer, Überwachungskameras,Vorsatzgeräte und Steuerungsprogramme Installateure bauen die Überwachungstechnikin eine Bankfiliale ein und bauen sie später auchwieder ab Fälscher stellen die Dubletten von Zahlungskartenher Läufer setzen die Dubletten an Geldautomatenein andere Agenten transportieren die Dublettenund die BeuteDie Installateure brauchen Geschick, die FälscherZeit und die richtige Ausstattung und die Läufereinfach nur Dreistigkeit. Gute Handwerker entstehennicht dadurch, dass sie 'mal eine Überwachungskamerabauen und mit einem Sender ausstatten.Sie brauchen Übung und Erfahrung, die557Beispiele dafür sind CF, E-Gold (2007) und CF,WebMoney, 13.07.2008.558CF, arbeitsteiliges Skimming, 18.05.2008
Dieter Kochheim, <strong>Cybercrime</strong> - 97 -sie nur bekommen, wenn sie ihre Geräte immerwieder und für verschiedene "Projekte" anbieten.Auch beim Phishing werden besondere Kenntnissebenötigt, wenn es darum geht, "gute" Webseitenoder E-Mails herzustellen, unauffällige Texte undgute Übersetzungen 559 .Das, was ich Zwischenhändler nenne, bezeichnetBalduan als Operation Groups 560 . Sie haben ihreKontakte und Leute, auf die sie bei jedem Auftragzurück greifen können. Sie und besonders ihre leitendenUnternehmer erleichtern das Geschäft füralle Beteiligten. Die Spezialisten müssen sich nichtum ihre Vermarktung kümmern und die Auftraggebernicht darum, den richtigen Spezialisten oderZulieferer zu finden.Durch den Einsatz von Zwischenhändlern bekommtdie <strong>Cybercrime</strong> eine neue Gestalt. Sie organisiertsich dadurch arbeitsteilig und marktmäßig- um Straftaten zu ermöglichen und durchzuführen.C.2 7. kriminelle UnternehmerOrganisierte Internetverbrecher im Sinne der Typenlehrevon McAfee 561 sind die Unternehmer,also die Botnetzbetreiber und die Rogue-Provider,sowie die "Projektleiter", also Koordinatoren.Botnetzbetreiber bieten unter Marktgesichtspunkteneine auf Dauer angelegte Dienstleistung. IhrProduktionsmittel ist das Botnetz, das sie eingerichtethaben und pflegen, und ihre Dienstleistungder Gebrauch des Botnetzes.Ein Botnetz lässt sich vielfältig einsetzen, zum Beispielzum Versand von Spams. Diese Dienstleistungwerden die Betreiber selber durchführen undsich dazu die zu verbreitende Nachricht übermittelnlassen. Die Zieladressen werden entwedervom Kunden geliefert, die Versender greifen aufihre eigenen Bestände zurück oder kaufen Adressenlistengezielt ein 562 . Das dürfte Verhandlungs-559CF, Malware lernt die deutsche Sprache, 27.07.2008560CF, Operation Groups, 13.07.2008561CF, Hacker: Moral und Unmoral, 07.08.2008562Siehe: CF, Zusammenarbeit der Szenen, 2007;CF, Spam-Discounter, 13.10.2007; CF, geklauteDaten zum Schnäppchenpreis, 09.04.2008;CF, qualitätskontrollierter Kontomissbrauch,sache sein und letztlich eine Frage des Preises.Es ist kaum vorstellbar, dass die BotnetzbetreiberErpressungen im Zusammenhang mit verteiltenAngriffen, Phishing-Kampagnen und die Kontrollevon Malware in eigener Regie durchführen, weildazu jeweils spezielles Wissen und besondereMaßnahmen zur Beutesicherung nötig sind.Sie werden sich deshalb darauf beschränken, ihrWerkzeug projektbezogen einzusetzen oder zeitweiligzu vermieten 563 .Während die Botnetz-Betreiber im Verborgenenbleiben, sind die Schurken-Provider (Rogue-Provider)ganz offiziell in die technischen Strukturendes Internets eingebunden. Ihr bekanntester Vertreterist das Russian Business Network - RBN.Das Geschäftsmodell der Rogue Provider unterscheidetsich nur etwas von den sonstigen Zugangs-und Hostprovidern, weil sie ihre Kundennachhaltig von der neugierigen Öffentlichkeit abschotten.Das RBN verwendet Scheinfirmen fürDNS-Eintragungen, liefert sichere Speicherorte 564für Malware, Pharmen, "geheime" Webauftritteund ausgekundschaftete Kontozugangsdaten, geschlosseneBenutzergruppen und damit einenHandelsplatz für alles, was als illegale Inhalte undKommunikationen im Internet möglich ist.Das Geschäftsmodell ist einfach: Je mehr Anfragenvon Geschädigten, Neugierigen und Strafverfolgernabgewimmelt werden müssen, desto teurerwird der Dienst.Das funktioniert nur solange keine effektiveRechts- und Strafverfolgung gegen den Rogue-Provider erfolgt. Befürchtet er Schadenersatzoder sogar Strafe, dann strukturiert er sich um,wie das RBN gezeigt hat: RBN lebt 565 .09.05.2008; CF, neue Herausforderungen, 2007;CF, Forderung nach Übertragungsgebühren,08.12.2007.563Frank Faber, Unter Verdacht. Eine russischeBande professionalisiert das <strong>Cybercrime</strong>-Business,c't 11/2008;CF, Russian Business Network – RBN, 13.07.2008.564CF, Drop Zones, 13.07.2008565CF, RBN lebt, 13.07.2008
Dieter Kochheim, <strong>Cybercrime</strong> - 98 -C.2 8. KoordinatorenVon den kriminellen Unternehmen, die daraufausgelegt sind, dauerhaft zu handelnund sich sozusagen zu etablieren, unterscheidensich die Koordinatoren 566 . Sieplanen kriminelle Einzelaktionen, kaufen diedazu nötige Infrastruktur (Botnetz, DropZone), das Fachwissen und die nötigen Leuteein. Sie sind sozusagen die Projektmanagerder <strong>Cybercrime</strong>.Es gibt Gerüchte, dass die Koordinatorenhäufig aus dem Kreis des früheren KGBstammen.Auch die Koordinatoren werden sich auf bestimmte"Projekte" spezialisieren und durchsie Erfahrungen sammeln. So bauen sie Erfahrungswissenüber Zwischenhändler und die Qualitätihrer Dienste auf, das ihnen bei jedem neuen"Projekt" zugute kommt.Ob sie alleine handeln, ist unklar. Wahrscheinlichwerden sie sich nach und nach einen kleinen Stabaufbauen, der bei der Abwicklung der Projekte hilft.Im Übrigen bleiben sie im Verborgenen - wie dieSpezialisten und Zwischenhändler auch.Über die Auftraggeber ist ebenfalls nichts bekannt.Komplexe Projekte werden aber ohne eine Vorschussfinanzierungnicht durchführbar sein.C.2 9. ZwischenergebnisDie organisierte <strong>Cybercrime</strong> wird von Unternehmernausgeführt, die die dauerhaft benötigtenWerkzeuge wie Botnetze und Drop Zones zur Verfügungstellen. Soweit sie in der Öffentlichkeit agierenwie die Rogue-Provider, ist es ihr Bestreben,ihre zahlenden Kunden von der neugierigen Öffentlichkeitabzuschotten.Für die kriminellen Projekte sind in aller Regel Koordinatorenzuständig, die die nötigen Geräte, Programmeund das Spezialistenwissen einkaufenund zusammen führen. Dabei rekrutieren sie wahrscheinlichganz überwiegend keine einzelnen Zuliefererund Programmierer, sondern bevorzugt566CF, Koordinator, 13.07.2008Zwischenhändler, die ihrerseits über einenStamm von Zulieferern, Experten oder"Laufburschen" verfügen.Große <strong>Cybercrime</strong>-Projekte haben eine Komplexitäterreicht, dass sie von Einzeltätern nicht mehrbewältigt werden können. Sie werden vereinzeltauftreten als Hacker (Exploits, Adressdaten) undProgrammierer (Toolkits, Malware) und ihreDienste werden sie wahrscheinlich immer häufigerüber Zwischenhändler verkaufen, die für bestimmteSegmente des kriminellen Marktes spezialisiertsind.C.2 10. Organigramm der <strong>Cybercrime</strong>Die bereits an anderer Stelle aufgenommenenHinweise 567 , die hier zusammen gefasst undangereichert wurden, lassen eine arbeitsteiligeStruktur erkennen, in der vor Allem kriminelle Unternehmen(Botnetzbetreiber und Rogue-Provider),Zwischenhändler (Operation Groups) undKoordinatoren für einzelne kriminelle Projektehandeln (siehe Grafik oben).In diesem Modell spielen die Handwerker, Spezialistenund Laufburschen (Finanzagenten beimPhishing, Geldabheber und Installateure beimSkimming) zwar die Basis der kriminellen Handlungen.Ihr Einsatz und die Zusammenführung ihrerArbeitsergebnisse wird in diesem Modell je-567CF, Schurkenprovider und organisierte <strong>Cybercrime</strong>,13.07.2008
Dieter Kochheim, <strong>Cybercrime</strong> - 99 -doch von den Zwischenhändlern undden Koordinatoren organisiert.Außerhalb des Organigramms bleibtviel Raum für die "einfache" <strong>Cybercrime</strong>.Zu ihr gehören die Script-Kiddiesmit ihren zusammen gebasteltenTrojanern, die keinen nennenswertenSchaden anrichten, die Lügnerbei Onlineauktionen, die Nutzervon Raubkopien und viele andereMassenerscheinungen. Sie bildendas kriminelle Massengeschäft, dasvon der Strafverfolgung abgearbeitetwerden kann und das Moden unterworfenist.Eine neue Qualität ist jedoch wegender arbeitsteiligen und teilweise bereitsorganisierten <strong>Cybercrime</strong> entstanden,die das Organigramm abbildet.C.2 11. neue Definition der <strong>Cybercrime</strong>Für die arbeitsteilige <strong>Cybercrime</strong> bietet sich deshalbfolgende Definition an: Die arbeitsteilige <strong>Cybercrime</strong> ist die vom Gewinnstrebenbestimmte planmäßige Begehung vonIT-Straftaten, die einzeln oder in ihrer Gesamtheitvon erheblicher Bedeutung sind. Ihre planendenTäter greifen dazu auf etablierte Strukturen (wieBotnetze und Rogue-Provider) und Gruppen mitSpezialisten (Operation Groups) zurück, derenDienste und Handlungen sie zur Erreichung deskriminellen Zieles zusammenführen.Einzelne Zwischenhändler, die Botnetzbetreiberund die Rogue-Provider dürften für sich bereits dieBedingungen für eine organisierte <strong>Cybercrime</strong>erfüllen: Organisierte <strong>Cybercrime</strong> ist die vom GewinnoderMachtstreben bestimmte planmäßige Begehungvon IT-Straftaten, die einzeln oder in ihrerGesamtheit von erheblicher Bedeutung sind, wennmehr als zwei Beteiligte auf längere oder unbestimmteDauer arbeitsteiliga. unter Verwendung gewerblicher oder geschäftsähnlicherStrukturen,b. unter Anwendung von Gewalt oder anderer zurEinschüchterung geeigneter Mittel oderc. unter Einflussnahme auf Politik, Medien, öffentlicheVerwaltung, Justiz oder Wirtschaft zusammenwirken.C.2 12. modulare <strong>Cybercrime</strong>Der IT-typische Blick auf die Erscheinungsformender <strong>Cybercrime</strong> stellt die öffentlich handelndenAkteure in den Vordergrund.Am Beispiel des Skimmings sind das aber nur diewegen ihrer Dreistigkeit qualifizierten Installateureund die Läufer, die schließlich die Dubletten missbrauchen.Die wirklichen Spezialisten für die Zusammenstellungder Skimmingtechnik, die Fälscherund die Beutesicherer bleiben dabei ausdem Blick.Das arbeitsteilige Skimming ist hingegen zielorientiert.Die Methoden zur Datengewinnung sindihm völlig gleichgültig. Ihm kommt es auf die Beutean. Die Module, die für die Zielerreichung eingesetztwerden, sind austauschbar. Sowohl dieHandwerker wie auch die Installateure könneneingespart (und damit die Namensgeber für diese
Dieter Kochheim, <strong>Cybercrime</strong> - 100 -Form der <strong>Cybercrime</strong>), wenn die Zahlungskartendatenauf andere Weise beschafft werden können,oder outgesourced werden, um dann nur mit denArbeitsergebnissen weiterzuarbeiten.Andere Formen der <strong>Cybercrime</strong> ließen sich ganzähnlich darstellen.Phishing: Es ist egal, wie die Kontozugangsdatenbeschafft werden, ob durch ein E-Mail-Formular, einerWebseite, POS-Skimming oder einer Keylogger-Malware.Das Ergebnis zählt. Die in irgendeinerForm ausgespähten Daten sollen missbrauchtund die Beute gesichert werden. Der Weg dahin isteine Zusammenstellung von Modulen, die eineWeile funktionieren und dann wieder ausgetauschtwerden müssen.So betrachtet müssen die Namen für die besonderenFormen der <strong>Cybercrime</strong> neu bedacht werden,weil sie sich bislang an dem Beschaffungs- undnicht an dem Verwertungsprozess orientieren: nicht Skimming, sondern Zahlungskartenmissbrauch, nicht Phishing, sondern Homebankingmissbrauch, nicht Botnetze, sondern Missbrauch von PC-Clustern.C.2 13. FazitDie <strong>Cybercrime</strong> ist IT-Kriminalität. Es handelt sichum Straftaten unter Einsatz der Informationstechnikund des Internets.Ihre allgemeinen Formen zeigen sich in Massenerscheinungenwie Betrügereien in Auslobungsplattformen,z.B. bei eBay, oder die Verbreitung undNutzung urheberrechtlich geschützter Werke. BesondereAusprägungen sind die Verbreitungrechtswidriger Inhalte (Kinderpornos, Beleidigungen,Boykottaufrufe, Bombenbauanleitungen), dasAmateur-Hacking (Nachahmer) und der Identitätsdiebstahl,um Andere zu schädigen oder in Misskreditzu bringen.Ihre Gefährlichkeit soll nicht kleingeredet werden,weil sie im Einzelfall furchtbare Schicksale hervorrufenoder vertiefen (z.B. Kinderpornographie).Als Ausprägungen schwerer und organisierter Kriminalitätzeigen sich hingegen die Erscheinungsformender Botnetze, des Phishings und desSkimmings.Diese Kriminalitätsformen sind zielorientiert undverfolgen den Zweck, kriminelle Gewinne zu verwirklichen.Dabei orientieren sie sich auf denMissbrauch bestimmter Formen der Technik wieZahlungskarten, das Homebanking oder von PC-Clustern. Die dabei eingesetzten Methoden desMissbrauchs sind gleichgültig. Sie sind modularund werden zweckverfolgend ausgewechselt odermodifiziert.Entstanden ist deshalb eine arbeitsteilige <strong>Cybercrime</strong>-Szene,die sich wegen einzelner Erscheinungsformenals Organisierte Kriminalität darstellt.In dieser Struktur haben Einzeltäter noch einevereinzelte Bedeutung, wenn sie mehr oder wenigerunersetzbare Spezialisten sind.Ansonsten sind sie austauschbar. Vor Allem diemehr dreisten als kenntnisreichen Läufer, die notgedrungenin der Öffentlichkeit auftreten müssen,sind ersetzbar und können jederzeit geopfert werden.Sie sind die Finanzagenten beim Missbrauchdes Onlinebankings und die Installateure und dieLäufer bei Einsatz gefälschter Zahlungskarten.Ihre Handlungen sind zwar namensgebend für diebetreffende kriminelle Erscheinungsform gewesen,für die Zielerreichung sind die öffentlich handelndenPersonen aber nur funktional bedeutsamund ansonsten austauschbar.
