Phishing. Welche Strafverfolgungs- und Präventionsmöglichkeiten stehen der Polizei zur Verfügung?

InhaltsVerZEICHNIS

1.. Einleitung
1.1... Ausgangslage
1.2... Zielsetzung
1.3... Aufbau der Arbeit

2.. Vorstellung und Abgrenzung des Phishing
2.1... Klassisches Phishing
2.2... Pharming
2.3... Phishing mittels Malware
2.3.1 Keylogger
2.3.2 Man-in-the-Middle-Angriff
2.3.3 DNS-Spoofing
2.3.4 SMIShing
2.3.5 Spear-Phishing

3.. Statistik zur Entwicklung der Cyber-Kriminalität im Zeitverlauf
3.1... Untersuchung der Cybercrime-Bundeslagebilder 2007-2014
3.1.1 Entwicklung der Cybercrime im engeren Sinne
3.1.2 Phishing im Online-Banking
3.2... Nutzbarkeit der PKS-Statistiken

4.. Täter und Opfer von Cyber-Angriffen
4.1.1 Tätermerkmale
4.1.2 Motive
4.1.3 Underground Economy

5.. Täter
5.1... Opfer

6.. Strafbarkeit des Phishing und Strafverfolgung durch die Polizei
6.1... Aufbau der Polizei bei Internetstraftaten
6.2... Kompetenzzentrum Internetkriminalität (KIK)
6.3... Polizeiliche Maßnahmen bei einem Phishing-Vorfall
6.4... Herausforderungen bei den Ermittlungen

7.. Präventionsmaßnahmen
7.1... Präventionsmaßnahmen der Banken
7.1.1 chipTAN-Verfahren
7.1.2 HBCI-Chipkartenverfahren
7.2... Weitere Präventionsmaßnahmen
7.3... Anti-Phishing Training

8.. Fazit

9.. Anhang
9.1... Abbildungsverzeichnis
9.2... Tabellenverzeichnis

10 Literaturverzeichnis

11 Quellenverzeichnis

1 Einleitung

1.1 Ausgangslage

Der elektronische Zahlungsverkehr hat sich etabliert und ist zu einem zentralen Bestandteil im heutigen Wirtschaftssystem geworden. Durch das Online-Banking können Rechnungen mittlerweile zeit- und standortunabhängig bezahlt werden. Des Weiteren ist der Einsatz von Debit- und Kreditkarten an Automaten zum Bezug von Bargeld oder zur Bezahlung von Waren oder Dienstleistungen mit automatischer Belastung immer beliebter geworden. Im Jahr 2015 betrug der Umsatz im E-Commerce 52,4 Mrd. €. Das ist ein Wachstum um 12% im Vergleich zum Vorjahr. Damit macht E-Commerce mittlerweile 89,6% des Gesamtumsatzes im interaktiven Handel aus.^[1] Mehr als 54 Mio. Giro-Konten werden im Online-Banking geführt, Tendenz steigend.^[2] Durch diesen immer größer werdenden Benutzerkreis des Internet-Bankings kommt es zunehmend zu kriminellen Angriffsszenarien. Das sogenannte "Phishing" (zu den Begrifflichkeiten und Ausprägungsformen vgl. Kapitel 2) nimmt dabei eine besondere Rolle ein und ist mittlerweile zu einer der aktuellsten und akutesten Deliktsform im Bereich "Cybercrime" geworden. Ziel der Täter ist es hierbei, den Internetnutzer zur Preisgabe von persönlichen Daten zu bewegen, um anschließend vermögensrelevante Verfügungen zu seinen Lasten durchführen zu können. Die Täter versenden zum Beispiel E-Mails unter einer dem Empfänger bekannten oder seriösen Internetseite. Dort versuchen die Täter dann, das Opfer dazu zu bewegen, wichtige Informationen wie Passwörter, PINS, TANS, Benutzernamen oder andere ID-Kennungen herauszugeben. Im Zusammenhang mit Phishing im Bereich Online-Banking sind dabei im Jahr 2014 pro Fall ca. 4.000 € Schaden entstanden. Insgesamt beläuft sich die Schadenssumme im Jahr 2014 in Deutschland auf 27,9 Mio. €, Tendenz steigend. In den fünf Jahren davor betrug der durchschnittliche jährliche Schaden 21 Mio. €.^[3]

1.2 Zielsetzung

Aufgrund dieser Zahlen ist es angezeigt, sich mit dem Phänomen Phishing näher zu beschäftigen. Während der Einarbeitung in die Thematik habe ich, um den vorgegebenen Rahmen dieser Arbeit nicht zu überschreiten eine Themeneingrenzung vorgenommen, sodass sich diese Arbeit vorrangig mit dem elektronischen Zahlungsverkehr befassen wird. Dabei wird sich diese Arbeit der Frage widmen, welche Strafverfolgungs- und Präventionsmöglichkeiten der Polizei und weiteren Beteiligten zur Verfügung stehen. Um diese Frage zu beantworten, wird für das Phänomen Phishing eine kriminalistische Deliktsanalyse durchgeführt. Eine Deliktsanalyse befasst sich mit dem Delikt, ihren Erscheinungsformen, den Bekämpfungsmöglichkeiten und gibt einen Blick auf die Gesamtheit des Phänomens.^[4] Es ist eine kriminalistische Methode zur Betrachtung der Delinquenz.^[5]

1.3 Aufbau der Arbeit

Im Rahmen der Deliktsanalyse wird zunächst auf die unterschiedlichen Erscheinungsformen von Phishing eingegangen. Ziel ist es zu erfahren, wie komplex und intelligent dieses Phänomen ausgeführt wird. Im Anschluss soll anhand der polizeilichen Kriminalstatistik und den Bundeslagebildern des Bundeskriminalamtes verdeutlicht werden, inwieweit das Phänomen verbreitet und entwickelt ist. Anschließend werden die Täter und Opfer von Phishing näher beleuchtet, um ein besseres Verständnis für die Präventionsmöglichkeiten zu erlangen. Daraufhin wird aufgezeigt, inwieweit Phishing in Deutschland strafbar ist. Mit diesen Erkenntnissen werden dann die Strafverfolgungs- und Präventionsmöglichkeiten gegen Phishing näher erläutert. Dabei wird insbesondere auf die Präventionsmöglichkeiten der Banken und der Polizei eingegangen.

