Dieter Kochheim, - 2 -

3 Inhalt

5 Einführung: Cybercrime

6 A. Angriffe auf IKT-Systeme

6 A.1 IT-Sicherheit, Schwachstellen, Angriffe

24 A.2 Nummerntricks

37 A.3 Malware

45 A.4 Identitätsdiebstahl und

55 A.5 Botnetze

61 B. Social Engineering

62 B.1 Fünf unwichtige Informationen ergeben eine sensible

75 B.2 Beobachten und bewerten

80 C. Underground Economy

80 C.1 Schurken-Provider und organisierte Cybercrime

91 C.2 arbeitsteilige und organisierte Cybercrime

103 C.3 Basar für tatgeneigte Täter

118 C.4 Publikationen zur Cybercrime Die Zitate in den Fußnoten, das Inhaltsver- zeichnis und einzelne Textpassagen sind im 122 D. Schluss PDF-Dokument mit Links unterlegt, die einen einfachen Zugriff auf die Quellen oder eine Bewegung im Dokument zulassen. Sie er- scheinen in blauer Farbe. In ausgedruckter Form sind die Quellen leider nicht sichtbar.

Thema: Cybercrime Autor: Dieter Kochheim Version: 1.02 Stand: 24.05.2010 Cover: Kochheim

Impressum: CF, cyberfahnder.de

Dieter Kochheim, Cybercrime - 3 -

5 Einführung: Cybercrime 22 8.5 Sicherheitskultur und Akzeptan 6 A. Angriffe auf IKT-Systeme 24 A.2 Nummerntricks 24 1. intelligente Nummernverwaltung 6 A.1 IT-Sicherheit, Schwachstellen, 2. 1900-Nummern. Abrechnung. Missbrauch Angriffe 26 27 3. Dialer 7 1. Heimnetz-Architektur 27 3.1 wider dem Missbrauch 9 2. "harte" physikalische Angriffspunkte 27 3.2 rechtliche Handhabung 9 2.1 technische Geräte als Gefahrenquelle 28 4. Regelungen im TKG 9 2.2 Telefonanschluss 29 5. kostenpflichtige Rückrufe 10 2.3 Keylogger 29 6.1 Rückruftrick 10 2.4 Telefonanlage, Server 30 6.2 einheitliche prozessuale Tat 10 2.5 WLAN-Router, Switch 30 7. versteckte Netz- und Auslandsvorwahlen 11 2.6 Telefon 31 8. kriminelle Verbindungen 11 2.7 Klassiker und Kuckuck 32 9. Adressierung im Internetprotokoll 11 3. Angriffe aus dem Netz 34 10. Umleitungen im 12 3.1 Hacking 35 11. Angriffe gegen Webserver und CMS 12 3.2 Telefonanlage 36 12. Fazit 12 3.3 aktive Komponenten 13 3.4 internes Modem. Fremdnetzzugang 37 A.3 Malware 13 4. Angriffe auf Funk-Schnittstellen 37 1. Tarnung und Täuschung 13 4.1 Wardriving: Eindringen in lokale Funknetze 38 2. Massenware und gezielte Spionage 14 4.2 Nahfunk 39 3. Crimeware 14 5. Angriffe mit Crimeware 40 4. Angriffsmethoden 15 5.1 Malware 40 4.1 Bootvorgang 15 5.2 Datenträger, E-Mail 40 4.2 Betriebssystem 16 5.3 E-Hacking 41 4.3 Systemstart 16 6. Standard-Schutzmaßnahmen 42 4.4 laufender Betrieb 16 6.1 Sensible Daten 43 4.5 online 16 6.2 Kontodaten, TAN 44 5. Abwehr 17 6.3 Virenscanner, Firewall 44 6. Fazit 17 6.4 Datensicherung 45 A.4 Identitätsdiebstahl und Phishing 17 6.5 Administratorenrechte 45 1. Identitätsdiebstahl 17 6.6 Updates 46 2. Kontoübernahmen 17 6.7 Originale 47 3. Ziele des Identitätsdiebstahls 18 6.8 Schnittstellen 48 4. virtuelle Kriminalität 18 6.9 Funknetz 49 5. Zahlungs- und Geschäftsverkehr 18 6.10 Fremdnetze und Angriffspunkte 49 5.1 18 6.11 mobiles Computing 49 5.2 Phishing in neuen Formen 18 6.12 Hotspots. Öffentliche Funknetze 51 5.3 Beutesicherung 18 7. verschiedene Nutzungen 52 5.4 Online-Warenhäuser 18 7.1 Renate Mustermann und Otto Normalverbr. 53 5.5 Aktienkursmanipulation 19 7.2 ... geschäftliche Datenverarbeitung 54 6. Fazit 19 7.3 ... professionelle Datenverarbeitung 20 8. Bestandteile eines professionellen 55 A.5 Botnetze Netzwerkes 55 1. Infektion und Infiltration 20 8.1 professionelles Firmennetz 56 2. Übernahme. Konsole 20 8.2 Demilitarisierte Zone - DMZ 56 3. zentrale und dezentrale Steuerung 21 8.3 internes LAN 57 4. Einrichtung des Botnetzes 22 8.4 Sicherheitsüberwachung 57 5. kriminelle Einsätze Dieter Kochheim, Cybercrime - 4 -

57 5.1 verteilter Angriff 91 C.2 arbeitsteilige und organisierte 58 5.2 Spamming und Phishing Cybercrime 59 5.3 direkte Angriffe 91 1. ... Blick auf die Erscheinungsformen 59 5.4 The Man in the Middle 92 2. was ist Cybercrime? 59 6. Botnetze, die unerkannte Gefahr 93 3. Hacker: Moral und Unmoral 94 4. Einzeltäter 61 B. Social Engineering 95 5. Malware-Schreiber, Zulieferer, Auftraggeber 62 B.1 Fünf unwichtige Informationen ergeben 96 6. spezialisierte Zwischenhändler eine sensible 97 7. kriminelle Unternehmer 63 1. Security Journal 98 8. Koordinatoren 63 2. Risikofaktor Mensch 98 9. Zwischenergebnis 65 3. Verhaltensregeln für Mitarbeiter 98 10. Organigramm der Cybercrime 66 4. Vorgehen des Social Engineers 99 11. neue Definition der Cybercrime 66 5. noch einmal: Security Journal 99 12. modulare Cybercrime 67 5.1 Psychotricks 100 13. Fazit 67 5.1.1 Emotionen manipulieren 101 14. modulare Kriminalität 67 5.1.2 Fehlgeleitete mentale Verknüpfungen 103 C.3 Basar für tatgeneigte Täter 68 5.1.3 Fehler im Schema verursachen 103 1. Hacker-Märkte 69 5.2 Geld machen mit Cybercrime 103 1.1 Ende eines Hacker-Boards 70 5.3 gezielte Manipulationen 104 1.2 verstärkte Abschottung 71 5.4 Schwachstellen, Exploits und Fallen 105 2. Wandlung der Erscheinungsformen 71 5.5 Typosquatting 105 2.1 Phishing 72 5.6 Adware und 106 2.2 Identitätsdiebstahl 73 5.7 Ergebnisse aus dem Security Journal 107 2.3 Botnetze 73 5.8 Fazit: Security Journal 107 2.4 Skimming 74 6. Lehren aus den Fallstudien ... 108 2.5 Social Engineering 75 B.2 Beobachten und bewerten 109 3. der Basar 75 1. einheitliche Organisationssicherheit 111 4. Organisierte Internetverbrecher 76 2. Blick von außen 112 5. kriminelle Programmierer 78 3. Blick von innen 113 6. Operation Groups 79 4. Nachwort 113 7. Koordinatoren 114 8. Schurkenprovider 80 C. Underground Economy 114 9. Tarnung und Abschottung der Kunden 80 C.1 Schurken-Provider und 114 9.1 Whois Protection organisierte Cybercrime 114 9.2 anonyme Server 81 1. Cybercrime in Russland 114 9.3 Detektion 83 2. Zusammenarbeit von Spezialisten 116 9.4 heimlicher Betrieb 84 3. organisierte Botnetze 117 9.5 IP-Adressen und Domain-Entführer 85 4. Spezialisierung 118 10. Crämer und große Kriminelle 85 4.1 Drop Zones 118 11. Beutesicherung 85 4.2 Carder 120 12. fließende Grenzen 86 4.3 Agenten 121 C.4 Publikationen zur Cybercrime 86 4.4 Spezialisten 121 1. McAfee. Globale Sicherheitsbedrohungen 4.5 Koordinator. Operation Group 86 122 2. virtuelle Kriminalität und Cyberwar 87 4.6 Rogue Provider 89 5. - RBN 125 D. Schluss 90 6. Fazit 125 Lehren 126 Cyberfahnder Dieter Kochheim, Cybercrime - 5 -

Einführung: Cybercrime griffspunkte bei vernetzten Computern 3 und den wichtigsten Teilaspekten der Cybercrime. Das gilt Das IT-Strafrecht im engeren Sinne umfasst die vor Allem für den hier erstmals veröffentlichten Straftaten, die die Informations- und Kommunikati- Beitrag über den  Identitätsdiebstahl und das onstechnik direkt betreffen. Als ihre Hauptgruppen Phishing, die  Botnetze und den Entwicklungen sehe ich, leicht abweichend von der üblichen Klas- bei der  Malware. Die damit verbunden Fragen sifikation an: werden im  Teil A. angesprochen.  die Computersabotage, Abgelöst davon beschäftigt sich  Teil B. mit den  der persönliche Lebens- und Geheimbereich, nicht-technischen Angriffsmethoden, die als   die strafbaren Vorbereitungshandlungen und Social Engineering bekannt sind. Sie schließen  den Schutz des Rechtsverkehrs. die geschickten Formulierungen in Spam-Mails, Hinzu kommt das IT-Strafrecht im weiteren Sinne. das Ausspionieren von Organisationen und den Es umfasst die klassische Kriminalität, die sich zu direkten Kontakt zu deren Mitarbeitern mit ein. ihrer Begehung der IKT bedient. Dazu gehören Damit verlassen sie die technischen Gefahren, ganz besonders der Betrug und die die der Informations- und Kommunikationstech- Äußerungsdelikte (Beleidigung, Verleumdung, nnik drohen. Bloßstellung). Als ihre Hauptgruppen sehe ich an: Der  Teil C. beschäftigt sich mit der  Under-  das Nebenstrafrecht, ground Economy des und ihren organi-  die Inhaltsdelikte und satorischen Strukturen, soweit sie bereits erkenn-  den Anlagenschutz. bar sind 4. In diesem Arbeitspapier geht es jedoch nicht um Die einzelnen Aufsätze sind unabhängig vonein- die Einzelheiten der rechtlichen Beurteilung der ander seit 2007 zu verschiedenen Zeiten entstan- Cybercrime, sondern um ihre Erscheinungs- und den. Wiederholungen wegen einzelner Aspekte Organisationsformen. Es ist eine Bestandsaufnah- lassen sich schon deshalb nicht vermeiden. Hinzu me, die den Blick auf die moderne Kriminalität kommt, dass jeder Aufsatz die Cybercrime aus ei- schärfen soll, und soll eine Grundlage dafür schaf- nem eigenen Blickwinkel betrachtet, so dass auch fen, die Probleme im Einzelfall einzugrenzen und deshalb Überschneidungen zwangsläufig sind. Lösungswege zu finden. Dieter Kochheim, Mai 2010 Die Cybercrime ist ein zentrales Thema des  Cy- berfahnders. Schon 2007 befasste er sich mit dem Phishing in der damals praktizierten Form, die zu- nächst nur die Kontaktaufnahme zu den Finanz- 18.05.2010: 53 Korrekturen agenten und schließlich zu den Bankkunden, de- 24.05.2010: Aktualisierung und Überarbeitung 5 ren Kontozugangsdaten ausgespäht werden soll- ten, per Spam-Mail kannte 1. Die Methoden des Identitätsdiebstahls und seiner besonderen Er- scheinungsform des Phishings (password stealer) haben sich binnen kurzer Zeit geändert und vor Al- lem verfeinert und professionalisiert 2.

Zunächst widmete sich der Cyberfahnder den 3 Angestaubt und noch immer aktuell: CF, IT- Grundlagen und beschrieb dazu die möglichen An- Sicherheit, Schwachstellen, Angriffe,2007 4 CF, Basar für tatgeneigte Täter, 11.04.2010; 1 Arbeitspapier CF, Phishing, 2007 (PDF) CF, modulare Kriminalität, 05.10.2008. 2 CF, Phishing mit Homebanking-Malware, 5 Jüngst erschienen ist: 22.10.2008; CF, gewandelte Angriffe aus dem Netz, Marc-Aurél Ester, Ralf Benzmüller, Whitepaper 29.11.2008; CF, neue Methode gegen Homebanking- 04/2010. Underground Economy - Update 04/2010, Malware, 06.11.2008. G Data 22.04.2010 Dieter Kochheim, Cybercrime - 6 -

A. Angriffe auf IKT-Systeme A.1 IT-Sicherheit, Schwachstellen, Angriffe 10 Den Einstieg in den ersten Teil bilden die bekann- ten und hypothetischen  Angriffe auf vernetzte Wir müssen davon ausgehen, dass die Angreifer IKT-Systeme 6 ungeachtet dessen, ob es sich um auf IT-Systeme äußerst kreativ sind und jede einzelne PCs, häusliche Netzwerke, mobile Endge- technische Neuentwicklung darauf prüfen, wie sie räte oder professionelle Firmennetzwerke handelt. penetriert und für ihre Zwecke ausgenutzt werden Ihre potentielle Gefährdung besteht darin, dass sie kann. Ich will die Situation weder dramatisieren Schnittstellen für Außenverbindungen haben, die noch bagatellisieren. Die Gefahr, angegriffen und den Einstieg für äußere Angreifer prinzipiell ermög- ausgenutzt zu werden, ist akut. Das kann sehr lichen. Einige der weniger bekannten Schnittstel- schlimm sein, wenn ein Angriff zu unmittelbaren len, so etwa der Nahfunk, die Telefonanlage oder Vermögensschäden führt (Phishing, Kontomani- die TV-Karte, wirkten 2007 noch exotisch und uto- pulationen, Identitätsklau), aber auch dann, wenn pisch, wenig realistisch und versponnen. Durch unsere technischen Kapazitäten in Beschlag ge- Zeitablauf hat sich die Berechtigung des Ansatzes nommen werden (Übernahme in ein Botnetz). bestätigt, auch weit hergeholte Gefahrenquellen zu Wir müssen ferner davon ausgehen, dass sich betrachten. die Vernetzung der IKT nicht mehr umkehren Dem folgt ein Rückblick auf die ersten Formen der lässt. Dies zu fordern wäre auch das falsche Si- Cybercrime, die von  Nummerntricks 7 geprägt gnal. Das Internet hat einen Qualitätssprung aus- waren. Sie gilt es deshalb im Blick zu behalten, gelöst, soweit es um die Beschaffung von alltägli- weil es sich gezeigt hat, dass sie in gewandelter chen und besonderen Informationen geht, und die Form immer wieder auftauchen können und das Computertechnik gibt uns Verwaltungs- und Ge- auch dann, wenn sie längst als überholt gelten. staltungsmöglichkeiten, die ohne sie undenkbar wäre. Das gilt für die schlichte Textverarbeitung, Daran schließen sich die Aufsätze über die die hier zum Einsatz kommt, ebenso wie für die  Malware 8, den  Identitätsdiebstahl und die Onlineautorisierung der internationalen Finanz-  Botnetze 9 an. wirtschaft 11. Neu geschrieben wurde der Aufsatz über den Dem weiteren Aufsatz liegen einige Annahmen  Identitätsdiebstahl und das Phishing. In ihn flos- zugrunde, die das Verständnis erleichtern sollen: sen mehrere Meldungen aus dem Cyberfahnder ein und einzelne Passagen aus dem  Ar-  Grundsätzlich jede Schnittstelle zur Außenver- beitspapier Phishing aus 2007 haben immer noch bindung birgt die Gefahr, angegriffen, übernom- eine aktuelle Bedeutung. men und überwunden zu werden. Erst bei einer kritischen Risikobewertung kann sich herausstel- len, dass nur ein zu vernachlässigendes Risiko besteht. Zu der Bewertung gehört auch die Frage, ob die Schnittstelle überhaupt benötigt wird. Ist das nicht der Fall, sollte sie im Zweifel deaktiviert werden.  Je intelligenter eine IKT-Komponente ist, desto anfälliger ist sie für einen Angriff. Intelligenz in diesem Sinne umfasst mehrere Aspekte.  Der erste ist die Steuerungsfähigkeit. Geräte, 6 Informations- und Kommunikationstechnik - IKT die über ein eigenes Betriebssystem verfügen, er- 7 CF, Nummerntricks. Adressenschwindel bei Telefondiensten und im Internet, 21.11.2008 10 Überarbeitete Fassung des Aufsatzes von 2007: 8 CF, Malware, 12.05.2008 CF, IT-Sicherheit, Schwachstellen, Angriffe, 2007 9 CF, Botnetze, Sommer 2007 11 Kochheim, Arbeitspapier Skimming #2, März 2010 Dieter Kochheim, Cybercrime - 7 -

öffnen damit grundsätzlich auch, dass das Be- A.1 1. Heimnetz-Architektur triebssystem falsch funktioniert oder über eine Betrachten wir zunächst ein besser ausgestatte- Schwachstelle angegriffen werden kann. Das gilt tes häusliches oder gewerbliches DSL-Netzwerk zum Beispiel für Netzwerkkomponenten (Switches, (Grafik auf der nächsten Seite). Router) oder selbständige Funktionskarten (Grafik- karte, TV-Karte, Schnittstelle zur Telekommunikati- Die Grafik zeigt drei farbig unterlegte "Räume". on). Wir beginnen mit dem grauen Bereich, der sich auf die Netzwerktechnik beschränkt.  Der zweite Aspekt ist die Speicherfähigkeit. Dort, wo variable Daten gespeichert werden kön- Die eingehenden Signale durchlaufen zunächst nen, können grundsätzlich auch feindliche Daten einen Splitter, der die Telefonie- und die Daten- abgelegt und der Kontrolle durch Firewalls und Vi- übermittlungen voneinander trennt. Wegen der renscanner entzogen werden. Das gilt etwa für Telefonie kann eine ISDN-fähige Telefonanlage Netzwerkspeicher (Festplatten im LAN 12 13), Ca- unmittelbar angeschlossen sein 19. Wird eine ana- che-Speicher 14 oder das für den Systemstart nöti- loge Telefonanlage (weiter-) verwendet, muss ge BIOS 15. zwischen ihr und dem Splitter ein NTBA 20 ge- schaltet werden, der wechselseitig die analogen  Der dritte ist schließlich die Updatefähigkeit. in digitale Signale wandelt. Sie setzt sowohl die Steuerungs- als auch die Speicherfähigkeit voraus und eröffnet einem An- Für die Kommunikation zwischen dem PC als greifer die Gelegenheit, manipulierten Code einzu- Endgerät auf der einen Seite und dem DSL- schleusen, wenn er auf den Updatevorgang Ein- Zugangsprovider andererseits wird ein DSL- fluss nehmen kann. Modem verwendet 21. An ihm kann ein einzelner PC direkt angeschlossen sein oder aber, wie im  Abschottung bietet Schutz. Sie lässt sich errei- Schaubild, eine aktive Netzwerkkomponente, die chen durch Verzicht auf technische Intelligenz 16 die Datenkommunikation aufnimmt, vermittelt und und auf unnötige Schnittstellen oder ihre Be- weiter leitet. schränkung 17 und Überwachung 18. Die DSL-typischen Geräte, Splitter, NTBA und 12 Wegen der technischen Einzelheiten wird auf die DSL-Modem, bereiten Signalströme für ihren je- Wikipedia verwiesen. Die Links werden mit „WP“ weiligen Verwendungszweck auf und enthalten gekennzeichnet: WP, Hauptseite. entsprechend wenig "Intelligenz". 13 WP, LAN: Local Area Network. Betriebliche oder häusliche Netzwerke, die in aller Regel über einen Die einfachste Form einer aktiven Netzwerkkom- gemeinsamen Zugang zum Internet verfügen. ponente ist ein Hub 22. Er nimmt ihm zugeleitete 14 WP, Cache-Speicher: Zwischenspeicher. Daten auf und schickt sie gleichzeitig an alle an 15 BIOS: Basic Input Output System zur Erkennung der ihm angeschlossenen Geräte weiter, ohne dabei Systemkomponenten und zum Start des ein besonderes Ziel auszuwählen. Dagegen löst Betriebssystems auf der Anwenderebene. ein Switch 23 die eingehenden Datenströme auf 16 Ich verweise dazu immer wieder auf die „fest verdrahteten“ WP, RISC-Prozessoren und bekomme und sendet sie nur an die Zieladresse weiter, für dafür Prügel. Sie enthalten unveränderliche die sie bestimmt sind. Ein Router verbindet in der Rechenoperatoren und sind besonders schnell. Ihr Nachteil ist, dass sie veränderten Anforderungen nicht angepasst und vor Allem nicht Update-fähig Systembeschränkungen, womit hier der Ausschluss sind. von Programminstallationen ohne 17 Gemeint sind besonders Firewalls, die die Ports und Administratorenrechte gemeint ist. Protokolle einschränken, auf denen die Internet- 19 WP, Integrated Services Digital Network – ISDN Kommunikation beruht, die Systemeinstellungen, 20 WP, Network Termination for ISDN Basic rate also die Beschränkung der Anwenderrechte im Access - NTBA Normalbetrieb, und der Ausschluss von 21 Schreibrechten, während besonders sensible WP, Digital Subscriber Line - DSL Arbeiten ausgeführt werden (Homebanking, Bankix). 22 WP, Hub (Netzwerkkomponente) 18 Zusammenspiel von Firewall, Virenscanner und 23 WP, Switch (Netzwerkomponente) Dieter Kochheim, Cybercrime - 8 -

Regel zwei Netze miteinander (Gateway 24) und WLAN-Router, der ein Funknetz aufbaut, die Ver- verhält sich gegenüber dem Netz, das er "kennt", bindung zum Provider herstellt und an den noch wie ein Switch. Gegenüber den anderen Netzen ein oder mehrere PCs angeschlossen werden verhält er sich hingegen wie ein Hub und sendet können. Solche Geräte verbinden die Funktionali- alle unbekannt adressierten Datenpakete ungerich- täten Funknetz und Routing miteinander. Die be- tet in das zweite Netz, hier also in Richtung des sondere Funktion des WLAN-Routers ist es aber, Zugangsproviders. ein Funknetz einzurichten, über das mehrere Endgeräte drahtlos vernetzt werden können. Zwei nicht übliche Komponenten sind an den Rou- ter im Schaubild angeschlossen: Ein "Server" 25 Der "Server" kann mehrere Aufgaben haben. In und ein WLAN-Router 26. kleinen und mittleren Unternehmen kann er be- sonders als Fax- und E-Mail-Server eingerichtet In Privathaushalten wird man in aller Regel keinen sein, der sowohl den ein- und ausgehenden Ver- gesonderten Router finden, sondern nur einen kehr verarbeitet und die Eingänge speichert. 24 WP, Gateway (Netzwerkkomponente), Im privaten Bereich ist eher zu erwarten, dass ein Verbindungsstelle zwischen verschiedenen Netzen. 25 WP, Server gemeinsamer Server für die Speicherung und Be- 26 WP, WLAN-Router (Wireless Access Point) reitstellung von Dokumenten (Urlaubsfotos u.ä.) Dieter Kochheim, Cybercrime - 9 - verwendet wird, die allen Beteiligten zur Verfügung sich bietenden Gelegenheit selber Netzwerktech- stehen sollen, ohne dass man sich gegenseitig Zu- nik installieren oder konfigurieren kann, kann er griff auf die privaten PCs geben will. Das ist eine sich an den meisten Sicherheitsmaßnahmen vor- unter Sicherheitsgesichtspunkten durchaus sinn- bei bewegen und Hintertüren installieren volle Strategie, bei der die privaten PCs konse- (Rootkit). IT-Sicherheit beginnt bei der einfachen quent gegen Außenzugriffe abgeschirmt werden. Technik und abgeschlossenen Räumen. Die grün unterlegten Bereiche sind schnell erklärt. Technisch-physikalische Angriffe sind eher im Zu- Oben ist ein PC dargestellt, der sowohl per Daten- sammenhang mit der (Industrie-) Spionage zu er- leitung wie auch per Telefonleitung mit den zentra- warten und weniger im privaten Bereich. Wie sich len Einrichtungen verbunden ist. Unten wird ein der Angreifer einen direkten körperlichen Zugang Laptop gezeigt, das per Kabel und per WLAN ver- verschaffen kann, lehrt das  Social Engineering, netzt ist. Auf die Einzelheiten kommen wir noch zu- was nichts anderes ist als eine Sammlung moder- rück. nisierter Detektivmethoden 27. Sie können jedoch zu einem unmittelbaren, un- verzögerten und direkten Zugriff führen, wobei A.1 2. "harte" physikalische Angriffspunkte alle Sicherungsmaßnahmen umgangen und ein Wegen der Gefahrenpunkte betrachten wir zu- als sicher geglaubtes System unmittelbar, aus nächst die einzelnen technischen Komponenten in sich selbst heraus angegriffen werden kann. Das einem Netzwerk, ihre Eignung, missbraucht zu macht sie besonders gefährlich. werden, und die von ihnen ausgehenden Gefah- ren. A.1 2.2 Telefonanschluss Wenn eine Komponente penetriert werden kann, so heißt das nicht, dass ein Angreifer durch sie Das gilt besonders für Ab- einen vollständigen Zugriff auf alle Daten im Netz- höreinrichtungen in der Te- werk erringen kann. Üblich für das Vorgehen von lefontechnik wie links ge- Hackern ist es aber, dass sie Schritt für Schritt in zeigt innerhalb einer Tele- ein System eindringen und dazu auch Zwischen- fonsteckdose. Hier können stationen verwenden, die sie nur als Sprungbrett sehr komfortabel der Tele- zur nächsten oder zum Belauschen des Datenver- fonverkehr und die Verbin- kehrs verwenden können. Ihr Ziel ist es jedoch, an dungsdaten mitgeschnitten die sensiblen Daten in einer IT-Anlage heranzu- werden. Dieser Angriff eignet sich hingegen weni- kommen, und dazu brauchen sie administratori- ger für die Penetration anderer Geräte, weil dazu sche Rechte, also den Vollzugriff auf das System. - wie auch mit der Malware - weitere Sicherheits- lücken überwunden werden müssen oder eine Außenverbindung geschaffen werden muss. Un- A.1 2.1 technische Geräte als Gefahrenquelle möglich ist das nicht. Zur Datenspionage und zur fremden Beherrschung von EDV-Systemen eignen sich grundsätzlich alle Zugänge, Verbindungen und Schnittstellen, die ein Computer zulässt. Es gilt der Grundsatz: Je kom- fortabler er eingerichtet ist und je einfacher (unbe- dachter) sich mit ihm arbeiten lässt, desto gefähr- deter ist er. Die beste Sicherung des Systems nutzt nichts, wenn es irgendwo eine Hintertür oder eine 27 Öffnung offen lässt. Interessante Einblicke in die Spionagemethoden - ganz ohne EDV - bietet Andreas Eschbach, Der Wenn der Angreifer als Einbrecher oder bei einer Nobelpreis [ausgewählte Zitate, Bergisch Gladbach (Lübbe) 2005]. Dieter Kochheim, Cybercrime - 10 -

A.1 2.3 Keylogger samer Dokumente, von Backups, die E-Mail- Konten, den Fax-Versand und ihren -Empfang zur Keylogger dienen dazu, die Verfügung stellt. Tastatureingaben zu proto- kollieren. Sie werden meist unscheinbar zwischen den A.1 2.5 WLAN-Router, Switch Tastaturstecker und der Ein- Besonders populär, aller- gangsbuchse des PCs ge- dings für Angriffe aus dem steckt 28. Sie müssen nach Fremdnetz, sind die Ausnut- einer gewissen Zeit ausgewechselt oder so zung und Übernahme von konstruiert werden, dass sie ihre Protokolldaten WLAN-Routern, die mehre- drahtgebunden oder per Funk weiter vermitteln. re mobile Geräte miteinan- Der Einsatz von Keyloggern ist besonders im Zu- der verbinden. sammenhang mit der Überwachung von Arbeitneh- WLAN-Router sind aber nicht nur Access Points mern bekannt geworden. In modernen Anwen- für die Funknetzverbindung, sondern - quasi zur dungsfällen kommen jedoch keine Hardware-Key- anderen Seite hin - auch vollwertige, mit dem logger zum Einsatz, sondern ihre Software-Va- Netz verkabelte Komponenten. Wer ihn steuert, rianten 29. kann alle Signale, Zugangscodes und Inhalte pro- tokollieren, alle Beteiligten vom WLAN ausschlie- ßen und schließlich auch auf die anderen Netz- A.1 2.4 Telefonanlage, Server komponenten zugreifen. Er hat damit ebenfalls Wegen der Gefahr, die von den direkten Zugang zum Internet per Festnetz. technischen Angriffspunkten Router oder Switche eignen ausgeht, gilt, dass sie umso sich besonders dazu, Daten höher ist, je "intelligenter" die zu protokollieren und das Schnittstelle ist. Das hängt Netzwerk zu stören. Mit ih- von ihrer operativen Leistung nen kann sich der Angreifer (Rechenleistung) und ihrem den Zugang zu allen ange- Speichervolumen ab. schlossenen Geräten ver- Gegenüber den bislang vorgestellten Komponen- schaffen und jedes einzelne ten ist die Telefonanlage ein "Geistesriese", ein von der Netznutzung ausschließen. Computer im Kleinen. Wenn sie eine direkte Ver- Handelt es sich dabei um einen modernen bindung zum PC hat und auf ISDN-Technik beruht, Switch, so enthält er sogar ein abgespecktes, kann sie die interne Steuerung des PCs überneh- aber vollwertiges Betriebssystem, das prinzipiell men, wenn sie entsprechend angeleitet wird. fremde Programme speichern, verwalten und Noch verheerender kann ein ausführen kann. Auch an Speicherplatz fehlt es penetrierter Server wirken. Er ihnen nicht, weil sie auch im Normalbetrieb die ist nicht nur ein vollwertiger durchgeleiteten Daten puffern, also zwischenspei- Computer, sondern häufig chern 30. auch noch ein besonders gut ausgestatteter und leistungs- fähiger, der von den anderen Geräten im Netzwerk als be- 30 Darin unterscheiden sich die aktiven Netzwerkkomponenten von den Medienwandlern, sonders vertrauenswürdig angesehen wird, weil er mit denen z.B. Kupfer- und Glasfaserkabel zentrale Dienste wie z.B. die Verwaltung gemein- miteinander gekoppelt werden können. Diese puffern in aller Regel die verarbeiteten Daten nicht, 28 Siehe CF, Phishing. Keylogger, 2007. so dass Medienwandler gelegentlich zu Nadelöhren 29 Siehe Anmerkungen in der Urfassung. in weit verzweigten Netzen werden können. Dieter Kochheim, Cybercrime - 11 -

A.1 2.6 Telefon Mit ihnen kann er womöglich mehr und ge- fährlichere oder geheime Informationen sammeln, Die Infiltration eines Telefon- als wenn er Schritt für Schritt in ein gut apparates (Endeinrichtung) gesichertes EDV-System eindringen muss. Die mag wenig spektakulär sein. einfachsten Methoden sind manchmal die er- Dennoch kann darüber ein folgreichsten. direkter Kontakt zur EDV- Anlage möglich sein und Für Paranoia sorgt auch eine klassische und ein- deren Penetration. fache Vorstellung: Ein Besucher, Geschäftspart- ner oder Konkurrent kommt in das Unternehmen Telefonapparate sind allerdings in aller Regel nicht und hat seinen Laptop dabei. Sobald er unbeauf- sonderlich "intelligent", so dass die Gestaltungs- sichtigt ist, sucht er ein leeres Büro auf und stöp- freiräume für den Angreifer sehr eingeschränkt selt seinen Laptop in die ungesicherte Netzwerk- sind. dose. Sogleich ist er mit dem Firmennetzwerk Sie bieten aber auch den direkten Zugang zur Te- verbunden und kann schalten und walten. lefonanlage. Kann sie manipuliert werden und hat Moderne Netzwerkkomponenten für den profes- sie direkte Anschlüsse zu den Arbeitsplatzrech- sionellen Einsatz lassen den Zugang solcher nern, kann über sie der direkte Zugang zu deren fremden Geräte nicht zu, weil sie die MAC- Daten, Funktionen und Rechten hergestellt wer- Adresse auslesen 33 und vergleichen. Sie sind da- den. durch aber so "intelligent", dass sie ihrerseits zum Das gilt noch mehr, wenn Voice over IP 31 zum Ein- Angriff reizen. satz kommt. VoIP nutzt für die Sprach- und Daten- Noch einfacher macht man es dem Angreifer, kommunikation dieselben Kabel und Schnittstellen wenn die Mitarbeiter ihre PCs während ihrer Pau- ("Konvergenz") und schafft dann, wenn kosten- sen und Abwesenheiten eingeschaltet lassen und günstige Lösungen per PC verwendet werden, weder Bildschirmschoner noch andere Maßnah- einen direkten Zugang zur Datenverarbeitung 32. men eine Authentifizierung verlangen.

A.1 2.7 Klassiker und Kuckuck A.1 3. Angriffe aus dem Netz Die Darstellung wäre unvoll- Verabschieden wir uns von der Vorstellung, dass ständig, wenn nicht auch Netze nur aus Kabeln bestehen. Die Funk- und zwei geradezu "klassische" Nahfunktechnik werden auf den folgenden Seiten Abhör- und Angriffsmethoden dargestellt. genannt würden. Verabschieden wir uns auch davon, dass die Da- Mit Mikrofonen und Kameras tensicherheit immer auch mit Datennetzen in Ver- können menschliche Hand- bindung steht. Außerhalb unserer Wohnungen, lungen, ihre Sprache und nicht zuletzt ihre Aktivitä- Firmen und Behörden gibt es längst keine Tren- ten am Computer überwacht und "mitgehört" wer- nung mehr zwischen der Daten- und Sprachkom- den. munikation. Sie verwenden dieselben Netze und Nicht selten sind diese Geräte bereits mit dem PC Infrastrukturen. verbaut (Multimedia-PC) und werden für die Inter- net-Telefonie genutzt. Der Angreifer, der die Daten von der Soundkarte mitlesen kann, verfügt damit auch über die ein- und ausgehenden Sprachdaten.

31 WP, Voice over IP - VoIP (IP-Telefonie) 32 Siehe auch CF, Online-Zugriff an der Quelle, 08.11.2008. 33 WP, Media Access Control - MAC Dieter Kochheim, Cybercrime - 12 -

A.1 3.1 Hacking gesonderte Telefonnetz oder, wenn VoIP einge- setzt wird, direkt über die Datenverbindungen zu- Gegenüber technisch-physikalischen Angriffen greifen. haben Angriffe aus dem Netz den Vorteil, dass sie ohne teure Geräte und ohne körperlichen Zugang und Installationen auskommen. Sie nutzen A.1 3.3 aktive Komponenten Schwachstellen und Lücken aus, die die Hersteller von Hard- und Software unbedacht ließen oder die Die aktiven Komponenten wurden bereits im Zu- der Anwender nicht kennt und schließt 34. sammenhang mit den physikalischen Angriffs- punkten angesprochen. Soweit sie der Verbin- Die Angriffe aus dem Netz kennzeichnen das dungsvermittlung dienen, stellen sie keine nen- klassische Hacking. Bei ihm kommt es darauf an, nenswerte Hindernisse für einen Angreifer dar. Hintertüren oder Schwachstellen im Computer Sind sie hingegen mit "Intelligenz" ausgestattet oder EDV-System auszukundschaften und und haben eigene Sicherheitsfunktionen, können schließlich zu missbrauchen, um in sie einzudrin- sie einem Angreifer einerseits den Durchgriff er- gen. Manche Komponenten, insbesondere Netz- schweren. Andererseits liefern sie ihm, wenn sie werkkomponenten eignen sich nur zum Protokollie- vom Hacker übernommen werden können, einen ren und Umleiten der durchgehenden Datenströme komfortablen Vorposten, von dem aus der Daten- oder dienen dem Angreifer als Zwischenschritt zum verkehr überwacht und der nächste Angriffsschritt Erreichen der datenverarbeitenden EDV. durchgeführt werden kann. Router und Switche lassen sich nicht nur mit dem Hacking, sondern auch mit massiven Angriffen überwinden, indem A.1 3.2 Telefonanlage sie mit Datenlast bombardiert und überlastet wer- Seit der Umstellung der Telekommunikationstech- den 36. nik von der analogen zur digitalen Technik verfü- Server sind vollwertige und häufig auch hochwer- gen wir über ein Signalisierungsnetz, das wegen tige Computer. Kann sich ein Angreifer in ihnen seiner Eigenschaften vom öffentlichen Interesse mit Systemverwalterrechten (Administrator, Da- kaum wahrgenommen wird 35. Per ISDN nutzt es tenveränderung) einnisten, steht ihm das lokale den B-Kanal, um Wahlverbindungen herzustellen, Netzwerk offen. Wenn die übrigen Computer im Wähltöne zu übermitteln und Sonderdienste zu Netzwerk unzureichend abgesichert sind, kann er vermitteln (Mehrwertdienste, Auskunftsdienste, auf diese zugreifen. Netzvorwahlen [Call-by-Call]). Das ist prinzipiell auch vermittels eines Netzwerk- Die Telefonanlage ist häufig genug ein "PC im Klei- druckers möglich, der über das Internetprotokoll nem", also "intelligent" in dem Sinne, dass sie elek- in das LAN eingebunden ist 37. tronische Datenverarbeitungen selbständig erledi- gen kann. Je intelligenter unsere Haus-Telefonanlage ist, de- sto prinzipiell gefährlicher ist sie auch für unsere Datenkommunikation. Vielfach ist sie direkt mit den Arbeitsplatzrechnern verbunden. Sie ist eine erhebliche Gefahrenquelle, insbesondere dann, wenn sie günstige Fernverbin- dungstarife selber ermittelt oder die Fernwartung für die Hersteller- oder Vertriebsfirma zulässt. Auf das EDV-System kann sie entweder über das 36 WP, Pufferüberlauf (Buffer overflow) 34 Siehe unten A.3 Malware. 37 Malte Jeschke, Sicherheitslücke Drucker, 35 Siehe CF, TK-Netze, 2007 tecchannel 03.11.2006 Dieter Kochheim, Cybercrime - 13 -

A.1 3.4 internes Modem. Fremdnetzzugang sich Dritte in das Funknetz einschleichen und Kosten verursachen können. Es entwickelte sich Externe und interne Modems eine eigenständige Trittbrettfahrer-Kultur, das , die zum Beispiel zum Fax- Wardriving 40. Die Wardriver durchstöbern empfang verwendet werden, systematisch die Wohn- und Geschäftsgebiete sowie direkte ISDN- auf der Suche nach offen, ungeschützten oder Anschlüsse am PC bieten leicht korrumpierbaren Funknetzen. über die Telefonleitung einen Fremdnetzzugang, der an Die Opfer, die ihr Funknetz ungesichert lassen den übrigen Sicherheitsvor- (genaue Bestimmung der zugangsberechtigten kehrungen vorbei zu einem unmittelbaren Angriff Geräte, Verschlüsselung, Beschränkung der zu- genutzt werden kann. Eine solche Direktverbin- gelassenen Onlinezugriffe), blieben hilflos, weil dung mit dem Telefonnetz und an dem Datennetz sie die Trittbrettfahrer nicht namhaft machen vorbei dürfte die bekannteste Sicherheitslücke konnten, auf ihren Kosten sitzen blieben und eine sein, die für Hacking-Aktionen genutzt werden strafrechtliche Verfolgung ebenfalls nicht statt- kann. fand, weil die missbräuchliche Nutzung unge- schützter Techniken keine Straftat ist. Nur ausnahmsweise kom- men zwei weitere Fremdnetz- Es setzte sich die Erkenntnis durch, dass man zu- verbindungen zur Datenkom- mindest die übermittelten Daten verschlüsseln munikation in Betracht. Das müsse. Der dazu zunächst verwendete Standard, sind z.B. TV-Karten mit ihren WEP 41, erwies sich sehr schnell als unsicher. Mit Anschlüssen für den Fern- den richtigen Programmen ließ er sich binnen we- seh- und Rundfunkempfang. niger Minuten brechen. Erst der neue Standard Die TV-Karte hat eine direkte WPA 42 erwies sich als hinreichend sicher. Verbindung zu den anderen Komponenten des In der Hackergemeinde hat sich zwischenzeitlich Computers, aber nur eine beschränkte "Intelligenz" eine eigenständige Zeichensprache zur Kenn- (hier Kommandosatz), der für einen Angriff miss- zeichnung identifizierter Funknetze etabliert (War- braucht werden könnte. chalking 43), die an die klassischen Gaunerzinken Prinzipiell kommt auch das Stromnetz als Fremd- erinnert 44. netzzugang in Betracht, wenn es auch zur Anliefe- rung von Telekommunikationsdiensten dient. Im Normalfall geht von ihm keine Gefahr aus, weil es A.1 4.1 Wardriving: an einer Schnitt- und Übersetzungsstelle zwischen Eindringen in lokale Funknetze der Stromversorgung und den "intelligenten" Kom- Die marktüblichen Program- ponenten des Computers fehlt. me richten die WLAN- fähigen Geräte so ein, dass sie nach Funknetzen auto- A.1 4. Angriffe auf Funk-Schnittstellen matisch suchen. Sie tragen Erst vor wenigen Jahren sind lokale Funknetze be- damit dem Umstand Rech- kannt und populär geworden (WLAN 39). Sie erspa- nung, dass es viele offene ren die häusliche Verkabelung, lassen sich schnell WLANs gibt, die dazu be- einrichten und arbeiten verlässlich. stimmt sind, z.B. den Kunden eines Hotels oder Alsbald häuften sich die Berichte über teure Tele- 40 fonrechnungen durch Internetnutzung und beson- WP, Wardriving 41 WP, Wired Equivalent Privacy - WEP dere Dienste, so dass auch bekannt wurde, dass 42 WP, Wi-Fi Protected Access - WPA 38 WP, Modem 43 WP, Warchalking 39 WP, Wireless Local Area Network - WLAN 44 Gaunerzinken, Rotwelsch Dieter Kochheim, Cybercrime - 14 -

Restaurants einen komfortablen Zugang zum In- sendet. ternet und zu ihren E-Mails zu geben (Hotspots). Für die Signalübermittlung Diese Anbieter sichern aber in aller Regel ihre ei- auf kurzer Entfernung kann gene EDV dadurch ab, dass sie sie in gesonderten neben der Funk- auch die Netzen betreiben, und beschränken den Inter- Infrarottechnik genutzt wer- netzugriff auf den einfachen Zugang, wobei kos- den. Anstelle der Bluetooth- tenpflichtige Dienste ausgeschlossen sind. Technik kommen auch an- In der Anfangszeit wurden WLAN-Router an Pri- dere Mobilfunktechniken in Betracht wie zum vatkunden so ausgeliefert, dass die Verschlüsse- Beispiel UMTS 46. lung extra eingestellt werden musste. Das hat sich schnell geändert. A.1 5. Angriffe mit Crimeware Über einen ungesicherten WLAN-Router erhält der Angreifer auch den Zugriff auf die Endgeräte, die Unter Crimeware 47 werden alle Programme zu- per Kabel vernetzt sind. Der Zugang zum Internet sammen gefasst, die ausdrücklich dazu bestimmt und dessen missbräuchliche Nutzung ist dann fast sind, kriminellen Zwecken zu dienen. schon unvermeidlich. Die Crimeware wird flankiert von üblichen Netz- werkwerkzeugen, die zumeist nützlich eingesetzt, aber auch missbraucht werden können. Dies gilt A.1 4.2 Nahfunk besonders für das Kommando Ping 48, das von je- Die Reichweite von WLANs ist begrenzt. Sie richtet dem üblichen Betriebssystem geliefert wird und sich auch nach der Bauweise der Gebäude (Beton- zu der Prüfung dient, ob eine Netzverbindung be- decken sind meist undurchdringlich) und dem steht 49. Es kann auch dazu missbraucht werden, Standort des Funk-Routers. aktive IP-Adressen und offene Ports zu erkunden, um diese sodann gezielt anzugreifen. Genauso Daneben gibt es aber auch verschiedene Metho- verhält es sich mit Traceroute 50, das den Weg ei- den des Nahfunks. Ein üblicher Standard ist Blue- nes Datenpakets im Netz protokolliert und damit tooth 45. Mit ihm werden Kopfhörer, Tastaturen und einem Angreifer auch zeigt, welche Stationen sich nicht zuletzt Mobiltelefone mit dem PC oder Laptop für einen Angriff lohnen, um schließlich das Ziel drahtlos verbunden. zu korrumpieren. Ungeachtet dessen, dass die Den Kern der Crimeware stellen Viren, Würmer, biologischen Wirkungen der Trojaner und Keylogger dar ( Malware), die ver- verschiedenen Funkfrequen- schiedene Strategien und Wege der Infiltration zen und -stärken streitig sind, nutzen 51. Während Viren und die Würmer der kann über das Mobiltelefon ersten Generation immer Träger benötigten, also ein fast unbemerkter Kontakt Dateien, in die sie sich eingefügt (Viren) oder an hergestellt und missbraucht die sie sich angehängt haben (Würmer), können werden. Wer achtet schon IP-Würmer der neuen Generation selbständig An- immer auf die verschiedenen Statusanzeigen am unteren Rand seines Laptops? 46 WP, Universal Mobile Telecommunications System Als Kontaktquelle für den Kontakt per Bluetooth - UMTS kommt alles in Betracht, auch das Geschenk eines 47 WP, Crimeware nicht wohlmeinenden Geschäftspartners, in dessen 48 WP, Ping 49 Inneren unerkannt Technik versteckt ist, die ihre Siehe auch CF, Auskunftsdienste im Internet, 06.12.2009. frisch gewonnenen Erkenntnisse über das Innenle- 50 WP, Traceroute ben Ihres Laptops wie ein Mobilfunkgerät weiter 51 Erklärungen für WP, Malware, WP, Adware, WP, Keylogger, WP, Spyware, WP, Trojaner, WP, Viren 45 WP, Bluetooth und WP, Würmer. Dieter Kochheim, Cybercrime - 15 - griffsziele erkunden und attackieren. Trojaner ver- werden können (Pufferüberlauf). stecken sich in anderen Programmen, die dem An- Dem Nachwuchs der Angreifer wird es dadurch wender einen besonderen Nutzwert versprechen leicht gemacht, dass inzwischen regelrechte Bau- und handeln sozusagen im Geheimen. kästen (Toolkits 53) im Umlauf sind, mit denen sich Keylogger und Spyware bezeichnen hingegen die per Mausklick die Malware, ihre Zugangsstrategie Funktionsweise der Malware, aber nicht die Art des und ihre Schadfunktion "zusammenklicken" las- Vorgehens bei der Infiltration. sen (ursprüngliche Bedeutung von Rootkit 54; jetzt: Werkzeugsammlung, mit dem ein kompro- mittiertes System für den künftigen Missbrauch A.1 5.1 Malware präpariert wird). Dazu ist kein besonderes Wissen Zur Abwehr der Malware werden verschiedene mehr nötig. Programme wie Virenscanner und Firewalls sowie ihre ständigen Aktualisierungen angeboten. Sie A.1 5.2 Datenträger, E-Mail bieten einen Grundschutz. Während die Viren- scanner noch vor ein paar Jahren mehr als 90 % Der klassische Datenspei- der Malware auf Anhieb erkannten ist die Erken- cher zum Transport von nungsrate inzwischen auf unter 40 % gesunken. Malware ist die Diskette, die Sie sind nach wie vor nötig, müssen aber um wei- keine Bedeutung mehr hat tere Schutzmaßnahmen ergänzt werden. und von großvolumigen op- tischen (CD, DVD), elektro- Eine wichtige Aufgabe kommt insoweit den Pro- nischen (USB-Stick) und grammherstellern zu, die die in ihren Anwendun- magnetischen Datenträgern gen enthaltenen Sicherheitslücken (Exploits) im- (Wechselfestplatten) abgelöst wurde. Wichtig da- mer schneller erkennen und mit Updates schließen bei ist, dass diese Datenträger entweder zum müssen. Starten des Systems verwendet werden, wozu Ebenso wichtig sind die Maßnahmen, die der An- die Malware in den Bootbereich eingefügt wird, wender und die IT-Organisation durchführen müs- der vom Computer beim Start ausgelesen und sen, in die er eingebunden ist. Dazu gehören vor ausgeführt wird, oder Programme enthält, die der Allem die Rechteverwaltung (keine Programmin- Anwender unbedarft und ungeprüft startet. stallation, beschränkte Schreibrechte) und die kriti- Die zweite wichtige Infiltrati- sche Beobachtung des laufenden Betriebs sowie onsmethode bedient sich der eigenen Handlungen. Trägerdateien, die die Pro- Aber auch die Techniken, die die Malware- grammumgebung ausnut- Programmierer verwenden, sind nicht banal. Sie zen, in der ihr Wirt gestartet nutzen alle Möglichkeiten der Tarnung und Täu- wird. Besonders anfällig da- schung. Dazu wird die Malware nicht nur in die für sind Office Anwendun- Lage versetzt, ihren Namen, ihren Standort und gen wegen Visual Basic for ihre Form zu verändern, sondern vor allem, sich Applications - VBA, andere Formate wie PDF, die über eine Netzverbindung zu erweitern, zu aktuali- Java for Applications benötigen, Internetbrowser, sieren und weiter zu verbreiten (Tarnkappentechnik für Viren, Stealth-Viren 52). 53 Toolkit: "Baukasten" (Werkzeugkasten) zum einfachen Zusammenbau von Programmen mit Die Infiltration erfolgt immer über bekannte oder ausgewählten Funktionen, besonders auch zur noch allgemein unbekannte Sicherheitslücken, Herstellung von Malware; also offene Zugänge oder Verbindungen, die mit Phishing-Tool kreiert neue Betrüger-Sites in Sekunden, tecchannel 12.07.2007; massenhaftem "Datendruck" sturmreif geschossen Trojaner-Basteln für Dummys, Heise online 20.07.2007 52 WP, Stealth-Viren 54 WP, Rootkit Dieter Kochheim, Cybercrime - 16 - die zur Präsentation directX benötigen und an de sein, mit der Angriff ausgeführt wird. Der indivi- erster Stelle E-Mail-Programme, die Dateianhänge duelle Angriff erfolgt nicht wahllos mittels automatisch anzeigen. Die Aufzählung ließe sich Crimeware, sondern erfolgt durch einen Hacker, beliebig fortsetzen. der sich zur Unterstützung der Crimeware bedient. Der Einsatz von breit gestreuter Malware ist eine A.1 5.3 E-Hacking eher junge Erscheinungsform. Die frühen IP-Würmer sind automati- Hacking-Angriffe richteten sich ganz gezielt sche Hacker, die über das gegen staatliche Einrichtungen, Universitäten und Netz Angriffsziele wegen ih- Unternehmen, wobei vor Allem ungeschützte rer Erreichbarkeit und Anfäl- Schnittstellen, verwaiste Netzkomponenten und ligkeit detektieren. Während Fernwartungszugänge kompromittiert wurden, um die anderen Malware- schrittweise immer tiefer in das fremde Netz Programme eine Mitwirkung einzudringen. des Opfers benötigen (In- Einige grundlegende Schutzvorkehrungen für Pri- stallation eines Datenträgers, Ausführen einer Da- vatanwender haben im Laufe der Jahre ihre tei), nutzen sie die fehlende Aufmerksamkeit des Bedeutung erhalten 55. Opfers dadurch aus, dass es die nötigen Abwehr- maßnahmen unterlässt (Hintertüren, offene Sys- teme, unzureichende Firewalls und Virenscanner). A.1 6.1 Sensible Daten Gepaart mit den entsprechenden Schadfunktionen, Arbeiten Sie mit sensiblen Daten, deren unbefug- die z.B. gezielt auf das Homebanking abgestimmt te Kenntnis oder Verwendung Sie oder andere sein können, zeigen sie eine neue Qualität von Ge- schaden können? Solche Daten gehören ver- fährlichkeit, die bislang unbekannt war. Auch im schlüsselt oder auf mobile Datenträger gespei- Zusammenhang mit  Botnetzen spielen sie eine chert, die Sie sicher verwahren müssen. bedeutende Rolle. Das gilt besonders auch für freie Netzspeicher bei Google, gmx oder anderen Anbietern, auf denen A.1 6. Standard-Schutzmaßnahmen Sie Ihre Daten ablegen, um auf sie bei jeder Ge- legenheit zugreifen zu können. Verwenden Sie Im privaten Bereich erfolgen zumeist breitflächige Verschlüsselungen und verzichten Sie darauf, Angriffe mit Crimeware und zwar entweder mit infi- sensible Daten im öffentlichen Netz zu speichern. zierten Webseiten (verstärkt auch in sozialen Netz- werken), die über den Webbrowser in das System eindringen, mit E-Mail-Anhängen, die die Malware A.1 6.2 Kontodaten, TAN enthalten und vereinzelt gegen Netzwerkrouter. Für die Massenerscheinung ist ausschlaggebend, Kontozugangsdaten für Verkaufsplattformen, zum dass sie ungezielt erfolgt und bevorzugt Sicher- Homebanking und ganz besonders die Transakti- heitsmängel in gängigen Betriebssystemen, Brow- onsnummern für das Homebanking gehören nicht sern und Anwenderprogrammen zur Infiltration im Computer gespeichert. Fragt Ihr Browser, ob nutzt. die Zugangsdaten gespeichert werden sollen, was sehr bequem wäre, klicken Sie auf "nein". Die Tendenz geht jedoch dahin, dass die Angriffe Solche Daten verwahren Sie entweder nur in gut immer gezielter gegen Personengruppen mit glei- verschlüsselten Dateien oder notieren Sie auf Pa- chen Interessen und Neigungen, öffentlich bekann- pier, das Sie sicher verwahren. ten oder wohlhabenden Personen sowie zur ge- 55 zielten Spionage gegen Unternehmen und Organi- Der Text ist 2007 geschrieben worden und wirkt deshalb bereits etwas antiquiert. Nur dort, wo er sationen geführt werden. Je gezielter ein Angriff er- überholt oder unvollständig war, habe ich ihn folgt, desto ungewöhnlicher kann auch die Metho- überarbeitet und ergänzt. Dieter Kochheim, Cybercrime - 17 -

Verwenden Sie Kennworte, die Sie sich gut mer- weil alle heute angebotenen verschleißen ken können, aber verwenden Sie dabei auch können. Vermeiden Sie dabei Verschlüsselungen Sonderzeichen und Zahlen! Wählen Sie verschie- und Kompressionen (ZIP), weil sie dene Kennworte für ihre Konten und wechseln Sie möglicherweise nach längerem Zeitablauf nicht die Kennworte in regelmäßigen Abständen. mehr funktionieren, und verwenden Sie marktübliche und gebräuchliche Dateiformate. Misstrauen Sie falschen Freunden und Fremden und geben Ihre Zugangsdaten nur dann preis, wenn Sie dem anderen auch wirklich vertrauen A.1 6.5 Administratorenrechte und die Preisgabe auch erforderlich ist. Arbeiten Sie nur dann als Administrator, wenn Sie wirklich neue Programme installieren wollen oder A.1 6.3 Virenscanner, Firewall Administratorenrechte zwingend erforderlich sind. Wenn möglich, trennen Sie dabei die Verbindung Virenscanner und Firewall gehören zum Basis- zum Internet (was meistens deshalb nicht geht, schutz. Jeder private PC, der an das Internet an- weil die Programme per Download angeboten gebunden ist, muss über sie verfügen, wollen Sie werden). sich nicht dem Vorwurf der Fahrlässigkeit ausset- zen. Die Programme werden häufig von den Her- steller mitgeliefert (seit Windows XP) oder von A.1 6.6 Updates Dritten kostenlos angeboten. Achten Sie auch darauf, dass die Signaturen für den Virenscanner Installieren Sie die vom Hersteller ihres Betriebs- und die Sicherheitseinstellungen regelmäßig ak- systems angeboten Updates (Service Packs von tualisiert werden. Microsoft), weil sie immer Sicherheitslücken schließen, die unmittelbar nach ihrem Erscheinen Auch wenn wegen der Vielzahl der heutigen Mal- von Malware ausgenutzt werden. Fertigen Sie ware die Erkennungsrate der Virenscanner stark jedoch vor der Installation ein Komplett-Backup - zurückgegangen ist, so wehren sie mit ihnen we- man weiß ja nie. nigstens die älteren Varianten ab, die immer noch im Umlauf sein können. Vermeiden Sie jedoch die unüberlegte Aktualisie- rung anderer Programme und neuer Besonders wichtig sind deshalb die Firewalls in "Spielzeuge", die sich Ihnen zum Download an- Verbindung mit Virenscannern geworden. Sie sper- bieten. Neue Versionen können die Leistung Ihres ren Nebenzugänge aus dem Internet, überwachen PCs überfordern und zum Absturz bringen. Pro- online die Aktivitäten, die im Webbrowser und im gramme aus unbekannten Quellen könnten sich E-Mail-Browser ausgeführt werden, und warnen als Spyware oder Trojanische Pferde herausstel- bei ungewöhnlichen Funktionen. Damit lässt sich len. die überwiegende Masse der Angriffe abwehren.