Dieter Kochheim, <strong>Cybercrime</strong> - 101 -C.2 14. modulare KriminalitätDas Bild von der modularen <strong>Cybercrime</strong> lässtsich auf jede Form der Kriminalität übertragen 568 .Die modulare Kriminalität ist geprägt von der Technikdes Projektmanagements, zielt auf eine effektiveGewinnerzielung und hat als wesentliche dieParameter Aufwand und Gewinn sowie, nur darinunterscheidet sie sich von üblichen Projekten, demEntdeckungsrisiko. Das versinnbildlicht am Beispieldes Skimmings die Grafik oben. Ich nenne siedie „Messlatte des Koordinators“ 569 .Der eine oder andere Koordinator mag besondereErfahrungen, Kontakte und Quellen für ein einzelnesKriminalitätsfeld haben und deshalb besondersgut darin sein. Kennzeichnend für die modulareKriminalität ist jedoch, dass sie wegen der kriminellenMethode und wegen der Erreichung der Meilensteinevöllig offen ist. Ihre Maßgabe ist der er-568CF, modulare Kriminalität, 05.10.2008569CF, Kriminalität aus dem Baukasten, 21.09.2008wartete Gewinn.Das liegt vor allem daran, dass die modulare Kriminalitätvorfinanziert werden muss. Sie verzichtetauf einen Mitarbeiterstamm, wenn es im Ergebnisschneller und besser: billiger ist, Daten,Werkzeuge und Dienste von spezialisierten Fachleuteneinzukaufen.Das führt zu einer Schattenökonomie mit kriminellenHalbfertigprodukten.Kein "ordentlicher" Handwerker, der gute Fassadenfür das Skimming bauen kann, setzt sichohne Not dem Stress aus, diese auch für dasAusspähen von Zahlungskartendaten zu installierenund wieder abzubauen.Die modulare Kriminalität ist eine logische Fortsetzungder Arbeitsteilung zwischen Dieb undHehler, nur dass die Arbeitsteilung noch weitersegmentiert ist.Möglich ist das nur, wenn es die Mittelsleute undspezialisierte Subunternehmer gibt, die über Sze-
Dieter Kochheim, <strong>Cybercrime</strong> - 102 -nekenntnisse, Kontakte und mehr oder wenigerlocker angebundene Mitarbeiter verfügen. Sie undihre Zuarbeiter bilden die Operating Groups, vondenen erstmals Bolduan spricht. Sie liefern diekriminellen Halbfertigprodukte in Form von Geräten,Daten oder Diensten, also zum Beispiel für dieInstallation von Skimming-Hardware, für den Missbrauchvon gefälschten Zahlungskarten, für dendiskreten Transport oder Versand von Geld oderanderen Werten und so weiter.Der Koordinator ist zunächst ein Kalkulator. SeineEntscheidungsparameter sind, wie gesagt, wirtschaftlicherArt und betreffen Aufwand, Profit undEntdeckungsrisiko. Nur der dritte Eckpunkt ist vonder Kriminalität geprägt.
Dieter Kochheim, <strong>Cybercrime</strong> - 103 -C.3 Basar für tatgeneigte TäterWie organisieren sich arbeitsteilige Täter in derUnderground Economy?Die <strong>Cybercrime</strong> verfügt mit dem Internet über eigeneMechanismen der Kommunikation und des Austauschesihrer kriminellen Dienstleistungen. Dasgängige Bild geht von einer diffusen, chaotisch anmutendenVielzahl von Einzelpersonen aus, diesich sporadisch binden und ihre Werkzeuge undKenntnisse gegen andere Werte tauschen. Ichnenne sie die Crämer. Ihre Schattenwelt wird üblicherweiseals die Underground Economy bezeichnet.Die Crämer sind die kleinen Kriminellen, die ihrenLebensunterhalt auf den Basaren in der UndergroundEconomy verdienen.Im Hintergrund agieren die Organisierten Internetkriminellen,die richtige Beute machen.Die Arbeitsweisen der <strong>Cybercrime</strong> und der "normalen"Kriminalität vermischen sich dabei allmählich.Während die herkömmlichen Täter das Internet immermehr als ihre anonym erscheinende Kommunikationsplattformnutzen, professionalisieren sichTeile der Cyber-Kriminellen und übernehmen dazuauch die Strukturen und Methoden, die das Verbrechenim Übrigen kennt.C.3 1. Hacker-MärkteDie Kommunikation und die kriminellen Geschäfteerfolgen bevorzugt in geschlossenen Boards (Foren).Die dort ablaufenden Prozesse werden vor allemvon Ester und Benzmüller beschrieben 570 .C.3 1.1 Ende eines HackerboardsIm November 2009 zerschlugen die StaatsanwaltschaftBonn und das Bundeskriminalamt eine Tätergruppe,die nicht nur ein Forum für jederlei kriminelleLeistungen betrieb, sondern auch ein Botnetz,mit dem Kritiker und Konkurrenten angegrif-570Marc-Aurél Ester, Ralf Benzmüller, G DataWhitepaper 2009. Underground Economy,19.08.2009;dieselben, Whitepaper 04/2010. UndergroundEconomy - Update 04/2010, G Data 22.04.2010fen wurden 571 .Die etwa 18.000 Teilnehmer im Elite-Forum botenu.a. Kreditkarten- und Kontodaten, illegal beschafftePasswörter oder selbst programmierteschädliche Software wie Trojaner zum Tauschund Kauf an 572 . Sie verdienen ihren Lebensunterhaltin der Underground Economy 573 , ohne dassdie meisten von ihnen dadurch reich gewordenwären.Das Beispiel passt zu den schon älteren Erfahrungen,über die Jäger 2006 berichtet hat 574 . Erfand Preislisten für Botnetze, Malware, Schwachstellen(Exploits) und Rootkits (Tarnmechanismengegen Virenscanner) 575 , also für alles, was manzum Herstellen von Malware braucht. Im einzelnenbeschreibt schon Jäger den Basar für tatgeneigteEinzeltäter 576 .Die Spuren, über die 2008 zum Beispiel Muttigberichtet hat, führten nach Russland 577 . Den Anreizdafür, sich kriminell zu betätigen, sieht Muttigdarin, dass Russland einerseits über Leute mithervorragendem Wissen verfügt, die andererseitskaum legale Erwerbsmöglichkeiten haben 578 .Balduan hat - ebenfalls 2008 - die UndergroundEconomy als allgemeine Erscheinung angesehen,in deren Zentrum die Betreiber von Botnetzenstehen 579 .571CF, D-AU-Netz zerschlagen, 25.11.2009;BKA geht mit Großrazzia gegen Botnetz-Betreibervor, Heise online 25.11.2009572Razzia bei Internetforum "Elite Crew", HamburgerAbendblatt 28.11.2009573CF, Schattenwirtschaft im Internet, 24.11.2008;CF, Schwarzmarkt, 19.12.2008574Moritz Jäger, Das Netz der Phisher: Wie Online-Betrüger arbeiten, tecchannel 20.09.2006575CF, geklaute Daten zum Schnäppchenpreis,09.04.2008; CF, Trojanerbaukasten mit Support,20.06.2008; CF, qualitätskontrollierterKontomissbrauch, 09.05.2008.576CF, professionelle Einzeltäter, 05.10.2008577CF, <strong>Cybercrime</strong> in Russland, 13.07.2008;Igor Muttik, Die Wirtschaft und nicht die Mafia treibtMalware voran, McAfee 12.02.2008578CF, Fachleute und geringe Löhne, 05.10.2008579CF, Zusammenarbeit von Spezialisten, 13.07.2008;Gordon Bolduan, Digitaler Untergrund, TechnologyReview 4/2008, S. 26 ff.; kostenpflichtigerDownload.
Dieter Kochheim, <strong>Cybercrime</strong> - 104 -Er hat recht behalten. Nicht nur damit, dass sichdie Botnetze zu den mächtigsten kriminellenWerkzeugen entwickelt haben 580 , sondern auchdamit, dass die <strong>Cybercrime</strong> zu einem knallhartenGeschäft geworden ist, in dem professionelle Täterrichtig Geld verdienen, nicht zu ihrem Spaßhandeln und schon gar nicht aus hehren moralischenBeweggründen.Die Crämer, die illegale Inhalte, einzelne ausgespähteKontodaten und Programme zum Kauf anbieten,sind in aller Regel die mittelmäßig gefährlichenAmateure und Nachahmer, von denen Mc-Afee bereits 2006 gesprochen hat (siehe unten).Sie agieren unter ihren szenetypischen Pseudonymenauf Black Markets, also auf Kommunikationsplattformen(Boards) mit einer Offenheit und Unbekümmertheit,die jeden Rest von schlechtem Gewissenvermissen lässt. Sie wähnen sich sicherund die Erfahrungen sprechen für sie.Die Crämer bilden aber nur die sichtbare Oberfläche,den Basar. Die geschützte Umgebung für denBasar stellen Schurkenprovider und professionelleKriminelle zur Verfügung, die weitaus gefährlichersind.C.3 1.2 verstärkte AbschottungIm Anschluss an ihren bemerkenswerten Berichtüber die Schattenwirtschaft im Internet vom August2009 581 haben Ester und Benzmüller die Basareweiter beobachtet und jetzt ihr "Update 04/2010"veröffentlicht 582 .Nachdem das Elite-Forum zerschlagen worden ist(auch: „1337 Crew“), haben sich neue Boards gebildet,um dessen Nachfolge anzutreten. Die Crämersetzen ihre Geschäfte unvermittelt fort. Eineaktuelle Preisliste belegt, dass gehackte Spiele-Accountsfür 5 bis 18 €, SIM-Karten im Bundle für 1 €580Sturmwurm-Botnetz sperrangelweit offen, Heiseonline 09.01.2008;CF, einfach abschalten, 11.01.2009.581Marc-Aurél Ester, Ralf Benzmüller, G DataWhitepaper 2009. Underground Economy,19.08.2009582Marc-Aurél Ester, Ralf Benzmüller, Whitepaper04/2010. Underground Economy - Update 04/2010,G Data 22.04.2010das Stück und PayPal-Konten für wenig Geld (20€ bei einem Guthaben von 1.290,71 €) zu habensind. Am teuersten sind gehackte Packstationen583für den Warenbetrug, die bis zu 50 Euro kosten584. Bedruckte Kreditkartenrohlinge mitHologrammen kosten zwischen 45 und 150 US-$,Kartendrucker von 450 bis 3.500 US-$ und ganzeSkimming-Sets bis zu 10.000 US-$ 585 .Um die Nachfolge des Elite-Forums wurden erbitterteKämpfe geführt. Die Konkurrenten schossensich teilweise gegenseitig ab 586 .Um sich besser gegen die Strafverfolgung undBetrüger in den eigenen Reihen (Scammer 587 ) zuschützen, wurden Aufnahmegebühren oder Referenzengefordert 588 . In einzelnen Fällen wurdenauch keine neuen Mitglieder mehr aufgenommen589.Die Autoren beschreiben interessante Einzelheitenüber die Geschäftspraktiken eines Boards 590 .Neben der Aufnahmegebühr für jedes Mitglied(zum Beispiel 10 € per PaySafeCard) konnten siebislang zwei verschiedene Arten von Verkaufslizenzenim Board erwerben: Monopollizenz (Patent); berechtigt zum exklusivenVerkauf einer Warengruppe (zum Beispielgehackte Kreditkarten) und kostete mehrere HundertEuro. Shop-Lizenz; berechtigt zum Verkauf beliebigerLeistungen mit Ausnahme der Monopol-Dienste und war günstiger zu bekommen.Mittlerweile gibt es nur noch normale Händlerlizenzen.Die so genannten Verkaufspatente wurdenabgeschafft. Nun muss jeder Verkäufer einenBetrag zahlen, um die Verkaufsberechtigung zuerhalten. Das Prinzip spült Geld in die Board-Kasse und soll vor internen Scammern, Betrü-583CF, Carding, 22.11.2008584Ester/Benzmüller 2010, S. 4; Grafik bei G Data.585Ester/Benzmüller 2010, S. 5; Grafik bei G Data.586CF, Hacker cracken Carder-Forum, 23.05.2010;Hacker cracken Carder-Forum, Heise online19.05.2010587CF, der Basar, 11.04.2010588Ester/Benzmüller 2010, S. 9.589Ester/Benzmüller 2010, S. 8.590Ester/Benzmüller 2010, S. 8.
