Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
Cybercrime
07.08.2008 Standort: Cybercrime
zurück zum Verweis zur nächsten Überschrift arbeitsteilige und organisierte Cybercrime
 

 
Einführung

der IT-typische Blick auf die Erscheinungsformen
  viele Namen
  Skimming, Phishing, Grabbing
  Malware, Crimeware

was ist Cybercrime?
  Polizeiliche Kriminalstatistik
   IT-Strafrecht im engeren und weiteren Sinne
  informationstechnische Systeme
  Zwischenergebnis

Hacker: Moral und Unmoral
    Hacker, Cracker, Exploit-Händler

Einzeltäter
  Malware-Schreiber, Zulieferer und Auftraggeber

spezialisierte Zwischenhändler

kriminelle Unternehmer
   Botnetzbetreiber, Rogue-Provider

 Koordinatoren

 Organigramm der Cybercrime
   andere Erscheinungsformen

 neue Definition der Cybercrime
   arbeitsteilige Cybercrime
   organisierte Cybercrime

 modulare Cybercrime

 Fazit

 Anmerkungen

 
Der klassische Blick auf die Kriminalität in der Informationstechnik und dem Internet ist der von Technikern und Informatikern geprägte auf die Erscheinungsformen, Sicherheitslücken, Infiltrationswege und Funktionen. Das ist der Security-Blick, dessen Ziele die Sicherung informationstechnischer Systeme, die Datensicherheit und die Abwehr von Angriffen sind.

Diesen Blick haben auch Sicherheitsunternehmen, die ihre Firewall-, Antiviren- und sonstige Sicherheitsprogramme verkaufen wollen. Daran ist nichts Falsches, wenn es um die technische IT-Sicherheit, um betriebliche Abläufe und ihre Gefahrenquellen geht.

Die Grundlage für eine rechtliche und strategische Befassung mit der Cybercrime ist die, dass man zunächst die Grundzüge verstehen muss, wie sie und ihr technisches Umfeld funktionieren. Diesem Blick auf die Erscheinungsformen widmet sich auch der Cyberfahnder, wenn er sich mit den Angriffspunkten und -methoden, mit der Netztechnik und den kriminellen Erscheinungsformen auseinander setzt.

Die strategische und kriminalpolitische Auseinandersetzung mit der Cybercrime muss jedoch die handelnden Personen, ihre Motive und ihre Ziele betrachten.
   

 
Dabei hilft auch der Blick auf die Details, wenn es um handwerkliches Können und die Vorschusskosten geht, die aufgebracht werden müssen, um kriminelle Gewinne zu erzielen. Ganz wesentlich ist jedoch die Frage danach, wie die Steuerung arbeitsteiliger Prozesse, die Bezahlung und die Sicherung der Beute funktionieren. Nur so lassen sich Strukturen erkennen und zerschlagen.

Solche Fragen hat der Cyberfahnder immer wieder angesprochen, meistens aber ohne das Gesamtbild zu betrachten (1).

Dieser Aufsatz führt die (journalistischen) Quellen und Überlegungen zusammen, um die Cybercrime wegen der handelnden Personen und ihre Motive zu betrachten.

Die grundlegende These lautet:

Je aufwändiger und arbeitsteiliger die Cyber-Kriminellen vorgehen, desto mehr sind sie davon motiviert, eine lohnende und dauerhafte Einnahmequelle für kriminelle Gewinne zu schaffen und zu nutzen.
 

zurück zum Verweis der IT-typische Blick auf die Erscheinungsformen
 

  
Findet ein IT-ler eine neue Lösung, ein neues Design, eine isolierte Aufgabe, die er er aus einem Paket gelöst hat, oder eine neue Erscheinungsform einer Malware, so bekommt sie - nicht zuletzt aus Gründen des Marketings - einen eigenen Namen. So entsteht ein Zoo vielfältiger Namen, die vieles trennen, aber nichts verbinden.

Wenn es um die Kriminalität im Internet geht, ist das nicht anders. Wir haben mindestens zwei "Skimmings", das alte und das POS-Skimming. Aber auch das "alte" hat so viele Erscheinungsformen, dass ich zwischen dem Proll-Skimming und dem arbeitsteiligen Skimming unterschieden habe.

Das klassische Phishing versuchte, mit nachgemachten Nachrichten bekannter Geschäftsbanken - also direkt über E-Mails - die Kunden zur Preisgabe ihrer Zugangsdaten zu bewegen. Dazu boten sich Eingabefelder in der E-Mail oder ein Link an, mit dem auf ein nachgemachtes Bankportal geführt wurde. Weil die Täter gleich mehrere Portale fälschten und auf einem gekaperten Server bereitstellten, wurde das in Anlehnung an eine "Farm" als Pharming bezeichnet.

Auch die Methoden zur Tatausführung haben sich dahin gehend gewandelt, dass beim alten Phishing eine zeitliche Trennung zwischen dem Einsammeln der Daten und ihrem Missbrauch bestand. Das "moderne" Phishing führt beide Arbeitsschritte zusammen, indem ein Mensch nach der Art des Man-in-the-Middle in den Überweisungsvorgang direkt eingreift oder eine Malware mit vordefinierten Daten diesen Vorgang manipuliert. Das heißt dann, jedenfalls in Brasilien, PWS-Banking.
 