2 Vorstellung und Abgrenzung des Phishing

Bei dem Wort Phishing handelt es sich um ein Kunstwort aus den englischen Worten ,,Password" und ,,fishing". Das bedeutet frei übersetzt nichts anderes, als das Fischen nach Passwörtern. Das erste ,,h" in Phishing wird auch zum Teil durch den englischen Begriff ,,harvest"= ernten erklärt.^[6] Das Phänomen Phishing beschreibt dabei das Erlangen von Daten über gefälschte Webseiten, betrügerische E-Mails und Schadsoftware / Malware durch Kriminelle.

Nachfolgend werden die wichtigsten Erscheinungsformen von Phishing vorgestellt. Diese geben lediglich einen groben Überblick über die derzeitige Phishing-Situation und erheben keinen Anspruch auf Vollständigkeit. Phishing-Angriffe werden durch die Täter im Laufe der Zeit immer spezifischer und zielgerichteter. Man kann sich das ganze ähnlich, wie bei der Dopinganalyse und dem ,,Wettbewerb" zwischen den illegalen Herstellern und den Analyselaboren vorstellen. Sobald die entsprechenden Behörden und Banken gute Präventions- und Strafverfolgungsmaßnahmen gefunden haben, welche die Phishing-Angriffe unterbinden, verbessern die Täter ihre Methoden fortlaufend, sodass regelrecht ein ,,Wettbewerb" entsteht.

2.1 Klassisches Phishing

Unter dem klassischen Phishing wird das Versenden unzähliger Spam-Mails verstanden. Dabei werden die besagten Massenmails an unwissende Online-Banking Kunden oder Nutzer verschiedener anderer Internetdienste versendet, bei denen finanzielle Transaktionen über das Internet durchgeführt werden.^[7] Die Täter können die erforderlichen E-Mail-Adressen käuflich im Internet erwerben. Der Preis pro eine Million E-Mail-Adressen liegt bei einem Angebot aus dem Jahr 2014 bei 800 Euro.^[8] In der E-Mail werden die Opfer dann aufgefordert, ihre vertraulichen Zugangsdaten an den jeweiligen vermeintlichen Vertragspartner zu übermitteln. Meistens handelt es sich ganz klassisch um die PIN^[9] und TAN^[10]-Nummern der Opfer. Es kann sich dabei aber auch um Kreditkartennummern, Kennwörter oder Zugangsdaten verschiedenster Internetseiten wie PayPal oder Amazon handeln.

Die Übermittlung der Daten an den Täter (,,Phisher") kann dabei auf unterschiedlichsten Wegen erfolgen. Bei der klassischen Form trägt der Benutzer seine Kontaktdaten in vorgefertigte Kästchen der E-Mail und schickt diese dann an den Täter zurück. Dies war jahrelang die häufigste Form des Phishings. Diese Methode verliert aber aufgrund der zwischenzeitlich eingeführten Präventionsmaßnahmen (siehe Kapitel 6) zunehmend an Bedeutung.^[11]

2.2 Pharming

Pharming ist eine Weiterentwicklung des klassischen Phishings. Hierbei wird einer E-Mail vom Täter ein Link beigefügt. Dieser Link führt das Opfer dann zu einer entsprechenden Webseite, welche seiner Bankwebseite sehr ähnlich sieht. Dabei handelt es sich jedoch um eine gefälschte Webseite. Die Bedienung der Webseite ist der echten Seite ebenfalls identisch angepasst. Diese Täuschungsmethode wird ,,Social Engineering" genannt. Der Nutzer soll keinen Verdacht schöpfen, dass er gerade einem Datenklau unterliegt. Oftmals steht in der E-Mail, dass dadurch der Service der jeweiligen Webseite verbessert werden soll. Dabei handelt es sich aber nur um einen Vorwand der Täter.^[12] Die gefälschten Webseiten befinden sich auf vielen unterschiedlichen Servern, welche von den Tätern unterhalten werden. Diese Server ähneln der Tierhaltung auf einer ,,farm". Daher stammt auch der Begriff Pharming. Die Täter sammeln im Nachhinein dann lediglich noch die Daten der Opfer ein.^[13]

Um den genauen technischen Ablauf von Pharming verstehen zu können, muss man wissen, dass jeder Internetseite eine bestimmte IP-Adresse^[14] zugeordnet ist. Diese IP-Adressen werden weltweit nur einmal vergeben. Da man sich diese Nummernfolgen (bspw. 83.243.49.149) nur sehr schlecht merken kann, werden die IP-Adressen in Domainnamen übersetzt. Bei der oben genannten IP-Adresse handelt es sich um die Webseite 83.243.49.149 = http://www.polizei-beratung.de/. Das ganze geschieht mittels des ,,Domain Name System".^[15]

Die Phisher / Pharmer ändern den Domainnamen der Internetseiten minimal ab. Dadurch erhalten sie eine neue IP-Adresse und damit auch eine neue Internetseite.^[16] Ein Beispiel dafür wären die beiden Domainnamen ,,www.sparkasse-bielefeld.de" und ,,www.sparkasse.bielefeld.de“. Die beiden Domainnamen unterscheiden sich nur durch den Punkt und den Bindestrich, aber dadurch entstehen zwei unterschiedliche Internetseiten. Bei dem ersten Domainnamen handelt es sich um die echte Internetseite der Sparkasse in Bielefeld. Von dem zweiten Domainnamen existiert keine Internetseite. Diese könnte ein Täter jetzt theoretisch benutzen um die echte Seite der Sparkasse in Bielefeld zu kopieren bzw. zu fälschen. Wenn sich der Anwender dann auf der gefälschten Webseite befindet und seine Kundendaten in ein beliebiges Feld eingibt, dann werden diese Daten an den Täter weitergeleitet.

