Cybercrime

Die Welt der Computerkriminalität

Inhalt

WannaCry – der bislang „erfolgreichste“ Cryptolocker

Bislang hatte man Cryptolocker (also Trojaner, die Dateien auf dem infizierten System verschlüsseln) und die Erpressung von Lösegeld (zumeist in Bitcoin) zur Entschlüsselung der verschlüsselten Daten eher als kriminelles „Randphänomen“ gesehen. Dies dürfte sich seit dem Wochenende geändert haben. Ein Cryptolocker namens „WannaCry“ hat die bislang größte Verschlüsselungsattacke gestartet. Betroffen waren Systeme weltweit. Besonders brisant war dabei, dass gesellschaftliche relevante Systeme im großem Umfang betroffen waren. So führte die Infizierung von Rechnern des britischen National Health Service zu chaotischen Zuständen in britischen Krankenhäusern. Auch internationale Unternehmen aus der Automobil-, Transport- und Telekommunikationsbranche meldeten zahlreiche Infektionen. Die Besitzer der infizierten Systeme werden dabei erpresst: Den Schlüssel zur Entschlüsselung ihrer Daten erhalten sie von den Erpressern nur, wenn sie eine bestimmte Summe in Bitcoins bezahlen.

Technisch gesehen weist WannaCry eine Besonderheit auf: Anders als bisher kursierende Cryptolocker ist WannaCry nicht (nur) auf eine Verbreitung per E-Mail (und damit auf menschliche Mithilfe) angewiesen. Der Verschlüsselungstrojaner breitet sich nach der Infektion eines Systems selbständig auf andere vom infizierten System erreichbare Systeme aus und infiziert auch diese. Er nutzt hierfür eine Sicherheitslücke im Betriebssystem Windows, die bei älteren und nicht mehr automatisch mit Updates versorgten Versionen vorhanden ist (Besitzer solcher Versionen sollten sich also unbedingt den von Microsoft bereits zur Verfügung gestellten Patch herunterladen).

Zwischenzeitlich haben Sicherheitsforscher zwar einen Mechanismus entdeckt (und genutzt), der die Verbreitung von WannaCry hemmt. Jedoch besteht natürlich die Gefahr einer weiteren Angriffswelle mit einer „verbesserten“ Version, welche von dem gefundenen Mechanismus nicht mehr beeinträchtigt wird.

Quelle und weiterführende Informationen mit regelmäßigen Updates: heise.de

Die Infektion eines Systems mit einem Cryptolocker erfüllt (im Regelfall) gleich mehrere Straftatbestände des StGB: Da sich er Trojaner Zugriff auf die Daten des infizierten Systems verschafft liegt § 202a StGB (Ausspähen von Daten) vor. Durch die Verschlüsselung der Daten und das Weiterverbreiten unter Nutzung des Systems werden außerdem Daten auf dem infizierten System verändert und damit der Tatbestand der Datenveränderung (§ 303a StGB) erfüllt. Wird dabei eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist (z.B. die der Erwerbstätigkeit dient oder wie im vorliegenden Fall Produktionsanlagen oder Dienstleistungssysteme steuert) gestört, liegt auch § 303b StGB (Computersabotage) vor. Bereits die Herstellung des Cryptolockers steht gem. § 202c StGB (Vorbereiten des Ausspähens von Daten) unter Strafe. Die Erpressung von Bitcoins als „Lösegeld“ wird als Erpressung nach § 253 StGB erfasst. Hierbei wird regelmäßig auch ein besonders schwerer Fall vorliegen, da die Täter gewerbsmäßig (also mit der Absicht, sich durch die Wiederholung ihrer Tat eine fortlaufende Einkunftsquelle zu verschaffen) und als Mitglieder eine Bande (mindestens drei Täter, die sich zur Begehung entsprechender Taten verbunden haben) handeln. Das deutsche Strafgesetzbuch ist also ausreichend zur Bekämpfung solcher Straftaten gewappnet.

Oftmals schwierig gestalten sich dagegen die Ermittlungen des oder der Täter. Da die Zahlungen in Bitcoins erfolgen, ist eine Nachverfolgung der Zahlungsströme zwar möglich, jedoch werden „Konten“ (Bitcoin-Adressen) im Bitcoin-System unter Pseudonymen betrieben, so dass es für die Strafverfolger schwierig ist, die hinter den Adressen stehenden Personen zu identifizieren. Oft haben die Täter auch weitere Maßnahmen zur Verschleierung ihrer Identität und der Verwischung ihrer digitalen Spuren getroffen (z.B. Nutzung von Anonymisierungssoftware). Schließlich operieren die Täter nicht selten aus dem Ausland heraus, was die Strafverfolgung durch deutsche Behörden weiter erschwert.

CR

Vortrag zu Darknet, Bitcoins und Underground Economy am 23.3.2017

Am Donnerstag, 23.03.2017 hält Dr. Christian Rückert an der Volkshochschule Erlangen einen Vortrag zum Thema „Darknet, Bitcoins und Underground Economy“. Beginn ist um 19 Uhr in der Friedrichstraße 19 in Erlangen. Der Eintritt ist frei.