 
Beim Grabbing geht es darum, begehrte Domainnamen zu registrieren und damit für andere zu blockieren, um dann über einen guten Preis für die Übertragung des Namens zu verhandeln. Die Rechtsprechung nennt das Erpressung und Markenverwässerung, wenn es dabei um Firmennamen und Marken geht, was heute als  Cybersquatting bezeichnet wird.

Um die Frage, wie sich eine Malware transportieren lässt, sind Grabenkämpfe geführt worden. Infiziert sie sich in eine Programm- oder Kommandodatei und ist ein Virus? Lässt sie sich gleichsam huckepack von einer Anwendungsdatei tragen und ist sie deshalb ein selbständiger Wurm? Oder doch eher ein Trojaner, weil sie in eine Anwendungsdatei eingebettet ist, die etwas anderes zu sein scheint?

Darin zeigt sich ein kurzsichtiger Blick auf die Erscheinungsformen und die Infiltrationstechniken und nicht auf das, worauf es ankommt: Was bezweckt die Malware und warum wird sie eingesetzt?

Sicherheitsunternehmen sprechen deshalb ganz überwiegend nur noch von Malware. Hervorzuheben ist McAfee, wo man sich immer mehr dafür interessiert, welche Menschen Malware programmieren und einsetzen (2).

Diese auf das Ergebnis ausgerichtete Betrachtung äußerte sich zunächst dadurch, dass der Begriff Crimeware (3) eingeführt wurde. Darunter werden alle Programme zusammen gefasst, die ausdrücklich dazu bestimmt sind, kriminellen Zwecken zu dienen.

zurück zum Verweis was ist Cybercrime ?
 

 
Eine allgemeingültige Definition ist nicht in Sicht. Die verweist auf den Oberbegriff Computerkriminalität und schließt sich der Polizeilichen Kriminalstatistik - PKS - an. Danach werden folgende Fallgruppen im Einzelnen erfasst:

Betrug mittels rechtswidrig erlangter Kreditkarten mit PIN
Computerbetrug ( § 263a StGB)
Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten
Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung ( §§ 269, 270 StGB)
Datenveränderung, Computersabotage ( §§ 303a, 303b StGB)
Ausspähen [und Abfangen] von Daten ( §§ 202a, 202b StGB)
Softwarepiraterie
private Anwendung z.B. Computerspiele, oder
in Form gewerbsmäßigen Handelns
Herstellen, Überlassen, Verbreiten oder Verschaffen sogenannter „Hacker-Tools“, welche darauf angelegt sind, „illegalen Zwecken zu dienen“ („Hackerparagraf“ § 202c StGB)
 

 
Es handelt sich um eine sehr formalisierte Betrachtung, mit der Fallzahlen bewältigt werden können. Ihre Stärke ist die Fortschreibung. Indem das jährliche Aufkommen anhand von definierten Fallgruppen mit den früheren Zahlen verglichen wird, können Entwicklungen, besonders Steigerungen und Rückgänge, ausgelotet werden. Das hilft bei der Bemessung des Erfolges gesetzgeberischer und polizeilicher Maßnahmen und Schwerpunkte.

Die Cybercrime ist jedoch eine junge und äußerst dynamische Erscheinungsform der Kriminalität, die sich dadurch der statistischen Erfassung entzieht.

Eine ebenso formalisierte Betrachtung hat der Cyberfahnder präsentiert, indem er vom IT-Strafrecht im engeren und weiteren Sinne spricht.

Diese Unterscheidung macht Sinn, wenn man Cybercrime als eine Kriminalitätsform ansieht, die sich zu ihrer Vorbereitung oder Ausführung der Informations- und Kommunikationsnetztechnik bedient. Das Bundesverfassungsgericht spricht insoweit zusammen fassend von Informationstechnischen Systemen - itS.
 

zurück zum Verweis informationstechnische Systeme Zwischenergebnis
 

 
Ein itS ist eine technische Einrichtung, die digitale Informationen herstellt, verarbeitet oder übermittelt. Der Chip in der Zahlungskarte ist ebenso ein itS wie das Innenleben einer digitalen Uhr und das Internet als Ganzes.

Für die Herangehensweise des BVerfG ist diese Definition nahe liegend und nicht zu kritisieren. Es hat die Gestalt und Grenzen eines neuen Grundrechts definiert und dazu auf die Allgegenwart von itS zurück gegriffen, um einen individuellen Vertrauensschutz einzuführen. Auch das BVerfG wird in den nächsten Jahren erkennen, dass gegen die kriminellen Formen des Gebrauchs und Missbrauchs von itS gleichwertige Handlungsermächtigungen der Strafverfolgung erforderlich sind. Sein Befreiungsschlag gegen eine ausufernde Onlinedurchsuchung schafft rechtsstaatliche Grundlagen, die mit Leben ausgefüllt werden müssen.
 

