Bekämpfung der Cyberkriminalität
Die zunehmende Abhängigkeit von der digitalen Welt in allen Bereichen des Lebens unserer Gesellschaft sowie die weltweite Datenvernetzung bieten fortlaufend neue Angriffsmöglichkeiten und -ziele für Cyberkriminelle. Neben Straftaten, die unter Ausnutzung moderner Informations- und Kommunikationstechnik oder gegen diese begangen werden, verlagern sich auch immer mehr klassische Straftaten, in die digitale Welt des Internets.
Mit der Einrichtung eines eigenständigen Dezernates für die Bekämpfung von Cyberkriminalität (Dezernat 47) beim LKA Rheinland-Pfalz wurde dem Erfordernis der Bündelung von Spezialwissen zur Bekämpfung dieser Kriminalitätsform Rechnung getragen.
Das Dezernat 47 übt eine Zentralstellenfunktion aus und ist zudem für die operative Auswertung und Unterstützung der örtlichen Dienststellen zuständig. Darüber hinaus werden dort u.a. herausragende Ermittlungsverfahren der Cyberkriminalität, insbesondere
- Pilot- und Mehrwertverfahren
- Verfahren mit besonderer Öffentlichkeitswirkung
- Verfahren, durch die technisches und/oder ermittlungstaktisches Neuland betreten wird sowie Verfahren aus dem Bereich der internationalen, bandenmäßigen oder organisierten Kriminalität
bearbeitet.
Es erfolgt eine enge Zusammenarbeit mit dem für die forensische Informations- und Kommunikationstechnik (IuK) sowie Telekommunikationsüberwachung zuständigen Dezernat 26 im LKA bzw. den Spiegelkommissariaten bei den Polizeipräsidien. Darüber hinaus bildet das Dezernat 47 die Zentrale Ansprechstelle Cybercrime (ZAC) für Wirtschaftsunternehmen, öffentliche und nicht-öffentliche Stellen.
Außerdem ist das LKA seit April 2014 Mitglied der „Allianz für Cybersicherheit Deutschland“. Hierbei handelt es sich um eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) gegründet wurde. Als Zusammenschluss aller wichtigen Akteure im Bereich der Cyber-Sicherheit in Deutschland hat die Allianz das Ziel, aktuelle und valide Informationen flächendeckend bereitzustellen. Teilnehmer der Allianz für Cyber-Sicherheit profitieren von einem gemeinsam mit leistungsfähigen Partnern und Multiplikatoren aus Verwaltung, Wirtschaft und Forschung gestalteten Informationspool sowie vom Erfahrungsaustausch mit anderen Teilnehmern.
Bekämpfungsstrategie
Mit der „Bekämpfungsstrategie Cyberkriminalität", die das Innenministerium gemeinsam mit den Polizeibehörden in Rheinland-Pfalz erarbeitet und vereinbart hat, sollen die notwendigen Entwicklungsschritte stringent umgesetzt werden.
Der spektakuläre Ermittlungserfolg gegen die Betreiber des sogenannten „Cyberbunker“ in Traben-Trarbach hat einmal mehr gezeigt, vor welchen Herausforderungen die Polizeibehörden im Kampf gegen Cyberkriminelle stehen. Das Verfahren im Cyberbunker, aber auch andere erfolgreich abgeschlossene Ermittlungsverfahren zeige, dass die rheinland-pfälzische Polizei hier operativ handlungsfähig sei.
„Die Motive von Straftätern haben sich nicht signifikant verändert, jedoch die Art und Weise, wie sie im Netz agieren und die digitalen Medien als selbstverständlichen Teil ihres kriminellen Vorgehens verwenden und bewusst ausnutzen“, erläuterte der Minister. Die Polizei habe auf die Herausforderungen frühzeitig reagiert. „Wir haben unsere Organisation angepasst, Zuständigkeiten klar geregelt, die technische Ausstattung verbessert und die Ausbildung angepasst“, betonte Lewentz.
Mit der Justiz ist die Zusammenarbeit in diesem dynamischen Deliktsfeld weiter intensiviert und auch der Austausch mit sonstigen Partnern wie beispielsweise Hochschulen werde gesucht.