Das „Darknet“ und die sogenannte „Underground Economy“ sind als neue Internetphänomene derzeit in aller Munde. Dabei ist das „Darknet“ zunächst gar nicht so düster und gefährlich wie es sein Name vermuten lässt. Es gibt gute und nachvollziehbare Gründe für Internetnutzer, an der Verschleierung ihrer IP-Adresse interessiert zu sein. So ist das „Darknet“ ein unschätzbares Werkzeug im internationalen Kampf um Presse- und Meinungsfreiheit gegen totalitäre Regime. Allerdings ist die Identitätsverschleierung – insbesondere unter zusätzlicher Nutzung virtueller Kryptowährungen als Zahlungsmittel – auch für kriminelle Akteure attraktiv. Die (vermeintliche) Anonymität in der „Underground Economy“ stellt die Strafverfolgungsbehörden vor neue Herausforderungen. Es stellt sich daher die Frage, wie eine effektive Strafverfolgung krimineller Darknetnutzer gewährleistet werden kann, ohne das legitime Interesse an und Recht auf Anonymität der legalen Nutzer zu stark einzuschränken.

 

Bericht über BITCRIME Projekt auf heute.de

Kurzmitteilung

Auf heute.de ist ein von Michael Kniess verfasster Beitrag über das Projekt BITCRIME zu finden. Dieses Forschungsprojekt befasst sich mit der Entwicklung neuer Präventionsstrategien und Strafverfolungsmethoden im Bereich virtueller Währungen. Der Lehrstuhl für Strafrecht, Strafprozessrecht, Internationales Strafrecht und Völkerrecht beschäftigt sich dabei in Person von Professor Christoph Safferling und seinen Mitarbeitern Johanna Grzywotz und Christian Rückert mit der rechtlichen Bewertung der entwickelten Lösungen.

CR

Proseminar zu „Cybercrime and Cyber-Investigations“

Im Wintersemester 2016/17 bietet unser Mitarbeiter Christian Rückert ein Proseminar zum Thema „Cybercrime and Cyber-Investigations“ an. Dabei werden Themen aus der Computer- und Internetkriminalität ebenso behandelt wie moderne, computer- und internetbasierte Ermittlungsmaßnahmen sowie die Anwendbarkeit des deutschen Strafrechts und Strafprozessrechts auf grenzüberschreitende Sachverhalte mit Internetbezug. Die Lehrveranstaltung findet in Kooperation mit dem Lehrstuhl für IT-Sicherheitsinfrastrukturen (Prof. Dr. Felix Freiling) statt. Weitere Informationen entnehmen Sie bitte der Ankündigung.

Proseminarankündigung_WS 2016 2017

Großer Bitcoin-Geldwäschering zerschlagen

Nach Mitteilung der niederländischen Staatsanwaltschaften, sowie nach Berichten des De Telegraaf und www.heise.de, haben niederländische Ermittler einen großen Geldwäschering ausgehoben, der mit der Krypto-Währung Bitcoins operierte. Die beteiligten Ermittlungsbehörden gegen derzeit davon aus, dass es sich bei den gewaschenen Bitcoins um Gewinne aus Geschäften auf den Handelsplätzen im sog. Darknet handelt.

(Quelle: http://www.heise.de/security/meldung/Niederlaendische-Polizei-zerschlaegt-Bitcoin-Geldwaeschering-3079799.html?wt_mc=nl.heisec-summary.2016-01-25)

Diese Online-Handelsbörsen (z.B. die vom FBI ausgehobene Handelsplattform „silk road„) sind nur durch die Nutzung einer Anonymisierungssoftware zur Verschleierung der IP-Adresse zu erreichen  (das bekannteste Beispiel ist die TOR-Software, https://www.torproject.org). Auf ihnen werden neben legalen Gütern vornehmlich auch illegale Waren wie Waffen, gefälschte Kreditkarten, gestohlene Identitäten etc. gehandelt. Um auch eine Rückverfolgung des Geldflusses zu erschweren, ist die Bezahlung in Bitcoins üblich. Im Bitcoin-Netzwerk exisitert nämlich keine zentrale, verwaltende Stelle (wie eine Bank), an die sich Ermittlungsbehörden wenden könnten und die Nutzer können sich beliebig viele pseudonyme „Konten“ (öffentliche Schlüssel) selbst generieren. Die Nutzung von sog. Mixing-Services, die Bitcoins verschiedener Nutzer „einsammeln“ und diesen in zufälliger Verteilung zurück überweisen, erschwert zusätzlich die eigentlich durch die öffentlich einsehbare Transaktionsliste (Blockchain) gegebene Rückverfolgbarkeit der Geldströme im Netzwerk. Traditionelle Fahndungsmaßnahmen stoßen daher schnell an ihre Grenzen.

Siehe hierzu: Safferling/Rückert, Telekommunikationsüberwachung bei Bitcoins, MMR 2015, 788.