A.1 6.7 Originale A.1 6.4 Datensicherung Verwahren Sie die Datenträger mit Ihren gekauf- Eine regelmäßige Datensicherung ihrer am häu- ten und ständig eingesetzten Programmen an ei- figsten verwendeten Dateien gehört zum Basis- nem Ort auf, wo Sie sie auch wieder finden. Dazu schutz. Kopieren Sie sie auf Wechseldatenträger gehören auch die Passwörter der Hersteller. So oder verwenden Sie ein Backupprogramm. können Sie nach einem fatalen Ausfall alle Pro- Backupdateien gehören auf einen gesonderten Da- gramme wieder herstellen und Ihre Daten weiter tenträger (Wechselfestplatte, CD, DVD). verarbeiten. Wollen Sie Dateien langfristig aufbewahren (z.B. Fotos), müssen Sie die Daten spätestens nach 10 Jahren auf einen anderen Datenträger kopieren, Dieter Kochheim, Cybercrime - 18 -

A.1 6.8 Schnittstellen A.1 6.12 Hotspots. Öffentliche Funknetze Moderne Laptops bringen eine Fülle von physika- Öffentliche Hotspots für den bequemen Zugang lischen Schnittstellen mit. Schalten Sie die WLAN- zu einem WLAN per Laptop sind besonders und Bluetooth-Funktionen ab, wenn Sie sie nicht anfällig dafür, dass der Ihnen unbekannte benötigen. Betreiber oder ein Spion Ihren Datenverkehr mitschneidet oder sogar als Man-in-the-Middle agiert. Verarbeiten Sie vertrauliche Daten per A.1 6.9 Funknetz mobile Computing nur in gesicherten Nutzen Sie alle Sicherheitseinstellungen, die Ihr Verbindungen (Virtual Private Network - VPN - mit WLAN-Router bietet. Verteilen Sie feste IP- Verschlüsselung). Adressen für alle Geräte, die Sie zulassen wollen, und verwenden Sie eine starke Verschlüsselung A.1 7. verschiedene Nutzungen (WPA). A.1 7.1 Renate Mustermann und Otto Normalverbraucher A.1 6.10 Fremdnetze und Angriffspunkte Für "einfache" Privatanwender reichen in aller Betreiben Sie keine ungeschützten Computer in Regel die oben genannten Sicherheitsvorkehrun- ihrem Netzwerk. gen aus. Wichtig dabei ist, dass Sie sich fragen Für kleine private Netze gilt: Geben Sie Ihren PC und bewusst machen, ob Sie mit personenbezo- und ihren Drucker nicht für andere Mitglieder im genen oder sogar sensiblen Daten arbeiten und Netzwerk frei. Wenn Sie sicher gehen wollen, tau- welche Folgen Sie sich ausmalen, wenn diese schen Sie innerhalb der Gruppe die Daten entwe- missbraucht werden. der per Datenträger oder per E-Mail aus (Verrin- Private Netze und Funknetze lassen sich mit ei- gerung des Zeitfensters für eine Penetration). nem angemessenen technischen Aufwand kaum vollständig gegen Angriffe von außen absichern. Sie müssen im Allgemeinen keine Spionage- A.1 6.11 mobiles Computing Hardware und keine Hacker befürchten, die sich Neben Verschleiß und Malware ist Ihr Laptop, das "einfach mal umschauen wollen", wohl aber Mal- Sie mobil einsetzen, zwei weiteren wesentlichen ware und Hacking im Zusammenhang mit Ihren Gefahren ausgesetzt: Diebstahl und unbefugte Kontodaten (Homebanking, eBay, Man-in-the- Nutzung. Middle). Unbefugte Nutzung: Arbeiten Sie in der Öffentlich- Ihre Bemühungen müssen sich deshalb auf Ihr keit niemals als Administrator. Arbeitsgerät, also Ihren PC oder Ihr Laptop kon- zentrieren. Vermeiden Sie deshalb technische Fahren Sie das Gerät vollständig runter, wenn Sie Spielereien in Ihrem Netzwerk, besonders ständig es vorübergehend - auch in beaufsichtigten Räu- erreichbare Netz-Festplatten und Server für die men - unbeobachtet zurück lassen müssen. gemeinsame Dateiablage oder Backups. Ein "Spielkalb" oder böswilliger Mitmensch könnte Besondere Sicherungspflichten für Privatleute ansonsten die viele Jahre lang in der Öffentlichkeit gibt es bislang nicht. Es entwickelt sich allerdings nicht bekannte Festplattenverschlüsselung aktivie- eine Rechtsprechung, die jedenfalls wegen gro- ren und für die Preisgabe des Ihnen dann unbe- ber Fahrlässigkeit Schadenersatzansprüche we- kannten Kennworts eine gewisse Aufwands- gen unerlaubter Handlungen (§ 823 BGB) erwar- entschädigung verlangen. ten lässt. Sichern Sie Ihre wichtigsten Daten auf mobile Ungeachtet dessen vermeiden Sie persönlichen Speicher (USB-Stick oder -Festplatte), die Sie be- Ärger und finanzielle Verluste, wenn Sie Ihrer pri- quem am Körper tragen können. Dieter Kochheim, Cybercrime - 19 - vaten Informationstechnik einen Grundschutz ver- aktualisierte Virenscanner gegen Malware ge- passen. schützt ist. Das gilt besonders für private Funknetze. Der ge- duldete oder unbefugte Missbrauch Ihres Zugangs A.1 7.3 gewerbliche und zum Internet führt zunächst zu Ihnen, weil von professionelle Datenverarbeitung außen nur die IP-Adresse Ihres Routers bekannt wird, mit dem die Verbindung zum Internet Die Geschäftsführer und Vorstände von Kapital- aufgebaut wurde. Wegen Schadenersatzansprü- gesellschaften unterliegen nach US-amerikani- che und strafrechtliche Ermittlungen wird man sich schem und europäischem Gesellschaftsrecht ei- also zuerst an Sie als den Betreiber wenden. ner unmittelbaren Verpflichtung zur IT-Sicherheit. Verstöße und Schluderigkeiten können zu emp- Dasselbe müssen Sie befürchten, dass Ihre per- findlichen persönlichen Schadenersatzpflichten sönlichen Daten von einem Unbekannten zum führen. Beispiel für unlautere Geschäfte bei eBay oder zu volksverhetzenden Präsentationen missbraucht Aber auch die Leitungen und Sicherheitsverant- werden. wortlichen anderer großer Organisationen (z.B. Hochschulen, die als öffentlich-rechtliche Körper- schaften in der Öffentlichkeit agieren) unterliegen A.1 7.2 berufliche und erhöhten Anforderungen aus dem Datenschutz geschäftliche Datenverarbeitung und als Träger privater Geheimnisse. Bei der beruflichen oder geschäftlichen Datenver- Die gewerbliche und professionelle Datenverar- arbeitung unterliegen Sie weiter gehenden Sorg- beitung verlangt deshalb nach einer klaren Strate- faltspflichten als bei der reinen Privatnutzung, weil gie zur IT-Sicherheit, nach geregelten Prozessen Sie Vertraulichkeits-, vertraglichen Partnerschutz-, zum IT-Betrieb und nach einer ständigen Risiko- Datenschutz- und firmenrechtlichen Handlungsan- analyse. Die Einzelheiten ergeben aus dem forderungen unterliegen können. Grundschutzhandbuch des Bundesamts für Si- cherheit in der Informationstechnik - BSI - und Vermeiden Sie deshalb den sorglosen Umgang mit aus der einschlägigen Fachliteratur. ungeschützten Daten und machen Sie gelegentlich eine Risikoanalyse: Wen könnte ich mit der Preis- Wegen der IT-Architektur zeigt die übernächste gabe der bei mir gespeicherten Daten Schaden zu- Seite ein Beispiel, wie mit einer Demilitarisierten fügen und wer könnte ein besonderes Interesse an Zone und dem Einsatz von Firewalls eine Ab- der Erlangung dieser Daten haben? schottung erreicht werden kann. Wenn Sie in Workgroups, also mit mehreren ver- Im Hinblick auf die aufgezeichneten Angriffspunk- netzten Arbeitsplätzen arbeiten müssen, so ver- te und -methoden kommen alle Gefahrenquellen meiden Sie möglichst den Anschluss an das Inter- in Betracht. Malware- und Hacker-Schutz ist da- net und errichten ein Kabelnetzwerk, kein WLAN. bei ein Massengeschäft, der Schutz der eigenen Auch der Aufwand, zwei Netzwerke aufzubauen, Geheimnisse ein weiteres beachtliches Aufgaben- könnte den Aufwand lohnen. In dem einen, isolier- gebiet. Konkurrenten und böswillige Angreifer ten Netz verarbeiten Sie die sensiblen Daten, in könnten alle Register zum Ausforschen und Pe- dem anderen agieren Sie in der Öffentlichkeit. Ver- netrieren bis hin zur Erpressung ziehen und auch meiden Sie dabei aber unbedingt unbedachte vor Spionage- und terroristischen Attacken nicht Schnittstellen, vor allem für die Telekommunikation, zurück schrecken. und Arbeitsplätze, die gleichzeitig mit beiden Net- Das größte Sicherheitsrisiko stellt dabei der zen verbunden sind. Wenn Sie Daten zwischen Mensch dar. Das können uninformierte, unbedarf- beiden Netzen austauschen, verwenden Sie physi- te und bequeme Mitarbeiter sein, die Sicherheits- kalische Datenträger und achten gleichzeitig dar- regeln nicht beachten oder bewusst umgehen, auf, dass auch das isolierte Netz hinreichend durch halbwissende Kollegen, die ihren "Spieltrieb" aus- Dieter Kochheim, Cybercrime - 20 - leben, oder ehemalige Mitarbeiter, die Ihr Wissen teren und besonders restriktiv arbeitenden Fire- zu schädlichen Aktionen ausnutzen. wall getrennt werden (links oben, roter Block, FW2). IT-Sicherheit beschränkt sich dabei nicht auf den Betrieb von Technik. Die Beispiele für das  Social Rechts oben ist im Bild ein sogenannter Honey- Engineering zeigen deutlich, dass auch das soziale pot vorgesehen. Es handelt sich dabei um eine Kommunikationsverhalten – nicht zuletzt mit Kun- Art Hinterzimmer, in dem interessante und in aller den, Partnern und in sozialen Netzwerken, die phy- Regel falsche Daten bereit gehalten werden. Der sikalische Sicherheit (Serverräume, Schließanla- Honeypot ist entweder durch keine Firewall gen, Zugangskontrollen) und das allgemeine Si- geschützt oder durch eine, die verhältnismäßig cherheitsverständnis aller Mitarbeiter gefordert einfach überwunden werden kann. Zu ihm und sind. seinen "Spieldaten" sollen Angreifer gelockt werden, um sie von dem internen LAN abzulenken und bei ihren Handlungen A.1 8. Bestandteile eines professionellen beobachten zu können. Netzwerkes Ich halte das Honeypot-Konzept für eine In dem abschließenden Teil werfen wir einen gro- informationstheoretische Spielerei mit mehreren ben Blick auf die professionelle Organisation von Nachteilen: Es akzeptiert, dass sich Angreifer in IT-Sicherheit. Sie verlangt nach einer klaren physi- der DMZ austoben und die dort vorgehaltenen, kalischen Ordnung, um Quereinstiege und Hinter- keineswegs unwichtigen Daten kompromittieren türen zu vermeiden. können. Dazu vernachlässigt es womöglich den sicheren Betrieb der Firewall "FW1" und verursacht wirtschaftlich fragwürdige Kosten für A.1 8.1 professionelles Firmennetz die Technik und den Betrieb des Honeypots. Ohne eine Firewall am unmittelbaren Netzeingang kommt kein professionelles Netzwerk aus. Erfor- derlich ist eine Hardware-basierende Firewall mit A.1 8.2 Demilitarisierte Zone - DMZ nur einem Eingang und einem Ausgang, die auch In der DMZ werden die Geräte und Dienste instal- nur eine einzige Aufgabe hat: den aus- und vor al- liert, die einen unmittelbaren Außenkontakt lem eingehenden Datenverkehr zu überwachen, zu benötigen. Untereinander werden sie mit einer analysieren, nötigenfalls zu blockieren und ganz (intelligenten) aktiven Netzwerkkomponente besonders alle Anstrengungen von außen zu un- verbunden, einem Switch (oranger Block, Sw). Im terbinden, protokollierend oder steuernd auf das Gegensatz zu "dummen Datenpumpen" (z.B. Innere des Unternehmens Einfluss zu nehmen (im einem Hub) kann der Switch Datenverbindungen Schaubild: links oben, roter Block, FW1). zielgerichtet lenken und zum Beispiel einem Im Hinblick darauf, dass immer mehr Dienste mit Hacker, der die Eingangs-Firewall überwunden einem unmittelbaren Außenkontakt für E-Mail oder hat (FW1), schwer behindern. die Unternehmenspräsentation gefordert werden In die DMZ gehört auf jeden Fall der Webserver (Internet-Shopping, eGovernment), müssen (gelber Block, WS), auf den die Kunden und die Firewalls in einem gewissen Maße Außenkontakte Öffentlichkeit zugreifen können. Je nach Bedarf zulassen. Es hat sich deshalb in der Praxis mehr muss ihm auch ein Datenbankserver zur Seite und mehr durchgesetzt, dass vor der eigentlichen gestellt werden, der jedenfalls einen Teil der (produktiven) Unternehmens-IT eine besonders Unternehmensdaten enthält, die der Öffentlichkeit geschützte Zone errichtet wird, die nur für die zugänglich gemacht werden sollen. Außenkontakte bestimmt ist (demilitarisierte Zone - Im Beispiel ist auch der Mailserver in der DMZ DMZ; hellblau unterlegter Bereich). platziert worden (gelber Block, MS). Seine Sie muss von der Unternehmens-IT mit einer wei- Aufgaben können jedoch auch getrennt werden. Dieter Kochheim, Cybercrime - 21 -

Dann werden nur die Funktionalitäten zum E-Mail- eingerichtet wird (rosa Block, T). Auch insoweit Versand in der DMZ vorgehalten, die Verwaltung kann es sich anbieten, nur die Vermittlungsfunk- der Postfächer für die Unternehmensangehörigen tionen in die DMZ zu verlegen, die Verwaltung der wird dazu in den geschützten Bereich verlagert, eingehenden Faxe und Sprachnachrichten hinge- also ins Unternehmensinnere. gen in den geschützten inneren Bereich des Un- ternehmens. Die Entscheidung über die Architektur hängt ab von einer Abwägung zwischen den Risiken und den Kosten. A.1 8.3 internes LAN Im Beispiel ist auch der Proxy-Server (hellblauer Die innere Firewall (FW2) muss so eingerichtet Block, PS) in der DMZ. er verwaltet den Zugang werden, dass sie wirklich nur die nötigsten Daten- der Mitarbeiter zum Internet und zwischenspeichert verbindungen zulässt. die Inhalte aus dem Internet. Auch seine Aufgaben können gesplittet werden. Dann dient er in der Alle Daten, die schutzwürdig sind, gehören in den DMZ nur als Zwischenspeicher (Cache) und wird inneren, besonders geschützten Bereich. Das die Benutzerverwaltung im geschützten sind vor allem die Datenbanken und Dokumen- Unternehmensinneren geleistet. tensammlungen (gelbe Blöcke, DB und FS [File- server]) sowie die Ausfall- und Datensicherungs- Aufgrund einer Risiko- und Wirtschaftlichkeitsun- komponenten (gelber Block, BS [Backup]). tersuchung muss auch entschieden werden, wo und wie der Server für die Telekommunikation Diese technischen Einrichtungen gehören auch Dieter Kochheim, Cybercrime - 22 - nicht in irgendeine Abstellkammer, sondern in falschen Informationen zu beobachten, muss an- einen zugangsgesicherten Serverraum mit einer hand der besonderen Bedürfnisse der Organisati- Klimaanlage, mit einer unabhängigen Stromver- on entschieden werden. Im Allgemeinen dürfte sorgung - USV - und einer Zugangssicherung. Sie der Honeypot nicht erforderlich und wirtschaftlich sind das Herzstück des Unternehmens (grün un- ineffektiv sein. terlegter Bereich). Ausfallsysteme und das Archiv für die Datensi- A.1 8.5 Sicherheitskultur und Akzeptanz cherungsspeicher gehören in einen räumlich weit getrennten Serverraum. Die beste Ausstattung für Das sicherste IT-System ist das, das den IT- die Daten- und Ausfallsicherung nützt nichts, wenn Verantwortlichen den höchsten Grad an Kontrolle ein Feuer oder ein brutaler Angriff beide auf einen und den Mitarbeitern die geringste Möglichkeit zur Schlag vernichten kann. Manipulation lässt. Das gilt nicht nur wegen mut- williger Provokationen der Mitarbeiter, sondern vor allem deshalb, damit Malware und Hacker A.1 8.4 Sicherheitsüberwachung nicht die Systemrechte der Mitarbeiter für ihre Missbräuche ausnutzen können. Neben der Sicherheits- und Firewalltechnik, allge- mein zusammengefasst unter "Security", haben Sicherheitsbewusste IT-Organisationen neigen sich mehrere Modelle und Strategien etabliert, die dazu, ihre eigenen Sicherheitsinteressen in den sich der aktiven Sicherheitsüberwachung widmen. Vordergrund zu stellen und gleichzeitig die Si- cherheitsinteressen anderer zu ignorieren. Der Grundgedanke dafür ist, dass allein nur die Reaktion auf Sicherheitsgefahren nicht ausreicht, eBay ist ein Beispiel dafür, das mir besonders sondern dass Sicherheitsstrategien entwickelt wer- aufgefallen ist und deshalb hervorgehoben wird. den müssen, die vorausschauend sind und die Dieses Unternehmen gibt umfassende Informatio- noch unbekannte Quellen für Beeinträchtigungen nen an Strafverfolgungsbehörden, wenn sie sich schließen oder zumindest überwachen, um gefähr- eBay öffnen. Das widerspricht aber der Sicher- liche Ereignisse und Allgemeinumstände zu mel- heitsphilosophie der Polizei und der Staatsanwalt- den. schaft, die gerne auch ihre eigenen IT-Systeme schützen wollen 56. Die Palette dieser Maßnahmen reicht von der Ser- verraumüberwachung (Rauchmelder, Temperatur, Eine Sicherheitskultur nach dem Grundsatz, "ich Bewegungsmelder) über die Betriebsbereitschaft akzeptiere Deine Sicherheitsinteressen und Du (Auslastung, Defekte) und die Netzverfügbarkeit meine", ist noch nicht hinreichend verbreitet. bis hin zu Umweltmeldungen (Hochwasser- und Eine strikte IT-Organisation neigt zum Totalitaris- Unwettermeldungen). mus. Sie bevormundet die Anwender (zu Recht?), Für den IT-internen Bereich wurden verschiedene ist konservativ in dem Sinne, dass alle Neuerun- Techniken und Strategien entwickelt, um Angriffe gen das funktionierende System beeinträchtigen und zufällige Belastungen zu erkennen und abzu- könnten, und will die totale Kontrolle der Technik wehren. An erster Stelle sind dazu die Methoden und ihrer Anwendung erreichen. zur Intrusion Detection zu nennen, die sich der Solange Unternehmen und Behörden die IT- Erkennung, Beobachtung und Abwehr von Organisation und ihre Ausrichtung nicht zu ihrem Angriffen widmen. Sie benötigen eine ausgefeilte bestimmenden Unternehmensziel machen, wer- und teure Technik, haben aber zwei Zielrichtungen. den sie die unternehmenspsychologischen und Die Erkennung von Angriffen gegen das IT-System wirtschaftlichen Dimensionen nicht begreifen. Die ist wirtschaftlich notwendig (auch wegen der damit Informationstechnik hat in den letzten beiden verbundenen Personalkosten). Ob es dazu auch Jahrzehnten heftig dazu beigetragen, Arbeitsab- eines Honeypots bedarf, um einen Angreifer in ei- 56 Siehe auch CF, Overlay-Netze der öffentlichen ner geschützten Umgebung mit banalen oder Verwaltung, 2008 Dieter Kochheim, Cybercrime - 23 - läufe zu optimieren und die Produktivität zu erhö- hen. Sie war willkommen, um wirtschaftliche Kennzahlen zu erreichen. Das hat sie getan. Jetzt ist eine Umbruchsituation erreicht. Ohne IT können große (und ganz viele kleine) Organisa- tionen nicht mehr handeln und wirtschaftlich tätig werden. Dadurch werden die Folgekosten interessant. Die Unternehmens-IT muss jetzt transparent und gestaltbar werden. Sie muss sich wandelnden Un- ternehmenszielen (Enterprise-Management) und den internen Unternehmensprozessen öffnen. Die Unternehmensleitung und die Mitarbeiterver- tretung haben gemeinsame, aber auch elementar entgegengesetzte Interessen. Beide gilt es, auch im Hinblick auf die IT, zu bedienen und zu sichern. Die Arbeitnehmerinteressen spielen für die Strate- gien zur IT-Sicherheit bislang keine Rolle. Das wird sich ändern müssen. Aber auch die Unter- nehmensleitungen werden im Hinblick auf ihre Unternehmensziele neue Perspektiven entwickeln müssen Je weniger Einfluss die Mitarbeiter auf ihre Arbeits- umgebungen haben, desto größer sind die Mög- lichkeiten ihrer Unternehmensleitung, Arbeits- und Leistungskontrolle auszuüben (Big Brother). Je mehr die Unternehmensleitung die Gestaltungs- und Zugriffsmöglichkeiten ihrer Mitarbeiter ein- schränkt, desto weniger Ideen, Innovationen und Genialitäten kommen ihr zu Gute. Gleichzeitig sinkt die Arbeitszufriedenheit. Die Ära der Kostensenkung ist vorbei. Künftig ist es erforderlich, einen vernünftigen Ausgleich zwi- schen Unternehmensgewinnen, Arbeitnehmerin- teressen und (neu) der IT-Sicherheit zu erlangen. Dieter Kochheim, Cybercrime - 24 -

A.2 Nummerntricks Nummer Beschreibung Adressenschwindel bei Telefondiensten 110 Betreiberkennzahlen 62 und im Internet 57 115 Einheitlicher Behördenruf Die ersten Erscheinungsformen der Cybercrime im 116 Harmonisierte Dienste von sozialem Wert Zusammenhang mit der Digitalisierung der Tele- (kostenlos) 58 kommunikation und der breiten privaten Nutzung 118 Auskunftsdienste des Internets konnten durch regulatorische, also 12 Kurzwahl- und Neuartige Dienste durch gesetzliche Maßnahmen beschränkt werden. (innovative Dienste) Das betrifft vor allem den schrankenlosen Miss- 137 Massenverkehr zu bestimmten Zielen: brauch von Mehrwertdiensterufnummern aus dem MABEZ (z.B. für das Televoting) 190-0-Rufnummernkreis, Dialer und die nur verhal- 180 Geteilte Kosten (Shared Cost-Dienst - SC) ten aufgetretenen Probleme im Zusammenhang 181 internat. Direktverbindungen; mit kostenpflichtigen Rückrufen. Für alle drei Er- Internationale Virtuelle Private Netze scheinungsformen aus dem zurückliegenden und 191 - 194 Online-Dienste angehenden Jahrhunderten gilt, dass sie zurück- gedrängt und erschwert wurden. Sie können in 32 Nationale Teilnehmerrufnummern neuer Form wieder in Erscheinung treten, so dass 700 Persönliche Rufnummern sie in Erinnerung bleiben sollten. 800 Entgeltfreie Telefondienste Dieser Aufsatz widmet sich besonders den Adress- 900 Mehrwertdienste; Premium-Dienste systemen der Telekommunikation und des Inter- 9009 Anwählprogramme (Dialer), R-Gespräche, nets 59 unter dem Gesichtspunkt der Adressenma- Premium-SMS nipulation. Die Einführung von Mehrwertdiensten ermöglichte ihre kriminellen Aktivitäten und nutzen vermehrt es, unmittelbar über die Abrechnungen der An- die Methoden der heimlichen Geldwäsche als die schlussnetzbetreiber zu Geld zu kommen, ohne des bargeldlosen Zahlungsverkehrs, der von Auf- komplizierte Verwertungsmaßnahmen durchführen sichtseinrichtungen beobachtet wird und staatli- zu müssen, die wir vom klassischen Phishing 60 chen Regulierungen unterworfen werden kann. kennen: Ausspähen, Kontomissbrauch, Beutesi- cherung mit Finanzagenten. A.2 1. intelligente Nummernverwaltung Bei den neuen Formen der Cybercrime 61 ist zu be- obachten, dass sie sich immer schneller wandeln Die analoge Telefonie ist ein technisches Verbin- und neu geschaffene Abwehrmethoden unterlau- dungssystem, das sich auf die Schaltung von Ein- fen. Sie scheinen aus der Lernfähigkeit des Ge- zelverbindungen in einem Netz beschränkt. Es setzgebers ihrerseits gelernt zu haben, verdecken kennt nur wenige Sondernummern wie die Notru- fe 110 und 112, die in allen Ortsnetzen reserviert 57 Dieser Aufsatz vom 21.11.2008 führt einen Beitrag werden mussten. Abrechnungssysteme für aus dem EDV-Workshop aus dem Jahr 2003 fort, Fremddienste, Rufnummernmitnahmen und be- aus dem einige der Beispiele stammen. Der Text sondere Dienste (siehe Tabelle oben) ließen sich wurde vollständig neu gefasst. Einzelne Passagen sind bereits an anderer Stelle im Cyberfahnder damit nicht realisieren. erschienen und werden hier zusammen gefasst. Die moderne Telekommunikation beruht auf intel- 58 Siehe auch: CF, Führung Cybercrime, 07.08.2008 und CF, Formen der IT-Kriminalität, 2007. ligenten digitalen Netzen, die eine differenzierte 59 Vertiefend zum Internet: Nummernverwaltung zulassen. Digitale Netze CF, internationale Kabel und Netze, 2007, sind erst aufgrund des internationalen Standards CF, autonome Systeme und Tiers, 2007, CF, Namensauflösung im DNS, 2007. 62 Die Bundesnetzagentur hat ihren Webauftritt 60 CF, Phishing mit Homebanking-Malware, 22.10.2008 umgestellt, so dass die ursprünglich gesetzten 61 CF, Cybercrime und IT-Strafrecht, 08.08.2008 Links nicht mehr zutreffen. Dieter Kochheim, Cybercrime - 25 -

für ISDN 63 möglich, worauf die Deutsche Telekom klassischen, analogen Telefonie 68 seit 1989 ihr Telefonnetz umgerüstet hat. Vor allem Sondernummern und -dienste anzusteuern und zur breitbandigen Netzverbindung 64 wird ISDN seit abzurechnen. Dazu verlangt der ISDN-Standard, den neunziger Jahren zusammen mit den DSL- dass neben dem Sprachnetz, das für die Standards 65 betrieben, die besondere Anforderun- Übertragung von Sprache und Daten verwendet gen an die Leistungsfähigkeit der Verbindungsnet- wird, ein Signalisierungsnetz 69 besteht, das für ze stellen 66. den Verbindungsaufbau und ihren Bestand zuständig ist 70. Intelligente Netze 67 benötigen zu ihrem Betrieb und ihrer Steuerung einer zentralen Daten- und Die Tabelle (Vorseite) zeigt die wichtigsten Ruf- Nummernverwaltung, die es ermöglicht, unabhän- nummernblöcke, die für besondere und Premium- gig von dem mechanischen Nummernsystem der Dienste reserviert sind (Nummernverwaltung 71). Für die digitalen Anschluss- und Verbindungsnet- 63 WP, Integrated Services Digital Network - ISDN ze gilt, dass sie konvergent sind, also für die 64 Siehe CF, Netzneutralität und Breitbandtechnik, Sprach- und Datendienste gleichermaßen genutzt 08.12.2007, und CF, kollabiert das Internet? 13.09.2008. 65 WP, Digital Subscriber Line – DSL, siehe auch CF, 68 DSL-Versorgung in Deutschland, 08.12.2007. WP, Telefonnetz 69 66 CF, Backbone der DTAG, 08.12.2007, CF, TK-Netze, WP, Signalisierungsnetz 2007, CF, Roaming im Verbindungsnetz, 23.08.2008. 70 WP, Festnetz-Struktur 67 WP, Intelligentes Netz, CF, TK-Netze, 2007. 71 BNA, Nummernverwaltung Dieter Kochheim, Cybercrime - 26 - werden können (Netzkonvergenz 72). Für die wird, kostenpflichtige Warteschleifen, Schlecht- Adressierung und Übertragung werden nur ver- leistung und untergeschobene Dialer. schiedene Protokolle und Standards verwendet, In der Anfangszeit der Mehrwertdienste kamen die dieselbe physikalische Netzstruktur verwenden. den Abzockern mehrere Mängel des Systems zu Durch die Internettelefonie 73 (Voice over IP – VoIP Gute: Jedenfalls der 190-0-Nummernkreis war 74) ist selbst die protokollarische Trennung aufge- wegen der Verbindungskosten nicht gedeckelt hoben worden. und es gab lediglich ein Verzeichnis - bei der da- mals noch: Regulierungsbehörde für Telekommu- nikation und Post - RegTP - über die Carrier, de- A.2 2. 1900-Nummern. Abrechnung. Missbrauch nen Teile aus dem Rufnummern-Block zugewie- Bis 2003 erregten die Mehrwertdienstenummer sen waren. Die Carrier hingegen bedienten sich 190 und die Dialer eine besondere Aufmerksam- bei dem Vertrieb der Anschlussnummern Resel- keit, weil sie häufig zu Missbräuchen genutzt wur- lern 76, die ihrerseits Unterhändler beauftragten den. und diese wiederum andere. Durch eine lange Das Besondere an der 190-0-Nummer war, dass Kette solcher Unterhändler, die nicht selten ins diese Anschlüsse frei tarifierbar waren. Das heißt, Ausland reichte, konnte die Identität eines miss- dass der Anschlussinhaber mit seinem Netzbetrei- bräuchlich handelnden Anschlussinhabers voll- ber die Höhe der Verbindungskosten vereinbaren ständig verschleiert werden. konnte. Meldungen über horrende Kosten für eine Auch die Verteilung der Premium Rate-Gebühren einmalige Einwahl oder für Zeitblöcke waren an ließ sich nicht immer leicht verfolgen. Ihre Abrech- der Tagesordnung. nung und ihr Einzug ist die Aufgabe des Zugangs- Möglich machte das die Einführung von Premium netzbetreibers (Carrier) gegenüber seinem Kun- Rate-Diensten, die zwei Gebührenanteile enthal- den (Anschlussinhaber). Dabei erfolgt die Abrech- ten, einen für die Netzverbindung, der für die Netz- nung automatisch während der Verbindung auf- betreiber bestimmt ist, und einen mehr oder weni- grund einer Rückmeldung des Inhabers des Ruf- ger großen, der an den Anschlussinhaber abge- nummernblocks, wobei es sich um einige wenige führt wird. Carrier handelt, und der Zeittaktabrechnung des Anschlussnetzbetreibers, der die Gebühren ge- Der Zweck der Mehrwertdienste besteht darin, die genüber seinen Kunden abrechnet (die Anrufer). Telekommunikation zur Verbreitung und Abrech- nung von Dienstleistungen zu nutzen und dem Die Einnahmen mit Ausnahme des Anteils für die Dienstleistenden die Identifikation des Anrufers zu Verbindung führen die Anschlussnetzbetreiber an ersparen, indem die Abrechnung durch den An- die anderen großen Carrier ab und diese, nach schlussnetzbetreiber erfolgt. Gedacht war an Bera- Abzug ihres Anteils, an die Inkassostellen der Re- tungsdienste (Rechtsanwälte, Lebenshilfe, Aus- seller. Dadurch entstanden Verwertungsketten, künfte, Testergebnisse) und zum Beispiel an die die denen der Unterhändler-Ketten entsprachen kostenpflichtigen Downloads zur Verbreitung von und die sich ebenfalls nicht selten im fernen Aus- Dateien, Musik und Programmen. Bekannt wurden land "verliefen". sie jedoch eher durch die instinktorientierten Ange- bote 75 werbender Damen. Die Missbräuche von Premium Rate-Diensten er- folgten auf verschiedene Weisen: Täuschung über die Tatsache, dass ein solcher Dienst angerufen

72 CF, Netzkonvergenz, 12.02.2008 73 CF, Abgrenzungen, 2007 74 CF, Formen der Quellenüberwachung, 08.11.2008 75 CF, instinktorientierte Online-Angebote, 23.01.2008 76 WP, Wiederverkäufer Dieter Kochheim, Cybercrime - 27 -

A.2 3. Dialer Missbräuchen weitgehend der Boden entzogen, indem die Bundesnetzagentur - BNA - mit der Re- Dialer sind Einwahlprogramme, mit deren Hilfe gulierung beauftragt wurde. Sie richtete drei Da- über das analoge Telefon- oder das ISDN-Netz tenbanken für die Registrierung von 900er- und eine Wählverbindung zum Internet oder anderen 190er-Anschlüssen sowie für Dialer ein 81. Ohne Computernetzwerken aufgebaut werden kann 77. Registrierung können seither weder die Kosten Nach dieser allgemeinen Definition sind sie ein für die Mehrwertdienstnummern noch für Dialer, Hilfsmittel zur Unterstützung des Anwenders dabei, jedenfalls im gerichtlichen Verfahren, geltend ge- seinen PC in ein Netzwerk einzubinden oder inter- macht werden. Die Praxis zeigt, dass die BNA netfähig zu machen. zwar so gut wie keine Kontrolle bei der Eintra- Die Kehrseite davon: Dialer sind auch in der Lage, gung ausübt, aber sehr schnell dabei ist, auffälli- neben bestehenden Netzwerkverbindungen solche ge Anbieter wieder zu löschen. zu anderen Zugangsprovidern einzurichten oder Gleichzeitig wurden die Belehrungspflichten ver- die Grundeinstellungen zu überschreiben. schärft und die Kosten gedeckelt. Seit 2006 kön- Missbräuchlich (bis etwa 2003) eingesetzte Dialer nen die 190-Nummern nicht mehr eingesetzt wer- funktionierten so, wie wir es heute von der Malwa- den. In der Übergangszeit waren sie dadurch pri- re gewohnt sind, nur dass sie noch keinen modula- vilegiert, dass in der Datenbank bei der BNA nicht ren Aufbau kannten 78. Zunächst mussten die Hem- die Anschlussinhaber, sondern die Anschluss- mungen des Anwenders überwunden oder das netzbetreiber eingetragen waren. Dialerprogramm verdeckt installiert werden. Laute- Dialer sind seither fast ganz vom Markt ver- re Installationsprogramme geben dabei klar be- schwunden, aber ganz maßgeblich aus einem an- kannt, welches die Auswirkungen ihres Einsatzes deren Grund: Unter DSL funktionieren sie nur sind und vor allem, welche Kosten dadurch entste- dann, wenn der PC neben einer DSL-Verbindung hen. Unlautere verschweigen das und versuchen, auch über einen Anschluss zum Telefonnetz ver- ihre Konfiguration an die Stelle der Standardein- fügt. Das ist nur noch selten der Fall, etwa dann, stellungen zu setzen. Es gab Meldungen, wonach wenn der PC auch für den Versand und den Emp- Dialer nach der Art der Trojaner mit anderen Pro- fang von Faxschreiben über das Telefonnetz ge- grammen installiert wurden und dass sie sogar ihre nutzt wird. Gestalt wechseln konnten: Ihre spätere Analyse zeigte, dass sie sich offen zu erkennen gaben, was sie bei der Erstinstallation tatsächlich nicht taten. A.2 3.2 rechtliche Handhabung Die seinerzeit von mir im Gespräch mit anderen A.2 3.1 wider dem Missbrauch Kollegen entwickelte Handhabung und strafrecht- liche Beurteilung der verschiedenen Dialer- Die Mängel im technischen System und seiner Or- Formen hat sich auch aus heutiger Sicht nicht ge- ganisation, die im Zusammenhang mit den Mehr- ändert und kann auf Mehrwertdienste aus dem wertdiensten angesprochen wurden, kamen auch 900er-Nummernblock übertragen werden: den Dialern zu Gute, die in aller Regel mit einem Premium Rate-Dienst gekoppelt wurden 79.  Erklärt die Menü- und Programmführung bei der Installation alle Funktionsweisen offen und Dank des Gesetzes gegen den Missbrauch von deutlich - dass eine neue DFÜ-Netzwerkver- Mehrwertdiensten aus dem April 2003 80 wurde den bindung erzeugt oder eine bestehende über- schrieben wird, dass alle künftigen Verbindungen 77 WP, Dialer über die 900er Nummer abgewickelt werden - 78 CF, Malware. Tarnung und Täuschung, 12.05.2008; CF, strafbare Vorbereitungshandlungen, 2007 und muss der Kunde die Installation bewusst mit 79 CF, IT-Straftaten: Mehrwertdienste. Dialer, 2007 80 Gesetz zur Bekämpfung des Missbrauchs von 09.08.2003 0190er-/0900er-Mehrwertdiensterufnummern, 81 BNA, Dialerdatenbank; BNA, 0900-Datenbank Dieter Kochheim, Cybercrime - 28 - einem Klick bestätigen, dann liegt gar keine Straf- 13a. § 66a S. 1, 2, 6, unrichtige Preisangabe barkeit vor. 7 oder 8  Werden Teile der Funktionsweise weniger offen 13b. § 66a S. 3 zu kurze Preisangabe erläutert - also etwa der Umstand, dass künftig alle 13c. § 66a S. 4 unrichtige Hinweise Internetverbindungen mit der teuren Nummer ab- 13d. § 66b Abs. 1 S. 1 unrichtige Preisansage gewickelt werden oder dass bereits die einmalige 13e. § 66c Abs. 1 S. 1 unvollständige Preisanzeige Verbindungsaufnahme zu unerwarteten Kosten in 13f. § 66d Abs. 1 Überschreitung der Höhe von mehreren 100 € führt, dann kommt in oder 2 Preisgrenze Anlehnung an die Rechtsprechung zum Offerten- 13g. § 66e Abs. 1 S. 1 verspätete 82 betrug § 263 StGB in Betracht (die Vermö- Verbindungstrennung gensverfügung besteht in der unüberlegten, auf ei- 13h. § 66f Abs. 1 S. 1 Einsatz unregistrierter ner Täuschung beruhenden Installation des Pro- Dialer gramms; sie verwirklicht sich bei den künftigen, 13i. § 66i Abs. 1 S. 2 Gespräch als kostenauslösenden Einwahlen). Mehrwertdienst  Werden Teile der Funktionsweise verschwiegen 13j. § 66j Abs. 1 S. 1 unzulässiger Einsatz von und erfolgt eine teilweise Installation ohne Kennt- oder 3 Kurzwahlen nis des Anwenders, so dürfte das eine Datenverän- derung i.S.v. § 303a StGB sein (Veränderung der stellte Forderungen erheben kann (§ 45h Abs. 3 DFÜ-Verbindung oder - ganz gemein - der Regis- TKG). try-Eintragungen). Wird die DFÜ-Verbindung zum Der Nummerierung widmen sich jetzt die §§ 66 ff. teuren Anschluss unbewusst vom Anwender her- TKG. Als Reaktion auf frühere Abzockereien sind gestellt, so dürfte § 263a StGB zum Tragen kom- eine Reihe von Verstößen bereits als Ordnungs- men. Die heimliche Installation stellt dann den Be- widrigkeiten nach § 149 TKG verfolgbar (siehe ginn des Versuchsstadium dar. Tabelle oben). Die BNA als Verwaltungsbehörde  Wird das Programm insgesamt heimlich oder kann sie mit einer Geldbuße bis zu 100.000 € sogar gegen den ausdrücklichen Willen des An- ahnden. wenders gestartet (deaktivierter "Abbrechen"-But- Auch in das neue Hackerstrafrecht 83 sind jeden- ton), handelt es sich ebenfalls um eine Datenver- falls insoweit Schlussfolgerungen aus den frühe- änderung in Tateinheit mit versuchtem Computer- ren Missbräuchen eingeflossen, dass erhebliche betrug. Die Abgrenzung zwischen Vorbereitungs- Formen der Computersabotage - auch gegen Pri- handlung und Versuch muss im Einzelfall geklärt vatleute - nach § 303b StGB strafbar sind. werden. Die Tat wird bei der nächsten Internetver- bindung vollendet. Zuletzt per 01.09.2007 sind weitere Änderungen im TKG vorgenommen worden 84, die besonders die Kostenklarheit und -begrenzung zum Gegen- A.2 4. Regelungen im TKG stand haben. Die Abrechnungsmodalitäten sind jetzt in den §§ 45g, 45h TKG geregelt. Danach sind die Zugangs- netzbetreiber weiterhin verpflichtet, die Forderun- gen Dritter (aus Premium Rate-Diensten) in Rech- nung zu stellen. Dabei müssen die Dritten ein- schließlich ihrer Kontaktdaten und kostenfreien Servicenummern genau bezeichnet und der Kunde darüber belehrt werden, dass er begründete Ein- wendungen gegen einzelne in der Rechnung ge- 83 CF, Computersabotage, 2007 84 CF, mehr Preisangaben bei TK-Diensten, 82 CF, Offertenbetrug, 02.08.2008 28.08.2007 Dieter Kochheim, Cybercrime - 29 -

Die Telefongesellschaft Prompt hat den Rückruf als lefon an, die schließlich mit Kosten von rund 440 neue Einnahmequelle erschlossen. Für einen Anruf Euro zu Buche schlugen. beim Kunden kassiert der Anbieter 0190-Gebühren. Der Ablauf ist einfach: Der Kunde ruft eine kostenfreie Derartige Fälle werden jetzt von § 66i TKG unter- 0800-Rufnummer an und gibt dort die Nummer des bunden. Anschlusses an, auf dem er einen Rückruf wünscht. Anschließend erfolgt ein Anruf von Prompt - zu 0190- Konditionen. Den Posten findet der Angerufene an- A.2 6.1 Rückruftrick schließend auf der Telefonrechnung mit dem Stichwort TeleInternet Services ... Die erfolgreiche Regulierung hat die extremen Eines der ersten entsprechenden Angebote, 'Recall Di- Auswüchse verschwinden lassen. Missbräuche rect' der Firma EST24, ging im Juli in Betrieb. Nach von Mehrwertdiensten werden dadurch aber nicht Angaben der Firma handelte es sich nur um einen völlig verhindert. Testlauf, allerdings tauchten die entsprechenden Pos- ten bereits auf Telefonrechnungen von Kunden auf. Eine besonders dreiste Form des Rückruftricks Bei EST24 konnte man während des Tests von jedem beliebigen deutschen Anschluss aus anrufen, sogar wurde 2002 publik und kann sich jederzeit wie- 87 vom Handy. Der Anrufer erhielt eine Ansage mit dem derholen . Von den kostenpflichtigen Rückrufen Hinweis, dass der Rückruf kostenpflichtig sein werde unterscheidet sich diese Fallgruppe dadurch, und der Aufforderung, die gewünschte Telefonnummer dass der Anrufer zu einem eigenen Handeln auf- im Festnetz einzutippen. An dieser Stelle nannte der Anbieter einen Minutenpreis von 1,99 Euro. gerufen wird. Urs Mansmann in c't 10/02, S. 94 Der Inhaber von mehreren Mehrwertdienstenum- mern startete auf seinem Computer ein Pro- gramm, das den D1-Nummernkreis systematisch A.2 5. kostenpflichtige Rückrufe anwählte und die Verbindung sofort wieder unter- 2002 tauchten einige wenige Meldungen über brach. Das reicht aber für die Meldung "Anruf in Missbräuche im Zusammenhang mit einem seiner- Abwesenheit" auf dem Handy. Nur wenige der zeit neuen technischen Dienst auf, bei dem die Empfänger wählten den Anrufer an und bekamen Verbindungs- und Dienstleistungsentgelte nicht das Freizeichen zu hören, so als wenn keine Ver- dem Anrufer, sondern dem Angerufenen belastet bindung zustande gekommen wäre. Das Freizei- 85 wurden (R-Gespräche; siehe Zitat oben). chen stammte jedoch vom Tonband und der Ge- Der mögliche Missbrauch dieser technischen Ab- bührenzähler lief. Sehr lukrativ. Der Täter wurde rechnungsumleitung musste besonders jene vor- sichtigen Mitmenschen schrecken, die bei ihrem Anschlussnetzbetreiber die Sperrung von Premium Rate-Nummern beantragt hatten. Das verhinderte aber nur die unbedachte Anwahl einer teuren An- schlussnummer, nicht aber den Anruf von einer solchen. Der einzige mir in Erinnerung gebliebene Miss- brauchsfall wurde ebenfalls von Mansmann in der c't berichtet 86, indem er ein Behindertenwohnheim vorstellte, in dem alle Telefone für abgehende An- rufe gesperrt waren. Einer der Bewohner forderte jedoch per Handy Rückrufe auf sein stationäres Te-

85 Urs Mansmann in c't 10/2002, S. 94 und c't 22/2002, S. 46 86 Urs Mansmann, Erste Rückruf-Opfer. Die neue 'Mehrwert'-Masche bringt schon Profit, c't 22/2002, 87 0190-Betrug: Jetzt mit "gefälschten" Freizeichen, S. 46 Heise online 07.08.2002 Dieter Kochheim, Cybercrime - 30 - später wegen Betruges (§ 263 StGB) zu Frei- A.2 7. versteckte Netz- und Auslandsvorwahlen heitsstrafe verurteilt Eine Masche aus optischen Werbemedien funk- Mit der zunehmenden Neigung, ständig erreichbar tioniert noch immer: Das Verstecken verdächtiger zu sein 88, steigt auch die Gefahr, dass die Leute Anschlussnummern in einem Rattenschwanz aus auf solche Tricks hereinfallen. Ziffern. Im ersten Beispiel wird die Mehrwertdienstnum- mer hinter der deutschen Auslandsvorwahl ver- A.2 6.2 einheitliche prozessuale Tat steckt, wobei zusätzlich die Gruppierung der Zif- Eine wichtige strafrechtliche Konsequenz weist der fern von dem verräterischen String ablenken soll. geschilderte Fall auf, die auch für den Massenver- sand von Spam- und Phishing-Mails gilt: Der Täter handelt nur einmal, indem er den Versand von 004 - 990 - 012 - 345 - 678 - 901 Nachrichten startet. Die potentiellen Opfer sind Auflösung der Ziffernfolge: aber breit in der Fläche verstreut. Wenn sie mit ei- Auslandsvorwahl: 0049 ner Verzögerung von mehreren Wochen mit ihrer Premium Rate-Dienst: 900 Telefonrechnung zur Polizei gehen, um einen Be- Anschlussnummer: 1234567.. trug anzuzeigen, werden sie zu ihrer örtlichen Poli- zei gehen, die womöglich sogar den Inhaber der Mehrwertdienstenummer ermittelt und die Akten an Das zweite Beispiel ist eine Variante, bei der die die Staatsanwaltschaft abgibt. Netzvorwahl der DTAG verwendet wird. Hierbei Der überschaubare Schaden, den der einzelne An- wird außerdem die verdächtige Nummer dadurch zeigeerstatter erlitten hat, könnte den zuständigen versteckt, dass eine ununterbrochene Ziffernfolge Staatsanwalt dazu veranlassen, das Ermittlungs- präsentiert wird. verfahren gegen eine geringe Geldauflage vorläu- Um die Verwirrung zu erhöhen müssen nur noch fig gemäß § 153a StPO einzustellen. Zahlt der Tä- ein paar Ziffern an die Anschlussnummer ange- ter die Buße, dann tritt wegen aller anderen Ge- fügt werden. Häufig konnten jedenfalls die An- 89 schädigten Strafklageverbrauch ein (Art. 103 schlussnetzbetreiber keine Auskunft über den In- Abs. 3 Grundgesetz - GG), weil alle Schadenser- haber des Anschlusses geben. eignisse auf das Einmal-Handeln des Täters beim Start des Computerprogramms zurück gehen. Sie beruhen auf einer einheitlichen prozessualen Tat 010339001234567890 (§ 264 Abs. 1 StPO). Auflösung der Ziffernfolge: Wegen solcher massenwirksamen Handlungen Netzvorwahl: 01033 von Straftätern wird sich die Strafverfolgung zu- Premium Rate-Dienst: 900 nehmend sensibilisieren müssen. Anschlussnummer: 1234567..

Auch für Auskunftsdienste und Kurzwahlnum- mern können neben den Verbindungskosten Dienstleistungskosten erhoben werden 90. Über einen Missbrauchsfall berichtete die Neue Presse bereits 2002 91. Dasselbe gilt grundsätzlich für

90 Tabelle S. 24. 88 CF, Kommunikationsflut, 29.10.2007 91 Neue Presse, 11845 - Die neue Abzocke per 89 WP, Strafklageverbrauch Telefon, 04.10.2002 (Zitat auf der Folgeseite). Dieter Kochheim, Cybercrime - 31 -

11845 - Die neue Abzocke per Telefon A.2 8. kriminelle Verbindungen Das Landeskriminalamt (LKA) warnt vor einer neuen Die bisherigen Beispiele sind darauf ausgerichtet Telefonbetrugs-Masche. gewesen, den Anschlussinhaber zu täuschen und "Die Täter antworten auf Zeitungsanzeigen und bitten dazu zu veranlassen, teure Verbindungen aufzu- die Inserenten auf Mailbox und Anrufbeantworter um nehmen. Sie ähneln den Trickbetrügereien, die einen Rückruf", sagt LKA-Sprecher Frank Federau. vom Täter handwerkliches Geschick verlangen 94. Dazu geben sie die Kurzwahlnummer 11845 an. Zwei Hacking-Beispiele sollen das Bild abrunden. Das Problem: "Wer diese Nummer wählt, tritt in die Kostenfalle", so Federau. Denn dort melde sich ein Fernwartungsfähige Telefonanlagen sind anfällig angeblicher Telekom-Auftragsdienst. Der Anrufer für Angriffe von außen. Lassen sie die Fernwar- werde in eine aussichtslose Warteschleife geschickt - tung zu und sind die Grundeinstellungen der Her- und die kostet 1,99 Euro pro Minute. Der gewünschte Teilnehmer werde nicht erreicht. Nach Auskunft der steller "offen", so fällt es Hackern leicht, über den Telekorn hat das Unternehmen nichts mit der ISDN-B-Kanal die Anlage zu manipulieren und Servicenummer zu tun. ... z.B. so einzustellen, dass die Anlage selbsttätig Neue Presse, 04.10.2002 anstelle von Mitteilungsdiensten, die die aktuellen günstigsten Fernverbindungen übermitteln, teure MABEZ-Nummern 92, die jedoch nur vorüberge- Mehrwertdienstenummern anruft. In einem schon hend und gezielt von der BNA vergeben werden. 2002 bekannt gewordenen Fall sind dadurch Kos- ten in Höhe von 4.000,- Euro verursacht worden Über die Verwendung einer sehr teuren Verbin- 95. Daneben sind sie auch anfällig gegenüber ge- dung kann man auch täuschen, indem man als bräuchlichen Angriffsmethoden: Telefonanlagen Rückruf-Nummer eine Auslandsvorwahl angibt, die sind immer "intelligenter" im informationstechni- teure Tarife möglich macht. Dies gilt z.B. fürdie schem Sinne geworden und können wegen ihrer Salomonen mit der Vorwahl +677 oder 00677 93. Steuerung unbekannte Sicherheitslücken aufwei- Auch Nauru mit der Vorwahl ... 674 ist als sen. Dadurch sind sie anfällig gegen Brute Force- Netzadresse eines automatischen Dialers bekannt Angriffe 96 und Buffer Overflows 97. geworden, der seit der Nacht zum 23.11.2002 den Über einen eher seltenen Fall hatte das Landge- Rufnummernbereich des Mobilfunkproviders O2 richt Hannover zu befinden. Es ordnete am mit Kurzanrufen abarbeitete. Dies war die dritte 25.06.01 - 33 Qs 123/01 - als Beschwerdegericht Rückrufserie unter Verwendung von Naurus Netz- die Untersuchungshaft gegen einen Beschuldig- vorwahl, die seinerzeit bekannt geworden war. ten an, dem 47 Straftaten des Computerbetruges Welche Ländervorwahlen seit 2002 noch hinzu ge- (§ 263a StGB) mit folgenden Besonderheiten vor- kommen sind, habe ich nicht verfolgt. geworfen wurden: Die bereits älteren Beispiele zeigen, wie ungeläufi- 94 Das gilt auch für andere Kriminalitätsformen, z.B. ge technische Funktionen mit betrügerischen für das von mir, jedenfalls begrifflich, eingeführte Tricks verbunden werden können, um die Opfer zu CF, Proll-Skimming, 18.05.2008. übertölpeln. Die oben angesprochene, optische 95 Betrug per TK-Anlage, c't 24/2002, S. 71 Tarnung kann noch dadurch verstärkt werden, 96 Bei WP, Brute-Force-Angriffen wird eine dass gemeinhin unbekannte Vorwahl- oder Diens- passwortgesteuerte Zugangssicherung so lange mit neuen Passwörtern penetriert, bis die zutreffende tenummern verwendet werden. Das gilt jedenfalls Kombination gefunden ist; siehe CF, Passwörter für die Auskunftsdienste, die sich inzwischen eben- und Sicherungscode, 2007. falls stark auf instinktorientierte Auskünfte konzen- 97 Buffer Overflow: WP, Pufferüberlauf. Hierbei wird triert haben, die Kurzwahl- und (eingeschränkt) die der Arbeitsspeicher eines Zielsystems mit einer MABEZ-Nummern sowie die exotischen Auslands- Vielzahl von Verarbeitungsanfragen überlastet. Im Gegensatz zum verteilten Angriff (CF, Sommer vorwahlen. 2007; DoS), mit dem der Absturz des Zielsystems bezweckt wird, ist beim Buffer Overflow den 92 Massenverkehrsnummern für das Televoting. Anfragen Schadcode beigefügt, der vom 93 c't 10/02, S. 39 überlasteten System ausgeführt werden soll. Dieter Kochheim, Cybercrime - 32 -

Der dem Beschuldigten zur Last gelegte Sachver- Der Beschuldigte war als Kontrolleur einer Putz- halt ist als Computerbetrug in der Tatbestandsal- kolonne in einem Hotel tätig. Er ließ sich zunächst ternative des "unbefugten Verwendens von Daten" eine 0190-Servicenummer einrichten. Im Mai im Sinne des § 263a StGB strafbar. Das Herstellen 2001 benutzte er unberechtigt verschiedene Tele- der Telekommunikationsverbindung, entweder vom fongeräte des Hotels und das Handy eines Hotel- Festanschluss ... oder vom Mobiltelefon des Ge- schädigten O. ..., ist als Datenverarbeitungsvorgang gastes, um seine kostenintensive Servicenummer zu werten. anzurufen. Die dadurch entstandenen Gebühren in Höhe von mehreren tausend DM wurden sei- Denn bei der Herstellung solcher Verbindungen handelt es sich um automatisierte Vorgänge, bei de- nem Konto gutgeschrieben (siehe links). nen durch Aufnahme von Daten und deren Ver- knüpfung Arbeitsergebnisse - namentlich gebüh- renpflichtige Telekommunikationsverbindungen - er- A.2 9. Adressierung im Internetprotokoll zielt werden. Über eine bloße Manipulation an der Hardware gehen die Tathandlungen des Beschul- Verschleierungen wie bei den versteckten Vor- digten demnach hinaus. wahlnummern sind auch im Zusammenhang mit Der Beschuldigte hat diesen Datenverarbeitungsvor- Internetadressen möglich. Die Requests for Com- gang missbraucht, indem er als Unbefugter die Da- ments – RFC 98– dienen zur Standardisierung der ten, die zur Herstellung der Verbindungen vom je- Internet-Technik und damit zur Vereinheitlichung weils konkret genutzten Anschluss zu der von ihm der üblichen Anwendungen und Dateiformate. betriebenen 0190ger Telefonnummer notwendig wa- Der RFC 2396 widmet sich dem Uniform Resour- ren, eingesetzt hat, obwohl er zur Herstellung dieser 99 Verbindungen nicht berechtigt war. Berechtigt waren ce Locator – URL , also dem Kernstück der die M.-Hotelgesellschaft in den Fällen in denen Ver- Adressierung im Internetprotokoll 100 und dem bindungen von hoteleigenen Anschlüssen herge- Domain Name System – DNS 101. stellt wurden; bzw. in den Fällen in denen die Tele- fonverbindungen vom Mobiltelefon aus erfolgten, Die danach üblichen Adressen weisen eine ein- der Geschädigte O. Eine vertragliche Befugnis, die heitliche Struktur auf: jeweiligen Telefonanschlüsse in irgendeiner Form zu nutzen, hatte der Beschuldigte nicht. ... Im vorliegenden Fall ist Grundlage der Taten da- http://www.cyberfahnder.de gegen eine verbotene Eigenmacht des Beschuldig- Auflösung der DNS-Adresse: ten. Dem Beschuldigten ist letztlich im Rahmen der 102 Begrenzung des weit gefassten Tatbestandsmerk- Hypertext Transfer Protocol : http 103 mals "unbefugt", welches jedes vertragswidrige Ver- World Wide Web (Netz): www 104 halten umfassen würde, ein betrugsspezifisches Second Level Domain : cyberfahnder 105 Verhalten zur Last zu legen. Geschäftsgrundlage ei- Top Level Domain : de nes jeden Telekommunikationsvertrages ist die in diesem Rahmen bestehende Berechtigung zur Nut- zung der Anlage sowie der Inanspruchnahme der daraus resultierenden Leistung. Gehört aber die Be- Die Auflösung dieses Adressen-Strings erfolgt je- fugnis des Täters zur Inanspruchnahme der Com- doch von rechts nach links, also vom Namens- puterleistung zur Geschäftsgrundlage, ist das raum ausgehend, und die Punkte sowie "://" die- Schweigen über den Mangel der Befugnis als nen als Feldtrenner. Rechts daneben können schlüssiges Vorspiegeln der Verwendungsberechti- noch Unterverzeichnisse und Dokumente ange- gung zu werten. Dies ist vorliegend der Fall. Der Umstand, dass der Beschuldigte keinen Zugangs- 98 code überwinden musste, weil sowohl die Telefon- WP, Request for Comments - RFC anlage im Hotel als auch das Mobiltelefon freige- 99 WP, Uniform Resource Locator - URL schaltet waren, spielt dabei keine Rolle, weil die 100 WP, Internet Protocol Eingabe eines bestimmten Zugangscodes nur eine 101 CF, Auflösung von DNS-Adressen, 2007 besonders evidente Form der Täuschung über die 102 WP, Hypertext Transfer Protocol - HTTP Berechtigung darstellt. 103 WP, World Wide Web - WWW Beschluss des LG Hannover vom 25.06.01 - 33 Qs 104 123/01 (Vermerk des Kammervorsitzenden, Auszug) WP, Second Level Domain - SLD 105 WP, Top Level Domain - TLD Dieter Kochheim, Cybercrime - 33 - geben werden, links neben der SLD weitere Subdomains. Eine Abwandlung dieses Tricks wird auch im Zu- Als Feldtrenner für die Unterverzeichnisse dient sammenhang mit E-Mail-Anhängen verwendet. der Schrägstrich. Dagegen werden die Subdo- Eine Programmdatei, die Malware installieren mains 106 mit Hilfe von Punkten in den String einge- soll, verrät sich zum Beispiel durch ihre Endung führt. ".exe" (für execute, deutsch: ausführen). Wenn man einem Dateinamen jedoch unverdächtige Endungen anfügt, dann kann der unbedarfte Unterverzeichnisse und Dokumente: Anwender über die Gefährlichkeit der Datei http://www.kochheim.de/cf/nav/impressum.htm getäuscht werden. Subdomain: Im folgenden Beispiel handelt es sich nicht um http://www.dokumente.cyberfahnder.de eine (auch nicht ganz harmlose 108) PDF-Datei, sondern um ein Programm, das alles Mögliche anstellen kann. RFC 2396 eröffnet aber auch die Möglichkeit, Zu- satzinformationen zur Steuerung von Prozessen und zur Identifikation (Zugangsberechtigung, Täuschung über das Dateiformat: Rechtesteuerung) anzufügen. Sie erscheinen dann Rechnung.pdf.exe links vom Domänennamen. Der wichtige Feldtrenner ist dabei das Arroba- Zeichen: @ 107. Es bewirkt, dass für die Adressie- Dieser Trick funktioniert noch viel besser, wenn rung nur der String rechts von ihm verwendet wird. der Anwender eines der WindowsBetriebssyste- Der linke Teil des Strings wird ignoriert, weil er nur me nutzt, bei der die echte Endung eines Datein- für die Zielanwendung bedeutsam ist. amens ausgeblendet wird. Er sieht dann nur: Rechnung.pdf. Die Liberalisierung für die Gestaltung von Datei- Kontozugang: namen, die vor 15 Jahren von Windows 95 einge- http://Konto%7c:[email protected] führt wurde, hat auch ihre Kehrseite. Anwender- freundlichkeit wendet sich sehr schnell zur Ge- fahr. Das europäisch geprägte Auge schaut jedoch we- Zur Tarnung von DNS-Adressen werden inzwi- niger zum (rechten) Ende einer Zeichenkette, son- schen auch die verschiedenen Zeichensätze ver- dern eher zu ihrem (linken) Anfang. Deshalb las- wendet, die im Internet zugelassen sind. Bei der sen sich ihrem rechten Teil Adressangaben verste- Homograph wird zum Beispiel cken, wenn am Beginn des Strings unverdächtige das kyrillische „a“ anstelle des lateinischen „a“ im Angaben gemacht werden. Domainnamen verwendet. Die westeuropäisch Dieser URL führt nicht zu "meine-Bank.de" son- eingestellten Browser zeigen beide identisch an. dern zu "abzocker.ru". Tatsächlich bestehen die Namen aber aus ver- schiedenen Zeichenfolgen; zum Beispeil: PayPal 109. Täuschung über Zieladresse: http://meine-bank.de/[email protected]

108 CF, Tarnung und Täuschung, 12.05.2008 106 WP, Subdomain 109 CF, Homograph Spoofing Attack, 17.05.2010; 107 CF, Ät, 10.01.2008 siehe Kasten auf der Folgeseite Dieter Kochheim, Cybercrime - 34 -

Bemerkenswert ist, dass die APWG bislang nur DNS-Poisoning sehr wenige sogenannte Homograph Spoofing At- Diese Methode setzt voraus, dass der PC bereits tacks im Zusammenhang mit der Unterstützung des mit Malware infiziert ist. Sie verändert die Eintra- International Domain Name (IDN) beobachtet hat. gungen in der lokalen Hostdatei 114, die dazu dient, Dabei sehen Zeichen in einer URL zwar richtig aus, die DNS-Namen 115 häufig besuchter Webseiten in sind es aber nicht. Beispielsweise werden ein kyrilli- ihre nummerische Adresse für das Internetprotokoll sches a und ein lateinisches a von den meisten Zei- umzuwandeln. Das gemeine daran ist, dass der chensätzen grafisch gleich dargestellt, obwohl es PC zunächst die Hostdatei danach fragt, ob ihr die sich um unterschiedliche Zeichen handelt (look alike gesuchte IP-Adresse bekannt ist, ohne die DNS- character). Diesen Umstand könnten Phisher bei Server im Internet abzufragen. Enthält sie verän- Adressen wie www.paypal.com prinzipiell zur Täu- derte Daten zum Beispiel für das Internet-Banking, schung benutzen. Die APWG vermutet, dass Phis- werden sie automatisch zu einer nachgemachten her nicht darauf zurückgreifen, weil der Domainna- Webseite geführt, die Ihre Bankdaten ausspioniert me ohnehin keine Rolle spiele – offenbar prüfen An- 110 (zum Beispiel durch einen Man-in-the-Middle- wender URLs immer noch nicht sorgfältig genug. Angriff 116).