Mit entscheidend ist auch die Gewinnung weiterer IT-Experten für die Polizei. Seit Jahren haben wir bereits IT-Forensiker und Cyberanalysten rekrutiert. Wir werden die personellen Ressourcen nochmals stärker, indem wir IT-Experten auch zu ‚Cyberkriminalisten‘ ausbilden“, so Lewentz. Diese IT-Experten sollen mit einer Zusatzqualifikation innerhalb der Polizei zu Kriminalbeamtinnen und -beamten ausgebildet werden.
Das Video wird durch Klick/Touch aktiviert. Wir weisen darauf hin, dass nach der Aktivierung Daten an den jeweiligen Anbieter übermittelt werden.
Phänomene
Bei Advances Persistent Threats (APT, fortgeschrittene, andauernde Bedrohung) handelt es sich um zielgerichtete Cyber-Angriffe, die sich in der Regel gegen die Wirtschaft sowie öffentliche und nicht öffentliche Stellen und Institutionen richten. Ein hoher Ressourceneinsatz sowie entsprechende technische Fähigkeiten ermöglichen dem Täter einen längerfristigen Zugriff auf ein bestimmtes System. Ziel des APT ist die Ausleitung vertraulicher Daten bzw. die Ausweitung auf weitere Systeme. Die Erstinfektion erfolgt oftmals mittels manipulierter Webseiten oder E-Mails mit Dokumentenanhang sowie vor allem durch Social Engineering.
Der englische Begriff Cybergrooming lässt sich wörtlich mit „Internetstreicheln“ übersetzen und stellt einen Kunstbegriff dar. Es steht inhaltlich für die Planungs- und Anbahnungsphase, die einem sexuellen Übergriff durch eine Person auf eine/n Minderjährige/n - üblicherweise ein Kind - vorausgeht und diesen einleitet. „Grooming“ muss dabei nicht zwangsläufig in einem direkten körperlichen Missbrauch enden. Vielmehr erfasst man hierunter bereits das Einwirken mit dem Ziel, Aufnahmen von sexuell geprägten Fotos/Videos von Kindern z.B. über eine im Notebook oder am Desktop-PC vorhandene Webcam zu erlangen oder eine eindeutige Kommunikation mit sexuellem Inhalt zu führen. Dieses Phänomen kann vielfältigste Ausprägungen annehmen und in unterschiedlichsten Bereichen des Internets stattfinden. Neben klassischen Chat-Foren suchen Täter insbesondere von Minderjährigen genutzte virtuelle Welten – wie Onlinespiele an Computern und Spielekonsolen.
Unter Cybermobbing (auch Cyberbullying, Cyberstalking oder E-Mobbing genannt) versteht man das Beleidigen, Bloßstellen, Bedrohen, Belästigen oder Schikanieren einer Person mit den Mitteln moderner Informations- und Kommunikationstechnik wie Computer, Handy oder Smartphone. Cybermobbing wird häufig über einen längeren Zeitraum in einem bestimmten sozialen Umfeld begangen. Die dem Phänomen zuzurechnenden Kriminalitätsformen unterliegen nicht dem Kernbereich der Cybercrime (Cybercrime im engeren Sinne). Cybermobbing kann insgesamt verschiedene Straftatbestände umfassen - wie etwa Beleidigung, üble Nachrede, Verleumdung, Verletzung der Vertraulichkeit des Wortes, Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen, Nachstellen, Nötigung, Bedrohung, Erpressung oder die Datenveränderung und das Recht am eigenen Bild. Die rechtliche Erfassung von Cybermobbing als Ganzes ist schwierig, da es sich um viele Einzeltaten handelt, die sehr unterschiedlich ausgeprägt sein können. Im Unterschied zum „normalen“ Mobbing endet Cybermobbing nicht nach der Schule oder der Arbeit, sondern setzt sich aufgrund der Möglichkeiten der modernen Informations- und Kommunikationstechnik zeitlich unbegrenzt fort. Die Betroffenen können sich dem Cybermobbing somit kaum entziehen. Das Phänomen ist insbesondere unter Kindern und Jugendlichen weit verbreitet.