Dieter Kochheim, <strong>Cybercrime</strong> - 105 -gern, schützen. 591Es seien neue Webshops entstanden, schreibendie Autoren, und einige "etablierte" seien weiterhintätig. Ihre Betreiber könnten die Betreiber derBoards selber oder jedenfalls in deren Umfeldangesiedelt sein 592 .Am Fall des „1337 Crew“ Forums haben vieleMitglieder im Untergrund erkannt, dass sie nicht sosicher sind, wie es wohl viele von ihnen gedachthatten. Viele Onlinekriminelle haben sich auch ausdem Untergrund-Tagesgeschäft zurück gezogen,vielleicht nur temporär, um nicht „mit laufendemRechner“ von der Polizei erwischt zu werden. 593Die Grenze zwischen Internetkriminalität und Internetkriegverschwimmt heute immer mehr, weil mancheStaaten kriminelle Organisationen als nützlicheVerbündete betrachten. Einige Nationen zeigten bereits,dass sie bereit sind, Angriffe auf gegnerischeZiele durch kriminelle Organisationen und Privatpersonenzu tolerieren, zu fördern oder sogar gezielteinzusetzen.Karnik u.a. 594C.3 2. Wandlung der ErscheinungsformenDie Formen der <strong>Cybercrime</strong> haben sich in den letztenJahren verfeinert und professionalisiert. Siewurden bereits im Einzelnen beschrieben, so dasshier nur auf die Entwicklungen und Veränderungeneingegangen wird. Sie zeigen, dass das Fachwissenund handwerkliche Qualität der Kriminelleneinen erschreckend hohen Stand erreicht haben.Diese Tendenzen haben eine gewisse Ähnlichkeitmit der Geschichte der gewerblichen Informationstechnik.Während am Anfang eine Garagenwerkstatt595 ausreichte, um die ersten Computer zu-591Ester/Benzmüller 2010, S. 8.592Ester/Benzmüller 2010, S. 9.593Ester/Benzmüller 2010, S. 9. Einigen Beschuldigtenist es bei der Elite-Razzia tatsächlich passiert, dasssie am PC sitzend von der Polizei bei ihrenGeschäften im Board erwischt wurden.594Abhishek Karnik, Avelino C. Rico, Jr., AmithPrakash, Shinsuke Honjo, Erkennung gefälschterSicherheitsprodukte, McAfee 04.01.2010595Von den Gründern der Apple Inc. (Steve Jobs, SteveWozniak und Ronald Wayne) ist überliefert, dass siesammen zu schrauben, „schmutzige“ Betriebssysteme596 zu programmieren und einfache Spielezu vermarkten 597 , wurden aus diesen Werkstättenspäter internationale Konzerne mit klingendenNamen wie Microsoft, Apple und viele andere.Auch die Informationstechniker mussten sich professionalisieren,kaufmännisches Denken lernenund ein eigenes Marketing entwickeln.Die <strong>Cybercrime</strong> zeigt eine ähnliche Entwicklung.Sie vereinigt inzwischen sehr unterschiedlichesFachwissen, so dass ihre Organisation in allerRegel auf Arbeitsteilung und gewerbliche Strukturenberuhen muss, um die gezeigte Qualität zubekommen. Geschickte Einzeltäter mögen diedazu nötigen Zulieferer finden und beauftragenkönnen. Der Stand der <strong>Cybercrime</strong> lässt hingegenkleinere und größere Unternehmen erwarten,deren Mitarbeiter flukturieren, aber vom Grundsatzher kontinuierlich zusammen arbeiten.C.3 2.1 PhishingDen stärksten Wandel hat das Phishing erfahren.Als ich mich 2007 erstmals mit ihm beschäftigte,basierten seine Methoden 598 allein auf demVersand von Spam-Mails. Mit ihnen wurden Finanzagenten599 geworben und schließlich, zunächstnoch mit groben Methoden des SocialEngineerings, Bankkunden dazu überredet, ihreZugangsdaten und besonders ihre Transaktionsnummern- TAN - zu offenbaren.Schon vor zwei Jahren stellte das SicherheitsunternehmenMcAfee fest, dass die in Deutschlandverbreitete Malware mit einer perfektioniertenSprache daherkommt 600 . Das gilt nicht nur für dieihre ersten Computer in der elterlichen Garageproduzierten.WP, Apple. Geschichte596Die ersten Versionen des Disk Operating System –DOS – von Microsoft wurden spaßhaft auch als„Quick and Dirty Operating System“ bezeichnet;WP, PC-kompatibles DOS597Ich denke dabei an Pong von 1972;WP, Computerspiel598CF, Phishing: Zusammenfassung kriminellerMethoden, 2007599CF, Finanzagenten, 2007600CF, Länderberichte. Deutschland, 27.07.2008;
Dieter Kochheim, <strong>Cybercrime</strong> - 106 -häufig grausame Rechtschreibung und Grammatikaus der Anfangszeit, sondern auch für den Jargon601. Darin unterscheiden sich die neuen Täter vonder Nigeria-Connection, aber auch die lernt dazu602.Das Phishing hat subtile Formen angenommen 603 ,nutzt Malware und hat das Ausspähen der Nutzerdatenautomatisiert 604 . Dabei wendet es die Methodedes Man-in-the-Middle an 605 und gaukeltdem Anwender sogar gefälschte Kontobewegungenvor, damit er die von der Bank angeforderteiTAN offenbart 606 . Der Betrieb von Botnetzen undder Einsatz von Phishing-Malware sind dabei zusammengewachsen 607 .Das Phishing war die erste spezialisierte Form desIdentitätsdiebstahls, wobei sich die Täter auf dasAusspähen von Kontozugangsdaten beschränken.Heute werden alle individuellen Netzdienste penetriert,wenn sie versprechen, Gewinn machen zukönnen oder Kontakte herzustellen, die ihrerseitsGewinn versprechen.C.3 2.2 IdentitätsdiebstahlSeit mehreren Jahren nehmen die Fälle zu, dassmit ausgespähten oder auf Tarnidentitäten lautendeWaren- und Handelskonten Missbrauch getriebenwird 608 . Wie beim Phishing besteht hierbei dieToralv Dirro, Dirk Kollberg, Deutschland: Malwarelernt die Sprache, McAfee Februar 2008601CF, Salienzeffekt, 01.03.2009;CF, filigraner Angriff, 14.05.2008;CF, infizierte Webseite, 14.05.2008.602CF, (Fast) 30 Jahre Spam aus Nigeria! 14.08.2007;CF, Evergreen: Vorschussbetrug nach Nigeria-Art,17.03.2008.603CF, Angriffe aus dem Internet, 22.06.2008;Daniel Bachfeld, Dunkle Flecken. Neuartige Angriffeüberrumpeln Webanwender, c't 11/2008, S. 83604CF, Phishing mit Homebanking-Malware, 22.10.2008605CF, The Man in the Middle, 2007;CF, Man-in-the-Middle (Grafik), 2007.606CF, sicheres Homebanking, 19.12.2008;Daniel Bachfeld, Zahl oder Karte. Sicherer Zugriffaufs Online-Konto, c't 17/2008, S. 94607Daniel Bachfeld, Einzelne Bande war für zwei Drittelaller Phishing-Angriffe verantwortlich, Heise online17.05.2010608CF, Sicherheitsstudien von G Data und McAfee,Schwierigkeit in der Beutesicherung, so dass Warenagentenzum Einsatz kommen, die Wertgegenständeumverpacken und weitersenden, Tarnadressen,Paketstationen u.a. 609 . Die Kreativitätder Täter ist beachtlich und führt zum Beispiel zu610neuen Formen der Aktienmanipulation undgezielten Angriffen auf Unternehmen 611 . Sie zeigen,dass die Täter nicht nur mit der Informationstechnikumzugehen wissen, sondern auch besondereMarktmechanismen missbrauchen können.Der angekündigte Trend zu individualisierten Angriffenund vermehrter Industriespionage 612 isteingetreten. Zudem verwischen sich die Grenzenzwischen privater <strong>Cybercrime</strong> und staatlichemCyberwar 613 . Der Bundesverfassungsschutzspricht insoweit von einer deutlichen Zunahmeder "elektronischen Angriffe" zum Zweck derSpionage und vor allem der Industriespionage 614 .Schließlich vermengen sich auch kriminelle Erscheinungsformenmiteinander. Ein markantesBeispiel dafür ist der Angriff auf die Kundenkontendes Finanzdienstleisters RBS World Pay, wobeidie Methoden des Hackings und des Cashingszusammengeführt wurden, um neun MillionenDollar Beute zu erzielen 615 . Dieses Beispiel03.10.2009;Dennis Elser, Micha Pekrul, Das Geschäft derKennwortdiebe: Wer ist an Identitätsdiebstahlbeteiligt, und wie funktioniert er? McAfee05.08.2009609CF, Online-Warenhäuser, 22.11.2008;CF, Berichte und Studien zur IT-Sicherheit,26.08.2009;François Paget, Finanzbetrug und Internet-Banking: Bedrohungen und Gegenmaßnahmen,McAfee 10.07.2009610CF, Aktienkursmanipulation, 22.11.2008611CF, Emissionsrechte, 07.02.2010612CF, Perspektiven. <strong>Cybercrime</strong>, 31.12.2008;Abhishek Karnik, Avelino C. Rico, Jr., AmithPrakash, Shinsuke Honjo, Erkennung gefälschterSicherheitsprodukte, McAfee 04.01.2010613CF, Analysen zum Cyberwar, 11.01.2010;François Paget, <strong>Cybercrime</strong> and Hacktivism,McAfee 15.03.2010, S. 8.614CF, Verfassungs- und Wirtschaftsschutz,25.05.2009;BMI, Verfassungsschutzbericht 2008, Vorabfassung19.05.2009, S. 285615CF, Skimming-Coup, 06.02.2009
Dieter Kochheim, <strong>Cybercrime</strong> - 107 -brachte mich dazu, das Skimming 616 als eine(Rand-) Erscheinung der <strong>Cybercrime</strong> anzusehen.Seine Täter handeln im globalen Maßstab 617 undverfeinern ständig ihre Methoden 618 .Bot-Netze sind die wichtigsten Werkzeuge kriminellerBanden, die jährlich viele Millionen durch Betrugund Erpressung abkassieren.Heise online 619C.3 2.3 BotnetzeModerne Botnetz-Malware geht behutsam 620 mitdem Wirtsrechner um, damit die Aktivitäten derMalware unerkannt und der Zombie dem Botnetzmöglichst lange erhalten bleibt. In aller Regel wirdsie von infizierten Webseiten in den Browser injiziert,wobei es sich zunächst nur um einen kleinenLoader 621 handelt. Er sorgt dafür, dass die Malware- auf neustem Stand - geladen wird. Dann gehtes darum, die Malware auf dem Wirt zu installierenund zu tarnen. Dazu erforderliche Komponentenwerden aus dem Internet nachgeladen.Im nächsten Schritt wird der Wirt erforscht. SeinBetriebssystem, seine Hardware und die eingesetztenProgramme werden automatisch erfasstund seine Online-Verfügbarkeit gemessen. DieseDaten sendet die Malware an ihren Kontrollserver,der sich regelmäßig hinter ebenfalls gekapertenZombies mit besserer Leistung versteckt 622 . Ausgeforschtwerden aber auch die persönlichen Datendes Anwenders, nicht nur für das Homebanking,sondern auch für eBay und andere Verkaufsplattformen,für soziale Netzwerke und alles, was616CF, Zwischenbilanz: Skimming, 14.11.2009617CF, internationale Skimming-Bande zerschlagen,14.11.2008618Dieter Kochheim, Skimming #2, März 2010, S. 12619Sturmwurm-Botnetz sperrangelweit offen, Heiseonline 09.01.2008620CF, Anatomie des Sturm-Wurms, 06.03.2008;siehe auch: Christoph Alme, Web-Browser: Eineneue Plattform wird angegriffen, McAfee Juni 2009.621CF, Phishing mit Homebanking-Malware, 22.10.2008622CF, dezentrale Steuerung, 2007;Jürgen Schmidt, Hydra der Moderne. Die neuenTricks der Spammer und Phisher, c't 18/2007, S. 76zu finden ist. Alles lässt sich auch zu Geldmachen.Die Leistungsmerkmale und Online-Verfügbarkeitentscheiden über die Eignung des Wirts als Zombieim Botnetz.Die Botnetzsteuerungen sind fein und präzise geworden.Sie sorgen für die Aktualisierung der Malwareund steuern die kriminellen Aktivitäten 623des Botnetzes, also vor Allem den Versand vonSpam, von E-Mails mit Malware-Anhängen, verteilteund auf Neigungsgruppen und Einzelpersonenausgerichtete Angriffe 624 . Die Täter im Hintergrundkönnen sich jederzeit auf einen Zombie begebenund von ihm aus kommunizieren, Geschäfteabschließen oder kriminelle Einzelaktionenausführen. Die dabei hinterlassenen Netzspurenverweisen immer nur auf den Inhaber des infiltriertenZombies.C.3 2.4 SkimmingMit dem Skimming im Einzelnen befasst sich eingesondertes Arbeitspapier 625 . Hier werden deshalbnur die Entwicklungstendenzen dieser Kriminalitätsformangesprochen.Die klassischen Skimming-Täter treten in zweiTatphasen öffentlich auf, beim Ausspähen vonDaten (Skimming im engeren Sinne) und abschließendbeim Missbrauch von Zahlungskarten(Cashing). Anlässlich dieser öffentlichen Auftritteerfolgen auch erfahrungsgemäß die polizeilichenZugriffe. Der Fälschungsvorgang selber wird nachden bisherigen Erkenntnissen vorwiegend im osteuropäischenAusland unternommen.Wie jede kriminelle Mode wandelt sich auch dasSkimming, wobei verfeinerte Methoden zum Einsatzkommen. Während zunächst selbst gebauteKameras dazu eingesetzt wurden, um die Tastatureingabender Bankkunden zu beobachten,kommen inzwischen auch handelsübliche Digitalkameras626 , Handys mit Kamerafunktion undhandwerklich hochwertige Tastaturaufsätze zum623CF, verteilte Angriffe (u.a.), 2007624CF, Koobface-Gang antwortet, 23.05.2010625Dieter Kochheim, Skimming #2, März 2010626CF, Kamera, 13.04.2009
Dieter Kochheim, <strong>Cybercrime</strong> - 108 -Einsatz 627 , die auf den Typ des angegriffenenGeldausgabeautomaten angepasst sind, oderganze Fassaden (Front Covering) 628 , in die sowohldie Tastatur wie auch der Skimmer zum Auslesender Magnetstreifen von Zahlungskarten eingebautsind.Seit zwei Jahren mehren sich die Fälle des POS-Skimming 629 . POS bedeutet Point of Sale. Gemeintsind die handlichen Terminals an den Kassenim Einzelhandel, die gleichzeitig die Kartendatenauslesen und über ihre Tastatur die PIN aufnehmen630 . Alle notwendigen Daten durchlaufendiese Geräte. Wenn die Täter es schaffen, sie entsprechendumzurüsten, dann speichern oder sendensie die Dumps 631 an die Täter.In Russland wurden unlängst die Geldautomatenselber gehackt, um die Dateneingabe vollständigaufzuzeichnen 632 . Vermutlich wurde dazu einetechnische Schnittstelle an den Geräten genutzt,die zur Wartung, Funktionsprüfung oder Aktualisierungder Software bestimmt ist.Beide Beispiele zeigen, dass die Beschaffung derKartendaten und PIN auf mehreren Wegen erfolgenkann. Sie ist zwar wichtig für den Taterfolg, amEnde zählt aber das erbeutete Geld und nicht dieMethode, mit der die Täter an die Daten gelangten.Die Arbeitsteilung bei dieser Kriminalitätsform lässtauch spezialisierte „Subunternehmer“ zu, die sichauf die Beschaffung der Daten beschränken undihre „Rohstoffe“ an andere Spezialisten verkaufen,die sich um das Fälschen und das Cashing kümmern.Besonders heimtückisch gingen die Hacker vor, dieEnde 2008 in die Datenhaltung einer USamerikanischenBank eindrangen und die Kartendateneinschließlich PIN von 100 Kunden ausspäh-627CF, Tastaturaufsatz, 13.04.2009;CF, Tastaturblende, 13.04.2009628CF, Skimming, Juli 2007629CF, POS-Skimming, 18.05.2008;CF, Datenklau und -missbrauch, 19.08.2008630CF, BKA: Lagebild OK. Manipulation von POSTerminals, 01.11.2008631vollständige Kartendaten einschließlich PIN;CF, Fachworte, April 2007632CF, Skimming an der Quelle, 20.03.2009ten 633 . Gleichzeitig erhöhten sie deren Auszahlungslimit.Am 08.11.2008 wurden weltweit undgleichzeitig an 130 Geldautomaten in 49 Städtendie gefälschten Zahlungskarten eingesetzt unddamit 9 Millionen US-$ erbeutet.Dieses Beispiel zeigt, wie sich die Methoden der<strong>Cybercrime</strong> in den Formen des Hackings, desAusspähens und des Verfälschens von Daten mitdenen anderer Kriminalitätsformen vermengen.Das Skimming ist von seiner Herkunft her eherbeim Trickdiebstahl und -betrug angesiedelt 634 ,weil es ihm ursprünglich nur um das Stehlen vonZahlungskarten und ihre Fälschung ging. Es verlangthandwerkliche Fertigkeiten bei der Herstellungder eingesetzten Geräte, besonderes Wissenwegen der Auswahl der Geldautomaten undStandorte, die sich einerseits zum Ausspähen dererforderlichen Daten und andererseits zum Missbrauchder gefälschten Zahlungskarten eignen,sowie logistisches Geschick bei der Installationder Überwachungshardware. Die verschiedenenArbeitsschritte im Tatplan, ihre wechselnden Anforderungenan die Fähig- und Fertigkeiten derTäter 635 und die grenzüberschreitende Logistikdes Gesamtplans sprechen für eine Arbeitsteilungmit einer zentralen planenden und steuernden Instanz.C.3 2.5 Social Engineering Phishing, Identitätsdiebstahl, Malware imAllgemeinen und Botnetze sind ohne SocialEngineering nicht denkbar. Es handelt sich umeine (offene) Sammlung von Methoden, um andereMenschen zur Preisgabe von Informationenoder zu einem unbedachten Handeln zu veranlassen,die bei Bedarf um Spionagetechnik ergänztwerden. Dabei folgt es dem Prinzip, das jederSpionagetätigkeit zugrunde liegt: Fünf unwichtigeInformationen ergeben eine sensible, wenn633CF, Skimming-Coup, 06.02.2009634CF, Proll-Skimming, 18.05.2008;CF, Beobachtung. Trickdiebstahl, Juli 2007.635CF, Grafik, Juni 2008. Wegen der Herstellung vonSkimmern (Kartenlesegeräte) fehlt noch derHinweis auf § 149 StGB. Die Diskussion um dieStrafbarkeit wegen des Umgangs mit diesenGeräten wurde erst ab Herbst 2008 öffentlich.