 
Alle drei Varianten zur Definition entstanden, um eine Aussage zu einer spezifischen, aber jeweils anderen Frage zu treffen.

Die polizeiliche Statistik fragt nach den Entwicklungen und ist ein Instrument für die Kriminalpolitik.

Das materielle IT-Strafrecht fragt danach, welche Handlungen strafbar sind und welche nur mit den Mitteln der IT oder auch mit den Mitteln der Informationstechnik begangen werden können.

Die verfassungsrechtliche Betrachtung fragt nach dem Einfluss und die Bedeutung der IT für die Gestaltung und den Schutz persönlicher Freiheitsräume.

Die kriminalistische Frage nach den Beweggründen bleibt damit unbeantwortet.
 

zurück zum Verweis Hacker: Moral und Unmoral
 
Typenlehre nach McAfee (6)
Innovatoren geringe Gefahr
ruhmgierige Amateure mittelmäßige G.
Nachahmer mittelmäßige G.
Insider hohe Gefahr
organisierte Internetverbrecher hohe Gefahr
 
 

Hacker - Cracker - Exploit-Händler
(sehr vereinfacht)
 
 
  „Keiner hackt mehr heute zum Spaß, das ist knallhartes Business geworden“
 
Bolduan
 

 
Was unterscheidet den klassischen Hacker, wie er gelegentlich noch im Chaos Computer Club - (4) - auftritt, von dem Sasser-Programmierer (5)? Der klassische Hacker hat noch eine Moral, eine Vorstellung von gut und richtig. Dort begann auch der Sasser-Programmierer, als seine Malware zunächst nur andere schädliche Malware beseitigen sollte. Sein Spieltrieb und seine mangelnde Weitsicht brachten ihn aber dazu, die Folgen seine Würmer nicht mehr abzuschätzen, nicht mehr wahrzunehmen und schließlich immer mehr Böswilligkeiten in sie einzubauen.

Zusammen mit den Script-Kiddies, die fertige Toolkits für ihre gefährlichen Spielereien einsetzen, markiert der Sasser-Programmierer die Typen "ruhmgierige Amateure" und "Nachahmer", wie sie von McAfee bezeichnet wurden (6).

Die Programmierer von Toolkits (7) sind hingegen Grenzgänger: Teilweise noch "Innovatoren" und teilweise schon Internetverbrecher, um in der Typenlehre von McAfee zu bleiben.

Klassische, innovative Hacker, die nach Sicherheitslücken suchten und ihre Erkenntnisse den Verantwortlichen berichteten, konnten für sich in Anspruch nehmen, jedenfalls insgesamt der IT-Sicherheit zu dienen.

Sie taten das gelegentlich auch öffentlich und setzen damit nicht nur die Hersteller von Hard- und Software unter Zugzwang, sondern eröffneten auch der Schar der Nachahmer ein neues Spielfeld.

Ist dieses Handeln noch "moralisch", wenn Nachahmer geradezu dazu motiviert werden, itS zu penetrieren, auszuforschen und zu sabotieren?
 

 
Die Veröffentlichung von Sicherheitslücken ist keine Anstiftung ( § 26 StGB) zum Ausspähen von Daten ( § 202a StGB) oder zur Computersabotage ( §§ 303a, 303 StGB), weil es an an der Aufforderung zu einer bestimmten Straftat fehlt, kann aber eine Anleitung zu Straftaten sein, wenn damit ausnahmsweise gemeingefährliche Verbrechen ermöglicht werden ( § 130a StGB, (8) ).

Im Jargon der Hackerkultur wird gerne zwischen den "guten" Hackern und den nicht so sauberen Crackern unterschieden. Die Definitionen sind jedoch nicht einheitlich, weil sich das Cracking auf verschiedene Schwerpunkte beziehen kann (9).

Worin unterscheiden sich Hacker, Cracker und Exploit-Händler (10) ?

Sicherlich nicht in ihren Methoden. Sie betreiben Hacking, indem Sie Netzzugänge oder andere Sicherungstechniken aushebeln, brechen oder zu umgehen versuchen.

Damit machen sie sich auch vom Grundsatz her strafbar.

"Moral" ist kein hinreichendes Kriterium dafür, Kriminalität zu definieren (11). Sie kann die Schuldschwere beeinflussen, nicht aber das "Ob". Wenn der Betreiber von IT Sicherheitslücken erkunden lassen will, so rechtfertigt das den Einsatz des Hackings. Will er das nicht, dann gibt es jedenfalls keine strafbefreiende Begründung dafür.