Bei einem Denial-of-Service-Angriff (DoS-Angriff) wird ein Server mit gezielten Anfragen regelrecht „bombardiert“. Er steht so für reguläre Anfragen bzw. die eigentliche Aufgabe nicht mehr zur Verfügung und wird sozusagen lahmgelegt. Angriffe können - bei Bedarf rund um die Uhr - über ein Netz von mit spezieller Schadsoftware infizierten Rechnern - sog. Bot-Netzen (Kurzform von Roboter-Netzwerk) oder von wissentlich zusammengeschalteten Rechnern freiwilliger Teilnehmer – durchgeführt werden. Werden DoS-Angriffe dann koordiniert und von einer größeren Anzahl anderer Systeme parallel ausgeführt, so spricht man von einem DDoS-Angriff (Distributed Denial of Service-Angriff). Neben politischen oder ideologischen Motiven nutzen Täter diese Möglichkeit oftmals für Erpressungshandlungen. So werden beispielsweise zur Beendigung der jeweiligen DDoS-Angriffe entsprechende Zahlungen - meist in Form virtueller Währungen (z.B. Bitcoin) gefordert bzw. mit der Durchführung von DDoS-Angriffen bei Nichtzahlung gedroht.
Im Rahmen von Cybercrime können auch Erpressungshandlungen erfolgen. Dies geschieht In der Regel mittels Ransomware und DDosS-Angriffen. Täterseits werden auf elektronischem Weg Zahlungsforderungen – meist in Form virtueller Währungen (z.B. Bitcoin) – gestellt. Für weitergehende Informationen wird auf die Ausführungen zu Ransomware und DDosS-Angriffen verwiesen.
Der Begriff Hacking stammt vom englischen Wort „to hack“ (= eindringen) ab. Hierunter wird das unerlaubte Eindringen in Webserver, Firmennetzwerke, Telefonanlagen oder sonstige IT-Infrastruktur verstanden. Ziel des Hacking ist in der Regel das Ausspähen, Ändern oder Löschen von Daten.
Beim Hacktivismus werden Computersysteme und Netzwerke als Protestmittel genutzt, um politische Ziele zu erreichen. In der Regel richten sich die Angriffe gegen fremde Systeme oder Netzwerke.
Darunter versteht man die rechtswidrige Aneignung und unberechtigte Nutzung personenbezogener Daten (z.B. Anschrift, Account, E-Mail-Adresse, Bankkonten- oder Kreditkartennummer) zur Nutzung krimineller Machenschaften. Dies geschieht mittels Social Engineering, Schadsoftware bzw. durch Datenabfluss nach Hacking. Ziel des Identitätsdiebstahls ist in der Regel die Erlangung finanzieller Vorteil. Es können aber auch andere Aspekte im Vordergrund stehen, wie bspw. das Bloßstellen des Opfers im Rahmen von Cybermobbing.
Pharming ist eine Betrugsmethode im Internet. Hierbei erfolgt eine gezielte Umleitung des Nutzers auf gefälschte Webseiten um an persönliche Informationen und Zugangsdaten wie beispielsweise Kreditkartendaten zu gelangen. Dazu wird unter Zuhilfenahme von Schadsoftware das System in der Form manipuliert, dass gezielt gefälschte Webseiten angezeigt werden, obwohl die Adresse korrekt eingegeben wurde. Benutzer können so auf täuschend echt nachgebildete Seiten geleitet werden. Die gefälschten Seiten befinden sich auf den Servern der Betrüger, die zu diesem Zweck große Server-Farmen betreiben. Daher rührt auch der Begriff Pharming. Es handelt sich um eine Weiterentwicklung des klassischen Phishings.
Der Begriff „Phishing“ setzt sich aus den englischen Begriffen „password“ (= Passwort), „harvesting“ (= abernten) und „fishing“ (= fischen), zusammen. Man versteht darunter das unberechtigte Erlangen von Passwörtern und Zugangsdaten beispielsweise zu Internetauktionshäusern, -kaufhäusern, Online-Shops, Bankkonten sowie von Kreditkartendaten. Zur Erlangung der Passwörter und Zugangsdaten wird der Rechner durch den Täter mit Schadsoftware infiziert, welche die entsprechenden Informationen abfängt, ohne dass der Nutzer es bemerkt. Über manipulierte Webseiten oder gefälschte E-Mails sowie durch Social Engineering versuchen die Täter eine Preisgabe persönlicher Daten zu erwirken.