2.3 Phishing mittels Malware

Bei dem Wort Malware handelt es sich um ein Kunstwort, welches aus den beiden englischen Wörtern ,,malicious" und ,,Software" zusammengesetzt ist. Frei übersetzt heißt das bösartige Software oder bösartiges Computerprogramm. Weitere geläufige Begriffe sind Schadprogramm oder Schadsoftware.^[17] Malware stellt eine systemfremde Software (Dateien und Programme) dar, welche in die Systemintegrität einer anderen Software eingreifen soll. Diese Software kann drei verschiedene Ziele verfolgen. Sie kann zerstörerisch sein, sodass sie Dateien löscht oder das komplette System unbrauchbar macht. Ein weiteres Ziel kann es sein die Software auszuforschen. Dabei kann nach persönlichen Daten gesucht werden oder es können Keylogger zum Einsatz kommen. Ein Eingriff mittels Malware ist immer in drei gleiche Phasen unterteilt. In der ersten Phase wird der ausgewählte PC^[18] mit einer schädlichen Software über eine Außenverbindung infiziert. Diese Infizierung kann mittels einer elektronischen Nachricht (engl. E-Mail), durch Speichergeräte (USB-Stick, Speicherkarte, externe Festplatte) oder mittels eines Drive-By-Downloads^[19] erfolgen.^[20] Im zweiten Schritt führt die schädliche Software bestimmte Funktionen aus. Dabei ist sie so programmiert worden, dass sie die Schwachstellen in einem System ausnutzt um die Schadsoftware im dritten Schritt herunter zu laden und zu aktivieren.^[21]

Ein Beispiel für einen Angriff mittels Malware wäre, wenn jemand mit einem USB-Stick eine direkte Verbindung zum Computer des Opfers herstellt. Dieser USB-Stick ist mit Schadsoftware infiziert. Auf dem USB-Stick sind keine sichtbaren Daten gespeichert. Die Daten befinden sich auf dem „Controller Chip“.^[22] Ein solcher „Controller-Chip ist so etwas wie der Übersetzer zwischen einem USB-Gerät und dem Computer, an den es angeschlossen wird. Zu diesem Chip gehört eine Firmware – eine Software, die Informationen unter anderem dazu enthält, zu welcher Geräteklasse ein Chip gehört“.^[23] Wenn diese Software verändert wird, dann kann dem Computer vorgespielt werden, dass das Speichermedium nicht erkannt werden kann. Dadurch wird der USB-Stick vom PC als MP3 Player erkannt. Dies hat zur Folge, dass die vorhandenen Sicherheitsvorkehrungen des Computers nicht greifen, da das Gerät als vertraut anerkannt wird und die Schadsoftware kann so unerkannt im Hintergrund aktiv werden und eine Verbindung zum Angreifer herstellen.

Je nach Aufbau und Funktion der jeweiligen Malware gibt es verschiedene Möglichkeiten für den Phisher an die gewünschten Daten zu gelangen. Die einzelnen Möglichkeiten werden nachfolgend erläutert.

2.3.1 Keylogger

Ein Keylogger (deutsch: Tasten-Rekorder) ist eine Hard- oder Software, die verwendet wird, um die Eingaben des Nutzers am PC aufzuzeichnen oder gegebenenfalls zu rekonstruieren.^[24] Der Täter kann den Keylogger dafür nutzen, um an vertrauliche Daten wie z.B. Kennwörter oder PINs zu gelangen. Es gibt zwei Arten von Keyloggern.

Ein Software-Keylogger schaltet sich zwischen die Tastatur und das Betriebssystem, um die Eingaben zu lesen und an das Betriebssystem weiterzuleiten. Die Daten können dann auf dem überwachten PC gespeichert werden oder die Daten werden über das Internet an den PC des Täters versendet.^[25]

Hardware-Keylogger erfordern einen physischen Zugang zum betroffenen PC, wie oben bereits beschrieben wurde. Sie werden direkt zwischen Tastatur und PC geschaltet. Die erlangten Daten werden dann über das Internet zu einem anderen PC versendet. Sollte das Speichermedium die ausgespähten Daten kurzfristig im integrierten Speicher, wie z.B. RAM ablegen, dann werden diese später wieder entfernt. Hardware-Keylogger werden verwendet, wenn es zu aufwendig oder nicht sinnvoll ist, einen Software-Keylogger zu installieren.^[26] Jedoch können Hardware-Keylogger auch einfacher und schneller entdeckt werden, wenn man die eigene Hardware auf fremde Speichermedien untersucht.

2.3.2 Man-in-the-Middle-Angriff

Ein sogenannter Man-in-the-Middle-Angriff (MITM) wird immer häufiger von den Phishern verwendet. Bei einem MITM ,,sitzt" der Täter zwischen zwei kommunizierenden Parteien. Dabei glauben beide Parteien, mit der jeweils anderen Partei einen Dialog zu führen. In Wirklichkeit kommunizieren die jeweiligen Parteien jedoch mit dem Täter. Möchte System A nun eine Verbindung zum System B aufbauen, dann wird tatsächlich eine Verbindung zwischen System A und Angreifer C und Angreifer C zu System B hergestellt.^[27] Da es immer mehr Online-Banking Konten gibt, wird dieser Angriff in diesem Bereich auch immer beliebter. Der Angreifer schaltet sich zwischen Kunde und Bank bzw. dem Online-Banking Konto. Es ist möglich, dass das Schadprogramm erst aktiv wird, wenn der Nutzer eine Online-Bank besucht.^[28] Das Schadprogramm des MITM wird erst in dem Moment aktiviert, wenn der Nutzer einen Banküberweisungsauftrag an seine Bank übermittelt. Das Schadprogramm modifiziert bei der Datenübermittlung die Überweisungsdaten und nimmt in Echtzeit in der Kommunikation zwischen Kunde und Bank eine Mittlerposition wahr. Zum einen kann dadurch die Authentifizierung mittels TAN-Verfahren und PIN überwunden werden, zum anderen kann der Kontostand verändert werden. Dadurch sieht der Kunde erst auf dem nächsten Kontoauszug den Schaden.^[29]