Der Exploit-Händler wird jedoch vom Streben nach Gewinn getrieben. Darin unterscheidet er sich tatsächlich vom Hacker und vom Cracker. Das macht ihn auch zu einer neuen Form von Kriminellen.
 

zurück zum Verweis Einzeltäter
 


Kein Einzeltäter handelt ohne gesellschaftlichem Hintergrund und ohne Einbindung in eine Bezugsgruppe. Man sucht sich, findet sich, unterstützt sich, streitet und kämpft miteinander. Die Experten für Exploits, Toolkits und Malware dürften überwiegend späte Nachfahren der Kosmos-Experimentierkasten-Generation sein, mit der ich aufgewachsen bin. Sie sind keineswegs asozial, sondern durchaus kommunikativ. Man hört aufeinander und lernt voneinander. Echte Zusammenarbeit kennen sie nur mit höchst vertrauten Kumpeln. Arbeitsteilung, Prozessplanung und -überwachung sind ihnen nicht unbekannt, aber fremd.

Sie achten es, wenn Andere diese Fertigkeiten haben, und nutzen sie, wenn sie sie brauchen. Ihr Ding machen sie aber lieber alleine.

Das ist keine Analyse, sondern (mangels Faktenmaterial) eine subjektive Einschätzung.

Ich glaube tatsächlich, dass Bolduans Darstellung, dass die IT-Handwerker im Bereich der Cybercrime eher Einzeltäter sind zutrifft. Man unterwirft sich einem Auftraggeber für ein Projekt, arbeitet rund um die Uhr und liefert irgendwann ein gutes, vielleicht auch geniales Ergebnis ab.

Bertold Brecht hat gesagt: Erst kommt das Fressen und dann die Moral.

Was ist, wenn man nicht mehr zuhause bei den Eltern wohnt, nicht mehr Vaters Flatrate benutzen kann und Hotel Mama den Dienst verweigert?

Dann muss man Geld verdienen mit dem, was man am besten kann.
 

 
Zusammenarbeit, Diskussion und Kommunikation sind alltägliche soziale Prozesse. Gefährlich werden sie, wenn eine In-Group-Sitte entsteht mit abweichenden Sitten- und Rechtsvorstellungen, die ganz schnell zu einer Wagenburg-Identität werden können, die alles Äußere als falsch und bekämpfenswert ansehen.

In-Group-Prozesse sind gut und richtig, wenn sie eine Identität und das Rückgrat der Mitglieder fördern. Sie sind falsch und "sektisch", wenn sie sich zur Außenwelt abgrenzen und keine vernünftige Kommunikation mit ihr mehr zulassen und sie zur Feindwelt wird.

Die virtuelle Welt befriedigt keine realen Bedürfnisse.

Wohnen, Essen, Trinken, Internet, Sex und die Katze, die um die Beine streicht, verlangen nach Geld.

Individualisten bekommen es von Kontaktpersonen, die die Aufträge erteilen, die Ergebnisse abholen und das Geld bringen. Damit sind wir in dem klassischen Bild von den Geld- und Ausweisfälschern.

Gute Individualisten in diesem Sinne müssen sich auf ihre Fertigkeiten konzentrieren und brauchen um sich herum Vermarkter, Buchhalter für das Inkasso und eine Firma, die sie vom Alltagsgeschäft entlasten.

Damit ist die mittelständische organisierte Cybercrime geboren.

Ihre Vertreter verdienen die Strafverfolgung. Das ist aber nur Marktbereinigung, weil neue Anbieter sofort wieder nachwachsen werden.

Richtig gefährlich sind ihre Auftraggeber.
 

zurück zum Verweis Malware-Schreiber, Zulieferer und Auftraggeber
 
 
„Was wir sagen können, ist, dass es keine richtig große Organisation ist, sondern dass es viele kleine Gruppen sind“
 
Bolduan
 
 

 
An den Anfang der "Produktionskette" stellt Balduan die Malware-Schreiber, die zwei Zulieferungen benötigen: Vom Exploit-Händler erhalten sie die Beschreibung einer Sicherheitslücke, auf der sie die Malware aufsetzen können, und vom Toolkit-Schreiber erhalten sie die aktuellen Instrumente zum Tarnen der Malware.

Bevor jedoch die geeigneten Werkzeuge ausgewählt und beschafft werden können, bedarf es eines Auftraggebers und dessen Vorstellungen über die Funktionsweise der Malware.

Als Auftraggeber kommen vor Allem Botnetzbetreiber, Botnetznutzer, Phisher und Informationshändler in Betracht. Sie haben sehr unterschiedliche Bedürfnisse.

Botnetzbetreiber haben ein besonderes Interesse an der Pflege, dem Erhalt und der Erweiterung des Botnetzes. Bei der Pflege und dem Erhalt geht es darum, die Zombierechner und ihre Steuerungssoftware mit den neuesten Methoden zur Tarnung und zur Steuerung auszustatten. Wegen der Tarnung kommen die Toolkit-Schreiber mit ins Boot, die sich auf dem Markt der Antivirensoftware auskennen und immer neue Methoden entwickeln, wie man die installierte Malware vor der Enttarnung bewahren kann. Um die Funktionstüchtigkeit zu erhalten, sind Kenntnisse im Zusammenhang mit Peer-to-Peer-Netzen und der Fernwartung erforderlich. Insoweit ist eine Zusammenarbeit mit den Fachleuten der Botnetzbetreiber nötig oder mit freien Fachleuten, deren Wissen eingekauft werden muss.

