Bundeskriminalamt (BKA)

Internet­kriminalität/Cyber­crime

Die moderne Gesellschaft ist global vernetzt, wir kommunizieren in Sekundenschnelle mit Freunden, Bekannten und Geschäftspartnern weltweit. Mit den positiven Möglichkeiten der Internetnutzung gehen aber auch negative Begleiterscheinungen einher: Cyberkriminellen bieten sich vielfältige Tatgelegenheiten. Straftaten verlagern sich ins Internet, neue Kriminalitätsphänomene entstehen.

Internet Internet

Die Bandbreite illegaler Aktivitäten und Tatgelegenheiten im bzw. mittels des Internet ist groß und reicht von der Verbreitung von Kinderpornografie im Internet über "Phishing" persönlicher Zugangsdaten, Handel mit Waffen und Rauschgift bis hin zu Netzwerkeinbrüchen und DDoS-Attacken, der Verbreitung von Schadsoftware und Betrugshandlungen. Dies alles geschieht unter Nutzung von Clearnet / Visible Web, der dort existierenden Foren der Underground Economy, von DeepWeb und Darknet. 

Im Phänomenbereich Cybercrime ist – wie in kaum einem anderen Deliktsbereich – eine kontinuierlich steigende Kriminalitätsentwicklung zu verzeichnen (siehe hierzu auch die Lageberichte Cybercrime).

Definition und Erscheinungsformen

Cybercrime umfasst die Straftaten, die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten (Cybercrime im engeren Sinne) oder die mittels dieser Informationstechnik begangen werden.

Aktuell verbreitete Erscheinungsformen von Cybercrime sind gekennzeichnet durch die Infektion und Manipulation von Computersystemen mit Schadsoftware, z. B. um

  • persönliche Daten und Zugangsberechtigungen des Nutzers abgreifen und missbräuchlich nutzen zu können (Identitätsdiebstahl)
  • darauf befindliche Daten/Dateien des Nutzers mittels sog. Ransomware zu verschlüsseln, um "Lösegeld" zu erpressen,
  • sie "fernsteuern" zu können, in sog. Botnetzen zusammenzuschalten und für weitere kriminelle Handlungen einzusetzen.

Identitätsdiebstahl/Phishing

Die digitale Identität umfasst alle Arten von Accounts und zahlungsrelevanten Informationen eines Internetnutzers, wie beispielsweise Zugangsdaten in den Bereichen

  • Kommunikation (E-Mail- und Messengerdienste)
  • E-Commerce (Onlinebanking, Onlinebrokerage, internetgestützte Vertriebsportale aller Art, z. B. Online-Händler, Reiseportale etc.)
  • berufsspezifische Informationen (z. B. für den Online-Zugriff auf firmeninterne technische Ressourcen)
  • E-Government (z. B. elektronische Steuererklärung)
  • Cloud-Computing
  • Kreditkartendaten
  • Zahlungsadressen

Cyberkriminelle versuchen, beispielsweise durch "Phishing", Zugriff auf derartige Daten zu erhalten, um sie hinterher gewinnbringend zu verkaufen oder zur Begehung weiterer Straftaten einzusetzen. Unter "Phishing" versteht man alle Versuche, z. B. durch gefälschte Websites, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und somit einen Identitätsdiebstahl zu begehen.

Einsatz von Schadsoftware

Für das Phishing setzen Cyberkriminelle in der Regel Schadsoftware (Malware) ein. Neue Schadsoftwareprogramme entstehen im Sekundentakt und sind darauf ausgelegt, Virenschutz-Programme zu umgehen und Sicherheitslücken auszunutzen. Die Verbreitung von Schadsoftware erfolgt durch

  • Herunterladen infizierter Anhänge, die meist als Bestandteil Interesse weckender E-Mails übermittelt werden
  • "Drive-by-Infection": Cyberkriminelle präparieren Webseiten im Internet, die Schadsoftware wird durch den Aufruf einer solchen präparierten Webseite automatisch heruntergeladen
  • Verteilung über Soziale Netzwerke, in denen infizierte Anhänge und entsprechende Links geteilt werden oder
  • "Spear-Infection": Cyberkriminelle nehmen mittels persönlich adressierter Phishing- oder Infektionsmails gezielt zu bestimmten Personen Kontakt auf, um auf diesem Wege an Daten zu gelangen bzw. den Rechner des Opfers zu infizieren

Schadsoftware für mobile Endgeräte

Aufgrund der rasant zunehmenden weltweiten Nutzung mobiler Endgeräte bringen Cyberkriminelle zunehmend auch speziell für Smartphones entwickelte Schadsoftware in Umlauf, beispielsweise zur Umgehung des Mobile-TAN-Verfahrens im Online-Banking.

