DIVSI wurde am 31.12.2018 aufgelöst. Diese Website dient ausschließlich als Archiv und wird nicht mehr aktualisiert.
DIVSI wurde am 31.12.2018 aufgelöst
und wird nicht mehr aktualisiert.

zurück zur Übersicht

Tatort Internet

30. November 2011

Bild: Benoit Daoust – Shutterstock

Die Enquete-Kommission Internet und digitale Gesellschaft des Bundes hatte in Berlin zu einer Expertenrunde „Sicherheit im Netz“ eingeladen. Sowohl vom Bundeskriminalamt als auch aus Kreisen der Wissenschaft wurden dabei Fakten umrissen, die bei allen Beteiligten in Sachen Internet und Sicherheit sämtliche Alarmglocken schrillen lassen müssten. DIVSI informiert über wesentliche Aussagen des Treffens.

Ansichten und Einschätzungen des Bundeskriminalamts

Der Trend

Das BKA stellt fest, dass der stetige Aufwärtstrend von zuletzt etwa 20% jährlicher Steigerung im Bereich der Cybercrime bestätigt werden kann. Die Anzahl der durch die Bundesländer im Rahmen des polizeilichen Informationsaustauschs an das BKA in 2011 gemeldeten Vorgänge wird nach momentanem Trend mehr als verdoppelt gegenüber den Eingängen des Jahres 2010.

Hier unterscheiden die Ermittlungsbehörden grundsätzlich zwischen zwei Arten der Internet-Kriminalität. Zum einen sind das die „konventionellen“ Modi Operandi, vornehmlich aus dem Betrugsbereich. Dabei werden die potentiellen Opfer via E-Mail aufgefordert, Vorauszahlungen für in Aussicht gestellte Erbschafts- oder Lotteriegewinnzahlungen zu leisten. Hier nutzen die Täter die heute vorhandene technische Infrastruktur für ihre Zwecke – die Straftaten dahinter haben sich nicht wesentlich geändert. Derartige Straftaten, und dazu gehören auch die „normalen“ Betrugsstraftaten im Online- oder Auktionshaushandel, bei denen nach Vorauskasse keine, minderwertige oder gefälschte Ware versandt wird, werden aus Sicht der Strafverfolgungsbehörden als „Cybercrime im weiteren Sinne“ verstanden.

In Abgrenzung dazu gibt es die „qualifizierte Cybercrime“. Darunter fallen Straftaten, die erst durch das Internet selbst ermöglicht wurden oder sich gegen das Internet selbst richten. Sie taucht in den unterschiedlichsten Erscheinungsformen auf – vom meist trojanerbasiertem digitalen Identitätsdiebstahl in jedweder Ausprägung, über das Einbrechen und den unberechtigten Zugriff auf gesicherte Systeme mit nachgelagertem Diebstahl dort vorhandener Daten bis hin zu digitaler Schutzgelderpressung.

Es ist schwer, die Verbrechen korrekt in absoluten Zahlen zu umreißen. Nach Einschätzung des BKA ist dies auf ein sehr großes Dunkelfeld zurückzuführen, da die überwiegende Anzahl der Straftaten durch das Opfer gar nicht bemerkt bzw. nicht bei den Strafverfolgungsbehörden angezeigt wird. Die offizielle Statistik weist für 2010 insgesamt 246.607 erfasste Straftaten mit dem Merker „Tatmittel Internet“ aus. Qualifizierte Cybercrime wurde in 2010 mit 59.839 Straftaten (gegenüber 50.254 in 2009) erfasst.

Nach BKA-Einschätzung werden sich mit der weiter fortschreitenden Technisierung der Gesellschaft auch in den kommenden Jahren immer mehr Erscheinungsformen von Kriminalität ins Internet verlagern oder dort entstehen. Das hat vor allem auch mit dem für die Täter deutlich geringeren Entdeckungsrisiko im Internet zu tun.

Die Täter

Das BKA hat festgestellt, dass die Täter einen weiten Bogen spannen. Bekannt sind Jugendliche, teilweise sogar noch Kinder, die mit erheblichem technischen Verstand und beeindruckender Begabung gepaart mit einer großen Portion Neugier und teilweise auch krimineller Energie Trojaner und andere Schadsoftware konzipieren, entwickeln und einsetzen. Häufig passiert dies zunächst nur, um innerhalb der Szene an Ansehen, an „Standing“, zu gewinnen.