A.2 10. Umleitungen im Internet serverbasiertes DNS-Poisoning Das serverbasierte DNS-Poisoning ähnelt der ers- Die bislang vorgestellten Täuschungen bei der ten Variante, nur dass hierbei die DNS-Tabellen ei- Adressierung im Internet zielen darauf ab, dass der nes häuslichen Netzes oder eines Zugangsprovi- Anwender unbedarft handelt. Sie sind Methoden ders korrumpiert werden. Besonders unauffällig des Social Engineering, also der Suggestion und sind Manipulationen an den den Netzkomponenten kleiner häuslicher oder betrieblicher Netze, weil sie der Manipulation. in aller Regel einmal eingerichtet, kaum überwacht Die moderne Malware 111 manipuliert informati- und deshalb vom Anwender bald nicht mehr als 117 onstechnische Verarbeitungsvorgänge hingegen Gefahrenquelle wahrgenommen werden . im Geheimen, unbemerkt und fatal. Ihre bevor- Die Host-Tabellen großer Zugangsprovider sind zwar schon Opfer von Angriffen geworden. Bei ih- zugten Ziele sind korrumpierte Internetseiten, der nen ist jedoch die Kontrolldichte höher, so dass die Verarbeitungsvorgang im laufenden Betrieb eines Manipulationen schneller bemerkt und korrigiert PCs und schließlich sein Systemstart. werden. Manipulationen beim Systemstart setzen voraus, dass die Schadsoftware das Zielsystem bereits in- ziert sein und den Startvorgang zur Infiltration fiziert hat, ohne sich (bislang) einnisten, also instal- nutzen können 118. lieren zu können. Die Malware (der Starter) wartet darauf, zusammen mit einem normalen System- Der Zugriff auf das Internet erfolgt nicht nur da- start in das System eindringen zu können. Anfällig durch, dass der Anwender seine E-Mails oder im dafür sind innere Komponenten, die Speicherfunk- Browser Webseiten aufruft. Viele Programme ma- tionen haben 112, und Netzkomponenten, die regel- chen das auch selbsttätig, um nach neuen Mel- mäßig angesprochen werden 113. Bei die-sen Gerä- dungen, Virensignaturen oder Programmversio- ten handelt es sich selber um "intelligente" infor- nennachzufragen. Solche vom PC zugelassenen mationsverarbeitende Systeme, die ihrerseits infi- Netzkontakte lassen sich prinzipiell auch von der

114 110 Daniel Bachfeld, Einzelne Bande war für zwei Drittel Unter Windows: aller Phishing-Angriffe verantwortlich, Heise online C:\WINDOWS\system32\ drivers\etc\lmhosts; 17.05.2010 siehe auch Namensauflösung. 115 111 CF, Phishing mit Homebanking-Malware, 22.10.2008 CF, Auflösung von DNS-Adressen, 2007 116 112 Neben den Komponenten für den Startprozess (WP, CF, The Man-in-the-Middle, Sommer 2007 Basic Input Output System - BIOS, WP, 117 CF, Umleitungen zu manipulierten Webseiten, Bootbereiche von Speichermedien) können dazu 09.12.2008 auch Peripheriegeräte wie die Grafik-, Sound- und 118 Trojaner konfiguriert Router um, Heise online TV-Karten missbraucht werden, die alle wegen ihrer 13.06.2008; Funktionstüchtigkeit angesprochen werden. siehe auch CF, Malware. Betriebssystem, 113 WP, Router, WP, Switch, WP, Wireless LAN 12.05.2008 Dieter Kochheim, Cybercrime - 35 -

iframe-Umleitung nen dazu, entweder Hierbei werden die Suchfunktionen auf Webseiten  den Anwender auf nachgemachte Webseiten missbraucht, wenn sie die von ihnen vermittelten zu locken, um seine privaten Daten abzugreifen Suchanfragen für Google zwischenspeichern. Da- 124 nach ist es möglich, in die Adressen auf der Ergeb- , nisseite von Google "iframe-Tags" einzuschmuggeln  einen Starter für die Installation mit Malware 119. Iframes sind dazu eingeführt worden, um auf einzuschleusen oder einer Webseite Bereiche festzulegen, in denen  die Malware direkt in das Zielsystem einzubrin- fremde Dateien (zum Beispiel Werbung) einge- gen. blendet werden können. In Verbindung mit DNS- Adressen werden die Browser jedoch auf eine Seite Ein Beispiel für das serverbasierte DNS- geführt, die der Angreifer bestimmt (Drive-By- Poisoning wurde 2008 bekannt 125, wobei ein Download). Dort werden dann Antivirenprogramme DSL-Router auf einen vorgegaukelten DHCP- oder Video-Codecs zum Download angeboten, in 126 denen allerdings der Trojaner Zlob stecken soll Server im lokalen Netz umgeleitet wird, der (Heise online). seinerseits mit einem externen DNS-Server ver- Eine neue Variante soll statt iframes JavaScript in bindet 127. die Ergebnislisten injizieren 120. gehackte Webserver A.2 11. Angriffe gegen Webserver und CMS Dynamische Webseiten werden auf eine Abfrage jeweils neu zusammen gestellt. Dadurch kann das Beim Cross-Site-Scripting werden in den Code Erscheinen von Artikeln, Werbeeinblendungen und der Originalseite im Internet korrumpierte Teile Aktualisierungen zeitlich gesteuert und angepasst eingesetzt, die den Kunden unbemerkt zu einer werden. Die Bestandteile der Webseite sind dabei in einer Datenbank gespeichert (Content Management manipulierten Seite führen. System). Das gilt besonders für die iframe-Umleitung. Hier- Wenn die Datenbank gehackt wird, kann in der neu bei werden vor allem die Suchfunktionen auf generierten Seite auch Schadcode eingebettet wer- Webseiten missbraucht, wenn sie die von ihnen den 121. vermittelten Suchanfragen für Google zwischen- speichern. Danach ist es zum Beispiel möglich, in Malware missbrauchen. die Adressen auf der Ergebnisseite von Google "iframe-Tags" einzuschmuggeln 128. iframes sind Eine kriminelle Variante davon ist das DNS- dazu eingeführt worden, um auf einer Webseite Poisoning, bei dem die lokale Hostdatei manipuliert Bereiche festzulegen, in denen fremde Dateien wird (siehe Kasten), um unbemerkt auf präparierte (zum Beispiel Werbung) eingeblendet werden Internetseiten umzuleiten. Diese Methode ist be- können. In Verbindung mit DNS-Adressen werden sonders im Zusammenhang mit der Weiterentwick- die Browser jedoch auf eine Seite geführt, die der lung des Phishings 122 zum Pharming 123 und bei Angreifer bestimmt (Drive-By-Download). Dort der Infiltration mit Botsoftware bekannt geworden. werden dann Antivirenprogramme oder Video-- Die angesprochenen Manipulationsmethoden die- Codecs zum Download angeboten, in denen al- lerdings der Trojaner Zlob stecken soll. 119 Betrüger missbrauchen Suchfunktionen bekannter Webseiten, Heise Security 08.03.2008 124 120 Massenhacks von Webseiten werden zur Plage, CF, Umleitungen zu manipulierten Webseiten, Heise online 14.03.2008 09.12.2008 125 121 Wieder groß angelegte Angriffe auf Web-Anwender CF, DNS-Poisoning, 21.11.2008; im Gange, Heise Security 09.01.2008; CF, Pharming, 2007 Massen-SQL-Einspeisung geht weiter, tecchannel 126 WP, Dynamic Host Configuration Protocol - DHCP 10.05.2008 127 CF, Umleitungen zu manipulierten Webseiten, 122 CF, Massenhacks von Webseiten werden zur Plage, 09.12.2008 14.03.2008 128 Betrüger missbrauchen Suchfunktionen bekannter 123 CF, Pharming, 2007 Webseiten, Heise Security 08.03.2008 Dieter Kochheim, Cybercrime - 36 -

Dynamische Webseiten basieren nicht auf einzel- Eine der wichtigsten Voraussetzungen dafür ist, nen, in Handarbeit erstellten Skriptdateien (wie der motivierte und neugierigen Leute zu gewinnen, Cyberfahnder), sondern aus aktuell aus einer Da- die einen wesentlichen Teil ihrer Arbeitszeit mit tenbank erstellten Textfragmenten (Content Mana- der eigenen Fortbildung und Recherche verbrin- gement System - CMS 129). Hackt man die ihnen gen und genügend Zeit dazu haben, zu überle- zugrunde liegende Datenbank, kann mit den mani- gen, abzuwägen und zu analysieren. Das Tages- pulierten Ergebnisseiten beliebiger Schadcode ver- geschäft muss dazu entsprechend beschränkt breitet werden 130. sein. Die üblichen Effektivitätsanforderungen las- sen sich auf eine strategische Cybercrimebe- kämpfung nicht anwenden. Sie ist ein Wert an A.2 12. Fazit sich. Der Adressenschwindel dient der Desorientierung und soll die Nutzer der Telekommunikation und des Internets zu Endpunkten führen, deren Existenz und deren Funktionsweise sie nicht erwarten. Das gilt für teure Mehrwertdienste ebenso wie für Phar- men, in denen mit nachgemachten Bankseiten oder anderen Internetdiensten eine gewohnte, aber eben falsche und gefährliche Umgebung vor- gegaukelt wird. Manuel Schmitt behauptet, die Strafverfolgung an- hand von identifizierten IP-Adressen berge Fehler und könne zur Verfolgung Unschuldiger führen 131. Das ist Unfug 132. Ungeachtet dessen: Die Methoden der unauffälli- gen Entführung haben sich immer mehr verfeinert und werden sich immer weiter perfektionieren. Das gilt auch für die Methoden zu ihrer Abwehr, die die früheren Abzockmethoden verdrängt haben. Das alte Igel-und-Hase-Spiel wird sich hingegen fortset- zen und die kriminellen Abzocker werden uns im- mer wieder Überraschungen bereiten. Kann man ihnen begegnen? Ich glaube, dass die Strafverfolgung Schritthalten kann mit den Gedankenwelten und der Phantasie der modernen Abzocker und Kriminellen, wenn sie die Cybercrime ernst nimmt und ihr die nötigen Ressourcen zur Verfügung gestellt werden 133.

129 Content Management System - CMS 130 Wieder groß angelegte Angriffe auf Web-Anwender im Gange, Heise Security 09.01.2008 131 Manuel Schmitt, IP-Adressen nur mit sicherem Routing eindeutig, Heise online 13.05.2010 132 CF, IP-Adressen ohne Beweiswert, 16.05.2010 133 CF, Straftaten mit der Informations- und Kommunikationstechnik, 09.03.2010 Dieter Kochheim, Cybercrime - 37 -

A.3 Malware 134 eint der Trojaner 146 eine nützliche Anwendung mit schädlichen Aktivitäten, die er im Geheimen aus- Die Methoden für das Ausspähen von Daten und führt. die Infiltration mit schädlicher Software - zusam- men gefasst: Malware 135- betreffen alle Verarbei- tungsprozesse, die von einem PC ausgeführt wer- A.3 1. Tarnung und Täuschung den. Immer geht es darum, mit automatischen Pro- zessen in die Prozessverarbeitung des PCs zu ge- Die Malware kennt nur zwei Übertragungstechni- 147 langen, um den "Rechner" für fremde Zwecke zu ken: Datenträger oder Netzverbindung . Bei der missbrauchen. Darin unterscheidet sie sich von Netzverbindung sind drei grundlegend unter- dem Hacking 136, bei dem der Angriff unmittelbar schiedliche Methoden möglich: von einem Menschen gesteuert wird.  Die Malware bedient sich eines Trägers, indem 148 Die Infiltrationsmethoden für die Malware haben sie sich als Anlage an eine E-Mail hängt sich im Zeitverlauf gewandelt. Ihre älteste Form ist (Wurm) oder ein Bestandteil eines ansonsten un- der Virus 137, also ein kleines Programm, das sich gefährlich oder gar nützlich wirkenden Pro- in eine Trägerdatei hineinkopiert und mit ihr zu- gramms ist (Trojaner). sammen ausgeführt wird (passive Aktivierung).  Sie attackiert von außen die Sicherheitseinstel- Würmer 138 sind hingegen selbständige Programm- lungen des angegriffenen Systems und nutzt an- dateien, die aktive Umgebungen ausnutzen, um schließend andere Sicherheitslücken aus, um ausgeführt zu werden. Das kann dadurch gesche- sich einzunisten (IP-Wurm). hen, dass sie als Anhänge zu E-Mails übermittelt  Sie verbirgt sich in harmlos wirkenden Script- werden oder in andere Dokumente eingebettet codes. Dabei kann es sich um nachgemachte Ho- sind, die aktive Elemente enthalten, die vom Sys- mebanking-Seiten, um Links in E-Mails, Foren tem automatisch geladen werden (activeX 139, Java oder Webseiten handeln oder um unbemerkt star- 140; Office-Programme 141, Multimedia-Player 142, tende Routinen (Code Injection 149; Peer-to-Peer PDF 143 und andere Anwenderprogramme 144). 150, Download 151). Eine andere Strategie verfolgen IP-Würmer 145, die Wegen der Infektionsstrategie verwendet die Mal- Netzadressen automatisch absuchen und in frem- ware alle Spielarten des Versteckens (Trojaner), de Systeme eindringen, indem sie Sicherheits- des selbständigen Angriffs und des Übertölpelns. lücken beim Netzzugang ausnutzen. Beim selbständigen Angriff werden technische Eine genaue Grenzziehung zwischen den drei An- Funktionen genutzt, die den Missbrauch aufgrund griffsstrategien ist nicht immer möglich, weil es von Sicherheitslücken oder unbedarften Syste- durchaus Mischformen und Varianten gibt. So ver- meinstellungen ermöglichen. Auch die Methoden der Täuschung sind vielfältig

134 ( Social Engineering). Sie reichen vom Plagiat Die Urfassung dieses Aufsatzes stammt vom 152 12.05.2008. (nachgemachte Webseiten, Pharming ), über 135 WP, Schadprogramm 146 136 WP, Hacker WP, Trojanisches Pferd (Computerprogramm) 147 137 WP, Computervirus Gemeint sind kabelgebundene und drahtlose Netze. Selten sind unmittelbare Manipulationen am 138 WP, Computerwurm Computer (Keylogger, Hardwareinstallation oder 139 WP, ActiveX Ausführung eines Programmes am angegriffenen 140 WP, Java (Programmiersprache) Rechner). 141 WP, Office-Paket 148 WP, Dateianhänge 142 WP, Mediaplayer 149 Siehe unten. 143 WP, Portable Document Format 150 WP, Peer-to-Peer - P2P 144 WP, Anwendungssoftware 151 WP, Herunterladen 145 CF, IP-Würmer, 2007 152 CF, Massenhacks von Webseiten werden zur Dieter Kochheim, Cybercrime - 38 - aufreizende Angebote ("Frau in Deiner Nähe sucht dann neu installieren kann, wenn eine Festplatte Gelegenheit zum Seitensprung") und andere For- formatiert und ein Betriebssystem neu installiert men der Gier (Finanzagenten 153, Nigeria- wird. Connection 154) bis hin zur Maskerade (Bestellbe- stätigung 155, Rechnung 156, Kontobelastung 157, "Betti meldet sich"). Daneben kommen technische Tricks zur Tarnung zum Einsatz. Die installierte Malware verändert ihr Erscheinungsbild, wechselt ihren Standort (Stealth- Viren 158) oder setzt den Virenscanner außer Be- trieb (Retro-Viren 159). Mit den Zombie-Program- men zur Botnetzsteuerung 160 wurden schließlich auf breiter Ebene Malwareversionen eingesetzt, die modular 161 aufgebaut sind. Für die Infiltration Eingabemaske für den Einbau von Malware wird nur ein Grundmodul benötigt, das sich einnis- in PDF-Dokumente 171 tet, tarnt, eine Verbindung zum Netz schafft (Back- door 162, Rootkit 163) und schließlich einen FTP- Server 164 installiert. Mit ihm können beliebige Be- A.3 2. Massenware und gezielte Spionage standteile nachgeladen und installiert werden, so Malware ist Massenware. Sie ist auf den breitflä- dass die Malware für jeden Zweck umgerüstet wer- chigen Einsatz ausgerichtet und von ihm abhän- den kann. gig. Deshalb werden auch vorwiegend die am Für die Zukunft ist abzusehen, dass die Malware Markt erfolgreichen Betriebssysteme von Malwa- ihre Grundkomponenten in die Speicherchips 165 re angegriffen. Wenn sie irgendeine Schwachstel- von Hardwareelementen 166 (Grafikkarte 167, TV- le haben, dann können sie sehr schnell in großer Karte 168, Switch 169, DSL-Router 170) kopiert, wo sie Anzahl kompromittiert werden, allein weil sie eine von Virenscannern unbemerkt bleibt und sich auch große Verbreitung haben. Die Betriebssysteme von Microsoft werden nicht Plage, 14.03.2008 153 CF, Finanzagenten, 2007 deshalb immer wieder als Opfer von Malware- 154 CF, Evergreen: Vorschussbetrug nach Nigeria-Art, Kampagnen bekannt, weil sie besonders schlecht 17.03.2008 wären, sondern weil sie sich auf fast jedem priva- 155 CF, gemeiner Versuch: Zahlungsbestätigung, ten Rechner befinden. Neuerdings vermehren 21.03.2008 sich aber die Meldungen, die von Angriffen auf Li- 156 CF, Abzocke mit KATI, 15.04.2008 nux- und MacIntosh-Systeme berichten. 157 CF, Testbelastung, 11.09.2007 Linux 172 basiert auf der Kommandosprache des 158 WP, Stealth-Viren klassischen UNIX 173 und ist besonders begehrt 159 WP, Retro-Viren für den Betrieb von Datenbank- und Webservern 160 CF, zentrale Steuerung, Sommer 2007 sowie für die Steuerung von Firewalls, Switche 161 CF, Anatomie des Sturm-Wurms, 06.03.2008 und andere "intelligente" Netzwerkkomponenten. 162 WP, Backdoor 163 WP, Rootkit MacIntosh (Apple) 174 war ganz lange Zeit führend 164 WP, File Transfer Protocol - FTP bei der grafischen Benutzerführung, führte als 165 WP, Integrierter Schaltkreis 166 CF, Angriffsobjekt PC, 2007 (Auseinandersetzung mit 171 F-Secure, Creating Malicous PDF Files, der Onlinedurchsuchung). 02.06.2008; Angriffe über präparierte PDF-Dateien 167 WP, Grafikkarte werden ausgefeilter, Heise online 03.06.2008 168 WP, TV-Karte 172 WP, Linux 169 WP, Switch (Computertechnik) 173 WP, UNIX 170 CF, Angriffe auf DSL-Router, 23.01.2008 174 WP, Apple Macintosh Dieter Kochheim, Cybercrime - 39 -

her 177. Ihnen folgten die Botnetzer 178 und die mehr im Handwerk verwurzelten, aber sehr schadensträchtigen Skimmer 179. Daneben ist eine professionelle Szene entstan- den, die sich dem gezielten Angriff auf Unterneh- men und Einzelpersonen widmet. Sie lässt sich teuer für Malware und Aufträge bezahlen, die zur Industriespionage 180, zur Ausforschung geheimer Informationen oder zum Abhören prominenter Personen eingesetzt werden. Das funktioniert meistens nur mit einer gehörigen Portion  Social die pandemische Ausbreitung von Malware Engineering. erstes Betriebssystem die Steuerung mit der Com- Beide Erscheinungsformen der massenhaften putermaus ein, war beliebt bei den Medienschaf- und der individuellen Penetration werden uns wei- fenden, weil es besonders gut die Grafikbearbei- ter begleiten und beschäftigen. tung und die Herstellung von Druck- und Layout- vorlagen (Desktop Publishing 175) unterstützte, und blieb ein Nischenprodukt für die Anwender, die et- A.3 3. Crimeware was mehr für eine nicht mehr ganz aktuelle Technik Der Begriff Crimeware 181 taucht seit 2006 ver- auszugeben bereit waren. stärkt im Internet auf und umfasst alle Formen Mit dem iPhone und anderen Produkten drängt schädlicher Software, die für kriminelle Zwecke Apple jetzt auf den breiteren Konsumentenmarkt. missbraucht werden. Deshalb werden seine Geräte auch verstärkt zum Während bei Malware häufig das „nicht wirt- Opfer von Malware. schaftlich“ motivierte Verursachen von digitalen Die Entwicklung und Verbreitung von Malware ist Schäden an Computern im Vordergrund steht, Hacking nach der Methode des Gießkannenprin- wird Crimeware ausschließlich entwickelt und zips. Wie beim Spamming gilt: Es ist egal, wen es verbreitet, um damit Geld durch kriminelle Aktivi- trifft. Hauptsache ist, dass es trifft. täten zu verdienen 182. Den "Malworkern" ist die Identität des Opfers, sei- Der Begriff ist gut gewählt, weil er alle schädli- ne Konfession, seine weltanschaulichen Vorstel- chen Programme, die bislang als Malware be- lungen im Übrigen und sein Einkommen völlig zeichnet wurden (Viren, Würmer, Trojaner, Spy- egal. Wenn sich sein Bankkonto für illegale Trans- ware 183), erweitert auf alle Formen, die zum An- aktionen ausnutzen, sein Kundenkonto für den Ab- griff auf sensible Daten und die Privatsphäre ver- satz von Hehlerware missbrauchen oder sein PC wendet werden. als Zombie für ein Botnetz korrumpieren lässt, dann schlagen sie ungeachtet der geschädigten Person und bedenkenlos zu. Am Anfang waren die Spammer 176, die wenigstens noch legale Standbeine im Direktmarketing und im 177 CF, Phishing, 2007 Adressenhandel hatten. Die ersten nur-kriminell 178 CF, Botnetze, Sommer 2007 ausgerichteten Softwareentwickler waren die Phis- 179 CF, arbeitsteiliges Skimming, 18.05.2008 180 CF, erhebliche Schäden durch Industriespionage, 11.03.2008 181 CF, Angriffe mit Crimeware, 2007 175 WP, Desktop-Publishing - DTP 182 WP, Crimeware 176 CF, Zusammenarbeit der Szenen, 2007 183 WP, Spyware Dieter Kochheim, Cybercrime - 40 -

A.3 4. Angriffsmethoden Betriebsstrom und transportiert Daten in beide Richtungen. Über ihn lassen sich die PCs auch A.3 4.1 Bootvorgang steuern und booten. Er ist die optimale Schnitt- Der Start eines PCs ist ein meist vollständig auto- stelle für Missbräuche und lässt sich auch nicht matisierter Vorgang 184, der von Malware dazu ge- abschalten, weil er für andere nützliche Anwen- nutzt werden kann, dass ihre Komponenten, die im dungen gebraucht wird (Tastatur, Maus, Drucker, System nach der Infektion schlummern, tatsächlich Scanner, externe Festplatte, Speicherstick, digita- auch installiert und aktiviert werden. le Kamera ...). Die älteste Methode ist die, dass Datenträger ver- seucht werden, um beim Start des Systems die A.3 4.2 Betriebssystem Malware zu installieren 185. Hierzu kann jeder Da- tenträger missbraucht werden, ob Festplatte, Dis- Nachdem das BIOS die physikalische Umgebung kette, CD-ROM oder USB-Stick, wenn es gelingt, des PCs aktiviert hat, gestaltet das Betriebssys- die Malware in den Bootsektor 186 des Datenträgers tem die Umgebung für die Programme, die zum zu schreiben, der immer zuerst ausgeführt wird. Einsatz kommen sollen. Die hier platzierte Malware muss nur ein einziges Um die Besonderheiten jedes einzelnen Systems Kommando enthalten, das die an anderer Stelle berücksichtigen zu können, greift das Betriebs- gespeicherten oder aus dem Netz abgeforderten system dabei auf Systemtabellen und ausführba- Programmteile lädt. re Skripte zurück, die ebenfalls infiltriert sein kön- nen. Wie gesagt: Ein einziges böswilliges Kom- Auf den Bootsektor greifen das BIOS 187, das die mando reicht! Hardware betriebsbereit macht, und das Betriebs- system 188 zu, das die Arbeitsumgebung für die Klassisch für DOS (Microsoft) 191 sind das die Da- Programme herstellt. Das BIOS enthält in einem teien config.sys 192 und autoexec.bat 193. Unter Speicherchip "fest verdrahtete" Bestandteile, die UNIX 194 übernimmt diese Aufgaben u.a. die als solche nicht manipuliert werden können. Dane- Crontab 195. Seit der Einführung von Windows 98 ben verfügt es jedoch auch über programmierbare werden die Konfigurationsdaten in eine dafür vor- Teile, die missbraucht und mit Malware überschrie- gesehene Datenbank geschrieben, die Registry ben werden können. Das heißt, dass die Malware 196. Alle Manipulationen an diesen Konfigurations- auch das BIOS infizieren kann, was von modernen dateien führen dazu, dass während des Starts Systemen weitgehend unterbunden wird (aber des Betriebssystems Malware installiert werden prinzipiell nicht ausgeschlossen ist). kann. Überwachungs-Hardware, die nicht nur Datenströ- Mit dem Betriebssystem werden auch andere me kopiert (Keylogger 189), muss vom BIOS akti- Programme auf Vorrat geladen. Das verzögert viert werden. Dazu bedarf es entweder einer spezi- zwar den Systemstart, beschleunigt jedoch die fischen Anmeldung dieses Geräts oder die Nut- laufende Arbeit am PC. zung einer Sowieso-Schnittstelle. Dafür bietet sich Zu diesen Programmen gehören vor Allem die Fi- ganz besonders die USB-Schnittstelle 190 an, die rewall und der Virenscanner, das können aber inzwischen durchgängig von allen Peripheriegerä- auch Büroanwendungen und E-Mail-Browser sein ten und Spielereien genutzt wird. Der USB liefert (Outlook 197 wird häufig beim Startvorgang aufge-

184 WP, Booten 191 WP, Microsoft Disk Operating System 185 WP, Bootvirus 192 WP, Config.sys 186 WP, Master Boot Record 193 WP, Autoexec.bat 187 WP, Basic Input Output System - BIOS 194 WP, Unix 188 WP, Betriebssystem (Operation System - OS) 195 WP, Cron 189 WP, Keylogger 196 WP, Windows-Registrierungsdatenbank 190 WP, Universal Serial Bus - USB 197 WP, Outlook Dieter Kochheim, Cybercrime - 41 - rufen). Verantwortlich dafür sind in erster Linie die mit dem Phishing und der Infiltration mit Botsoft- Pfadeintragungen in der Registry, die für Autostart- ware bekannt geworden. Programme vorgesehen sind, oder die Program- me, die sich in dem Autostart-Verzeichnis befinden. A.3 4.3 Systemstart Beide werden von modernen Betriebssystemen im Verein mit Firewalls und Virenscannern argwöh- Die zentralen technischen Komponenten des PCs nisch überwacht. Das bedeutet aber nicht, dass die sind der Prozessor 206, der eigentliche "Rech- Infektion dadurch ausgeschlossen ist. Gut getarnte ner", der Arbeitsspeicher 207 (auch Hauptspeicher) Malware setzt auf andere, als gutwillig eingestufte und der Massenspeicher 208 (Festplatte). Programme auf und schleicht sich damit ein. Dazu Der Prozessor wird für die datentechnischen Ver- eignen sich besonders auch die "gutwilligen" Pro- arbeitungsvorgänge benötigt. Er führt den Pro- 198 grammbibliotheken (DLL-Injection ), die die Ob- grammcode aus, liest Daten, verarbeitet sie, leitet jekte und andere Umgebungsvariablen verwalten, sie zu anderen Schnittstellen, z.B. zum Bild- auf die die Anwenderprogramme dann zurück grei- schirm, und speichert Dateien ab. Zur Beschleu- fen. nigung seiner Arbeitsoperationen verfügt er im- Beim Systemstart wird meistens auch die Netzver- mer häufiger über eigenen Cachespeicher (Zwi- bindung geprüft, indem der PC mit dem nächsten schenspeicher), der sich auch für eine Infiltration Netzknoten 199 Kontakt aufnimmt (Router 200, Switch eignet 209. 201 202 , Wireless LAN ). Dadurch wird das System Anders ist das beim Arbeitsspeicher. Beim Puffer- nach außen geöffnet. Bei den genannten Geräten überlauf 210 (buffer overflow) werden gezielt be- handelt es sich selber um "intelligente" informati- stimmte Speicheradressen angesprochen, um de- 203 onsverarbeitende Systeme , die ihrerseits infi- ren Kapazität zu überlasten. Dabei kommt es zum ziert sein und den Startvorgang zur Infiltration nut- "Überlauf", indem die angelieferten Daten zu an- 204 zen können . deren Adressbereichen verlagert werden. Das Der Zugriff auf das Internet erfolgt nicht nur da- führt meistens zum Systemabsturz, kann aber durch, dass der Anwender seine E-Mails oder im auch dazu genutzt werden, Malwarecode einzu- Browser Webseiten aufruft. Viele Programme ma- schleusen. chen das auch selbsttätig, um nach neuen Meldun- Anspruchsvolle technische Erweiterungen sind gen, Virensignaturen oder Programmversionen häufig wie ein selbständiger PC im PC konstru- nachzufragen. Solche vom PC zugelassenen Netz- iert. Das gilt vor Allem für hochwertige Grafik- und kontakte lassen sich prinzipiell auch von der Mal- Videokarten, die über eigene Prozessoren und Ar- ware missbrauchen. beitsspeicher verfügen und damit das System im Eine Variante davon ist das DNS-Poisoning 205, bei Übrigen entlasten. dem die lokale Hostdatei manipuliert wird, um un- Je verbreiteter solche Karten sind, desto attrakti- bemerkt auf präparierte Internetseiten umzuleiten. ver werden sie für die Malware, um böswillige Diese Methode ist besonders im Zusammenhang Verarbeitungsprozesse, die im Hauptsystem zu auffällig wären, hierhin zu verlagern. 198 WP, DLL-Injection Dasselbe Vorgehen ist auch bei vernetzten Syste- 199 CF, Angriffe aus dem Netz, 2007 200 WP, Router 201 WP, Switch (Computertechnik) 206 202 WP, Wireless Local Area Network - WLAN WP, Prozessor (Hardware) 207 203 CF, Telefonanlage, Server, 2007 WP, Arbeitsspeicher 208 204 Trojaner konfiguriert Router um, Heise online WP, Massenspeicher 13.06.2008 209 Hacker finden einen neuen Platz, um rootkits zu 205 CF, Massenhacks von Webseiten werden zur Plage, verbergen, tecchannel 10.05.2008 14.03.2008 210 WP, Pufferüberlauf Dieter Kochheim, Cybercrime - 42 - men möglich. Beim verteilten Rechnen 211 werden sein können und mit Word-Dokumenten 219, die Verarbeitungsvorgänge zu ihrer Beschleuni- Excel-Tabellen 220 oder Powerpoint- gung auf verschiedene Systeme und ihre Ergeb- Präsentationen 221 verbreitet werden. nisse zentral zusammen geführt 212. Ohne diese Inzwischen wird auch von infizierten PDF- Technik wären Google und andere große Netzan- Dokumenten 222 (Adobe 223) berichtet 224, die als wendungen nicht denkbar. Laufzeitumgebung nach Java (for Applications 225) Sie kann von der Malware - vor Allem in Botnetzen, verlangen. Dasselbe gilt für den FlashPlayer 226 die über eine Vielzahl von Rechnern verfügen - von Adobe 227. dazu genutzt werden, den gezielt angegriffenen Hinter der Makrosprache VBA stecken Pro- Rechner nur mit geringfügigen Lese- und Schreib- grammmodule, die unter ActiveX 228 zusammen prozessen zu belasten und die kapazitätsintensi- gefasst werden und die Datenverarbeitung unter- ven und auffälligen Prozesse auf andere Rechner stützen. Das gilt besonders für grafiklastige An- zu verteilen (Brute-Force-Methode 213 zum wendungen, z.B. für Computerspiele. Cracking 214). Besonders Trojaner, aber auch andere selbst- ablaufende Programme (mit .exe und anderen A.3 4.4 laufender Betrieb Extensionen) nutzen hingegen die Komman- doumgebung, die das Betriebssystem zur Verfü- Neben dem direkten Eingriff auf Systemkompo- gung stellt. nenten versucht vor Allem die klassische Malware sich in laufende Verarbeitungsprozesse einzu- Daneben dienen, wie schon gesagt, exotische schleichen. Das geschieht beim Bootvorgang Abspielprogramme für Musik und Videos sowie ebenso wie beim laufenden Betrieb. als besondere Software für geschlossene Anwen- derkreise beworbene Programme zum Transport Anfällig dafür sind solche Programme, die im Hin- von Malware. Dies gilt besonders für instinktorien- tergrund laufen und die Arbeit mit dem PC erleich- tierte Online-Angebote 229 und Warez-Seiten 230. tern sollen. Besonders bekannt geworden sind in- soweit die E-Mail-Browser, die die Anhänge von E- Mails 215 automatisch ausführen. Moderne Pro- gramme verhindern das und untersuchen die An- hänge zugleich auf schädliche Inhalte. Die Malwor- ker sind deshalb dazu übergegangen, dem An- wender Versprechungen zu machen, um ihn zum unbedarften Programmstart zu bewegen. Aber auch andere Anwenderprogramme sind anfäl- lig. Das Office-Paket von Microsoft 216 stellt mit Vi- 219 WP, Microsoft Word sual Basic for Applications - VBA 217 - eine Umge- 220 WP, Microsoft Excel bung für selbst ausführende Makros 218 zur Verfü- 221 WP, Microsoft PowerPoint gung, die auch mit schädlichem Code bestückt 222 WP, Portable Document Format - PDF 223 WP, Adobe Systems 211 WP, Verteiltes Rechnen 224 Angriffe über präparierte PDF-Dateien werden 212 Siehe: CF, Passwort vergessen? Cloud hilft! ausgefeilter, Heise online 03.06.2008 19.12.2009 225 WP, Java (Programmiersprache) 213 WP, Brute-Force-Methode 226 WP, Adobe Flash 214 WP, Cracker (Computersicherheit) 227 Kritische Schwachstelle im Flash Player wird aktiv 215 WP, Dateianhänge ausgenutzt, Heise online 28.05.2008 216 WP, Microsoft Office 228 WP, ActiveX 217 WP, Visual Basic for Applications - VBA 229 CF, instinktorientierte Online-Angebote, 23.01.2008 218 WP, Makro 230 WP, Warez Dieter Kochheim, Cybercrime - 43 -

A.3 4.5 online Quellcode der Seite (vor Allem Java-Script 236) oder in einem plötzlich erscheinenden Der Anwender, der eine fremde Webseite aufruft, Werbefenster (Pop-up 237) eingebunden sein. gibt dabei einige Basisdaten über sich preis. Das Dasselbe gilt für iFrames 238, die häufig für ist zunächst die nummerische Internetadresse, mit Werbeeinblendungen von fremden Seiten der er sich bewegt und die ihm in aller Regel von verwendet werden und deshalb auch zur seinem Zugangsprovider vorübergehend (dyna- Einschleusung von Schadcode missbraucht misch) zugewiesen wird. Daneben offenbart er werden können. auch den Typ seines Webbrowsers und seinen "Referrer" 231, wenn er etwa eine Suchmaschine Diese aktiven Funktionen können dann zu einem oder eine Linksammlung genutzt hat. Drive-by-Download 239 führen, bei dem allein schon das Aufrufen der Seite dazu reicht, dass Auch die auf seinem System vorhandenen Cookies die Malware unbemerkt zum Anwender übermit- sind lesbar, wenn sie vom Zielserver angefordert telt wird. werden, und können weitere personenbezogene Daten enthalten. Das gilt besonders für die HTTP- Besondere Vorsicht ist geboten, wenn die Websi- Cookies 232, die vom Webbrowser gespeichert und te ein Plug-in 240 zum Download anbietet, das an- übermittelt werden. geblich für irgendwelche besondere Dienste not- wendig sei. Damit soll in aller Regel der Browser Diese relativ allgemeinen Informationen sind nicht manipuliert und die Malware direkt installiert wer- besonders gefährlich und bieten nur wenige An- den. griffspunkte. Sie offenbaren allerdings die persönli- chen Neigungen und Eigenschaften des Anwen- Ganz ähnlich funktioniert die Verbreitung über ders, die zum  Social Engineering missbraucht Peer-to-Peer-Netzwerke 241 (Tauschbörsen 242), werden können. wobei der Download nicht von einem Webserver, sondern von einem Partner erfolgt. Wegen der im Browser gespeicherten Zugangsda- ten für das Homebanking oder Shopping im Inter- Ganz unbemerkt kann ein Angreifer dann die Mal- net sieht das schon anders aus. Sie können zwar ware einsetzen, wenn bereits eine "Hintertür" nicht unmittelbar ausgelesen werden, wohl aber, (Backdoor 243) besteht, die entweder mit einem wenn es dem Angreifer gelingt, den PC mit Malwa- Rootkit 244 oder bereits herstellerseits eingerichtet re zu infiltrieren. wurde (Fernwartung 245). Besonders gefürchtet sind insoweit Telefonanlagen 246, die häufig eine Die dazu verwendeten Methoden wurden bereits direkte Verbindung zum informationsverarbeiten- angesprochen. Es handelt sich um das DNS- den System haben und das besonders dann, Poisoning 233, bei dem die interne Host-Datei so wenn Voice-over-IP 247 - VoIP - genutzt wird (Inter- umgeschrieben wird, dass der Browser zu einer nettelefonie). nachgemachten und präparierten Seite geführt wird, die iframe-Umleitung 234 und das Hacking von Datenbanken für die Bestückung dynamischer 236 WP, JavaScript Webseiten (SQL-Injection 235). 237 WP, Pop-up Die aufgerufene Webseite kann zudem so präpa- 238 WP, Inlineframe riert sein, dass sie unter Ausnutzung von Schwach- 239 WP, Drive-by-Download stellen im Browser eigene Aktivitäten ausführt. Die 240 WP, Plug-in dazu verwendeten Kommandos können sowohl im 241 WP, Peer-to-Peer 242 WP, Tauschbörse 231 WP, Referrer 243 WP, Backdoor 232 WP, HTTP-Cookie 244 WP, Rootkit 233 Siehe oben. 245 WP, Fernwartung 234 Siehe oben. 246 CF, Telefonanlagen 235 WP, SQL-Injection 247 WP, IP-Telefonie Dieter Kochheim, Cybercrime - 44 -

Zur Vertiefung ist auf Bachfeld zu verweisen 248. Mit konto ohne Administratorenrechte ein. Die fachlicher Tiefe beschäftigt er sich in der Zeitschrift Installation von Programmen und Malware ohne c't mit den aktuellen Gefahren aus dem Netz und Ihr Zutun wird dadurch ausgeschlossen. beschreibt er die Techniken im Zusammenhang mit Wenn Sie außerdem keine Zugangsdaten (und infizierten Webseiten. Dazu geht er zunächst auf besonders keine TANs) im System speichern und das Cross-Site-Scripting 249 am Beispiel des XSS- bei verlockenden Diensten erst nachdenken und Wurms ein, wobei mit Hilfe von eingeschleusten dann handeln, kann Ihnen fast nichts mehr Kommandofolgen (JavaScript) versucht wird, diese passieren 255. zusammen mit ungeschützten Systemfunktionen auszuführen. Anschließend beschreibt er Angriffe auf DSL-Router und Webseiten mit dem Cross Site A.3 6. Fazit Request – CSRF 250, wobei die schädli- chen Kommandoanweisungen zusammen mit ei- Malworker versuchen, persönliche Daten nem Link übertragen werden 251. Es folgen Ausfüh- auszuforschen und zu missbrauchen oder den 256 rungen zum DNS-Poisoning 252, dessen Servervari- PC für andere Böswilligkeiten zu verwenden. ante Bachfeld als DNS-Rebinding vorstellt, und zu Sowohl ihre technischen Methoden wie auch ihre IFrames 253. Überredungskünste haben sie immer mehr verfeinert, um fremde Systeme infiltrieren und Abschließend stellt Bachfeld die Same Origin Poli- ihre Malware installieren zu können. cy - SOP 254- vor, die danach verlangt, dass das aufrufende Kommando aus derselben Quelle stam- Dazu werden entweder präparierte Datenträger men muss wie das damit ausgeführte Programm. oder Netzverbindungen verwendet. Wegen der Die SOP verhindert damit viele Formen der vorge- Netzverbindungen kommen alle Dienste in Be- stellten Angriffe, nicht aber zum Beispiel das Nach- tracht, die das Internet und das digitale Telefon laden von Grafiken in IFrames. bieten. Malware soll den Missbrauch unterstützen und ist deshalb wegen ihrer zerstörerischen Eigenschaf- A.3 5. Abwehr ten zurückhaltend. Manchmal kommt es jedoch Gegen die technisch ausgerichteten Angriffe helfen zu dummen Zufällen 257. vor Allem die ständige Aktualisierung der einge- Es mag sie gegeben haben, die Spielkälber unter setzten Programme, der Einsatz einer Firewall den Hackern und Malware-Entwicklern, die nur ih- (zum Absichern benutzter und Schließen unge- ren Spaß haben wollten und wenig Schaden an- nutzter Zugangswege) und eines Virenscanners, richteten. Die moderne Malware ist jedoch profes- der kontinuierlich den Onlineverkehr und die Pro- sionelles Werkzeug, um Straftaten zu begehen. zessverarbeitung überwacht. Daneben ist das Nutzungsverhalten besonders wichtig. Richten Sie unter Windows ein Benutzer-

248 Dirk Bachfeld, Dunkle Flecken. Neuartige Angriffe überrumpeln Webanwender, c't 11/2008, S. 82; siehe auch CF, gewandelte Angriffe aus dem Netz, 29.11.2008. 249 WP, Cross-Site Scripting 250 WP, Cross-Site Request Forgery 251 Siehe auch CF, Nummerntricks. Adressierung im Internetprotokoll, 21.11.2008 252 CF, DNS-Poisoning, 21.11.2008 255 Wegen der weiteren Einzelheiten siehe  A.1. 253 CF, Angriffe gegen Webserver, 21.11.2008 256 CF, verteilter Angriff, 2007 254 WP, Same Origin Policy - SOP 257 CF, alte Praktiken im neuen Gewand, 2007 Dieter Kochheim, Cybercrime - 45 -

A.4 Identitätsdiebstahl und Phishing 258 exklusiven Diensten und Leis- tungen gewähren. Sie können Die Einsätze von Malware 259 und des Social Engi- bei Handelsplattformen wie neerings 260 waren lange davon geprägt, dass sie Amazon oder eBay bestehen zerstörerischen Zwecken dienten 261. Das hat sich 265, bei Warenhäusern, Infor- in den letzten Jahren geändert 262. Digitale Angriffe mationsdiensten (Fachinforma- werden fast nur noch mit dem Ziel durchgeführt, tionen, Zeitungen, Wetter- kriminellen Gewinn zu machen, und das heißt in al- dienst), virtuellen Veranstaltungen wie Second ler Regel, Konto- und andere persönliche oder ge- Life 266 oder geschlossene Spiele 267, zu Versand- werbliche Daten auszuspähen, um sie zur Erpres- diensten wie DHL 268 und UPS 269 und schließlich sung oder zum Missbrauch zu verkaufen oder zum Onlinebanking 270 und anderen Bezahldiens- selber zu verwenden. ten 271 wie PayPal 272, E-Gold 273 und WebMoney 274.

A.4 1. Identitätsdiebstahl In der Zeitschrift c't hat Bachfeld die Situation zu- 275 Der Identitätsdiebstahl 263 ist das Ausspähen per- treffend beschrieben : sönlicher (Echt-) Daten mit dem Ziel, mit ihnen Zu- Leider ist im Internet nichts mehr isoliert zu be- gang zu fremden Online-Konten zu bekommen, um trachten, alles ist irgendwie miteinander verknüpft mit den fremden Daten Leistungen zu erlangen, – und das wissen die Betrüger für sich zu nutzen. Geschäfte abzuschließen, die zulasten des Konto- Das sollte allerdings kein Grund sein, den Kopf in inhabers gebucht werden, oder um sich unter frem- den Sand zu stecken und gar nicht mehr ins Inter- der Identität im Internet und anderswo zu bewegen net zu gehen. ... 264. Online-Konten in diesem Sinne sind nicht nur Bankkonten, sondern alle Accounts, die Zugang zu

258 Die frühen Formen des Phishings werden in dem ersten hier veröffentlichten Arbeitspapier beschrieben: CF, Phishing. Wie funktionieren die Informationstechnik und das Internet? 22.01.2007. Die Erscheinungsformen des Phishings haben sich stark gewandelt und werden in diesem neuen 265 Aufsatz als besondere Ausprägung des CF, Missbrauchsgefahren, 2007 Identitätsdiebstahls behandelt. 266 CF, Second Slum, 15.12.2007 Die Prognosen, die ich 2007 angestellt habe, sind 267 CF, Länderstudie China, 27.07.2008 (Real Money weitgehend eingetreten. Das „alte“ Arbeitspapier ist Trade - RMT) auch deshalb noch immer von Interesse, weil es 268 WP, DHL zeigt, wie Internetadresse und Header-Daten in E- 269 WP, United Parcel Service Mails interpretiert werden können. 270 CF, Sicherheit von Homebanking-Portalen, Siehe auch: 22.03.2008; CF, sicheres Homebanking, CF, Suchmaschinen und -techniken, 29.12.2008; 19.12.2008 CF, Auskunftsdienste im Internet, 06.12.2009; 271 CF, eurasische Verbindungen, 06.12.2009 CF, Internet-Finanzdienste, 2007; CF, neuartige 259 Finanzdienste, 2007; CF, Bezahlen im Internet, Siehe oben  A.3. 19.06.2008. 260 Siehe unten  B. 272 CF, PayPal-Phishing, 13.05.2009 261 Siehe noch CF, neue Herausforderungen, 2007 (WP, 273 CF, Verrechnungssysteme auf der Basis von Sasser). Edelmetallen, 2007 262 Siehe auch CF, Länderstudie USA, 27.07.2008 274 CF, Botnetz-Software und -Betreiber, 13.07.2008 (digitaler Bürgerkrieg). 275 Dirk Bachfeld, Dunkle Flecken. Neuartige Angriffe 263 WP, Identitätsdiebstahl überrumpeln Webanwender, c't 11/2008, S. 82; 264 François Paget, Identitätsdiebstahl, McAfee siehe auch CF, gewandelte Angriffe aus dem Netz, 04.01.2007 (ZIP-Datei) 29.11.2008. Dieter Kochheim, Cybercrime - 46 -

A.4 2. Kontoübernahmen lungseingang auf dem gekaperten Konto und leitet ihn im Lastschriftverfahren weiter 278. Das Die wichtigste Form des Identitätsdiebstahls ist die kann er auch ohne TAN oder iTAN 279 machen. Übernahme bestehender fremder Konten. Eine be- sondere Bedeutung kommt dabei den Handels- Alle Formen des Identitätsdiebstahls können zu plattformen mit Bewertungssystemen zu 276. Unauf- brutalen Missbräuchen genutzt werden, bei fällige Konten mit guten Bewertungen eignen sich denen der Angreifer davon ausgeht, dass das besonders gut zum Stoßbetrug oder zum Absatz Konto alsbald verbrannt und für ihn unbrauchbar von Hehlerware 277. ist. Er kann aber auch behutsame Missbräuche unternehmen, die kaum auffallen, weil er seine Zunächst muss der Angreifer die Kontozugangs- Kontoeinstellungen immer wieder zurücksetzt, um daten ausspähen. Dazu wendet er entweder die sich das gekaperte Konto möglichst lange zu üblichen Überredungsmethoden (soziale Kontakte, erhalten. vorgetäuschte E-Mails, die angeblich vom Ver- anstalter stammen und zur Bestätigung der Zu- Im weiteren Sinne gehört auch die Identitätsver- gangsdaten auffordern) oder technische Methoden schleierung dazu. Sie zeigt sich einerseits in der an (Malware, präparierte Webseiten, Keylogger). Einrichtung von neuen Konten unter fremden Echtdaten, die besonders im Zusammenhang mit Mit diesen Daten dringt er in das fremde Konto ein Warenbestellungen und Handelsgeschäften be- und sperrt den Berechtigten dadurch aus, dass er obachtet wird. Andererseits können Konten auch das Zugangskennwort ändert. Alle weiteren unter erfundenen Daten eingerichtet werden, die Änderungen in den Kontoeinstellungen richten sich vor Allem zur Kommunikation und zur Verbreitung danach, welche Ziele der Angreifer verfolgt. von Dateien genutzt werden. Schließlich kann es  Geschäfte zulasten des Inhabers. In diesem Fall auch darum gehen, eine vollständige Tarnidentität nutzt der Angreifer vor Allem das hinterlegte Bank- aufzubauen, die mit falschen Personalpapieren konto des Inhabers für die Bezahlung von Diensten und einer Legende untermauert wird, zu der auch und Leistungen. Er lässt also die Zahlungsdaten E-Mail- und andere Konten zum täglichen Bedarf unberührt und ändert nur die Lieferadresse, an die und zur Kommunikation gehören. Somit erzielen zum Beispiel Warensendungen gerichtet werden auch die Daten ausgespähter E-Mail-Konten sollen. Nach erfolgter Lieferung wird die Liefer- hohe Schwarzmarktpreise 280. Der einfachste Fall adresse wieder gelöscht, um die Nachverfolgung der Identitätstäuschung ist die Umgehung von Al- zu erschweren. tersbeschränkungen mit fremden oder vorge- 281  Betrug und Absatzgeschäfte. Wenn der Angrei- täuschten Personalien . fer auf Handelsplattformen betrügerische Geschäf- 278 CF, Einzugsermächtigung und Lastschriftverfahren, te abwickeln oder Hehlerware absetzen will, dann 2007 ändert er die Kontodaten, an die die Bezahlung ge- 279 CF, Sicherheit von Homebanking-Portalen, richtet werden soll. Zu gegebener Zeit wird das 22.03.2008 vom Angreifer eingetragene Konto wieder gelöscht, 280 CF, Schwarzmarkt, 19.12.2008; um die Nachverfolgung zu erschweren. Thorsten Holz, Markus Engelberth, Felix Freiling, Learning More About the Underground Economy: A  verschleierte Zahlungsströme. Gar keine Ände- Case-Study of Keyloggers and Dropzones, Uni rungen nimmt der Angreifer dann vor, wenn er ein Mannheim 18.12.2008 (englisch); Bank- oder Bezahlkonto nur zur Durchschleusung Keylogger unter die Lupe genommen, Heise Security 18.12.2008; von Zahlungen verwenden will. Er parkt den Zah- Kriminelle verdienen kräftig an Keyloggern, tecchannel 19.12.2008. 276 Siehe auch CF, Identitätsdiebstahl. Mischformen, 281 Vornamen und die Seriennummern von 19.04.2009; Personalausweisen lassen eine Abschätzung des CF, Plattformhaftung bei Identitätsdiebstahl, Alters des Verwenders zu. Inzwischen gibt es 12.04.2008 Programme, die das digitale Abbild eines 277 CF, Entwicklungen, 01.11.2008; Personalausweises so darstellen, dass ein Kind als CF, falsche Produkte und Hehlerware, 23.02.2008. angeblich Erwachsener durchkommt. Dieter Kochheim, Cybercrime - 47 -

A.4 3. Ziele des Identitätsdiebstahls Wegen der Verschleierung des Zahlungsverkehrs ist ebenfalls § 269 StGB zu prüfen. Es handelt Allen Zielen des Identitätsdiebstahls ist gemein, sich um ein Urkundsdelikt, so dass es dann be- dass der Angreifer seine eigene Identität tarnt. We- deutsam ist, wenn die Identitätsmerkmale des gen seiner Beweggründe im Einzelfall sind sie viel- Kontonutzers verschleiert werden. Außerdem fältig: kommt § 303a StGB (Datenveränderung) schon  Belastung von fremden Verkehrskonten bei Ban- dann in Betracht, wenn die Daten des berechtig- ken und Leistungsanbietern. ten Inhabers verändert werden.  Ausnutzung des Rufes, z.B. im Zusammenhang § 269 StGB kennt zwei Tathandlungen der Daten- mit den Bewertungen bei eBay. manipulation, nämlich das Speichern und das  Abschluss betrügerischer Geschäfte mit Voraus- Verändern, wodurch sowohl die Manipulation zahlungen des getäuschten Käufers. stationärer Daten, die bereits gespeichert sind, der Verarbeitungsvorgang, nach dem die Daten  Nutzung und Verschleierung des Zahlungsver- schließlich gespeichert werden, als auch an den kehrs über Bankkonten und neue Bezahlsysteme. Daten umfasst ist, die nach ihrer Veränderung an  Erlangung virtueller Werte in digitalen Welten eine andere Stelle übermittelt werden. Hierbei ist und Online-Spielen. zu prüfen, ob die verfälschten Daten Bei den ersten drei Ausprägungen dürfte die straf-  Einfluss auf eine Rechtsbeziehung haben, von rechtliche Bewertung verhältnismäßig einfach sein, der mindestens bei einem Beteiligten Rechte oder wenn auch im Einzelfall immer Probleme zu erwar- Pflichten berührt werden, ten sind. Das Problem ist jedoch, dass das Internet  sich auf einen konkreten Aussteller beziehen, ortsungebunden ist und das deutsche Strafrecht an der mithilfe der Daten seine Rechtsbeziehungen den nationalen Grenzen seine Wirkung verliert. gestaltet, und  Wenn „echte Menschen“ getäuscht werden und  in einer Rechtsbeziehung Beweis für eine dadurch einen Vermögensnachteil erleiden, han- Tatsache erbringen sollen. delt es sich in aller Regel um einen Betrug gemäß § 263 StGB. Mindestens vier wichtige Anwendungsfälle sind von der Rechtspraxis als strafbare Fälschung be-  Wenn automatische Prozesse – allein schon weiserheblicher Daten anerkannt worden: durch die unbefugte Nutzung fremder Daten – be- einflusst werden und dadurch fremdes Vermögen  Manipulation des Guthabens auf einer Gutha- 285 verringert wird, dürfte zumeist ein Computerbetrug benkarte , gemäß § 263a StGB vorliegen 282.  nachgemachte E-Mails, die zum Beispiel den  Die Veränderung der Kontodaten, um damit Anschein erwecken, von einer Bank zu stammen Geschäfte oder Zahlungen abzuwickeln, dürfte als (Phishing), Fälschung beweiserheblicher Daten im Sinne von  nachgemachte Websites, die ebenfalls den An- § 269 StGB zu behandeln sein 283. schein vermitteln sollen, sie würden von einer  Allein schon die Aussperrung des berechtigten Inhabers durch Veränderung des Zugangspass- 202a Abs. 2 StGB. Die Daten müssen entweder physikalisch gespeichert sein, dann können sie worts würde ich als Datenveränderung und Com- ausgespäht werden (§ 202a Abs. 1 StGB), oder sie putersabotage gemäß §§ 303a und 303b StGB an- müssen übermittelt werden, dann greift das sehen 284. Abfangen von Daten (§ 202b StGB). Nicht erfasst sind jedenfalls die unmittelbaren Dateneingaben mit einer Tastatur oder anderen physikalischen 282 CF, Computerbetrug, 2007 Schnittstellen (Tablet, Scanner). 283 CF, Fälschung beweiserheblicher Daten, 2007 285 CF, "Nachladen" von Guthabenkarten, 2007 284 CF, Computersabotage, 2007. (Telefonkarte); Zu berücksichtigen ist die gesetzliche Definition in § BGH, Beschluss vom 13.05.2003 - 3 StR 128/03. Dieter Kochheim, Cybercrime - 48 -

Bank oder einem anderen Anbieter stammen und veränderung (§ 303a StGB), und dort, wo Werte verschoben werden, die auch in der realen Welt  Auftreten unter fremdem Namen (Identitäts- einen wirtschaftlichen Wert haben (Möbel im virtu- diebstahl im engeren Sinne) 286. ellen Hotel), beim Computerbetrug (§ 263a StGB) Wenn es um den Absatz gestohlener, ertrogener und der Fälschung beweiserheblicher Daten (§ oder anderweitig rechtswidrig erlangter Waren 269 StGB). geht, ist wegen des Helfers (Finanz- und andere In dem Fall, dass jugendliche Mitspieler mit realer Agenten) Hehlerei zu prüfen (§ 259 StGB). Soweit Gewalt die Herausgabe virtueller Spielausstattun- es um die Sicherung rechtswidrig erlangter Forde- gen verlangt haben, handelt es sich um eine rungen geht (Bankguthaben oder andere Forde- schlichte räuberische Erpressung (§ 255 StGB). rungen, die nicht körperlich sind), kommt auch Geldwäsche in Betracht (§ 261 StGB). Die Ver- Beachtlich ist die Bedeutung, die virtuelle Spiele schiebung von gestohlenen Daten, die man Daten- haben. McAfees Länderstudie für China macht hehlerei nennen würde, ist für sich allein nicht das besonders deutlich 293. Hier sind Goldfarmen strafbar 287. entstanden, in denen rund 100.000 bezahlte Spieler Punktestände erspielen, die dann an zah- lungsbereite Interessenten verkauft werden. Dort, A.4 4. virtuelle Kriminalität wo sich Wirtschaft mit klingender Münze zeigt, Für den „Diebstahl“ virtueller Werte in digitalen verwaschen und überschneiden sich die Grenzen Welten und Online-Spielen gibt es vereinzelte Bei- zwischen virtueller und realer Welt. Das hat schon spiele. Sie betreffen den Ausschluss von Mit- sehr schnell das Second Life gezeigt, wo Banken 294 spielern, die gemeinsam ein Raumschiff für eine gecrasht sind , Kinderpornos ausgetauscht und 295 virtuelle Umgebung konstruiert haben 288, den mit Prostitution Geld gemacht wurde. Diebstahl von kostenpflichtigen Möbeln aus einer virtuellen Hotelsuite 289, Ausstattungsgegenstände für virtuelle Spiele 290 und von Spielgeld, das dort zum Einsatz kommt 291. Den Höhepunkt markiert der rachsüchtige virtuelle Mord einer betrogenen Mitspielerin, die das Benutzerprofil ihres (virtuell!) Geschiedenen löschte 292. Die rechtliche Einstufung dieser virtuellen Krimina- lität ist nicht immer ganz einfach, orientiert sich am Einzelfall und bewegt sich wegen der Kontomani- pulationen im Bereich des Ausspähens und Abfan- gens von Daten (§§ 202a, 202b StGB), der Daten-

286 Siehe Alexander Schultz, § 269 StGB - Fälschung beweiserheblicher Daten, mediendelikte.de; AG Euskirchen, Urteil vom 19.06.2006 - 5 Ds 279/05 (bei www.a-i3.org); bestätigendes Berufungsurteil des LG Bonn, Urteil vom 13.10.2006 - 36 B 24/06 (ebenda). 287 Eine Ausnahme gibt es nur im Zusammenhang mit Geschäfts- und Betriebsgeheimnissen: § 17 UWG. 288 CF, künftige Herausforderungen, 2007 289 CF, Diebstahl virtueller Sachen, 15.11.2007 293 CF, globale Sicherheitsbedrohungen. China, 290 CF, virtueller Diebstahl, 25.10.2008 27.07.2008 291 CF, Diebstahl in Online-Spiel, 01.02.2009 294 CF, Bankenkrach in der Zweiten Welt, 20.08.2007 292 CF, virtueller Mord, 31.10.2008 295 CF, Prostitution im Second Life, 21.10.2007 Dieter Kochheim, Cybercrime - 49 -

A.4 5. Zahlungs- und Geschäftsverkehr des Opfers protokollieren 303. Solche Protokolle erstellt inzwischen jede gut gemachte Bot- Im Zusammenhang mit dem Zahlungs- und Ge- Software. Schon seit 2005 soll der Homebanking- schäftsverkehr haben sich besondere Formen des Trojaner Torpig im Einsatz sein, der unter Win- Identitätsdiebstahls herausgebildet, die im einzel- dows neben Daten für Bankkonten auch Kredit- nen betrachtet werden müssen. kartendaten und FTP-Accounts ausspäht 304. Das Carding beschränkt sich hingegen nicht auf A.4 5.1 Carding Kreditkarten, sondern tritt auch im Zusammen- Beim Ausspähen von Kontodaten geraten nicht nur hang mit anderen Guthabenkarten auf, zum Bei- die Homebanking-Daten 296 der Opfer in das Inter- spiel mit „nachgefüllten“ Tankkarten. Sie täuschen esse der Täter, sondern auch andere persönliche die prüfende Automatik über den Wert der Ge- Daten, die sich verkaufen oder anderweitig miss- genleistung, die in Anspruch genommen werden 305 brauchen lassen 297. Das Bundeskriminalamt fasst kann . diese Formen des Kreditkartenbetruges 298 unter dem Begriff Carding zusammen 299, womit die um- A.4 5.2 Phishing in neuen Formen fassende Verwertung von EC- und Kreditkartenda- ten gemeint ist – vom Ausspähen der Kartennum- Beim Phishing 306 geht es den Tätern darum, die mern und Sicherheitsschlüssel über deren Ver- Kontozugangsdaten zum Onlinebanking auszu- marktung im Web bis zur Produktion gefälschter spähen und für Kontoverfügungen zu missbrau- Kartenkopien 300. chen 307. In seiner ersten Erscheinungsform zeigte es sich in der Weise 308, dass mit verschiedenen Der Handel mit Kreditkartendaten dürfte den größ- Spam-Mail-Kampagnen Bankkunden mit mehr ten Anteil an der Underground Economy ausma- oder weniger originellen Forderungen zur Preis- chen 301. Dort sollen 2007 gestohlene Waren und gabe ihrer Kontozugangsdaten und besonders entsprechende Dienstleistungen im geschätzten von Transaktionsnummern – TAN – bewegt wer- Gesamtwert von 276 Millionen Dollar angeboten den sollten 309. Hierzu kamen vor allem E-Mails worden sein 302. Am meisten würden Kreditkarten- mit Formulareigenschaften zum Einsatz, bei der informationen gehandelt werden (31 %), was ei- die Kontodaten in die vorgegebenen Felder ein- nem Missbrauchsvolumen von 5,3 Milliarden Dollar getragen werden sollten 310. Mit anderen Spam- entspräche. Ihnen sollen mit 20 % Marktanteil die Kampagnen wurden und werden noch immer Fi- Kontozugangsinformationen folgen, die ein Miss- nanzagenten geworben, die die erbeuteten Gel- brauchspotential von 1,7 Milliarden Dollar präsen- tieren würden.