Bei allen Erscheinungsformen von Phishing, aber insbesondere beim MITM werden für die Verwertung solcher betrügerisch erlangten Gelder häufig sogenannte Finanzagenten eingesetzt. Diese werden verstärkt im Ausland angeworben und reisen daraufhin nach Deutschland ein.^[30] Dort eröffnen sie dann bei verschiedenen inländischen Banken Konten. Dort werden dann die manipulierten Transaktionen hingeleitet. Bevor die Bankinstitute oder das Opfer etwas bemerken, werden die Gelder durch die Täter abgehoben und dann meistens unter Nutzung von Kryptowährung, wie z.B. Bitcoin oder Etherium weitergeleitet.^[31]

2.3.3 DNS-Spoofing

DNS-Spoofing ist ein Angriff auf das Domain Name System. Dabei wird die Zuordnung zwischen dem Domainnamen und der zugehörigen IP-Adresse gefälscht. Dafür wird durch die Malware, die so genannte Hostdatei des Betriebssystems geändert. Die Hostdatei ist eine lokale Textdatei, dessen Aufgabe es ist, eine schnellere Verbindung zu Webseiten aufzubauen, welche häufig verwendet werden. Diese aufgerufenen IP-Adressen sind dann in der Hostdatei vorgespeichert und müssen nicht mehr über einen externen DNS-Server zwischengeschaltet werden.^[32] Wird diese Hostdatei durch Malware verändert, dann wird der Benutzer direkt auf die gefälschte bzw. kopierte Webseite des Täters geleitet. Somit merkt der Nutzer nicht, dass er sich auf der gefälschten Webseite des Täters befindet.

2.3.4 SMIShing

Eine der neueren Angriffsmethoden ist das so genannte SMIShing. Hierbei wird per SMS eine Abonnementbestätigung versendet. In der SMS heißt es dann, dass der Kaufpreis bis zur Abmeldung des Abonnements über eine bestimmte Internetseite zu bezahlen ist. Wenn der Kunde dann die entsprechende Internetseite besucht, wird er aufgefordert einen Download zu starten. Dieser Download enthält dann meistens einen Trojaner, welcher auf verschiedenste Weise die persönlichen Daten des Kunden ausspähen kann.^[33]

2.3.5 Spear-Phishing

Der Begriff Spear-Phishing (deutsch: Speerfischen) steht für eine verfeinerte Variante des Phishings, welche einen gezielteren persönlichen Ansatz verfolgt. Diese Form des Phishings zielt immer auf bestimmte Personen oder Gruppen einer Organisation ab.^[34] Dadurch kann der Täter die Angriffe besser auf die jeweiligen Zielgruppen zuschneiden und persönlicher gestalten. Der Täter sammelt oftmals Informationen über soziale Netzwerke, um einen Kontakt zum Opfer aufzubauen. In der heutigen Zeit geben die Nutzer von sozialen Netzwerken immer mehr persönliche Informationen preis. Dadurch machen sie es den Tätern sehr leicht Informationen zu sammeln. Die Erfolgsquote bei solchen persönlich zugeschnitten E-Mails ist viel höher, als bei den Spam-Mails. Das liegt daran, dass die Opfer seltener Verdacht schöpfen, inwieweit es sich hierbei um eine Phishing E-Mail handeln könnte.^[35] Des Weiteren reagieren die elektronischen Schutzprogramme der E-Mail Dienste bei diesen persönlich zugeschnittenen Mails sehr selten.

,,Einer der größten Überfälle der Kriminalgeschichte"^[36], so betitelt Die Welt eine Schlagzeile vom 10.05.2013. Die Täter sollen zunächst im Dezember 2012 durch eine Sicherheitslücke im internationalen Zahlungsverkehr an die Nummern und Pin-Codes tausender Kunden der ,,National Bank of Ras Al-Khaimah" in den Vereinigten Arabischen Emiraten gekommen sein. Im Februar 2013 haben die Täter dann mit dem gleichen System Kundendaten der ,,Bank of Muscat" im Oman gestohlen. Um noch mehr Geld abzuheben, haben die Täter daraufhin die Kartenlimits der Bankkarten aufgehoben. Anschließend haben sie dann die entwendeten Daten nur noch auf Magnetstreifen von abgelaufenen Kreditkarten oder anderen Plastikkarten, wie z.B. Hotelzimmerkarten kopiert. Nach einem ersten Test, der den Tätern 2,8 Mio. Dollar einbrachte, kam der große Coup. Drei Monate nach dem ersten Raubzug erbeuteten die Täter innerhalb von 10 Stunden zwischen 40 und 45 Mio. Dollar. Sie haben dafür an mindestens 36.000 Geldautomaten in 20 Ländern Geld abgehoben.^[37]

Bei dem oben geschilderten Fall handelt es sich um Spear-Phishing, da die Angriffe gezielt auf bestimmte Banken gerichtet waren. Kriminelle Energie führt zu laufender Weiterentwicklung der Phishing-Angriffe und zu steigenden Schadenssummen. Im oben genannten Fall konnten schon 8 Tatverdächtige festgenommen werden.^[38] Derzeit sind kombinierte Angriffe aus Malware und Spear-Phishing die effektivste und erfolgreichste Methode.^[39]

3 Statistik zur Entwicklung der Cyber-Kriminalität im Zeitverlauf

Im Folgenden wird anhand der Cybercrime-Bundeslagebilder der Jahre 2007-2014 die Entwicklung der Computerkriminalität der letzten Jahre untersucht. Daraus wird eine Bewertung der aktuellen Gefährdungslage für das Delikt Phishing resultieren.