Der Begriff Ransomware setzt sich aus den englischen Begriffen „ransom“ (Lösegeld) und „maleware“ (Schadprogramm) zusammen. Unter Ransomware versteht man Schadsoftware, die durch Verschlüsselung Computersysteme sperren oder dem Nutzer nur eine teilweise Nutzung des Computers und den dort hinterlegten Daten ermöglichen kann. Die Schadprogramme gelangen beispielsweise über präparierte E-Mail-Anhänge oder Drive-by-Exploits über mit Schadsoftware infizierte Webseiten auf den Rechner. Zur Wiederherstellung der Daten erfolgt täterseitig eine Lösegeldforderung, die über eine virtuelle Währung (z.B. Bitcoin) entrichtet werden soll. Bei Zahlung des Betrags wird die Übersendung eines Entschlüsselungstools in Aussicht gestellt, welches die verschlüsselten Dateien dekryptieren soll. Es handelt sich somit um eine Form der Erpressung.
Beim Social Engineering versuchen Kriminelle ihre Opfer durch Täuschung dazu zu verleiten, dass diese eigenständig Daten preisgeben, Schutzmaßnahmen umgehen oder selbst Schadsoftware auf ihren Systemen installieren. Hierbei nutzen die Täter zur Umgehung von Sicherheitssystemen die „Schwachstelle Mensch“. Entscheidende Faktoren, die zur Preisgabe der Daten führen sind beispielsweise Kundenfreundlichkeit, Respekt vor Autoritäten, Identifikation mit dem Unternehmen, aber auch Bestechlichkeit. Die Palette der Angriffsmöglichkeiten reicht vom telefonischen Kontakt über den direkten Kontakt vor Ort bis hin zur unpersönlich gehaltenen E-Mail (z.B. bei Phishing-Mails). Bei Social Engineering steht in der Regel der finanzielle Gewinn im Vordergrund. Es ist aber oftmals auch das Einfallstor für gezielte Angriffe auf Unternehmen und Behörden.
Der Begriff „Sexting“ setzt sich aus den englischen Begriffen „sex“ und „texting“ (SMS-Schreiben / „simsen“) zusammen. Er steht hauptsächlich für den elektronischen Versand von Selbstaufnahmen mit erotischem Charakter per Smartphone oder Internet. Diese Aufnahmen können schnell in Sozialen Netzwerken oder allgemein im Internet verbreitet werden. Sie können dann unter anderem für Cybermobbing, aber auch für Erpressungen genutzt werden. Das Phänomen Sexting ist insbesondere unter Jugendlichen und jungen Erwachsenen verbreitet. Sexting unterliegt nicht dem Kernbereich der Cybercrime (Cybercrime im engeren Sinne).
Glossar
Der Begriff „Bot“ leitet sich von dem englischen Wort „robot“ (Roboter) ab. Man versteht darunter ein Programm, das im Hintergrund ferngesteuert auf einem Rechner arbeitet und sich unter der Kontrolle von Cyberkriminellen befindet. Von Bot-Netzen spricht man, wenn sehr viele (oftmals bis zu mehreren tausend) Rechner ferngesteuert zusammengeschlossen und durch Cyberkriminelle zu unterschiedlichen Aktionen missbraucht werden. Sie können beispielsweise für die Verbreitung von Schadcodes (z.B. die Versendung von Phishing-E-Mails) oder zur Durchführung von Denial-of-Service-Angriffen verwendet werden. Die Steuerung dieser Bot-Netze erfolgt dabei über sogenannte Command&Control-Server (C&C-Server). Damit ein Rechner Teil eines Bot-Netzes wird, muss er jedoch zuvor mit Schadsoftware infiziert worden sein. Dies geschieht zum Beispiel über präparierte E-Mail-Anhänge oder Schadcode auf Webseiten, zu denen Links in E-Mails, Sozialen Netzwerken oder Messengern verbreitet werden (drive-by-exploits). In der Regel bemerken die Nutzer der betroffenen Rechner den Missbrauch ihrer Systeme nicht. Der Rechner ist mit dem Anschluss an ein Bot-Netz nicht nur geschädigt, sondern führt auch gleichzeitig Straftaten aus. Wird im Zuge von Ermittlungen die IP-Adresse des betroffenen Rechners festgestellt, mithilfe dessen Straftaten begangen wurden, so richtet sich der Tatverdacht zunächst gegen den Besitzer des Rechners.