Für diese Form des Betruges werden manipulierte 303 CF, Gegenspionage wider 'ZeuS' und 'Nethell', Webseiten eingesetzt, die den Besuchern lukrative 19.12.2008 Angebote vorgaukeln und bei dieser Gelegenheit 304 Trojaner stiehlt Zugangsdaten von 300.000 die Kreditkartendaten abfragen, oder Malware mit Bankkonten, Heise online 03.11.2008 Keylogger-Eigenschaften, die den Online-Verkehr 305 CF, "Nachladen" von Guthabenkarten, 2007 306 WP, Phishing 307 CF, Phishing: Zusammenfassung krimineller 296 Siehe 5.2 Phishing. Methoden, 2007 297 Siehe auch CF, Carder, 13.07.2008 308 Siehe auch CF, Phishing. Wie funktionieren die 298 WP, Kreditkartenbetrug Informationstechnik und das Internet? 22.01.2007. 299 CF, Zahlungskartenkriminalität, 01.11.2008 309 CF, Phishing-Aktion, 2007; 300 Thomas Kuhn, Die raffiniert dreisten Tricks der die alte Vorgehensweise taucht gelegentlich immer Online-Betrüger, wiwo.de 06.11.2008 noch auf: CF, TAN-Nachweis, 02.03.2010. 301 CF, Schattenwirtschaft im Internet, 24.11.2008 310 CF, Formen des Phishings, 2007; 302 Cyberkriminelle lieben Kreditkarten, tecchannel siehe auch CF, Urteil gegen Phisher-Gruppe, 24.11.2008 04.09.2008 Dieter Kochheim, Cybercrime - 50 - der an die Hinterleute weiter leiten sollen 311. Botnetze für ihre CC- 319 und Fluxserver 320 und Phishing-Malware für ihre Updates sowie für die Ende 2007 wandelte sich die Gestalt des Phis- Formulare, die sie beim Angriff einsetzt 321. hings 312. Die E-Mails forderten die Bankkunden nicht mehr dazu auf, per Mail zu antworten, son- Die wichtigste Gegenmaßnahme der Finanzwirt- dern aus Sicherheitsgründen die (nachgemachte) schaft ist die Einführung indizierten Transaktions- Bankseite im Internet aufzusuchen, um dort weite- nummern, iTAN gewesen 322. Bei ihrem Einsatz re Anweisungen zu erhalten. Daraus wurde schnell fragt das Rechenzentrum der Bank keine ein Massenphänomen, das als Pharming bezeich- beliebige TAN aus der dem Kunden vorliegenden net wird 313. Dazu werden auf einem gehackten Liste ab, sondern eine bestimmte aus der jetzt Webserver eine Vielzahl nachgemachter Banksei- durchnummerierten Liste. Verwandte Verfahren ten verschiedener Finanzinstitute abgelegt, zu de- werden zum Beispiel unter den Bezeichnungen nen die Kunden verführt werden. Auch wenn die mTAN 323 und eTAN 324 betrieben. Bei einem nachgemachten Webauftritte nur wenige Tage aktiv anderen, aufwändigen Verfahren werden blieben, so reichte das den Tätern für ihre kriminel- Grafiken und Schlüsselcodes sowohl per Internet len Geschäfte aus. wie auch per Mobilfunk ausgetauscht, wobei grafische Anzeigen manuell übertragen werden Gleichzeitig wurden das Layout der Anschreiben müssen 325. und der Webseiten immer besser und auch die Sprache fehlerfrei und jargonangemessen 314. Als Silentbanker war der erste im Herbst 2007 aufge- thematischer Aufhänger wird jede Gelegenheit ge- tretene Trojaner, der sich unmittelbar in den Ho- nutzt, um das Interesse der Bankkunden zu we- mebanking-Vorgang einschaltete und Kontoverfü- cken, so auch die Finanzkrise 315. gungen manipulierte 326. In Brasilien wird der dort sehr verbreitete Einsatz von Onlinebanking- Seit 2008 werden kaum noch Phishing-Mails ver- Malware unter dem Begriff Password Stealer dis- sandt. Die Täter sind dazu übergegangen, harmlos kutiert 327. wirkende und in den Suchmaschinen gut platzierte Webseiten zu manipulieren, um darüber Bankkun- Die neue Generation dieser Malware überträgt den auf nachgemachte Bankseiten zu führen 316. zunächst nur einen Loader. Dabei handelt es sich Dazu entstand äußerst schnell in der Underground meistens um sehr kleine Kommandopakete, die Economy ein Markt für ausgespähte Konto- (Phis- sich zusammen mit attraktiven Anwendungen, hing) und Kartendaten (Carding) 317 sowie Dienst- Dokumenten oder Bildern einnisten und installie- angebote zur Erstellung von Phishing-Seiten 318. Dadurch ist das Phishing und der Einsatz von 319 Command-and-Control-Server; zentrale Steuerung Botnetzen zusammen gewachsen. Beide eines Botnetzes. 320 benötigen eine ständige Verfügbarkeit im Netz, die Dezentrale Steuerung eines Botnetzes durch (gekaperte) Webserver. Dabei bleibt der CC-Server getarnt. 321 Daniel Bachfeld, Einzelne Bande war für zwei Drittel aller Phishing-Angriffe verantwortlich, Heise 311 CF, Finanzagenten, 2007 online 17.05.2010 312 CF, Lagebild IT-Sicherheit 2007, 12.03.2008 322 Sie wird gelegentlich auch mit einer 313 CF, Anstieg von Phishing-Seiten (Pharming), Bestätigungsnummer – BEN – kombiniert. 21.06.2007 323 CF, Sicherheit von Homebanking-Portalen, 314 CF, Länderstudie Deutschland, 27.07.2008 22.03.2008; 315 CF, Die Krisenphisher, 22.12.2008 CF, Bezahlen mit dem Handy, 25.01.2008 324 316 CF, Massenhacks von Webseiten werden zur Plage, WP, eTAN-Generator (BW-Bank) 14.03.2008 325 Fotohandy-Verfahren trickst Trojaner aus, 317 CF, geklaute Daten zum Schnäppchenpreis, tecchannel 05.11.2008 09.04.2008 326 CF, neue Methode gegen Homebanking-Malware, 318 CF, qualitätskontrollierter Kontomissbrauch, 06.11.2008 09.05.2008 327 CF, Länderstudie Brasilien, 27.07.2008 Dieter Kochheim, Cybercrime - 51 - ren 328. Nach der Methode, die auch die Botnetz- soll beispielsweise laut dem Antiviren- Malware verwendet, nimmt der Loader sodann Spezialisten Kaspersky 56 Bankenseiten Kontakt zu seinem Update-Server auf und lädt die imitieren können. Programmteile und Einstellungen, die als Malware Eine Variante davon übermittelt den Beginn der zum Einsatz kommen sollen. Auf diese Weise Homebanking-Session dem Täter, der sich dann können auch neue Bestandteile installiert oder die als Man-in-the-Middle einklinken kann und die be- Tarnung erneuert werden 329. schriebenen Manipulationen von Hand Die ersten bekannt gewordenen Formen über- durchführen kann. wachten und protokollierten den Homebanking- Auf eine gemeine Phishing-Variante ist ein Mitar- Vorgang, brachen eine Überweisung des Opfers beiter der US-Supermarktkette Supervalu herein- nach Eingabe der Transaktionsnummer – TAN – ab gefallen. In einer E-Mail haben die Täter behaup- und übermittelten die Kontozugangsdaten, also tet, dass sich die Kontoverbindungen von zwei Kontonummer und Persönliche Identifikations- Lieferanten geändert habe. Der Mitarbeiter nummer – PIN – sowie die ausgespähte TAN an änderte die Kontodaten. Dadurch flossen die Drop Zone, den sicheren Speicherort des Tä- innerhalb weniger Tage etwa 10 Millionen $ auf ters. Danach kappte die Malware die Internetver- Nimmerwiedersehen auf die Konten der Phisher bindung des Opfers und verhinderte die Wieder- 331. aufnahme der Verbindung. Aus der Drop Zone nahm der Täter die ausgespähten Daten auf und missbrauchte das Konto des Opfers mit etwas zeit- A.4 5.3 Beutesicherung lichem Verzug. Finanzagenten dienen dazu, die Geldbeträge von Die Entwicklung ging weiter. Neuere Methoden den Konten der Phishingopfer an die Hinterleute führen den Missbrauch direkt während der Home- weiter zu senden. In den frühen Fällen versuch- 330 banking-Session des Opfers aus . Dazu kann die ten die Täter, das Geld unmittelbar in die Länder Malware selbständig eine Überweisung generieren des Baltikums oder nach Russland zu überwei- mit den Empfängerdaten, die ihr entweder fest sen, was an den Sicherheitsprüfungen der Ban- einprogrammiert sind oder die sie vom Update- ken ganz überwiegend scheiterte. Server holt. Von dem Opfer erfordert sie entweder mit Tricks die Eingabe der vom Bankserver Die Finanzagenten wurden meistens damit beauf- erforderten iTAN (z.B. mit einem Sicherheitshin- tragt, das auf ihren Konten eingehende Geld über 332 weis oder anlässlich von Seitenaufrufen, die übli- Western Union ins Ausland zu transferieren . cherweise keine Angabe einer iTAN verlangen - Das Unternehmen geriet dadurch in den Ruf, wie bei der Kontoübersicht) oder sie wartet, bis das leichtfertig Kriminelle zu unterstützen, und leitete Opfer selber eine Transaktion ausführt. In diesen bereits 2006 Gegenmaßnahmen ein. Seither sind Fällen wird dem Opfer mit entsprechend mani- keine anonymen Transaktionen in Deutschland pulierten Bildschirmanzeigen vorgegaukelt, dass möglich und müssen sich alle Kunden ausweisen. nur die von ihm gewollte Transaktion ausgeführt Im Ausland sieht das anders aus; die Empfänger oder bestätigt wird. Bachfeld: Solche Trojaner bau- bleiben unerkannt. en eigene Verbindungen zum Online-Banking des Nach einem oder zwei Einsätzen sind die Finanz- Kunden auf und nehmen mit einer abgeluchsten agenten verbrannt. Sie machen sich wegen TAN eigene Überweisungen vor. Dabei präsentie- leichtfertiger Geldwäsche strafbar 333 (§ 261 ren sie dem Anwender im Browser nachgemachte StGB) und haften den Phishingopfern in voller Banking-Seiten. Der Trojaner Win32.Banker.ohq Höhe des Geldbetrages, der ihren Konten belas-

328 CF, Phishing mit Homebanking-Malware, 22.10.2008 331 CF, Kontoverbindungs-Phishing, 31.10.2007 329 CF, Formularfelder von Trojaner Limbo, 30.09.2008 332 CF, Auslandsüberweisungen per Bargeldtransfer, 330 Daniel Bachfeld, Zahl oder Karte. Sicherer Zugriff 2007 aufs Online-Konto, c't 17/2008, S. 94 333 CF, Finanzagenten, 2007 Dieter Kochheim, Cybercrime - 52 -

tet wurde 334. scheinen sich die Täter qualifiziert und getrennt zu haben. Die Anwerbung von Finanzagenten Die Beutesicherung stellt deshalb eines der größ- und die Durchführung des Phishings selber schei- ten Probleme für die Phishing-Täter dar. Sie ex- nen jetzt unterschiedliche Operation Groups zu perimentieren deshalb mit allen Formen der Geld- praktizieren. wäsche, die schon bekannt sind 335 und mit Web- Money und Paysafecard weitere Spielarten be- kommen haben 336. A.4 5.4 Online-Warenhäuser Eine Variante davon sind die Paketagenten 337. Sie Das Schaubild zeigt das vollständige Vorgehen stellen keine Lieferadresse für Geldüberweisungen der Täter beim Missbrauch von ausgespähten Zu- zur Verfügung, sondern empfangen an ihrer gangsdaten zu Warenhaus-Konten. Zunächst Privatadresse Pakete, die mit werthaltigen Waren werden von einer Malware die persönlichen Da- gefüllt sind (Elektronik, Arzneimittel und ent- ten des Opfers ausgespäht, protokolliert und in ei- sprechende Handelsgüter) und die sie an die aus- ner Drop Zone 339 wahllos abgelegt. "Interessen- ländische Zieladresse weiter senden. Nicht selten ten" können dann mit einer einfachen Software wird bei ihrer Einwerbung an ihrem Robin-Hood- den Datenbestand sichten, auswerten und die sie Nerv gerüttelt: Die Handelsbeschränkungen der interessierenden Daten erwerben. EU würden Drittländer benachteiligen und deshalb könnten die Paketagenten mehr Gerechtigkeit in Mit diesen Daten sucht der Täter das vom Opfer die Handelswelt durch ihr Tun bringen. Natürlich genutzte Online-Warenhaus auf und ändert zu- sei alles ganz legal – wenn da nicht das Strafrecht nächst das Kennwort, womit er den rechtmäßigen wäre (Absatzhilfe 338, § 259 Abs. 1 StGB). Inhaber des Kontos von der weiteren Nutzung ausschließt. Sodann ändert der Täter die Liefer- Jedenfalls im Zusammenhang mit dem Phishing adresse. Die neue Lieferadresse wird meistens sein: 334 Zum Beispiel LG Köln, Urteil vom 05.12.2007 - 9 S 195/07  Anschrift eines Agenten, der den Weiterver- 335 CF, grenzüberschreitender Vermögenstransfer, 2007 sand durchführt. Wie dem Finanzagenten droht 336 CF, Beutesicherung, 11.04.2010 diesem Annahmeagenten die Identifikation und 337 CF, Transfer von Sachwerten, 2007 Strafverfolgung. 338 Dieter Kochheim, Der Hehler ist kein Stehler. Hehlerei und Absatzhilfe, 11.11.2009 339 CF, Drop Zone, 13.07.2008 Dieter Kochheim, Cybercrime - 53 -

 Scheinadresse, z.B. eine leer stehende Woh- A.4 5.5 Aktienkursmanipulation nung in einem Mehrfamilienhaus. Am Klingelschild In der klassischen Variante der Aktienkursmanipu- und am Briefkasten müssen nur passende Namen lation erwirbt der Täter zunächst Penny-Stocks zu angebracht werden. Für die Kontrolle des Briefkas- einem kleinen Preis und versucht dann mit Spam- tens und die Entnahme von Zustellbe- Aktionen und anderer gezielter Öffentlichkeitsar- nachrichtigungen empfiehlt sich ein freundlicher beit Käufer für diese Aktien zu gewinnen. Je mehr Hausbewohner. er zum Kauf überredet, desto höher steigt der  Gemietetes Paketfach in einer Packstation. Die Marktpreis der Aktien und damit der Depotwert Abholung erfolgt dann anonym und außerhalb der des Täters. Zur passenden Zeit verkauft er seine Geschäftszeit. Aktien zu dem gepushten Preis.  Die Lieferung an eine Packstation lässt sich Eine neue Spielart verzichtet auf die Öffentlich- auch mit einem Nachsendeantrag koppeln. Das keitsarbeit und ersetzt sie durch Hacking und verhindert, dass das Warenhaus misstrauisch wird. Kontomanipulationen.  Lieferung ins Ausland. Die europa- und weltweit Zunächst muss der Täter auch bei dieser Metho- operierenden Paketdienste machen es möglich. de investieren, indem er ein Aktienpaket mit Pen- Nur das Warenhaus wird das wahrscheinlich nicht ny-Stocks erwirbt und vom Ausland aus in ein Ak- mitmachen. tiendepot in Deutschland stellt (blau unterlegt). Danach startet er eine groß angelegte Aktion in Sobald die Kontodaten abgeändert sind, kann der den USA, bei der er die Aktiendepots von Bank- Täter bestellen. Das Nachsehen hat das Opfer, kunden missbraucht. Die einlagernden Wertpa- dessen Daten missbraucht werden. Seinem Konto piere verkauft der Täter und erwirbt dafür genau werden die Kosten belastet und es hat den Ärger die Penny-Stocks, die er vorher selber eingekauft am Hals. hat (hellgrün unterlegt). Je mehr Depots er auf diese Weise missbraucht, desto höher steigt der Kurs der Aktien und damit auch der Kurswert seines Depots. Sobald der Dieter Kochheim, Cybercrime - 54 -

Einkauf der Aktien den Grad der Marktsättigung Außerdem erfolgt die Wertsteigerung im deut- und der Kurs den höchstmöglichen Stand erreicht schen Depot nicht dadurch, dass Zahlungen ein- haben, verkauft der Täter seinen eigenen Wertpa- gehen, sondern dadurch, dass der Tauschwert an pierbestand - an eines der von ihm missbrauchten der Börse gestiegen ist. Der Wertzuwachs grün- USA-Depots und mit höchsten Gewinn. Diesen det also auf einem Tauschmechanismus, auf den streicht er ein, indem er das eigene Depot in der Täter zwar mittelbar (durch immer neue Kauf- Deutschland auflöst. In den USA verlieren die ma- nachfragen) Einfluss genommen, den er aber nipulierten Depots darauf ganz erheblich an Wert. nicht unmittelbar beeinflusst hat. Somit fehlt es an Die meisten dürften dann auf fast Null gefahren der Stoffgleichheit. sein (insbesondere dann, wenn der Täter im Akti- enhandel auch aus den Depots mit großen Bestän- den, die er zu Beginn seiner Aktion angelegt hat, A.4 6. Fazit Verkäufe zulässt). Mit der wachsenden Internetnutzung entfaltet und Dieses Beispiel zeigt die fatale Folge davon, dass verbreitet sich auch der Identitätsdiebstahl. Ihm im Bereich der Cybercrime die Täter zwar interna- geht es darum, andere zu schädigen, indem ihr tional agieren, die Rechtsordnungen jedoch an den Ansehen missbraucht oder ihr Vermögen gestoh- nationalstaatlichen Grenzen enden. len wird. Selbst wenn man auf das Beispiel vollständig das Seine Formen richten sich gegen alle sozialen deutsche Strafrecht anwenden könnte, wären die und wirtschaftlichen Prozesse im Internet. Bevor- Einrichtung, der Betrieb und die Auflösung des Ak- zugt werden Geldgeschäfte. Aber auch private tiendepots in Deutschland - für sich allein betrach- Äußerungen können zum Social Engineering und tet - nicht strafbar. zur Tarnung der Täter missbraucht werden. Die Manipulationen in den USA wären nach deut- Das Internet ist keine Kuschelzone, sondern ein schem Recht als Computerbetrug (§ 263a StGB) öffentlicher Raum, in dem Gefahren lauern. Es und Fälschung beweiserheblicher Daten (§ 269 verlangt nach einem bewussten Umgang und ei- StGB) strafbar. Der Handlungsort und alle anderen ner gewissen Zurückhaltung, wenn es um die Of- eine örtliche Zuständigkeit begründenden Umstän- fenbarung peinlicher oder wirtschaftlich wertvoller de sind im Ausland angesiedelt, so dass die Straf- Informationen geht. verfolgung in Deutschland nicht zulässig ist. Jede offenbarte Information, die für sich alleine Die Wertsteigerung des Aktiendepots in Deutsch- oder in Verbindung mit anderen Informationen land begründet keinen Erfolgsort im Sinne von einen Missbrauch ermöglicht, birgt die Gefahr, § 7 Abs. 1 StPO. Das liegt daran, dass die Straf- dass ein solcher Missbrauch auch erfolgt. Das vorschrift über den Betrug (§ 263 StGB) und ihr fol- lehren die hier beschriebenen Beispiele. Sie zei- gend für den Computerbetrug (§ 263a StGB) nach gen auch, dass das Internet kein abgeschlosse- einer Stoffgleichheit zwischen den Vermögens- nes Paralleluniversum ist, sondern ein integraler schäden, die durch die Manipulationen in den USA Bestandteil unserer heutigen Lebensumgebung. entstanden sind, und dem Vermögenszuwachs Es hat Besonderheiten, weil es keine Grenzen verlangen, den er erlangt hat. und wahrnehmbare Entfernungen kennt. Dadurch ist es schnelllebig und pausenlos. Daran fehlt es aus zwei Gründen. Der Wertverlust in den USA tritt erst ein, nachdem der Täter seinen Aktienbestand verkauft hat und er weitere Kursma- nipulationen in den USA unterlässt. Die Stoffgleich- heit verlangt hingegen, dass ein Vermögensnach- teil auf der einen Seite unmittelbar zu einem Ver- mögensvorteil auf der anderen Seite führt. Dieter Kochheim, Cybercrime - 55 -

A.5 Botnetze Botnetze: Angriff der unerkannten Computer- 1993 wurde die erste Botsoftware eingesetzt: zombies Eggdrop 340. Spätestens seit 2005 sind die Botnet- ... Der Ursprung der Botnetze liegt in der Internet ze im Interesse der Fachöffentlichkeit 341, während Relay Chat (IRC)-Szene und klingt wie ein Mär- die meisten Privatanwender wenig über sie wissen chen. Einst wurden dort Nutzer, die gegen die Re- 342. Es handelt sich dabei um infiltrierte Rechner in geln verstießen, hinausgeworfen - eine virtuelle 343 Vertreibung aus dem Paradies. Einige von ihnen großer Zahl , die z.B. für Spam-Aktionen oder wollten sich rächen und entwickelten Wege, um verteilte Angriffe 344 missbraucht werden können. die IRC-Server oder Kanäle zu schädigen. Dies Drei Gruppierungen scheinen dabei um den größ- war vor allem deswegen so einfach, weil IRC ein ten Marktanteil zu kämpfen: Warezov, Bagle und sehr offenes Protokoll ist, das ähnlich wie SMTP Zhelatin. (Send Mail Transfer Protocol), leicht missbraucht werden kann. Im Laufe der Zeit entwickelten sich In der frühen Entwicklungsphase war das Schick- kleine Programme, die nun auch Server angreifen sal eines infiltrierten PCs in erster Linie ärgerlich konnten, die nichts mit IRC zu tun hatten - die ersten Denial-of-Service-Attacken. Noch heute und kostenträchtig, weil die Bot-Malware "nur" nutzen viele Hacker den IRC-Kanal als Kosten für die Verbindungen zum Internet schma- Kommunikationsstrang, über den sie ihre Botnetze rozte, echte Schäden aber nur bei Dritten verur- kontrollieren. sachte (Sankt Florian lässt grüßen). Mit den Ent- Um ein Botnetz zu bauen, muss das entsprechen- wicklungen im Zusammenhang mit dem Phishing de Programm erst einmal auf den Nutzerrechner und dem Identitätsdiebstahl sind alle befangenen gelangen. Meisten werden dafür Sicherheitslücken PCs aber beängstigenden Gefahren unterworfen. in Windows oder Server-Systemen ausgenutzt. Vi- ren oder Würmer dringen durch diese Schlupflö- cher auf den Rechnern ein und hinterlassen tief im System eine kleine .exe-Datei, die sich selbst fort- pflanzt und durch eine Hintertür Kontakt mit ihrem "Herren" aufnimmt. Das tut sie, indem sie sich auf einen bestimmten IRC-Channel einwählt und dort still und leise auf Befehle wartet. Der Nutzer be- kommt davon im Idealfall nichts mit. … 345

A.5 1. Infektion und Infiltration Zum "Zombie" wird der eigene Rechner zunächst durch Injektion. Sie nutzt alle Wege, die die Mal- ware kennt: Fremde Datenträger, Anhänge an E- Mails, Infusionen (Injektions) beim Aufruf von 340 Rob Thomas, Was sind Bots und Botnetze? RUS- Webseiten - als Beigabe zu aktiven Funktionen - Cert 2003 und die direkte Manipulation eines Handwerkers. 341 Sturm-Wurm-Botnetz mit über 1,7 Millionen Drohnen, Im zweiten Schritt muss sie sich einnisten (Infekti- Heise online 18.08.2007 on) Tom Fischer, Botnets, RUS-Cert - Uni Stuttgart 14.03.2005 Gegen die Methoden des Social Engineering, die BSI, Bot-Netze, BSI 2007 uns zu übertöpeln versuchen (persönliche Kon- 342 Symantec-Umfrage: Bots und Botnetze kaum takte, E-Mail-Anhänge, Website-Injection), hilft die bekannt, Heise Security 15.06.2007 Vorsicht in Kombination mit Firewalls und Viren- 343 Schädliche E-Mails bauen riesige Botnetze auf, Chip scannern, die auch gegen die aktive Malware wir- online 23.08.2007; ken (z.B. IP-Würmer). Krieg der Würmer, Heise online 14.05.2007; Weihnachten ließ Botnetze schrumpfen, Heise online 345 Auszug aus Nicola D. Schmidt, Botnetze: Angriff 28.12.2006 der unerkannten Computerzombies, ZDNet.de 344 WP, Distributed Denial of Service - DDoS 26.08.2005 Dieter Kochheim, Cybercrime - 56 -

Die Methoden, fremde Rechner steuern zu wollen, entstammen offenbar verschiedenen Quellen. ZDNet.de sieht ihren technischen Ursprung zu Recht im Internet Relay Chat – IRC 346. Hier ging es aber um sehr harte Methoden, um Zu- gangsbeschränkungen zu umgehen. Die aktuelle Botnetz-Software ist feinsinniger 347 und dürfte we- gen ihrer Steuerungsfunktionen ihre Heimat eher in sich in aller Regel auf einem gehackten IRC- den gewerblichen Strategien zur Softwarevertei- Server. lung und im zentralen IT-Management haben 348. Der Angreifer kann das infiltrierte System miss- Mit der Botsteuerung "Zunker" lassen sich zum brauchen wie ein erfolgreicher Hacker. Alle Sys- Beispiel alle infiltrierten Systeme wegen ihrer Er- temfunktionen, Dokumente und ungesicherte In- reichbarkeit und Leistungsmerkmale überwachen, formationen stehen ihm offen 352. steuern und für Aktionen koordinieren 349. Diese Funktionsvielfalt ist sonst nur aus der Fernwartung Eine übliche Strategie besteht darin, das System 350 für zentral verwaltete Computernetzwerke be- als Konsole für die Botnetzverwaltung einzurich- kannt. ten und hiermit die übrigen Zombies zu verwalten und zu steuern. Bei einer Analyse des Botnetzes kann dann nur der infiltrierte Rechner festgestellt A.5 2. Übernahme. Konsole werden, nicht aber die Herkunft des Angreifers. Die ersten Schritte für die Infiltration unternimmt die Bot-Software selbsttätig. Sie wirkt so, wie es A.5 3. zentrale und dezentrale Steuerung auch von anderen Würmern und Trojanern bekannt ist, nistet sich ein, manipuliert die Sicherheits- Für die Steuerung des Botnetzes muss zumindest einstellungen sowie die Firewall und tarnt sich vor ein zentraler Server eingerichtet werden. Seine der Entdeckung durch Viren- und anderen Malwa- wichtigste Eigenschaft ist die, dass er eine konti- rescannern 351. nuierliche Verbindung zum Internet haben muss, also kein Gelegenheitsnutzer ist. Hierzu eignen Anschließend prüft sie, ob der infiltrierte Rechner sich am besten Webserver, die als Hostserver In- eine Verbindung zum Internet hat und meldet sich ternetauftritte präsentieren. Beliebte Standorte für dann bei der Botnetz-Steuerung als bereit. missbrauchte Systeme sind in den USA und in Die zentrale Steuerung sollte keinen direkten Hin- Asien. Mit der zunehmenden Verbreitung dedi- weis auf den Angreifer geben. Deshalb befindet sie zierter Server 353 bei Privatanwendern und ihrer häufig unzureichenden Sicherung dürften beson- 346 WP, Internet Relay Chat - IRC ders diese Systeme zum Missbrauch reizen. 347 Moritz Jäger, Das Netz der Phisher: Wie Online- Die zentrale Steuerung kann für verschiedene Betrüger arbeiten, tecchannel 20.09.2006; Zwecke eingesetzt werden. Die gebräuchlichsten Ihr PC als Komplize: Piraten-Software gezielt sind: bekämpfen, Heise online 06.01.2007 348 WP, IT Infrastructure Library - ITIL  Kontaktstelle für infiltrierte Botrechner 349 "Zunker", das Administrator-Tool für Bot-Netze, IT- Defender.com 15.05.2007  Ablagestelle für ausspionierte Daten Zunker Bot, PandaLabs Blog 08.05.2007;  Depot für Programmupdates Screenshot, ebd. 350 WP, Fernwartung 352 351 CF, Datenveränderung, 2007; CF, Vergleichbar mit der Quellen-TKÜ: CF, Online- Computersabotage, 2007; CF, Superwürmer, 2007; Zugriff an der Quelle, 08.11.2008. CF, Malware, 12.05.2008. 353 WP, Dedizierter Server Dieter Kochheim, Cybercrime - 57 -

 Hostplattform für "Pharmen" Aktuelle Botnetze haben keine zentrale Steuerung, sondern verfügen über eine Zwischenschicht aus Proxyservern 354. Bei ihnen wird zwischen dem zentralen IRC- Server, dem "Mutterschiff", und den infizierten Zombies ein "Fast-Flux-Netz" installiert, das aus Proxyservern besteht, von denen jeder ein Teil der Zombies steuert und verwaltet.

Hierzu bekommen die Zombies bereits mehrere In- A.5 5. kriminelle Einsätze ternetadressen (IP) einprogrammiert, an die sie Im Anschluss an die Übernahme durchforstet die ihre Bereitschaft melden. Wird der erste Kontakt Bot-Malware zunächst den Zombie nach den per- herstellt, können sie mit neuen Instruktionen verse- sönlichen Daten des Anwenders, die sich zu ei- hen werden. Fällt ein Proxy aus, so können seine nem Missbrauch eignen. Sie werden an eine Aufgaben von einem anderen wahrgenommen Drop Zone gesendet, wo sie in aller Regel von In- werden. teressierten durchgesehen und erworben werden Das "Mutterschiff" versteckt sich hinter den Proxies können. und kann vom Zombie aus nicht lokalisiert werden. Ein „guter“ Zombie ist ein technisch gut ausge- Erst wenn die "Abwehr" einen der Proxies überwa- stattetes System mit einem ständigen Anschluss chen kann, kann sie dessen Steuerung und somit an das Internet. Mit möglichst vielen Zombies, die das "Mutterschiff" erkennen. in das Botnetz eingebunden sind, lassen sich jede Menge krimineller Aktionen durchführen – und damit Geld verdienen. A.5 4. Einrichtung des Botnetzes Die infiltrierten Rechner melden ihre "Bereitschaft" an die einprogrammierte IP-Adresse des "Mutter- A.5 5.1 verteilter Angriff schiffes" oder den zwischengeschalteten Proxyser- Ein häufiger Einsatz ist die Durchführung von ver- vern. teilten Angriffen 356- DDoS. Hierbei richten viele Während die Dateien, die für die Infiltration erfor- koordinierte Rechner immer wieder dieselben derlich sind, so klein gehalten werden können, wie Kontaktanfragen an einen ausgewählten Server, sie für den Angriff nötig sind, können jetzt neue der diese Menge irgendwann nicht mehr bewälti- Versionen (Updates), Erweiterungen und Einsatz- gen kann und seinen Betrieb einstellt. Viele nam- ziele übermittelt und installiert werden. hafte Internetdienste sind bereits das Opfer sol- 357 Über diese perfide Strategie verfügen erst neuere cher Angriffe geworden . Würmer und Trojaner. Sie zeigt das erhebliche Allein mit der Drohung der Täter, sie könnten ge- Wissen, die konsequente Planung und die gewis- gen einen gewerblichen Internetdienst einen senlose Durchführung, die mit den modernen An- DDoS-Angriff durchführen, lässt sich Geld verdie- griffen mit den Methoden der Cybercrime verbun- nen. Solche Ansinnen sind seit Jahren bekannt den sind. Die kriminelle Energie, mit der die Bot- netz-Betreiber agieren, steht der der Phisher in 356 WP, Denial of Service (Distributed Denial of nichts nach 355. Service – DdoS); siehe Grafik oben. 357 BSI, Denial-of-Service-Attacken, BSI 2007; Matthias Bernauer, Leonard Rau, Netzwerkangriffe 354 Jürgen Schmidt, Hydra der Moderne. Die neuen durch DDoS-Attacken, Uni Freiburg 27.01.2006; Tricks der Spammer und Phisher, c't 18/2007, S. 76; Mailserver ächzen unter Spam-Last, Heise online CF, Angriffe und Botnetze, 01.10.2007. 25.05.2007; 355 CF, Phishing, organisierte Strukturen, 2007 CF, täglich 250.000 neue Zombies, 26.09.2007 Dieter Kochheim, Cybercrime - 58 - und man nennt sie auch Erpressung 358 (§ 253 A.5 5.2 Spamming und Phishing StGB, 359). Das werbende Spamming 361 und das Phishing Die Folgen eines DDoS-Angriffs können aber auch 362 sind erst dadurch möglich geworden, dass E- ganz unbeabsichtigt aufgrund eines unvorhergese- Mails massenhaft an eine Vielzahl von Empfän- henen Interesses der Internet-Öffentlichkeit eintre- gern versandt werden und nur eine verschwin- ten, wie eBay schmerzlich erfahren hat 360. dende Zahl erfolgreich bleibt 363. Schon der "normale" Versand von Spam-Mails ist kostengünstig. Noch billiger wird er, wenn ge- hackte Server oder Botnetze zum Einsatz kom- men 364.

361 358 Beispiele: Belohnung für Hinweise zu DDoS- CF, Spamming mit missbrauchter Attacken, Heise online 12.07.2007; Absenderadresse, 23.04.2007 Patrick Brauch, Geld oder Netz! Kriminelle 362 Siehe CF, Zusammenarbeit der Szenen, 2007; erpressen Online-Wettbüros mit DDoS-Attacken, c't Spammer und Phisher rüsten auf, Heise online 14/2004, S. 48; 18.08.2007; Frank Ziemann, Erpressungen mit DDoS-Angriffen E-Mails: 90 Prozent sind Spam, Heise online nehmen zu, PC-Welt 20.05.2005; 13.05.2007; 50 Jahre Haft für den PC-Kidnapper? spiegel.de Viren- und Botnet-Aktivitäten haben zugenommen, 04.11.2005. itseccity.de 18.04.2007; 359 CF, besonders schwere Computersabotage, 2007 Das Dreckige Dutzend: Die zwölf aktivsten Länder beim Spam-Versand Stratio-Wurm sorgt für Anstieg 360 BR, "Papst-Golf" wird zum Streitwagen, br-online.de bei weltweitem Spam-Aufkommen, Sophos 06.05.2005 (nicht mehr verfügbar); 06.11.2006. Papst-Golf bringt fast 190.000 Euro - und Streit, 363 netzwelt 06.05.2005. Kalkuliert werden die Spams wohl üblicherweise mit Als „Heise-DoS“ ist der Effekt bekannt, dass Quellen, einer Erfolgsquote von 0,1 %; siehe: Alfred Krüger, zu denen das Online-Magazin verlinkt, durch den Angriffe aus dem Netz. Die neue Szene des plötzlichen Besucheransturm nur noch verzögert digitalen Verbrechens, Heise Verlag 2006, S. 66 f. reagieren oder gar nicht mehr erreichbar sind; 364 Siehe: 50 Jahre Haft für den PC-Kidnapper? WP, Slashdot-Effekt. spiegel.de 04.11.2005. Dieter Kochheim, Cybercrime - 59 -

A.5 5.3 direkte Angriffe A.5 5.4 The Man in the Middle Botnetze sind darauf angelegt, größer und größer Jedes einzelne Gerät im Botnetz lässt sich auch zu werden. Die größten Masseneffekte lassen sich individuell steuern. Das ermöglicht es dem entweder durch die Versendung von Spam-Mails Angreifer, sich neben dem Anwender als mit Malware-Anhängen erreichen oder indem man Administrator auf den Zombie einzuloggen und die Malware Adressbereiche im Internet auf unter der IP-Adresse und Identität des Anwenders Endgeräte mit Sicherheitslücken scannen lässt. zu kommunizieren und jede im Internet mögliche Aktion durchzuführen. Gemeint ist die Technik der IP-Würmer, die im In- ternet kaum beschrieben oder diskutiert wird 365. Der Angreifer kann die Steuerungssoftware so Sie arbeiten automatisch und suchen systematisch einrichten, dass sie den Internetverkehr eines vorgegebene Adressen nach dem Internetprotokoll Rechners besonders wegen Homebanking-Ak- 366 nach Rechnern ab, die sie übernehmen können. tivitäten überwacht (im Beispiel A). Ein anderes infiziertes Gerät kann er dann dazu verwenden, Im Fall ihres Erfolgs übertragen sie eine Basisver- als Übertragungsstation (Man in the Middle 367) sion von sich auf den Zielrechner, die sich wie die zum Kommunikationspartner (im Beispiel B) zu Software von Botnetzen einnistet, aktualisiert und wirken. Dabei kann er die komplette Kommunika- erweitert. tion überwachen und im passenden Moment für Dazu müssen sie eine Sicherheitslücke ausnutzen, einen Missbrauch unterbrechen (siehe Beispiel im die der Programmierer exklusiv nutzt oder die erst Zusammenhang mit dem Phishing 368). kurzfristig bekannt ist, so dass erwartet werden kann, dass sie noch nicht von allen Anwendern ge- schlossen wurde (Updates von Betriebssystemen A.5 6. Botnetze, die unerkannte Gefahr und Virensoftware). Bevorzugt werden dazu Fehler Botnetze lassen sich für jede Gelegenheit einset- in Programmen, die massenhaft im Einsatz sind, zen, bei denen es entweder darauf ankommt, als weil sie die größten Erfolgsaussichten bieten (z.B. Angreifer unerkannt zu bleiben, oder für Miss- Betriebssysteme und Büroanwendungen). bräuche, die große Rechnerkapazitäten erfor- dern. Somit kommen auch Peer-to-Peer-Netze 369, die Verteilung und Speicherung von Dateien (Computercluster 370) oder die verteilte Nutzung von Rechenleistung (verteiltes Rechnen 371, Distri- buted Computing) in Betracht. Der (auch kranken) Phantasie sind bekanntlich keine Grenzen gesetzt. Der Betrieb von Botnetzen ist neben der Herstel- lung von Malware im übrigen und dem Phishing die gefährlichste Erscheinungsform der Cybercri- me. Ihre Betreiber verfügen über ein erhebliches Wissen und eine kaum zu überbietende Böswillig- keit.

367 WP, Man-in-the-middle-Angriff 365 Peter Schill, Die neuen Herausforderungen der 368 CF, Phishing mit Homebanking-Malware, Content Security. Netzwerkfilter auf 22.10.2008 Applikationsebene, eSafe Januar 2004, benennt 369 etwas versteckt drei Beispiele auf Seite 24 der WP, Peer-to-Peer Präsentation: CODERED, SLAMMER, BLASTER. 370 WP, Computercluster 366 WP, Internet Protocol 371 WP, Verteiltes Rechnen Dieter Kochheim, Cybercrime - 60 -

Botnetze lassen sich zu Allem verwenden, was entweder zur Tarnung von Aktivitäten dient oder große Rechenleistungen erfordert. Die häufigste Anwendungsfälle sind der Versand von Spam- Mails und die Durchführung von verteilten Angriffen. Jüngst wurden auch Angebote bekannt, die große Rechenleistungen zum Knacken von Passwörtern erfordern 372. Botnetze benutzen dieselbe Injektionstechniken, die auch von der Malware im übrigen benutzt werden, also bevorzugt in Form von Anhängen zu Spam-Mails, durch Website-Injection 373 oder als IP-Würmer. Wie alle anderen Formen der Cybercrime kennen die Betreiber von Botnetzen keine nationalstaat- lichen Grenzen, wodurch ihre Verfolgung wenn nicht ausgeschlossen, so doch ganz erheblich er- schwert wird. Über eine internationale Zusammenarbeit der Strafverfolgungsbehörden ist nichts bekannt. Nur private Initiativen haben bisher ein journalistisches Echo erfahren. Der Wert der Botnetze für billige kriminelle Aktionen wird dafür sorgen, dass sie bleiben, sich allen aktuellen Änderungen der Technik und des Nutzerverhaltens anpassen und weiter verbessert werden. Das sind keine guten Aussichten.

372 CF, Passwort vergessen? Cloud hilft! 19.12.2009; siehe auch: WP, Brute-Force-Methode. 373 WP, Cross-Site Scripting Dieter Kochheim, Cybercrime - 61 -

B. Social Engineering Social Engineering benutzt Techniken der Beein- flussung und Überredungskunst zur Manipulation Die technischen Methoden und Tricks, die im ers- oder zur Vortäuschung falscher Tatsachen, über ten Teil beschrieben wurden, haben eine verbin- die sich ein Social Engineer eine gefälschte Identi- dende soziale Komponente. So hinterhältig eine tät aneignet. Damit kann der Social Engineer ande- Malware auch programmiert sein mag, sie kann re zu seinem Vorteil ausbeuten, um mit oder ohne Verwendung von technischen Hilfsmitteln an Infor- sich in kein technisches System einschleichen, das mationen zu gelangen. ihr dazu nicht die Möglichkeit eröffnet. Dazu zählen Kevin Mitnick unüberwachte Schnittstellen, unzureichende Upda- tes, Verzicht auf Virenscanner und Zugangsbe- schränkungen sowie unüberlegte Handlungen des Kevin Mitnick 375 ist ein verurteil- Anwenders wie die Gewährung von Administrato- ter Hacker aus den USA. Dem renrechten, die unvorsichtige Auswahl von Web- Social Engineering hat er ein adressen oder die fatale Aktivierung von E-Mail- wirklich spannendes Buch ge- Anhängen. widmet, das er „Die Kunst der Täuschung“ nennt 376. Die Me- Die Auseinandersetzung mit der  Malware hat be- thoden des SocEng sind klassi- reits die Techniken der Überredung und Täuschung sche Handlungsweisen der De- angesprochen, die in E-Mails und infizierten Web- tektive und Spione, die von der Hackerszene ent- seiten zum Einsatz kommen. Sie sind inzwischen deckt und für die Penetration informationsverar- in feiner deutscher Sprache verfasst, treffen den beitender Systeme verfeinert wurden. Sie sind richtigen Ton und suggerieren Vorteile oder dro- bereits begierig aufgenommen worden von den hende Nachteile, die den Anwender zu unbedarf- Informationsbrokern und den Industriespionen, ten Handlungen veranlassen sollen. die damit ihr Repertoire erweitert haben. Diese Techniken werden unter dem Begriff des So- cial Engineering 374 zusammen gefasst und greifen erheblich weiter. Das SocEng kombiniert interakti- ve und technische Methoden, um seine Zielperso- nen auszuspähen, ihre Geheimnisse zu erkunden und schließlich Informationen zu gewinnen, die kombiniert und bewertet werden, um daraus wie- der neue Rückschlüsse zu gewinnen. Der Angreifer handelt immer eigennützig, zielstre- big und gnadenlos, wenn er seine Malware platzie- ren, Geheimnisse erkunden oder Spionage betrei- ben will.

375 WP, Kevin Mitnick; siehe auch: Lothar Lochmaier, Risikofaktor Mensch: Die Kunst des Social Engineering, ZDNet.de 27.02.2007 376 Kevin Mitnick, William Simon, Die Kunst der Täuschung. Risikofaktor Mensch, Heidelberg (mitp) 374 Im Folgenden abgekürzt: SocEng. 2003; WP, Social Engineering (Sicherheit) CF, IT-Sicherheit, 2008 Dieter Kochheim, Cybercrime - 62 -

B.1 Fünf unwichtige Informationen ergeben eine sensible 377 Beschaffung und Bewertung von Informationen für die Cybercrime In einer früheren Fassung definierte die Wikipedia das SocEng als die Kunst, Menschen mittels so- zialer Kontakte zu Handlungen zu veranlassen, welche zum Nachteil der Zielperson oder Dritter führen 378. "Die Kunst der Täuschung" von Kevin Mitnick 379 ist nicht nur spannend geschrieben, sondern kann als das Standardwerk zum Thema mit der Einschrän- kung angesehen werden, dass es sich vorrangig um Fallstudien handelt, die nur begrenzt verall- gemeinerungsfähig sind.

Mitnick stellt seinem Buch von 2003 eine Definition anlassen. voran, mit der er das Social Engineering (SocEng) klar von den technischen Methoden des Hackings, Die Auseinandersetzung mit dem SocEng eröffnet dem er sein zweites Buch gewidmet hat 380, und die Chance, die Angreifbarkeit und Sicherheit von den Überredungstechniken in Spam-Mails und auf Unternehmen und Behörden insgesamt und unter Website-Pharmen abgrenzt. Einschluss der technischen Sicherheit wahrzu- nehmen, zu bewerten und schließlich Sicherheits- Sie sind wegen ihrer Ähnlichkeiten als SocEng im maßnahmen zu entwickeln. weiteren Sinne zu betrachten, so dass wir unter- scheiden können:  die kommunikative (sozialpsychologische) Er- kundung und Kombination vertraulicher Daten mit dem Ziel, diese zu missbrauchen (SocEng im en- geren Sinne),  den Einsatz von Abhörtechniken und  den Einsatz von Manipulationsstrategien, um EDV-Anwender ohne persönliche Ansprache durch Online-Informationsträger zur Offenbarung vertraulicher Informationen (z.B. Phishing) oder zur unbedarften oder heimlichen Installation von schädlichen Programmen (Crimeware 381) zu ver-

377 Die erste Fassung dieses Aufsatzes erschien am 01.03.2009. 378 Jetzt: WP, Social Engineering (Sicherheit) 379 Siehe vorherige Seite. 380 Kevin Mitnick, William Simon, Die Kunst des Einbruchs. Risikofaktor IT, Heidelberg (mitp) 2006, CF, IT-Sicherheit, 2008 381 Siehe CF, gewandelte Angriffe aus dem Netz, 29.11.2008; CF, Phishing mit Homebanking-Malware, 22.10.2008; CF, Missbrauch fremder Identitäten, 22.11.2008; CF, Nummertricks, 21.11.2008. Dieter Kochheim, Cybercrime - 63 -

B.1 1. Security Journal Angriffe werden zunehmend personalisiert Die Zahl der interaktiven Angebote im Web wächst Dem Schwerpunkt SocEng wid- ebenso wie die Bereitschaft der Nutzer, mete sich zunächst die engli- persönliche Informationen öffentlich zugänglich zu sche Fassung des Security machen. Immer öfter werden diese Informationen Journals von McAfee 382, das daher auch von Cyberkriminellen missbraucht ... später auch auf Deutsch er- Auf Social Engineering basierter Spam nimmt schienen ist 383. zu Die White Papers und sonstigen Publikationen von Immer öfter verleihen Cyberkriminelle ihren Spam- McAfee werden etwas versteckt im Threat Center Nachrichten dadurch Glaubwürdigkeit, dass sie sie 384 mit echten Informationen über die Adressaten präsentiert, aber nicht weiter beworben. Das Se- anreichern ... curity Journal ist die Fortsetzung der jährlichen Be- richte über die globalen Sicherheitsbedrohungen, Aktienkursmanipulation schreitet voran die mich im vergangenen Jahr mit spannenden Aktienbetrug per Internet funktioniert üblicherweise Länderberichten 385 überrascht haben. Sie sind mit nach der Methode "". Dabei wird der Kurs von Aktien niedrig bewerteter Unterneh- dafür ausschlaggebend gewesen, dass ich zu- men - sogenannter Pennystocks - durch massen- nächst die Theorie von der modularen Cybercrime haft versandte Kaufempfehlungen gezielt in die 386 entwickelt und dann für die modulare Kriminali- Höhe getrieben ("pump"), worauf der Betreiber sei- tät 387 verallgemeinert habe. ne zuvor gekauften Anteile unter Ausnutzung des Kurssprungs mit Gewinn auf einen Schlag wieder Die Erfahrungen zeigen (leider), dass ich damit abstößt ("dump") ... Recht gehabt habe. Betrüger setzen auf die Angst der Anwender McAfee hat eine zunehmende Verbreitung bösarti- ger Programme registriert, die sich als Anwendun- B.1 2. Risikofaktor Mensch gen von "Sicherheitsanbietern" ausgeben und Mehr als 60 oder 70 Prozent aller Angriffe gegen Internetnutzern mittels Pop-ups angedient werden. Datenverarbeitungssysteme erfolgen nicht von au- Es wird auf eine vermeintliche Infizierung des Rechners hingewiesen, die sich nur unter ßen, sondern von innen, also von den eigenen Mit- Anwendung eines bestimmten Programms arbeitern, die selten aus Böswilligkeit, sondern aus beheben lässt. Installiert der Nutzer das Unwissenheit, aus Unbekümmertheit oder aus Be- beworbene Programm, öffnet dieses oft weiterer quemlichkeit Betriebs- und Sicherheitsvorgaben Malware die Tür … missachten, umgehen oder aushebeln 388. Dassel- nach: securitymanager.de be gilt für Betriebs- und Unternehmensgeheimnis- se, die nirgendwo so unüberlegt ausgeplaudert Maßnahmen gegen das SocEng gehören deshalb werden wie am Telefon oder in E-Mails an inzwischen zum Grundschutzstandard für die IT- Geschäftspartner. Sicherheit 389. 382 McAfee, Security Journal. Social Engineering (eng.), Dieser Erkenntnis folgend hat sich bereits in vie- 09.10.2008; len US-amerikanischen Firmen eine Sicherheits- Internetverbrechen wird persönlich: McAfee Security Journal zum Thema "Social Engineering", phobie entwickelt, die zu massiven (illegalen) securitymanager.de 14.10.2008; Überwachungen des Telefon- und E-Mailverkehrs CF, Überredungstechniken, 23.11.2008 geführt hat 390. Das größte Echo in der Öffentlich- 383 McAfee, Security Journal. Social Engineering (dt.), 05.10.2008 389 BSI, Gefährdungskataloge im BSI, 384 McAfee, Threat Center Grundschutzhandbuch: G 5.42 Social Engineering 390 385 CF, globale Sicherheitsbedrohungen, 27.07.2008 Wolf-Dieter Roth, Sicherheitsrisiko Mitarbeiter, Telepolis 12.06.2006; 386 CF, modulare Cybercrime, 07.08.2008 Peter Mühlbauer, Trojaner vom Chef, Telepolis 387 CF, modulare Kriminalität, 05.10.2008 04.04.2006; 388 IT-Sicherheit: "Interne Mitarbeiter größte Peter Mühlbauer, Anonymisieren oder Schwachstelle", tecchannel 16.04.2008 Pseudonymisieren, Telepolis 18.04.2006. Dieter Kochheim, Cybercrime - 64 - keit erfuhr die interne Untersuchung bei Hewlett- passt werden 397. Packard wegen Insiderinformationen aus dem Ihr Anwendungsfeld reicht von der klassischen In- Verwaltungsrat, die an die Medien weitergegeben dustriespionage 398 über das Ausforschen behörd- wurden 391. In jüngerer Zeit häufen sich aber auch licher Geheimnisse 399 und das Abwerben beson- vergleichbare Beispiele aus Deutschland 392. ders qualifizierter und kenntnisreicher Mitarbeiter 400 bis hin zur Erstellung von Persönlichkeitsprofi- len 401, die über Bewerber, Konkurrenten oder po- Studien zur IT-Sicherheit sprechen davon, dass tentielle Opfer Auskunft geben 402. 2005 jeder zwölfte Angriff zum Totalausfall der Fir- men-IT geführt hat (8,4 %). In 17,4 % der Fälle wa- Die Prognosen von Sicherheitsfachleuten sind ren betriebskritische Anwendungen nicht verfügbar, bereits für 2009 davon ausgegangen, dass sich traten finanzielle Verluste (5,3 %) oder eine Schädi- gung des Rufes oder der Marke ein (4,2 %). 393 Hacking- und Malware-Angriffe verstärkt auf ein- zelne Gruppen, Organisationen und Unterneh- men konzentrieren werden 403. Sie werden ge- Als die vier wichtigsten Ursachen, die dem Social paart sein mit den Überredungstechniken des Engineering von innen heraus den Boden bereiten, Soc-Eng, sei es, um Zugang zu geschützten Or- gelten schlechtes Betriebsklima, keine Kar- ganisationen zu bekommen, ihre innere Struktur rierechancen, Lohndumping sowie mangelnde und ihre Schwachstellen zu erkunden oder um 394 Fort- und Weiterbildungskonzepte . Überwachungstechnik oder Malware zu platzieren 404 Dem SocEeng geht es um die Informationsbe- . schaffung und nicht zwingend darum, die Daten- verarbeitung zu stören. Ihr Arsenal besteht aus al- len Methoden der Manipulation und Suggestion: „Täuschung, Bestechung, Erpressung, Einschüch- terung, Bedrohung, Appellieren an die Hilfsbereit- schaft oder Ausnutzen der Arglosigkeit des Opfers“ 395. Die dazu entwickelten Angriffsmethoden reichen vom Durchstöbern von Abfällen nach interessanten Aufzeichnungen bis hin zu psychologisch ge- schickten Befragungen 396. Dabei handelt es sich um klassische Methoden der Detektiv- und Spiona- gearbeit, die an die heutigen Bedürfnisse ange-

391 Beschuldigungen gegen Ex-HP- Verwaltungsratsvorsitzende aufgegeben, Heise 397 online 15.03.2007 CF, Schnittstellen zur Datenübertragung, 2007 398 392 Siehe: CF, viel Feind, viel Ehr, 03.02.2009; CF, CF, erhebliche Schäden durch Industriespionage, illegaler Datenhandel, 15.12.2008; CF, abgehobener 11.03.2008; Jargon, 15.02.2009. siehe auch: CF, Eschbach, Der Nobelpreis, 14.02.2009. 393 Angriffe auf IT-Sicherheit: Störfälle nehmen zu, 399 tecchannel 06.10.2005 CF, filigraner Angriff, 14.05.2008 400 394 Lothar Lochmaier, Risikofaktor Mensch: Die Kunst CF, Kopfjäger (Headhunter), 05.09.2008 des Social Engineering, ZDNet.de 27.02.2007: 401 CF, Preisgabe des Privaten, 09.07.2008 "Human Firewall" beginnt mit klaren Regeln 402 Siehe auch: Sicherheitskultur im Unternehmen, 395 Christoph Baumgartner, Social Engineering – trau securitymanager.de, besonders das Kapitel schau wem, computerworld.ch 05.08.2005 "Datenklau für Dummies", S. 58. 403 396 Philipp Schaumann, Sicherheitsrisiko Mensch. CF, stärkere Ausrichtung auf Neigungsgruppen, Psychologische Aspekte des Social Engineerings, 31.12.2008 31.08.2006 404 CF, Tarnung und Täuschung, 12.05.2008 Dieter Kochheim, Cybercrime - 65 -

Verhaltensregeln für die Organisationssicherheit  Seien Sie zurückhaltend mit Auskünften!  Lassen Sie sich nicht unter Druck setzen!  Keine Auskünfte erteilen, zu denen ich nicht ausdrücklich ermächtigt bin. Das gilt für die Ar-  Trauen Sie sich, ein Gespräch zu beenden! beitsaufgaben selber, die Arbeits- und Betriebsor- ganisation sowie für die Zuständigkeit von Kollegen,  Überprüfen Sie die Identität eines Anrufers! ihre geänderten Aufgaben und ihre Abwesenheit.  Sichern Sie sich ab! Sie sind gerade nicht erreichbar und nicht etwa im Urlaub oder im Mutterschutz.  Achten Sie auf sensible Dokumente!  Seien Sie schweigsam in der Öffentlichkeit!  Kein Zutritt für Fremde in geschlossene Berei- che, von denen ich nicht genau weiß, dass sie dazu  Sprechen Sie fremde Personen an! berechtigt sind. Höflichkeit ist fehl am Platz!  Sicherheit geht vor Höflichkeit!

 Schriftliche Aufzeichnungen und Dateien gehören  Seien Sie auch in der Freizeit wählerisch mit sicher vernichtet. Jede Information kann in der den Gesprächsthemen! Zusammenschau mit anderen Schlüsse ermögli- Schaumann (Secorvo) 407 chen. Das gilt auch für Telefonlisten, Geschäftsver- teilungspläne und andere organisatorischen Pläne und Aufzeichnungen. in den privaten Bereich hinein und stammen von der Secorvo.  Offenbar brisante, vertrauliche oder geheime In- formationen werden nur mit den Mitarbeitern erör- Ganz wichtig dabei ist, dass Sicherheit nicht als tert, die dazu ermächtigt sind. Das sind Kollegen mit Kontrolle der Mitarbeiter ausgerichtet wird, son- besonderen Aufgaben (Datenschutz, Unterneh- dern als Identität und gemeinsames Anliegen. menssicherheit usw.) oder die Vorgesetzten. Ihr Ansprechpartner ist Ihr unmittelbarer Vorgesetzter. Dazu gehört auch der kritische Blick auf das auf- Er hat die Führungsverantwortung für Sie. Haben fällige Handeln anderer Kollegen. Sie Zweifel an der Integrität Ihres Vorgesetzten, Eine richtig verstandene und sensibel organisierte können Sie sich auch an dessen Chef wenden. Sicherheitskultur schützt gleichermaßen die IT-In-  Aufpassen und melden. Offene Türen, die ei- frastruktur, vor Datenmissbrauch und Korruption. gentlich geschlossen sein müssten, technische Sie erfordert Schulungen und ein funktionstüchti- Vorrichtungen, die bislang nicht vorhanden waren, ges Meldesystem mit geregelten Zuständigkeiten. Personen, die man nicht kennt, oder merkwürdiges Ihre Methoden sind die Motivation und der Lob. Verhalten des PCs. Alles kann darauf hindeuten, dass die Organisationssicherheit bedroht ist. Sie muss gemeinsam von allen Beteiligten als selbstverständlich gelebt werden.