Die Untersuchung dieser Statistiken ist ein wichtiger Ansatzpunkt für die Bekämpfung der Internetkriminalität. Durch das Wissen, wie sich die Internetkriminalität entwickelt, können mögliche Trends frühzeitig erkannt werden. Somit können Behörden und Wirtschaft schnell auf Trends reagieren und präventive Schritte einleiten.

3.1 Untersuchung der Cybercrime-Bundeslagebilder 2007-2014

Im Folgenden wird das Cybercrime-Bundeslagebild 2014 näher untersucht. Bei der Internetkriminalität kann man zwischen Cybercrime im weiteren Sinne und Cybercrime im engeren Sinne differenzieren. Die Cybercrime im weiteren Sinne erfasst alle Straftaten, bei denen mit Hilfe von Informations- und Kommunikationsmedien (Internet, Telefon, etc.) Straftaten geplant, vorbereitet oder ausgeführt werden.^[40] Das Cybercrime Bundeslagebild beschäftigt sich mit der Cybercrime im engeren Sinne. Der enger gefasste Begriff befasst sich mit den Erscheinungsformen, wo eine unmittelbare Nutzung und Missbrauch der Informations-und Kommunikationstechnik erfolgt.^[41] Also werden in dem Cybercrime Bundeslagebild die Fallzahlen erfasst, bei denen Straftaten unter Ausnutzung der modernen Informations- und Kommunikationstechnik bzw. gegen diese begangen werden.^[42] Es werden keine Fälle erfasst, bei denen das Internet lediglich zur Hilfe genommen wird, um die Begehung der Straftat zu vereinfachen. Unter den Begriff Cybercrime im engeren Sinne fällt das Phänomen Phishing.

3.1.1 Entwicklung der Cybercrime im engeren Sinne

Die Entwicklung der Cybercrime im engeren Sinne in den Jahren 2007-2014 wird in der Abbildung in der Anlage dargestellt. Zu erkennen ist ein deutlicher Einbruch der Fallzahlen im Jahre 2008. Ein möglicher Grund für diesen starken Abfall könnte die Einführung des iTAN^[43]-Verfahrens bei den Banken sein. Bei dem iTAN-Verfahren erhält der Bankkunde eine Liste mit durchnummerierten TAN. Wenn der Bankkunde dann das iTAN-Verfahren beispielsweise für eine Online-Überweisung nutzt, dann wird er bei jedem Auftrag aufgefordert eine bestimmte TAN (z.B. Nr. 123) einzugeben. Nur mit der angeforderten TAN kann die Überweisung erfolgen. Es handelt sich um eine Weiterentwicklung der TAN-Liste, bei der es keine durchnummerierten TAN gab. Bei der TAN-Liste kann der Kunde eine beliebige TAN für die Überweisung verwenden.^[44] Das iTAN-Verfahren ist also sicherer als die TAN-Liste. Jedoch ist an der Abbildung 1 auch erkennbar, dass die Täter auf die neuen Präventionsmaßnahmen der Banken reagiert haben und ihre Methoden ebenfalls stetig verbessern. Nach 2008 bis zum Jahr 2013 steigen die Fallzahlen wieder kontinuierlich an. Daraus lässt sich schließen, dass das Internet immer häufiger zu einem Schauplatz für Straftaten wird. Das liegt unter anderem an den hohen Summen, welche die Täter im Internet erbeuten können. Im Jahr 2014 lag der Schaden für Cybercrime im engeren Sinne in Deutschland bei 39,4 Millionen Euro.^[45] Dies stellt vor allem für die Strafverfolgungsbehörden eine große Herausforderung dar.

Nachrichtlich:

Der Abfall der Fallzahlen im Jahre 2014 lässt sich durch die geänderte Erfassung der Cybercrime-Delikte erklären. (Sieh Kapitel 3.2)

3.1.2 Phishing im Online-Banking

Ebenso wie in der Abbildung 1 erkennt man auch bei der Abbildung 2 im Anhang im Jahre 2008 einen deutlichen Rückgang der Fallzahlen um über 50%. Eine mögliche Erklärung könnte, wie oben bereits erläutert, die Einführung des iTAN-Verfahrens sein. Bis zur Einführung des mobilen TAN-Verfahrens (mTAN)^[46] im Jahre 2012 steigen die Fallzahlen im Bereich Phishing im Online-Banking jedoch erneut sehr deutlich an. Wie bei der Einführung des iTAN-Verfahrens halbieren sich die Fallzahlen annähernd nach der Einführung des mTAN-Verfahrens. Das mTAN-Verfahren setzt einen Mobilfunkvertrag des Bankkunden voraus. Der Bankkunde hinterlegt dafür bei seiner Bank seine Mobilfunknummer. Möchte der Kunde nun beispielsweise eine Online-Überweisung durchführen, dann wird ihm die notwendige TAN per SMS mitgeteilt.^[47] Ein großer Vorteil des mTAN-Verfahrens gegenüber der iTAN-Liste besteht darin, dass bei einem unberechtigten Zugriff auf das Mobiltelefon lediglich die generierte TAN für eine einzige Online-Überweisung übermittelt wird. Wenn der Täter die iTAN-Liste einer Person besitzen würde, dann könnte dieser beliebig viele Transaktionen durchführen.

Ab dem Jahr 2013 steigen die Fallzahlen im Bereich Phishing im Online-Banking wieder drastisch an. Im Jahr 2014 wird ein neuer Rekordwert von 6.984 Fällen erreicht.^[48] Wie es scheint, funktionieren die Sicherungsmethoden im Online-Banking und die weiteren Präventionsmaßnahmen, wie zum Beispiel die intensive Sensibilisierung der Kunden kurzfristig. Jedoch zeigt die Entwicklung in Abbildung 2, dass sich die Täterseite schnell an die geänderten Rahmenbedingungen anpasst. Sie entwickeln technisch bessere Schadsoftware, sodass das mTAN-Verfahren nicht mehr als sicher eingestuft wird.