Die Infektion mobiler Endgeräte erfolgt – ebenso wie beim PC – über das Herunterladen infizierter Anhänge und das Aufrufen infizierter Links und Webseiten oder aber über die Installation infizierter Apps.

Datendiebstahl durch Social Engineering

Schwächstes Glied in der Sicherheitskette ist jedoch meist der Internetnutzer selbst. Dessen sind sich auch Cyberkriminelle bewusst. Durch geschickte psychologische Manipulation verleiten sie ihre Opfer zu Handlungen, die die Sicherheit ihrer Daten kompromittieren. Sie nutzen menschliche Angewohnheiten wie Neugier oder Angst aus, um Zugriff auf Daten zu erhalten oder Rechner zu infizieren. Potenzielle Opfer werden beispielsweise anhand von Angaben in Sozialen Netzwerken ausgewählt und gezielt kontaktiert.

Beispiele für Social Engineering-Angriffe sind:

  • Versand persönlicher und vertrauenserweckender E-Mails mit der Aufforderung, aus bestimmten Gründen vertrauliche Informationen preiszugeben (z. B. Verifizierung des Online-Banking-Accounts)
  • Gezielter Versand von E-Mails mit gefährlichen Anhängen an Personen, die zuvor beispielsweise über Informationen in Sozialen Netzwerken als adäquates Ziel identifiziert wurden (z. B. Mitarbeiter aus Finanzabteilungen in Unternehmen, Sicherheitsberater, etc.)
  • Angebot einer Telefonbetreuung zur Lösung eines vermeintlichen Computerproblems: führen die Opfer die vom Täter beschriebenen Maßnahmen am Rechner oder Netzwerk durch, kann verschiedenste Schadsoftware installiert werden
  • Anfertigung der Kopie eines vorhandenen Nutzer-Accounts in Sozialen Netzwerken und Versand von vertrauenserweckenden Nachrichten an dessen Freunde, beispielsweise mit der Bitte um Kontaktaufnahme über eine separate E-Mail-Adresse oder Handynummer: beim Klick auf die Mailadresse wird dann z. B. Schadcode auf dem Rechner installiert, beim Versenden einer SMS an die Handynummer muss der Absender bezahlen (Bezahl-SMS)

Wie Sie sich vor Identitätsdiebstahl/Phishing schützen können, erfahren Sie hier.

Digitale Erpressung

Für digitale Erpressungen setzen Cyberkriminelle häufig sogenannte Ransomware ein.
Dabei werden kryptografische Verfahren verwendet, um Dateien und Dokumente auf infizierten Computern zu verschlüsseln. Für die Wiederherstellung des Zugriffs wird die Zahlung eines Lösegeldes (engl. ransom) gefordert. Entsprechende Schadsoftware oder die für eine solche Erpressung nutzbaren kriminellen "Dienstleistungen" können in einschlägigen Foren der Underground Economy erworben werden. Somit ist für die Durchführung digitaler Erpressungen kein besonderer IT-Sachverstand mehr erforderlich.

Mittlerweile gibt es einige Varianten von Ransomware, die nicht nur lokale Dateien verschlüsseln, sondern auch Netzwerkordner angreifen. Diese Varianten zielen in erster Linie auf Unternehmen ab, wo derartige Netzwerkordner vornehmlich genutzt werden. Während die ersten Schädlinge noch auf Zahlungsmethoden wie "Paysafecard" oder "UKash" setzten, geht der Trend mittlerweile klar hin zur Forderung von anonymen digitalen Zahlungsmitteln, primär Bitcoins.