B.1 3. Verhaltensregeln für Mitarbeiter Vorsorge gegen das SocEng ist aber keine reine IT-Aufgabe, sondern eine Maßnahme zur Unter- nehmenssicherheit. Die Sicherheitskultur, die dazu geschaffen werden muss, lässt sich mit wenigen Regeln (siehe Kasten oben) formulieren 405. Philipp Schaumann, der zur Sicherheitskultur und Informationssicherheit eine engagierte Webseite betreibt 406, gibt die Regeln in der Form von Merk- sätzen wieder (siehe oben rechts). Sie reichen bis

405 CF, wider dem Tratsch, 13.03.2008; CF, Sicherheit 407 Philipp Schaumann, Sicherheitskultur und durch Monitoring, 14.09.2007. Informationssicherheit; ders., Schutz gegen Social 406 Philipp Schaumann, Secorvo Security Consulting, Engineering - neue psychologische Ansätze, Video "Social Engineering" (Demo). Dezember 2008 Dieter Kochheim, Cybercrime - 66 -

B.1 4. Vorgehen des Social Engineers auf die zurückliegenden Kontakte Bezug nehmen kann und die Kommunikation bereits vertraut ist. Sven Vetsch 408 beschreibt das Vorgehen beim Der geschickte Angreifer lässt dabei auch immer SocEng in sechs typischen Schritten: wieder persönliche Informationen einfließen, die  Informieren er bei den früheren Kontakten gesammelt hat. Informationen über das Ziel der SocEng-Attacke  Informationen zusammensetzen sammeln, z.B. Im Internet oder per „Dumpster di- Die Teilantworten müssen sinnvoll miteinander ving“, also das Durchwühlen von Abfällen auf der kombiniert werden. Meistens hat man nur nach Suche nach betriebsinternen Informationen wie Teilinformationen gefragt und auch nur solche er- Organigramme, Telefonverzeichnisse, persönliche halten. Sie mögen noch so banal erscheinen, Aufzeichnungen. Andere öffentliche Quellen sind können jedoch häufig zu sensiblen Informationen z.B. Bibliotheken, Patentschriften, Museen und öf- verbunden werden. fentliche Auftritte auf Messen. Der Social Engineer ist ein intellektueller Angrei-  Kontakt aufbauen fer. Er muss nicht nur über Einfühlungsvermögen mit Anruf, persönlichem Besuch, Brief, E-Mail, verfügen, sondern auch gebildet sein. Er muss Newsgroup, Weblog. sein Handwerk verstehen. Dazu gehören nicht  Vortäuschung einer Identität nur Kenntnisse über die Zielorganisation, sondern auch über die Sprach- und Handlungsgewohnhei- In eine andere Rolle schlüpfen, z.B. als Vorge- ten ihrer Mitarbeiter. Schließlich muss der Social setzter der Kontaktperson, als Endanwender, als Engineer die Informationen, die er erhalten hat, Kunde oder als Interviewer bei einer Telefonum- bewerten, verbinden und wieder feinfühlig bewer- frage. ten und hinterfragen.  Zielinformationen erarbeiten Das ist ein kriminalistisches Vorgehen, das iden- Sich durch verschiedene Fragen an die Zielinfor- tisch mit der Prüfung des Verdachts 409 im Zusam- mationen herantasten. Beispiele: menhang mit Straftaten ist.  Ich bin neu in der Systemverwaltung und muss Ihre Anwenderdaten überprüfen. Wie war noch Ihre B.1 5. noch einmal: Security Journal Zugangskennung? Und das Passwort? Das Security Journal - SJ 410- befasst sich mit der  Hier arbeitet doch die Frau Sowieso (Informa- heimtückischsten und allgegenwärtigen Bedro- tion aus einem Organigramm aus dem Vorjahr). hung – dem Social Engineering 411. McAfee ist Arbeitet die hier gar nicht mehr? kein Consulter für die Unternehmensorganisation,  Hier Meier, PI Garbsen. Ich habe von meinem sondern ein Anbieter von Sicherheits- und Anti- Kollegen den Vorgang wegen des Verkehrsunfalls Malware-Software. Seine Aussage überrascht, (dort und dort) übernommen. Ist der Vorgang mit weil sie so gar nichts mit dem Vertrieb des dem Führerschein schon bei Ihnen? Unternehmens zu tun hat.  Kontakt halten McAfee's Blickrichtung ist jedoch eine andere als die von Mitnick oder Veitsch, weil die Studie die Wenn man die Zielinformationen hat, soll man den technischen Angriffsszenen in den Vordergrund Kontakt möglichst nicht “verlieren“. Die Kon- stellt und dann erst nach den betrügerischen taktperson darf nicht merken, dass sie sensible Strategien fragt, mit denen sie umgesetzt werden. Daten an einen Social Engineer weitergegeben hat. Gute Kontakte kann man immer wieder ver- 409 CF, Verdacht, 2008; CF, Geltung von Beweisen und wenden. Der Zugang zu ihm ist leichter, weil man Erfahrungen, 29.11.2009. 410 McAfee, Security Journal. Social Engineering, 408 Sven Vetsch, Social Engineering, 21.01.2006, 05.10.2008 disenchant.ch; nicht mehr verfügbar. 411 SJ, S. 3 Dieter Kochheim, Cybercrime - 67 -

Dieser Blick auf das SocEng im weiteren Sinne ist Kunden der Nordea Bank erhielten (im Januar genau richtig, weil wir nach den Bedrohungen im 2007) eine E-Mail, in der sie gebeten wurden, die Zusammenhang mit der IT fragen und nicht da- darin angegebene „Anti-Spam“-Software herunter- nach, wie man Leute überhaupt betrügen kann 412. zuladen und zu installieren – und da die Nachricht allem Anschein nach von ihrer Bank stammte, ka- Einen amüsanten Einstieg liefert Hiep Dang, indem men 250 Kunden dieser Aufforderung nach. Bei er überlieferte Beispiele für das SocEng aus der dieser Anti-Spam-Software handelte es sich tatsächlich um einen Trojaner, der Kundendaten klassischen Sagenwelt und der Bibel beschreibt 413. sammelte, mit denen sich Kriminelle auf der Anschließend zeigt er die Entwicklungen bei der Website der Bank anmeldeten und Geld stahlen. Malware und den Sicherheitstechniken auf. Es kam zu einem Schaden von 877.000 Euro. Karthik Raman, SJ, S. 9 Die Aufsätze im übrigen beschäftigen sich mit den Erscheinungsformen und Techniken des SocEng.

B.1 5.1.1 Emotionen manipulieren

B.1 5.1 Psychotricks Hierbei wird auf universale Gefühle wie Angst, Neugier, Gier und Mitgefühl abgezielt. Das Bei- Karthik Raman schildert die medizinischen und spiel oben zeigt, wie die Angst instrumentalisiert psychologischen Grundlagen für menschliche Ent- werden kann. Die Neugier der Mitmenschen wur- scheidungen und deren Missbrauch 414. de im April 2007 ausgenutzt, als die Angreifer auf Dazu geht er zunächst auf die Bedeutung emotio- einem Parkplatz in London USB-Sticks "verloren". naler Entscheidungen ein, die nicht zwangsläufig Die glücklichen Finder infizierten ihre PCs mit im Einklang mit rationalen Erwägungen stehen. Phishing-Malware (SJ, S. 10). Unredliche Politiker, Spione und Hochstapler wis- sen nur zu gut, dass sie ihre Ziele sehr effizient er- reichen können, wenn sie an Emotionen – insbe- B.1 5.1.2 Fehlgeleitete mentale Verknüpfungen sondere an die Angst – appellieren, um eine emo- Darunter versteht Raman ein Vorgehen, bei dem tionale Reaktion auszulösen. Diese Tradition set- die Faustregeln des Alltagslebens (Heuristik) zen Social Engineers nun fort 415. durch kognitive Verzerrungen durcheinander ge- Raman widmet sich sodann verschiedener Spielar- bracht werden. ten des SocEng. Viele seiner Beispiele sind von  Entscheidungsstützende Verzerrung Mitnick übernommen worden, was die Darstellung nicht schmälert. Ihm geht es darum, die bekannten Sie zielt auf Gewohnheiten und Erfahrungen der Techniken auch bekannt zu machen, um sie durch Anwender. Nachgemachte Webseiten, Spam- Sicherheitskonzepte und Schulungen abzuwehren. Mails, die bekannte Unternehmensinformationen oder Newsletter nachahmen, und Nachrichten von angeblich vertrauten Kommunikationspart- nern nutzen diese Methode, um das Opfer zur Preisgabe persönlicher Informationen zu bewe- gen.  Bestätigungsfehler Als Beispiel nennt Raman die in vielen Unterneh- men übliche Uniformierung von Mitarbeitern. Ein 412 CF, Trickbetrüger, 31.12.2008; CF, Proll-Skimming, 18.05.2008. Angreifer in derselben oder in einer nachgemach- 413 Hiep Dang, Die Anfänge des Social Engineering, SJ, ten Uniform wird vom Opfer ohne Nachfrage als S. 4 Mitarbeiter jenes Unternehmens identifiziert. 414 Karthik Raman, Bittet, dann wird euch gegeben, SJ, Eschbach spricht insoweit von der Magie von Vi- S. 9 sitenkarten. 415 Ebenda, S. 10. Dieter Kochheim, Cybercrime - 68 -

Auf dem Weg dorthin hielt ich an Fotogeschäften, Die Kunst der Verkleidung besteht in der Verände- Copyshops und ähnlichen Läden, bis ich einen mit rung der zwei entscheidenden Merkmale: einem Automaten fand, der Visitenkarten druckte. Körpersilhouette und Bewegung. ... Nichts Fünf Minuten später war ich im Besitz von zwanzig übertreiben, darauf kam es an. Völlig frisch gedruckten, erstaunlich gut aussehenden Kar- durchschnittlich auszusehen und niemandem ten, denen zufolge ich Mats Nilsson hieß und Pro- aufzufallen war das anzustrebende Ideal. duction Designer einer Filmgesellschaft namens Und bloß nicht schleichen! Schleichen ist verdäch- Columbia-Warner Entertainment mit Sitz in Beverly tig. Man darf auf feindlichem Gelände niemals Hills, Los Angeles, war. ohne Not schleichen, sondern muss sich Eschbach 416 entspannt bewegen, zielstrebig, so selbstverständlich, als habe man hier zu tun, als gehe man nur seinem mäßig geliebten Job nach. Ich konnte ein Wachmann sein, ein Bote,  Mere-Exposure-Effekt irgendjemand, der einfach etwas vor die Haustür Der "Effekt der bloßen Darstellung" nutzt die Sen- zu legen hatte. sationslust bei spektakulären Ereignissen wie Ka- Mit dieser Haltung war ich einmal sogar von einem großen Firmengelände entkommen, obwohl schon tastrophen und Unglücke 417. In ihrer Folge steigt ein von mir versehentlich ausgelöster Alarm in vol- die Zahl der Phishing-Seiten an, die sich dem lem Gange gewesen war. Überall drehten sich Thema widmen und ihre Malware platzieren sollen. gelbe Warnlichter, heulten Signalhupen, doch ich spazierte gelassenen Schrittes am Pförtnerhaus vorbei und brachte es fertig, den Pförtner  Ankerheuristik verwundert zu fragen, was denn da los sei. Eschbach 419 Dabei geht es um ins Auge springende Identifikati- onsmerkmale (Bank-Logo, Kennzeichen von Mar- ken, Corporate Identity), die Vertrautheit bewirken  Attributionsfehler und die Kritikfähigkeit schwächen (nachgeahmte Bankseiten). Hierbei geht es um gut geübte Schauspielerei. Angreifer können sich sympathisch verhalten, wenn sie eine Bitte äußern, oder dominierend B.1 5.1.3 Fehler im Schema verursachen auftreten, wenn sie ihre Opfer zu einer bestimm- Sozialpsychologen definieren ein „Schema“ als Ab- ten Handlung nötigen. (SJ, S.11) bild der Realität, auf das wir uns beziehen, um Schlussfolgerungen zu unserer Umgebung ziehen zu können (SJ, S. 11). Schemata sind danach aus  Salienzeffekt der Erfahrung gebildete Schablonen für Verhal- Die Angreifer fügen sich unauffällig wie ein Cha- tensweisen, die als "normal" oder "unauffällig" be- mäleon in ihre Umgebungen ein, schließen sich trachtet werden. Der Angreifer nutzt sie, um in der Gruppen an, die verschlossene Eingänge nutzen, 418 Menge unterzutauchen. und lösen sich von ihnen ebenso unauffällig. Sie geben sich vielleicht als Kunde im Anzug oder als Betreuer in Arbeitskleidung aus, aber nicht als 416 Andreas Eschbach, Der Nobelpreis, Bergisch Gaukler auf Stelzen. Die Integration ist dabei Gladbach (Lübbe) 2005, S. 291 nicht nur auf die Kleidung oder das Erscheinungs- 417 … oder andere Ereignisse wie die Wahl von Obama bild beschränkt – sie kann sich auch auf die zum US-Präsidenten: McAfee, February 2009 Spam Report, 02.02.2009, S. 6. Kenntnis von unternehmenseigenem Jargon, fir- 418 Die automatische Erkennung unüblichen meninternen Ereignissen sowie Mitarbeitern des menschlichen Verhaltens wird versucht, steckt aber Unternehmens und sogar auf die Beherrschung noch in den Kinderschuhen: CF, des lokalen Dialekts erstrecken. (SJ, S. 11) Überwachungskameras. Prävention und Aufklärung, 29.12.2007; CF, biometrische Erkennungsverfahren, 01.02.2009. 419 Eschbach, ebenda, S. 189, 373 Dieter Kochheim, Cybercrime - 69 -

Ich glaube nicht, dass Computerkriminelle neue ners hatte aber nicht nur technische Gründe: Es Techniken anwenden. Sie setzen lediglich leicht ver- gab für die Kriminellen keine Möglichkeit, an das änderte Methoden ein, um Menschen zu betrügen. erpresste Geld heranzukommen, ohne dass man Die aktuellsten und effizientesten Bedrohungen sind ihnen auf die Spur gekommen wäre (SJ, S. 14). meist automatisierte Angriffe, da diese leichter 424 durchgeführt werden können und ein besseres Auf- wand-Nutzen-Verhältnis bieten. Sie werden immer Sodann geht Jakobsson auf die Vandalware ein. die Technik wählen, mit der sie weniger Zeit oder Bevor sie zum Einsatz kommt, erwirbt der Angrei- Geld für bessere Ergebnisse investieren müssen. fer Put-Optionen gegen ein Handelsunternehmen, 420 Matthew Bevan also Wettscheine auf die Erwartung, dass der Handelswert des Unternehmens sinkt. Dann folgt der Angriff mit dem SocEng, um in dem Unterneh-  Konformität, Nachgiebigkeit und Gehorsam men über Mitarbeiterkontakte die Vandalware zu Auch hier geht es um das Auftreten, jedoch ge- verbreiten. Wenn das erfolgreich war, dann folgt paart mit Eindruck schindenden Elementen wie der zerstörerische Angriff, der zum Beispiel zur Herablassungen, Drohungen oder Versprechun- Veröffentlichung von Kundendaten auf der Unter- gen. So könnte sich ein Social Engineer als Füh- nehmenshomepage, zum Zusammenbruch der rungskraft auf Geschäftsbesuch ausgeben und Webshops oder zum Ausfall des Rechnungswe- sich gegenüber einem jungen Sicherheitsbe- sens führt. Die Börsen reagieren darauf unmittel- diensteten durchsetzen, dass er ihm Zugang zum bar, seine Put-Optionen gewinnen an Wert und Firmengelände gewährt, obwohl er kein Namens- der Angreifer macht Gewinn (SJ, S. 14). schild trägt. (SJ, S. 11) Schließlich stellt Jakobsson den Klickbetrug vor. Wenn ein Käufer auf eine Werbung klickt, zahlt der Inserent sowohl an den Betreiber der Websi- B.1 5.2 Geld machen mit Cybercrime te, auf der die Werbung angezeigt wird, als auch Die Zeit der Unschuld ist vorbei 421. Das legt auch an das Portal, das die Website mit der Werbung Markus Jakobsson zugrunde und beschreibt die bereitgestellt hat, eine Gebühr. Allein schon bei aktuelle und künftige Cybercrime als geschäftsmä- der Auswahl der Referenzwörter können mehr ßige Aktivitäten 422. oder weniger hohe Kosten zu Buche schlagen (Suchwort-Arbitrage). Aber das ist noch kein Be- Die Methoden des Betruges im Internet betrachtet trug (Szenario 2, SJ, S. 15) Jakobsson als eine Mischung aus IT und SocEng. Wegen der zunehmenden Strafverfolgung meint er, Mit angeworbenen Klickern, also Menschen, au- dass die Cyber-Kriminellen verstärkt dazu überge- tomatischen Website-Weiterleitungen und Klick- hen werden, ihre Spuren zu verwischen. Robotern, also Programmen, die den Seitenaufruf permanent durchführen, können jedoch die Klick- Dazu blickt er zunächst zurück auf den Trojaner Ar- zahlen in die Höhe getrieben werden ... und der chiveus, eine "Lösegeld-Ware" (Ransomware 423), Gewinn. mit der die Daten der Opfer verschlüsselt wurden. Anschließend kam die erpresserische Forderung, Noch besser dazu geeignet sind Botnetze. Jeder dass gegen Geld der Schlüssel für die Entschlüs- Zombie klickt einmal und die Klickzahl geht ins selung geliefert werde. Das Scheitern des Troja- Unermessliche ... dann folgt die nächste Runde. Das zahlungspflichtige Unternehmen hat kaum eine Chance zu beweisen, dass es mit kaufdesin- 420 McAfee, Bericht ... zum Thema Virtuelle Kriminalität, Matthew Bevan, S. 4; McAfee, Computerkriminalität teresierten Zombies betrogen wurde. und Computergesetze, 08.12.2008 421 CF, Hacker: Moral und Unmoral, 07.08.2008 424 CF, teure Placebo-Software: Scareware, 422 Markus Jakobsson, Social Engineering 2.0: Was 23.10.2008; bringt die Zukunft? SJ, S. 13 siehe auch: CF, Koobface-Gang antwortet, 423 CF, hilfsbereite Gauner, 10.01.2010 23.05.2010 Dieter Kochheim, Cybercrime - 70 -

Ein feinsinniges Beispiel liefert Jakobsson dafür, Organisation oder Person zu stammen. Die Emp- wie Preisunterschiede bei den Klickwörtern aus- fänger waren es gewohnt, solche Dokumente von genutzt werden können. Das Suchwort "Asthma" ihren Unterstützern zu erhalten, und waren ist verbreitet und eine Platzierung bei Google kos- deshalb wohl nicht allzu wachsam. Die Anlagen tet etwa 0,10 US-$. Wenn der Täter auf seiner jedoch waren bösartig (SJ, S. 17). Webseite zum Thema Asthma einen Artikel ein- Craig Schmugar hebt die zunehmende Bedeu- stellt, in der die sachlich blödsinnige Frage gestellt tung von sozialen Netzwerken hervor und weist wird: „Wussten Sie, dass bei zehn Prozent der besonders auf ihre Werbe- und Marketingmög- Asthmatiker das Risiko besteht, an einem lichkeiten hin 428. Er beschreibt sodann ihre Anfäl- Pleuramesotheliom zu erkranken?“, kann er er- ligkeit gegen Malware 429 und ihre künftigen Ent- warten, dass sehr viele besorgte Besucher die wicklungen: Integration von GPS für standortab- Werbung zum Suchwort Pleuramesotheliom ankli- hängige Dienste, Datamining und Auswertung der cken. Jeder Klick bringt etwa 63 US-$ (SJ, S. 15). besonderen Nutzerinteressen. Social-Websites werden auch cleverer werden B.1 5.3 gezielte Manipulationen und Benutzerinformationen im Web sammeln. Social-Bookmarking-Funktionen wie Digg werden An Jakobsons Vandalware schließt Anthony Bet- mit sozialen Netzwerken kombiniert und mit tini wegen der Schwachstellen an den Aktienmärk- selbstlernenden Technologien wie Pandora oder ten an 425. Er betrachtet zyklische und vorherseh- StumbleUpon und Tagging-Funktionen wie Flickr bare Aktienkursschwankungen sowie andere Be- aufgewertet werden. Im Endergebnis steht der sonderheiten des Aktienmarktes. Am Rande be- Community ein noch umfangreicherer und detail- rührt er Spam-Mails, die zum Kauf von Penny- lierterer Strom an relevanten Informationen zur Stocks aufrufen. Wenn sich der Spammer selber Verfügung, als dies derzeit der Fall ist. Auf Ihrem eingedeckt hat, dann kann er durch seine Werbung iPhone werden Sie Empfehlungen zu Filmen aus vorübergehend die Kurse ansteigen lassen und Ihrem Netzwerk erhalten können. ... (SJ, S. 29) rechtzeitig bei (erwartetem) Höchststand verkau- fen. Diese Methode ist nicht ganz so brutal wie die Ob das alles wünschenswert ist, ist eine zweite von mir geschilderte 426. Frage. Diese Dienste vergläsern die Anwender und lassen eine genaue Platzierung von Werbung Elodie Grandjean analysiert im einzelnen die zu. Die von ihnen gesammelten Daten und ihre Spam-Mails und Malware-Angriffe, die 2008 die Auswertungen eröffnen aber auch dem Miss- Olympischen Spiele in China und die politischen brauch Tür und Tor. Das verkennt auch Schmugar Auseinandersetzungen um den politischen Status nicht, der breit die "Zunahme von Risiken" an- von Nepal zum Gegenstand hatten 427. spricht (SJ, S. 30). Wir haben bereits erlebt, dass einzelne Mitglieder von Pro-Tibet-Gruppen E-Mails erhielten, die eine mit der Situation in Tibet, China im Allgemeinen oder der Olympiade in Verbindung stehende CHM- (kompilierte Hilfe), PDF-, PPT-, XLS- oder DOC- Datei als Anlage enthielten. Sämtliche dieser E- Mails schienen von einer vertrauenswürdigen

425 Anthony Bettini, Schwachstellen an den Aktienmärkten an, SJ, S. 22; 428 Craig Schmugar, Die Zukunft von Social- siehe auch CF, merkwürdiger Markt, 27.10.2008. Networking-Websites, SJ, S. 28 426 CF, Aktienkursmanipulation, 28.11.2008 429 CF, prominente Verführung & Sex, 11.01.2009; 427 Elodie Grandjean, Ein ideales Ziel für Social- CF, Angriffe aus dem Internet, 22.06.2008; Engineering-Malware, SJ, S. 16; CF, leichtfertiger Umgang mit sozialen Netzen, siehe auch CF, olympische Angriffe, 11.08.2008. 23.10.2008; CF, harte Realität, 12.02.2009 Dieter Kochheim, Cybercrime - 71 -

Spionageaktionen laufen für gewöhnlich verdeckter Gleichzeitig habe sich auch die Methodik der Mal- ab und sind wesentlich schwerer aufzudecken, als wareschreiber zur Spionage hin verändert, be- ein aus reinen Profitgründen durchgeführter Angriff. richtet Kashyap. Waren die Angriffe zunächst breit In vielen Fällen waren die Schwachstellen in diesen angelegt, roh und zerstörerisch, so seien sie im- böswilligen eingebetteten Dokumenten Zero-Day- mer feiner auf einzelne Einrichtungen, Unterneh- Angriffe, wodurch diese Dokumente noch schwerer 433 zu entdecken sind, da diese Schwachstellen oft erst men und Behörden ausgerichtet worden . gefunden werden, wenn der Schaden bereits ent- Zwei weitere Trends stellt Kashyap vor: Manipu- standen ist. Weil diese Zero-Day-Schwachstellen lierte Webserver 434 und Angriffe gegen Router in auf bestimmte Behörden oder militärische Einrich- 435 tungen abzielten, kann nicht ausgeschlossen wer- privaten Heimnetzwerken . den, dass ausländische Agenten oder Regierungen diese Angriffe gesponsert haben. 430 Rahul Kashyap B.1 5.5 Typosquatting Daran schließt Benjamin Edelman an, der sich dem Typosquatting widmet 436. B.1 5.4 Schwachstellen, Exploits und Fallen Zur Vorbereitung dieser schon länger bekannten Rahul Kashyap zeigt die Entwicklung der Malware Methode 437 registrieren die Angreifer für sich Do- auf und vor allem ihre zunehmende Individuali- mänennamen mit leichten Abweichungen gegen- sierung für gezielte Angriffe gegen Unternehmen über bekannten Markennamen und Internetanbie- 431 und Behörden . tern. Dazu ist es besonders beliebt, Buchstaben Er weist zunächst auf die seit 2004 stagnierende mit solchen auszutauschen, die auf der Tastatur und seit 2006 abnehmende Zahl von Malware- unmittelbar daneben angeordnet sind (z.B. Angriffen gegen Server-Produkte von der Firma "giiple.com") und damit Erfolg bei "Vertippern" Microsoft hin, was deren Strategie bestätigt, re- versprechen. Auch das Weglassen von Zeichen gelmäßig automatische Updates bereit zu stellen, gehört dazu, z.B. des Punktes bei mit denen Programmfehler und festgestellte Si- "wwwmcafee.com" (SJ, S. 34). cherheitslücken (Exploits) behoben werden. Im Auftrag von McAfee hat Edelmann 80.000 Ty- Gleichzeitig stieg jedoch die Zahl der Angriffe ge- posquatting-Domänen allein für die Top 2.000- gen die Arbeitsplatzrechner (Clients), wobei weni- Websites gefunden (Mai 2008). Für besonders ger die Betriebssysteme als die gebräuchlichen gefährlich erachtet er solche Vertipper-Seiten, die Anwenderprogramme missbraucht werden. Das sich auf besonders von Kindern besuchten Seiten beschränkt sich nicht auf die weit verbreiteten beziehen und ihrerseits pornographische Bilder Produkte im Ofice-Paket von Microsoft, sondern publizieren. betrifft auch z. B. Adobe, Mozilla und Apple (S. 32). 432 433 CF, Massenware und gezielte Spionage, Für die Ausnutzung von Client-Schwachstellen 12.05.2008; CF, Cyberwar, 13.12.2008; CF, sind jedoch Benutzerinteraktionen entscheidend. filigraner Angriff, 14.05.2008; CF, Umleitungen zu Malware-Autoren mussten deshalb Wege finden, manipulierten Webseiten, 09.12.2008. 434 wie sie Benutzer zum Klicken auf Links und Her- CF, Angriffe gegen Webserver, 21.11.2008; CF, SQL-Würmer, 20.09.2008; CF, Gegenspionage unterladen von Bildern sowie Dokumenten aus wider 'ZeuS' und 'Nethell', 19.12.2008; dem Internet verleiten konnten. Und damit sind wir CF, Kollisionsangriff gegen Webseitenzertifikat, wieder beim SoEng. 15.02.2009. 435 CF, Malware. Betriebssystem, 12.05.2008; CF, Angriffe auf DSL-Router, 23.01.2008. 430 Rahul Kashyap, Das neue Gesicht der 436 Benjamin Edelman, Unfreiwillige Abenteuer beim Schwachstellen, SJ, S. 31 Surfen im Internet, SJ, S. 34 431 Ebenda. 437 CF, Typo-Squatting, 29.11.2007; CF, Abzocke mit 432 Siehe: CF, gewandelte Angriffe aus dem Netz, Domain-Tasting, 31.01.2008; CF, Domain-Namen- 29.11.2008. Inflation, 29.01.2009. Dieter Kochheim, Cybercrime - 72 -

David Marcus greift eine Studie von McAfee aus den höchsten Grad ihrer Verbreitung und gehen dem Juni 2008 auf und stellt die gefährlichsten Do- seither zurück (SJ, S. 39). Bei ihrer Verbreitung mains vor 438, die mit einer Häufung als Spam- werden zunehmend die Methoden des SocEng Versender, Malware-Depots oder manipulierten genutzt. Webseiten auffallen 439. Die beiden Spitzenreiter Ihre Verbreitung finden die PUPs wegen eines sind die USA und Polen. besonderen Vergütungssystems, dem Pay-Per- Installation - PPI, bei dem für jedes installierte PUP eine Provision bezahlt wird. Kapoor nennt B.1 5.6 Adware und Spyware ein Beispiel: ZangoCash zahlt ... für jede instal- Adware und Spyware sind potentiell unerwünschte lierte Adware in den USA zwischen 0,75 und 1,45 Programme - PUP, die wegen ihrer Verbreitung US-Dollar (SJ, S. 39). Die Installation wird vermit- den Begriff "Trojaner" bekannt gemacht haben 440. tels eines Refferers (Nachverfolger) signalisiert. Sie waren in aller Regel in ein selbständiges Pro- Für den Verbreiter kommt es also darauf an, mög- gramm eingebettet, mit denen die Funktionen des lichst viele Installationen zu erwirken, so dass sie PCs erweitert werden konnten (z.B. MP3-Player, in häufigen Fällen auf die Anzeige der Endbenut- Übersetzungsprogramme, Spiele). Mit ihrer Ge- zer-Lizenz verzichten oder die PUPs gleich mit schichte und Funktion setzt sich Aditya Kapoor der Malware verbreiten. auseinander 441. Ein anderes Vergütungssystem ist das Pay-Per- Als Adware werden Programme bezeichnet, die Click - PPC. neben ihrer nützlichen Funktion unvorhergesehen Werbung anzeigen 442. Einige der gebräuchlichsten Transportmechanis- men für PPC-Inhalte sind: Im engeren Sinne steht der Begriff Spyware für Überwachungssoftware, die ohne angemessene • Bannerwerbung: Werbeanzeigen werden inner- Kenntnisnahme, Zustimmung oder Kontrolle durch halb eines Banners oder vordefinierten Bereichs den Benutzer installiert wird. (SJ, S. 38) Im eingeblendet. Wechselnde Inhalte sind möglich. weiteren Sinne wird Spyware als ein Synonym für • Pop-Up- oder Pop-Under-Werbung: Die Wer- (Technologien) verwendet, die ohne entsprechen- bung wird in eigenen Fenstern angezeigt, was de Zustimmung des Benutzers installiert und/oder von den Benutzern meist als störend empfunden implementiert werden ... (SJ, S. 38) wird. Es gibt auch Mischtypen davon, etwa Adware, die • Flash-basierte Werbung: Ist der Bannerwerbung gleichzeitig das Nutzerverhalten überwacht und ähnlich, es werden jedoch Flash-Animationen auswertet, um dann gezielt ausgewertete Werbung verwendet, um wechselnde Inhalte anzuzeigen. zu übermitteln. (SJ, S. 40) Die PUPs erschienen erstmals 2000, hatten 2005 Im Weiteren referiert Kapoor verschiedene Me- 438 CF, Schurkenstaaten, 20.06.2008; thoden und Vorfälle der missbräuchlichen Verbrei- CF, gefährliche Lokale, 21.02.2008. tung von PUPs über Spam-Mails, soziale Netz- 439 David Marcus, Wie gefährlich sind Top-Level- werke, Suchmaschineneinträge und gefälschte Domains? SJ, S. 44 Webseiten. 440 Heute werden als "Trojaner" vor allem Trägerdateien mit eingebetteten Malware-Funktionen bezeichnet, siehe: CF, Malware. Tarnung und Täuschung, 12.05.2008. 441 Aditya Kapoor, Was ist aus Adware und Spyware geworden? SJ, S. 38; siehe auch: Anna Stepanov, Spyware: Beständiger Wandel, McAfee 02.12.2007 442 Eine jüngere Spielart davon ist die CF, Nörgelsoftware (Nagware), 14.01.2008. Dieter Kochheim, Cybercrime - 73 -

B.1 5.7 Ergebnisse aus dem Security Journal B.1 5.8 Fazit: Security Journal Die Ergebnisse der Studien wur- Das Security Journal 444 ist eine den in der Meldung über die wichtige und zum Lesen emp- englischsprachigen Ausgabe fohlene Veröffentlichung. Es veröffentlicht 443. bleibt aber hinter meinen Erwar- tungen zurück. Der Ansatz von McAfee, im Zu- sammenhang mit dem SocEng Der letztjährige Report über die einen besonders intensiven globalen Sicherheitsbedrohun- Blick auf die Malware zu werfen, gen 445 war nicht nur spannen- ist sicherlich berechtigt, verkürzt aber das Thema der und exotischer, sondern auch Erkenntnis för- als solches. Richtig daran ist, dass die Verbreitung dernder. Es ist schade, dass er keinen Nachfolger von Malware und das Locken auf manipulierte bekommen hat. Webseiten ohne die mittelbaren sozialpsychologi- Dabei ist McAfee inzwischen schen Überredungsmethoden des SocEng nicht viel weiter, als das Security mehr möglich sind oder jedenfalls nicht in dieser Journal erkennen lässt. Der Häufung funktionieren würden. "Mittelbar" deshalb, Jahresbericht zur Entwicklung weil hier vor allem mit Texten, Bildern und dem der Virtuellen Kriminalität 2008 Layout umgegangen wird, um den Anwender in hat deutliche Worte zur Vertrauen zu wiegen oder zu übertölpeln. Strafverfolgung 447, zum Das unmittelbare SocEng benutzt keine Medien, Cyberwar 448 und zum krimi- sondern findet nur in sozialer Kommunikation statt. nellen Zahlungsverkehr ge- Es wird immer auch Mischformen geben, in denen funden. Diese Gesichtspunkte werden im Security der Social Engineer auch Medien einsetzt oder Journal nur gestreift, was die Vermutung entste- Abhörtechnik und die Methoden des Hackings. hen lässt, dass sie auch nicht hintergründig ein- geflossen sind. Die Auseinandersetzung mit dem SocEng, die Kar- thik Raman nach einer nicht geglückten Einleitung Auch die Prognosen von McAfee sind inzwischen über die medizinischen und psychologischen erheblich härter und punktgenauer geworden. Die Grundlagen vollführt, beschränkt sich auf die von Voraussagen über die Bedrohungen in 2009 449 Mitnick bekannten Fallstudien und findet keine Ver- begrüßen den nachhaltigen Rückgang des Spam- bindung zu den Themen im Security Journal im üb- mings nach dem Abschalten der IP-Adressen der rigen. Sein Verdienst ist es, dass er die Methoden als Spammer berüchtigten McColo Corporation der Manipulation in den Zusammenhang zu sozial- und fordern weitere solche Aktionen von psychologischen Schemata stellt und damit besser Regierungen und Zugangsprovidern (S. 10) 450. systematisiert. Darüber hinaus erwarten sie neue Formen gefälschter Webseiten mit angeblichen Finanz- Die übrigen Aufsätze liefern gute Zusammenfas- sungen zu einzelnen Themen und Aspekten. Ihnen 444 McAfee, Security Journal. Social Engineering (dt.), fehlt jedoch der Zusammenhang und besonders 05.10.2008 fehlt eine Systematik der Methoden des mittelba- 445 CF, globale Sicherheitsbedrohungen, 27.07.2008 ren SocEng. Außerdem weisen die Aufsätze 446 McAfee, Bericht ... zum Thema Virtuelle Lücken auf, weil sie Botnetze und ihre Betreiber Kriminalität, McAfee, Computerkriminalität und unerwähnt lassen und die verschiedenen Formen Computergesetze, 08.12.2008 der Cybercrime sowie die dabei verwendeten Me- 447 CF, Strafverfolgung, 13.12.2008 thoden nicht analysieren und systematisieren. 448 CF, Cyberwar, 13.12.2008 449 McAfee, 2009 Threat Predictions, 13.01.2009 450 Das Geschäftsfeld wurde inzwischen von 443 Siehe oben und Botnetzen übernommen: McAfee, January Spam CF, Überredungstechniken, 23.11.2008 Report, 08.01.2009 (S. 4) Dieter Kochheim, Cybercrime - 74 - und staatlichen Dienstleistungen (S. 5). geheimer Informationen und den Schlüssen geht, die aus ihnen und öffentlichen Informationen ge- Wünschenswert wäre eine Auseinandersetzung mit zogenen werden. Darin unterscheidet er sich dem SocEng als Bestandteil der Erschei- überhaupt nicht von Informationsbrokern, Ge- nungsformen der Cybercrime insgesamt gewesen. heimdienstlern und Ermittlern. Das könnte ein zu stark wissenschaftlicher Anspruch sein, weil dazu, jedenfalls wegen der Das Social Engineering darf eine gewisse Eigen- aktuellen Ausprägungen, mehr Erfahrungswissen ständigkeit nur in dem Bezug beanspruchen, über die Datenspionage und den Cyberwar erar- dass es ihm um die Penetration informationstech- beitet, gewürdigt und bewertet werden muss. nischer Systeme und Daten geht. Seine Ausrich- tung geht auf die Informationstechnik und ihre Be- Aber auch Mitnicks Werk 451 besteht aus Fallstudi- sonderheiten bestimmen die Ausprägung der so- en und Balduans 452 Bericht musste ich mit ande- zialpsychologischen Methoden und eingesetzten ren Quellen verbinden, bis ich daraus die Theorie Techniken. von der modularen Cybercrime 453 entwickeln konnte. Die künftige Entwicklung, die vermehrt individuali- sierte Angriffe und Spionage gegen Einrichtun- gen, Unternehmen und Behörden erwarten lässt, B.1 6. Lehren aus den Fallstudien zum wird das Social Engineering als eigenständige Er- Social Engineering scheinungsform im Zusammenhang mit der Infor- Die von Mitnick und dem Security Journal gelie- mationstechnik vernichten. Alle anderen Spiona- ferten Fallstudien zeigen, dass das Social Engi- ge- und Ermittlungsformen werden sich wegen ih- neering keine eigenständige Erscheinungsform der rer Methoden angleichen, schnöde und IT- Cybercrime ist. Seine Ursprünge liegen in den Technik miss- und gebrauchen ähnliche Gedan- Methoden der Rhetorik, der Manipulation und der kengänge wegen der Auswertung von Informatio- Suggestion und können ganz verschiedenen nen entwickeln. Zwecken dienen. Das gilt besonders auch für staatliche Ermittler, Seine ersten konkreten Ausformungen bezieht das die technische und soziale Kompetenz verbinden Social Engineering aus den Erfahrungen und müssen - und bei ihren Methoden an Recht und Praktiken der Trickbetrüger 454. Seine selbständige Gesetz gebunden bleiben. Ausrichtung hat es jedoch durch die Spionage Das will ich auch nicht anders. bekommen, die von Kundschaftern, Diplomaten, Spionen und Agenten entwickelt wurden. Wenn sie gut sein und unentdeckt bleiben wollten, mussten sie technisches und sonstiges Wissen mit sozialer Kompetenz und Abgebrühtheit verbinden. Genau das zeichnet den "echten" Social Engineer aus. Seine Methoden und Machenschaften unterschei- den sich vom Grundsatz her nicht von denen an- derer Tätigkeiten, denen es um die Beschaffung

451 Siehe oben. 452 Gordon Bolduan, Digitaler Untergrund, Technology Review 4/2008, S. 26 ff.; siehe: CF, Cybercrime: Zusammenarbeit von Spezialisten, 13.07.2008. 453 CF, arbeitsteilige und organisierte Cybercrime, 07.08.2008 454 CF, Trickbetrüger, 31.12.2008 Dieter Kochheim, Cybercrime - 75 -

B.2 Beobachten und bewerten ren, das dort mit seinen individuellen Merkmalen angemeldet ist, und endet bei strikten Regelwer- Ein geschickter Angreifer kann allein mit seinen ken, die die Installation von fremder Software und Beobachtungen, mit öffentlichem Allgemeinwissen damit auch von schädlicher Crimeware am Ar- und überlegten Kombinationen sensible Informatio- beitsplatz rigoros verhindern. Das Bundesamt für nen über eine fremde Organisation, ihren Aufbau Sicherheit in der Informationstechnik – BSI 456 – und ihren inneren Abläufen sammeln und erschlie- hat hierzu ein Regelungswerk geschaffen und ßen. Die  folgenden, erdachten Geschichten zei- verschiedene Studien veröffentlicht, die kaum gen, wie das gemacht werden kann. Lücken offen lassen und neben einem „Grund- schutz“ auch „kritische“ Datenverarbeitungsvor- gänge 457 im hohen Maße sichern. B.2 1. einheitliche Organisationssicherheit Auch in Mitnicks Berichten 455 über das SocEng Die IT-Sicherheit wird häufig nur als technische werden Szenen beschrieben, wie mit belanglosen Sicherheit angesehen. Die Diskussion um das internen Informationen Vertrauen geschafft und die SocEng zeigt hingegen, dass die IT-Sicherheit im- Gesprächspartner dazu gebracht werden, weitere mer eingebettet ist in die allgemeine Organisati- vertrauliche Informationen bis hin zu personenbe- onssicherheit. Die Korruptionsbekämpfung oder zogenen Daten und echten Geheimnissen zu of- die Abwehr von Spionen beschränken sich des- fenbaren. Er beschreibt den Einsatz von Keylog- halb heute nicht mehr auf die klassischen Be- gern, die am PC installiert werden, um die Tasta- trachtungsweisen, sondern müssen sich auch tureingaben zu protokollieren, wie ungesicherte den Besonderheiten der Informationstechnik stel- Datensteckdosen zum Eindringen in das EDV-Sys- len und sie in ihre Konzepte einbinden. tem verwendet und wie die Zugangsdaten von Mit- Das Wichtigste bei allen Sicherheitsfragen ist die arbeitern missbraucht werden können. Für den An- Ausbildung und die gelebte Sensibilität der Mitar- greifer, der es auf die EDV abgesehen hat, ist es beiter. Sie lassen sich mit Dienstanweisungen un- besonders wichtig, einen Zugang mit Administrato- terstützen, aber nicht ersetzen. Die Mitarbeiter ren-, also mit vollen Zugriffsrechten zu erlangen, müssen erkennen lernen, wo Unsicherheitsquel- mit denen er auf alle geschützten Informationen len sind und wo ihnen ungewöhnliche oder sensi- zugreifen kann. ble Informationen abgefragt werden – und sie Die Sicherheit der Informationstechnik beginnt bei brauchen Handlungsanleitungen und eine An- der einfachen Physik. Serverräume müssen ver- sprechstelle, an die sie ihre Beobachtungen und schlossen, klimatisiert und brandgeschützt sein. Befürchtungen vorbehaltlos melden können. Verteilerkästen für Datenleitungen müssen abge- Die Überredungstechniken, die das SocEng prä- schlossen sein; wenn nicht, lässt sich womöglich gen, haben längst Eingang in andere kriminelle mit einem Nagelknipser die EDV in mehreren Eta- Techniken gefunden. Damit haben sich vor allem gen so sabotieren, dass eine neue Verkabelung in- die Aufsätze über die  Malware und das  Social stalliert werden muss. Datensicherungsbänder ge- Engineering befasst. hören in einen Stahlschrank, der sich möglichst in einem anderen Gebäude befindet. Nur dann ist bei einem fatalen Störungsfall (Feuer, Hochwasser, Sabotage) sicher gestellt, dass die Daten mit neuer Technik wieder hergestellt werden können. Die heutigen Methoden zur technischen IT-Sicher- heit sind so verfeinert, dass einfache Angriffe scheitern müssen. Das beginnt bei Datensteckdo- 456 BSI, IT-Grundschutz-Kataloge sen, die nur auf ein bestimmtes Endgerät reagie- (früher: Grundschutzhandbuch - GSHB) 457 BSI, Veröffentlichungen zum Thema "Kritische 455 Siehe oben Infrastrukturen" Dieter Kochheim, Cybercrime - 76 -

B.2 2. Blick von außen 458 delt sich dabei um einen Zylinder, oder man kann auch sagen „Blecheimer“, dessen flache Seite in Die Staatsanwaltschaft liegt unweit des Haupt- Richtung Nordwesten ausgerichtet ist. Etwa in bahnhofs. Sie ist in einem L-förmigen Gebäude dieser Richtung befinden sich, wie ich im Stadt- untergebracht, dessen südlicher Teil sieben Stock- plan gesehen habe, eine größere Polizeibehörde werke über dem Erdgeschoss aufweist. Dieser und das Landeskriminalamt. Die Größe des Trakt ist leicht konkav gebogen, wie ein Hohlspie- „Blecheimers“ zeigt, dass die Richtfunkanlage auf gel. Das Erdgeschoss wird durch ein großes ver- eine Entfernung bis zu etwa 20 Kilometer ausge- gittertes Tor unterbrochen, das den Blick zu einem legt ist. Sie könnte also auch die Verbindung zu begrünten Innenhof zulässt. Im Hintergrund sind einem entfernteren Behördenteil, zu einer Neben- weitere Gebäude erkennbar. stelle oder zu einem Archiv herstellen. Um die Es ist ein Nachmittag im späten Herbst. Der größe- Ausrichtung der Richtfunkanlage zu klären, müss- re Teil der Fenster ist von innen in verschiedenen te ich sie aus einer besseren Beobachtungsposi- Stärken beleuchtet. Je zwei Fenster zeigen immer tion vermessen (genau gegenüber ist ein Hotel!) eine gleichartige Beleuchtung oder sind gar nicht und mit Kartenmaterial vergleichen, zum Beispiel beleuchtet, so dass sie zu jeweils einem Raum ge- von Google Maps. hören. Ich gehe zurück und zähle dabei meine Schritte. An verschiedenen Stellen reicht die gleichartige Der konkave Gebäudeteil ist etwa 70 Meter lang. Beleuchtung auch über mehrere Fenster hinweg An seinem „Knickpunkt“, wo also das andere Teil und man kann auch erkennen, dass einige Leucht- des „L“ anschließt, befindet sich ein rundläufiges röhren rechts und links über einen Mauersturz hin- Treppenhaus, wie man von außen ganz klar er- weg reichen. Sie kennzeichnen größere Räume, in kennen kann. Das anschließende Gebäudeteil ist denen entweder mehrere Leute arbeiten oder Ar- gradlinig, knapp 100 Meter lang und weist nur chive untergebracht sind. fünf Etagen über dem Erdgeschoss aus. Die Ich gehe um den Gebäudeteil links herum und be- Raumanordnung entspricht dem, was ich auch trachte seine Schmalseite. Es besteht aus massi- am konkaven Gebäudeteil beobachtet habe. Nur vem Mauerwerk, das in jeder Etage mittig von ei- eine Besonderheit ist zu sehen: In der ersten Eta- nem kleineren Fenster unterbrochen wird. Diese ge führt nach etwa einem Drittel der Strecke eine Fenster sind höhengleich mit den Fenstern an der gläserne „Beamtenlaufbahn“, also eine umschlos- Langseite. sene Personenbrücke zum gegenüberliegenden, wilhelminischen Gebäude des Amtsgerichts. In Sie liegen also an den Enden von Mittelgängen, ihr bewegen sich vereinzelt Personen. von denen beiderseits Räume abzweigen, ohne dass am Ende ein Treppenhaus eingebaut ist. Dies Am nördlichen Ende dieses Gebäudeteils schließt würde sich durch höhenversetzte Fenster oder er- das offenbar etwas ältere Landgericht an. Die An- kennbare Treppenstrukturen zeigen. ordnung der Fenster variiert etwas, so dass die Etagen beider Gebäude wahrscheinlich mit klei- Etwas nach hinten versetzt schließt ein anderes nen Treppen verbunden sind. Von außen ist im und wahrscheinlich älteres Gebäude an. In diesem Bereich des Gebäudeanschlusses kein Treppen- Anschlussbereich muss sich ein von außen nicht haus erkennbar. erkennbares Treppenhaus befinden, weil das die Bauvorschriften verlangen. Der Blick auf die Rück- Das muss innen liegen, weil es vom Baurecht front ist im wesentlichen verdeckt. vorgeschrieben ist. Auch dieser Gebäudeteil weist Innengänge auf mit beidseitig anschließen- Aus einigem Abstand erkenne ich schließlich eine den Büroräumen, wie man sieht. Richtfunkanlage auf dem Gebäudedach. Es han- Am nächsten Vormittag stelle ich mich in besse- 458 Die Geschichte stammt vom 17.06.2007. Die rer Alltagskleidung neben den Eingang rechts ne- Sicherheitsmaßnahmen sind seither erheblich ben dem Tor zum Innenhof. Er besteht aus einer verbessert worden. Dieter Kochheim, Cybercrime - 77 - zweiflügeligen Glas-Schiebetür, die in einer glä- Ich vermute, dass diese Leute „Schlüsselgewalt“ sernen Personenschleuse mündet, die zwei Türen haben und die Zugänge zu den Büroräumen ver- hat. Die linke, ebenfalls eine Schiebetür, öffnet schlossen sind – sonst würden sich die „Polizis- sich automatisch. ten“ nicht artig beim Pförtner melden – nicht alle. Hinter ihr befindet sich eine Pförtnerloge, die mit Die vierte Gruppe ist interessant. Sie ist nicht ele- einem „formlos uniformierten“ Menschen besetzt gant, aber geschäftsmäßig gekleidet. Alle ihrer ist. Auf seinem Sweatshirt befindet sich die Auf- Vertreter tragen eine mehr oder weniger große schrift „Justiz“. Aktentasche und fast alle warten nicht auf den Fahrstuhl, sondern besteigen gruß- und kontakt- Ich benehme mich unauffällig, wartend, rauche in los die Wendeltreppe in Richtung erstes Ge- Ruhe eine Zigarette. Würde mich jemand anspre- schoss. Viel höher werden sie nicht steigen. Ei- chen, würde ich sagen: „Ich warte auf einen Kolle- nerseits machen sie überwiegend einen gehetz- gen.“ Dies ist ein öffentlich zugängliches Gebäude ten Eindruck (Termindruck? Erledigungsdruck?), im Innenstadtbereich und deshalb auch ein übli- andererseits scheinen sie mit den Räumlichkeiten cher Treffpunkt. Die Ausrede zieht immer. und Anbindungen vertraut zu sein. An mir ziehen Menschen vorbei, die sich in fünf Sie müssen offenbar keine verschlossenen Türen Gruppen einteilen lassen. passieren und die Laufbrücke, die ich im Bereich Das sind zunächst die etwas „abgewrackt“ wirken- der ersten Etage gesehen habe, zeigt, dass hier den Leute mit nachlässiger Kleidung, die häufig wahrscheinlich alle drei Behörden miteinander auch ungepflegt aussehen. Sie haben fast immer verbunden sind. Nur ganz wenige dieser Leute einen Zettel in der Hand – eine Zahlungsaufforde- wenden sich an den Pförtner und lassen sich ver- rung oder eine Ladung, wie ich vermute – wenden mitteln. sich immer an den Pförtner und werden von ihm Die letzte und kleinste Gruppe besteht aus jünge- immer nicht ganz freundlich bedient, wie man an ren Leuten im Studentenalter, die grußlos (autis- der Gestik und den Körperbewegungen sieht. Es tisch? unsicher?) und zielstrebig in den hinteren handelt sich also um „Kundschaft“, die zur Verneh- Bereich der Eingangshalle gehen, wo sich, wie mung, zum Strafantritt oder zu einem Gerichtster- ich jetzt sehe, der Eingang zur Bibliothek des min geladen ist und hier vermittelt wird. Landgerichts befindet. Die zweite Gruppe zeichnet sich dadurch aus, Ich habe mir Zeit gelassen und weiß jetzt einiges dass sie meist einzeln, aber auch in Gruppen mit über diese Behörde, ohne einen Schritt in sie ge- einem Pkw vorgefahren kommen und immer Akten setzt zu haben: in roten Aktenhüllen bei sich trägt. Die meisten die- ser Leute sind zivil gekleidet und die anderen tra- Nach der Anzahl der Räume, ihrer Anordnung gen Polizeiuniformen. und dem Publikumsverkehr müssen hier mindes- tens 200, wahrscheinlich mehr als 250 Leute ar- Auch sie wenden sich immer an den Pförtner und beiten. werden von ihm offenbar freundlicher bedient. Schneller als bei der ersten Gruppe greift der Es ist eine öffentliche Behörde mit Durchgangs- Pförtner zum Telefon und sie verschwinden zu den und Publikumsverkehr. Ihr innerer Bereich ist beiden Fahrstühlen, die sie nach oben befördern. wahrscheinlich durch verschlossene Flurtüren ge- sichert. Bei der dritten Gruppe handelt es sich offenbar um Mitarbeiter oder Vertraute. Sie gehen – meistens Sie hat drei Treppenhäuser, davon ein öffentlich grüßend – am Pförtner – der zurück grüßt – vorbei zugängliches im „Knickbereich“ des L-förmigen und warten vor den Fahrstühlen, bis sie einsteigen Gebäudes und zwei weitere, die baurechtlich vor- können. Sie grüßen auch andere Wartende und geschrieben, aber von außen nicht direkt erkenn- sprechen – gelegentlich vertraulich wirkend – mit bar sind. ihnen. Eine Standard-Verkabelung für EDV-Anlagen Dieter Kochheim, Cybercrime - 78 - kann keine Strecken von mehr als 100 Meter B.2 3. Blick von innen überbrücken. Die Flurlängen des Gebäudes zwin- Kurz vor zwölf Uhr. Mittagszeit. Kolleginnen und gen dazu, dass irgendwo im Bereich des sichtba- Kollegen treffen sich und machen sich auf den ren Treppenhauses die zentralen Komponenten Weg zur Kantine. Ich grüße – freundlich und zu- der EDV zusammen laufen. Wahrscheinlich in der rückhaltend – und schließe mich der Gruppe an. ersten Etage, weil das Erdgeschoss von der Biblio- Man hält mir die Tür auf und schon bin ich in dem thek und linksseitig offenbar von einem Sitzungs- „verschlossenen“ Flur. Die Gruppe biegt zu einem saal eingenommen wird. innen liegenden Treppenhaus ab (wie ich von au- Die Richtfunkanlage ist auf hohe Leistung ausge- ßen vermutet hatte!) und ich gehe ein paar legt. Sie benötigt eine Wandlungs- und Steue- Schritte weiter. Schon bin ich wieder unauffällig rungsstation in dem Bereich zwischen den zentra- von der Gruppe getrennt. len Komponenten und ihrem Standort, weil sonst Ich gehe zurück zu der Tür, aus der Mann kam, die Strecke von 100 Metern überschritten wäre. der sich zuletzt der Gruppe anschloss. Sein Dazu dürfte ein eigener, zwar kleiner, aber wahr- Name steht auf einem Schild neben der Tür, scheinlich abgeschlossener Raum verwendet wer- „Müllermann“, aber die Tür ist verschlossen. den. Ich klopfe an der Nachbartür und trete ein. Das Ich werde jetzt meine Aktentasche unter den Arm Zimmer ist besetzt. „Entschuldigen Sie, ich bin klemmen und grußlos zum Fahrstuhl gehen, dort mit Herrn Müllermann verabredet.“ „Der müsste werde ich die Taste für die erste Etage drücken, gerade zu Tisch sein“, lautet die freundliche Ant- aber dann in den siebten Stock fahren. Zuerst wer- wort. Auch die beiden nächsten Türen sind ver- de ich danach schauen, ob die Flure wirklich ver- schlossen. Eine weitere systematische Untersu- schlossen sind und ob es noch unverschlossene chung könnte bei dieser Tageszeit zu auffällig Nebenräume gibt, wo technische Komponenten sein. oder andere interessante Einrichtungen abgestellt oder installiert sind. Dabei lohnt sich immer auch Ich schlendere den Flur zurück. Fast an seinem ein Blick auf Blechtüren im Mauerwerk, hinter de- Ende führt ein dicker aufgeschraubter Kabel- nen sich häufig die Verteilerkästen für die Tele- schacht quer an der Decke über den Gang. Hier kommunikation und die Datennetze befinden. laufen also die Datenleitungen für die Büros des Flures zusammen. Wie ich vermutet hatte, befin- Von oben nach unten werde ich das Treppenhaus det sich der zentrale Raum für die Datenverarbei- nutzen, das ist immer unauffällig, weil die meisten tung in der Nähe des zentralen Treppenhauses. Leute mit dem Fahrstuhl nach oben fahren und eher gelassen das Treppenhaus nach unten benut- Die Flurtüren lassen sich von innen mit einem zen. Ich liebe bequeme Leute, die eigentlich ver- Türgriff öffnen. Zwei Etagen tiefer habe ich Glück. schlossene Türen mit Keilen oder anderen Gegen- Die Flurtür ist unverschlossen, weil sie nicht rich- ständen geöffnet halten, um den Zugang zu den tig ins Schloss gefallen ist. Fluren frei halten oder ihren Besuchern den Zu- Auch hier treffen sich Kolleginnen und Kollegen gang zu ermöglichen, ohne ihnen einen Schlüssel zum Mittagessen. Eine von ihnen vergisst, ihre geben zu müssen. Bürotür abzuschließen. Kaum ist die Gruppe aus Besuchergruppen liebe ich sowieso. Ihr Leiter meinem Blick, bin ich in ihrem Büro. Ich habe kennt die einzelnen Personen der Delegation in al- jetzt etwa zwanzig Minuten Zeit. Der PC ist einge- ler Regel nicht, so dass man sich der Gruppe ein- schaltet und der Bildschirmschoner oder eine an- fach nur unauffällig anschließen muss, um in ver- dere Zeitschaltung sind noch nicht aktiv. Ich kom- schlossene Bereiche zu gelangen. me jetzt an alle Informationen, zu denen auch die unvorsichtige Mitarbeiterin Zugang hat. Unauffälligkeit und Smalltalk sind die wichtigsten Türöffner für geschlossene Bereiche, deren Si- cherheit von Niemanden so richtig überwacht wird. Dieter Kochheim, Cybercrime - 79 -

B.2 4. Nachwort Hacker - also Leute, die sich über Datennetze in Inspiriert zu den beiden Geschichten haben mich fremde Computersysteme einklinken, um dort auf die kernigen Aussagen von Eschbachs Industrie- die Suche nach interessanten Daten zu gehen - 459 gibt es wie Sand am Meer. Sie mögen ihre Da- spion : Ich komme nicht durch ein Kabel, ich seinsberechtigung haben; auf jeden Fall verkör- komme durch die Tür. Ich knacke keine Pass- pern sie das Bild, das sich die Öffentlichkeit von ei- wörter, ich knacke Schlösser. nem Industriespion macht. Ich jedoch begebe mich vor Ort, ich weiß, was ich tue, und ich kann ein- Auch er ist eine fiktive Figur, ebenso wie der Ich- schätzen, was ich zu sehen bekomme. Das ist Erzähler in den beiden Geschichten. Sie zeigen je- mein persönlicher Wettbewerbsvorteil. doch, wie mit Beobachtung, Allgemeinwissen und Denn was ist, wenn sich die interessanten Daten Kombinationsgabe tiefe Einblicke in eine fremde in Computern befinden, die an kein Netz ange- Organisation gewonnen werden können. schlossen sind? Was, wenn die Unterlagen, auf die es ankommt, überhaupt nicht in digitaler Form Solche Einblicke lassen sich auch nicht vermeiden. vorliegen, sondern als Papiere, Pläne, handschrift- Verhindern lässt sich nur der Missbrauch der ge- liche Notizen? In solchen Fällen schlägt meine wonnenen Informationen durch ein durchdachtes Stunde. Ich komme nicht durch ein Kabel, ich kom- und konsequent durchgeführtes, mit anderen Wor- me durch die Tür. Ich knacke keine Passwörter, ich knacke Schlösser. Ich bin nicht darauf angewie- ten: gelebtes Sicherheitskonzept. sen, dass es einen Zugang gibt zu den Informatio- Diesem Ziel dienen die beiden Geschichten. Sie nen, die meine Auftraggeber interessieren, ich sollen den Blick dafür schärfen, wie ein Angreifer bahne mir meinen Zugang selbst. denken und handeln könnte. Andreas Eschbach

459 Andreas Eschbach, Der Nobelpreis, Bergisch Gladbach (Lübbe) 2005, S. 160. Dieter Kochheim, Cybercrime - 80 -

C. Underground Economy C.1 Schurken-Provider und organisierte Cybercrime 462 Die ersten beiden Teile widmen sich den Methoden der Cybercrime, der dritte Teil beschreibt ihre Ak- Russian Business Network - RBN teure und ihre Zusammenarbeit. Russland: Ein sicherer Hafen für die Internet- Ich gehe davon aus, dass das Massengeschäft der Kriminalität? Cybercrime von einer Vielzahl von Einzeltätern ge- Die wesentlichen Erscheinungsformen der Cy- prägt ist, die Malware einsetzen, Identitätsdieb- bercrime sind immer hinterhältigere Formen der stähle durchführen, Malware programmieren und Malware, der schädliche Einsatz von Botnetzen, schließlich Hacking betreiben, um damit Geld zu das Phishing und das Skimming. Sie lassen auf verdienen. Sie prägen das Bild von einer chaotisch arbeitsteilige und einander unterstützende Struk- und diffus erscheinenden Cybercrime-Szene. turen schließen. Dieses Bild verstellt jedoch den Blick auf die pro- Mit den Schurken-Providern und namentlich dem fessionellen Akteure im Hintergrund. Sie stellen die Russian Business Network setzen sich mehrere Infrastruktur für anonyme Hostserver, maskierte Veröffentlichungen aus der jüngeren Vergangen- DNS-Adressen und Bezahlsysteme zur Verfügung heit auseinander. Sie zeigen ein Netzwerk, das in 460 und betreiben Botnetze, das Skimming und das die technische Infrastruktur des Internets einge- Phishing im großen Stil. Sie sind die organisierten bunden ist und kriminelle Aktivitäten von der Öf- Internetverbrecher, von denen McAfee bereits fentlichkeit und der Strafverfolgung abschottet. 2006 gesprochen hat 461. Die Akteure der Cybercrime haben sich den Her- Die Bekämpfung der Cybercrime muss beide ausforderungen der Informationstechnik und des Gruppen im Auge behalten. Wegen der individuel- Internets gestellt und verdienen mit ihren kriminel- len Täter ist sie ein Massengeschäft und wegen len Aktivitäten offenbar gutes Geld. der organisierten Täter ein strategisches. Die meiste Malware kommt aus Russland 463, mel- dete der Cyberfahnder am 21.02.2008 unter Be- zugnahme auf tecchannel. Dabei wurde auch der Zusammenbruch des RBN (Russian Business Network) erwähnt, der schon bejubelt wurde 464, sich im Nachhinein aber als eine vorübergehende Umstrukturierung heraus stellte.