Mittlerweile setzen die Täter aber nicht nur auf technische Lösungen, um an die gewünschten Daten zu gelangen. Das sogenannte Social Engineering gewinnt für die Täter immer mehr an Bedeutung. Darunter ist die Beeinflussung einer Person zur Preisgabe vertraulicher Informationen zu verstehen.^[49] Bei Cyberangriffen mittels Social Engineering versuchen die Täter, ihre Opfer dazu zu verleiten ihre persönlichen Daten eigenständig herauszugeben, Schutzmaßnahmen zu umgehen oder selbständig den Schadcode des Täters zu installieren.^[50] Häufig benutzen die Täter dafür die menschliche Neugier aus. Gerade bei Großereignissen wie der Fußball-WM, den Olympischen Spielen, bei Feiertagen oder gesellschaftlichen Themen werden die Opfer von den Tätern ausgenutzt.^[51]

Die Abbildung 3 im Anhang zeigt die Entwicklung der Schäden bei Phishing im Online-Banking. Auch hier zeigt sich, dass die Abbildungen 1-3 sehr ähnliche Chart-Kurven aufweisen. Die Schadenssummen sinken parallel mit der Einführung neuer TAN-Verfahren. Im Jahr 2014 erreicht die Schadenssumme im Bereich Phishing mit 27,9 Millionen Euro einen neuen Rekordwert. Pro Fall erbeuteten die Täter im Jahr 2014 im Bereich Phishing im Online-Banking durchschnittlich 4.000 Euro.^[52] Diese erschreckenden Zahlen zeigen, dass Phishing für die Täter immer lukrativer und damit auch zu einer immer beliebteren Methode des Identitätsdiebstahls wird. Abschließend lässt sich festhalten, dass das Phänomen Phishing eine erschreckende Entwicklung genommen hat. Die Präventionsmaßnahmen der Banken und Strafverfolgungsbehörden zeigen kurzfristig Wirkung, aber bisher konnten diese noch keinen langfristigen Erfolg verzeichnen.

3.2 Nutzbarkeit der PKS-Statistiken

Bei der Nutzbarkeit der Polizeilichen Kriminalstatistiken im Bereich Cybercrime ist zu beachten, dass diese ein sehr großes Dunkelfeld^[53] aufweisen. Das heißt, dass nur ein geringer Teil der Straftaten in diesem Bereich zur Anzeige gebracht wird oder der Polizei und somit den Strafverfolgungsbehörden bekannt wird. Das liegt daran, dass durch die immer weiter verbreiteten Sicherungseinrichtungen viele Straftaten nicht über das Versuchsstadium hinauskommen. Dadurch entsteht dem Geschädigten meist kein finanzieller Schaden, weshalb diese Versuche nur selten zur Anzeige gebracht werden. Des Weiteren könnte es daran liegen, dass viele Geschädigte es einfach nicht merken, dass ihr PC infiziert wurde und sie Opfer einer Cybercrime-Attacke geworden sind. In der Wirtschaft, bei größeren Unternehmen, werden höchstwahrscheinlich viele Straftaten nicht zur Anzeige gebracht, um die Außendarstellung des Unternehmens nicht zu beschädigen. Gerade wenn Unternehmen private Daten der Kunden besitzen, ist es dem Kundenkreis wichtig einen Partner zu haben, der sehr viel Wert auf Sicherheit und Datenschutz legt.^[54] Eine durchgeführte Dunkelfeldstudie in Niedersachsen ergab, dass im Bereich Cybercrime das Dunkelfeld bei 91 % liegt.^[55] Somit scheint die Dunkelfeldziffer im Bereich Cybercrime noch viel höher zu liegen, als in den anderen Deliktsbereichen der PKS^[56].

Des Weiteren sind diese Statistiken nur bedingt aussagekräftig. Seit 2014 werden für die PKS und die Tathandlung nur Cybercrime-Delikte erfasst, bei denen das Schadensereignis in Deutschland liegt. Bis einschließlich 2013 wurden Cybercrime-Delikte erfasst, bei denen das Schadensereignis in Deutschland war und es nicht von Bedeutung war, ob sich die kriminelle Handlung im In- oder Ausland ereignet haben könnte.^[57] Somit sind Langzeitvergleiche nur sehr schwierig zu tätigen. Zudem taucht eine immer gleich arbeitende Phishing-Mail nur einmal in den jeweiligen Statistiken auf. Aufgrund dieser Probleme mit den PKS lassen sich lediglich Trends analysieren.^[58] Eine reale Gefährdungsanalyse ist anhand dieser Statistiken nicht möglich.

4 Täter und Opfer von Cyber-Angriffen

Aktuell gibt es nur sehr wenige repräsentative Studien, um das Wissen der Täter und vor allem der Opfer von Cybercrime.^[59] Deshalb werden nachfolgend die Täter und Opfer von Cybercrime näher betrachtet. Zweck dieser Untersuchung ist es mehr Informationen über die Täter und Opfer von Phishing zu erlangen, um ein besseres Gespür für mögliche Präventionsmöglichkeiten zu bekommen.

5 Täter

Im Cybercrime werden die Täter häufig als ,,Hacker", ,,cracker" oder ,,phreaker" bezeichnet.^[60] Diese Begriffe deuten schon an, dass es nicht den einen bestimmten Hacker gibt. Deshalb scheint es notwendig zu sein die einzelnen Tätermerkmale genauer zu untersuchen.