Das entgegen gesetzte Ende dieser Skala wird durch den hochkriminellen Intensivtäter beschrieben, der das Internet als allumfassenden Aktionsraum jedweder (meist mit unmittelbarer Vermögensrelevanz) strafrechtlich relevanter Aktivitäten begreift. Hier stellen die Behörden eine weiter zunehmende Professionalisierung und ein stetig ausgebautes arbeitsteiliges Vorgehen fest.

Es gibt von einander losgelöste Tätergruppierungen, die einzelne Bausteine für mehrere, unterschiedliche Täter als buchbare Dienstleistung anbieten. Dabei ist es dem kriminellen Dienstleister, der z.B. Finanz- und Warenagenten bereitstellt, egal, für welche Phishing- oder Cardinggruppierung er seine Dienstleistung erbringt. Die verschiedenen Täter kennen sich nicht persönlich und kommunizieren in aller Regel über anonymisierte Kommunikationswege (ICQ, Skype, Jabber), die retrograd so gut wie keine und im Zuge von Echtzeitmaßnahmen auch nur sehr eingeschränkt erfolgsträchtige Ermittlungen ermöglichen. Die Cyberkriminellen von heute sind auf einem globalen Markt angekommen, auf dem Daten, Tatmittel und Infrastruktur weltumspannend gehandelt werden.

Die Opfer

Nach BKA-Erkenntnissen sind die Opferstrukturen von großer Diversität geprägt. Die Bandbreite reicht vom unbedarften Internetnutzer, der seinen Rechner aus dem Karton des Discounters nimmt und direkt an das Internet anschließt bis zu aufwändig gesicherten Industrie- und Sicherheitseinrichtungen.

Mit Blick in die Zukunft wird auch die Tatsache bedeutsam, dass insbesondere die Internetnutzung durch ältere Menschen stark zunimmt. Im Jahr 2010 nutzten 65% der 55-64-jährigen und 41% der 65-74-jährigen das Internet.

Gerade mit diesen lebensälteren Usern drängen eine Vielzahl von so genannten „Newbies“, von unerfahrenen aber mit viel Neugier, Zeit und vor allem in aller Regel nicht unerheblichem finanziellen Potenzial ausgestatteten Usern in das Internet. Dabei sind sie jedoch nicht ausreichend über die Risiken des Webs und der modernen Technologie informiert und aufgeklärt.

Kernproblem

Nach Ansicht des BKA ist die Internationalität des Internets, sein in ihm selbst liegender grundsätzlich globaler und netzwerkartiger Ansatz vermutlich der größte Schutzfaktor, den die heute im Phänomenbereich der Cybercrime aktiven Täter gezielt ausnutzen. Im Bereich der Cybercrime gibt es heute kaum noch Ermittlungsverfahren, die nur mittels nationaler Aktivitäten und Informationsquellen erfolgreich geführt werden können. Auslandsermittlungen – und sei es nur die Anfrage bei einem ausländischen Internetserviceprovider oder Zahlungsdienstleister zu IP-Logs und Verbindungsdaten – sind an der Tagesordnung. Sie bedingen in aller Regel justizielle Rechtshilfeersuchen, die (wenn sie denn gestellt werden) den Ermittlern benötigte Informationen nur mit erheblichen Zeitverzögerungen zur Verfügung stellen.

Die durch das BKA sowie Dienststellen der Bundesländer gestellten außereuropäischen Rechtshilfeersuchen, insbesondere in die USA, wohin aufgrund der technischen Gegebenheiten des Internets ein besonders starker Bezug gegeben ist, aber auch in die Ukraine und die Russische Föderation, wo häufig Täterspuren zu finden sind, haben im günstigsten Falle eine Laufzeit von wenigstens drei Monaten gezeigt.

Die so erlangten Daten sind dann, wenn sie schließlich bei der ermittlungsführenden Dienststelle in Deutschland angekommen sind, in aller Regel bereits inaktuell und „kalt“.

Ausblick

Als Vorteil der schon fast zwingenden internationalen Ermittlungen im Phänomenbereich Cybercrime führt das Bundeskriminalamt an, dass immer mehr in der Verfolgung der Cybercrime involvierte und aktive Staaten erkennen, dass neue Arten der Zusammenarbeit gefunden werden müssen. Diese Wege müssen effektiver und vor allem schneller als der klassische Weg über die Interpol-Zentralstellen sein.