Dieter Kochheim, <strong>Cybercrime</strong> - 109 -man sie geschickt kombiniert und mit Alltags- undFachwissen interpretiert.Ende 2008 hat McAfee das Social Engineering alseine der gefährlichsten Erscheinungsformen der<strong>Cybercrime</strong> beschrieben 636 , ohne aber seine ganzeDimension zu erfassen. Das Sicherheitsunternehmenhat zu stark die Malware im Blick undvernachlässigt die Organisationssicherheit 637 sowiedie unmittelbare Interaktion (Suggestion, Manipulation)zwischen Menschen, die Kevin Mitnickhervorragend herausgearbeitet hat 638 .Beim Social Engineering geht es nicht allein darum,Malware zu platzieren, sondern auch darum,öffentliche Quellen, Abfälle und Fachpublikationenauszuwerten sowie aus dem direkten Kontakt mitMenschen Informationen zu beziehen, die zu einemgewinnträchtigen Informationsdiebstahl missbrauchtwerden können. Ich habe das am Beispielmeines Arbeitsumfeldes demonstriert 639 und findeimmer noch Eschbachs Industriespion köstlich, dersich auf die handwerklichen und Sozialtechnikender Spionage beschränkt 640 .Wie in den meisten Gemeinschaften erfolgreicherKrimineller sitzen tief im Inneren einige streng abgeschirmteKöpfe, die sich auf die Mehrung ihrer Gewinnemit beliebigen Mitteln konzentrieren. Sie umgebensich mit den menschlichen und technischenRessourcen, die dies ermöglichen.McAfee 641636CF, virtuelle Kriminalität 2008, 13.12.2008;Bericht von McAfee zum Thema Virtuelle Kriminalität(ZIP), McAfee 08.12.2008637CF, Organisationssicherheit, 07.02.2010638Kevin Mitnick, William Simon, Die Kunst derTäuschung. Risikofaktor Mensch, Heidelberg (mitp)2003639Dieter Kochheim, Social Engineering, 17.06.2007640CF, Nobelpreis, 26.06.2007;Andreas Eschbach, Der Nobelpreis (Zitate)641CF, Organisierte Kriminalität im Internet, 05.10.2008;Zweite große europäische Studie über dasOrganisierte Verbrechen und das Internet, McAfeeDezember 2006 (ZIP)C.3 3. der BasarIm zerschlagenen Elite-Forum und ähnlichenPlattformen haben sich Neugierige, kriminelle Anfängerab Kindesalter und Profis getummelt. IhreGeschäfte konnten sie abgeschottet und anonymabschließen. Dazu gehören Wartungsverträge fürMalware, qualitätsgeprüfte Kontodaten und Gewinnbeteiligungenbei kriminellen Aktionen.2006 unterschied McAfee die Beteiligten nachden mittelmäßig gefährlichen ruhmgierigenAmateuren und Nachahmern sowie den seltenen,aber wenig gefährlichen Innovatoren 642 .Gefährlich hingegen seien die (verärgerten) Insider643 und hoch gefährlich die Organisierten Internetverbrecher.Eine systematische Analyse derUnderground Economy haben2009 Marc-Aurél Ester und RalfBenzmüller vorgestellt 644 . DieSzene und ihre Strukturen ,dass es sich hier um keineharmlose Minderheit handelt,sondern um organisierte Betrügerund Diebe (S. 3).Von zentraler Bedeutung sind dabei die Boards,also die geschlossenen Diskussionsforen, diezielgruppengerecht sowohl für Script Kids, diegerne einmal Hacker spielen wollen (S. 3), wieauch für abgebrühte Kriminelle angeboten werden.Für sie wird im Board häufig ein Marktplatzangeboten, der Black Market, auf dem vor AllemKreditkartendaten, E-Mail-Adresslisten, Botnetzeund Raubkopien zum Handel angeboten werden.Die Verhandlungen und die Kommunikation mitdem Provider erfolgt in aller Regel mit abgeschottetenInstant Messaging Diensten (S. 4) 645 . ZurAnonymisierung kommen vor Allem Proxy-642Ebenda643Siehe auch: CF, Schutz nach innen, 29.08.2009;Christian Böttger, Der Feind im Inneren,Technology Review 28.08.2009644Marc-Aurél Ester, Ralf Benzmüller, G DataWhitepaper 2009. Underground Economy,19.08.2009;siehe auch: CF, Sicherheitsstudien von G Data undMcAfee, 03.10.2009;645WP, Instant Messaging
Dieter Kochheim, <strong>Cybercrime</strong> - 110 -Aus den Hackern, die nur zum Spaß in fremde Systemeeindrangen, entwickelten sich organisierte kriminelleStrukturen, die auf Gewinn aus sind.Im Internet haben sich zahlreiche Online-Börsen fürgeraubte Daten etabliert.Zum Einsatz kommen größtenteils Forensysteme,auf denen zahlungswillige Käufer nahezu alle illegalenDienstleistungen erhalten, die das Internet bietet.Auch die notwendige Hardware zum Erstellen gefälschterKarten und Ausweise wird hier gehandelt,ebenso so genannte Drops, das sind sichere Orte,an die sich mit gestohlenem Geld gekaufte Ware liefernlässt.Auch Hacker, Cracker und Virenschreiber bietenihre Dienste an. So kann ein Kunde beispielsweisekomplette Bot-Netze mieten.Einen Großteil der angebotenen Ware machen zudemTrojaner, Keylogger und andere Schadsoftwareaus.Denn zu jedem der einzelnen Viren erhält der Kundeeine sechsmonatige Support-Phase, in der ersich mit Problemen an den Verkäufer wenden kann.Das Geld für die angeforderten Artikel wird dabei einemvertrauenswürdigen Dritten, meist dem Forenbetreiber,überwiesen.Besonders beliebt ist die Micropayment-Lösung E-Gold. Diese setzt ... nicht auf eine Währung, sondernsichert das im Umlauf befindliche Geld mitGold und anderen Edelmetallen.Zudem kümmern sie sich neben dem eigentlichenVerkauf um den „Nachwuchs“. Nahezu jede Seiteenthält eine Tutorial-Sektion, in der erfahrene Nutzerihr Wissen an neue Mitglieder weitergeben.Eine gut geschriebene Anleitung kann den Bekanntheitsgraddes Erstellers deutlich steigern. Außerdemkann sich der Autor damit eine Art Loyalitätneuer und künftiger Phisher sichern. Beide Aspektekommen anschließend wieder dem Autor bei seinenGeschäften zugute.Alle Zitate von Jäger 646 .Dienste (S. 9) und Anonymisierer 647 zum Einsatz.Professionelle Anbieter betreiben daneben häufigoffen zugängliche Webshops, in denen Käufer vonSchadcode wie in einem regulären Onlineshopeinkaufen können (S. 5). Szene-übliche Bezahl-646Moritz Jäger, Das Netz der Phisher: Wie Online-Betrüger arbeiten, tecchannel 20.09.2006647CF, Anonymisierer, 09.07.2008Innerhalb der Board-Szene tobt ein Kampf darum,wer die Nummer 1 ist. Nicht selten werden Boardsvon Konkurrenten defaced (optisch verändert)oder sogar Überlastangriffen ausgesetzt. Gernekopieren diese „Mitbewerber“ auch die Datenbankender jeweiligen Foren und veröffentlichen diesedann auf anderen Boards. Auf diese Weise möchtensie einen erfolgreichen Angriff beweisen unddafür Anerkennung in der eigenen Community erhalten.Meist wird die Webseite zudem signiert, umzu zeigen, dass man sie gehackt hat.Ester, Benzmüller 648 , S. 4dienste sind Western Union 649 , Paysafecard 650 ,E-Gold 651 oder auch Webmoney 652 (S. 6). Wersich nicht die Mühe machen will, einen Webshopund das Bezahlsystem zu pflegen, kann dazueinen Offshoring-Dienst mieten, der allerdings biszu einem Drittel des Umsatzes als Provision verlangt(S. 7).Betrüger, die schlechte Waren liefern oder gegenVorkasse nichts, werden Scammer genannt undin eigenen Forenbereichen "geflamed", also bloßgestelltund geächtet (S. 8). Solche Bewertungssystemesind auch von eBay und Amazon bekannt,nur dass dort eher keine kriminellen oderHehlerwaren angeboten werden.Gefragt sind Informationen, mit denen sich Accountsanlegen, Identitäten übernehmen odersonstige, für die Szene nützliche und nötige Dingetun lassen (S. 9). Dazu gehören besondersauch die Adressen von Cardable Shops, bei denenOnline-Käufer mit ihren gestohlenen Kreditkartendatenaufgrund von mangelnder Überprüfungleicht Waren bestellen können. Denn jemehr Angaben ein Shop verlangt, desto mehr Datenmuss der Betrüger erbeuten oder kaufen. Je648Ester, Benzmüller, siehe oben.649CF, Auslandszahlungen per Bargeldtransfer, 2007650CF, Bezahlen im Internet, 19.06.2008;Matthias Sternkopf, Moritz Jäger, NeueBezahlverfahren im Internet. Was leisten PayPal,giropay, Moneybookers und Co? Tecchannel12.06.2008;siehe auch: CF, Betrug mit Porno-Vorwurf,07.03.2010.651CF, Verrechnungssysteme auf der Basis vonEdelmetallen, 2007652CF, Botnetz-Software und -Betreiber, 13.07.2008