462 Der Aufsatz erschien erstmals am 13.07.2008. 463 CF, gefährliche Lokale, 21.02.2008; Russland wieder auf Platz Eins in der Malware- Achse des Bösen, tecchannel 21.02.2008. Jüngere Zahlen wegen Malware-Anhänge an E- Mails lassen Russland eher unverdächtig erscheinen (CF, Schurkenstaaten, 20.06.2008). Auch im CF, Spam-Monitor von funkwerk (21.06.2008) hat Russland seinen festen Platz, 460 CF, Arbeitspapier Skimming #2, 02.03.2010; ohne aber auffallend häufig vertreten zu sein Dieter Kochheim, Skimming (Arbeitspapier) 464 CF, Russian Business Network ist offline, 461 CF, erste Typenlehre, 27.07.2008 07.11.2007 Dieter Kochheim, Cybercrime - 81 -

Aufsehen erregte die Untersu- C.1 1. Cybercrime in Russland chung von David Bizeul 465. Laut Bezüge nach Russland tauchen tatsächlich häufi- Heise erkundete er seit Sommer ger auf, wenn man die Datenspuren in Spam- und 2007 vier Monate lang in penibler Malware-Mails genauer unter die Lupe nimmt 469. Computer-Detektivarbeit die Struktur des RBN. Auf 406 Ser- Schon 2006 hatte Moritz Jäger in tecchannel auf vern mit rund 2090 Internet- die Verbreitung krimineller Dienste und Dienstleis- Adressen fand er so ziemlich al- tungen im Internet hingewiesen 470 und mich dazu les, was es im Internet nicht geben dürfte: Kin- angeregt, hinter dem Phishing organisierte Struk- derpornos, Software zum Datendiebstahl, Anwer- turen zu vermuten 471. Über solche Angebote und beseiten für angebliche Finanzagenten, Drop Zo- ihre Preislisten wird immer wieder berichtet 472 so- nes. 466 wie über spektakuläre Angriffe, die nicht im Allein- gang durchgeführt werden können 473. Im April 2008 beschäftigte sich Gordon Bolduan im Technology Über die informelle und geschäftsmäßige Zusam- Review mit dem RBN und stellt menarbeit verschiedener Tätergruppen im Inter- als Aufmacher voran 467: net sind mir Hinweise seit 2005 und nicht erst seit dem allgemeinen Bekanntwerden von Botnetzen Das Internet ist ein mächtiges geläufig 474. Auch das breit angelegte Ausspähen Werkzeug – sowohl für legale Ge- von Kontozugangsdaten mit dem Ziel, gefälschte schäfte wie auch für Verbrechen. Zahlungskarten zum Missbrauch an Geldautoma- Mittlerweile hat sich im Netz eine ten einzusetzen 475, ist nur in einer strukturierten gut organisierte kriminelle Subkultur entwickelt, die Organisation vorstellbar. Sowohl beim Phishing 476 Milliarden verdienen dürfte und selbst Mittätern wie auch beim "professionellen" Skimming 477 Angst macht. müssen verschiedene Arbeitsschritte durchge- Im Mai 2008 folgte schließlich ein führt und Fachleute eingesetzt werden, so dass wirklich spannender Artikel in der eine steuernde Instanz zu erwarten ist. Schließ- c't von Frank Faber 468. Sein lich muss auch wegen der Betreiber von Botnet- Aufmacher lautet: zen der arbeitsteilige Zusammenschluss von Ent- wickeln, Systemverwaltern und "Kaufleuten" er- Wenn Girokonten von Phishern leer geräumt oder Kreditkartendaten missbraucht werden, führen die Spuren oft nach Russland. Mit der Unterstützung von Netzbetrügereien verdienen 469 CF, gemeiner Versuch: Zahlungsbestätigung, die Hintermänner des „Russian Business Network“ 21.03.2008 470 Millionen. Und das augenscheinlich, ohne ent- Moritz Jäger, Das Netz der Phisher: Wie Online- Betrüger arbeiten, tecchannel 20.09.2006 scheidend von Strafverfolgungsbehörden gestört 471 CF, Phishing, organisierte Strukturen, 2007 zu werden. 472 CF, geklaute Daten zum Schnäppchenpreis, 09.04.2008; CF, Trojanerbaukasten mit Support, 20.06.2008; CF, qualitätskontrollierter Kontomissbrauch, 465 David Bizeul, Russian Business Network study, 09.05.2008. bizeul.org 19.01.2008; 473 CF, Russian Business Network – RBN, 04.05.2008. CF, filigraner Angriff, 14.05.2008 474 466 Innovation im Untergrund, Heise online 20.03.2008; Holger Bleich,Trojaner-Sümpfe. DDoS- und Spam- drop zones: Sichere Speicherorte für kriminell Attacken gegen Bezahlung, c't 1/05, Seite 43; erlangte oder kriminell genutzte Daten. Ferngesteuerte Spam-Armeen. Nachgewiesen: Virenschreiber lieferten Spam-Infrastruktur, c't 5/04, 467 Gordon Bolduan, Digitaler Untergrund, Technology Seite 18 Review 4/2008, S. 26 ff. 475 CF, arbeitsteiliges Skimming, 18.05.2008 468 Frank Faber, Unter Verdacht. Eine russische Bande 476 professionalisiert das Cybercrime-Business, c't CF, Das Unternehmen Phish & Co., 2007 11/2008 477 CF, steuernde Instanz, 18.05.2008 Dieter Kochheim, Cybercrime - 82 -

478 wartet werden . Über die innere Struktur der Botnetzbetreiber gibt Mit den Erscheinungsformen es nur Spekulationen. Ich bin bisher davon ausge- der Cybercrime in Russland gangen, dass sie eher als Einzelpersonen han- deln. Das mag falsch sein, weil auch insoweit ver- setzt sich besonders Igor Muttik schiedene logistische Aufgaben bewältigt werden von den McAfee Avert Labs aus- müssen, die eine Arbeitsteilung geradezu aufdrän- einander 479. gen:  Softwareentwicklung und -pflege. Schon in der Sowjetunion wur-  Vertrieb der Malware zur Verbreitung der Zom- den die Ausbildungen in den bieprogramme durch Spam-Aktionen 480 und Infil- Naturwissenschaften, der Mathematik und der In- tration fremder Webseiten 481. formatik erheblich mehr gefördert als die in den  Vertragsverhandlungen wegen des Einsatzes Geisteswissenschaften. Muttik sieht heute eine des Botnetzes. Kombination aus relativ niedrigen Gehältern, einer  Administration des Botnetzes. hohen Arbeitslosenquote und der breiten Verfüg-  Finanzverwaltung. barkeit vernetzter Computer (S. 17) im größten Für die Annahme, dass auch der Einsatz von Bot- Flächenland der Welt mit mehr als 142 Millionen netzen durch arbeitsteilige Gruppen erfolgt, spre- Einwohnern - ganz überwiegend im europäischen chen vereinzelte Meldungen. 482 Teil des Landes. Er führt sodann prominente Viren, Virenautoren und führende Kenntnisse aus den ganz erheblicher Anreiz. Bereichen Datenkompression, Kopierschutz, Fern- wartung und Systemanalyse auf, die für die Pro- Seine Beispiele für die Strafverfolgung beschrän- grammierung von Malware hervorragend miss- ken sich auf Einzelfälle, die teilweise im Ausland braucht werden können. erfolgten. Ein "Marktdruck durch Strafverfolgung", wie ich es nennen würde, scheint nicht vorhanden Es gibt ein russisches Sprichwort, das besagt, zu sein, so dass das eher geringe Verfolgungsrisi- dass die unbeugsame Härte des russischen Ge- ko die Bereitschaft, Cybercrime zu praktizieren, setzes nur durch die Unmöglichkeit ausgeglichen besonders fördern dürfte. wird, es durchzusetzen (Muttik, S. 18). In diesem Zusammenhang referiert er über die IT-straf- Das Thema "individuelle Spionagesoftware" spart rechtlichen Vorschriften in Russland, über einige Muttik aus. Es kann bedeutungslos, angesichts spektakuläre Fälle der Strafverfolgung und über der Perspektive von McAfee als Anbieter von An- private Organisationen, die sich der Bekämpfung ti-Malware-Software ein vereinzeltes Problem der IT-Kriminalität verschrieben haben. oder bewusst ausgeblendet worden sein. Muttik hat nach Crimeware-Angeboten in Russland Ich glaube, dass die zweite Antwort zutrifft. Per- gesucht und ist reichlich fündig geworden: Spam- spektivisch werden sich aber McAfee und alle an- Adressen, Bot-Software, Spionageprogramme zu deren IT-Security-Unternehmen auch um die indi- verhaltenen Preisen (S. 19, 20) und für Großab- viduellen Malwareformen zur Industriespionage nehmer gegen Rabatt (S. 20). und zur Ausforschung privater Geheimnisse küm- mern müssen, weil diese Angriffe mit Sicherheit Sein Fazit (S. 21): Russland verfügt - ebenso wie zunehmen und einen Bedarf des Marktes hervor- China, ... Brasilien und die Ukraine - über hoch rufen werden. qualifizierte IT-Fachleute ohne Perspektive am le- galen IT-Markt. Selbst wenn sie Arbeit haben, sind Muttiks Prognosen klingen sehr allgemein und die Einkommen, die durch kriminelle Programme zurückhaltend. Er erwartet, dass der russische und ihren Einsatz erwartet werden können, ein 480 CF, Anatomie des Sturm-Wurms, 06.03.2008; 478 Tom Espiner, Harald Weiss, Sicherheitsexperten: CF, Kraken-Bot, 08.04.2008 Storm-Botnet wird bald verkauft, ZDNet 17.10.2007 481 CF, Massenhacks von Webseiten werden zur 479 Igor Muttik, Die Wirtschaft und nicht die Mafia treibt Plage, 14.03.2008 Malware voran, McAfee 12.02.2008 482 CF, Cybercrime. Botnetze, 07.08.2008 Dieter Kochheim, Cybercrime - 83 -

DDoS-Angriff auf Estland Im April und Mai 2007 gab es einen großen DDoS- Angriff, der auf viele Regierungswebsites in Estland gerichtet war. Ermittler gehen davon aus, dass der Angriff durch die Umsetzung des „bronzenen Solda- ten“ veranlasst wurde, einem Denkmal für einen un- bekannten russischen Soldaten im Zweiten Welt- krieg. Estnische Behörden hatten beschlossen, das Monument vom Zentrum Tallins auf einen vorstädti- schen Militärfriedhof zu versetzen. Dieser Beschluss löste unter der Bevölkerung Tallins stützt von sprudelnden kriminellen Einnahmen. Unruhen aus, bei denen eine Person getötet wurde. Später, kurz vor dem Jahrestag des Sieges (zur Beendigung des 2. Weltkriegs, der in Estland am 9. Mai gefeiert wird), begann ein mehrere Tage Keiner hackt mehr heute zum Spaß, das ist knall- andauernder DDoS-Angriff. Viele große estnische hartes Business geworden. 484 Websites standen während dieser Zeit nicht zur Verfügung. Unter Sicherheitsexperten herrscht die Meinung vor, dass dieser Angriff von einer Gruppe C.1 2. Zusammenarbeit von Spezialisten von Einzelpersonen durchgeführt und von deren 485 patriotischen Gefühlen angeheizt wurde. ... Es Gordon Bolduan stellt in das Zentrum seiner konnten keine Hinweise auf eine Beteiligung der Betrachtung die modernen Botnetze, die er zu- russischen Regierung an diesen Angriffen gefunden treffend als das mächtigste kriminelle Werkzeug werden, und selbst wenn es eine Verbindung gäbe, ansieht, das zur Verfügung steht. Die von der würde diese mit sehr großer Wahrscheinlichkeit Bot-Malware infizierten Rechner lassen sich nicht nicht entdeckt werden. Nach dem Vorfall beschuldigten sich beide Seiten gegenseitig der nur nach persönlichen Daten und Zugangscodes Cyber-Angriffe. 483 ausforschen, sondern in ihrer Gemeinschaft zu al- len Massenerscheinungen im Internet missbrau- chen. Die wichtigsten Formen sind das werbende Staat die IT-Kriminalität verstärkt verfolgen und da- Spamming, die Verbreitung von Malware mittels mit zurückdrängen wird. Für eine Entwarnung sei E-Mail-Anhänge, das Phishing und schließlich jedoch kein Platz, weil andere Regionen der Welt verteilte Angriffe (DDoS). Allein schon die Dro- nachdrängen werden. hung mit einem solchen Angriff kann zur Erpres- Wenn aber in Russland das technische Wissen be- sung zu Schutzgeld eingesetzt werden. sonders konzentriert ist und gleichzeitig große so- Wegen der Leistungsfähigkeit der Botnetze ist zu ziale Spannungen und Verteilungskämpfe beste- ergänzen, dass die Zombie-Software zumeist mo- hen, dann dürfte Muttiks Einschätzung mehr als dular aufgebaut ist, so dass sie immer wieder ak- fraglich sein. Ich befürchte, dass der russische Bär tualisiert und sich wandelnden Bedürfnissen an- auch bei der Cybercrime noch gehörig mitwirken gepasst werden kann. wird. Einzelne Geräte aus dem Botnetz können zudem Muttik erwähnt die russische Mafia am Rande und als Webserver für die Verteilung von Software- erkennt, dass sie ein wirtschaftliches Interesse an Updates, zur Steuerung kleinerer Gruppen von in- der Förderung der Cybercrime haben könnte. Ich filtrierten Rechnern und zu ihrer Überwachung bin ganz sicher kein Experte für die Einschätzung verwendet werden. Einzelne Varianten der Bot- dieser Situation, befürchte aber auch, dass solan- software gehen sogar sehr behutsam mit den in- ge solche kriminellen Strukturen frei oder relativ filtrierten Rechnern um, um nicht aufzufallen und frei agieren können, das profitable Geschäft mit den Zombie möglichst lange missbrauchen zu der Cybercrime einen besonders "sicheren Hafen" haben könnte. Frei von Strafverfolgung und unter 484 Balduan, Digitaler Untergrund, Technology Review 4/2008, S. 28 483 Muttik, S. 21 485 Gordon Bolduan, S. 26 ff. Dieter Kochheim, Cybercrime - 84 - können 486. bucht werden können 489. Bolduan bleibt nicht bei der Beschreibung des Bot- Bolduan 490 benennt als Alternative den Bezahl- netz-Phänomens, sondern widmet sich vor alem dienst WebMoney (wmz), dessen Webadresse dem Netzwerk der Cyber-Kriminellen. auf eine WebMoney Corporation in Japan regis- triert ist und der als Support-Kontakt eine Adres- Die beteiligten Spezialisten lassen sich nämlich se in Moskau angibt; auf einer Liste der WebMo- wegen ihrer Aufgaben und Tätigkeiten unterschei- ney akzeptierenden Händler finden sich haupt- den und dürften teilweise in Bandenstrukturen or- sächlich Online-Kasinos, Kreditkartendienste und ganisiert sein. Goldbörsen – und dazu ein ukrainisches Pro- grammierer-Team. C.1 3. organisierte Botnetze Botnetze richten sich meistens gegen eine Viel- 491 Malware missbraucht Sicherheitslücken. Die Zom- zahl von Opfern , wenn nicht ein verteilter An- bie-Software zum Betrieb eines Botnetzes ist eine griff oder eine Spionageaktion gegen ein einzel- spezialisierte Form von Malware, die ihrem Ein- nes Ziel gerichtet wird. satzzweck angepasst ist. Einzelne Zombies fallen immer wieder aus, weil In der frühen Hackerkultur war es üblich, Sicher- sie vorübergehend aus dem Netz genommen heitslücken zu veröffentlichen, um die Hersteller werden, eine Antiviren-Software die Malware auf- von Hard- und Software unter Druck zu setzen, da- gespürt und unschädlich gemacht oder das Opfer 492 mit sie Gegenmaßnahmen treffen. Daneben hat sich einen neuen PC zugelegt hat . Zum Erhalt sich inzwischen ein Markt für unbekannte und seines Botnetzes muss der Betreiber deshalb im- eben nicht veröffentlichte Sicherheitslücken entwi- mer wieder Malware verteilen, um durch neue ckelt. Diese Händler nennt Bolduan Exploit-Händ- Zombies den Bestand zu erhalten oder auszu- ler (Exploit Vendors), die ihre Kenntnisse an die bauen. Solange dabei E-Mail-Anhänge verwendet Entwickler von Malware verkaufen. werden, lässt sich zur Verteilung das schon be- stehende Botnetz nutzen. Mit den Toolkit-Schreibern identifiziert er eine zweite Gruppe von Spezialisten. Sie liefern die Die Kenntnisse der Anwender und die Sicher- Funktionen zur Tarnung der infiltrierten Software. heitsfunktionen in den PCs haben zugenommen, so dass die Malwareverbreitung vermehrt dazu Die Malware-Schreiber führen die Zulieferungen übergegangen ist, Injektionsverfahren einzuset- der Exploit-Händler und Toolkit-Schreiber zusam- zen, die beim Surfen im Internet oder beim Öffnen men. Sie produzieren entweder ein fertiges Pro- bislang als harmlos geltender Dokumente zum gramm oder entwickeln Malware-Baukästen, die Zuge kommen. sie vermarkten 487. Die inzwischen sehr häufig eingesetzten infiltrier- Bereits Moritz Jäger hat darauf hingewiesen, dass ten Webseiten bedürfen eines Speicherplatzes, in dieser Szene Verrechnungskonten auf der Basis von dem aus sie abgerufen werden können. Dazu 488 von Edelmetallen sehr beliebt seien . Sie lassen kann ein infiltrierter Rechner aus dem Botnetz die verzögerungsfreie Verrechnung geldwerter For- verwendet werden. Das ist jedoch ineffektiv, weil derungen zu und sind nur etwas zögerlich bei dem die Zombies in aller Regel über ihre Zugangspro- Transfer zu nationalem Geld. Der Anbieter E-Gold vider dynamische IP-Adressen zugewiesen be- führt zum Beispiel für jeden der Beteiligten ein Gut- kommen und der belastende Datentransfer zu habenkonto in der Verrechnungseinheit "Gold", wo- mit die gegenseitigen Forderungen ab- und zuge- 489 CF, Verrechnungssysteme auf der Basis von Edelmetallen, 2007 490 Balduan, S. 32 486 CF, Anatomie des Sturm-Wurms, 06.03.2008 491 CF, Botnetze: Wirkung wie DDoS, 17.10.2007 487 CF, Trojanerbaukasten mit Support, 20.06.2008 492 Weihnachten ließ Botnetze schrumpfen, Heise 488 CF, neuartige Finanzdienste, 2007 online 28.12.2006 Dieter Kochheim, Cybercrime - 85 - auffällig wäre. Sinnvoller ist es, dafür einen Server zu verwenden, bei dem der zusätzliche Traffic (Daten- durchsatz) nicht weiter auffällt oder vom Anbieter toleriert wird. Die erste Wahl für die In- stallation infiltrierter Webseiten sind gekaperte, also gehackte Hostserver, zumal ihre stati- sche Internetadresse nach je- dem - spätestens zweiten - Missbrauch "verbrannt" und in die üblichen Spam- ßerdem ist er der bevorzugte Lieferant für ming- und Malware-Abwehr-Datenbanken aufge- Kommunikationsplattformen und geschlossene nommen ist. Dasselbe gilt für die Ablage der Upda- Benutzerkreise zum Informations- und Datenaus- te-Versionen für die Zombie-Software. tausch mit Inhalten, die nicht für die Öffentlichkeit und schon gar nicht für die Strafverfolgung be- Wenn der Täter nach der Guerilla-Strategie ver- stimmt sind. fährt, sind gekaperte Hostserver tatsächlich die beste Wahl. Sie werden missbraucht und sogleich wieder aufgegeben. Langfristige Planungen bedür- C.1 4.2. Carder fen jedoch "sicherer Häfen". Nur hier können auf- wändige Website-Farmen und konspirative, ge- Als Carder wird ein Krimineller bezeichnet, der schlossene Benutzergruppen eingerichtet und kri- geklaute Kreditkartendaten kauft und diese zu 493 minelle Daten gehostet werden. Sie bedürfen der Bargeld macht . schützenden Hand eines starken und souveränen Wie alle anderen Hauptpersonen auch bleibt der Türstehers, der sowohl neugierige Nachfragen wie Carder im Hintergrund und kann sich verschiede- auch die Nachstellungen von Strafverfolgungsbe- ner Methoden bedienen. Beim Phishing sind das hörden abprallen lässt. Sie nennt man Schurken- im wesentlichen drei Methoden: oder Rogue-Provider und das Russian Business  mit Hilfe eines Hackers werden die Kontozu- Network - RBN - dürfte das bekannteste von ihnen gangsdaten eingesetzt, um Überweisungen vor- gewesen sein. zunehmen, C C.1 4. Spezialisierung  das Homebanking des Opfers wird online über- wacht und im entscheidenden Moment eine Über- Nach Balduan lassen sich verschiedene Perso- weisung umgeleitet, nengruppen definieren, die sich durch ihre beson- deren Fertigkeiten und Aufgaben unterscheiden.  die infiltrierte Malware verändert während ei- nes Überweisungsvorgangs die Zieldaten mit de- nen des Carders. C.1 4.1 Drop Zones Die vierte Methode ist das Kopieren von Zah- Im System der Cybercrime hat der Rogue-Provider lungskartendaten auf Rohlinge. Sie ist im wesent- eine zentrale Rolle, weil er die sicheren und abge- lichen vom Skimming bekannt. schotteten Drop Zones zur Datenhaltung liefert. Hier werden die Farmen und die Malware-Updates gespeichert, bevor sie in das Botnetz zur weiteren Verbreitung eingespeist werden, sowie die von den 493 Bolduan (4), S. 30: Opfern ausgespähten Daten zwischengelagert. Au- ... die damit Kreditkarten fälschen oder hochwertige Wirtschaftsgüter im großen Stil bestellen. Dieter Kochheim, Cybercrime - 86 -

C.1 4.3 Agenten Die Agenten sind die Klinken- putzer der Cybercrime. Sie handeln in der Öffentlichkeit und werden mit verschiede- nen Aufgaben eingesetzt. Am bekanntesten sind seit dem Phishing die Finanz- agenten. Auf ihre Girokonten werden die Überweisungen umgeleitet und sie sollen per Bargeld-Transfer oder mit an- deren Methoden die kriminellen Gewinne zu den Organisatoren bleiben der Öffentlichkeit in aller Hinterleuten bringen. Regel verborgen (Schaubild auf der Vorseite). Die Agenten müssen in der Öffentlichkeit arbeiten und Beim Skimming werden verschiedene Agenten ein- unterliegen einem mehr oder weniger großem gesetzt. Die erste Gruppe muss die Überwa- Entdeckungsrisiko. In dem Bereich dazwischen chungstechnik installieren und schließlich wieder sind die Hacker beim Phishing, die Unterhändler, abbauen und die zweite in einem anderen Land die z.B. zum Anwerben von Agenten, und die nachgemachten Zahlungskarten einsetzen. Dabei Kontrolleure angesiedelt, die die Agenten ist die Tätigkeit des Cashing, also der Einsatz ge- überwachen und die Erlöse einsammeln. Sie fälschter Zahlungskarten am Geldautomaten, ver- müssen mit zurückhaltendem Risiko in der hältnismäßig einfach, aber wegen des Entde- Öffentlichkeit auftreten. ckungsrisikos gefährlich. In arbeitsteiligen Organisationen ist damit zu Zu den Agenten können auch die Hacker gezählt rechnen, dass die handelnden Personengruppen werden, die fremde Bankkonten manipulieren streng voneinander getrennt sind. Die Hinterleute (Phishing). lassen sich deshalb kaum feststellen.

C.1 4.4 Spezialisten C.1 4.5 Koordinator. Operation Group Von den Agenten muss man die Spezialisten unter- Die zentrale Figur jedoch ist ... ein „Independent scheiden, die das kriminelle Handwerkzeug liefern. Business Man“ – eine Person, die Kontakte zur Das sind die Malwareschreiber und Adressenlie- Unterwelt pflegt und zwischen Bot-Herdern, Ha- feranten für Spamaktionen, die Texter für Websei- ckern, Malware-Schreibern und Spammern koor- ten und Spams, die den richtigen Jargon treffen diniert. ... mithilfe der Botnetz-Infrastruktur kann und fremdsprachensicher sein müssen, die Web- der Koordinator Unternehmen mit verteilten Mas- designer für das Pharming und die Administratoren senangriffen auf ihre Webseiten drohen und so für Botnetze. Schutzgeld erpressen, Spam-Wellen mit Wer- Im Zusammenhang mit dem Skimming kommen bung für überteuerte Produkte oder Aktien lostre- auch richtige Handwerker zum Einsatz, die einer- ten oder tausendfach persönliche Informationen seits die Überwachungstechnik her- oder zusam- wie Bankzugangsdaten ergaunern. 494 menstellen und andererseits Zahlungskarten fäl- Nach einem von Bolduan zitierten Gewährsmann schen. Es werden vereinzelt Fassaden eingesetzt, soll es sich bei den Koordinatoren in aller Regel deren Herstellung großes handwerkliches Ge- um frühere KGB-Leute und / oder Angehörige der schick erkennen lässt.

Die Lieferanten, Spezialisten, Koordinatoren und 494 Bolduan, S. 30 Dieter Kochheim, Cybercrime - 87 - russischen Mafia handeln 495. Diese Leute seien Auf der Ebene unterhalb der Koordinatoren sind auch erfahren in der Geldwäsche. die Betreiber angesiedelt, die über Botnetze oder Drop Zones (Rogue-Provider) verfügen. Der Koordinator betreibt Cybercrime-Management und hat dafür gewisse Gestaltungsfreiräume, je Sie sind ihrerseits auf Subunternehmer angewie- nach dem, welche Aufgaben er an Subunterneh- sen, die ihnen die nötige Malware liefern oder für mer outsourcen kann und will. bestimmte "Geschäfte" besonders spezialisiert sind (z.B. Carder, Operation Groups). Um zum Beispiel eine Phishing-Aktion durchzufüh- ren, braucht er ausgespähte Kontozugangsdaten. Die Zulieferung besonderer Informationen (Adres- Die kann er kaufen, selber erheben oder die Erhe- sen, Sicherheitslücken, Bankkonten) oder Modu- bung und den Missbrauch in eine kombinierte Mal- len (Rootkit, Hardware) erfolgt durch Zulieferer. ware-Aktion einbinden. Sie bleiben ebenso wie die Spezialisten und Handwerker im Hintergrund, die z.B. die Überwa- Mit dem Einkauf von Kontodaten, anderen Diens- chungstechnik und die Dubletten für das Skim- ten oder Modulen, die der Koordinator benötigt, ming oder Webseiten und Texte für das Phishing kann er national tätige Operation Groups 496, also herstellen. Subunternehmer oder Vermittler beauftragen. Die Administratoren kümmern sich um den lau- Sobald er über diese "veredelten" Daten verfügt, fenden Betrieb von Botnetzen und Pharmen. braucht er noch Hacker für den Kontomissbrauch und Agenten für die Sicherung der kriminell erlang- Hacker im hier verwendeten Sinne werden für ten Gewinne. den Online-Missbrauch beim Phishing oder für das Ausspähen bei der Industriespionage benö- Die "Hacker" müssen mehr vertrauenswürdig als tigt. Auf dieser Ebene sind auch die Kontrolleure kompetent sein. Der Aufruf eines Homebanking- (Vorarbeiter) für die Agenten angesiedelt, die de- Portals und der Missbrauch von Kontozugangsda- ren Einsätze abstimmen oder Finanzagenten be- ten einschließlich "normaler" Transaktionsnum- treuen. mern nach dem alten TAN-Verfahren ist eine eher banale Sache. Die Basis stellen schließlich die Agenten, die sich im Licht der Öffentlichkeit bewegen müssen. Komplizierter wird es, wenn die ausländische Her- kunft des Angriffs verschleiert werden muss. Dann muss der Hacker einen Anonymisierer benutzen, C.1 4.6 Rogue Provider der allerdings dem Rechenzentrum der angegriffe- nen Bank ebenfalls auffallen könnte. Schurken-Provider betreiben wie andere Anbieter im Internet auch eine normale technische Infra- Die Alternative dazu ist die Nutzung eines unauffäl- struktur. Sie sind autonome Systeme, also in sich ligen Rechners, dessen Standort im Zielland ist. geschlossene technische Netzwerke, die mit an- Dazu muss sich der Hacker entweder bereits dort deren internationalen Netzen und Carriern durch befinden oder ein infiltriertes Gerät nutzen. Dazu Verträge verbunden sind 497. wiederum eignen sich entweder gehackte Einzel- geräte oder Zombies aus einem Botnetz. Ihre Netzdienste sind dieselben, die auch andere Host- und Zugangsprovider bieten: Die Verwal- Schließlich benötigt der Koordinator noch Agenten, tung von DNS-Adressen 498, Speicherplatz (Host- die ihre Girokonten zur Verfügung stellen und den speicher) und Kommunikationsplattformen (Chat, kriminellen Gewinn zu ihm übertragen. geschlossene Benutzergruppen). Die übrigen Erscheinungsformen der Cybercrime Sie unterscheiden sich hingegen wegen ihres Ge- weichen wegen ihrer Anforderungen von diesem schäftsmodells, weil sie ihre Kunden gegenüber Beispiel ab. Das Grundmodell bleibt immer gleich: 497 CF, autonome Systeme und Tiers, 2007 495 Balduan, ebenda 498 CF, Auflösung von DNS-Adressen, 2008; 496 Balduan, ebenda CF, Kontakte. Tier-1. DeCIX, 2007 Dieter Kochheim, Cybercrime - 88 -

In einer ... Grauzone operieren die sogenannten Das Russian Business Network (RBN) ist ein rus- Rogue Provider, die mit „bullet proof hosting“ wer- sischer Internetdienstanbieter mit Sitz in St. Pe- ben, also im Prinzip versprechen, dass sie Ermitt- tersburg, Levashovskiy Prospekt 12. Ein großes lungen von Strafverfolgern nicht übermäßig unter- Netz von Tochterfirmen haben u.a. ihren Sitz auf stützen und dass sie auf Missbrauch-Beschwerden den Seychellen, in Panama, Türkei, China und nicht reagieren. ... Großbritannien. Als Carrier sind RBN-Rechner teil- Das ... Geschäftsmodell des RNB war simpel und weise mit denen von Firmen wie AkiMon sowie dreist: Je mehr eine Domain in den Fokus der Öf- SBT-Tel vernetzt, deren Uplink Silvernet über An- fentlichkeit geriet, je mehr Beschwerden an die E- schlüsse an großen Rechnerknoten wie MSK-IX Mail-Adresse für Missbrauch geschickt wurden, verfügen. Die Zeitschrift c't ordnet den Provider der desto mehr Geld verlangten die Russen von ihren Gruppe der Rogue ISPs zu, die ihre kriminellen Kunden. Kunden vor dem Zugriff von Justizbehörden schüt- zen und welche deren Dienstleistungen auch dann Bolduan, S. 32 weiter betreiben, wenn sich Beschwerden häufen. Zu den Angeboten von Kunden von RBN gehören der Öffentlichkeit und vor allem vor den Strafverfol- Affiliatensysteme wie iFramecash.net, Rock-Phish- gungsbehörden abschotten. Dazu werden Schein- Crew. Zu den Techniken gehören teilweise Innova- tionen wie Fast Flux-botnet (schneller Wechsel), firmen eingerichtet, die als Inhaber von Domänen welche IP-Spuren verwischen sollen. Schadsoft- geführt werden, oder Fantasie- und Aliasnamen ware wie MPack-Kit, Sturmwurm-Bot, Gozi-Bot, benutzt. Solche schurkischen Dienste schließen es Torpig oder 76Serve, (vermietbare Bot-Armee- aus, dass die Betreiber und Hinterleute aus Regis- Software, die zur Ausspähung von Kreditkarten tern oder anderen öffentlichen Quellen identifiziert oder Identitäten dient), wird von RBN gehostet. 504 werden können (Bullet Proof Domains 499). Zum Wikipedia Zweck der Abschottung werden vereinzelt auch technische Tricks eingesetzt, die den technischen Standort des Rogue-Servers verschleiern 500. antispam.de nennt diese Art von Unternehmen be- schwerdeignorante Provider und Hoster 501 und be- nennt einige von ihnen aus China, Korea, Russ- land und den USA. In Bezug auf Russland sind das informtelecom.ru 502 und das Russian Business Network 503. Auch Deutschland ist nicht frei von zögerlich reagierenden Providern.

499 Jürgen Schmidt, Hydra der Moderne. Die neuen Tricks der Spammer und Phisher, c't 18/2007; ders. ebenda: ... Bullet Proof Domains 500 Russian Business Network bekannt? tecchannel 17.10.2007 501 beschwerdeignorante Provider und Hoster, antispam.de 502 informtelecom.ru: Dieser russische Webhoster ist seit einigen Jahren schon immer wieder durch Hosten von Phishing-/Muli-Webseiten, Warez- Piracy-Seiten, Casino-Spam-Seiten, Bride-Scam- Seiten u.a. aufgefallen. 503 RBN: Man erfreut sich offensichtlich bester Beziehungen zur russischen Regierung, der Betrieb geht seit Jahren unbehelligt in dieser Richtung weiter. Der gesamte IP-Adressbereich dieses russischen Providers steht auf der Blackliste von Spamhaus.org. 504 WP, Russian Business Network - RBN Dieter Kochheim, Cybercrime - 89 -

C.1 5. Russian Business Network - RBN stalliert ist, schon mal 1000 US-Dollar betragen. Je frischer der Bot, desto teurer ist er 513. Heise nennt die Betreiber des RBN die "Bösesten der Bösen im Internet" 505 und meldete im Herbst Schließlich bringt Faber das RBN mit den Betrei- 2007, dass es sich aus dem Internet zurück zöge: bern des Sturmwurm-Botnetzes 514 in Verbindung, Fast alle bekannten Autonomous Systems (AS) weil die über manipulierte Webseiten verbreitete des RBN sind seit Kurzem aus den globalen Rou- Malware (MPack-Kit) bei RBN gehostet war 515. ting-Tabellen verschwunden: RBN-AS, SBT-AS, Faber: Es scheint so, als fungiere das Russian MICRONNET-AS, OINVEST-AS, AKIMON-AS, Business Network als Katalysator, als jenes feh- CONNCETCOM-AS und NEVSKCC-AS. Einzig lende Teil, das zum Aufbau einer regelrechten CREDOLINK-ASN ist im Moment noch in den Ta- Schattenwirtschaft im IT-Bereich nötig gewesen bellen, obwohl deren Netze ebenfalls nicht mehr war 516. erreichbar sind. 506 Das Verschwinden des RBN im November 2007 Dank Bizeuls Untersuchung 507 kam etwas Licht in war nur vorübergehend, wie schon Frank Zie- die Geschäftsaktivitäten des RBN und seiner Lei- mann im Februar 2008 zurückhaltend berichtete: tungspersonen. An der Spitze des RBN steht nach St. Petersburg gilt als Hochburg der organisierten Bizeuls Recherchen ... ein Mann mit dem Deckna- Online-Kriminalität. Auch das berüchtigte Russian men "Flyman" 508. Der Firmensitz des nirgendwo Business Network (RBN), eine Art Internet-Pro- registrierten und seit 2005 tätigen Unternehmens vider für Online-Kriminelle, war bis vor wenigen ist in St. Petersburg, Levashovskiy Prospekt 12 509. Monaten dort angesiedelt, soll mittlerweile jedoch Von flyman wird behauptet, er sei der Neffe eines umgezogen sein. 517 hochrangigen Politikers aus Sankt Petersburg. So Faber 518: Nur einen Tag später tauchten die ers- ließe sich erklären, warum der Bandenkopf offen- ten Sites wieder auf, gehostet allerdings in China sichtlich unbehelligt seinen Geschäften nachgehen und Hong Kong. ... In der Tat war wenig später zu kann 510. Faber identifiziert einen weiteren Akteur: beobachten, dass das RBN zwar weiterhin in Ging es um Domains von RBN oder SBT-Tel und Sankt Petersburg residiert, seine Services aber AkiMon, fand sich oft der Name Nikolay Ivanov 511. auf verschiedene Länder verteilt. ... Faber beschreibt in groben Zügen die Anbindun- RBN habe seine Niederlassungen in Panama und gen des RBN 512, die Ursprünge seiner kriminellen der Türkei ausgebaut. Aktivitäten (das Verbreiten von Kinderpornogra- phie, die Verbreitung von Schadcode und die akti- Das RBN ist also Mitte 2008 keineswegs Ge- ve Beteiligung am Phishing; Rock-Phish-Crew) bis schichte, sondern aufgrund der neuen Strategie hin zur aktuellen Vermietung von Botnetzen, die für lediglich wesentlich schwerer zu entdecken. 519 das Phishing optimiert sind: Die Monatsmiete pro Bot konnte je nach dem, wie lange er bereits in-

505 Die "Bösesten der Bösen im Internet" isoliert, Heise online 07.11.2007 506 Ebenda 507 David Bizeul, Russian Business Network study, bizeul.org 19.01.2008; 513 CF, Russian Business Network – RBN, 04.05.2008 Ebenda, S. 94. 514 508 Innovation im Untergrund, Heise online 20.03.2008 CF, Anatomie des Sturm-Wurms, 06.03.2008 515 509 Frank Faber, Unter Verdacht. Eine russische Bande Frank Faber, ebenda, S. 95. professionalisiert das Cybercrime-Business, c't 516 Ebenda; unter Bezugnahme auf Muttik. 11/2008 517 Frank Ziemann, Sturm-Wurm-Bande bald hinter 510 Ebenda, S. 93. Gittern? PC-Welt 04.02.2008 511 Ebenda. 518 Frank Faber, ebenda, S. 96. 512 Kasten auf der Vorseite; ebenda S. 93. 519 Ebenda. Dieter Kochheim, Cybercrime - 90 -

C.1 6.Fazit nur dort existieren, wo sie politisch unterstützt werden oder das behördliche und gesellschaftli- Bizeuls Recherchen zeigen, dass beharrliche For- che Bewusstsein über ihre Gefährlichkeit unter- schungen in Verbindung mit Erfahrungswissen ver- entwickelt ist. Insoweit gebe ich Muttik recht, auch deckte Strukturen und Zusammenhänge erhellen wenn ich nicht glaube, dass sich Russland als- können. Das Russian Business Network zeigt da- bald aus der Cybercrime verabschiedet. bei beispielhaft, wie mit der Kombination aus tech- nischem Wissen, technischer Infrastruktur und den Sicherlich werden sich andere Schurkenprovider Methoden der Geldwäsche sowie der Verschleie- in Schwellenländern ansiedeln. Sie brauchen rung geschäftlicher Aktivitäten sichere Häfen für aber zweierlei: Eine leistungsfähige technische kriminelle Machenschaften im Internet aufgebaut Netzstruktur, an die sie sich anschließen, und und dauerhaft erhalten bleiben können. eine gesellschaftliche Umgebung, in der sie sich frei bewegen können. Beides bietet Russland. Die Annahme von Bolduan, Rogue-Provider in der Form des RBN hätten keine Zukunft und würden völlig von Botnetzen abgelöst, teile ich nicht. Bot- netze sind ein schlagkräftiges und wandlungsfähi- ges Instrument für kriminelle Aktivitäten, können aber Drop Zones für die Lagerung krimineller Inhal- te, die kontinuierliche Kommunikation zwischen Lieferanten, Subunternehmer usw. und geschlos- sene Benutzerkreise nicht ersetzen. Sie werden sich wandeln, aber nicht verschwinden. Die Auseinandersetzung mit dem RBN hat eine Reihe neuer Begriffe wie Rogue-Provider, Carder, Koordinator oder Exploit-Händler zu Tage geför- dert. Sie bergen in sich die Gefahr, die ganze Cy- bercrime-Szene als differenzierte Veranstaltung von Fachleuten anzusehen. In ihr werden sich si- cherlich einige hoch qualifizierte und spezialisierte Einzelpersonen bewegen, die sich besonders mit technischen Einzelheiten befassen. Wegen der geschäftsmäßigen Präsenz ist jedoch eine Unternehmensstruktur erforderlich, wie sie auch im Wirtschaftsleben bekannt ist. Auch dafür ist das RBN ein Beispiel. Andererseits zeigt sich die Cybercrime-Szene auch nicht als geschlossenes Ganzes, sondern doch eher als ein geschäftlicher Verbund. Anders sind die offen angebotenen Dienste von Spezialisten nicht zu deuten. Die Malware-Schreiber dürften sich in aller Regel als Einzelkämpfer herausstellen und die Betreiber als bandenförmige Gruppen. Dasselbe gilt für die Operation Groups, bei denen ich eine strenge Füh- rung vermute. Das RBN und andere Schurkenprovider können Dieter Kochheim, Cybercrime - 91 -

C.2 arbeitsteilige und organisierte Dieser Aufsatz führt die (journalistischen) Quellen Cybercrime und Überlegungen zusammen, um die Cybercri- me wegen der handelnden Personen und ihre Der klassische Blick auf die Kriminalität in der In- Motive zu betrachten. formationstechnik und dem Internet ist der von Technikern und Informatikern geprägte auf die Er- Die grundlegende These lautet: scheinungsformen, Sicherheitslücken, Infiltrations- Je aufwändiger und arbeitsteiliger die Cyber- wege und Funktionen. Das ist der Security-Blick, Kriminellen vorgehen, desto mehr sind sie da- dessen Ziele die Sicherung informationstechni- von motiviert, eine lohnende und dauerhafte scher Systeme, die Datensicherheit und die Ab- Einnahmequelle für kriminelle Gewinne zu wehr von Angriffen sind. schaffen und zu nutzen. Diesen Blick haben auch Sicherheitsunternehmen, die ihre Firewall-, Antiviren- und sonstige Sicher- heitsprogramme verkaufen wollen. Daran ist nichts C.2 1. der IT-typische Blick auf die Falsches, wenn es um die technische IT- Erscheinungsformen Sicherheit, um betriebliche Abläufe und ihre Findet ein IT-ler (oder ein Marketing-Mensch) Gefahrenquellen geht. eine neue Lösung, ein neues Design, eine isolier- Die Grundlage für eine rechtliche und strategische te Aufgabe, die er er aus einem Paket gelöst hat, Befassung mit der Cybercrime ist die, dass man oder eine neue Erscheinungsform einer Malware, zunächst die Grundzüge verstehen muss, wie sie so bekommt sie einen eigenen Namen. So ent- und ihr technisches Umfeld funktionieren. Diesem steht ein Zoo vielfältiger Namen, die vieles tren- Blick auf die Erscheinungsformen widmet sich nen, aber nichts verbinden. auch der Cyberfahnder, wenn er sich mit den Wenn es um die Kriminalität im Internet geht, ist  Angriffspunkten und -methoden, mit der Netz- das nicht anders. Wir haben mindestens zwei technik 520 und den kriminellen Erscheinungsfor- "Skimmings", das alte 523 und das POS-Skimming men 521 auseinander setzt. 524. Aber auch das "alte" hat so viele Erschei- Die strategische und kriminalpolitische Auseinan- nungsformen, dass (selbst) ich zwischen dem 525 dersetzung mit der Cybercrime muss jedoch die Proll-Skimming und dem arbeitsteiligen Skim- 526 handelnden Personen, ihre Motive und ihre Ziele ming unterschieden habe. betrachten. Das klassische Phishing 527 versuchte, mit nach- Dabei hilft auch der Blick auf die Details, wenn es gemachten Nachrichten bekannter Geschäftsban- um handwerkliches Können und die Vorschusskos- ken - also direkt über E-Mails - die Kunden zur ten geht, die aufgebracht werden müssen, um kri- Preisgabe ihrer Zugangsdaten zu bewegen. Dazu minelle Gewinne zu erzielen. Ganz wesentlich ist boten sich Eingabefelder in der E-Mail oder ein jedoch die Frage danach, wie die Steuerung ar- Link an, mit dem auf ein nachgemachtes Bank- beitsteiliger Prozesse, die Bezahlung und die Si- wurden mit den Erscheinungsformen behandelt und cherung der Beute funktionieren. Nur so lassen im Zusammenhang mit der CF, Führung: sich Strukturen erkennen und zerschlagen. Cybercrime (07.08.2008) zusammen gefasst. Die jüngeren journalistischen Quellen lassen ein Solche Fragen hat der Cyberfahnder immer wieder umfassendes Bild erkennen: angesprochen, meistens aber ohne das Gesamt- CF, Schurkenprovider und organisierte Cybercrime, bild zu betrachten 522. 13.07.2008; CF, globale Sicherheitsbedrohungen, 27.07.2008 523 CF, Skimming, 2008 520 CF, Telekommunikation und Internet (Themenseite) 524 CF, POS-Skimming, 2008 521 CF, Cybercrime und IT-Strafrecht, 08.08.2008 525 CF, Proll-Skimming, 2008 522 Die arbeitsteiligen Strukturen beim Phishing (CF, Das 526 Unternehmen Phish & Co., 2007) und beim CF, arbeitsteiliges Skimming, 2008 Skimming (CF, steuernde Instanz, 18.05.2008) 527 CF, Ausforschung von Kontozugangsdaten, 2007 Dieter Kochheim, Cybercrime - 92 - portal geführt wurde. Weil die Täter gleich mehrere teressiert, welche Menschen Malware program- Portale fälschten und auf einem gekaperten Server mieren und einsetzen. bereitstellten, wurde das in Anlehnung an eine Diese auf das Ergebnis ausgerichtete Betrach- "Farm" 528 als Pharming 529 bezeichnet. tung äußerte sich zunächst dadurch, dass der Be- Auch die Methoden zur Tatausführung haben sich griff Crimeware eingeführt wurde. Darunter wer- dahin gehend gewandelt, dass beim alten Phishing den alle Programme zusammen gefasst, die aus- eine zeitliche Trennung zwischen dem Einsammeln drücklich dazu bestimmt sind, kriminellen Zwe- der Daten und ihrem Missbrauch bestand. Das cken zu dienen. "moderne" Phishing führt beide Arbeitsschritte zu- sammen, indem eine Automatik – nur noch selten ein Mensch - nach der Art des Man-in-the-Middle C.2 2. was ist Cybercrime? 530 in den Überweisungsvorgang direkt eingreift Eine allgemeingültige Definition ist nicht in Sicht. oder eine Malware mit vordefinierten Daten diesen Die Wikipedia verweist auf den Oberbegriff Vorgang manipuliert. Das heißt dann, jedenfalls in Computerkriminalität 534 und schließt sich der 531 Brasilien, PWS-Banking . Polizeilichen Kriminalstatistik - PKS 535- an. Da- Beim Grabbing 532 geht es darum, begehrte Do- nach werden folgende Fallgruppen im Einzelnen mainnamen zu registrieren und damit für andere zu erfasst 536: blockieren, um dann über einen guten Preis für die  Betrug mittels rechtswidrig erlangter Kreditkar- Übertragung des Namens zu verhandeln. Die ten mit PIN Rechtsprechung nennt das Erpressung und Mar- kenverwässerung, wenn es dabei um Firmenna-  Computerbetrug (§ 263a StGB) men und Marken geht, was heute als Cybersquat-  Betrug mit Zugangsberechtigungen zu Kom- ting 533 bezeichnet wird. munikationsdiensten Um die Frage, wie sich eine Malware transportie-  Fälschung beweiserheblicher Daten, ren lässt, sind Grabenkämpfe geführt worden. Infi-  Täuschung im Rechtsverkehr bei Datenverar- ziert sie sich in eine Programm- oder Kommando- beitung (§§ 269, 270 StGB) datei und ist ein Virus? Lässt sie sich gleichsam huckepack von einer Anwendungsdatei tragen und  Datenveränderung, Computersabotage (§§ ist sie deshalb ein selbständiger Wurm? Oder doch 303a, 303b StGB) eher ein Trojaner, weil sie in eine Anwendungsda-  Ausspähen [und Abfangen] von Daten (§§ tei eingebettet ist, die etwas anderes zu sein 202a, 202b StGB) scheint?  Softwarepiraterie Darin zeigt sich ein kurzsichtiger Blick auf die Er-  private Anwendung z.B. Computerspiele, oder scheinungsformen und die Infiltrationstechniken  in Form gewerbsmäßigen Handelns und nicht auf das, worauf es ankommt: Was bezweckt die Malware und warum wird sie einge-  Herstellen, Überlassen, Verbreiten oder Ver- setzt? schaffen sogenannter „Hacker-Tools“, welche dar- auf angelegt sind, „illegalen Zwecken zu dienen“ Sicherheitsunternehmen sprechen deshalb ganz („Hackerparagraf“, § 202c StGB) überwiegend nur noch von Malware. Hervorzuhe- ben ist McAfee, wo man sich immer mehr dafür in- Es handelt sich um eine sehr formalisierte Be- trachtung, mit der Fallzahlen bewältigt werden 528 CF, Phishing - neue Tendenzen, 30.08.2007 529 CF, Pharming, 2007 534 WP, Computerkriminalität 530 CF, The Man in the Middle, 2007 535 WP, Polizeiliche Kriminalstatistik (Deutschland) 531 CF, Länderstudie. Brasilien, 27.07.2008 536 CF, Anstieg der Internetkriminalität, 23.05.2010; 532 CF, Grabbing, 2007 BMI, Polizeiliche Kriminalstatistik 2009, 18.05.2010; 533 CF, Grabbing, 2007 BMI, Polizeiliche Kriminalstatistik 2009, 29.04.2010 Dieter Kochheim, Cybercrime - 93 - können. Ihre Stärke ist die Fortschreibung. Indem Alle drei Varianten zur Definition entstanden, um das jährliche Aufkommen anhand von definierten eine Aussage zu einer spezifischen, aber jeweils Fallgruppen mit den früheren Zahlen verglichen anderen Frage zu treffen. wird, können Entwicklungen, besonders Steigerun- Die polizeiliche Statistik fragt nach den Entwick- gen und Rückgänge, ausgelotet werden. Das hilft lungen und ist ein Instrument für die Kriminalpoli- bei der Bemessung des Erfolges gesetzgeberi- tik. scher und polizeilicher Maßnahmen und Schwer- punkte. Das materielle IT-Strafrecht fragt danach, welche Handlungen strafbar sind und welche nur mit den Die Cybercrime ist jedoch eine junge und äußerst Mitteln der IT oder auch mit den Mitteln der Infor- dynamische Erscheinungsform der Kriminalität, die mationstechnik begangen werden können. sich dadurch der statistischen Erfassung entzieht. Die verfassungsrechtliche Betrachtung fragt nach Eine ebenso formalisierte Betrachtung hat der Cy- dem Einfluss und die Bedeutung der IT für die berfahnder präsentiert, indem er vom IT-Strafrecht Gestaltung und den Schutz persönlicher Frei- 537 im engeren 538 und weiteren Sinne spricht 539. heitsräume. Diese Unterscheidung macht Sinn, wenn man Cy- Die kriminalistische Frage nach den Beweggrün- bercrime als eine Kriminalitätsform ansieht, die den bleibt damit unbeantwortet. sich zu ihrer Vorbereitung oder Ausführung der In- formations- und Kommunikationsnetztechnik be- dient. Das Bundesverfassungsgericht spricht inso- Typenlehre nach McAfee 542 weit zusammen fassend von Informationstechni- schen Systemen – itS 540. Innovatoren geringe Gefahr ruhmgierige Amateure mittelmäßige Gefahr Ein itS ist eine technische Einrichtung, die digitale Informationen herstellt, verarbeitet oder übermittelt. Nachahmer mittelmäßige Gefahr Der Chip in der Zahlungskarte ist ebenso ein itS Insider hohe Gefahr wie das Innenleben einer digitalen Uhr und das In- organisierte hohe Gefahr ternet als Ganzes. Internetverbrecher Für die Herangehensweise des BVerfG ist diese Definition nahe liegend und nicht zu kritisieren. Es C.2 3. Hacker: Moral und Unmoral hat die Gestalt und Grenzen eines neuen Grund- Was unterscheidet den klassischen Hacker, wie 541 rechts definiert und dazu auf die Allgegenwart er gelegentlich noch im Chaos Computer Club - von itS zurück gegriffen, um einen individuellen CCC 543- auftritt, von dem Sasser-Programmierer? Vertrauensschutz einzuführen. Auch das BVerfG 544 Der klassische Hacker hat noch eine Moral, wird in den nächsten Jahren erkennen, dass gegen eine Vorstellung von gut und richtig. Dort begann die kriminellen Formen des Gebrauchs und Miss- auch der Sasser-Programmierer, als seine Mal- brauchs von itS gleichwertige Handlungsermächti- ware zunächst nur andere schädliche Malware gungen der Strafverfolgung erforderlich sind. Sein beseitigen sollte. Sein Spieltrieb und seine man- Befreiungsschlag gegen eine ausufernde Online- gelnde Weitsicht brachten ihn aber dazu, die Fol- durchsuchung schafft rechtsstaatliche Grundlagen, gen seine Würmer nicht mehr abzuschätzen, die mit Leben ausgefüllt werden müssen. nicht mehr wahrzunehmen und schließlich immer mehr Böswilligkeiten in sie einzubauen. 537 CF, IT-Straftaten, 2007 Zusammen mit den Script-Kiddies 545, die fertige 538 CF, IT-Strafrecht im engeren Sinne, 08.08.2008 542 539 CF, IT-Strafrecht im weiteren Sinne, 08.08.2008 CF, erste Typenlehre, 27.07.2008 543 540 CF, Informationstechnische Systeme, 05.04.2008 CF, Wir sind die Guten! 20.01.2008 544 541 CF, Gestalt und Grenzen eines neuen Grundrechts, CF, neue Herausforderungen, 2007 05.04.2008 545 CF, Länderstudie. USA, 27.07.2008 Dieter Kochheim, Cybercrime - 94 -

Toolkits 546 für ihre gefährlichen Spielereien ein- den "guten" Hackern und den nicht so sauberen setzen, markiert der Sasser-Programmierer die Crackern unterschieden. Die Definitionen sind je- Typen "ruhmgierige Amateure" und "Nachahmer", doch nicht einheitlich, weil sich das Cracking auf wie sie von McAfee bezeichnet wurden 547. verschiedene Schwerpunkte beziehen kann. Die Programmierer von Toolkits 548 sind hingegen Worin unterscheiden sich Hacker, Cracker und Grenzgänger: Teilweise noch "Innovatoren" und Exploit-Händler ? 552 teilweise schon Internetverbrecher, um in der Ty- Sicherlich nicht in ihren Methoden. Sie betreiben penlehre von McAfee zu bleiben. Hacking, indem Sie Netzzugänge oder andere Si- Klassische, innovative Hacker, die nach Sicher- cherungstechniken aushebeln, brechen oder zu heitslücken suchten und ihre Erkenntnisse den umgehen versuchen. Verantwortlichen berichteten, konnten für sich in Damit machen sie sich auch vom Grundsatz her Anspruch nehmen, jedenfalls insgesamt der IT- strafbar. Sicherheit zu dienen. "Moral" ist kein hinreichendes Kriterium dafür, Kri- Sie taten das gelegentlich auch öffentlich und set- minalität zu definieren 553. Sie kann die Schuld- zen damit nicht nur die Hersteller von Hard- und schwere beeinflussen, nicht aber das "Ob". Wenn Software unter Zugzwang, sondern eröffneten der Betreiber von IT Sicherheitslücken erkunden auch der Schar der Nachahmer ein neues Spiel- lassen will, so rechtfertigt das den Einsatz des feld. Hackings. Will er das nicht, dann gibt es jeden- Ist dieses Handeln noch "moralisch", wenn Nach- falls keine strafbefreiende Begründung dafür. ahmer geradezu dazu motiviert werden, itS zu pe- Der Exploit-Händler wird jedoch vom Streben netrieren, auszuforschen und zu sabotieren? nach Gewinn getrieben. Darin unterscheidet er Die Veröffentlichung von Sicherheitslücken ist kei- sich tatsächlich vom Hacker und vom Cracker. ne Anstiftung (§ 26 StGB) zum Ausspähen von Da- Das macht ihn auch zu einer neuen Form von Kri- ten (§ 202a StGB) oder zur Computersabotage (§§ minellen. 303a, 303 StGB), weil es an an der Aufforderung zu einer bestimmten Straftat fehlt, kann aber eine Anleitung zu Straftaten sein, wenn damit aus- C.2 4. Einzeltäter nahmsweise gemeingefährliche Verbrechen er- Kein Einzeltäter handelt ohne gesellschaftlichem 549 möglicht werden (§ 130a StGB ). Hintergrund und ohne Einbindung in eine Bezugs- gruppe. Man sucht sich, findet sich, unterstützt sich, streitet und kämpft miteinander. Die Exper- Ein Cracker ist jemand, der Zugriffsbarrieren von ten für Exploits, Toolkits und Malware dürften Computer- und Netzwerksystemen umgeht 550 überwiegend späte Nachfahren der Kosmos- Cracking ist die Tätigkeit, ein Computerprogramm zu analysieren, um den Kopierschutz zu entfernen Experimentierkasten-Generation sein, mit der ich 551 aufgewachsen bin. Sie sind keineswegs asozial, sondern durchaus kommunikativ. Man hört aufein-