Diese Erkenntnis hat über die vergangenen fünf Jahre beim BKA zum Aufbau eines mittlerweile weltweiten Netzwerkes von im Phänomenbereich der Cybercrime eingesetzten Spezialisten geführt. Kollegen in Washington, Pittsburgh, Seoul, Bangkok, Kiew, Moskau oder Riga, zu denen persönliche Kontakte bestehen, sind nur noch einen Telefonanruf oder Jabber-Chat entfernt. Diese Kontakte tragen und ermöglichen es immer wieder, die Widrigkeiten der verschiedenen Rechtssysteme und der zwingenden Rechtshilfemaßnahmen im Rahmen des rechtlich Möglichen zu minimieren.

Ansichten und Einschätzungen aus dem Blickwinkel des Wissenschaftlers

Im Rahmen der Enquete-Expertenrunde skizzierte Sicherheitsforscher Dr. Sandro Gaycken vom Institut für Informatik der FU Berlin, mit welchen Akteursgruppen künftig bei der Internet-Kriminalität zu rechnen sei. Demnach gibt es sechs mögliche Akteure, die sich auf unterschiedlichen Gefährdungsstufen abbilden lassen.

  1. Cyber-Kleinkriminelle
    Nach Überzeugung von Dr. Gaycken wird diese Gruppe weiter anwachsen, denn es fehlen effiziente technische und juristische Werkzeuge der Strafverfolgung. Cyber-Kleinkriminalität ist meist global verteilter, internetbasierter Betrug. Als beheimatende Länder seien solche besonders prädestiniert, bei denen eine hohe Quote arbeitsloser Informatiker mit hoher Grundarmut korrespondiert (wie Russland und China).
  2. Aktivisten
    Auch diese Gruppe werde weiter anwachsen. Plakative Aktionen im Netz sind immer und außerdem global möglich, generieren oft zusätzliche Aufmerksamkeit oder können per se als politische Partizipation verstanden werden. Ausschlaggebend für anhaltende Aktivitäten werden aber (1) mögliche Reichweiten und (2) anhaltende mediale Aufmerksamkeiten sein. Die Reichweiten könnten sich beschränken, da ein Grundschutz in der Regel zur Abwehr ausreichend. Zudem könnten die Medien künftig weniger über diesen Vektor berichten, wenn er zu gängig und alltäglich wird.
  3. Cyberterroristen
    Dr. Gaycken schätzt Cyberterror als niedriges Risiko ein, da die Wahrscheinlichkeit hoher Schäden außerordentlich gering sei. Zwar wäre es technisch möglich, Schäden mit Terrorwirkung zu verursachen. Doch zur Vorbereitung und Durchführung schlagkräftiger Attacken auf kritische Strukturen sind hohe und unterschiedliche Fachexpertisen, Testlaboratorien und Zugriff auf nachrichtendienstliche Fähigkeiten notwendige Bedingungen. Bei Terroristen ist es aufgrund der taktisch bedingten Zellenstruktur höchst unwahrscheinlich, dass sie diese Bedingungen erfüllen können. Für diesen Akteurstypen gilt, dass er zwar oft deutlich sichtbar, entgegen landläufiger Meinungen aber kaum gefährlich sei. Diese aktuelle Einstufung könne in Zukunft jedoch variieren, wenn Cybermilitärs aus dem Dienst entlassen werden oder wenn Cybersöldner halbkriminelle Geschäftsmodelle verfolgen sollten.
  4. Organisierte Kriminalität
    Dr. Gaycken: „Dieser Angreifertyp ist aktuell noch in der Entstehung.“ Die OK hat erst seit Kurzem umfänglich gemerkt, dass Fähigkeiten in diesem Bereich hochgradig profitabel sind. Die OK wird sich im Gegensatz zu den Cyber-Kleinkriminellen hocheffiziente, professionelle Angreiferteams zusammenstellen. Mit diesen Teams wird sie prinzipiell Zugriff auf alle IT-Strukturen weltweit haben, da für dieses Angreifermodell keine hinreichenden Sicherungen existieren. Statt klassische Betrugsmodelle an Einzelnutzern aufzuziehen, wird die OK stärker profitable Aktivitäten wie Industriespionage, Industriesabotage, Finanzmarktspionage und Finanzmarktmanipulation verfolgen. Finanzmärkte sind ein besonders brisantes Ziel, da sie aufgrund ihrer hohen Anforderungen an IT und Daten prinzipiell nicht gegen hocheffiziente Angreifer zu sichern sind.
  5. Militärisch-nachrichtendienstliche (staatliche) Angreifer
    Mit Ausnahme bereits etablierter Akteure wie Russland und China sei auch dieses Angreifersegment gegenwärtig noch im Entstehen und erst in drei bis sieben Jahren vollständig operationsbereit. Dann allerdings werden weltweit offensive Cybertruppen existieren. Ein Cyberwarfare eröffne einige neuartige strategische Optionen, die bereits in Friedenszeiten zu großen Problemen fuhren können. Besorgniserregend sind hier etwa präventive Installationen oder Feldtests von Cyberwaffen an Kritischen Infrastrukturen, propagandistisch- manipulative Information Operations im Web 2.0 oder das bislang wenig beachtete Feld der Economic Operations. Ein fremdes Land könne mit einiger Geduld für geringe Kosten und Risiken über Wirtschaftsspionage und Wirtschaftsmanipulation in den Ruin geführt werden. Diese Einsicht setzt sich aktuell weltweit durch.
  6. Cybersöldner
    Söldnerfirmen avisieren allem Anschein nach den taktischen Feldhacker als Geschäftsmodell. Dieser Hacker wäre spezifisch auf Cyberangriffe auf militärisches Gerät im Feld spezialisiert und könnte bei High-Tech-Armeen im entscheidenden Moment technische Vorteile abschalten oder manipulieren. Für die Taliban etwa wäre eine gute Truppe von Cybersöldnern von unschätzbarem Wert. Diese Akteure sind erkennbar gefährlicher, da sie wesentlich bessere Fähigkeiten ausbilden können. Gegen diesen Akteur helfen keine der aktuell debattierten Maßnahmen zu Abwehr, Aufklärung, Identifizierung, Beherrschung, Regulierung, Verrechtlichung.