Der Einsatz der neuesten Tarnungen ist auch für die Erweiterung des Botnetzes von Bedeutung. Hierbei kommt es jedoch besonders darauf an, neue Zombies zu gewinnen, also auf die Verteilung der Malware (Methoden), Infiltration und Übernahme von PCs.
 

 
Die Palette der Anforderungen an eine Bot-Software lässt es kaum erwarten, dass nur ein einzelner Malware-Schreiber zum Einsatz kommt. Im Gegensatz zu "normaler" Malware soll der Zombie möglichst lange erhalten bleiben, so dass die Steuerung und die Beeinträchtigung behutsam sein sollen (12).

Die Malware muss deshalb beherrschen:
Infiltration und Übernahme
modularer Aufbau und Update
Tarnung
Steuerungsfunktionen, Betriebsüberwachung
Einsatzsteuerung

Diese Vielfalt bedarf eines Projektmanagements und der Leitung durch einen Koordinator.

Die Anforderungen der Auftraggeber im Übrigen sind vielleicht nicht ganz so umfassend, aber auch nicht unbedeutend. Phisher benötigen eine präzise Steuerung zum Missbrauch des Homebankings ( siehe oben) und Industriespione eine präzise Funktion zur Ausforschung des Zielrechners.

Erst wenn die Aufgabe mit ihren besonderen Anforderungen bekannt ist, kann der Malware-Schreiber die geeigneten Exploits und Toolkits auswählen und seine Software zusammenstellen.

Maßgeblich für die weitere Auftragsabwicklung ist die Bezahlung. Insoweit kommen vor Allem Bargeld und Bezahlsysteme auf der Grundlage von Edelmetallen in Betracht (13). Wegen der Barzahlung ist eine "unechte" Hawala denkbar, bei der Boten die Geldübergabe besorgen. Der Einsatz von Operation Groups, von dem Balduan berichtet, lässt das nahe liegend erscheinen.
 

zurück zum Verweis spezialisierte Zwischenhändler
 

Großansicht: Zwischenhändler
  

 
Die Funktionsvielfalt der Malware lässt Zweifel an der Einzeltäterannahme aufkommen. Warum sollte sich ein begnadeter Malware-Schreiber eine kleine Firma schaffen, die sich um seine Vermarktung kümmert ( siehe oben) ? Warum sollte er Marktforschung betreiben, um sich die geeigneten Exploits und Toolkits zu beschaffen? Unter marktwirtschaftlichen Gesichtspunkten liegt es viel näher, anzunehmen, dass sich für jede dieser Aufgaben spezialisierte Zwischenhändler herausbilden, die ihre eigenen Zulieferer für Exploits, Toolkits und andere Spezialformen von Software haben.

Ein Blick auf das Skimming macht die Sinnhaftigkeit des Einsatzes von Spezialistengruppen mit unterschiedlichen Qualifikationen besonders deutlich:

echte Handwerker bauen Skimmer, Überwachungskameras, Vorsatzgeräte und Steuerungsprogramme
 
Installateure bauen die Überwachungstechnik in eine Bankfiliale ein und bauen sie später auch wieder ab
 
Fälscher stellen die Dubletten von Zahlungskarten her
 
Läufer setzen die Dubletten an Geldautomaten ein
 
andere Agenten transportieren die Dubletten und die Beute
 

 
Die Installateure brauchen Geschick, die Fälscher Zeit und die richtige Ausstattung und die Läufer einfach nur Dreistigkeit. Gute Handwerker entstehen nicht dadurch, dass sie 'mal eine Überwachungskamera bauen und mit einem Sender ausstatten. Sie brauchen Übung und Erfahrung, die sie nur bekommen, wenn sie ihre Geräte immer wieder und für verschiedene "Projekte" anbieten.

Auch beim Phishing werden besondere Kenntnisse benötigt, wenn es darum geht, "gute" Webseiten oder E-Mails herzustellen, unauffällige Texte und gute Übersetzungen (14).

Das, was ich Zwischenhändler nenne, bezeichnet Balduan als Operation Groups. Sie haben ihre Kontakte und Leute, auf die sie bei jedem Auftrag zurück greifen können. Sie und besonders ihre leitenden Unternehmer erleichtern das Geschäft für alle Beteiligten. Die Spezialisten müssen sich nicht um ihre Vermarktung kümmern und die Auftraggeber nicht darum, den richtigen Spezialisten oder Zulieferer zu finden.

Durch den Einsatz von Zwischenhändlern bekommt die Cybercrime eine neue Gestalt. Sie organisiert sich dadurch arbeitsteilig und marktmäßig - um Straftaten zu ermöglichen und durchzuführen.
 

zurück zum Verweis kriminelle Unternehmer
 

Großansicht: Cybercrime-Pyramide
 

 
Organisierte Internetverbrecher im Sinne der Typenlehre von McAfee sind die Unternehmer, also die Botnetzbetreiber und die Rogue-Provider, sowie die "Projektleiter", also Koordinatoren.