Infizierung des Computers

Die Infizierung des Computers erfolgt über die durch den rechtmäßigen Anwender unbemerkte Installation der Schadsoftware auf dem Rechner. Die Software kann dabei auf unterschiedlichen Wegen auf das System gelangen – durch das Öffnen von E-Mail Anhängen, durch "Drive-by-Infection" beim Aufruf infizierter Webseiten oder durch den Download von nicht verifizierten Dateien, z. B. im Usenet und in Tauschbörsen / P2P (Peer to Peer)-Netzen, wo die Schadsoftware meist als Video- oder Sounddatei getarnt zum Download angeboten wird.

Zunehmend werden auch Soziale Netzwerke zur Verteilung der Software eingesetzt. Dabei werden den Nutzern der Netzwerke von vermeintlichen Bekannten oder Freunden Nachrichten mit infizierten Anhängen zugesandt. Wenn diese aufgrund des mutmaßlich bestehenden Freundschaftsverhältnisses gutgläubig geöffnet oder entsprechende Links aktiviert werden, führt dies zur Infektion des Computers.

Hinweise zum richtigen Verhalten in Fällen von Cybercrime und zur Prävention

Hinweise zum richtigen Verhalten in Fällen von Cybercrime und zur Prävention erhalten Sie hier.

Massenhafte Fernsteuerung von Computern (Botnetze)

"Botnet" ist ein zusammengesetztes Wort aus den englischen Begriffen "robot" und "network" und bedeutet so viel wie "ein Netzwerk aus Robotern". Man spricht von Botnetzen, wenn viele, meist mehrere Tausend Rechnersysteme mit einem Schadcode infiziert wurden und per Command & Control Server (C&C Server, Fernsteuerung) zusammengeschlossen werden, um dann von Kriminellen zur Durchführung bestimmter Aktionen genutzt zu werden.

Botnetze werden oftmals zu gezielten Angriffen auf die Verfügbarkeit von bestimmten Webseiten, sogenannte Distributed Denial of Service (DDoS)-Angriffe, oder zum massenhaften Versand von Spam-Nachrichten eingesetzt.
Gleichzeitig bietet der in der Regel unbemerkt für den Anwender aufgebrachte Schadcode die Möglichkeit, die kompromittierten Systeme auszuspähen und liefert dem Kriminellen persönliche Informationen des Anwenders (z. B. Zugangsdaten zum Online-Banking, zu sozialen Netzwerken oder zu E-Mail-Providern).

Botnetze und ihre Kapazitäten sind fester Bestandteil der Infrastruktur von Cyberkriminellen und werden mittlerweile als Ware in einschlägigen Foren der Underground Economy angeboten. Für einen relativ günstigen Preis können dort selbst weniger IT-affine Täter Botnetze mieten und Cyberangriffe erfolgreich durchführen.


Mögliche Dimensionen des Phänomens

Bei Cybercrime ist von einem sehr großen Dunkelfeld auszugehen. Das heißt, dass vermutlich nur ein kleiner Teil der Straftaten in diesem Bereich zur Anzeige gebracht wird bzw. der Polizei und/oder den Strafverfolgungsbehörden bekannt ist.

2013 kam eine in Niedersachsen durchgeführte Dunkelfeldstudie zu dem Ergebnis, dass lediglich 9 % aller Delikte im Bereich Cybercrime angezeigt werden.

Einer 2015 veröffentlichten repräsentativen Studie des Deutschen Instituts für Wirtschaftsforschung zufolge ist Deutschland jährlich mit 14,7 Millionen Fällen von Internetkriminalität belastet, darunter mehr als 12 Millionen Fälle von Phishing, Identitätsbetrug und Angriffen mittels Schadsoftware. Gemessen an der Zahl der in der Polizeilichen Kriminalstatistik (PKS) registrierten Straftaten im Bereich Cybercrime würde dies ein weitaus größeres Dunkelfeld bedeuten als ohnehin schon angenommen.

Infografik

Cybercrime - Lagezahlen 2015 (PDF, 3MB)


Bekämpfung von Cybercrime durch das BKA

Im Bundeskriminalamt wurden frühzeitig Einheiten aufgebaut, die sich mit den Erscheinungsformen von Cybercrime befassen.

Zur Durchführung von Ermittlungsverfahren, der Koordinierung nationaler und internationaler Aktivitäten, der Analyse und Lagebeschreibung aktueller Cybercrime-Phänomene besteht im BKA die Gruppe SO 4 – Cybercrime der Abteilung Schwere und Organisierte Kriminalität (SO).