Dr. Gaycken wertet das Internet nicht als das Kernproblem der IT-Sicherheit. Das seien vielmehr die Hosts, die IT-Systeme selbst. Dies gelte vor allem aufgrund des Aufkommens der starken Angreifer. Die sind seiner Ansicht nach nicht auf das Internet angewiesen, um IT-basierte Angriffe vorzubereiten oder durchzuführen. Eine Verfügbarkeit ihrer Ziele im Internet kann aber in höherem Maße zu entsprechenden Angriffen verleiten, da die Kosten und Risiken solcher Angriffe weit niedriger und nahezu immer lohnend sind.

Kritik übte der Sicherheitsforscher an den derzeit existierenden Schutzmechanismen, besonders im Hochsicherheitsbereich. Hier müsse mit starken Cyberangreifern gerechnet und ein proportionaler Schutz implementiert werden. Dr. Gaycken: „Davon sind wir allerdings weit entfernt. Gegenwärtig existieren nur theoretische Konzepte zu proportionalem Schutz gegen starke Angreifer. Es muss ein Schutz der potentiellen Zielsysteme sein, und er muss grundlegend architekturell gedacht werden. Es müssen vollständig neue Modelle von Hardware und Software konzipiert und gebaut werden, während die alten Technologien nicht länger verwendet werden sollten.“

Der Vorwurf des Wissenschaftlers: „Im Hochsicherheitsbereich beherrschen aktuell ‚Schlangenölverkäufer’ aus Wirtschaft und Wissenschaft einige Debatten und Entscheidungsgremien, die entsprechenden Schutz versprechen, allerdings nur konventionelle und inhärent ineffiziente Sicherheit haben können.“

Bei Angriffen auf private Anwender wird nach Einschätzung von Dr. Gaycken als Gegenmaßnahme vorrangig die Sensibilisierung eine wichtige Rolle spielen. Einen Ausbau der Möglichkeiten der Strafverfolgung sollte man ebenfalls avisieren. Allerdings dürften diese angesichts der doch eher geringen Bedrohungslage keine zu voluminösen Trade-Offs mit Freiheitsrechten und Datenschutzbefindlichkeiten beinhalten. Ob es effiziente und verträgliche Strafverfolgung in diesem Bereich je geben kann, kann bezweifelt werden. Konventionelle Forensik mit Ermittlern scheint den technischen Mitteln vorzuziehen zu sein. Allerdings müssten deutlich mehr Stellen in den Kriminalämtern geschaffen werden, die sich mit Cyberkriminalität befassen können.

vorheriger Beitrag

nach Oben