Dieter Kochheim, <strong>Cybercrime</strong> - 111 -vollständiger die Datensätze bei Kreditkarten sind,desto wertvoller sind sie daher auch (S. 9).C.3 4. Organisierte InternetverbrecherEinen besonderen Raum nehmen die Angebotevon Botnetzbetreibern ein, die ihre Dienste in denBoards anbieten. Bevorzugt werden infizierteComputer in Westeuropa, Nordamerika und Australiengesucht. Es ist davon auszugehen, dassdies sehr wahrscheinlich mit der guten Internet-Infrastrukturinnerhalb dieser Länder und mit der hohenVerbreitung des Netzes zusammenhängt (S.10). Der Versand von 1.000.000 Spam-E-Mailskostet ca. 250 bis 700 US-Dollar bei einem Botnetzbesitzer653 (S. 12).Ester und Benzmüller gehen auch auf das Carding,die Beutesicherung, das sie Cashout nennen, undEinzelheiten beim Betrieb von Botnetzen sowieBullet Proof-Diensten ein, von denen noch zu sprechensein wird. Dabei bleiben sie jedoch auf derErscheinungsebene, ohne sich mit den Personenund Strukturen zu befassen, die Black Marketsoder andere der angebotenen Dienste betreiben.Dazu besteht jedoch ein dringender Anlass. Es istetwas anderes, geklaute Daten oder andere kriminelleDienste in einem Board anzubieten, als dieInfrastruktur für das Board, den Proxy, den anonymenHostspeicher oder den "all inclusive" Webshopdienstzu betreiben. Die Betreiber haben echteInvestitions- und Betriebskosten, die sie nichtzum Vergnügen oder aus Altruismus aufbringen.Sie sind die, die von McAfee als Organisierte Internetverbrecherbezeichnet werden, die sich mitmenschlichen und technischen Ressourcen umgeben,um Gewinn zu machen.Der von McAfee gewählte Begriff ist plakativ, abernicht besonders trennscharf.Die allgemein anerkannte Definition für OrganisierteKriminalität 654 liefert die Anlage E 655 zu den653Ester, Benzmüller, siehe oben.654CF, Organisierte Kriminalität, 2007655CF, Gemeinsame Richtlinien der Justizminister/-senatoren und der Innenminister/-senatoren derLänder über die Zusammenarbeit vonStaatsanwaltschaften und Polizei bei der VerfolgungEine weitere sehr gefragte Ware sind Dokumente:Das Interesse liegt in diesem Bereich auf gefälschtenFührerscheine oder Studentenausweisenebenso wie auf gestohlenen Personalausweisen.Begehrt sind alle Dokumente, die dabei helfen,seine eigene Identität geheim zu halten oder eineandere zu übernehmen. Besonders auf russischenBoards blüht ein starker Handel mit solchen Dokumenten.Ester, Benzmüller 656RiStBV 657 . Der Periodische Sicherheitsberichtdes BMI von 2006 658 hebt besonders die Abschottunggegenüber Außenstehenden hervor 659und spricht von professionellen Tätergruppen undOrganisierter Kriminalität 660 .Das Kriterium der Abschottung gilt für alle strukturiertenFormen der <strong>Cybercrime</strong>. Zu ihnen zähleich die Betreiber von Boards für kriminelle Dienste, Offshore-Diensten (Webshops, Bezahldienste), Botnetzen, spezialisierten Proxy-Servern, Bullet Proof-Infrastruktur (vor Allem Hostspeicher,Drop Zones) und anonymisierenden DNS-Servernsowie die Programmierer von spezialisierter Malwarezum Betrieb von Botnetzen und zur individualisiertenSpionage.Die Nutzer der Boards sind die Amateure, Nachahmer,Insider und Spezialisten, von denen Mc-Afee gesprochen hat. Für sie gilt überwiegend dererste Anschein, dass es sich um eine diffuseMenge tatgeneigter Einzeltäter handelt.der Organisierten Kriminalität656Ester, Benzmüller, S. 10.657Siehe auch: BKA, Lagebild OrganisierteKriminalität 2005 Bundesrepublik Deutschland(Kurzfassung, S. 8)658BMI, Zweiter Periodischer Sicherheitsbericht,November 2006659BMI, 4.3 Professionelle Tätergruppen undOrganisierte Kriminalität, 15.11.2006660CF, Professionelle Tätergruppen und OrganisierteKriminalität, 2007
Dieter Kochheim, <strong>Cybercrime</strong> - 112 -Die Betreiber zeigen hingegen ein anderes Kaliber.Sie benötigen gewerbliche Strukturen, hinter denensie ihre kriminelle Tätigkeit verbergen. Dazusind Einzeltäter in aller Regel nicht in der Lage. Siebrauchen entweder feste oder jedenfalls dauerhaftePartner, mit denen sie zusammenarbeiten.C.3 5. kriminelle ProgrammiererEine unklare Stellung nehmen die professionellenProgrammierer von Malware ein. Ich vermute,dass sie vor Allem allein arbeiten, aber rege undabgeschottete Kontakte zu Zulieferern und anderenFachleuten pflegen, von denen sie auch imEinzelfall Unterstützung erhalten, ohne dass siegemeinsam eine gewerbsähnliche Struktur aufbauen.Dafür sind folgende Annahmen Ausschlag gebend:Der Erfolg von Malware hängt von der Qualität derverwendeten Sicherheitslücken (Exploits), derTarntechnik (Root Kits) und der Malware selber ab,die alle Komponenten verbindet. Einfache Malware,also Massenware, kann längst mittels "Baukästen"zusammengestellt werden 661 .Professionelle Malware dürfte hingegen eine Einzelanfertigungsein, die zwar auf erfolgreichenKomponenten aufbaut, aber letztlich die intellektuelleLeistung eines oder mehrerer Programmierererfordert.Das gilt besonders für Botnetz-Malware, die profundeKenntnisse über Peer-to-Peer-Netze undFernwartung voraussetzt. In diesem Bereich mages Einzeltäter geben. Die Anforderungen an dieMalware-Komponenten lassen jedoch eher erwarten,dass vertraute Gruppen zusammen arbeiten.Professionelle Kriminelle wissen, wo ihre Grenzensind, und schließen sich deshalb in aller Regelmindestens zu lockeren Verbünden zusammen, dieständig und arbeitsteilig zusammen arbeiten.Es gibt - auch in Deutschland - Hinweise darauf,dass bei ihrer Zusammenarbeit die Methoden desProjektmanagements 662 zum Zuge kommen. Sie661Frühes Beispiel: CF, Trojanerbaukasten mit Support(Turkojan), 20.06.2008662CF, kritische Projekte, 2008Heute können mehr als 75 Prozent der russischenWissenschafts- und Ingenieur-Studenten nachdem Abschluss des Studiums keinen Job finden.Sie oder Ihre Tutoren eröffnen inzwischen ShkolaHackerov ("Hacker-Schulen"). Dort bieten sieSchulungen in Hacking und führen ihre Schüler direktzur Kriminalität, wo sie zwei bis drei Mal mehrverdienen als wenn sie ehrlich arbeiten würden.Paget 663umfassen den Projektauftrag, die Meilensteine,um das Projektziel zu erreichen, und nicht zuletzteinen Zeitplan. Diesen erfordert die "KritischeKette". Sie bedeutet nichts anderes als die pünktlicheAblieferung der Komponenten, mit denender nächste Projektteilnehmer zwingend weiterarbeiten muss.Bei den professionellen Programmierern wirdman deshalb beide Erscheinungsformen finden,den begnadeten Einzeltäter ebenso wie diestreng organisierte Kleingruppe mit spezialisiertenTeilnehmern. Von da ist es kein weiter Schritt zurOperation Group mit einer eigenen Leitungsstruktur.Auf dem Basar werden sich alle Interessiertentummeln, die Einzeltäter ebenso wie die, die sichan eine Operation Group angeschlossen haben.In ihm bewegen sich schließlich auch die Agenten,die Spezialisten und die Kleinunternehmer,die deren Dienste einkaufen, um sie für kriminelleProjekte zu verwenden.663François Paget, <strong>Cybercrime</strong> and Hacktivism,McAfee 15.03.2010, S. 8.
Dieter Kochheim, <strong>Cybercrime</strong> - 113 -C.3 6. Operation GroupsSchon Balduan hat von den Agenten und Spezialistengesprochen sowie von den OperationGroups 664 . Bei ihnen handelt es sich um Kleinunternehmer,die Einzelleistungen für kriminelle Projektezur Verfügung stellen und dazu auf die nötigenSpezialisten zurückgreifen können.Es ist gut denkbar, dass besonders Malware-Schreiber in solchen kleinen Gruppen arbeiten undnicht am operativen Geschäft selber teilnehmen.Als Zulieferer sprachlich perfekter Texte für Spamsund Webseiten kann ich mir eher Einzelpersonenals Experten vorstellen.Meine Vorstellung von dem Unternehmen Phish &Co. 665 scheint auf die moderne Zusammenarbeitzwischen Operation Groups nicht mehr anwendbarzu sein.Im Bezug auf das Phishing muss jetzt davon ausgegangenwerden, dass unterschiedliche PersonengruppenFinanzagenten anwerben und betreuenund andere das Phishing als solches durchführen.Die Szene hat sich spezialisiert.Auch in Bezug auf andere Kriminalitätsformenmuss immer mehr von selbständigen Spezialistenausgegangen werden. Bei gescheiterten Skimming-Angriffensind inzwischen so viele baugleicheTastaturaufsätze aufgetaucht, dass von einer Serienproduktiondurch einen oder mehreren versiertenHandwerkern ausgegangen werden muss, dieihre Waren für teures Geld verkaufen.664Gordon Bolduan, Digitaler Untergrund, TechnologyReview 4/2008, S. 30;Cyberkriminelle entwickeln sich zu Unternehmern,tecchannel 15.07.2009665CF, Das Unternehmen Phish & Co., 2007Die zentrale Figur jedoch ist ... ein „IndependentBusiness Man“ – eine Person, die Kontakte zurUnterwelt pflegt und zwischen Bot-Herdern, Hackern,Malware-Schreibern und Spammern koordiniert.... mithilfe der Botnetz-Infrastruktur kann derKoordinator Unternehmen mit verteilten Massenangriffenauf ihre Webseiten drohen und soSchutzgeld erpressen, Spam-Wellen mit Werbungfür überteuerte Produkte oder Aktien lostreten odertausendfach persönliche Informationen wie Bankzugangsdatenergaunern.Bolduan, S. 30C.3 7. KoordinatorenAuch von den Koordinatoren hat Balduan berichtet.Sie planen kriminelle Einzelprojekte nachMaßgabe des Projektmanagements und den üblichenwirtschaftlichen Messgrößen: Aufwand, Gewinn und Entdeckungsrisiko.Der Basar, die Operation Groups und die Koordinatorensind typische Erscheinungsformen der<strong>Cybercrime</strong>. Sie werden in ähnlicher Weise auchin Bezug auf andere kriminelle Erscheinungsformenauftreten, nicht aber als gängiges Organisationsmodellfür alle kriminellen Aktivitäten.Ein Beispiel dafür sind die kurzen zeitlichen Abständezwischen dem Skimming und dem Cashing,die sich im vergangenen Jahr auf bis zuzwei Tage verkürzt haben. Das spricht eher füreine auf Dauer angelegte Zusammenarbeit zwischenden arbeitsteiligen Tätergruppen und nichtdafür, dass spezialisierte Ausspäher ihre Erzeugnisseerst auf einem Schwarzmarkt anbietenmüssen, um sie an spezialisierte Fälscher undCasher abzusetzen.Klassische Einbrecher werden ebenfalls ehernach einem eingefahrenen Muster mit Vertrautenzusammen arbeiten und nicht für jede einzelneTat neue Komplizen suchen. Nach aller Erfahrunghaben sie auch Kontakte zu spezialisierten Hehlern,die einen kontinuierlichen Absatz versprechen.