Botnetzbetreiber bieten unter Marktgesichtspunkten eine auf Dauer angelegte Dienstleistung. Ihr Produktionsmittel ist das Botnetz, das sie eingerichtet haben und pflegen, und ihre Dienstleistung der Gebrauch des Botnetzes.

Ein Botnetz lässt sich vielfältig einsetzen, zum Beispiel zum Versand von Spams. Diese Dienstleistung werden die Betreiber selber durchführen und sich dazu die zu verbreitende Nachricht übermitteln lassen. Die Zieladressen (15) werden entweder vom Kunden geliefert, die Versender greifen auf ihre eigenen Bestände zurück oder kaufen Adressenlisten gezielt ein. Das dürfte Verhandlungssache sein und letztlich eine Frage des Preises.

Es ist kaum vorstellbar, dass die Botnetzbetreiber Erpressungen im Zusammenhang mit verteilten Angriffen, Phishing-Kampagnen und die Kontrolle von Malware in eigener Regie durchführen, weil dazu jeweils spezielles Wissen und besondere Maßnahmen zur Beutesicherung nötig sind.

Sie werden sich deshalb darauf beschränken, ihr Werkzeug projektbezogen einzusetzen oder zeitweilig zu vermieten (16).
 

 
Während die Botnetz-Betreiber im Verborgenen bleiben sind die Schurken-Provider (Rogue-Provider) ganz offiziell in die technischen Strukturen des Internets eingebunden. Ihr bekanntester Vertreter ist das Russian Business Network - RBN.

Das Geschäftsmodell der Rogue Provider unterscheidet sich nur etwas von den sonstigen Zugangs- und Hostprovidern, weil sie ihre Kunden nachhaltig von der neugierigen Öffentlichkeit abschotten. Das RBN verwendet Scheinfirmen für DNS-Eintragungen, liefert sichere Speicherorte (17) für Malware, Pharmen, "geheime" Webauftritte und ausgekundschaftete Kontozugangsdaten, geschlossene Benutzergruppen und damit einen Handelsplatz für alles, was als illegale Inhalte und Kommunikationen im Internet möglich ist.

Das Geschäftsmodell ist einfach: Je mehr Anfragen von Geschädigten, Neugierigen und Strafverfolgern abgewimmelt werden müssen, desto teurer wird der Dienst.

Das funktioniert nur solange keine effektive Rechts- und Strafverfolgung gegen den Rogue-Provider erfolgt. Befürchtet er Schadenersatz oder sogar Strafe, dann strukturiert er sich um, wie das RBN gezeigt hat: RBN lebt.
 

zurück zum Verweis Koordinatoren Zwischenergebnis
 

Großansicht:
verdeckt und öffentlich Handelnde
 

 
Von den kriminellen Unternehmen, die darauf ausgelegt sind, dauerhaft zu handeln und sich sozusagen zu etablieren, unterscheiden sich die Koordinatoren. Sie planen kriminelle Einzelaktionen, kaufen die dazu nötige Infrastruktur (Botnetz, Drop Zone), das Fachwissen und die nötigen Leute ein. Sie sind sozusagen die Projektmanager der Cybercrime.

Es gibt Gerüchte, dass die Koordinatoren häufig aus dem Kreis des früheren KGB stammen.

Auch die Koordinatoren werden sich auf bestimmte "Projekte" spezialisieren und durch sie Erfahrungen sammeln. So bauen sie Erfahrungswissen über Zwischenhändler und die Qualität ihrer Dienste auf, das ihnen bei jedem neuen "Projekt" zugute kommt.

Ob sie alleine handeln, ist unklar. Wahrscheinlich werden sie sich nach und nach einen kleinen Stab aufbauen, der bei der Abwicklung der Projekte hilft.

Im Übrigen bleiben sie im Verborgenen - wie die Spezialisten und Zwischenhändler auch.

Über die Auftraggeber ist ebenfalls nichts bekannt. Komplexe Projekte werden aber ohne eine Vorschussfinanzierung nicht durchführbar sein.
 

 
Die organisierte Cybercrime wird von Unternehmern ausgeführt, die die dauerhaft benötigten Werkzeuge wie Botnetze und Drop Zones zur Verfügung stellen. Soweit sie in der Öffentlichkeit agieren wie die Rogue-Provider, ist es ihr Bestreben, ihre zahlenden Kunden von der neugierigen Öffentlichkeit abzuschotten.

Für die kriminellen Projekte sind in aller Regel Koordinatoren zuständig, die die nötigen Geräte, Programme und das Spezialistenwissen einkaufen und zusammen führen. Dabei rekrutieren sie wahrscheinlich ganz überwiegend keine einzelnen Zulieferer und Programmierer, sondern bevorzugt Zwischenhändler, die ihrerseits über einen Stamm von Zulieferern, Experten oder "Laufburschen" verfügen.

Große Cybercrime-Projekte haben eine Komplexität erreicht, dass sie von Einzeltätern nicht mehr bewältigt werden können. Sie werden vereinzelt auftreten als Hacker (Exploits, Adressdaten) und Programmierer (Toolkits, Malware) und ihre Dienste werden sie wahrscheinlich immer häufiger über Zwischenhändler verkaufen, die für bestimmte Segmente des kriminellen Marktes spezialisiert sind.
 

zurück zum Verweis Organigramm der Cybercrime andere Erscheinungsformen
 

Organigramm der Cybercrime
  

 
Die bereits an anderer Stelle aufgenommenen Hinweise (18), die hier zusammen gefasst und angereichert wurden, lassen eine arbeitsteilige Struktur erkennen, in der vor Allem kriminelle Unternehmen (Botnetzbetreiber und Rogue-Provider), Zwischenhändler (Operation Groups) und Koordinatoren für einzelne kriminelle Projekte handeln.

In diesem Modell spielen die Handwerker, Spezialisten und Laufburschen (Finanzagenten beim Phishing, Geldabheber und Installateure beim Skimming) zwar die Basis der kriminellen Handlungen. Ihr Einsatz und die Zusammenführung ihrer Arbeitsergebnisse wird in diesem Modell jedoch von den Zwischenhändlern und den Koordinatoren organisiert.
 

 
Außerhalb des Organigramms bleibt viel Raum für die "einfache" Cybercrime. Zu ihr gehören die Script-Kiddies mit ihren zusammen gebastelten Trojanern, die keinen nennenswerten Schaden anrichten, die Lügner bei Onlineauktionen, die Nutzer von Raubkopien und viele andere Massenerscheinungen. Sie bilden das kriminelle Massengeschäft, das von der Strafverfolgung abgearbeitet werden kann und das Moden unterworfen ist.

Eine neue Qualität ist jedoch wegen der arbeitsteiligen und teilweise bereits organisierten Cybercrime entstanden, die das Organigramm abbildet.

 

zurück zum Verweis neue Definition der Cybercrime
 

 
Für die arbeitsteilige Cybercrime bietet sich deshalb folgende Definition an:


Einzelne Zwischenhändler, die Botnetzbetreiber und die Rogue-Provider dürften für sich bereits die Bedingungen für eine organisierte Cybercrime erfüllen:
 

  Die arbeitsteilige Cybercrime ist die vom Gewinnstreben bestimmte planmäßige Begehung von IT-Straftaten, die einzeln oder in ihrer Gesamtheit von erheblicher Bedeutung sind. Ihre planenden Täter greifen dazu auf etablierte Strukturen (wie Botnetze und Rogue-Provider) und Gruppen mit Spezialisten (Operation Groups) zurück, deren Dienste und Handlungen sie zur Erreichung des kriminellen Zieles zusammenführen.

Organisierte Cybercrime ist die vom Gewinn- oder Machtstreben bestimmte planmäßige Begehung von IT-Straftaten, die einzeln oder in ihrer Gesamtheit von erheblicher Bedeutung sind, wenn mehr als zwei Beteiligte auf längere oder unbestimmte Dauer arbeitsteilig

a. unter Verwendung gewerblicher oder geschäftsähnlicher Strukturen,
 
b. unter Anwendung von Gewalt oder anderer zur Einschüchterung geeigneter Mittel oder
 
c. unter Einflussnahme auf Politik, Medien, öffentliche Verwaltung, Justiz oder Wirtschaft zusammenwirken.
 
zurück zum Verweis modulare Cybercrime
 

arbeitsteilige = modulare Cybercrime
  

 
Der IT-typische Blick auf die Erscheinungsformen der Cybercrime stellt die öffentlich handelnden Akteure in den Vordergrund.

Am Beispiel des Skimmings sind das aber nur die wegen ihrer Dreistigkeit qualifizierten Installeure und die Läufer, die schließlich die Dubletten missbrauchen. Die wirklichen Spezialisten für die Zusammenstellung der Skimmingtechnik, die Fälscher und die Beutesicherer bleiben dabei aus dem Blick.

Das arbeitsteilige Skimming ist hingegen zielorientiert. Die Methoden zur Datengewinnung sind ihm völlig gleichgültig. Ihm kommt es auf die Beute an. Die Module, die für die Zielerreichung eingesetzt werden, sind austauschbar. Sowohl die Handwerker wie auch die Installateure können eingespart (und damit die Namensgeber für diese Form der Cybercrime), wenn die Zahlungskartendaten auf andere Weise beschafft werden können, oder outgesourced werden, um dann nur mit den Arbeitsergebnissen weiterzuarbeiten.
 

 
Andere Formen der Cybercrime ließen sich ganz ähnlich darstellen.

Phishing: Es ist egal, wie die Kontozugangsdaten beschafft werden, ob durch ein E-Mail-Formular, einer Webseite, POS-Skimming oder einer Keylogger-Malware. Das Ergebnis zählt. Die in irgendeiner Form ausgespähten Daten sollen missbraucht und die Beute gesichert werden. Der Weg dahin ist eine Zusammenstellung von Modulen, die eine Weile funktionieren und dann wieder ausgetauscht werden müssen.

So betrachtet müssen die Namen für die besonderen Formen der Cybercrime neu bedacht werden, weil sie sich bislang an dem Beschaffungs- und nicht an dem Verwertungsprozess orientieren:

nicht Skimming, sondern Zahlungskartenmissbrauch,

nicht Phishing, sondern Homebankingmissbrauch,

nicht Botnetze, sondern Missbrauch von PC-Clustern.
 

zurück zum Verweis Fazit
 

 
Die Cybercrime ist IT-Kriminalität. Es handelt sich um Straftaten unter Einsatz der Informationstechnik und des Internets.

Ihre allgemeinen Formen zeigen sich in Massenerscheinungen wie Betrügereien in Auslobungsplattformen, z.B. bei eBay, oder die Verbreitung und Nutzung urheberrechtlich geschützter Werke. Besondere Ausprägungen sind die Verbreitung rechtswidriger Inhalte (Kinderpornos, Beleidigungen, Boykottaufrufe, Bombenbauanleitungen), das Amateur-Hacking (Nachahmer) und der Identitätsdiebstahl, um Andere zu schädigen oder in Misskredit zu bringen.

Ihre Gefährlichkeit soll nicht kleingeredet werden, weil sie im Einzelfall furchtbare Schicksale hervorrufen oder vertiefen (z.B. Kinderpornographie).

Als Ausprägungen schwerer und organisierter Kriminalität zeigen sich hingegen die Erscheinungsformen der Botnetze, des Phishings und des Skimmings.
 


Diese Kriminalitätsformen sind zielorientiert und verfolgen den Zweck, kriminelle Gewinne zu verwirklichen. Dabei orientieren sie sich auf den Missbrauch bestimmter Formen der Technik wie Zahlungskarten, das Homebanking oder von PC-Clustern. Die dabei eingesetzten Methoden des Missbrauchs sind gleichgültig. Sie sind modular und werden zweckverfolgend ausgewechselt oder modifiziert.

Entstanden ist deshalb eine arbeitsteilige Cybercrime-Szene, die sich wegen einzelner Erscheinungsformen als Organisierte Kriminalität darstellt.

In dieser Struktur haben Einzeltäter noch eine vereinzelte Bedeutung, wenn sie mehr oder weniger unersetzbare Spezialisten sind.

Ansonsten sind sie austauschbar. Vor Allem die mehr dreisten als kenntnisreichen Läufer, die notgedrungen in der Öffentlichkeit auftreten müssen, sind ersetzbar und können jederzeit geopfert werden. Sie sind die Finanzagenten beim Missbrauch des Onlinebankings und die Installateure und die Läufer bei Einsatz gefälschter Zahlungskarten.

Ihre Handlungen sind zwar namensgebend für die betreffende kriminelle Erscheinungsform gewesen, für die Zielerreichung sind die öffentlich handelnden Personen aber nur funktional bedeutsam und ansonsten austauschbar.
 

zurück zum Verweis Anmerkungen
 

 
(1) Die arbeitsteiligen Strukturen beim Phishing und beim Skimming wurden mit den Erscheinungsformen behandelt und im Zusammenhang mit der Führung: Cybercrime zusammen gefasst. Die jüngeren journalistischen Quellen lassen ein umfassendes Bild erkennen:
Schurkenprovider und organisierte Cybercrime
globale Sicherheitsbedrohungen

(2) globale Sicherheitsbedrohungen

(3) Crimeware;
siehe auch Angriffe mit Crimeware und Malware. Crimeware.

(4) Wir sind die Guten!

(5) neue Herausforderungen

(6) erste Typenlehre

(7) Trojanerbaukasten mit Support

(8) Bombenbauanleitungen

(9) Ein Cracker ist jemand, der Zugriffsbarrieren von Computer- und Netzwerksystemen umgeht
Cracker (Computersicherheit),
aber auch:
Cracking ist die Tätigkeit, ein Computerprogramm zu analysieren, um den Kopierschutz zu entfernen
Crack (Software).

Eine bemühte Abgrenzung:
Abgrenzung zum Begriff ‚Cracker’
 

 
(10) Der Exploit-Händler verkauft die von ihm entdeckten Sicherheitslücken:
Exploit-Händler.

(11) Die Rechtsoziologie unterscheidet zwischen der individuellen Moral als Handlungsprinzip, der gruppenbezogenen Sitte und dem staatlichen Recht. Starke Sitten können das Recht im Einzelfall beeinflussen, wenn es im Widerspruch zu ihm steht. Das ist aber kein Freibrief zum rechtswidrigen Handeln.
neue Knäste braucht das Land

(12) Anatomie des Sturm-Wurms

(13) Beispiele dafür sind E-Gold und WebMoney.

(14) Malware lernt die deutsche Sprache

(15) Siehe Adressenhändler, Spam-Discounter, geklaute Daten zum Schnäppchenpreis, qualitätskontrollierter Kontomissbrauch, neue Herausforderungen, Forderung nach Übertragungsgebühren

(16)  Frank Faber, Unter Verdacht. Eine russische Bande professionalisiert das Cybercrime-Business, c't 11/2008;
Russian Business Network - RBN

(17) Drop Zones

(18) siehe (1)
 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 02.08.2009