Im Jargon der Hackerkultur wird gerne zwischen 552 Der Exploit-Händler verkauft die von ihm entdeckten oder gekauften Sicherheitslücken: 546 CF, Trojaner für Dummies, 03.01.2008 WP, Exploit-Händler. 13.07.2008 547 CF, erste Typenlehre, 27.07.2008 553 Die Rechtsoziologie unterscheidet zwischen der 548 CF, Trojanerbaukasten mit Support, 20.06.2008 individuellen Moral als Handlungsprinzip, der gruppenbezogenen Sitte und dem staatlichen 549 CF, strafbare Bombenbau-Anleitungen im Internet, Recht. Starke Sitten können das Recht im Einzelfall 2007 beeinflussen, wenn es im Widerspruch zu ihm 550 WP, Cracker (Computersicherheit) steht. Das ist aber kein Freibrief zum 551 WP, Crack (Software); rechtswidrigen Handeln. Eine bemühte WP, Abgrenzung zum Begriff ‚Cracker’ CF, neue Knäste braucht das Land, 27.122007 Dieter Kochheim, Cybercrime - 95 - ander und lernt voneinander. Echte Zusammenar- holen und das Geld bringen. Damit sind wir in beit kennen sie nur mit höchst vertrauten Kumpeln. dem klassischen Bild von den Geld- und Arbeitsteilung, Prozessplanung und -überwachung Ausweisfälschern. sind ihnen nicht unbekannt, aber fremd. Gute Individualisten in diesem Sinne müssen sich Sie achten es, wenn Andere diese Fertigkeiten ha- auf ihre Fertigkeiten konzentrieren und brauchen ben, und nutzen sie, wenn sie sie brauchen. Ihr um sich herum Vermarkter, Buchhalter für das In- Ding machen sie aber lieber alleine. kasso und eine Firma, die sie vom Alltagsge- schäft entlasten. Das ist keine Analyse, sondern eher eine subjekti- ve Einschätzung. Damit ist die mittelständische organisierte Cyber- crime geboren. Ich glaube tatsächlich, dass Bolduans 554 Darstel- lung zutrifft, dass die IT-Handwerker im Bereich der Ihre Vertreter verdienen die Strafverfolgung. Das Cybercrime eher Einzeltäter sind. Man unterwirft ist aber nur Marktbereinigung, weil neue Anbieter sich einem Auftraggeber für ein Projekt, arbeitet sofort wieder nachwachsen werden. rund um die Uhr und liefert irgendwann ein gutes, Richtig gefährlich sind ihre Auftraggeber. vielleicht auch geniales Ergebnis ab. Bertold Brecht hat gesagt: Erst kommt das Fres- sen und dann die Moral. C.2 5. Malware-Schreiber, Zulieferer und Auftraggeber Was ist, wenn man nicht mehr zuhause bei den El- tern wohnt, nicht mehr Vaters Flatrate benutzen An den Anfang der "Produktionskette" stellt Bal- kann und Hotel Mama den Dienst verweigert? duan 555 die Malware-Schreiber, die zwei Zuliefe- rungen benötigen: Vom Exploit-Händler erhalten Dann muss man Geld verdienen mit dem, was sie die Beschreibung einer Sicherheitslücke, auf man am besten kann. der sie die Malware aufsetzen können, und vom Zusammenarbeit, Diskussion und Kommunikation Toolkit-Schreiber erhalten sie die aktuellen Instru- sind alltägliche soziale Prozesse. Gefährlich wer- mente zum Tarnen der Malware. den sie, wenn eine In-Group-Sitte entsteht mit ab- Bevor jedoch die geeigneten Werkzeuge ausge- weichenden Sitten- und Rechtsvorstellungen, die wählt und beschafft werden können, bedarf es ei- ganz schnell zu einer Wagenburg-Identität werden nes Auftraggebers und dessen Vorstellungen können, die alles Äußere als falsch und bekämp- über die Funktionsweise der Malware. fenswert ansehen. Als Auftraggeber kommen vor Allem Botnetzbe- In-Group-Prozesse sind gut und richtig, wenn sie treiber, Botnetznutzer, Phisher und Informations- eine Identität und das Rückgrat der Mitglieder för- händler in Betracht. Sie haben sehr unterschiedli- dern. Sie sind falsch und "sektisch", wenn sie sich che Bedürfnisse. zur Außenwelt abgrenzen und keine vernünftige Kommunikation mit ihr mehr zulassen und sie zur Botnetzbetreiber haben ein besonderes Interesse Feindwelt wird. an der Pflege, dem Erhalt und der Erweiterung des  Botnetzes. Bei der Pflege und dem Erhalt Die virtuelle Welt befriedigt aber keine realen Be- geht es darum, die Zombierechner und ihre dürfnisse. Steuerungssoftware mit den neuesten Methoden Wohnen, Essen, Trinken, Internet, Sex und die zur Tarnung und zur Steuerung auszustatten. We- Katze, die um die Beine streicht, verlangen nach gen der Tarnung kommen die Toolkit-Schreiber Geld. mit ins Boot, die sich auf dem Markt der Antiviren- software auskennen und immer neue Methoden Individualisten bekommen es von Kontaktperso- entwickeln, wie man die installierte Malware vor nen, die die Aufträge erteilen, die Ergebnisse ab-

554 CF, Botnetz-Software und -Betreiber, 13.07.2008 555 Ebenda Dieter Kochheim, Cybercrime - 96 - der Enttarnung bewahren kann. Um die Funkti- Edelmetallen in Betracht 557. Wegen der Barzah- onstüchtigkeit zu erhalten, sind Kenntnisse im Zu- lung ist eine "unechte" Hawala denkbar, bei der sammenhang mit Peer-to-Peer-Netzen und der Boten die Geldübergabe besorgen. Der Einsatz Fernwartung erforderlich. Insoweit ist eine Zusam- von Operation Groups, von dem Balduan berich- menarbeit mit den Fachleuten der Botnetzbetreiber tet, lässt das nahe liegend erscheinen. nötig oder mit freien Fachleuten, deren Wissen ein- gekauft werden muss. C.2 6. spezialisierte Zwischenhändler Der Einsatz der neuesten Tarnungen ist auch für die Erweiterung des Botnetzes von Bedeutung. Die Funktionsvielfalt der Malware lässt Zweifel an Hierbei kommt es jedoch besonders darauf an, der Einzeltäterannahme aufkommen. Warum soll- neue Zombies zu gewinnen, also auf die Verteilung te sich ein begnadeter Malware-Schreiber eine der Malware (Methoden), Infiltration und Übernah- kleine Firma schaffen, die sich um seine Vermark- me von PCs. tung kümmert? Warum sollte er Marktforschung betreiben, um sich die geeigneten Exploits und Die Palette der Anforderungen an eine Bot- Toolkits zu beschaffen? Unter marktwirtschaftli- Software lässt es kaum erwarten, dass nur ein ein- chen Gesichtspunkten liegt es viel näher, anzu- zelner Malware-Schreiber zum Einsatz kommt. Im nehmen, dass sich für jede dieser Aufgaben spe- Gegensatz zu "normaler" Malware soll der Zombie zialisierte Zwischenhändler herausbilden, die ihre möglichst lange erhalten bleiben, so dass die eigenen Zulieferer für Exploits, Toolkits und ande- Steuerung und die Beeinträchtigung behutsam re Spezialformen von Software haben. sein sollen 556. Ein Blick auf das Skimming 558 macht die Sinnhaf- Die Malware muss deshalb beherrschen: tigkeit des Einsatzes von Spezialistengruppen mit  Infiltration und Übernahme unterschiedlichen Qualifikationen besonders deutlich:  modularer Aufbau und Update  echte Handwerker bauen Skimmer, Überwa-  Tarnung chungskameras, Vorsatzgeräte und Steuerungs-  Steuerungsfunktionen, Betriebsüberwachung programme  Einsatzsteuerung  Installateure bauen die Überwachungstechnik Diese Vielfalt bedarf eines Projektmanagements in eine Bankfiliale ein und bauen sie später auch und der Leitung durch einen Koordinator. wieder ab Die Anforderungen der Auftraggeber im Übrigen  Fälscher stellen die Dubletten von Zahlungs- sind vielleicht nicht ganz so umfassend, aber auch karten her nicht unbedeutend. Phisher benötigen eine präzise  Läufer setzen die Dubletten an Geldautomaten Steuerung zum Missbrauch des Homebankings ein und Industriespione eine präzise Funktion zur Aus-  andere Agenten transportieren die Dubletten forschung des Zielrechners. und die Beute Erst wenn die Aufgabe mit ihren besonderen Anfor- Die Installateure brauchen Geschick, die Fälscher derungen bekannt ist, kann der Malware-Schreiber Zeit und die richtige Ausstattung und die Läufer die geeigneten Exploits und Toolkits auswählen einfach nur Dreistigkeit. Gute Handwerker entste- und seine Software zusammenstellen. hen nicht dadurch, dass sie 'mal eine Überwa- Maßgeblich für die weitere Auftragsabwicklung ist chungskamera bauen und mit einem Sender aus- die Bezahlung. Insoweit kommen vor Allem Bar- statten. Sie brauchen Übung und Erfahrung, die geld und Bezahlsysteme auf der Grundlage von 557 Beispiele dafür sind CF, E-Gold (2007) und CF, WebMoney, 13.07.2008. 556 CF, Anatomie des Sturm-Wurms, 06.03.2008 558 CF, arbeitsteiliges Skimming, 18.05.2008 Dieter Kochheim, Cybercrime - 97 - sie nur bekommen, wenn sie ihre Geräte immer sache sein und letztlich eine Frage des Preises. wieder und für verschiedene "Projekte" anbieten. Es ist kaum vorstellbar, dass die Botnetzbetreiber Auch beim Phishing werden besondere Kenntnisse Erpressungen im Zusammenhang mit verteilten benötigt, wenn es darum geht, "gute" Webseiten Angriffen, Phishing-Kampagnen und die Kontrolle oder E-Mails herzustellen, unauffällige Texte und von Malware in eigener Regie durchführen, weil gute Übersetzungen 559. dazu jeweils spezielles Wissen und besondere Maßnahmen zur Beutesicherung nötig sind. Das, was ich Zwischenhändler nenne, bezeichnet Balduan als Operation Groups 560. Sie haben ihre Sie werden sich deshalb darauf beschränken, ihr Kontakte und Leute, auf die sie bei jedem Auftrag Werkzeug projektbezogen einzusetzen oder zeit- zurück greifen können. Sie und besonders ihre lei- weilig zu vermieten 563. tenden Unternehmer erleichtern das Geschäft für Während die Botnetz-Betreiber im Verborgenen alle Beteiligten. Die Spezialisten müssen sich nicht bleiben, sind die Schurken-Provider (Rogue-Pro- um ihre Vermarktung kümmern und die Auftragge- vider) ganz offiziell in die technischen Strukturen ber nicht darum, den richtigen Spezialisten oder des Internets eingebunden. Ihr bekanntester Ver- Zulieferer zu finden. treter ist das Russian Business Network - RBN. Durch den Einsatz von Zwischenhändlern be- Das Geschäftsmodell der Rogue Provider unter- kommt die Cybercrime eine neue Gestalt. Sie or- scheidet sich nur etwas von den sonstigen Zu- ganisiert sich dadurch arbeitsteilig und marktmäßig gangs- und Hostprovidern, weil sie ihre Kunden - um Straftaten zu ermöglichen und durchzuführen. nachhaltig von der neugierigen Öffentlichkeit ab- schotten. Das RBN verwendet Scheinfirmen für DNS-Eintragungen, liefert sichere Speicherorte 564 C.2 7. kriminelle Unternehmer für Malware, Pharmen, "geheime" Webauftritte Organisierte Internetverbrecher im Sinne der Ty- und ausgekundschaftete Kontozugangsdaten, ge- penlehre von McAfee 561 sind die Unternehmer, schlossene Benutzergruppen und damit einen also die Botnetzbetreiber und die Rogue-Provider, Handelsplatz für alles, was als illegale Inhalte und sowie die "Projektleiter", also Koordinatoren. Kommunikationen im Internet möglich ist. Botnetzbetreiber bieten unter Marktgesichtspunk- Das Geschäftsmodell ist einfach: Je mehr Anfra- ten eine auf Dauer angelegte Dienstleistung. Ihr gen von Geschädigten, Neugierigen und Strafver- Produktionsmittel ist das Botnetz, das sie einge- folgern abgewimmelt werden müssen, desto teu- richtet haben und pflegen, und ihre Dienstleistung rer wird der Dienst. der Gebrauch des Botnetzes. Das funktioniert nur solange keine effektive Ein Botnetz lässt sich vielfältig einsetzen, zum Bei- Rechts- und Strafverfolgung gegen den Rogue- spiel zum Versand von Spams. Diese Dienstleis- Provider erfolgt. Befürchtet er Schadenersatz tung werden die Betreiber selber durchführen und oder sogar Strafe, dann strukturiert er sich um, sich dazu die zu verbreitende Nachricht übermit- wie das RBN gezeigt hat: RBN lebt 565. teln lassen. Die Zieladressen werden entweder vom Kunden geliefert, die Versender greifen auf ihre eigenen Bestände zurück oder kaufen Adres- 562 senlisten gezielt ein . Das dürfte Verhandlungs- 09.05.2008; CF, neue Herausforderungen, 2007; CF, Forderung nach Übertragungsgebühren, 559 CF, Malware lernt die deutsche Sprache, 27.07.2008 08.12.2007. 560 CF, Operation Groups, 13.07.2008 563 Frank Faber, Unter Verdacht. Eine russische 561 CF, Hacker: Moral und Unmoral, 07.08.2008 Bande professionalisiert das Cybercrime-Business, c't 11/2008; 562 Siehe: CF, Zusammenarbeit der Szenen, 2007; CF, Russian Business Network – RBN, 13.07.2008. CF, Spam-Discounter, 13.10.2007; CF, geklaute 564 Daten zum Schnäppchenpreis, 09.04.2008; CF, Drop Zones, 13.07.2008 CF, qualitätskontrollierter Kontomissbrauch, 565 CF, RBN lebt, 13.07.2008 Dieter Kochheim, Cybercrime - 98 -

C.2 8. Koordinatoren Von den kriminellen Unternehmen, die dar- auf ausgelegt sind, dauerhaft zu handeln und sich sozusagen zu etablieren, unter- scheiden sich die Koordinatoren 566. Sie planen kriminelle Einzelaktionen, kaufen die dazu nötige Infrastruktur (Botnetz, Drop Zone), das Fachwissen und die nötigen Leu- te ein. Sie sind sozusagen die Projektmana- ger der Cybercrime. Es gibt Gerüchte, dass die Koordinatoren häufig aus dem Kreis des früheren KGB stammen. Auch die Koordinatoren werden sich auf be- stimmte "Projekte" spezialisieren und durch sie Erfahrungen sammeln. So bauen sie Erfah- Zwischenhändler, die ihrerseits über einen rungswissen über Zwischenhändler und die Quali- Stamm von Zulieferern, Experten oder tät ihrer Dienste auf, das ihnen bei jedem neuen "Laufburschen" verfügen. "Projekt" zugute kommt. Große Cybercrime-Projekte haben eine Komple- Ob sie alleine handeln, ist unklar. Wahrscheinlich xität erreicht, dass sie von Einzeltätern nicht mehr werden sie sich nach und nach einen kleinen Stab bewältigt werden können. Sie werden vereinzelt aufbauen, der bei der Abwicklung der Projekte hilft. auftreten als Hacker (Exploits, Adressdaten) und Programmierer (Toolkits, Malware) und ihre Im Übrigen bleiben sie im Verborgenen - wie die Dienste werden sie wahrscheinlich immer häufi- Spezialisten und Zwischenhändler auch. ger über Zwischenhändler verkaufen, die für be- Über die Auftraggeber ist ebenfalls nichts bekannt. stimmte Segmente des kriminellen Marktes spe- Komplexe Projekte werden aber ohne eine Vor- zialisiert sind. schussfinanzierung nicht durchführbar sein.

C.2 10. Organigramm der Cybercrime C.2 9. Zwischenergebnis Die bereits an anderer Stelle aufgenommenen Die organisierte Cybercrime wird von Unterneh- Hinweise 567, die hier zusammen gefasst und mern ausgeführt, die die dauerhaft benötigten angereichert wurden, lassen eine arbeitsteilige Werkzeuge wie Botnetze und Drop Zones zur Ver- Struktur erkennen, in der vor Allem kriminelle Un- fügung stellen. Soweit sie in der Öffentlichkeit agie- ternehmen (Botnetzbetreiber und Rogue-Pro- ren wie die Rogue-Provider, ist es ihr Bestreben, vider), Zwischenhändler (Operation Groups) und ihre zahlenden Kunden von der neugierigen Öf- Koordinatoren für einzelne kriminelle Projekte fentlichkeit abzuschotten. handeln (siehe Grafik oben). Für die kriminellen Projekte sind in aller Regel Ko- In diesem Modell spielen die Handwerker, Spe- ordinatoren zuständig, die die nötigen Geräte, Pro- zialisten und Laufburschen (Finanzagenten beim gramme und das Spezialistenwissen einkaufen Phishing, Geldabheber und Installateure beim und zusammen führen. Dabei rekrutieren sie wahr- Skimming) zwar die Basis der kriminellen Hand- scheinlich ganz überwiegend keine einzelnen Zu- lungen. Ihr Einsatz und die Zusammenführung ih- lieferer und Programmierer, sondern bevorzugt rer Arbeitsergebnisse wird in diesem Modell je-

567 CF, Schurkenprovider und organisierte Cybercrime, 566 CF, Koordinator, 13.07.2008 13.07.2008 Dieter Kochheim, Cybercrime - 99 - doch von den Zwischenhändlern und den Koordinatoren organisiert. Außerhalb des Organigramms bleibt viel Raum für die "einfache" Cyber- crime. Zu ihr gehören die Script-Kid- dies mit ihren zusammen gebastel- ten Trojanern, die keinen nennens- werten Schaden anrichten, die Lüg- ner bei Onlineauktionen, die Nutzer von Raubkopien und viele andere Massenerscheinungen. Sie bilden das kriminelle Massengeschäft, das von der Strafverfolgung abgearbeitet werden kann und das Moden unter- worfen ist. Eine neue Qualität ist jedoch wegen der arbeitsteiligen und teilweise be- reits organisierten Cybercrime ent- standen, die das Organigramm abbil- det. schäftsähnlicher Strukturen, b. unter Anwendung von Gewalt oder anderer zur C.2 11. neue Definition der Cybercrime Einschüchterung geeigneter Mittel oder Für die arbeitsteilige Cybercrime bietet sich des- c. unter Einflussnahme auf Politik, Medien, öffent- halb folgende Definition an: liche Verwaltung, Justiz oder Wirtschaft zusam-  Die arbeitsteilige Cybercrime ist die vom Ge- menwirken. winnstreben bestimmte planmäßige Begehung von IT-Straftaten, die einzeln oder in ihrer Gesamtheit C.2 12. modulare Cybercrime von erheblicher Bedeutung sind. Ihre planenden Täter greifen dazu auf etablierte Strukturen (wie Der IT-typische Blick auf die Erscheinungsformen Botnetze und Rogue-Provider) und Gruppen mit der Cybercrime stellt die öffentlich handelnden Spezialisten (Operation Groups) zurück, deren Akteure in den Vordergrund. Dienste und Handlungen sie zur Erreichung des Am Beispiel des Skimmings sind das aber nur die kriminellen Zieles zusammenführen. wegen ihrer Dreistigkeit qualifizierten Installateure Einzelne Zwischenhändler, die Botnetzbetreiber und die Läufer, die schließlich die Dubletten miss- und die Rogue-Provider dürften für sich bereits die brauchen. Die wirklichen Spezialisten für die Zu- Bedingungen für eine organisierte Cybercrime sammenstellung der Skimmingtechnik, die Fäl- erfüllen: scher und die Beutesicherer bleiben dabei aus dem Blick.  Organisierte Cybercrime ist die vom Gewinn- oder Machtstreben bestimmte planmäßige Bege- Das arbeitsteilige Skimming ist hingegen zielori- hung von IT-Straftaten, die einzeln oder in ihrer entiert. Die Methoden zur Datengewinnung sind Gesamtheit von erheblicher Bedeutung sind, wenn ihm völlig gleichgültig. Ihm kommt es auf die Beu- mehr als zwei Beteiligte auf längere oder unbe- te an. Die Module, die für die Zielerreichung ein- stimmte Dauer arbeitsteilig gesetzt werden, sind austauschbar. Sowohl die Handwerker wie auch die Installateure können a. unter Verwendung gewerblicher oder ge- eingespart (und damit die Namensgeber für diese Dieter Kochheim, Cybercrime - 100 -

Form der Cybercrime), wenn die Zahlungskarten- Als Ausprägungen schwerer und organisierter Kri- daten auf andere Weise beschafft werden können, minalität zeigen sich hingegen die Erscheinungs- oder outgesourced werden, um dann nur mit den formen der Botnetze, des Phishings und des Arbeitsergebnissen weiterzuarbeiten. Skimmings. Andere Formen der Cybercrime ließen sich ganz Diese Kriminalitätsformen sind zielorientiert und ähnlich darstellen. verfolgen den Zweck, kriminelle Gewinne zu ver- wirklichen. Dabei orientieren sie sich auf den Phishing: Es ist egal, wie die Kontozugangsdaten Missbrauch bestimmter Formen der Technik wie beschafft werden, ob durch ein E-Mail-Formular, ei- Zahlungskarten, das Homebanking oder von PC- ner Webseite, POS-Skimming oder einer Keylog- Clustern. Die dabei eingesetzten Methoden des ger-Malware. Das Ergebnis zählt. Die in irgendei- Missbrauchs sind gleichgültig. Sie sind modular ner Form ausgespähten Daten sollen missbraucht und werden zweckverfolgend ausgewechselt oder und die Beute gesichert werden. Der Weg dahin ist modifiziert. eine Zusammenstellung von Modulen, die eine Weile funktionieren und dann wieder ausgetauscht Entstanden ist deshalb eine arbeitsteilige Cyber- werden müssen. crime-Szene, die sich wegen einzelner Erschei- nungsformen als Organisierte Kriminalität dar- So betrachtet müssen die Namen für die besonde- stellt. ren Formen der Cybercrime neu bedacht werden, weil sie sich bislang an dem Beschaffungs- und In dieser Struktur haben Einzeltäter noch eine nicht an dem Verwertungsprozess orientieren: vereinzelte Bedeutung, wenn sie mehr oder weni- ger unersetzbare Spezialisten sind.  nicht Skimming, sondern Zahlungskartenmiss- brauch, Ansonsten sind sie austauschbar. Vor Allem die mehr dreisten als kenntnisreichen Läufer, die not-  nicht Phishing, sondern Homebankingmiss- gedrungen in der Öffentlichkeit auftreten müssen, brauch, sind ersetzbar und können jederzeit geopfert wer-  nicht Botnetze, sondern Missbrauch von PC- den. Sie sind die Finanzagenten beim Missbrauch Clustern. des Onlinebankings und die Installateure und die Läufer bei Einsatz gefälschter Zahlungskarten.

C.2 13. Fazit Ihre Handlungen sind zwar namensgebend für die betreffende kriminelle Erscheinungsform gewe- Die Cybercrime ist IT-Kriminalität. Es handelt sich sen, für die Zielerreichung sind die öffentlich han- um Straftaten unter Einsatz der Informationstech- delnden Personen aber nur funktional bedeutsam nik und des Internets. und ansonsten austauschbar. Ihre allgemeinen Formen zeigen sich in Massener- scheinungen wie Betrügereien in Auslobungsplatt- formen, z.B. bei eBay, oder die Verbreitung und Nutzung urheberrechtlich geschützter Werke. Be- sondere Ausprägungen sind die Verbreitung rechtswidriger Inhalte (Kinderpornos, Beleidigun- gen, Boykottaufrufe, Bombenbauanleitungen), das Amateur-Hacking (Nachahmer) und der Identitäts- diebstahl, um Andere zu schädigen oder in Miss- kredit zu bringen. Ihre Gefährlichkeit soll nicht kleingeredet werden, weil sie im Einzelfall furchtbare Schicksale hervor- rufen oder vertiefen (z.B. Kinderpornographie). Dieter Kochheim, Cybercrime - 101 -

wartete Gewinn. C.2 14. modulare Kriminalität Das liegt vor allem daran, dass die modulare Kri- Das Bild von der  modularen Cybercrime lässt minalität vorfinanziert werden muss. Sie verzich- 568 sich auf jede Form der Kriminalität übertragen . tet auf einen Mitarbeiterstamm, wenn es im Er- Die modulare Kriminalität ist geprägt von der Tech- gebnis schneller und besser: billiger ist, Daten, nik des Projektmanagements, zielt auf eine effekti- Werkzeuge und Dienste von spezialisierten Fach- ve Gewinnerzielung und hat als wesentliche die leuten einzukaufen. Parameter Aufwand und Gewinn sowie, nur darin unterscheidet sie sich von üblichen Projekten, dem Das führt zu einer Schattenökonomie mit kriminel- Entdeckungsrisiko. Das versinnbildlicht am Bei- len Halbfertigprodukten. spiel des Skimmings die Grafik oben. Ich nenne sie Kein "ordentlicher" Handwerker, der gute Fassa- die „Messlatte des Koordinators“ 569. den für das Skimming bauen kann, setzt sich Der eine oder andere Koordinator mag besondere ohne Not dem Stress aus, diese auch für das Erfahrungen, Kontakte und Quellen für ein einzel- Ausspähen von Zahlungskartendaten zu installie- nes Kriminalitätsfeld haben und deshalb besonders ren und wieder abzubauen. gut darin sein. Kennzeichnend für die modulare Die modulare Kriminalität ist eine logische Fort- Kriminalität ist jedoch, dass sie wegen der kriminel- setzung der Arbeitsteilung zwischen Dieb und len Methode und wegen der Erreichung der Mei- Hehler, nur dass die Arbeitsteilung noch weiter lensteine völlig offen ist. Ihre Maßgabe ist der er- segmentiert ist. Möglich ist das nur, wenn es die Mittelsleute und 568 CF, modulare Kriminalität, 05.10.2008 spezialisierte Subunternehmer gibt, die über Sze- 569 CF, Kriminalität aus dem Baukasten, 21.09.2008 Dieter Kochheim, Cybercrime - 102 - nekenntnisse, Kontakte und mehr oder weniger locker angebundene Mitarbeiter verfügen. Sie und ihre Zuarbeiter bilden die Operating Groups, von denen erstmals Bolduan spricht. Sie liefern die kriminellen Halbfertigprodukte in Form von Gerä- ten, Daten oder Diensten, also zum Beispiel für die Installation von Skimming-Hardware, für den Miss- brauch von gefälschten Zahlungskarten, für den diskreten Transport oder Versand von Geld oder anderen Werten und so weiter. Der Koordinator ist zunächst ein Kalkulator. Seine Entscheidungsparameter sind, wie gesagt, wirt- schaftlicher Art und betreffen Aufwand, Profit und Entdeckungsrisiko. Nur der dritte Eckpunkt ist von der Kriminalität geprägt. Dieter Kochheim, Cybercrime - 103 -

C.3 Basar für tatgeneigte Täter fen wurden 571. Wie organisieren sich arbeitsteilige Täter in der Die etwa 18.000 Teilnehmer im Elite-Forum boten Underground Economy? u.a. Kreditkarten- und Kontodaten, illegal be- schaffte Passwörter oder selbst programmierte Die Cybercrime verfügt mit dem Internet über eige- schädliche Software wie Trojaner zum Tausch ne Mechanismen der Kommunikation und des Aus- und Kauf an 572. Sie verdienen ihren Lebensunter- tausches ihrer kriminellen Dienstleistungen. Das halt in der Underground Economy 573, ohne dass gängige Bild geht von einer diffusen, chaotisch an- die meisten von ihnen dadurch reich geworden mutenden Vielzahl von Einzelpersonen aus, die wären. sich sporadisch binden und ihre Werkzeuge und Kenntnisse gegen andere Werte tauschen. Ich Das Beispiel passt zu den schon älteren Erfah- nenne sie die Crämer. Ihre Schattenwelt wird übli- rungen, über die Jäger 2006 berichtet hat 574. Er cherweise als die Underground Economy bezeich- fand Preislisten für Botnetze, Malware, Schwach- net. stellen (Exploits) und Rootkits (Tarnmechanismen gegen Virenscanner) 575, also für alles, was man Die Crämer sind die kleinen Kriminellen, die ihren zum Herstellen von Malware braucht. Im einzel- Lebensunterhalt auf den Basaren in der Under- nen beschreibt schon Jäger den Basar für tatge- ground Economy verdienen. neigte Einzeltäter 576. Im Hintergrund agieren die Organisierten Internet- Die Spuren, über die 2008 zum Beispiel Muttig kriminellen, die richtige Beute machen. berichtet hat, führten nach Russland 577. Den An- Die Arbeitsweisen der Cybercrime und der "norma- reiz dafür, sich kriminell zu betätigen, sieht Muttig len" Kriminalität vermischen sich dabei allmählich. darin, dass Russland einerseits über Leute mit Während die herkömmlichen Täter das Internet im- hervorragendem Wissen verfügt, die andererseits mer mehr als ihre anonym erscheinende Kommu- kaum legale Erwerbsmöglichkeiten haben 578. nikationsplattform nutzen, professionalisieren sich Balduan hat - ebenfalls 2008 - die Underground Teile der Cyber-Kriminellen und übernehmen dazu Economy als allgemeine Erscheinung angese- auch die Strukturen und Methoden, die das Verbre- hen, in deren Zentrum die Betreiber von Botnet- chen im Übrigen kennt. zen stehen 579.

571 CF, D-AU-Netz zerschlagen, 25.11.2009; C.3 1. Hacker-Märkte BKA geht mit Großrazzia gegen Botnetz-Betreiber vor, Heise online 25.11.2009 Die Kommunikation und die kriminellen Geschäfte 572 Razzia bei Internetforum "Elite Crew", Hamburger erfolgen bevorzugt in geschlossenen Boards (Fo- Abendblatt 28.11.2009 ren). Die dort ablaufenden Prozesse werden vor al- 573 CF, Schattenwirtschaft im Internet, 24.11.2008; lem von Ester und Benzmüller beschrieben 570. CF, Schwarzmarkt, 19.12.2008 574 Moritz Jäger, Das Netz der Phisher: Wie Online- Betrüger arbeiten, tecchannel 20.09.2006 575 C.3 1.1 Ende eines Hackerboards CF, geklaute Daten zum Schnäppchenpreis, 09.04.2008; CF, Trojanerbaukasten mit Support, Im November 2009 zerschlugen die Staatsanwalt- 20.06.2008; CF, qualitätskontrollierter schaft Bonn und das Bundeskriminalamt eine Tä- Kontomissbrauch, 09.05.2008. tergruppe, die nicht nur ein Forum für jederlei kri- 576 CF, professionelle Einzeltäter, 05.10.2008 minelle Leistungen betrieb, sondern auch ein Bot- 577 CF, Cybercrime in Russland, 13.07.2008; netz, mit dem Kritiker und Konkurrenten angegrif- Igor Muttik, Die Wirtschaft und nicht die Mafia treibt Malware voran, McAfee 12.02.2008 578 570 Marc-Aurél Ester, Ralf Benzmüller, G Data CF, Fachleute und geringe Löhne, 05.10.2008 Whitepaper 2009. Underground Economy, 579 CF, Zusammenarbeit von Spezialisten, 13.07.2008; 19.08.2009; Gordon Bolduan, Digitaler Untergrund, Technology dieselben, Whitepaper 04/2010. Underground Review 4/2008, S. 26 ff.; kostenpflichtiger Economy - Update 04/2010, G Data 22.04.2010 Download. Dieter Kochheim, Cybercrime - 104 -

Er hat recht behalten. Nicht nur damit, dass sich das Stück und PayPal-Konten für wenig Geld (20 die Botnetze zu den mächtigsten kriminellen € bei einem Guthaben von 1.290,71 €) zu haben Werkzeugen entwickelt haben 580, sondern auch sind. Am teuersten sind gehackte Packstationen damit, dass die Cybercrime zu einem knallharten 583 für den Warenbetrug, die bis zu 50 Euro kosten Geschäft geworden ist, in dem professionelle Täter 584. Bedruckte Kreditkartenrohlinge mit richtig Geld verdienen, nicht zu ihrem Spaß Hologrammen kosten zwischen 45 und 150 US-$, handeln und schon gar nicht aus hehren morali- Kartendrucker von 450 bis 3.500 US-$ und ganze schen Beweggründen. Skimming-Sets bis zu 10.000 US-$ 585. Die Crämer, die illegale Inhalte, einzelne ausge- Um die Nachfolge des Elite-Forums wurden erbit- spähte Kontodaten und Programme zum Kauf an- terte Kämpfe geführt. Die Konkurrenten schossen bieten, sind in aller Regel die mittelmäßig gefährli- sich teilweise gegenseitig ab 586. chen Amateure und Nachahmer, von denen Mc- Um sich besser gegen die Strafverfolgung und Afee bereits 2006 gesprochen hat (siehe unten). Betrüger in den eigenen Reihen (Scammer 587) zu Sie agieren unter ihren szenetypischen Pseudony- schützen, wurden Aufnahmegebühren oder Refe- men auf Black Markets, also auf Kommunikations- renzen gefordert 588. In einzelnen Fällen wurden plattformen (Boards) mit einer Offenheit und Unbe- auch keine neuen Mitglieder mehr aufgenommen kümmertheit, die jeden Rest von schlechtem Ge- 589. wissen vermissen lässt. Sie wähnen sich sicher und die Erfahrungen sprechen für sie. Die Autoren beschreiben interessante Einzelhei- ten über die Geschäftspraktiken eines Boards 590. Die Crämer bilden aber nur die sichtbare Oberflä- Neben der Aufnahmegebühr für jedes Mitglied che, den Basar. Die geschützte Umgebung für den (zum Beispiel 10 € per PaySafeCard) konnten sie Basar stellen Schurkenprovider und professionelle bislang zwei verschiedene Arten von Verkaufsli- Kriminelle zur Verfügung, die weitaus gefährlicher zenzen im Board erwerben: sind.  Monopollizenz (Patent); berechtigt zum exklu- siven Verkauf einer Warengruppe (zum Beispiel C.3 1.2 verstärkte Abschottung gehackte Kreditkarten) und kostete mehrere Hun- dert Euro. Im Anschluss an ihren bemerkenswerten Bericht über die Schattenwirtschaft im Internet vom August  Shop-Lizenz; berechtigt zum Verkauf beliebi- 2009 581 haben Ester und Benzmüller die Basare ger Leistungen mit Ausnahme der Monopol- weiter beobachtet und jetzt ihr "Update 04/2010" Dienste und war günstiger zu bekommen. veröffentlicht 582. Mittlerweile gibt es nur noch normale Händlerli- Nachdem das Elite-Forum zerschlagen worden ist zenzen. Die so genannten Verkaufspatente wur- (auch: „1337 Crew“), haben sich neue Boards ge- den abgeschafft. Nun muss jeder Verkäufer einen bildet, um dessen Nachfolge anzutreten. Die Crä- Betrag zahlen, um die Verkaufsberechtigung zu mer setzen ihre Geschäfte unvermittelt fort. Eine erhalten. Das Prinzip spült Geld in die Board- aktuelle Preisliste belegt, dass gehackte Spiele-Ac- Kasse und soll vor internen Scammern, Betrü- counts für 5 bis 18 €, SIM-Karten im Bundle für 1 € 583 CF, Carding, 22.11.2008 584 Ester/Benzmüller 2010, S. 4; Grafik bei G Data. 580 Sturmwurm-Botnetz sperrangelweit offen, Heise 585 Ester/Benzmüller 2010, S. 5; Grafik bei G Data. online 09.01.2008; 586 CF, Hacker cracken Carder-Forum, 23.05.2010; CF, einfach abschalten, 11.01.2009. Hacker cracken Carder-Forum, Heise online 581 Marc-Aurél Ester, Ralf Benzmüller, G Data 19.05.2010 Whitepaper 2009. Underground Economy, 587 CF, der Basar, 11.04.2010 19.08.2009 588 Ester/Benzmüller 2010, S. 9. 582 Marc-Aurél Ester, Ralf Benzmüller, Whitepaper 589 04/2010. Underground Economy - Update 04/2010, Ester/Benzmüller 2010, S. 8. G Data 22.04.2010 590 Ester/Benzmüller 2010, S. 8. Dieter Kochheim, Cybercrime - 105 - gern, schützen. 591 sammen zu schrauben, „schmutzige“ Betriebs- systeme 596 zu programmieren und einfache Spie- Es seien neue Webshops entstanden, schreiben le zu vermarkten 597, wurden aus diesen Werkstät- die Autoren, und einige "etablierte" seien weiterhin ten später internationale Konzerne mit klingenden tätig. Ihre Betreiber könnten die Betreiber der Namen wie Microsoft, Apple und viele andere. Boards selber oder jedenfalls in deren Umfeld angesiedelt sein 592. Auch die Informationstechniker mussten sich pro- fessionalisieren, kaufmännisches Denken lernen Am Fall des „1337 Crew“ Forums haben viele und ein eigenes Marketing entwickeln. Mitglieder im Untergrund erkannt, dass sie nicht so sicher sind, wie es wohl viele von ihnen gedacht Die Cybercrime zeigt eine ähnliche Entwicklung. hatten. Viele Onlinekriminelle haben sich auch aus Sie vereinigt inzwischen sehr unterschiedliches dem Untergrund-Tagesgeschäft zurück gezogen, Fachwissen, so dass ihre Organisation in aller vielleicht nur temporär, um nicht „mit laufendem Regel auf Arbeitsteilung und gewerbliche Struktu- Rechner“ von der Polizei erwischt zu werden. 593 ren beruhen muss, um die gezeigte Qualität zu bekommen. Geschickte Einzeltäter mögen die dazu nötigen Zulieferer finden und beauftragen Die Grenze zwischen Internetkriminalität und Inter- können. Der Stand der Cybercrime lässt hinge- netkrieg verschwimmt heute immer mehr, weil man- gen kleinere und größere Unternehmen erwarten, che Staaten kriminelle Organisationen als nützliche deren Mitarbeiter flukturieren, aber vom Grund- Verbündete betrachten. Einige Nationen zeigten be- satz her kontinuierlich zusammen arbeiten. reits, dass sie bereit sind, Angriffe auf gegnerische Ziele durch kriminelle Organisationen und Privatper- sonen zu tolerieren, zu fördern oder sogar gezielt einzusetzen. C.3 2.1 Phishing Karnik u.a. 594 Den stärksten Wandel hat das  Phishing erfah- ren. Als ich mich 2007 erstmals mit ihm beschäf- tigte, basierten seine Methoden 598 allein auf dem C.3 2. Wandlung der Erscheinungsformen Versand von Spam-Mails. Mit ihnen wurden Fi- Die Formen der Cybercrime haben sich in den letz- nanzagenten 599 geworben und schließlich, zu- ten Jahren verfeinert und professionalisiert. Sie nächst noch mit groben Methoden des  Social wurden bereits im Einzelnen beschrieben, so dass Engineerings, Bankkunden dazu überredet, ihre hier nur auf die Entwicklungen und Veränderungen Zugangsdaten und besonders ihre Transaktions- eingegangen wird. Sie zeigen, dass das Fachwis- nummern - TAN - zu offenbaren. sen und handwerkliche Qualität der Kriminellen Schon vor zwei Jahren stellte das Sicherheitsun- einen erschreckend hohen Stand erreicht haben. ternehmen McAfee fest, dass die in Deutschland Diese Tendenzen haben eine gewisse Ähnlichkeit verbreitete Malware mit einer perfektionierten mit der Geschichte der gewerblichen Informations- Sprache daherkommt 600. Das gilt nicht nur für die technik. Während am Anfang eine Garagenwerk- statt 595 ausreichte, um die ersten Computer zu- ihre ersten Computer in der elterlichen Garage produzierten. 591 Ester/Benzmüller 2010, S. 8. WP, Apple. Geschichte 596 592 Ester/Benzmüller 2010, S. 9. Die ersten Versionen des Disk Operating System – DOS – von Microsoft wurden spaßhaft auch als 593 Ester/Benzmüller 2010, S. 9. Einigen Beschuldigten „Quick and Dirty Operating System“ bezeichnet; ist es bei der Elite-Razzia tatsächlich passiert, dass WP, PC-kompatibles DOS sie am PC sitzend von der Polizei bei ihren 597 Geschäften im Board erwischt wurden. Ich denke dabei an Pong von 1972; WP, Computerspiel 594 Abhishek Karnik, Avelino C. Rico, Jr., Amith 598 Prakash, Shinsuke Honjo, Erkennung gefälschter CF, Phishing: Zusammenfassung krimineller Sicherheitsprodukte, McAfee 04.01.2010 Methoden, 2007 599 595 Von den Gründern der Apple Inc. (Steve Jobs, Steve CF, Finanzagenten, 2007 Wozniak und Ronald Wayne) ist überliefert, dass sie 600 CF, Länderberichte. Deutschland, 27.07.2008; Dieter Kochheim, Cybercrime - 106 - häufig grausame Rechtschreibung und Grammatik Schwierigkeit in der Beutesicherung, so dass Wa- aus der Anfangszeit, sondern auch für den Jargon renagenten zum Einsatz kommen, die Wertge- 601. Darin unterscheiden sich die neuen Täter von genstände umverpacken und weitersenden, Tarn- der Nigeria-Connection, aber auch die lernt dazu adressen, Paketstationen u.a. 609. Die Kreativität 602. der Täter ist beachtlich und führt zum Beispiel zu neuen Formen der Aktienmanipulation 610 und Das Phishing hat subtile Formen angenommen 603, gezielten Angriffen auf Unternehmen 611. Sie zei- nutzt Malware und hat das Ausspähen der Nutzer- gen, dass die Täter nicht nur mit der Informations- daten automatisiert 604. Dabei wendet es die Me- technik umzugehen wissen, sondern auch beson- thode des Man-in-the-Middle an 605 und gaukelt dere Marktmechanismen missbrauchen können. dem Anwender sogar gefälschte Kontobewegun- gen vor, damit er die von der Bank angeforderte Der angekündigte Trend zu individualisierten An- iTAN offenbart 606. Der Betrieb von Botnetzen und griffen und vermehrter Industriespionage 612 ist der Einsatz von Phishing-Malware sind dabei zu- eingetreten. Zudem verwischen sich die Grenzen sammen gewachsen 607. zwischen privater Cybercrime und staatlichem Cyberwar 613. Der Bundesverfassungsschutz Das Phishing war die erste spezialisierte Form des spricht insoweit von einer deutlichen Zunahme Identitätsdiebstahls, wobei sich die Täter auf das der "elektronischen Angriffe" zum Zweck der Ausspähen von Kontozugangsdaten beschränken. Spionage und vor allem der Industriespionage 614. Heute werden alle individuellen Netzdienste pene- triert, wenn sie versprechen, Gewinn machen zu Schließlich vermengen sich auch kriminelle Er- können oder Kontakte herzustellen, die ihrerseits scheinungsformen miteinander. Ein markantes Gewinn versprechen. Beispiel dafür ist der Angriff auf die Kundenkonten des Finanzdienstleisters RBS World Pay, wobei die Methoden des Hackings und des Cashings C.3 2.2 Identitätsdiebstahl zusammengeführt wurden, um neun Millionen 615 Seit mehreren Jahren nehmen die Fälle zu, dass Dollar Beute zu erzielen . Dieses Beispiel mit ausgespähten oder auf Tarnidentitäten lauten- de Waren- und Handelskonten Missbrauch getrie- 03.10.2009; ben wird 608. Wie beim Phishing besteht hierbei die Dennis Elser, Micha Pekrul, Das Geschäft der Kennwortdiebe: Wer ist an Identitätsdiebstahl beteiligt, und wie funktioniert er? McAfee Toralv Dirro, Dirk Kollberg, Deutschland: Malware 05.08.2009 lernt die Sprache, McAfee Februar 2008 609 CF, Online-Warenhäuser, 22.11.2008; 601 CF, Salienzeffekt, 01.03.2009; CF, Berichte und Studien zur IT-Sicherheit, CF, filigraner Angriff, 14.05.2008; 26.08.2009; CF, infizierte Webseite, 14.05.2008. François Paget, Finanzbetrug und Internet- 602 CF, (Fast) 30 Jahre Spam aus Nigeria! 14.08.2007; Banking: Bedrohungen und Gegenmaßnahmen, CF, Evergreen: Vorschussbetrug nach Nigeria-Art, McAfee 10.07.2009 17.03.2008. 610 CF, Aktienkursmanipulation, 22.11.2008 603 CF, Angriffe aus dem Internet, 22.06.2008; 611 CF, Emissionsrechte, 07.02.2010 Daniel Bachfeld, Dunkle Flecken. Neuartige Angriffe 612 CF, Perspektiven. Cybercrime, 31.12.2008; überrumpeln Webanwender, c't 11/2008, S. 83 Abhishek Karnik, Avelino C. Rico, Jr., Amith 604 CF, Phishing mit Homebanking-Malware, 22.10.2008 Prakash, Shinsuke Honjo, Erkennung gefälschter 605 CF, The Man in the Middle, 2007; Sicherheitsprodukte, McAfee 04.01.2010 CF, Man-in-the-Middle (Grafik), 2007. 613 CF, Analysen zum Cyberwar, 11.01.2010; 606 CF, sicheres Homebanking, 19.12.2008; François Paget, Cybercrime and Hacktivism, Daniel Bachfeld, Zahl oder Karte. Sicherer Zugriff McAfee 15.03.2010, S. 8. aufs Online-Konto, c't 17/2008, S. 94 614 CF, Verfassungs- und Wirtschaftsschutz, 607 Daniel Bachfeld, Einzelne Bande war für zwei Drittel 25.05.2009; aller Phishing-Angriffe verantwortlich, Heise online BMI, Verfassungsschutzbericht 2008, Vorabfassung 17.05.2010 19.05.2009, S. 285 608 CF, Sicherheitsstudien von G Data und McAfee, 615 CF, Skimming-Coup, 06.02.2009 Dieter Kochheim, Cybercrime - 107 - brachte mich dazu, das Skimming 616 als eine zu finden ist. Alles lässt sich auch zu Geld (Rand-) Erscheinung der Cybercrime anzusehen. machen. Seine Täter handeln im globalen Maßstab 617 und Die Leistungsmerkmale und Online-Verfügbarkeit verfeinern ständig ihre Methoden 618. entscheiden über die Eignung des Wirts als Zom- bie im Botnetz.

Bot-Netze sind die wichtigsten Werkzeuge krimi- Die Botnetzsteuerungen sind fein und präzise ge- neller Banden, die jährlich viele Millionen durch Be- worden. Sie sorgen für die Aktualisierung der Mal- trug und Erpressung abkassieren. ware und steuern die kriminellen Aktivitäten 623 Heise online 619 des Botnetzes, also vor Allem den Versand von Spam, von E-Mails mit Malware-Anhängen, ver- teilte und auf Neigungsgruppen und Einzelperso- C.3 2.3 Botnetze nen ausgerichtete Angriffe 624. Die Täter im Hinter- Moderne  Botnetz-Malware geht behutsam 620 mit grund können sich jederzeit auf einen Zombie be- dem Wirtsrechner um, damit die Aktivitäten der geben und von ihm aus kommunizieren, Geschäf- Malware unerkannt und der Zombie dem Botnetz te abschließen oder kriminelle Einzelaktionen möglichst lange erhalten bleibt. In aller Regel wird ausführen. Die dabei hinterlassenen Netzspuren sie von infizierten Webseiten in den Browser inji- verweisen immer nur auf den Inhaber des infil- ziert, wobei es sich zunächst nur um einen kleinen trierten Zombies. Loader 621 handelt. Er sorgt dafür, dass die Malwa- re - auf neustem Stand - geladen wird. Dann geht C.3 2.4 Skimming es darum, die Malware auf dem Wirt zu installieren und zu tarnen. Dazu erforderliche Komponenten Mit dem Skimming im Einzelnen befasst sich ein werden aus dem Internet nachgeladen. gesondertes Arbeitspapier 625. Hier werden des- halb nur die Entwicklungstendenzen dieser Krimi- Im nächsten Schritt wird der Wirt erforscht. Sein nalitätsform angesprochen. Betriebssystem, seine Hardware und die einge- setzten Programme werden automatisch erfasst Die klassischen Skimming-Täter treten in zwei und seine Online-Verfügbarkeit gemessen. Diese Tatphasen öffentlich auf, beim Ausspähen von Daten sendet die Malware an ihren Kontrollserver, Daten (Skimming im engeren Sinne) und ab- der sich regelmäßig hinter ebenfalls gekaperten schließend beim Missbrauch von Zahlungskarten Zombies mit besserer Leistung versteckt 622. Aus- (Cashing). Anlässlich dieser öffentlichen Auftritte geforscht werden aber auch die persönlichen Da- erfolgen auch erfahrungsgemäß die polizeilichen ten des Anwenders, nicht nur für das Homeban- Zugriffe. Der Fälschungsvorgang selber wird nach king, sondern auch für eBay und andere Verkaufs- den bisherigen Erkenntnissen vorwiegend im ost- plattformen, für soziale Netzwerke und alles, was europäischen Ausland unternommen. Wie jede kriminelle Mode wandelt sich auch das 616 CF, Zwischenbilanz: Skimming, 14.11.2009 Skimming, wobei verfeinerte Methoden zum Ein- 617 CF, internationale Skimming-Bande zerschlagen, satz kommen. Während zunächst selbst gebaute 14.11.2008 Kameras dazu eingesetzt wurden, um die Tasta- 618 Dieter Kochheim, Skimming #2, März 2010, S. 12 tureingaben der Bankkunden zu beobachten, 619 Sturmwurm-Botnetz sperrangelweit offen, Heise kommen inzwischen auch handelsübliche Digital- online 09.01.2008 kameras 626, Handys mit Kamerafunktion und 620 CF, Anatomie des Sturm-Wurms, 06.03.2008; siehe auch: Christoph Alme, Web-Browser: Eine handwerklich hochwertige Tastaturaufsätze zum neue Plattform wird angegriffen, McAfee Juni 2009. 623 CF, verteilte Angriffe (u.a.), 2007 621 CF, Phishing mit Homebanking-Malware, 22.10.2008 624 CF, Koobface-Gang antwortet, 23.05.2010 622 CF, dezentrale Steuerung, 2007; 625 Jürgen Schmidt, Hydra der Moderne. Die neuen Dieter Kochheim, Skimming #2, März 2010 Tricks der Spammer und Phisher, c't 18/2007, S. 76 626 CF, Kamera, 13.04.2009 Dieter Kochheim, Cybercrime - 108 -

Einsatz 627, die auf den Typ des angegriffenen ten 633. Gleichzeitig erhöhten sie deren Auszah- Geldausgabeautomaten angepasst sind, oder lungslimit. Am 08.11.2008 wurden weltweit und ganze Fassaden (Front Covering) 628, in die sowohl gleichzeitig an 130 Geldautomaten in 49 Städten die Tastatur wie auch der Skimmer zum Auslesen die gefälschten Zahlungskarten eingesetzt und der Magnetstreifen von Zahlungskarten eingebaut damit 9 Millionen US-$ erbeutet. sind. Dieses Beispiel zeigt, wie sich die Methoden der Seit zwei Jahren mehren sich die Fälle des POS- Cybercrime in den Formen des Hackings, des Skimming 629. POS bedeutet Point of Sale. Ge- Ausspähens und des Verfälschens von Daten mit meint sind die handlichen Terminals an den Kas- denen anderer Kriminalitätsformen vermengen. sen im Einzelhandel, die gleichzeitig die Kartenda- Das Skimming ist von seiner Herkunft her eher ten auslesen und über ihre Tastatur die PIN auf- beim Trickdiebstahl und -betrug angesiedelt 634, nehmen 630. Alle notwendigen Daten durchlaufen weil es ihm ursprünglich nur um das Stehlen von diese Geräte. Wenn die Täter es schaffen, sie ent- Zahlungskarten und ihre Fälschung ging. Es ver- sprechend umzurüsten, dann speichern oder sen- langt handwerkliche Fertigkeiten bei der Herstel- den sie die Dumps 631 an die Täter. lung der eingesetzten Geräte, besonderes Wis- In Russland wurden unlängst die Geldautomaten sen wegen der Auswahl der Geldautomaten und selber gehackt, um die Dateneingabe vollständig Standorte, die sich einerseits zum Ausspähen der aufzuzeichnen 632. Vermutlich wurde dazu eine erforderlichen Daten und andererseits zum Miss- technische Schnittstelle an den Geräten genutzt, brauch der gefälschten Zahlungskarten eignen, die zur Wartung, Funktionsprüfung oder Aktualisie- sowie logistisches Geschick bei der Installation rung der Software bestimmt ist. der Überwachungshardware. Die verschiedenen Arbeitsschritte im Tatplan, ihre wechselnden An- Beide Beispiele zeigen, dass die Beschaffung der forderungen an die Fähig- und Fertigkeiten der Kartendaten und PIN auf mehreren Wegen erfol- Täter 635 und die grenzüberschreitende Logistik gen kann. Sie ist zwar wichtig für den Taterfolg, am des Gesamtplans sprechen für eine Arbeitsteilung Ende zählt aber das erbeutete Geld und nicht die mit einer zentralen planenden und steuernden In- Methode, mit der die Täter an die Daten gelangten. stanz. Die Arbeitsteilung bei dieser Kriminalitätsform lässt auch spezialisierte „Subunternehmer“ zu, die sich auf die Beschaffung der Daten beschränken und C.3 2.5 Social Engineering ihre „Rohstoffe“ an andere Spezialisten verkaufen, die sich um das Fälschen und das Cashing küm-  Phishing,  Identitätsdiebstahl,  Malware im mern. Allgemeinen und  Botnetze sind ohne  Social Engineering nicht denkbar. Es handelt sich um Besonders heimtückisch gingen die Hacker vor, die eine (offene) Sammlung von Methoden, um ande- Ende 2008 in die Datenhaltung einer US- re Menschen zur Preisgabe von Informationen amerikanischen Bank eindrangen und die Karten- oder zu einem unbedachten Handeln zu veranlas- daten einschließlich PIN von 100 Kunden ausspäh- sen, die bei Bedarf um Spionagetechnik ergänzt werden. Dabei folgt es dem Prinzip, das jeder 627 CF, Tastaturaufsatz, 13.04.2009; Spionagetätigkeit zugrunde liegt: Fünf unwichti- CF, Tastaturblende, 13.04.2009 ge Informationen ergeben eine sensible, wenn 628 CF, Skimming, Juli 2007 633 CF, Skimming-Coup, 06.02.2009 629 CF, POS-Skimming, 18.05.2008; 634 CF, Proll-Skimming, 18.05.2008; CF, Datenklau und -missbrauch, 19.08.2008 CF, Beobachtung. Trickdiebstahl, Juli 2007. 630 CF, BKA: Lagebild OK. Manipulation von POS 635 CF, Grafik, Juni 2008. Wegen der Herstellung von Terminals, 01.11.2008 Skimmern (Kartenlesegeräte) fehlt noch der 631 vollständige Kartendaten einschließlich PIN; Hinweis auf § 149 StGB. Die Diskussion um die CF, Fachworte, April 2007 Strafbarkeit wegen des Umgangs mit diesen 632 CF, Skimming an der Quelle, 20.03.2009 Geräten wurde erst ab Herbst 2008 öffentlich. Dieter Kochheim, Cybercrime - 109 - man sie geschickt kombiniert und mit Alltags- und C.3 3. der Basar Fachwissen interpretiert. Im zerschlagenen Elite-Forum und ähnlichen Ende 2008 hat McAfee das Social Engineering als Plattformen haben sich Neugierige, kriminelle An- eine der gefährlichsten Erscheinungsformen der fänger ab Kindesalter und Profis getummelt. Ihre Cybercrime beschrieben 636, ohne aber seine gan- Geschäfte konnten sie abgeschottet und anonym ze Dimension zu erfassen. Das Sicherheits- abschließen. Dazu gehören Wartungsverträge für unternehmen hat zu stark die Malware im Blick und Malware, qualitätsgeprüfte Kontodaten und Ge- vernachlässigt die Organisationssicherheit 637 so- winnbeteiligungen bei kriminellen Aktionen. wie die unmittelbare Interaktion (Suggestion, Ma- 2006 unterschied McAfee die Beteiligten nach nipulation) zwischen Menschen, die Kevin Mitnick den mittelmäßig gefährlichen ruhmgierigen hervorragend herausgearbeitet hat 638. Amateuren und Nachahmern sowie den selte- Beim Social Engineering geht es nicht allein dar- nen, aber wenig gefährlichen Innovatoren 642. um, Malware zu platzieren, sondern auch darum, Gefährlich hingegen seien die (verärgerten) Insi- öffentliche Quellen, Abfälle und Fachpublikationen der 643 und hoch gefährlich die Organisierten In- auszuwerten sowie aus dem direkten Kontakt mit ternetverbrecher. Menschen Informationen zu beziehen, die zu ei- Eine systematische Analyse der nem gewinnträchtigen Informationsdiebstahl miss- Underground Economy haben braucht werden können. Ich habe das am Beispiel 2009 Marc-Aurél Ester und Ralf meines Arbeitsumfeldes demonstriert 639 und finde Benzmüller vorgestellt 644. Die immer noch Eschbachs Industriespion köstlich, der Szene und ihre Strukturen , dass es sich hier um keine der Spionage beschränkt 640. harmlose Minderheit handelt, sondern um organisierte Betrüger und Diebe (S. 3). Wie in den meisten Gemeinschaften erfolgreicher Krimineller sitzen tief im Inneren einige streng abge- Von zentraler Bedeutung sind dabei die Boards, schirmte Köpfe, die sich auf die Mehrung ihrer Ge- also die geschlossenen Diskussionsforen, die winne mit beliebigen Mitteln konzentrieren. Sie um- zielgruppengerecht sowohl für Script Kids, die geben sich mit den menschlichen und technischen gerne einmal Hacker spielen wollen (S. 3), wie Ressourcen, die dies ermöglichen. auch für abgebrühte Kriminelle angeboten wer- 641 McAfee den. Für sie wird im Board häufig ein Marktplatz angeboten, der Black Market, auf dem vor Allem Kreditkartendaten, E-Mail-Adresslisten, Botnetze und Raubkopien zum Handel angeboten werden. Die Verhandlungen und die Kommunikation mit

636 dem Provider erfolgt in aller Regel mit abgeschot- CF, virtuelle Kriminalität 2008, 13.12.2008; 645 Bericht von McAfee zum Thema Virtuelle Kriminalität teten Instant Messaging Diensten (S. 4) . Zur (ZIP), McAfee 08.12.2008 Anonymisierung kommen vor Allem Proxy- 637 CF, Organisationssicherheit, 07.02.2010 638 Kevin Mitnick, William Simon, Die Kunst der 642 Ebenda Täuschung. Risikofaktor Mensch, Heidelberg (mitp) 643 Siehe auch: CF, Schutz nach innen, 29.08.2009; 2003 Christian Böttger, Der Feind im Inneren, 639 Dieter Kochheim, Social Engineering, 17.06.2007 Technology Review 28.08.2009 640 CF, Nobelpreis, 26.06.2007; 644 Marc-Aurél Ester, Ralf Benzmüller, G Data Andreas Eschbach, Der Nobelpreis (Zitate) Whitepaper 2009. Underground Economy, 641 CF, Organisierte Kriminalität im Internet, 05.10.2008; 19.08.2009; Zweite große europäische Studie über das siehe auch: CF, Sicherheitsstudien von G Data und Organisierte Verbrechen und das Internet, McAfee McAfee, 03.10.2009; Dezember 2006 (ZIP) 645 WP, Instant Messaging Dieter Kochheim, Cybercrime - 110 -

Aus den Hackern, die nur zum Spaß in fremde Sys- Innerhalb der Board-Szene tobt ein Kampf darum, teme eindrangen, entwickelten sich organisierte kri- wer die Nummer 1 ist. Nicht selten werden Boards minelle Strukturen, die auf Gewinn aus sind. von Konkurrenten defaced (optisch verändert) Im Internet haben sich zahlreiche Online-Börsen für oder sogar Überlastangriffen ausgesetzt. Gerne geraubte Daten etabliert. kopieren diese „Mitbewerber“ auch die Datenban- ken der jeweiligen Foren und veröffentlichen diese Zum Einsatz kommen größtenteils Forensysteme, dann auf anderen Boards. Auf diese Weise möch- auf denen zahlungswillige Käufer nahezu alle illega- ten sie einen erfolgreichen Angriff beweisen und len Dienstleistungen erhalten, die das Internet bie- dafür Anerkennung in der eigenen Community er- tet. halten. Meist wird die Webseite zudem signiert, um Auch die notwendige Hardware zum Erstellen ge- zu zeigen, dass man sie gehackt hat. fälschter Karten und Ausweise wird hier gehandelt, 648 ebenso so genannte Drops, das sind sichere Orte, Ester, Benzmüller , S. 4 an die sich mit gestohlenem Geld gekaufte Ware lie- fern lässt. 649 650 Auch Hacker, Cracker und Virenschreiber bieten dienste sind Western Union , Paysafecard , ihre Dienste an. So kann ein Kunde beispielsweise E-Gold 651 oder auch Webmoney 652 (S. 6). Wer komplette Bot-Netze mieten. sich nicht die Mühe machen will, einen Webshop Einen Großteil der angebotenen Ware machen zu- und das Bezahlsystem zu pflegen, kann dazu dem Trojaner, Keylogger und andere Schadsoftware einen Offshoring-Dienst mieten, der allerdings bis aus. zu einem Drittel des Umsatzes als Provision ver- Denn zu jedem der einzelnen Viren erhält der Kun- langt (S. 7). de eine sechsmonatige Support-Phase, in der er sich mit Problemen an den Verkäufer wenden kann. Betrüger, die schlechte Waren liefern oder gegen Das Geld für die angeforderten Artikel wird dabei ei- Vorkasse nichts, werden Scammer genannt und nem vertrauenswürdigen Dritten, meist dem Foren- in eigenen Forenbereichen "geflamed", also bloß- betreiber, überwiesen. gestellt und geächtet (S. 8). Solche Bewertungs- Besonders beliebt ist die Micropayment-Lösung E- systeme sind auch von eBay und Amazon be- Gold. Diese setzt ... nicht auf eine Währung, son- dern sichert das im Umlauf befindliche Geld mit kannt, nur dass dort eher keine kriminellen oder Gold und anderen Edelmetallen. Hehlerwaren angeboten werden. Zudem kümmern sie sich neben dem eigentlichen Gefragt sind Informationen, mit denen sich Ac- Verkauf um den „Nachwuchs“. Nahezu jede Seite counts anlegen, Identitäten übernehmen oder enthält eine Tutorial-Sektion, in der erfahrene Nut- zer ihr Wissen an neue Mitglieder weitergeben. sonstige, für die Szene nützliche und nötige Din- Eine gut geschriebene Anleitung kann den Bekannt- ge tun lassen (S. 9). Dazu gehören besonders heitsgrad des Erstellers deutlich steigern. Außer- auch die Adressen von Cardable Shops, bei de- dem kann sich der Autor damit eine Art Loyalität nen Online-Käufer mit ihren gestohlenen Kredit- neuer und künftiger Phisher sichern. Beide Aspekte kartendaten aufgrund von mangelnder Überprü- kommen anschließend wieder dem Autor bei seinen fung leicht Waren bestellen können. Denn je Geschäften zugute. mehr Angaben ein Shop verlangt, desto mehr Da- Alle Zitate von Jäger 646. ten muss der Betrüger erbeuten oder kaufen. Je