Dieter Kochheim, <strong>Cybercrime</strong> - 114 -Das ... Geschäftsmodell des RNB war simpel unddreist: Je mehr eine Domain in den Fokus der Öffentlichkeitgeriet, je mehr Beschwerden an die E-Mail-Adresse für Missbrauch geschickt wurden, destomehr Geld verlangten die Russen von ihrenKunden.Bolduan, S. 32C.3 8. SchurkenproviderDer bekannteste Rogue Provider 666 (Schurkenprovider667 ) ist das Russian Business Network - RBN668- in Petersburg gewesen, das sich Ende 2007aus der Öffentlichkeit zurück gezogen hat. Überseine Aktivitäten haben vor Allem Bizeul 669 , Balduan670 und Frank Faber berichtet 671 .Das Kerngeschäft des RBN und anderer Schurkenproviderbesteht darin, ihre zahlenden Kundenfür ihre heiklen oder kriminellen Aktivitäten Abschottung,also einen "sicheren Hafen" zu bieten.Das verlangt nach anonymisierten Speicherstandorten, einer anonymisierten Adressverwaltung (Maskierungvon DNS-Eintragungen), komfortablen Anbindungen an das Internet und eine Niederlassung, in der der Schurkenproviderohne Angst vor Repressalien handeln kann.Die ersten drei Voraussetzungen lassen sich nurerfüllen, wenn der Schurkenprovider ein AutonomesSystem - AS 672 - betreibt. Dabei handelt essich um ein selbständiges Netzwerk, das über mindestenszwei Außenverbindungen zu anderen Net-666CF, Rogue Provider, 13.07.2008667CF, Schurkenprovider, 05.10.2008668CF, Russian Business Network – RBN, 13.07.2008669CF, Schurken-Provider und organisierte <strong>Cybercrime</strong>,13.07.2008;David Bizeul, Russian Business Network study,bizeul.org 19.01.2008670Gordon Bolduan, Digitaler Untergrund, TechnologyReview 4/2008;CF, weitere Nachweise, 13.07.2008671CF, Russian Business Network – RBN, 13.07.2008;Frank Faber, Unter Verdacht. Eine russische Bandeprofessionalisiert das <strong>Cybercrime</strong>-Business, c't11/2008672CF, verwirrende Beziehungen, 2007zen verfügt, über die es Verbindungen zum Internethat. Jedem AS wird von der Internet AssignedNumbers Authority - IANA 673 - eine eindeutige,fünfstellige Autonomous System Number - ASN -vergeben 674 . Für den europäischen Bereich istdiese Aufgabe auf das Réseaux IP EuropéensNetwork Coordination Centre - RIPE NCC 675 -übertragen worden.C.3 9. Tarnung und Abschottung der KundenEin AS kann sich im Internet nicht verstecken. Esist anhand seiner AS-Nummer eindeutig erkennbarund sein physikalischer Standort genau zu orten.Was in seinem Inneren geschieht, ist eine andereSache.C.3 9.1 Whois ProtectionDas AS ist berechtigt, eine eigene Adressenverwaltungdurchzuführen. Dahinter verbirgt sichnichts anderes als ein DNS-Server 676 , der dazuda ist, für eine beschreibende Internetadresseden physikalischen Standort anhand der nummerischenAdresse des Internetprotokolls zu melden677. Darüber hinaus liefert der DNS-Server die persönlichenAngaben über den Inhaber der DNS-Adresse.Damit verfügt jedes AS über ein mächtiges Werkzeug.Mit seinem DNS-Server kann es die gespeichertenDomänennamen zu jedem beliebigenphysikalischen Standort leiten und in der Datenbankim Übrigen jeden Unfug über den Inhaberbereit halten 678 .In Fachkreisen wird das als "Whois Protection"bezeichnet 679 . Es ist nichts anderes als die Verschleierungder Betreiberdaten, um ihn vor den673WP, Internet Assigned Numbers Authority674WP, Autonomes System. Verwaltung675WP, RIPE Network Coordination Centre676WP, DNS-Server677Schematische Darstellung: CF, Auflösung von DNS-Adressen, 2007.678CF, IP-Adressen ohne Beweiswert, 16.05.2010679CF, Auskunftsdienste im Internet, 06.12.2009
Dieter Kochheim, <strong>Cybercrime</strong> - 115 -Nachstellungen der Strafverfolgung oder von Abmahnernzu schützen.In offenen Foren findet man dazu euphorischeLobhudeleien: Endlich keine Abmahnungen undteure Anwaltsforderungen mehr!C.3 9.2 anonyme ServerDas zweite mächtige Werkzeug, das dem AS zurVerfügung steht, ist die Anonymisierung von Servern.Mit dem einfachen Kommando "Ping" 680 lässt sichdie technische Erreichbarkeit einer Netzadresseüberprüfen. An ihr kann sich ein Netzknoten befinden(Router, Switch, Gateway) oder ein Endgerät,das Dateien (Hostspeicher, FTP) oder Datendienste(Webserver, Datenbanken) birgt. Auf das Ping-Kommando meldet das angeschlossene Gerät seineIdentität.Ping richtet sich an nummerische Adressen des Internetprotokollsnach dem Muster xxx.xxx.xxx.xxx .Vom Anspruch her sollen die beiden linken Ziffernfolgenden geographischen Standort der IP-Adresse widerspiegeln.Auch die IP-Adressen werden von der IANA einzelnoder blockweise vergeben. Die Ziffernfolge offenbartim Ergebnis nur das AS, an das sie vergebenwurde, nicht aber den physikalischen odergeographischen Standort, an dem sie eingesetztwird. Diesen kennt nur das AS selber.Das AS hat mehrere Möglichkeiten, auf die Rückmeldungendes Endgerätes Einfluss zu nehmen.So kann es alle Rückmeldungen unterbinden,wenn es an seinen Eingängen Firewalls betreibt,die die Meldungen nicht durchlassen.Der Betreiber der Endgeräte, also das AS, kannauch genau vorgeben, was sie an die Gegenstellensenden. Das kann jeder Quatsch sein.Wenn ein Schurkenprovider über ein eingetragenesAS verfügt, das an zwei Endpunkten an andereAS angeschlossen ist, über geographisch weitverstreute IP-Adressen und über ein Rechenzentrummit hinreichend leistungsstarken Rechnern680CF, Suchmaschinen und -techniken. IP- und DNS-Adressen, 29.12.2008verfügt, dann kann er die informationstechnischenAktivitäten, die auf den Rechnern stattfinden, sotarnen, dass jedem Außenstehenden vorgegaukeltwird, dass die betreffenden Internetangebotenicht lokalisierbar sind oder irgendwo auf der Weltstattfinden, aber nicht dort, wo sie tatsächlichsind.Das hübsch bunte Geotracing 681 lässt sich damitherrlich in die Irre führen.C.3 9.3 DetektionDennoch kann man die geographischen Standortevon getarnten DNS-Adressen und Servernauch von außen eingrenzen und lokalisieren. Verantwortlichdafür ist das Internetprotokoll selberund das Netzwerkwerkzeug Traceroute 682 .Die Architektur des Internets folgt technischenund wirtschaftlichen Logiken. Die großen internationalenNetzbetreiber (Tiers 683 ) können die Datenströmesteuern und zum Beispiel möglichstlange in der eigenen Netz-Infrastruktur belassen,um sie erst am Zielort an einen regionalen Endanschluss-Betreiberzu überlassen. Diese Strategiewird als "cold potato" bezeichnet und IBM 684ist besonders bekannt dafür, so zu verfahren. AndereCarrier 685 ohne oder mit schwachen überregionalenLeitungen verfahren nach der "hot potato"-Methodeund versuchen, ihre Daten äußerstschnell an andere Partner zu übergeben.Das Internetprotokoll toleriert die Vorgaben derCarrier und lässt Umwege bei der Signalübertragungzu. Sie können darauf beruhen, dass die direkteStrecke überlastet ist, so dass zum LastausgleichUmwege schnellere Verbindungen versprechen.Was die Carrier hingegen nicht zulassen,sind unwirtschaftliche Zick-Zack-Wege im weltweitenNetz.Mit Traceroute können die Zwischenstationen einesSignals im Internet gemessen werden. Sieverraten, wo etwas Merkwürdiges im Signallauf681CF, Lokalisierung. Geotracing, 06.12.2009682CF, Auskunftsdienste im Internet, 06.12.2009683CF, autonome Systeme und Tiers, 2007684CF, Besonderheit: IBM, 2007685CF, verwirrende Beziehungen, 2007
Dieter Kochheim, <strong>Cybercrime</strong> - 116 -passiert, wenn man als Anwender ausreichendeKenntnisse über die Physik des Internets hat.Auch dem Tracerouting werden falsche und getarnteEndpunkte vorgegaukelt. Anhand der markantenZwischenstationen lässt sich jedoch erkennen,wo die Verschleierung einsetzt.Wenn von Bulgarien aus ein Server in der Türkeierreicht werden soll, dann folgt das Signal einemder Seekabel, die durch das Schwarze Meer zwischenbeiden Staaten verlegt sind. Es läuft nichterst zum Mittelmeer, um über Italien und den deutschenInternetknoten in Frankfurt zu einer Provinzhauptstadtzu gelangen, wonach es plötzlich einenZielort in der Nordtürkei anzeigt.Bei genauer Betrachtung ergibt sich nämlich, dassalle Zwischenstationen sehr schnell durchlaufenwerden. Erst in der Nähe der Provinzhauptstadtdurchläuft das Signal eine lange Verarbeitungszeit,um dann einen Zielort an einem ganz anderenEnde der Welt anzuzeigen. Wenn das Signal getunnelt686 und getarnt durch ein Virtual Private Network687 gejagt wird, kann das sogar möglich sein.Nicht aber, wenn man das nächste Traceroutingaus der geographischen Nähe des Zielortes startetund das Signal dennoch den Weg über die Provinzhauptstadtnimmt.Das AS des Schurkenproviders verrät sich alsodurch die Zwischenstationen beim Tracerouting, andenen angeblich etwas passiert, was der Netzlogikwiderspricht.C.3 9.4 heimlicher BetriebDie Anonymisierung von Servern und die Tarnungvon DNS-Adressen sind technische Tricks, um dieVeranstalter von illegalen Diensten und Inhaltenunkenntlich zu machen. Sie erhalten vom BulletProof-Provider einen "sicheren Hafen" für ihre illegalenAktivitäten, die Bizeul am Beispiel des RBNerkundet hat. Ester und Benzmüller bestätigen seineAussagen (siehe rechts oben).Der Betrieb des AS findet aber nicht im Virtuellemstatt, sondern in der realen Welt. Neben der ge-686CF, Verschlüsselung. Tunnelung, 30.03.2008687CF, Overlay-Netze und VPN, 30.03.2008Hier finden alle ein Zuhause, die Drop Zones fürdie Daten ihrer Botnetze suchen, illegale Shopsbetreiben, Command & Control (C&C)-Server sicherunterbringen wollen und dergleichen mehr.Unter Dropzones ist in diesem Zusammenhang einServer zu verstehen, auf dem beispielsweise dieauf dem Rechner des Opfers installierte Spywareihre gesammelten Daten ablegen kann. Das Produktportfolioreicht hier wie bei jedem seriösen Anbietervom kleinem Webspace-Angebot, über virtuelleServer bis hin zu ganzen Serverclustern, jenach Geldbeutel und Anforderungen.Ester, Benzmüller 688tarnten Technik muss deshalb etwas hinzukommen:Der Betreiber muss in einer Umgebung handeln,in der er sich frei von Angriffen, Restriktionenund staatlicher Macht fühlen kann. Für dasRBN war das zunächst der Fall. Es galt als beschwerdeignoranterProvider und Hoster 689 , vondem weder in ihren Rechten Betroffene nochStrafverfolgungsbehörden die geforderten Auskünftebekamen.So kann nur handeln, wer wirklich von seinerstaatlichen Umgebung geschützt wird oder wersich selber so stark tarnt, dass zwischen ihm alsPerson und seiner schurkischen Veranstaltungkeine Verbindung hergestellt werden kann. Dasist keine leichte Aufgabe.In jüngerer Zeit treten verstärkt betrügerischeWebshops mit attraktiven Warenangeboten auf,die es auf die Vorauszahlungen ihrer Kunden absehen.Sie bedienen sich in aller Regel der angesprochenenOffshoring-Dienste, die ohne getarnteUmgebungen keine Abschottung der Anbieterleisten können. Die dazu erforderliche Technik betreibensie entweder selber oder mieten sie vonspezialisierten Schurkenprovidern.688Ester, Benzmüller, S. 11689antispam.de, beschwerdeignorante Provider undHoster