4.1.1 Tätermerkmale

Ein sehr wichtiges Tätermerkmal ist das Alter. Eine Literaturanalyse des BKA ergab, dass der typische ,,Hacker" Schüler, Auszubildender oder Student ist und sich seine Kenntnisse im Bereich Informationstechnik selbst angeeignet hat.^[61] Eine Studie von Vick und Roters aus dem Jahr 2003 zum Account-Missbrauch im Internet ist auf Deutschland bezogen relevant. Diese ergab, dass das Durchschnittsalter der Tatverdächtigen bei 22 Jahren lag. Die Altersgruppe der 16- bis 21-Jährigen machte dabei einen Anteil von 66% aus.^[62] Die Studie von Vick und Roters ergab zudem einen Frauenanteil unter den Tatverdächtigen von nur 6% in Deutschland. Eine weitere Studie von Rheinberg und Tramp aus dem Jahr 2006 hatte einen Frauenanteil von 13,4% unter den Hackern identifiziert.^[63] Derzeit gibt es keine neueren Studien in Deutschland die sich mit diesem Thema beschäftigt haben. Es ist jedoch davon auszugehen, dass der Frauenanteil in den letzten Jahren weiter gestiegen ist.

Die Literaturanalyse des BKA unter Einbeziehung internationaler Studien ergab, dass die Hacker alle sozialen Schichten abdecken. Eine amerikanische Studie aus dem Jahr 2009 ergab, dass 37% der befragten Personen einen High School Abschluss^[64] hatten und 25% über einen Ausbildungsnachweis verfügten.^[65]

Des Weiteren hat die Auswertung der sozialen Kontakte und Bindungen der Hacker interessante Ergebnisse geliefert. Die Literaturanalyse des BKA ergab, dass Hacker eine schwächere Beziehung zu Familienmitgliedern haben als ,,normale" Computernutzer. Eine weitere Studie ergab, dass Hacker vor allem zum Beginn ihrer ,,Karriere" Mentoren benötigen, um die notwendigen Fertigkeiten eines Hackers zu erwerben.^[66] Ein Teil der Hacker arbeitet auch später in Gruppen zusammen. Das machen sie, um die spezifischen Fähigkeiten der einzelnen Mitglieder besser zu nutzen und somit erfolgreicher zu sein. Ein großer Vorteil als Gruppe zu agieren besteht darin, dass die Verantwortung für das Handeln nicht bei einer Person liegt. Zudem bietet die Gruppe Schutz und Zugehörigkeit. Gerade für Jugendliche sind diese Gruppen sehr interessant, da sie einen gewissen Reiz ausüben und somit in die ,,Underground Economy" eingeführt werden.^[67] Auf die Underground Economy wird anschließend noch eingegangen. Für die Polizei und die Strafverfolgungsbehörden ist es interessant, inwieweit sich die einzelnen Mitglieder der Gruppen persönlich kennen. Eine internationale Untersuchung aus dem Jahr 2009 ergab, dass 37% der Befragten bereits ein Mitglied der Gruppe persönlich getroffen hätten. 30% der Befragten gaben an, dass sie noch nie eines der Gruppenmitglieder persönlich kennengelernt haben. Sehr interessant ist, dass 54 % der Befragten angaben, dass sie weder in derselben Stadt noch im selben Land, wie ihre Gruppenmitglieder leben würden. Demnach leben 35% der Hacking-Partner im selben Land und 11% in derselben Stadt.^[68] Das verdeutlicht noch einmal die Tatortproblematik im Bereich Cybercrime. Selbst interagierende Gruppen agieren aus verschiedenen Städten und Ländern heraus. Das macht es für die Strafverfolgungsbehörden sehr schwer, die Täter zu lokalisieren. Diese Anonymität im Internet nutzen die Täter natürlich aus. Dadurch entfällt die psychologische Hemmschwelle für eine Tatbegehung zunehmend. Die Täter fühlen sich im Internet sicher und haben keine Angst von den Strafverfolgungsbehörden gefasst zu werden. Dies fördert das fehlende Unrechtbewusstsein.^[69] Des Weiteren sind die Täter nicht im direkten Kontakt mit ihren Opfern. Dadurch sehen die Täter auch nicht welche Auswirkungen ihre Handlungen auf das Opfer haben, sodass diese sich nicht schuldig fühlen. Zudem zeigt das Cybercrime Bundeslagebild 2014, dass diese Tätergruppierungen im Deliktsbereich Cybercrime immer mehr wachsen. Im Jahr 2013 gab es noch sechs OK^[70]-Gruppierungen im Bereich Cybercrime. 2014 wurden jedoch bereits 12 OK-Gruppierungen registriert.^[71] Somit scheint die organisierte Kriminalität auch im Bereich Cybercrime immer mehr zu wachsen.

4.1.2 Motive

Bei den Tätern im Bereich Cybercrime scheinen weniger Einzelmotive als Motivbündel ausschlaggebend zu sein. Insbesondere der Spaß am Hacken, die Neugier und der Nervenkitzel dabei, etwas Unerlaubtes zu tun, haben besondere Relevanz. Viele ,,Hacker" beschreiben, dass sie bei diesen Angriffen flow-Erfahrungen erleben, wie sie aus Risikosportarten wie z.B.

[...]

---

^[1] Vgl. bevh.org (2016): Jahresprognose für den Interaktiven Handel 2015 bestätigt.

^[2] Vgl. Bundesverband Deutscher Banken e.V. (2014): Zahlen, Daten, Fakten der Kreditwirtschaft.

^[3] Vgl. Bundeskriminalamt (2014): Cybercrime Bundeslagebild 2014 S.8.

^[4] Vgl. Weihmann Robert (2014): Kriminalistik - Für Studium, Praxis, Führung S.492.

^[5] Vgl. Pientka Monika (2015): Kriminalwissenschaften I S.111.

^[6] Vgl. Polizei-Prävention.de: Ratgeber Internetkriminalität - Phishing.

^[7] Vgl. Fox, Dirk (2005): Phishing.

^[8] Vgl. Datenschutzbeauftragter-info.de (2014) Strafanzeige wegen Verkauf von 33 Millionen E-Mail-Adressen?

^[9] Personal Identification Number

^[10] Transaktionsnummer

^[11] Vgl. Stammer, Christoph (2014): Einblick in die Cybercrime am Beispiel des Phishing S.5.

^[12] Vgl. Fox, Dirk (2005): Phishing.

^[13] Vgl. Schneider, David (2006): Phishing, Pharming und Identitätsdiebstahl - von Postbank bis Paypal S.26-27.