Problematischer gestaltet sich der Umtausch in Realwährungen, da dieser bislang vornehmlich über offizielle Bitcoin-Börsen (wie zum Beipiel Bitcoin Deutschland AG, https://www.bitcoin.de) vorgenommen werden kann, die aber zumeist ein KYC-System (Know your customer, also eine Identifikation der Geschäftspartner) verwenden und mit den Behörden kooperieren. An dieser Stelle setzen nun Geldwäscheringe, wie der von der niederländischen Polizei zerschlagene, an. Sie bieten eine Verschleierung der Herkunft der Gewinne und einen Umtausch in Realwährung an. Materiell-strafrechtlich ist dabei vor allem fraglich, ob virtuelle Kryptowährungen – die weder Sache noch Recht sind – unter den Begriff des „Gegenstandes“ in § 261 StGB zu fassen sind.

Da virtuelle Krypto-Währungen aufgrund ihrer Pseudonymität und ihrer weltweiten Verfügbarkeit für kriminelle Aktivitäten mit steigender Verbreitung immer attraktiver werden, ist eine intensive Beschäftigung der Ermittlungsbehörden, der Justiz und der Strafrechtswissenschaft zur Entwicklung neuer Strategien notwendig. Der Lehrstuhl für Strafrecht, Strafprozessrecht, Internationales Strafrecht und Völkerrecht der FAU beteiligt sich daher an dem, vom Bundesministerium für Bildung und Forschung geförderten, Forschungsprojekt BITCRIME, dass sich mit der Verfolgung und Prävention organisierter Finanzkriminalität im Zusammenhang mit virtuellen Währungen beschäftigt.

Gemeinsame Cyber-Ermittlungen von britischem Geheimdienst und Polizeibehörden

Der britische Geheimdienst GCHQ und die National Crime Agency (entspricht in etwa dem bundesdeutschen BKA) haben eine gemeinsame Ermittlungseinheit zur Aufklärung von Straftaten im sog. Darknet gebildet (gemeint war hier wohl Deep Web und Darknet, siehe sogleich). Erklärtes Ziel ist vor allem eine Erhöhung der Aufklärungsquote im Bereich des sexuellen Kindesmissbrauchs im Internet. Dabei soll die neue Ermittlungseinheit vor allem kriminelle  Nutzer des sog. Darknet ins Visier nehmen. (Quelle: http://www.heise.de/security/meldung/Grossbritannien-Geheimdienst-und-Polizei-jagen-Verbrecher-im-Dark-Web-2916413.html?wt_mc=nl.heisec-summary.2015-11-12 (externer Link))

Beim sog. Deep Web handelt es sich um Teile des Internets, die von Standardsuchmaschinen nicht indexiert werden und damit nicht durch einen normalen Suchvorgang aufgefunden werden können. Der Zugang zu sog. Darknetseiten ist auf Nutzer beschränkt, die bestimmte Anonymisierungssoftware verwenden, um ihre Identität zu verschleiern. Auch wenn Seiten im Darknet keineswegs nur zu kriminellen Zwecken unterhalten und besucht werden, stellt die Anonymität natürlich eine willkommene Gelegenheit für kriminelle Umtriebe dar. (vgl. hierzu: http://www.welt.de/wirtschaft/webwelt/article145402685/Wie-komme-ich-eigentlich-ins-Darknet.html (externer Link); http://www.deutschlandradiokultur.de/was-die-suchmaschine-nicht-findet.1162.de.html?dram:article_id=182787 (externer Link))

Eine derartige Zusammenarbeit zwischen Geheimdiensten und Polizeibehörden ist in Deutschland (zu Recht) nicht vorstellbar. Sie liefe dem sog. Trennungsgebot zu wider. Darunter versteht man die organisatorische Trennung (vgl. § 1 Abs. 1 Satz 2 BNDG, § 2 Abs. 1 Satz 3 BVerfSchG) zwischen Geheimdienst und Polizeibehörden. Darüber hinaus ist auch Teil des Trennungsgebots, dass den Geheimdiensten nicht die individuellen Eingriffsbefugnisse der Polizeibehörden inne haben (vgl. § 8 Abs. 3 BVerfSchG, § 2 Abs. 3 BNDG). Der Zweck des Trennungsgebots – dessen Wichtigkeit gerade unter dem Eindruck fortschreitender Entwicklung in der Überwachungstechnik nicht unterschützt werden darf –  liegt in der Verhinderung eines umfassenden staatlichen Überwachungssystems und dient damit mittelbar der Vorbeugung faschistischer Systeme.  (Ausführlich: Nehm, NJW 2004, 3289ff.; Krauß, Beck’scher Onlinekommentar RiStBV Nr. 205 Rn 8ff.)

Die Verbesserung der Aufklärung von Straftaten im Internet rechtfertigt es nicht, einen der wichtigsten Schutzmechanismen des modernen demokratischen Rechtsstaats über Bord zu werfen. Angezeigt ist vielmehr eine Verbesserung der personellen und technischen Mittel der polizeilichen und staatsanwaltschaftlichen Ermittlungsbehörden. Über die Frage, ob auch eine Erweiterung der strafprozessualen Eingriffsbefugnisse notwendig ist, sollte eine ergebnisoffene Diskussion mit Rücksicht auf die Grundrechte der Bürger geführt werden.