Dieter Kochheim, <strong>Cybercrime</strong> - 117 -C.3 9.5 IP-Adressen und Domain-EntführerManuel Schmitt kritisiert 690 , die Strafverfolgungsbehördenwürden sich zu sehr auf die IP-Adressen691verlassen und dabei die Routing-Prokolle dergroßen Provider außer Acht lassen 692 , greift fehl.Anlass geben ihm das Border Gateway Protocol –BGP 693 - und die Meldung, dass im April 2010 einchinesischer Provider einen Teil des Internets entführthat 694 .Was ist passiert 695 ? Der chinesische Internet-ProviderIDC China ist ein autonomes System - AS 696 -und betreibt einen BGP-Router, der dem Internetmeldet, mit welchen anderen Partnern er verbundenist 697 . Diese Meldungen nehmen die Netzknotenauf und speichern sie. Mit diesen Daten arbeitetdas BGP und die Netzknoten senden an das ASNutz-Datenpakete, weil sie davon ausgehen, dassdieses Zwischennetz sie an das richtige Ziel weiterleitet. Das ging aber schief, weil das AS falschePartnernetze meldete und die angelieferten Datenpaketeirgendwo in China versandeten. Das erfolgteunkontrolliert, weil das BG-Protokoll keine Kontrolle,sondern Vertrauen voraussetzt.Der böswillige Einsatz einer BGP-Manipulationkann dazu führen, dass bestimmte Ziele im Internetvorübergehend nicht erreichbar sind. Das kannfür kriminelle oder kriegerische Kampagnen durchausvon Interesse sein.Dauerhaft ist dieser Zustand aber nicht, weil dasInternetprotokoll auch die Rückantwort erwartet,dass die Datenpakete vollständig am Ziel angekommensind. Die falsche Verbindung löst dadurcheine vermehrte Netzlast wegen der Fehlermeldungenaus. Sie führen schließlich dazu, dassdas fehlerhafte AS umgangen und die Signale überandere Wege geleitet werden.690Manuel Schmitt, IP-Adressen nur mit sicheremRouting eindeutig, Heise online 13.05.2010691WP, IP-Adresse (Internet Protokoll)692CF, verwirrende Beziehungen, 2007 (Tiers, Carrier)693WP, Border Gateway Protocol694Chinesischer Provider "entführt" kurzzeitig Teile desInternets, Heise online 12.04.2010695CF, IP-Adressen ohne Beweiswert, 16.05.2010696WP, Autonomes System697CF, Routing über den Globus, 16.05.2010Die böswillige BGP-Manipulation eignet sich zurVerschleierung der Netzstationen nur, wenn amEnde tatsächlich gemeldet wird, dass alle Datenpaketeangekommen sind. Das machen sich dieSchurkenprovider zunutze, die getarnte Hostspeicherbetreiben, deren Standort vor der Öffentlichkeit,Abmahnern und der Strafverfolgung verschleiertwerden sollen 698 . Diese Fälle fallen dadurchauf, dass die Standortmeldungen, die mitdem Tracerouting oder anderen Werkzeugen aufder Grundlage des Internetprotokolls ermitteltwerden, unsinnig sind, weil sie der physikalischenund wirtschaftlichen Logik des Weltnetzes widersprechen699 .Schmitts Warnung gilt nur für die Fälle, dass einSchurkenprovider die Identität seines Kundentarnt, um ihn der Verfolgung zu entziehen. Es istnicht zu erwarten, dass dadurch Unschuldige verfolgtwerden, weil das Whois Protection und dieTarnung von Servern Standorte und Identitätenverschleiern, nicht aber anderen Handelnden unterschieben.Geniale Verbrecher könnten hingegen auf dieIdee kommen, den Internetauftritt eines Opferskomplett nachzubauen und gezielte Veränderungendaran vorzunehmen. Mit einer BGP-Umleitungkönnte dann auf den manipulierten Internetauftrittumgeleitet werden.Das geht aber nur, wenn das Opfer selber ein ASist, weil sich die BGP-Umleitung auf andere Netzknoten.Ein einzelner Teilnehmer innerhalb einesAS - also ein Host-Kunde neben anderen - kannjedenfalls von außen nicht so ohne weiteres angegriffenwerden. Der Angreifer müsste ganz gezieltdie Hostadresse des Opfers filtern und aufdie gefälschte Präsenz umleiten. Mit größeremAufwand ginge auch das.Für die Strafverfolgung stellt sich das Problemnicht in dieser Brisanz. IP-Adressen sind ganzüberwiegend von Interesse, weil sie von einemZugangsprovider aus seinem Bestand seinemKunden zugewiesen wurden (Bestandsdatenabfrage),der damit Böses veranstaltete. Dabei gehtes nicht um die Ziel-, sondern um die Ausgangs-698CF, anonyme Server, 11.04.2010699CF, Detektion, 11.04.2010
Dieter Kochheim, <strong>Cybercrime</strong> - 118 -adresse. Deren Manipulation bei einem TK-Unternehmenkann zunächst in dem Bereich der Legendeangesiedelt werden.Dennoch ist Schmitts Warnung berechtigt. Mit Routing-Manipulationenlassen sich Fehlinformationenverbreiten, die Andere in echte Schwierigkeitenbringen können. Jedenfalls dann, wenn der Angreiferüber ein AS, über tiefes Wissen und über dieRessourcen verfügt, kann er mit großem Aufwandganz gezielt die Subadresse seines Opfers umleitet,um ihm unlautere Aktivitäten unter zu schieben.C.3 10. Crämer und große KriminelleKriminelle Crämer wie die, die ihre Waren undBeuten in Boards anpreisen, sind nicht die großenNummern im kriminellen Geschäft. Sie sind lästig,dreist und gehören nachhaltig in ihre Grenzen verwiesen.Viel bedenklicher sind die Betreiber, die den Crämernihren Markt erst bieten. Sie gilt es richtig zubekämpfen.McAfee nennt sie die Organisierten Internetverbrecherund dem kann ich nicht widersprechen. Eshandelt sich dabei um die Bullet Proof-Providerund die anderen Schurken, die ich benannt habe.Das Bild von der diffusen und ungreifbaren Wolketatgeneigter Täter gilt nur für die Crämer und istoberflächlich. Sehr lange hat die Strafverfolgungeinzelne Trugbilder der <strong>Cybercrime</strong> betrachtet,ohne sich die wirklich wichtige Frage zu stellen:Wer steckt dahinter und macht das dunkle Treibenerst möglich?Die professionellen Hinterleute sind es, die nachhaltigund grenzüberschreitend verfolgt werdenmüssen. Wenn sie nicht mehr frei agieren können,dann bricht auch der Markt für die Crämer weg.PaySafeCard.com unter DDoSPublished on 02-18-2010 17:14Nach dem PaySafeCard.com PSC's mit Passwortfast wertlos machten , da man nun den Bonbrauchte um das PW zu ändern bzw. mit PW zubenutzen , wollte sich das einige Mitglieder dieserScene nicht gefallen lassen und schlagen nun zurück.Zum DDoS auf http://www.paysafecard.com/wird aufgerufen, egal wie groß das Botnetz ist. 700C.3 11. BeutesicherungDie Beutesicherung ist die wichtigste Voraussetzungfür kriminelle Geschäfte jeder Art. Eine traurigeBerühmtheit hat insoweit Western Union 701erlangt. Es handelt sich - neben Money Gram -um den bekanntesten Dienst für den Bargeldtransfer,der auch die unbekanntesten Eckender Welt erreichen kann. Für viele Migranten ist erein Segen, weil sie nur mit seiner Hilfe ihre Angehörigenin der Heimat unterstützen können.Finanz- und Warenagenten sind nach wenigenEinsätzen verbrannt. Außerdem reagieren dieBanken zunehmend sensibel auf ungewöhnlicheAuslandsüberweisungen 702 .Paysafecard, E-Gold und Webmoney sind Bezahlsysteme,die sich für die Beutesicherung imkleinen Stil eignen 703 . Paysafecard ist ein anonymerBezahldienst, bei dem der Empfänger nurüber den Code auf dem vom Versender gekauftenGutschein verfügen muss, um den Auszahlungsbetragzu erhalten. Dagegen sind E-Goldund Webmoney Verrechnungssysteme nach demVorbild von Geschäftskonten (Girokonto). "Echte"Auszahlungen sind möglich, aber schwierig undgelten bei Webmoney als zu teuer."PaySafeCard" - PSC - ist keine Karte im her-700Marc-Aurél Ester, Ralf Benzmüller, Whitepaper04/2010. Underground Economy - Update 04/2010,G Data 22.04.2010, S. 7, Grafik bei G Data.701CF, Auslandszahlungen per Bargeldtransfer, 2007702Erfolg gegen international organisierte Online-Kriminelle, BKA 13.09.2007;Haftstrafen im Bonner Phishing-Prozess, Heiseonline 04.09.2008;Großrazzia in USA und Ägypten gegen „Phishing"-Betrüger, Hamburger Abendblatt 08.10.2009703CF, grenzüberschreitender Vermögenstransfer,2007
Dieter Kochheim, <strong>Cybercrime</strong> - 119 -kömmlichen Sinne, sondern ein Guthabenkontoaufgrund einer Einmalzahlung 704 . Sie wird an einerVerkaufsstelle geleistet, an einer Tankstelle, Kiosk,Post, Lotto-Annahmestelle oder Automat. Dafür bekommtder Einzahler eine 16-stellige PIN genannt,die meistens auf einem Bon ausgedruckt ist.Das Guthaben berechtigt zum Einkauf in den Webshops,die sich PSC angeschlossen haben. DemKunden entstehen keine zusätzlichen Transaktionskosten.Nur dann, wenn er sich das Guthabenwieder auszahlen lassen will, kostet das eine Bearbeitungsgebührvon 5 €.PSC ist aber ein echtes, also anonymes PrePaid-System, so dass das Guthaben beliebig gehandeltund übertragen werden kann. Das macht PSC inder Schattenwirtschaft so beliebt. Unabhängig vonGrenzen und Entfernungen kann der Einzahlungsbetrageinfach dadurch übertragen werden, dassdem Empfänger die PIN der "Card" mitgeteilt wird.Unterstützt wird das durch ein Sicherheitssystem,das PSC anbietet. Der Erwerber des Guthabenskann mit der PIN ein Webportal aufrufen und dortdie PIN mit einem zusätzlichen Kennwort schützen.Bei der Übertragung übermittelt er dann nichtnur die PIN, sondern auch das Kennwort. Der neueInhaber kann jetzt das Kennwort ändern und ist dadurchder exklusive Inhaber des Einzahlungsbetrages705 . Auch in der Szene gilt: Vertrauen ist gut,Kontrolle ist besser. Erst wenn der neue Inhaberdas Kennwort geändert hat, kann er sicher sein,dass der alte Guthabeninhaber nicht doch leckereinkauft und das Guthaben verbrät.Dieses Verfahren hat PSC am 18.02.2010 abgeschlossen.Das Kennwort konnte seither nichtmehr nachträglich geändert werden, wenn sich derInhaber nicht mit dem ausgedruckten Bon legitimiert706 . "Sicherer" Zahlungsverkehr durch Übertragungdes Guthabens ist dadurch eingeschränkt.Die Hackerszene reagierte empört und rief zumDDoS-Angriff gegen PSC auf 707 . Es kam zu längerenAusfallzeiten (Downtime) der PSC-Homepage,wobei jedoch nicht bekannt ist, ob es schlussend-704WP, Paysafecard705Grafik bei G Data.706Ester/Benzmüller 2010, S. 6 f.707Kasten auf der Vorseite; Grafik bei G Data.lich durch die Angriffe begründet war, oder durchWartungsarbeiten, wie offiziell verlautbart. 708 .Nur einen Tag nach den DDoS-Aufrufen, am19.02.2010, revidierte der Bezahldienstleister seineneue Passwortpolitik. Zum 22.2.2010 sollteeine Einrichtung und Änderung eines Passwortsauch wieder ohne die Einsendung des Kassenbonsmöglich werden 709 . Das wurde von der Szenefreudig begrüßt 710 .Die Fakten sprechen für sich: Ein verteilter Angriffgegen PSC scheint wirklich stattgefunden zu habenund das Unternehmen ist danach eingeknickt.Western Union, PayPal und PaySafeCard sindkeine kriminellen Unternehmen, die sich auf Geldwäscheund die Sicherung krimineller Gewinneausgerichtet haben. In der Rückschau belegensie aber, dass ihre Folgenabschätzungen entwederleichtfertig und unbedarft oder so waren, dasssie im Interesse ihres Erfolges Bedenken beiseitegeschoben haben. Ihre Dienste lassen sich zurGeldwäsche und von der Schattenwirtschaft nutzen.Dessen ungeachtet haben sie keine oderkaum Vorkehrungen getroffen, um dem vorzubeugen.Western Union hat schon vor einigen Jahrendarauf reagiert und verlangt jedenfalls in Deutschlanddie Identifikation seiner Kunden. PSC hatjetzt erfahren, wie gefährlich das Umfeld ist, aufdas sich das Unternehmen eingelassen hat.Die Bezahlsysteme eignen sich gut für das Tagesgeschäft.Große, gleichzeitig anonyme und dennochöffentliche Geschäfte lassen sich nur in derrealen Schattenwirtschaft abwickeln. Dazu eignensich am besten Scheinfirmen 711 oder gleich dieGründung einer Offshore-Bank, die eigene Zahlungskartenherausgeben kann 712 .C.3 12. fließende GrenzenDie <strong>Cybercrime</strong>-Szene besteht offenbar aus ver-708Ester/Benzmüller 2010, S. 7.709Ester/Benzmüller 2010, S. 7.710Ester/Benzmüller 2010, S. 8.711CF, Phishing-Aktion, Vorbereitungen, 2007712(keine Satire) Gründung vonVermögensverwaltungsgesellschaften und Banken(Einlagenkreditinstitute) EWR-Schweiz-USA undOffshore, firma-ausland.de
Dieter Kochheim, <strong>Cybercrime</strong> - 120 -schieden organisierten Beteiligten.Die Masse besteht aus kaltschnäutzigen, selbstsicherenund bedenkenlosen Geschäftemachernund Trittbrettfahrern, also Einzelpersonen, die keineSkrupel haben, kriminelle Dienste zu nutzenund im kleinen Stil auch anzubieten. Das geschiehtaußerhalb der Webshops in den Foren, die denHauptteil des Basars bilden.Die Web-Kaufleute verdienen ihren Lebensunterhaltmit illegalen Angeboten - meistens mehrschlecht als recht. Sie sind bereit, in ihre Verkaufsplattformenzu investieren, und handeln damit auflängere Sicht. In anderen Worten: Gewerbsmäßig.Unter den Web-Kaufleuten scheint es auch richtigerfolgreiche zu geben, quasi Großhändler. Sie benötigennicht nur eine Plattform, sondern auch einegewerbsmäßige Struktur. Es dürfte sich bei ihnenum Operating Groups handeln, die aus mehrerenPersonen bestehen, die ihrerseits eine Kleinbandebilden. Diese Gruppen haben einen fließendenÜbergang zu den organisierten Internetverbrechern.Organisierte Internetverbrecher in diesem Sinnesind hingegen die Betreiber der Boards und ihr"Umfeld", worauf Ester und Benzmüller zart hingewiesenhaben. Sie richten sich im Internet so ein,dass sie selber ungestört kriminelle Geschäfte betreibenoder aus den Straftaten anderer ihren Gewinnziehen können.Der Basar muss nicht zwingend im Internet stattfinden.Er kann auch in intensiven Gesprächskontaktenin geschlossenen Teilnehmergruppen bestehen,zwischen Personen, die sich kennen, vertrauenund zu einzelnen - meistens Absatzgeschäften- in immer wieder wechselnden Konstellationenzusammen kommen.Auch bei diesen Beteiligten liegt eine grundsätzlicheBereitschaft zur kriminellen Zusammenarbeitvor. Sie steht unter dem Vorbehalt, nur bei einerbesonders günstigen Gelegenheit zusammen zuarbeiten und nicht bei jeder sich bietenden. Gewinnwollen die Beteiligten aber auch machen.Die <strong>Cybercrime</strong>, die sich im Wesentlichen in dervirtuellen Welt bewegt, braucht spätestens zurBeutesicherung Schnittstellen zur realen. Darin unterscheidetsie sich nicht von der herkömmlichenKriminalität. Umgekehrt nutzen auch klassischeKriminelle verstärkt das Internet, um sich zu verständigenund Kontakte zu knüpfen oder die dortgebotenen Möglichkeiten zur Verschleierung vonZahlungswegen zu nutzen.Die Grenzen werden mehr und mehr verschwimmen713 .713Siehe auch: G Data: eCrime-Ausblick 2010.