^[14] Internet Protokoll - Adresse

^[15] Vgl. Schneider, David (2006): Phishing, Pharming und Identitätsdiebstahl - von Postbank bis Paypal S.2-3.

^[16] Vgl. Stammer, Christoph (2014): Einblick in die Cybercrime am Beispiel des Phishing S.5-6.

^[17]Vgl. Siller, Helmut: Malware.

^[18] Personal Computer

^[19] Bei einem Drive-By-Download befindet sich der Anwender auf einer gefälschten Webseite. Sobald der Anwender auf ein beliebiges Feld klickt öffnet sich ein Schadprogramm, welches im Nachgang heruntergeladen wird.

^[20] Vgl. Stammer, Christoph (2014): Einblick in die Cybercrime am Beispiel des Phishing S.6.

^[21] Vgl. ebd., S.6.

^[22] Vgl. Beuth, Patrick (2014): Jedes USB-Gerät kann zur Waffe werden.

^[23] Vgl. ebd.

^[24] Vgl. Siller, Helmut: Keylogger.

^[25] Vgl. ebd.

^[26] Vgl. ebd.

^[27] Vgl. Knapp, Felix: Man-in-the-middle: Angriff und Abwehr S.3.

^[28] Vgl. Stammer, Christoph (2014): Einblick in die Cybercrime am Beispiel des Phishing S.7.

^[29] Vgl. Wernert, Manfred (2011): Internetkriminalität - Grundlagenwissen, ersteMaßnahmen und polizeiliche Ermittlungen S.99.

^[30] Vgl. ebd., S.99.

^[31] Vgl. ebd., S.100.

^[32] Vgl. Stammer, Christoph (2014): Einblick in die Cybercrime am Beispiel des Phishing S.7-8.

^[33] Vgl. Brandt, Astrid (2010): Zur Strafbarkeit des Phishing - Gesetzgebung vs. Technologie S.12.

^[34] Vgl. Itwissen.info: Spear-Phishing.

^[35] Vgl. Stammer, Christoph (2014): Einblick in die Cybercrime am Beispiel des Phishing S.8.

^[36] Vgl. Remke, Michael (2013): Einer der größten Überfalle der Kriminalgeschichte.

^[37] Vgl. ebd.

^[38] Vgl. ebd.

^[39] Vgl. Stammer, Christoph (2014): Einblick in die Cybercrime am Beispiel des Phishing S.9.

^[40] Vgl. Wernert, Manfred (2011): Internetkriminalität - Grundlagenwissen, erste Maßnahmen und polizeiliche Ermittlungen S.17.

^[41] Vgl. Kochheim, Dieter (2012): IuK-Strafrecht - System, Begriffe und Fallbeispiele S.9.

^[42] Vgl. Bundeskriminalamt (2014): Cybercrime Bundeslagebild 2014 S.4.

^[43] indiziertes TAN-Verfahren

^[44] Vgl. Brandt, Astrid (2010): Zur Strafbarkeit des Phishing - Gesetzgebung vs. Technologie S.19.

^[45] Vgl. Bundeskriminalamt (2014): Cybercrime Bundeslagebild 2014 S. 4.

^[46] Wird auch als SMS-TAN bezeichnet.

^[47] Vgl. Brandt, Astrid (2010): Zur Strafbarkeit des Phishing - Gesetzgebung vs. Technologie S. 20.

^[48] Vgl. Bundeskriminalamt (2014): Cybercrime Bundeslagebild 2014 S.8.

^[49] Vgl. Bundesamt für Sicherheit in der Informationstechnik (2014): Die Lage der IT Sicherheit in Deutschland 2014 S.19.

^[50] Vgl. ebd., S.19.

^[51] Vgl. Bundesamt für Sicherheit in der Informationstechnik (2014): Die Lage der IT Sicherheit in Deutschland 2014 S.19.

^[52] Vgl. Bundeskriminalamt (2014): Cybercrime Bundeslagebild 2014 S.8.

^[53] Taten die der Polizei nicht bekannt sind.

^[54] Vgl. Bundeskriminalamt (2014): Cybercrime Bundeslagebild 2014 S.5.

^[55] Vgl. ebd., S.5.

^[56] Polizeiliche Kriminalstatistik.

^[57] Vgl. Bundeskriminalamt (2014): Cybercrime Bundeslagebild 2014 S.3.

^[58] Vgl. Stammer, Christoph (2014): Einblick in die Cybercrime am Beispiel des Phishing S.18.

^[59] Vgl. Bässmann, Jörg (2015): Täter im Bereich Cybercrime - Eine Literaturanalyse S.4.

^[60] Vgl. Bässmann, Jörg (2015): Täter im Bereich Cybercrime - Eine Literaturanalyse S.8.

^[61] Vgl. ebd., S.5.

^[62] Vgl. Vick, Jens / Roters, Franz (2003): Account-Missbrauch im Internet – Ein Sammelverfahren mit anschließender kriminologischer Auswertung S.25.

^[63] Vgl. Rheinberg, Falko / Tramp, Nadine (2006): Anreizanalyse intensiver Freizeitnutzung von Computern: Hacker, Cracker und zweckorientierte Nutzer S. 10.

^[64] in Deutschland vergleichbar mit dem Realschulabschluss.

^[65] Vgl. Bässmann, Jörg (2015): Täter im Bereich Cybercrime - Eine Literaturanalyse S.11.

^[66] Vgl. Bässmann, Jörg (2015): Täter im Bereich Cybercrime - Eine Literaturanalyse S.12.

^[67] Vgl. ebd., S.13.

^[68] Vgl. ebd., S.13-14.

^[69] Vgl. Wernert, Manfred (2011): Internetkriminalität - Grundlagenwissen, erste Maßnahmen und polizeiliche Ermittlungen S.13.

^[70] Organisierte Kriminalität

^[71] Vgl. Bundeskriminalamt (2014): Cybercrime Bundeslagebild 2014 S.11.