Hierbei handelt es sich um ein Schadprogramm, das sich unberechtigt in andere Computerprogramme einschleust und sich selbst reproduziert, indem es sich in andere auf der Festplatte verfügbare Dateien kopiert. Die Verbreitung erfolgt durch den Austausch von Datenträgern, das Laden aus dem Internet oder das Versenden als E-Mail-Anhang. Computerviren verursachen durch das Löschen bzw. Beschädigen von Anwendungsdaten oder Systemdateien sowie durch das Ausspähen von Daten einen nicht unerheblichen Schaden.
Hierunter ist das Angebot krimineller digitaler Dienstleistungen wie beispielsweise der Erwerb oder das Anmieten von Schadsoftware nach einem Baukastenprinzip zu verstehen. Anwender und Entwickler müssen dabei nicht identisch sein.
Cybercrime umfasst die Straftaten, die sich gegen das Internet, weitere Datennetze und informationstechnische Systeme oder deren Daten richten. Cybercrime umfasst auch solche Straftaten, die mittels dieser Informationstechnik begangen werden. Ergänzend zur vorgenannten Definition erfolgt eine Differenzierung in Cybercrime im engeren und weiteren Sinne.
- Unter Cybercrime im engeren Sinne versteht man Straftaten, bei denen Elemente der EDV in den Tatbestandsmerkmalen der Strafnorm genannt sind (Computerkriminalität), wie z.B. Datenveränderung oder Computersabotage.
- Cybercrime im weiteren Sinne umfasst alle Straftaten, die mit dem Tatmittel Informationstechnik begangen werden. Eine abschließende Nennung ist dabei nicht möglich, weil eine Vielzahl von Delikten des Strafgesetzbuches und der strafrechtlichen Nebengesetze auch mit diesem Tatmittel begangen werden können. Hierzu zählen z. B. Rauschgifthandel im Internet, Urheberrechtsverstöße, Waren- und Warenkreditbetrug im Zusammenhang mit Online-Shops oder Beleidigungen in Sozialen Netzwerken.
Das Darknet ("dunkler Teil des Netzes") ist ein verborgener Teil des Deep-Web, welcher nicht über herkömmliche Suchmaschinen (z.B. Google) auffindbar ist. Es werden abgeschirmte Verbindungen hergestellt, was eine hohe Anonymität gewährleistet.
Beim dem englischen Begriff Deep Web (auch "Invisible Web" = Verstecktes Web) handelt es sich um den Teil des Internets, der nicht mit Hilfe klassischer Suchmaschinen (z.B. Google) auffindbar ist. Es besteht zu großen Teilen aus legalen themenspezifischen Datenbanken (z.B. Universitätsdatenbanken) passwortgeschützten Foren und Social Networks sowie Webseiten, die erst durch Anfragen dynamisch aus Datenbanken generiert werden. Ein Teil des Deep-Webs wird jedoch aufgrund seiner versteckten Dienste und Anonymität über spezielle Online-Plattformen auch für kriminelle Handlungen genutzt
Unter dem englischen Begriff Defacement (=Entstellung oder Verunstaltung) versteht man das unberechtigte Verändern des sichtbaren Bereichs einer Website (z.B. Einbindung fremder Texte und Grafiken). Hierfür werden hauptsächlich Sicherheitslücken (sog. Exploits) in den Webanwendungen und Webservern ausgenutzt bzw. Social Engineering zum Eindringen in das System angewandt.
Beim Besuch („Surfen“) auf präparierten Webseiten werden auf unzureichend geschützten Rechnern Schadprogramme auf dem System des Webseitenbesuchers installiert, ohne dass dieser etwas davon bemerkt. Betroffen sind sowohl dubiose als auch legitime Webseiten.
Unter Exploit-Kits sind Werkzeuge für Cyber-Angriffe zu verstehen. Beim Besuch einer Webseite wird automatisiert nach einer Schwachstelle im IT-System gesucht und mittels der zur Verfügung stehenden Exploits eine Installation von Schadprogrammen durchgeführt.
„Internet der Dinge bezeichnet die Vernetzung von Gegenständen mit dem Internet, damit diese Gegenstände selbstständig über das Internet kommunizieren und so verschiedene Aufgaben für den Besitzer erledigen können. Der Anwendungsbereich erstreckt sich dabei von einer allgemeinen Informationsversorgung über automatische Bestellungen bis hin zu Warn- und Notfallfunktionen.“ (Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Internet der Dinge. Abrufbar über: Internet der Dinge • Definition | Gabler Wirtschaftslexikon)
Der „Man-in-the-Middle-Angriff“ (= Mittelsmannangriff) ist eine Angriffsform, die in Rechnernetzen Anwendung findet. Hierbei sitzt der Angreifer zwischen zwei oder mehreren Kommunikationsendpunkten / -partnern und kann den Datenverkehr einsehen sowie beliebig manipulieren.
Schadprogramme (auch Malware genannt) sind Werkzeuge, die entwickelt wurden, um unerwünschte und ggf. schädliche Funktionen auf einem System ausüben zu können. Es gibt verschiedene Typen von Schadprogrammen wie bspw. Viren und Trojaner. Die meisten Schadprogramme sind modular aufgebaut und bringen eine Vielzahl von Schadfunktionen mit sich.
Unter dem englischen Begriff Spam (= Abfall) werden unerwünschte Nachrichten bezeichnet, die massenhaft und ungezielt auf elektronischem Weg (E-Mail bzw. andere Kommunikationsdienste) versendet werden. Häufig beinhalten sie lediglich unerwünschte Werbung. SPAM-Mails können jedoch auch Schadprogramme im Anhang sowie Links zu Webseiten mit Drive-by-Exploits enthalten.
Der englische Begriff Spyware setzt sich aus den Begriffen „spy“ (Spion) und „(Soft-)ware“ (Programme) zusammen. Hierbei handelt es sich um Schadsoftware, welche die Daten eines Computersystems/-nutzers unberechtigt ausspäht und über Internetverbindungen weiterleitet. In der Regel werden die auf dem Rechner hinterlegten Schadprogramme nach dem Hochfahren des Rechners automatisch aktiviert. Nach Herstellung einer Verbindung zum Internet erfolgt die Übermittlung der gesammelten Daten. Spyware versucht sich (im Gegensatz zu Computerviren) nicht weiterzuverbreiten.
Hierbei handelt es sich um ein Schadprogramm das als nützliche Softwareanwendung getarnt ist, im Hintergrund jedoch andere Funktionen erfüllt. Bei Trojanern ist keine Selbstproduktion vorhanden. Sobald es bewusst durch den Nutzer installiert wurde, werden die mit dem Trojaner eingeschleusten Computerviren aktiv. Durch diese werden in der Regel Daten ausgespäht und ausgeleitet. Einige Schadsoftware kann auch dazu dienen, den infizierten Rechner zum Teil eines BOT-Netzes zu machen.
Hierbei handelt es sich um einen oder mehrere Verstöße gegen die Urheberrechte. Es umfasst insbesondere die Verwertungsrechte oder die Aneignung eines fremden Werkes unter eigenem Namen (Plagiat). So kann beispielsweise eine Vervielfältigung, Verbreitung, öffentliche Zugänglichmachung, Wiedergabe durch Bild- und Tonträger zu einer Urheberrechtsverletzung führen. Häufig handelt es sich um urheberrechtlich geschützte elektronische Medien, wie z.B. Musikstücke, Filme, Fotos, Texte, Computerprogramme sowie Datenbanken.