Dieter Kochheim, <strong>Cybercrime</strong> - 121 -C.4 Publikationen zur <strong>Cybercrime</strong>Der Aufsatz über den Basar für tatgeneigte Täterverweist auf eine Reihe von Veröffentlichungen imInternet mit grundlegender Bedeutung. Hier folgtein zusammenfassender ÜberblickDie meisten Veröffentlichungen stammen von demSicherheitsunternehmen McAfee 714 . Es setzt sichintensiv mit den kriminellen Strukturen im Internetauseinander, ohne die Einzelheiten zu vernachlässigen.Die wichtigsten Veröffentlichungenvon McAfee sind nach meinem Eindruckdie Zweite große europäischeStudie über das OrganisierteVerbrechen und das Internet vomDezember 2006, die Länderberichtevom Februar 2008 und Studieüber das Social Engineering vomOktober 2008.Das Sicherheitsunternehmen G Data tritt erheblichweniger in Erscheinung. Für den Bericht über dieUnderground Economy vom August 2009 gibt esnichts vergleichbares.In Bezug auf die Schurkenprovider und das RBNist der Artikel von Gordon Bolduan 715 vonhöchstem Erkenntniswert.McAfee, Sicherheitsbedrohungen1, Open Source, Juli 20062, Cyber-Kriminalität, April 20073, Ein Internet, viele Welten, Februar 20084, Social Engineering, Oktober 20085, Risiko-Management und Compliance, Juli 2009C.4 1. McAfee. Analysen zu globalenSicherheitsbedrohungenDas Sicherheitsunternehmen McAfee veröffentlichtseit 2006 seine regelmäßigen Analysen überglobale Sicherheitsbedrohungen, die seit 2008 alsSecurity Journal fortgeführt werden.Der erste Report erschien im Juli2006 und nahm sich zum Schwerpunktdie Open Source-Softwareund Sicherheitsprobleme, die inihrem Zusammenhang gesehenwerden 716 : Der Preis für die Vorteilevon Open Source. Die ablehnendeHaltung dürfte von den tatsächlichen Entwicklungenüberholt worden sein.Im April 2007 folgte ein Bericht,der sich ausdrücklich der Cyber-Kriminalität widmete 717 : Die Zukunftder Cyber-Kriminalität. Ergreift die Themen aus dem erstenReport wieder auf und aktualisiertsie im Hinblick auf Handyviren,Voice over IP, das Vordringen von Spyware, dasunbedarfte Umgehen mit sozialen Plattformen imInternet, das seinerzeit neue Vista von Microsoftund weiteren Themen.Mich am meisten beeindruckt hatdie dritte Analyse zu den globalenSicherheitsbedrohungen 718 : EinInternet, viele Welten.Einzigartig an ihr ist, dass sie inverschiedenen Länderberichtendie regionalen Besonderheiten der <strong>Cybercrime</strong>herausarbeitet und in einen globalen Zusammenhangstellt. Davon hätte ich mir Fortsetzungen gewünscht.Im Oktober 2008 erschien das Security Journal,714Wegen der Nachweise siehe unten.715Gordon Bolduan, Digitaler Untergrund, TechnologyReview 4/2008;kostenpflichtiger Download.716CF, globale Sicherheitsbedrohungen, 27.07.2008;Der Preis für die Vorteile von Open Source, McAfeeJuli 2006717CF, <strong>Cybercrime</strong>, 27.07.2008;Die Zukunft der Cyber-Kriminalität, McAfee April2007718CF, Länderberichte, 27.07.2007;Ein Internet, viele Welten, McAfee Februar 2008
Dieter Kochheim, <strong>Cybercrime</strong> - 122 -Social Engineering in englischerFassung 719 . Es bildet eine der wesentlichenGrundlagen für meinenAufsatz über das SocialEngineering.Dabei handelt es sich um Methodender Kommunikation, Manipulationund Suggestion - im Bedarfsfall angereichertum Ausspähtechnik, die andere Menschen zu unbedachtenÄußerungen oder Handlungen bringensollen.Die wichtigsten Ergänzungen zu dem Thema lieferndie beiden Bücher von Kevin Mitnick 720 .Das zunächst letzte Security Journalerschien im Juli 2009 721 : Risiko-Managementund Compliance.719Siehe: CF, Überredungstechniken, 23.11.2008;CF, Security Journal. Social Engineering.01.03.2009;Security Journal. Social Engineering, McAfeeOktober 2008720Kevin Mitnick, Die Kunst der Täuschung. RisikofaktorMensch, Heidelberg 2003;ders., Die Kunst des Einbruchs. Risikofaktor IT,Heidelberg 2006721Risiko-Management und Compliance, McAfee10.07.2009;CF, Berichte und Studien zur IT-Sicherheit,26.08.2009McAfee, virtuelle Kriminalität1, Organisierte Verbrechen und das Internet,Dezember 20062, Virtuelle Kriminalität, Dezember 20083, <strong>Cybercrime</strong> and Hacktivism, März 2010C.4 2. virtuelle Kriminalität und CyberwarAußer der Reihe erschienMcAfee's Zweite große europäischeStudie über das OrganisierteVerbrechen und das Internet722 . Sie lieferte die ersteTypenbeschreibung für die Internetkriminalität, dieauch im Basar angesprochen wird 723 . Sie stelltnach meinem Eindruck den ersten ermsthaftenVersuch dar, die <strong>Cybercrime</strong> im Zusammenhangmit den handelnden Personen zu bewerten.Im Dezember 2008 folgte der Berichtvon McAfee zum Thema VirtuelleKriminalität 724 . Er verweistauf die Zunahme staatlicher Auseinandersetzungenim Internet(Cyberwar) und fordert eine koordinierte,grenzüberschreitendeStrafverfolgung.Die beiden Berichte werden ergänzt von der detailliertenStudie vom März 2010, die bislang nurin englischer Sprache vorliegt: François Paget,<strong>Cybercrime</strong> and Hacktivism 725 . Paget liefert vieleBeispiele für mafiöse Strukturen in der Internetkriminalitätund für die Verschmelzung von Krimina-722Zweite große europäische Studie von McAfee überdas Organisierte Verbrechen und das Internet,McAfee Dezember 2006 (ZIP)723Die Grafik zeigt das Titelblatt der von McAfeeveröffentlichten Studie. Es handelt sich auch andieser Stelle um ein Zitat (§ 51 UrhG), das McAfeewürdigt und der Berichterstattung dient (§ 50UrhG). Nutzungsbeschränkungen werden in demPDF-Dokument von McAfee nicht angegeben.Wegen der Veröffentlichung der Grafik wurde imSommer 2009 versucht, den Cyberfahnderabzumahnen und eine exorbitante Geldforderungdurchzusetzen.724Bericht von McAfee zum Thema VirtuelleKriminalität, McAfee 08.12.2008725François Paget, <strong>Cybercrime</strong> and Hacktivism,McAfee 15.03.2010.
Dieter Kochheim, <strong>Cybercrime</strong> - 123 -lität und staatlich unterstützten Angriffen im Internet.McAfee, einzelne StudienIdentitätsdiebstahl, Januar 2007Virtualisierung und Sicherheit, Oktober 2008Web-Browser, Juni 2009AutoRun-basierte Malware, Juni 2009Finanzbetrug und Internet-Banking, Juli 2009Kennwortdiebe, August 2009Mapping the Mal Web, November 2009gefälschte Sicherheitsprodukte, Januar 2010Neben den umfassenden Studien werden vonMcAfee auch einzelne Themen aufgegriffen, diedie Organisations- und die technische Sicherheitbetreffen. Ohne Anspruch auf Vollständigkeit werdenhier die Beiträge genannt, die den stärkstenBezug zur <strong>Cybercrime</strong> haben.François Paget, Identitätsdiebstahl, McAfee04.01.2007 (ZIP)Dennis Elser, Micha Pekrul, Das Geschäft derKennwortdiebe: Wer ist an Identitätsdiebstahl beteiligt,und wie funktioniert er? McAfee 05.08.2009726François Paget, Finanzbetrug und Internet-Banking: Bedrohungen und Gegenmaßnahmen,McAfee 10.07.2009 727Christoph Alme, Web-Browser: Eine neuePlattform wird angegriffen, McAfee Juni 2009Vinoo Thomas, Prashanth Ramagopal, Rahul Mohandas,Die Zunahme der AutoRun-basierten Malware,McAfee Juni 2009 728Abhishek Karnik, Avelino C. Rico, Jr., Amith Prakash,Shinsuke Honjo, Erkennung gefälschter Sicherheitsprodukte,McAfee 04.01.2010 729Zheng Bu, Rahul Kashyap, Ahmed Sallam, Joel726CF, Sicherheitsstudien von G Data und McAfee,03.10.2009727CF, Berichte und Studien zur IT-Sicherheit,26.08.2009728CF, Angriffstechniken, 03.07.2009729CF, gefälschte Sicherheitsprodukte, 07.02.2010Spurlock, Rafal Wojtczuk, Virtualisierung und Sicherheit,McAfee 31.10.2008 730Shane Keats, Dan Nunes, Paula Greve, Mappingthe Mal Web, McAfee 03.11.2009 731Passend zum Thema sind drei Artikel aus derZeitschrift c't hervorzuheben:Jürgen Schmidt, Hydra der Moderne. Die neuenTricks der Spammer und Phisher, c't 18/2007, S.76Daniel Bachfeld, Dunkle Flecken. Neuartige Angriffeüberrumpeln Webanwender, c't 11/2008, S.83Daniel Bachfeld, Zahl oder Karte. Sicherer Zugriffaufs Online-Konto, c't 17/2008, S. 94Das Netz der Phisher, September 2006Underground Economy, August 2009Update: Underground Economy, April 2010Die umfassendste und informationsreichsteStudie zur UndergroundEconomy im Internetstammt von G Data 732 :Marc-Aurél Ester, RalfBenzmüller, G Data Whitepaper2009. Underground Economy,19.08.2009Das jüngst erschienene „Update“ hat die Strukturender Schattenwirtschaft noch weiter durchdrungen733 :Marc-Aurél Ester, Ralf Benzmüller, Whitepaper04/2010. Underground Economy - Update04/2010, G Data 22.04.2010730CF, Abwehr und Angriff mit virtuellen Maschinen,08.03.2009731CF, Gefahrenzonen, 04.12.2009732CF, Sicherheitsstudien von G Data und McAfee,03.10.2009733CF, neue Hacker-Boards schotten sich ab,23.05.2010
Dieter Kochheim, <strong>Cybercrime</strong> - 124 -Lobend muss insoweit auf Jäger hingewiesen werden,der die Grundzüge der Schattenwirtschaft imInternet bereits 2006 beschrieben hat:Moritz Jäger, Das Netz der Phisher: Wie Online-Betrüger arbeiten, tecchannel 20.09.2006Mit dem bekanntesten Schurkenprovider, dem Russian Business Network – RBN, setzen sichauseinander:David Bizeul, Russian Business Network study,bizeul.org 19.01.2008Gordon Bolduan, Digitaler Untergrund, TechnologyReview 4/2008, S. 26 ff.;Frank Faber, Unter Verdacht. Eine russischeBande professionalisiert das <strong>Cybercrime</strong>-Business,c't 11/2008IT-Sicherheit in Deutschland 2009, März 2009Verfassungsschutzbericht 2008, Mai 2009Mit der Sicherheitslage im Allgemeinensetzen sich auseinander:BSI, Die Lage der IT-Sicherheit inDeutschland 2009, BSI 03.03.2009BMI, Verfassungsschutzbericht2008, Vorabfassung 19.05.2009
Dieter Kochheim, <strong>Cybercrime</strong> - 125 -D. SchlussD.1 Lehren Grundsätzlich ist jede Schnittstelle zu einemNetz oder zum Anschluss von Peripheriegerätenfür physikalische oder netzbezogene Angriffe geeignet.Das gilt besonders dann, wenn die Schnittstelleüber eigene Verarbeitungskomponenten (Betriebssystem,Prozessor) und Massenspeicher verfügt. Netzbezogene Angriffe erfolgen in aller Regelunter Ausnutzung von Schwachstellen (Exploits)oder mit Dateien, die über das Netz oder externeDatenträger zugeliefert werden. Injektion (Zulieferung), Infektion (Grundinstallation)und Installation (Einbindung, Tarnung, Update)von Malware nutzen neben technischen Schwachstellenauch menschliche Schwächen aus, umtechnische Sicherungsmaßnahmen (Rechtesteuerung,Firewall, Virenscanner) zu überwinden undUmzurüsten (Deaktivierung von Virenscannern,Reservierung von Ports, Veränderung der internenHost-Tabelle). Der persönliche Zugang zu Mitarbeitern dientauch dazu, Interna zu erkunden, die entweder fürsich von Wert sind (Geschäfts- und sonstige Geheimnisse)oder dazu genutzt werden können, Zugangzu geschützten Bereichen zu erlangen (Passwörter,Peripheriegeräte, Hintertüren, Zugangsrechte). Malware dient fast immer auch dazu, persönlicheGeheimnisse zu erforschen (Botsoftware) oderunmittelbar zu missbrauchen (Phishing). Die häufigstenErscheinungsformen dienen dem Auskundschaften– vor Allem im Zusammenhang mit demOnline-Banking – und zur Übernahme in ein Botnetz. Handelswert haben alle persönlichen Daten undvor Allem Zugangsdaten zu persönlichen Konten,mit denen Geschäfte oder die Kommunikation abgewickeltwerden (geschlossene Nutzerkreise,Handelsplattformen, Warenverkehr). Die <strong>Cybercrime</strong>-Szene scheint stark differenziertzu sein. Neben vielen Einzelpersonen, die eher alsTrittbrettfahrer tätig sind, haben sich Spezialistenherausgebildet, die auch eigene Strukturen derständigen Zusammenarbeit entwickelt haben(Operation Groups). Dazu gehört vor Allem dieEntwicklung von Malware, bei der Exploit-Händler,Toolkit-Entwickler und die Programmierer derMalware zusammenarbeiten, und von Bot-Software. Botnetze sind das mächtigste Werkeug, dasden Cyber-Tätern zur Verfügung steht. Sie verlangennach einer ständigen Aktualisierung nicht nurim Hinblick auf ihre Funktionalität, sondern auchzur Tarnung. Außerdem bedürfen Botnetze derAdministration, Wartung und der Einrichtung fürkriminelle Einzelaktionen. Das macht eine ständigeund arbeitsteilige Zusammenarbeit mehrererPersonen nötig, wobei sich weitere Spezialistenum die Vermarktung und Beutesicherung kümmerndürften. Auch wenn sich die Underground Economyvon der Öffentlichkeit abschottet (Boards), mussdie Infrastruktur für Kommunikationsplattformen,Webshops, Drob Zones und Datenspeicher vonspezialisierten Schurkenprovidern zur Verfügunggestellt werden. Sie tarnen sich und ihre Kunden,sind aber zwangsläufig an das Internet und inwirtschaftliche Beziehungen eingebunden, sodass sie darüber identifiziert werden können. Ebenso wie die Täter im Bereich der <strong>Cybercrime</strong>muss auch die Strafverfolgung grenzüberschreitendsein. Die bereits gemachten Erfahrungenlehren, dass das möglich, aber aufwändig ist.
Dieter Kochheim, <strong>Cybercrime</strong> - 126 -D.2 CyberfahnderSeit 2007 berichtet der Cyberfahnder über die Informations-und Kommunikationstechnik, die <strong>Cybercrime</strong>und die Ermittlungen gegen sie. DiesesArbeitspapier stellt die wichtigsten Beiträge aus derWebseite vor, die sich mit der Technik, den Erscheinungsformenund den Strukturen der <strong>Cybercrime</strong>befassen.Eine Reihe von Aussagen sind spekulativ und werdenaus nur wenigen Fakten, ihrem Zusammenspielund Erfahrungswerten abgeleitet. Die schnelllebigeEntwicklung der IKT und der <strong>Cybercrime</strong> erfordernein solches Vorgehen, um Abwehrstrategienund Vorsichtsmaßnahmen zu entwickeln. Bereitsdie dreijährige Erfahrung zeigt, dass viele Prognosen,die sich besonders auf die für Angriffe geeignetenSchnittstellen bezogen haben, bewahrheitethaben.Ein weiterer Schwerpunkt des Cyberfahnders istdas Skimming 734 , dem ein eigenes Arbeitspapiergewidmet ist:Dieter Kochheim, Arbeitspapier Skimming #2,März 2010 735Ältere Arbeitspapiere beschäftigen sich ebenfallsmit besonderen Aspekten der <strong>Cybercrime</strong> 736 :Dieter Kochheim, Phishing, 22.01.2007 737Dieter Kochheim, Grenzüberschreitender Transfervon Vermögenswerten, 15.05.2007 738Dieter Kochheim, IT-Strafrecht.Zusammenfassung, 02.11.2007 739Dieter Kochheim, Onlinedurchsuchung,11.03.2007 740734CF, arbeitsteiliges Skimming, 08.05.2008735CF, Zwischenbilanz: Skimming, 14.11.2009736CF, <strong>Cybercrime</strong> und IT-Strafrecht, 08.08.2008737CF, Phishing, 2007738CF, grenzüberschreitender Vermögenstransfer, 2007739CF, IT-Straftaten, 2007;CF, IT-Strafrecht, 2007740CF, Onlinedurchsuchung, 2007;CF, Bundesverfassungsgericht: Onlinedurchsuchung,05.04.2008
Change language