648 Ester, Benzmüller, siehe oben. Dienste (S. 9) und Anonymisierer 647 zum Einsatz. 649 CF, Auslandszahlungen per Bargeldtransfer, 2007 Professionelle Anbieter betreiben daneben häufig 650 CF, Bezahlen im Internet, 19.06.2008; offen zugängliche Webshops, in denen Käufer von Matthias Sternkopf, Moritz Jäger, Neue Bezahlverfahren im Internet. Was leisten PayPal, Schadcode wie in einem regulären Onlineshop giropay, Moneybookers und Co? Tecchannel einkaufen können (S. 5). Szene-übliche Bezahl- 12.06.2008; siehe auch: CF, Betrug mit Porno-Vorwurf, 07.03.2010. 646 Moritz Jäger, Das Netz der Phisher: Wie Online- 651 CF, Verrechnungssysteme auf der Basis von Betrüger arbeiten, tecchannel 20.09.2006 Edelmetallen, 2007 647 CF, Anonymisierer, 09.07.2008 652 CF, Botnetz-Software und -Betreiber, 13.07.2008 Dieter Kochheim, Cybercrime - 111 - vollständiger die Datensätze bei Kreditkarten sind, Eine weitere sehr gefragte Ware sind Dokumente: desto wertvoller sind sie daher auch (S. 9). Das Interesse liegt in diesem Bereich auf gefälsch- ten Führerscheine oder Studentenausweisen ebenso wie auf gestohlenen Personalausweisen. C.3 4. Organisierte Internetverbrecher Begehrt sind alle Dokumente, die dabei helfen, seine eigene Identität geheim zu halten oder eine Einen besonderen Raum nehmen die Angebote andere zu übernehmen. Besonders auf russischen von Botnetzbetreibern ein, die ihre Dienste in den Boards blüht ein starker Handel mit solchen Doku- Boards anbieten. Bevorzugt werden infizierte menten. Computer in Westeuropa, Nordamerika und Aus- Ester, Benzmüller 656 tralien gesucht. Es ist davon auszugehen, dass dies sehr wahrscheinlich mit der guten Internet-In- RiStBV 657. Der Periodische Sicherheitsbericht frastruktur innerhalb dieser Länder und mit der ho- des BMI von 2006 658 hebt besonders die Ab- hen Verbreitung des Netzes zusammenhängt (S. schottung gegenüber Außenstehenden hervor 659 10). Der Versand von 1.000.000 Spam-E-Mails und spricht von professionellen Tätergruppen und kostet ca. 250 bis 700 US-Dollar bei einem Bot- Organisierter Kriminalität 660. netzbesitzer 653 (S. 12). Das Kriterium der Abschottung gilt für alle struktu- Ester und Benzmüller gehen auch auf das Carding, rierten Formen der Cybercrime. Zu ihnen zähle die Beutesicherung, das sie Cashout nennen, und ich die Betreiber von Einzelheiten beim Betrieb von Botnetzen sowie Bullet Proof-Diensten ein, von denen noch zu spre-  Boards für kriminelle Dienste, chen sein wird. Dabei bleiben sie jedoch auf der  Offshore-Diensten (Webshops, Bezahldienste), Erscheinungsebene, ohne sich mit den Personen  Botnetzen, und Strukturen zu befassen, die Black Markets oder andere der angebotenen Dienste betreiben.  spezialisierten Proxy-Servern, Dazu besteht jedoch ein dringender Anlass. Es ist  Bullet Proof-Infrastruktur (vor Allem Hostspei- etwas anderes, geklaute Daten oder andere krimi- cher, Drop Zones) und nelle Dienste in einem Board anzubieten, als die  anonymisierenden DNS-Servern Infrastruktur für das Board, den Proxy, den anony- men Hostspeicher oder den "all inclusive" Web- sowie die Programmierer von spezialisierter Mal- shopdienst zu betreiben. Die Betreiber haben ech- ware zum Betrieb von Botnetzen und zur indivi- te Investitions- und Betriebskosten, die sie nicht dualisierten Spionage. zum Vergnügen oder aus Altruismus aufbringen. Die Nutzer der Boards sind die Amateure, Nach- Sie sind die, die von McAfee als Organisierte Inter- ahmer, Insider und Spezialisten, von denen Mc- netverbrecher bezeichnet werden, die sich mit Afee gesprochen hat. Für sie gilt überwiegend der menschlichen und technischen Ressourcen umge- erste Anschein, dass es sich um eine diffuse ben, um Gewinn zu machen. Menge tatgeneigter Einzeltäter handelt. Der von McAfee gewählte Begriff ist plakativ, aber nicht besonders trennscharf. der Organisierten Kriminalität 656 Ester, Benzmüller, S. 10. Die allgemein anerkannte Definition für Organisier- 657 Siehe auch: BKA, Lagebild Organisierte te Kriminalität 654 liefert die Anlage E 655 zu den Kriminalität 2005 Bundesrepublik Deutschland (Kurzfassung, S. 8) 653 Ester, Benzmüller, siehe oben. 658 BMI, Zweiter Periodischer Sicherheitsbericht, 654 CF, Organisierte Kriminalität, 2007 November 2006 659 655 CF, Gemeinsame Richtlinien der Justizminister/ BMI, 4.3 Professionelle Tätergruppen und -senatoren und der Innenminister/-senatoren der Organisierte Kriminalität, 15.11.2006 Länder über die Zusammenarbeit von 660 CF, Professionelle Tätergruppen und Organisierte Staatsanwaltschaften und Polizei bei der Verfolgung Kriminalität, 2007 Dieter Kochheim, Cybercrime - 112 -

Die Betreiber zeigen hingegen ein anderes Kaliber. Heute können mehr als 75 Prozent der russischen Sie benötigen gewerbliche Strukturen, hinter de- Wissenschafts- und Ingenieur-Studenten nach nen sie ihre kriminelle Tätigkeit verbergen. Dazu dem Abschluss des Studiums keinen Job finden. sind Einzeltäter in aller Regel nicht in der Lage. Sie Sie oder Ihre Tutoren eröffnen inzwischen Shkola Hackerov ("Hacker-Schulen"). Dort bieten sie brauchen entweder feste oder jedenfalls dauerhaf- Schulungen in Hacking und führen ihre Schüler di- te Partner, mit denen sie zusammenarbeiten. rekt zur Kriminalität, wo sie zwei bis drei Mal mehr verdienen als wenn sie ehrlich arbeiten würden. Paget 663 C.3 5. kriminelle Programmierer Eine unklare Stellung nehmen die professionellen umfassen den Projektauftrag, die Meilensteine, Programmierer von  Malware ein. Ich vermute, um das Projektziel zu erreichen, und nicht zuletzt dass sie vor Allem allein arbeiten, aber rege und einen Zeitplan. Diesen erfordert die "Kritische abgeschottete Kontakte zu Zulieferern und ande- Kette". Sie bedeutet nichts anderes als die pünkt- ren Fachleuten pflegen, von denen sie auch im liche Ablieferung der Komponenten, mit denen Einzelfall Unterstützung erhalten, ohne dass sie der nächste Projektteilnehmer zwingend weiter gemeinsam eine gewerbsähnliche Struktur aufbau- arbeiten muss. en. Bei den professionellen Programmierern wird Dafür sind folgende Annahmen Ausschlag gebend: man deshalb beide Erscheinungsformen finden, Der Erfolg von Malware hängt von der Qualität der den begnadeten Einzeltäter ebenso wie die verwendeten Sicherheitslücken (Exploits), der streng organisierte Kleingruppe mit spezialisierten Tarntechnik (Root Kits) und der Malware selber ab, Teilnehmern. Von da ist es kein weiter Schritt zur die alle Komponenten verbindet. Einfache Malwa- Operation Group mit einer eigenen Leitungsstruk- re, also Massenware, kann längst mittels "Baukäs- tur. ten" zusammengestellt werden 661. Auf dem Basar werden sich alle Interessierten Professionelle Malware dürfte hingegen eine Ein- tummeln, die Einzeltäter ebenso wie die, die sich zelanfertigung sein, die zwar auf erfolgreichen an eine Operation Group angeschlossen haben. Komponenten aufbaut, aber letztlich die intellektu- In ihm bewegen sich schließlich auch die Agen- elle Leistung eines oder mehrerer Programmierer ten, die Spezialisten und die Kleinunternehmer, erfordert. die deren Dienste einkaufen, um sie für kriminelle Projekte zu verwenden. Das gilt besonders für Botnetz-Malware, die pro- funde Kenntnisse über Peer-to-Peer-Netze und Fernwartung voraussetzt. In diesem Bereich mag es Einzeltäter geben. Die Anforderungen an die Malware-Komponenten lassen jedoch eher erwar- ten, dass vertraute Gruppen zusammen arbeiten. Professionelle Kriminelle wissen, wo ihre Grenzen sind, und schließen sich deshalb in aller Regel mindestens zu lockeren Verbünden zusammen, die ständig und arbeitsteilig zusammen arbeiten. Es gibt - auch in Deutschland - Hinweise darauf, dass bei ihrer Zusammenarbeit die Methoden des Projektmanagements 662 zum Zuge kommen. Sie

661 Frühes Beispiel: CF, Trojanerbaukasten mit Support (Turkojan), 20.06.2008 663 François Paget, Cybercrime and Hacktivism, 662 CF, kritische Projekte, 2008 McAfee 15.03.2010, S. 8. Dieter Kochheim, Cybercrime - 113 -

C.3 6. Operation Groups Die zentrale Figur jedoch ist ... ein „Independent Schon Balduan hat von den Agenten und Spezia- Business Man“ – eine Person, die Kontakte zur listen gesprochen sowie von den Operation Unterwelt pflegt und zwischen Bot-Herdern, Ha- 664 ckern, Malware-Schreibern und Spammern koordi- Groups . Bei ihnen handelt es sich um Kleinun- niert. ... mithilfe der Botnetz-Infrastruktur kann der ternehmer, die Einzelleistungen für kriminelle Pro- Koordinator Unternehmen mit verteilten Massen- jekte zur Verfügung stellen und dazu auf die nöti- angriffen auf ihre Webseiten drohen und so gen Spezialisten zurückgreifen können. Schutzgeld erpressen, Spam-Wellen mit Werbung für überteuerte Produkte oder Aktien lostreten oder Es ist gut denkbar, dass besonders Malware- tausendfach persönliche Informationen wie Bank- Schreiber in solchen kleinen Gruppen arbeiten und zugangsdaten ergaunern. nicht am operativen Geschäft selber teilnehmen. Bolduan, S. 30 Als Zulieferer sprachlich perfekter Texte für Spams und Webseiten kann ich mir eher Einzelpersonen als Experten vorstellen. C.3 7. Koordinatoren Meine Vorstellung von dem Unternehmen Phish & Auch von den Koordinatoren hat Balduan be- Co. 665 scheint auf die moderne Zusammenarbeit richtet. Sie planen kriminelle Einzelprojekte nach zwischen Operation Groups nicht mehr anwendbar Maßgabe des Projektmanagements und den übli- zu sein. chen wirtschaftlichen Messgrößen: Im Bezug auf das Phishing muss jetzt davon aus-  Aufwand, gegangen werden, dass unterschiedliche Perso-  Gewinn und nengruppen Finanzagenten anwerben und betreu-  Entdeckungsrisiko. en und andere das Phishing als solches durchfüh- ren. Die Szene hat sich spezialisiert. Der Basar, die Operation Groups und die Koordi- natoren sind typische Erscheinungsformen der Auch in Bezug auf andere Kriminalitätsformen Cybercrime. Sie werden in ähnlicher Weise auch muss immer mehr von selbständigen Spezialisten in Bezug auf andere kriminelle Erscheinungsfor- ausgegangen werden. Bei gescheiterten Skim- men auftreten, nicht aber als gängiges Organisa- ming-Angriffen sind inzwischen so viele baugleiche tionsmodell für alle kriminellen Aktivitäten. Tastaturaufsätze aufgetaucht, dass von einer Seri- enproduktion durch einen oder mehreren versier- Ein Beispiel dafür sind die kurzen zeitlichen Ab- ten Handwerkern ausgegangen werden muss, die stände zwischen dem Skimming und dem Ca- ihre Waren für teures Geld verkaufen. shing, die sich im vergangenen Jahr auf bis zu zwei Tage verkürzt haben. Das spricht eher für eine auf Dauer angelegte Zusammenarbeit zwi- schen den arbeitsteiligen Tätergruppen und nicht dafür, dass spezialisierte Ausspäher ihre Erzeug- nisse erst auf einem Schwarzmarkt anbieten müssen, um sie an spezialisierte Fälscher und Casher abzusetzen. Klassische Einbrecher werden ebenfalls eher nach einem eingefahrenen Muster mit Vertrauten zusammen arbeiten und nicht für jede einzelne Tat neue Komplizen suchen. Nach aller Erfahrung haben sie auch Kontakte zu spezialisierten Heh- 664 Gordon Bolduan, Digitaler Untergrund, Technology lern, die einen kontinuierlichen Absatz verspre- Review 4/2008, S. 30; Cyberkriminelle entwickeln sich zu Unternehmern, chen. tecchannel 15.07.2009 665 CF, Das Unternehmen Phish & Co., 2007 Dieter Kochheim, Cybercrime - 114 -

Das ... Geschäftsmodell des RNB war simpel und zen verfügt, über die es Verbindungen zum Inter- dreist: Je mehr eine Domain in den Fokus der Öf- net hat. Jedem AS wird von der Internet Assigned fentlichkeit geriet, je mehr Beschwerden an die E- Numbers Authority - IANA 673- eine eindeutige, Mail-Adresse für Missbrauch geschickt wurden, de- fünfstellige Autonomous System Number - ASN - sto mehr Geld verlangten die Russen von ihren vergeben 674. Für den europäischen Bereich ist Kunden. diese Aufgabe auf das Réseaux IP Européens Bolduan, S. 32 Network Coordination Centre - RIPE NCC 675- übertragen worden.

C.3 8. Schurkenprovider

Der bekannteste Rogue Provider 666 (Schurkenpro- C.3 9. Tarnung und Abschottung der Kunden vider 667) ist das Russian Business Network - RBN Ein AS kann sich im Internet nicht verstecken. Es 668- in Petersburg gewesen, das sich Ende 2007 ist anhand seiner AS-Nummer eindeutig erkenn- aus der Öffentlichkeit zurück gezogen hat. Über bar und sein physikalischer Standort genau zu or- seine Aktivitäten haben vor Allem Bizeul 669, Baldu- ten. an 670 und Frank Faber berichtet 671. Was in seinem Inneren geschieht, ist eine andere Das Kerngeschäft des RBN und anderer Schur- Sache. kenprovider besteht darin, ihre zahlenden Kunden für ihre heiklen oder kriminellen Aktivitäten Ab- schottung, also einen "sicheren Hafen" zu bieten. C.3 9.1 Whois Protection Das verlangt nach Das AS ist berechtigt, eine eigene Adressenver-  anonymisierten Speicherstandorten, waltung durchzuführen. Dahinter verbirgt sich 676  einer anonymisierten Adressverwaltung (Mas- nichts anderes als ein DNS-Server , der dazu kierung von DNS-Eintragungen), da ist, für eine beschreibende Internetadresse den physikalischen Standort anhand der numme-  komfortablen Anbindungen an das Internet und rischen Adresse des Internetprotokolls zu melden  eine Niederlassung, in der der Schurkenprovider 677. Darüber hinaus liefert der DNS-Server die per- ohne Angst vor Repressalien handeln kann. sönlichen Angaben über den Inhaber der DNS- Adresse. Die ersten drei Voraussetzungen lassen sich nur erfüllen, wenn der Schurkenprovider ein Autono- Damit verfügt jedes AS über ein mächtiges Werk- mes System - AS 672- betreibt. Dabei handelt es zeug. Mit seinem DNS-Server kann es die ge- sich um ein selbständiges Netzwerk, das über min- speicherten Domänennamen zu jedem beliebigen destens zwei Außenverbindungen zu anderen Net- physikalischen Standort leiten und in der Daten- bank im Übrigen jeden Unfug über den Inhaber 666 CF, Rogue Provider, 13.07.2008 bereit halten 678. 667 CF, Schurkenprovider, 05.10.2008 In Fachkreisen wird das als "Whois Protection" 668 CF, Russian Business Network – RBN, 13.07.2008 bezeichnet 679. Es ist nichts anderes als die Ver- 669 CF, Schurken-Provider und organisierte Cybercrime, 13.07.2008; schleierung der Betreiberdaten, um ihn vor den David Bizeul, Russian Business Network study, bizeul.org 19.01.2008 673 WP, Internet Assigned Numbers Authority 670 Gordon Bolduan, Digitaler Untergrund, Technology 674 WP, Autonomes System. Verwaltung Review 4/2008; 675 WP, RIPE Network Coordination Centre CF, weitere Nachweise, 13.07.2008 676 WP, DNS-Server 671 CF, Russian Business Network – RBN, 13.07.2008; 677 Frank Faber, Unter Verdacht. Eine russische Bande Schematische Darstellung: CF, Auflösung von DNS- professionalisiert das Cybercrime-Business, c't Adressen, 2007. 11/2008 678 CF, IP-Adressen ohne Beweiswert, 16.05.2010 672 CF, verwirrende Beziehungen, 2007 679 CF, Auskunftsdienste im Internet, 06.12.2009 Dieter Kochheim, Cybercrime - 115 -

Nachstellungen der Strafverfolgung oder von Ab- verfügt, dann kann er die informationstechnischen mahnern zu schützen. Aktivitäten, die auf den Rechnern stattfinden, so tarnen, dass jedem Außenstehenden vorgegau- In offenen Foren findet man dazu euphorische kelt wird, dass die betreffenden Internetangebote Lobhudeleien: Endlich keine Abmahnungen und nicht lokalisierbar sind oder irgendwo auf der Welt teure Anwaltsforderungen mehr! stattfinden, aber nicht dort, wo sie tatsächlich sind. C.3 9.2 anonyme Server Das hübsch bunte Geotracing 681 lässt sich damit Das zweite mächtige Werkzeug, das dem AS zur herrlich in die Irre führen. Verfügung steht, ist die Anonymisierung von Ser- vern. C.3 9.3 Detektion Mit dem einfachen Kommando "Ping" 680 lässt sich Dennoch kann man die geographischen Stand- die technische Erreichbarkeit einer Netzadresse orte von getarnten DNS-Adressen und Servern überprüfen. An ihr kann sich ein Netzknoten befin- auch von außen eingrenzen und lokalisieren. Ver- den (Router, Switch, Gateway) oder ein Endgerät, antwortlich dafür ist das Internetprotokoll selber das Dateien (Hostspeicher, FTP) oder Datendiens- und das Netzwerkwerkzeug Traceroute 682. te (Webserver, Datenbanken) birgt. Auf das Ping- Kommando meldet das angeschlossene Gerät sei- Die Architektur des Internets folgt technischen ne Identität. und wirtschaftlichen Logiken. Die großen interna- tionalen Netzbetreiber (Tiers 683) können die Da- Ping richtet sich an nummerische Adressen des In- tenströme steuern und zum Beispiel möglichst ternetprotokolls nach dem Muster xxx.xxx.xxx.xxx . lange in der eigenen Netz-Infrastruktur belassen, Vom Anspruch her sollen die beiden linken Ziffern- um sie erst am Zielort an einen regionalen End- folgen den geographischen Standort der IP- anschluss-Betreiber zu überlassen. Diese Strate- Adresse widerspiegeln. gie wird als "cold potato" bezeichnet und IBM 684 Auch die IP-Adressen werden von der IANA ein- ist besonders bekannt dafür, so zu verfahren. An- zeln oder blockweise vergeben. Die Ziffernfolge of- dere Carrier 685 ohne oder mit schwachen überre- fenbart im Ergebnis nur das AS, an das sie verge- gionalen Leitungen verfahren nach der "hot pota- ben wurde, nicht aber den physikalischen oder to"-Methode und versuchen, ihre Daten äußerst geographischen Standort, an dem sie eingesetzt schnell an andere Partner zu übergeben. wird. Diesen kennt nur das AS selber. Das Internetprotokoll toleriert die Vorgaben der Das AS hat mehrere Möglichkeiten, auf die Rück- Carrier und lässt Umwege bei der Signalübertra- meldungen des Endgerätes Einfluss zu nehmen. gung zu. Sie können darauf beruhen, dass die di- So kann es alle Rückmeldungen unterbinden, rekte Strecke überlastet ist, so dass zum Lastaus- wenn es an seinen Eingängen Firewalls betreibt, gleich Umwege schnellere Verbindungen verspre- die die Meldungen nicht durchlassen. chen. Was die Carrier hingegen nicht zulassen, Der Betreiber der Endgeräte, also das AS, kann sind unwirtschaftliche Zick-Zack-Wege im welt- auch genau vorgeben, was sie an die Gegenstel- weiten Netz. len senden. Das kann jeder Quatsch sein. Mit Traceroute können die Zwischenstationen ei- Wenn ein Schurkenprovider über ein eingetrage- nes Signals im Internet gemessen werden. Sie nes AS verfügt, das an zwei Endpunkten an ande- verraten, wo etwas Merkwürdiges im Signallauf re AS angeschlossen ist, über geographisch weit 681 CF, Lokalisierung. Geotracing, 06.12.2009 verstreute IP-Adressen und über ein Rechenzen- 682 CF, Auskunftsdienste im Internet, 06.12.2009 trum mit hinreichend leistungsstarken Rechnern 683 CF, autonome Systeme und Tiers, 2007 684 680 CF, Suchmaschinen und -techniken. IP- und DNS- CF, Besonderheit: IBM, 2007 Adressen, 29.12.2008 685 CF, verwirrende Beziehungen, 2007 Dieter Kochheim, Cybercrime - 116 - passiert, wenn man als Anwender ausreichende Hier finden alle ein Zuhause, die Drop Zones für Kenntnisse über die Physik des Internets hat. die Daten ihrer Botnetze suchen, illegale Shops Auch dem Tracerouting werden falsche und ge- betreiben, Command & Control (C&C)-Server si- cher unterbringen wollen und dergleichen mehr. tarnte Endpunkte vorgegaukelt. Anhand der mar- Unter Dropzones ist in diesem Zusammenhang ein kanten Zwischenstationen lässt sich jedoch erken- Server zu verstehen, auf dem beispielsweise die nen, wo die Verschleierung einsetzt. auf dem Rechner des Opfers installierte Spyware ihre gesammelten Daten ablegen kann. Das Pro- Wenn von Bulgarien aus ein Server in der Türkei duktportfolio reicht hier wie bei jedem seriösen An- erreicht werden soll, dann folgt das Signal einem bieter vom kleinem Webspace-Angebot, über virtu- der Seekabel, die durch das Schwarze Meer zwi- elle Server bis hin zu ganzen Serverclustern, je schen beiden Staaten verlegt sind. Es läuft nicht nach Geldbeutel und Anforderungen. 688 erst zum Mittelmeer, um über Italien und den deut- Ester, Benzmüller schen Internetknoten in Frankfurt zu einer Provinz- hauptstadt zu gelangen, wonach es plötzlich einen tarnten Technik muss deshalb etwas hinzukom- Zielort in der Nordtürkei anzeigt. men: Der Betreiber muss in einer Umgebung han- Bei genauer Betrachtung ergibt sich nämlich, dass deln, in der er sich frei von Angriffen, Restriktio- alle Zwischenstationen sehr schnell durchlaufen nen und staatlicher Macht fühlen kann. Für das werden. Erst in der Nähe der Provinzhauptstadt RBN war das zunächst der Fall. Es galt als be- durchläuft das Signal eine lange Verarbeitungszeit, schwerdeignoranter Provider und Hoster 689, von um dann einen Zielort an einem ganz anderen dem weder in ihren Rechten Betroffene noch Ende der Welt anzuzeigen. Wenn das Signal ge- Strafverfolgungsbehörden die geforderten Aus- tunnelt 686 und getarnt durch ein Virtual Private Net- künfte bekamen. work 687 gejagt wird, kann das sogar möglich sein. So kann nur handeln, wer wirklich von seiner Nicht aber, wenn man das nächste Tracerouting staatlichen Umgebung geschützt wird oder wer aus der geographischen Nähe des Zielortes startet sich selber so stark tarnt, dass zwischen ihm als und das Signal dennoch den Weg über die Pro- Person und seiner schurkischen Veranstaltung vinzhauptstadt nimmt. keine Verbindung hergestellt werden kann. Das Das AS des Schurkenproviders verrät sich also ist keine leichte Aufgabe. durch die Zwischenstationen beim Tracerouting, an In jüngerer Zeit treten verstärkt betrügerische denen angeblich etwas passiert, was der Netzlogik Webshops mit attraktiven Warenangeboten auf, widerspricht. die es auf die Vorauszahlungen ihrer Kunden ab- sehen. Sie bedienen sich in aller Regel der ange- sprochenen Offshoring-Dienste, die ohne getarnte C.3 9.4 heimlicher Betrieb Umgebungen keine Abschottung der Anbieter Die Anonymisierung von Servern und die Tarnung leisten können. Die dazu erforderliche Technik be- von DNS-Adressen sind technische Tricks, um die treiben sie entweder selber oder mieten sie von Veranstalter von illegalen Diensten und Inhalten spezialisierten Schurkenprovidern. unkenntlich zu machen. Sie erhalten vom Bullet Proof-Provider einen "sicheren Hafen" für ihre ille- galen Aktivitäten, die Bizeul am Beispiel des RBN erkundet hat. Ester und Benzmüller bestätigen sei- ne Aussagen (siehe rechts oben). Der Betrieb des AS findet aber nicht im Virtuellem statt, sondern in der realen Welt. Neben der ge- 688 Ester, Benzmüller, S. 11 686 CF, Verschlüsselung. Tunnelung, 30.03.2008 689 antispam.de, beschwerdeignorante Provider und 687 CF, Overlay-Netze und VPN, 30.03.2008 Hoster Dieter Kochheim, Cybercrime - 117 -

C.3 9.5 IP-Adressen und Domain-Entführer Die böswillige BGP-Manipulation eignet sich zur Verschleierung der Netzstationen nur, wenn am Manuel Schmitt kritisiert 690, die Strafverfolgungs- Ende tatsächlich gemeldet wird, dass alle Daten- behörden würden sich zu sehr auf die IP-Adressen pakete angekommen sind. Das machen sich die 691 verlassen und dabei die Routing-Prokolle der Schurkenprovider zunutze, die getarnte Hostspei- großen Provider außer Acht lassen 692, greift fehl. cher betreiben, deren Standort vor der Öffentlich- Anlass geben ihm das Border Gateway Protocol – keit, Abmahnern und der Strafverfolgung ver- BGP 693- und die Meldung, dass im April 2010 ein schleiert werden sollen 698. Diese Fälle fallen da- chinesischer Provider einen Teil des Internets ent- durch auf, dass die Standortmeldungen, die mit führt hat 694. dem Tracerouting oder anderen Werkzeugen auf Was ist passiert 695? Der chinesische Internet-Pro- der Grundlage des Internetprotokolls ermittelt vider IDC China ist ein autonomes System - AS 696- werden, unsinnig sind, weil sie der physikalischen und betreibt einen BGP-Router, der dem Internet und wirtschaftlichen Logik des Weltnetzes wider- meldet, mit welchen anderen Partnern er verbun- sprechen 699. den ist 697. Diese Meldungen nehmen die Netzkno- Schmitts Warnung gilt nur für die Fälle, dass ein ten auf und speichern sie. Mit diesen Daten arbei- Schurkenprovider die Identität seines Kunden tet das BGP und die Netzknoten senden an das AS tarnt, um ihn der Verfolgung zu entziehen. Es ist Nutz-Datenpakete, weil sie davon ausgehen, dass nicht zu erwarten, dass dadurch Unschuldige ver- dieses Zwischennetz sie an das richtige Ziel weiter folgt werden, weil das Whois Protection und die leitet. Das ging aber schief, weil das AS falsche Tarnung von Servern Standorte und Identitäten Partnernetze meldete und die angelieferten Daten- verschleiern, nicht aber anderen Handelnden un- pakete irgendwo in China versandeten. Das erfolg- terschieben. te unkontrolliert, weil das BG-Protokoll keine Kon- trolle, sondern Vertrauen voraussetzt. Geniale Verbrecher könnten hingegen auf die Idee kommen, den Internetauftritt eines Opfers Der böswillige Einsatz einer BGP-Manipulation komplett nachzubauen und gezielte Veränderun- kann dazu führen, dass bestimmte Ziele im Inter- gen daran vorzunehmen. Mit einer BGP-Um- net vorübergehend nicht erreichbar sind. Das kann leitung könnte dann auf den manipulierten Inter- für kriminelle oder kriegerische Kampagnen durch- netauftritt umgeleitet werden. aus von Interesse sein. Das geht aber nur, wenn das Opfer selber ein AS Dauerhaft ist dieser Zustand aber nicht, weil das ist, weil sich die BGP-Umleitung auf andere Netz- Internetprotokoll auch die Rückantwort erwartet, knoten. Ein einzelner Teilnehmer innerhalb eines dass die Datenpakete vollständig am Ziel ange- AS - also ein Host-Kunde neben anderen - kann kommen sind. Die falsche Verbindung löst dadurch jedenfalls von außen nicht so ohne weiteres an- eine vermehrte Netzlast wegen der Fehler- gegriffen werden. Der Angreifer müsste ganz ge- meldungen aus. Sie führen schließlich dazu, dass zielt die Hostadresse des Opfers filtern und auf das fehlerhafte AS umgangen und die Signale über die gefälschte Präsenz umleiten. Mit größerem andere Wege geleitet werden. Aufwand ginge auch das.

690 Manuel Schmitt, IP-Adressen nur mit sicherem Für die Strafverfolgung stellt sich das Problem Routing eindeutig, Heise online 13.05.2010 nicht in dieser Brisanz. IP-Adressen sind ganz 691 WP, IP-Adresse (Internet Protokoll) überwiegend von Interesse, weil sie von einem 692 CF, verwirrende Beziehungen, 2007 (Tiers, Carrier) Zugangsprovider aus seinem Bestand seinem 693 WP, Border Gateway Protocol Kunden zugewiesen wurden (Bestandsdatenab- 694 Chinesischer Provider "entführt" kurzzeitig Teile des frage), der damit Böses veranstaltete. Dabei geht Internets, Heise online 12.04.2010 es nicht um die Ziel-, sondern um die Ausgangs- 695 CF, IP-Adressen ohne Beweiswert, 16.05.2010 696 WP, Autonomes System 698 CF, anonyme Server, 11.04.2010 697 CF, Routing über den Globus, 16.05.2010 699 CF, Detektion, 11.04.2010 Dieter Kochheim, Cybercrime - 118 - adresse. Deren Manipulation bei einem TK-Un- PaySafeCard.com unter DDoS ternehmen kann zunächst in dem Bereich der Le- Published on 02-18-2010 17:14 gende angesiedelt werden. Nach dem PaySafeCard.com PSC's mit Passwort fast wertlos machten , da man nun den Bon Dennoch ist Schmitts Warnung berechtigt. Mit Rou- brauchte um das PW zu ändern bzw. mit PW zu ting-Manipulationen lassen sich Fehlinformationen benutzen , wollte sich das einige Mitglieder dieser verbreiten, die Andere in echte Schwierigkeiten Scene nicht gefallen lassen und schlagen nun zu- rück. Zum DDoS auf http://www.paysafecard.com/ bringen können. Jedenfalls dann, wenn der Angrei- wird aufgerufen, egal wie groß das Botnetz ist. 700 fer über ein AS, über tiefes Wissen und über die Ressourcen verfügt, kann er mit großem Aufwand ganz gezielt die Subadresse seines Opfers umlei- C.3 11. Beutesicherung tet, um ihm unlautere Aktivitäten unter zu schieben. Die Beutesicherung ist die wichtigste Vorausset- zung für kriminelle Geschäfte jeder Art. Eine trau- rige Berühmtheit hat insoweit Western Union 701 C.3 10. Crämer und große Kriminelle erlangt. Es handelt sich - neben Money Gram - Kriminelle Crämer wie die, die ihre Waren und um den bekanntesten Dienst für den Bar- Beuten in Boards anpreisen, sind nicht die großen geldtransfer, der auch die unbekanntesten Ecken Nummern im kriminellen Geschäft. Sie sind lästig, der Welt erreichen kann. Für viele Migranten ist er dreist und gehören nachhaltig in ihre Grenzen ver- ein Segen, weil sie nur mit seiner Hilfe ihre Ange- wiesen. hörigen in der Heimat unterstützen können. Viel bedenklicher sind die Betreiber, die den Crä- Finanz- und Warenagenten sind nach wenigen mern ihren Markt erst bieten. Sie gilt es richtig zu Einsätzen verbrannt. Außerdem reagieren die bekämpfen. Banken zunehmend sensibel auf ungewöhnliche 702 McAfee nennt sie die Organisierten Internetverbre- Auslandsüberweisungen . cher und dem kann ich nicht widersprechen. Es Paysafecard, E-Gold und Webmoney sind Be- handelt sich dabei um die Bullet Proof-Provider zahlsysteme, die sich für die Beutesicherung im und die anderen Schurken, die ich benannt habe. kleinen Stil eignen 703. Paysafecard ist ein anony- Das Bild von der diffusen und ungreifbaren Wolke mer Bezahldienst, bei dem der Empfänger nur tatgeneigter Täter gilt nur für die Crämer und ist über den Code auf dem vom Versender gekauf- oberflächlich. Sehr lange hat die Strafverfolgung ten Gutschein verfügen muss, um den Auszah- einzelne Trugbilder der Cybercrime betrachtet, lungsbetrag zu erhalten. Dagegen sind E-Gold ohne sich die wirklich wichtige Frage zu stellen: und Webmoney Verrechnungssysteme nach dem Wer steckt dahinter und macht das dunkle Treiben Vorbild von Geschäftskonten (Girokonto). "Echte" erst möglich? Auszahlungen sind möglich, aber schwierig und gelten bei Webmoney als zu teuer. Die professionellen Hinterleute sind es, die nach- haltig und grenzüberschreitend verfolgt werden "PaySafeCard" - PSC - ist keine Karte im her- müssen. Wenn sie nicht mehr frei agieren können, dann bricht auch der Markt für die Crämer weg. 700 Marc-Aurél Ester, Ralf Benzmüller, Whitepaper 04/2010. Underground Economy - Update 04/2010, G Data 22.04.2010, S. 7, Grafik bei G Data. 701 CF, Auslandszahlungen per Bargeldtransfer, 2007 702 Erfolg gegen international organisierte Online- Kriminelle, BKA 13.09.2007; Haftstrafen im Bonner Phishing-Prozess, Heise online 04.09.2008; Großrazzia in USA und Ägypten gegen „Phishing"- Betrüger, Hamburger Abendblatt 08.10.2009 703 CF, grenzüberschreitender Vermögenstransfer, 2007 Dieter Kochheim, Cybercrime - 119 - kömmlichen Sinne, sondern ein Guthabenkonto lich durch die Angriffe begründet war, oder durch aufgrund einer Einmalzahlung 704. Sie wird an einer Wartungsarbeiten, wie offiziell verlautbart. 708. Verkaufsstelle geleistet, an einer Tankstelle, Kiosk, Nur einen Tag nach den DDoS-Aufrufen, am Post, Lotto-Annahmestelle oder Automat. Dafür be- 19.02.2010, revidierte der Bezahldienstleister sei- kommt der Einzahler eine 16-stellige PIN genannt, ne neue Passwortpolitik. Zum 22.2.2010 sollte die meistens auf einem Bon ausgedruckt ist. eine Einrichtung und Änderung eines Passworts Das Guthaben berechtigt zum Einkauf in den Web- auch wieder ohne die Einsendung des Kassen- shops, die sich PSC angeschlossen haben. Dem bons möglich werden 709. Das wurde von der Sze- Kunden entstehen keine zusätzlichen Transakti- ne freudig begrüßt 710. onskosten. Nur dann, wenn er sich das Guthaben Die Fakten sprechen für sich: Ein verteilter Angriff wieder auszahlen lassen will, kostet das eine Bear- gegen PSC scheint wirklich stattgefunden zu ha- beitungsgebühr von 5 €. ben und das Unternehmen ist danach einge- PSC ist aber ein echtes, also anonymes PrePaid- knickt. System, so dass das Guthaben beliebig gehandelt Western Union, PayPal und PaySafeCard sind und übertragen werden kann. Das macht PSC in keine kriminellen Unternehmen, die sich auf Geld- der Schattenwirtschaft so beliebt. Unabhängig von wäsche und die Sicherung krimineller Gewinne Grenzen und Entfernungen kann der Einzahlungs- ausgerichtet haben. In der Rückschau belegen betrag einfach dadurch übertragen werden, dass sie aber, dass ihre Folgenabschätzungen entwe- dem Empfänger die PIN der "Card" mitgeteilt wird. der leichtfertig und unbedarft oder so waren, dass Unterstützt wird das durch ein Sicherheitssystem, sie im Interesse ihres Erfolges Bedenken beiseite das PSC anbietet. Der Erwerber des Guthabens geschoben haben. Ihre Dienste lassen sich zur kann mit der PIN ein Webportal aufrufen und dort Geldwäsche und von der Schattenwirtschaft nut- die PIN mit einem zusätzlichen Kennwort schüt- zen. Dessen ungeachtet haben sie keine oder zen. Bei der Übertragung übermittelt er dann nicht kaum Vorkehrungen getroffen, um dem vorzubeu- nur die PIN, sondern auch das Kennwort. Der neue gen. Western Union hat schon vor einigen Jahren Inhaber kann jetzt das Kennwort ändern und ist da- darauf reagiert und verlangt jedenfalls in Deutsch- durch der exklusive Inhaber des Einzahlungsbetra- land die Identifikation seiner Kunden. PSC hat ges 705. Auch in der Szene gilt: Vertrauen ist gut, jetzt erfahren, wie gefährlich das Umfeld ist, auf Kontrolle ist besser. Erst wenn der neue Inhaber das sich das Unternehmen eingelassen hat. das Kennwort geändert hat, kann er sicher sein, dass der alte Guthabeninhaber nicht doch lecker Die Bezahlsysteme eignen sich gut für das Tages- einkauft und das Guthaben verbrät. geschäft. Große, gleichzeitig anonyme und den- noch öffentliche Geschäfte lassen sich nur in der Dieses Verfahren hat PSC am 18.02.2010 abge- realen Schattenwirtschaft abwickeln. Dazu eignen schlossen. Das Kennwort konnte seither nicht sich am besten Scheinfirmen 711 oder gleich die mehr nachträglich geändert werden, wenn sich der Gründung einer Offshore-Bank, die eigene Zah- Inhaber nicht mit dem ausgedruckten Bon legiti- lungskarten herausgeben kann 712. miert 706. "Sicherer" Zahlungsverkehr durch Über- tragung des Guthabens ist dadurch eingeschränkt. C.3 12. fließende Grenzen Die Hackerszene reagierte empört und rief zum Die Cybercrime-Szene besteht offenbar aus ver- DDoS-Angriff gegen PSC auf 707. Es kam zu länge- 708 Ester/Benzmüller 2010, S. 7. ren Ausfallzeiten (Downtime) der PSC-Homepage, 709 Ester/Benzmüller 2010, S. 7. wobei jedoch nicht bekannt ist, ob es schlussend- 710 Ester/Benzmüller 2010, S. 8. 711 CF, Phishing-Aktion, Vorbereitungen, 2007 704 WP, Paysafecard 712 (keine Satire) Gründung von 705 Grafik bei G Data. Vermögensverwaltungsgesellschaften und Banken 706 Ester/Benzmüller 2010, S. 6 f. (Einlagenkreditinstitute) EWR-Schweiz-USA und 707 Kasten auf der Vorseite; Grafik bei G Data. Offshore, firma-ausland.de Dieter Kochheim, Cybercrime - 120 - schieden organisierten Beteiligten. terscheidet sie sich nicht von der herkömmlichen Kriminalität. Umgekehrt nutzen auch klassische Die Masse besteht aus kaltschnäutzigen, selbstsi- Kriminelle verstärkt das Internet, um sich zu ver- cheren und bedenkenlosen Geschäftemachern ständigen und Kontakte zu knüpfen oder die dort und Trittbrettfahrern, also Einzelpersonen, die kei- gebotenen Möglichkeiten zur Verschleierung von ne Skrupel haben, kriminelle Dienste zu nutzen Zahlungswegen zu nutzen. und im kleinen Stil auch anzubieten. Das geschieht außerhalb der Webshops in den Foren, die den Die Grenzen werden mehr und mehr verschwim- Hauptteil des Basars bilden. men 713. Die Web-Kaufleute verdienen ihren Lebensunter- halt mit illegalen Angeboten - meistens mehr schlecht als recht. Sie sind bereit, in ihre Verkaufs- plattformen zu investieren, und handeln damit auf längere Sicht. In anderen Worten: Gewerbsmäßig. Unter den Web-Kaufleuten scheint es auch richtig erfolgreiche zu geben, quasi Großhändler. Sie be- nötigen nicht nur eine Plattform, sondern auch eine gewerbsmäßige Struktur. Es dürfte sich bei ihnen um Operating Groups handeln, die aus mehreren Personen bestehen, die ihrerseits eine Kleinbande bilden. Diese Gruppen haben einen fließenden Übergang zu den organisierten Internetverbre- chern. Organisierte Internetverbrecher in diesem Sinne sind hingegen die Betreiber der Boards und ihr "Umfeld", worauf Ester und Benzmüller zart hinge- wiesen haben. Sie richten sich im Internet so ein, dass sie selber ungestört kriminelle Geschäfte be- treiben oder aus den Straftaten anderer ihren Ge- winn ziehen können. Der Basar muss nicht zwingend im Internet statt- finden. Er kann auch in intensiven Gesprächskon- takten in geschlossenen Teilnehmergruppen be- stehen, zwischen Personen, die sich kennen, ver- trauen und zu einzelnen - meistens Absatzge- schäften - in immer wieder wechselnden Konstel- lationen zusammen kommen. Auch bei diesen Beteiligten liegt eine grundsätzli- che Bereitschaft zur kriminellen Zusammenarbeit vor. Sie steht unter dem Vorbehalt, nur bei einer besonders günstigen Gelegenheit zusammen zu arbeiten und nicht bei jeder sich bietenden. Ge- winn wollen die Beteiligten aber auch machen. Die Cybercrime, die sich im Wesentlichen in der virtuellen Welt bewegt, braucht spätestens zur Beutesicherung Schnittstellen zur realen. Darin un- 713 Siehe auch: G Data: eCrime-Ausblick 2010. Dieter Kochheim, Cybercrime - 121 -

C.4 Publikationen zur Cybercrime C.4 1. McAfee. Analysen zu globalen Sicherheitsbedrohungen Der Aufsatz über den  Basar für tatgeneigte Täter verweist auf eine Reihe von Veröffentlichungen im Das Sicherheitsunternehmen McAfee veröffent- Internet mit grundlegender Bedeutung. Hier folgt licht seit 2006 seine regelmäßigen Analysen über ein zusammenfassender Überblick globale Sicherheitsbedrohungen, die seit 2008 als Security Journal fortgeführt werden. Die meisten Veröffentlichungen stammen von dem Sicherheitsunternehmen McAfee 714. Es setzt sich Der erste Report erschien im Juli intensiv mit den kriminellen Strukturen im Internet 2006 und nahm sich zum Schwer- auseinander, ohne die Einzelheiten zu vernachläs- punkt die Open Source-Software sigen. und Sicherheitsprobleme, die in ihrem Zusammenhang gesehen Die wichtigsten Veröffentlichungen werden 716: Der Preis für die Vor- von McAfee sind nach meinem Ein- teile von Open Source. Die ableh- druck die Zweite große europäi- nende Haltung dürfte von den tatsächlichen Ent- sche Studie über das Organisierte wicklungen überholt worden sein. Verbrechen und das Internet vom Dezember 2006, die Länderberich- Im April 2007 folgte ein Bericht, te vom Februar 2008 und Studie der sich ausdrücklich der Cyber- über das Social Engineering vom Kriminalität widmete 717: Die Zu- Oktober 2008. kunft der Cyber-Kriminalität. Er greift die Themen aus dem ersten Das Sicherheitsunternehmen G Data tritt erheblich Report wieder auf und aktualisiert weniger in Erscheinung. Für den Bericht über die sie im Hinblick auf Handyviren, Underground Economy vom August 2009 gibt es Voice over IP, das Vordringen von Spyware, das nichts vergleichbares. unbedarfte Umgehen mit sozialen Plattformen im In Bezug auf die Schurkenprovider und das RBN Internet, das seinerzeit neue Vista von Microsoft ist der Artikel von Gordon Bolduan 715 von und weiteren Themen. höchstem Erkenntniswert. Mich am meisten beeindruckt hat die dritte Analyse zu den globalen Sicherheitsbedrohungen 718: Ein McAfee, Sicherheitsbedrohungen Internet, viele Welten. 1, Open Source, Juli 2006 2, Cyber-Kriminalität, April 2007 Einzigartig an ihr ist, dass sie in verschiedenen Länderberichten 3, Ein Internet, viele Welten, Februar 2008 die regionalen Besonderheiten der Cybercrime 4, Social Engineering, Oktober 2008 herausarbeitet und in einen globalen Zusammen- 5, Risiko-Management und Compliance, Juli 2009 hang stellt. Davon hätte ich mir Fortsetzungen ge- wünscht. Im Oktober 2008 erschien das Security Journal,

716 CF, globale Sicherheitsbedrohungen, 27.07.2008; Der Preis für die Vorteile von Open Source, McAfee Juli 2006 717 CF, Cybercrime, 27.07.2008; 714 Wegen der Nachweise siehe unten. Die Zukunft der Cyber-Kriminalität, McAfee April 715 Gordon Bolduan, Digitaler Untergrund, Technology 2007 Review 4/2008; 718 CF, Länderberichte, 27.07.2007; kostenpflichtiger Download. Ein Internet, viele Welten, McAfee Februar 2008 Dieter Kochheim, Cybercrime - 122 -

Social Engineering in englischer McAfee, virtuelle Kriminalität Fassung 719. Es bildet eine der we- 1, Organisierte Verbrechen und das Internet, sentlichen Grundlagen für meinen Dezember 2006 Aufsatz über das  Social 2, Virtuelle Kriminalität, Dezember 2008 Engineering. 3, Cybercrime and Hacktivism, März 2010 Dabei handelt es sich um Metho- den der Kommunikation, Manipula- C.4 2. virtuelle Kriminalität und Cyberwar tion und Suggestion - im Bedarfsfall angereichert um Ausspähtechnik, die andere Menschen zu un- Außer der Reihe erschien bedachten Äußerungen oder Handlungen bringen McAfee's Zweite große euro- sollen. päische Studie über das Orga- nisierte Verbrechen und das In- Die wichtigsten Ergänzungen zu dem Thema lie- ternet 722. Sie lieferte die erste fern die beiden Bücher von Kevin Mitnick 720. Typenbeschreibung für die Internetkriminalität, die auch im Basar angesprochen wird 723. Sie stellt nach meinem Eindruck den ersten ermsthaften Versuch dar, die Cybercrime im Zusammenhang mit den handelnden Personen zu bewerten. Im Dezember 2008 folgte der Be- richt von McAfee zum Thema Vir- tuelle Kriminalität 724. Er verweist auf die Zunahme staatlicher Aus- Das zunächst letzte Security Jour- einandersetzungen im Internet nal erschien im Juli 2009 721: Risi- (Cyberwar) und fordert eine koor- ko-Management und Compliance. dinierte, grenzüberschreitende Strafverfolgung. Die beiden Berichte werden ergänzt von der de- taillierten Studie vom März 2010, die bislang nur in englischer Sprache vorliegt: François Paget, Cybercrime and Hacktivism 725. Paget liefert viele Beispiele für mafiöse Strukturen in der Internetkri- minalität und für die Verschmelzung von Krimina-

722 Zweite große europäische Studie von McAfee über das Organisierte Verbrechen und das Internet, McAfee Dezember 2006 (ZIP) 723 Die Grafik zeigt das Titelblatt der von McAfee 719 Siehe: CF, Überredungstechniken, 23.11.2008; veröffentlichten Studie. Es handelt sich auch an CF, Security Journal. Social Engineering. dieser Stelle um ein Zitat (§ 51 UrhG), das McAfee 01.03.2009; würdigt und der Berichterstattung dient (§ 50 Security Journal. Social Engineering, McAfee UrhG). Nutzungsbeschränkungen werden in dem Oktober 2008 PDF-Dokument von McAfee nicht angegeben. 720 Kevin Mitnick, Die Kunst der Täuschung. Risikofaktor Wegen der Veröffentlichung der Grafik wurde im Mensch, Heidelberg 2003; Sommer 2009 versucht, den Cyberfahnder ders., Die Kunst des Einbruchs. Risikofaktor IT, abzumahnen und eine exorbitante Geldforderung Heidelberg 2006 durchzusetzen. 724 721 Risiko-Management und Compliance, McAfee Bericht von McAfee zum Thema Virtuelle 10.07.2009; Kriminalität, McAfee 08.12.2008 CF, Berichte und Studien zur IT-Sicherheit, 725 François Paget, Cybercrime and Hacktivism, 26.08.2009 McAfee 15.03.2010. Dieter Kochheim, Cybercrime - 123 - lität und staatlich unterstützten Angriffen im Inter- Spurlock, Rafal Wojtczuk, Virtualisierung und Si- net. cherheit, McAfee 31.10.2008 730 Shane Keats, Dan Nunes, Paula Greve, Map- ping the Mal Web, McAfee 03.11.2009 731 McAfee, einzelne Studien Identitätsdiebstahl, Januar 2007 Virtualisierung und Sicherheit, Oktober 2008 Passend zum Thema sind drei Artikel aus der Web-Browser, Juni 2009 Zeitschrift c't hervorzuheben: AutoRun-basierte Malware, Juni 2009 Jürgen Schmidt, Hydra der Moderne. Die neuen Finanzbetrug und Internet-Banking, Juli 2009 Tricks der Spammer und Phisher, c't 18/2007, S. Kennwortdiebe, August 2009 76 Mapping the Mal Web, November 2009 gefälschte Sicherheitsprodukte, Januar 2010 Daniel Bachfeld, Dunkle Flecken. Neuartige An- griffe überrumpeln Webanwender, c't 11/2008, S. 83 Neben den umfassenden Studien werden von Daniel Bachfeld, Zahl oder Karte. Sicherer Zugriff McAfee auch einzelne Themen aufgegriffen, die aufs Online-Konto, c't 17/2008, S. 94 die Organisations- und die technische Sicherheit betreffen. Ohne Anspruch auf Vollständigkeit wer- den hier die Beiträge genannt, die den stärksten Das Netz der Phisher, September 2006 Bezug zur Cybercrime haben. Underground Economy, August 2009 François Paget, Identitätsdiebstahl, McAfee Update: Underground Economy, April 2010 04.01.2007 (ZIP) Dennis Elser, Micha Pekrul, Das Geschäft der Die umfassendste und informati- Kennwortdiebe: Wer ist an Identitätsdiebstahl be- onsreichste Studie zur Under- teiligt, und wie funktioniert er? McAfee 05.08.2009 726 ground Economy im Internet stammt von G Data 732: François Paget, Finanzbetrug und Internet- Marc-Aurél Ester, Ralf Banking: Bedrohungen und Gegenmaßnahmen, Benzmüller, G Data Whitepaper McAfee 10.07.2009 727 2009. Underground Economy, Christoph Alme, Web-Browser: Eine neue 19.08.2009 Plattform wird angegriffen, McAfee Juni 2009 Das jüngst erschienene „Update“ hat die Struktu- Vinoo Thomas, Prashanth Ramagopal, Rahul Mo- ren der Schattenwirtschaft noch weiter durchdrun- handas, Die Zunahme der AutoRun-basierten Mal- gen 733: ware, McAfee Juni 2009 728 Marc-Aurél Ester, Ralf Benzmüller, Whitepaper Abhishek Karnik, Avelino C. Rico, Jr., Amith Pra- 04/2010. Underground Economy - Update kash, Shinsuke Honjo, Erkennung gefälschter Si- 04/2010, G Data 22.04.2010 cherheitsprodukte, McAfee 04.01.2010 729 Zheng Bu, Rahul Kashyap, Ahmed Sallam, Joel 730 CF, Abwehr und Angriff mit virtuellen Maschinen, 726 CF, Sicherheitsstudien von G Data und McAfee, 08.03.2009 03.10.2009 731 CF, Gefahrenzonen, 04.12.2009 727 CF, Berichte und Studien zur IT-Sicherheit, 732 CF, Sicherheitsstudien von G Data und McAfee, 26.08.2009 03.10.2009 728 CF, Angriffstechniken, 03.07.2009 733 CF, neue Hacker-Boards schotten sich ab, 729 CF, gefälschte Sicherheitsprodukte, 07.02.2010 23.05.2010 Dieter Kochheim, Cybercrime - 124 -

Lobend muss insoweit auf Jäger hingewiesen wer- den, der die Grundzüge der Schattenwirtschaft im Internet bereits 2006 beschrieben hat: Moritz Jäger, Das Netz der Phisher: Wie Online- Betrüger arbeiten, tecchannel 20.09.2006

Mit dem bekanntesten  Schurkenprovider, dem  Russian Business Network – RBN, setzen sich auseinander: David Bizeul, Russian Business Network study, bizeul.org 19.01.2008 Gordon Bolduan, Digitaler Untergrund, Technology Review 4/2008, S. 26 ff.; Frank Faber, Unter Verdacht. Eine russische Bande professionalisiert das Cybercrime-Business, c't 11/2008

IT-Sicherheit in Deutschland 2009, März 2009 Verfassungsschutzbericht 2008, Mai 2009

Mit der Sicherheitslage im Allge- meinen setzen sich auseinander: BSI, Die Lage der IT-Sicherheit in Deutschland 2009, BSI 03.03.2009 BMI, Verfassungsschutzbericht 2008, Vorabfassung 19.05.2009 Dieter Kochheim, Cybercrime - 125 -

D. Schluss Trittbrettfahrer tätig sind, haben sich Spezialisten herausgebildet, die auch eigene Strukturen der ständigen Zusammenarbeit entwickelt haben D.1 Lehren (Operation Groups). Dazu gehört vor Allem die Entwicklung von Malware, bei der Exploit-Händ-  Grundsätzlich ist jede Schnittstelle zu einem ler, Toolkit-Entwickler und die Programmierer der Netz oder zum Anschluss von Peripheriegeräten Malware zusammenarbeiten, und von Bot- für physikalische oder netzbezogene Angriffe ge- Software. eignet. Das gilt besonders dann, wenn die Schnitt- stelle über eigene Verarbeitungskomponenten (Be-  Botnetze sind das mächtigste Werkeug, das triebssystem, Prozessor) und Massenspeicher ver- den Cyber-Tätern zur Verfügung steht. Sie verlan- fügt. gen nach einer ständigen Aktualisierung nicht nur im Hinblick auf ihre Funktionalität, sondern auch  Netzbezogene Angriffe erfolgen in aller Regel zur Tarnung. Außerdem bedürfen Botnetze der unter Ausnutzung von Schwachstellen (Exploits) Administration, Wartung und der Einrichtung für oder mit Dateien, die über das Netz oder externe kriminelle Einzelaktionen. Das macht eine ständi- Datenträger zugeliefert werden. ge und arbeitsteilige Zusammenarbeit mehrerer  Injektion (Zulieferung), Infektion (Grundinstallati- Personen nötig, wobei sich weitere Spezialisten on) und Installation (Einbindung, Tarnung, Update) um die Vermarktung und Beutesicherung küm- von Malware nutzen neben technischen Schwach- mern dürften. stellen auch menschliche Schwächen aus, um  Auch wenn sich die Underground Economy technische Sicherungsmaßnahmen (Rechtesteue- von der Öffentlichkeit abschottet (Boards), muss rung, Firewall, Virenscanner) zu überwinden und die Infrastruktur für Kommunikationsplattformen, Umzurüsten (Deaktivierung von Virenscannern, Webshops, Drob Zones und Datenspeicher von Reservierung von Ports, Veränderung der internen spezialisierten Schurkenprovidern zur Verfügung Host-Tabelle). gestellt werden. Sie tarnen sich und ihre Kunden,  Der persönliche Zugang zu Mitarbeitern dient sind aber zwangsläufig an das Internet und in auch dazu, Interna zu erkunden, die entweder für wirtschaftliche Beziehungen eingebunden, so sich von Wert sind (Geschäfts- und sonstige Ge- dass sie darüber identifiziert werden können. heimnisse) oder dazu genutzt werden können, Zu-  Ebenso wie die Täter im Bereich der Cybercri- gang zu geschützten Bereichen zu erlangen (Pass- me muss auch die Strafverfolgung grenzüber- wörter, Peripheriegeräte, Hintertüren, Zugangs- schreitend sein. Die bereits gemachten Erfahrun- rechte). gen lehren, dass das möglich, aber aufwändig ist.  Malware dient fast immer auch dazu, persönli- che Geheimnisse zu erforschen (Botsoftware) oder unmittelbar zu missbrauchen (Phishing). Die häu- figsten Erscheinungsformen dienen dem Auskund- schaften – vor Allem im Zusammenhang mit dem Online-Banking – und zur Übernahme in ein Bot- netz.  Handelswert haben alle persönlichen Daten und vor Allem Zugangsdaten zu persönlichen Konten, mit denen Geschäfte oder die Kommunikation ab- gewickelt werden (geschlossene Nutzerkreise, Handelsplattformen, Warenverkehr).  Die Cybercrime-Szene scheint stark differenziert zu sein. Neben vielen Einzelpersonen, die eher als Dieter Kochheim, Cybercrime - 126 -

D.2 Cyberfahnder Seit 2007 berichtet der  Cyberfahnder über die In- formations- und Kommunikationstechnik, die Cy- bercrime und die Ermittlungen gegen sie. Dieses Arbeitspapier stellt die wichtigsten Beiträge aus der Webseite vor, die sich mit der Technik, den Er- scheinungsformen und den Strukturen der Cyber- crime befassen. Eine Reihe von Aussagen sind spekulativ und wer- den aus nur wenigen Fakten, ihrem Zusammen- spiel und Erfahrungswerten abgeleitet. Die schnell- lebige Entwicklung der IKT und der Cybercrime er- fordern ein solches Vorgehen, um Abwehrstrategi- en und Vorsichtsmaßnahmen zu entwickeln. Be- reits die dreijährige Erfahrung zeigt, dass viele Pro- gnosen, die sich besonders auf die für Angriffe ge- eigneten Schnittstellen bezogen haben, bewahr- heitet haben. Ein weiterer Schwerpunkt des Cyberfahnders ist das Skimming 734, dem ein eigenes Arbeitspapier gewidmet ist: Dieter Kochheim, Arbeitspapier Skimming #2, März 2010 735 Ältere Arbeitspapiere beschäftigen sich ebenfalls mit besonderen Aspekten der Cybercrime 736: Dieter Kochheim, Phishing, 22.01.2007 737 Dieter Kochheim, Grenzüberschreitender Transfer von Vermögenswerten, 15.05.2007 738 Dieter Kochheim, IT-Strafrecht. Zusammenfassung, 02.11.2007 739 Dieter Kochheim, Onlinedurchsuchung, 11.03.2007 740

734 CF, arbeitsteiliges Skimming, 08.05.2008 735 CF, Zwischenbilanz: Skimming, 14.11.2009 736 CF, Cybercrime und IT-Strafrecht, 08.08.2008 737 CF, Phishing, 2007 738 CF, grenzüberschreitender Vermögenstransfer, 2007 739 CF, IT-Straftaten, 2007; CF, IT-Strafrecht, 2007 740 CF, Onlinedurchsuchung, 2007; CF, Bundesverfassungsgericht: Onlinedurchsuchung, 05.04.2008