Innerhalb dieser Einheit befinden sich u. a. folgende Arbeitsbereiche:

Zentrale Ansprechstelle Cybercrime (ZAC)

Die Komplexität der Angriffsvektoren, das hohe Schadenspotenzial und die gesamtgesellschaftlichen Auswirkungen in Fällen von Cybercrime erfordern eine vertrauensvolle Kooperation zwischen betroffenen Unternehmen und Strafverfolgungsbehörden.
Auf die Bedarfslage wurde von Seiten der Polizei in Bund und Ländern durch die Einrichtung Zentraler Ansprechstellen Cybercrime (ZAC) beim BKA und den Länderpolizeien reagiert.
Die ZAC des BKA als Bestandteil der Nationalen Kooperationsstelle Cybercrime fungiert dabei als Vermittler und Berater für die Wirtschaft, um im Schadensfall die polizeilichen Ermittlungen zu koordinieren.
Durch die zentrale Bündelung der Kompetenzen soll die Polizei in enger und vertrauensvoller Zusammenarbeit mit den Bedarfsträgern aus der Privatwirtschaft in die Lage versetzt werden, auf entsprechende Attacken, aber auch auf veränderte Vorgehensweisen der Täter sowie neue technische Entwicklungen reagieren zu können.

Operative Auswertung Cybercrime

Das BKA nimmt im Bereich "Bekämpfung der Cybercrime" die Zentralstellenaufgaben für die deutsche Polizei wahr. Der Arbeitsbereich "Operative Auswertung Cybercrime" ist dabei als Zentralstelle für die Auswertung des kriminalpolizeilichen Meldedienstes zuständig. Ebenso ist die Einheit für den internationalen Kommunikationsaustausch mit Interpol und Europol oder auf bilateraler Ebene im Namen der deutschen Polizei zuständig.

Im Zuge von Auswertungen werden Ermittlungsverfahren zusammengeführt oder initiiert. Dabei pflegt das BKA eine enge Kooperation mit den Polizeien der Bundesländer sowie auch im internationalen Bereich: Dringende Anfragen aus dem In- oder Ausland, die sofortige Maßnahmen erfordern, werden durch eine 24/7–Bereitschaft, die 365 Tage im Jahr verfügbar ist, professionell abgearbeitet.

Die Arbeit im Bereich der "Bekämpfung der Cybercrime" ist neben den allgemein polizeilichen auch durch hohe technische Anforderungen geprägt.

Ermittlungsunterstützung/Internetrecherche

Der Arbeitsbereich "Ermittlungsunterstützung/Internetrecherche"  ist mit vielfältigen Aspekten rund um die Bekämpfung der Internetkriminalität befasst.
Im Zuge der zunehmenden Digitalisierung des Alltags haben die Möglichkeiten der modernen Telekommunikation auch die "klassischen" Kriminalitätsphänomene wie bspw.

  • den Handel mit Betäubungsmitteln,
  • die Verbreitung von Kinderpornografie,
  • die Fälschungskriminalität oder
  • die Waffenkriminalität

durchdrungen und prägen diese stetig. Aus diesem Grund kommt es bei der Verfolgung von Straftaten im Rahmen von Ermittlungsverfahren oder bei der Bearbeitung von Hinweisen regelmäßig auch zu Berührungspunkten mit dem Medium Internet.

Zentralstelle Sexualstraftaten z. N. von Kindern und Jugendlichen

Kinderpornografie kann unter Umständen den noch andauernden sexuellen Missbrauch von Kindern dokumentieren. Das Bundeskriminalamt räumt daher der Bekämpfung der Kinderpornografie einen hohen Stellenwert ein. Die Funktion des BKA als Nationales Zentralbüro der Internationalen Kriminalpolizeilichen Organisation (Interpol) und des Europäischen Kriminalpolizeiamtes (Europol) erlangt vor diesem Hintergrund besondere Bedeutung.
Die Zentralstelle Sexualdelikte zum Nachteil von Kindern und Jugendlichen nimmt die Aufgaben eines Bindeglieds zwischen in- und ausländischen Strafverfolgungsbehörden sowie einer nationalen zentralen Auswerte- und Koordinierungsstelle für diese Behörden wahr.
Informationen zum Thema finden Sie hier.

Weitere Informationen zum Thema Internetkriminalität/Cybercrime finden Sie hier: