Internetkriminalität. Vermögensdelikte im Internet


Hausarbeit, 2018

24 Seiten, Note: 1,0


Leseprobe

Inhaltsverzeichnis

1. Literaturverzeichnis

2. Einleitung

3. Begrifflichkeiten und Ausformungen
3.1 Phishing
3.2 Waren- und Warenkreditbetrug
3.3 Mal- und Ransomware
3.4 DDoS – Erpressung

4. Sicherheitsmaßnahmen

5. Täter

6. Fazit

7. Anhang

1. Literaturverzeichnis

Bässmann, Jörg: Täter im Bereich Cybercrime, Wiesbaden 2015

Büchel, Michael u.a.: Internetkriminalität: Phänomene-Ermittlungshilfen-Prävention (Grundlagen der Kriminalistik, Band 48), Heidelberg 2014

Bundeskriminalamt (Hrsg.):Bundeslagebild Cybercrime 2011

https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2011.html

Bundeskriminalamt (Hrsg.):Bundes­lage­bild Cyber­crime 2016

https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2016.html?nn=28110

Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): Die Lage der IT Sicherheit in Deutschland 2016

https://www.bsi-fuer-buerger.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2016.pdf?__blob=publicationFile&v=5

Disterer, Georg: Gezielte Angriffe auf betriebliche IT-Systeme: Typologien von Motiven und Tätern, Hannover 2009

Kochheim, Dieter : Cybercrime und Strafrecht in der Informations- und Kommunikationstechnik, o.O. 2015 in: beck-online

Roos, Philip u.A.: Botnetze als Herausforderung für Recht und Gesellschaft - Zombies außer Kontrolle?, in: MMR 2014 S.377ff

Salomon, Tim: Cybercrime und Lösegeld. Strafbarkeit der Zahlung Lösegeld als Reaktion auf Erpressungstrojaner , in: MMR 2016, S.575ff

Seidl, Alexander u.a.: Die Strafbarkeit des Phishing nach Inkrafttreten des 41. Strafrechtsänderungsgesetzes. In: HRRS (Höchstrichterliche Rechtsprechung im Strafrecht) Heft 2/2010

Wernert, Manfred: Internetkriminalität. Grundlagenwissen, erste Maßnahmen und polizeiliche Ermittlungen, Stuttgart 2017

2. Einleitung

Der Computer ist mittlerweile ein fester Bestandteil des Lebens vieler Menschen geworden. Neben den klassischen Aufgaben eines Personal Computers wie Tabellenkalkulation, Word-Anwendungen und Spielen werden Aufgaben, die eine Anbindung an das Internet verlangen, immer selbstverständlicher. Neben dem „Computer“ treten zusätzlich immer mehr Geräte, die ebenfalls eine Internetverbindung nutzen. Als verbreitetes Beispiel sind hier das Smartphone und das Tablet zu nennen, die einen Großteil der Aufgaben des Computers ebenfalls übernehmen können. Jedoch auch Geräte des „Internet of Things“, IoT, dürfen nicht vergessen werden. Amazons Alexa kann beispielsweise nicht nur das Licht einschalten, sondern ihre gesammelten Daten könnten auch strafrechtlich relevant sein.[1]

Auch aus wirtschaftlicher Sicht spielt das Internet eine unverzichtbare Rolle. Weltweit agierende Versandhäuser wie Amazon wären ohne das Internet nicht vorstellbar. Gleiches gilt für die Entwicklung von Kryptowährungen, wie Bitcoin.

Mehr als die Hälfte aller Deutschen zwischen 16 und 74 Jahren nutzten im Jahr 2017 das Internetbanking.[2] So unverkennbar die Vorteile sind, die das Internetbanking bietet, so sind diese doch, aus der Sicht der Nutzer, vornehmlich der Bequemlichkeit geschuldet. Für eine Überweisung muss nicht mehr der Weg zur Bank in Kauf genommen, es müssen keine Kontoauszüge mehr abgeholt werden.

Es erscheint wenig verwunderlich, dass auch das Internet Möglichkeiten schafft, um Straftaten zu begehen. Neben Urheberrechtsverletzungen oder den Ehrdelikten sind auch die Vermögensdelikte vertreten, auf welche der Fokus dieser Arbeit gerichtet sein soll. Zuerst muss eine Bestimmung der Begrifflichkeiten erfolgen, welche eine Abgrenzung erleichtern soll. Neben einer Darstellung der Delikte an sich soll in einem weiteren Schritt sowohl die Täter als auch Präventionsmaßnahmen, die geeignet erscheinen, untersucht werden.

3. Begrifflichkeiten und Ausformungen

Das Bundeskriminalamt definiert Cybercrime als die Straftaten, die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten (Cybercrime im engeren Sinne) oder mittels dieser Informationstechnik begangen werden (Cybercrime im weiteren Sinne).[3]

Für das Jahr 2017 stellt das Bundeskriminalamt Computerbetrug (Cybercrime im engeren Sinne) mit einem Anteil von 71% an den gesamten erfassten Straftaten des Cybercrimes, bei einem Schaden von 50 Millionen Euro als größtes Feld des Cybercrime dar.[4] Zu beachten hierbei ist, dass diese Zahlen lediglich das sogenannte polizeiliche Hellfeld wiederspiegeln. Hierbei werden nur Straftaten und mit Strafe bewehrte Versuche aufgenommen, die polizeilich bearbeitet und an die Staatsanwaltschaft übergeben wurden und Anhaltspunkte für eine Tathandlung in Deutschland vorliegen.[5] Das BKA gesteht ein, dass das Dunkelfeld, also Straftaten, die nicht erfasst wurden, um ein vielfaches höher liegen wird und benennt dazu einige Gründe. So würden oftmals Straftaten nicht angezeigt oder nicht bemerkt. Bei Unternehmen sei eine Nichtanzeige zum Schutz des Renommees verbreitet.

Diese Definition ist allerdings sehr weit gefasst, sodass mit dieser auch Straftaten erfasst werden, die lediglich das Internet als Tat- oder Hilfsmittel benutzen, jedoch nicht auf dieses beschränkt sind. Vielmehr sollen im Rahmen dieser Arbeit lediglich Straftaten beleuchtet werden, die ohne das Internet nicht durchführbar wären oder durch selbiges eine besondere Qualität erfahren und gleichzeitig zu den Feldern des Betruges oder Erpressung zählen.

3.1 Phishing

Seidel definiert Phishing als Vorgehensweisen, bei denen Täter per E-Mail versuchen, den Empfänger zur Herausgabe seiner Zugangsdaten zu bewegen, indem massenhaft E-Mail versendet werden, die eine scheinbar von einer Bank kommende Mitteilung enthalten, dass die Zugangsdaten des Empfängers aus Sicherheitsgründen überprüft werden müssten. Diese Definition ist nur auf Online-Bankdienste beschränkt, was zu kurz gegriffen erscheint, da diese Vorgehensweise genauso für andere Onlinedienste denkbar ist, beschreibt jedoch anschaulich die Vorgehensweise. Kochheim sieht Phishing ebenfalls lediglich als das Ausspähen von Zugangsdaten zu Bankkonten. Er nimmt eine chronologische Einteilung in Phasen vor, die vom bereits beschriebenen Phishing zu dem Einsatz von Malware führt.[6] Büschel hingegen definiert Phishing als unbefugtes Beschaffen von Zugangsdaten fremder Personen.[7] Diese Definition erscheint sinnvoll und erfasst hinreichend das Vorgehen.

Diese E-Mails enthalten entweder direkt Formulare oder verweisen auf eine, des scheinbaren Absenders gleichende, Homepage, auf welcher die Daten eingegeben werden. Die abgebildete Phishing Mail (Abb.1) ist bereits mit einer vollen Namensanrede versehen, was mittlerweile der Regel entspricht, jedoch noch vor einigen Jahren nicht üblich war. Dadurch wird der Anschein der Echtheit dieser Mail deutlich verstärkt. Der Inhalt folgt dem Muster vorzugeben, aus Sicherheitsgründen müsse das Konto des Benutzers überprüft werden. Abbildung 2 zeigt, dass die Adresse, welche über den Button verlinkt ist, eine durch den Google URL Shortener verkürzte URL ist, um die eigentlich verlinkte zu verschleiern. Im gezeigten Beispiel (Abb.3) wurde die Verlinkung allerdings bereits durch Google selbst aufgehoben.

Mit den erbeuteten Zugangsdaten hat der Täter nun die Möglichkeit, Transaktionen zu seinem Vorteil durchzuführen.[8]

Es wird also deutlich, dass es sich um einen zweistufigen Prozess handelt. Im ersten Schritt werden zunächst Zugangsdaten erbeutet, mit denen anschließend Transaktionen zulasten des Geschädigten durchgeführt werden können. Jedoch muss dies nicht zwingend der gleiche Täter sein. Ein Weiterverkauf ist denkbar und wird auch praktiziert.[9] An dieser Stelle drängt sich die Frage auf, warum diese Daten weiterverkauft werden und nicht direkt vom Phisher eingesetzt werden. Denkbar ist ein zu hohes Datenaufkommen, um selbst Transaktionen durchzuführen und daher ein Verkauf als ein Packet an Zugangsdaten.

Die Transaktionen erfolgen in der Regel an Konten von Finanzagenten. Diese stellen ihre Konten gegen eine Gebühr zur Verfügung. Bei einem Geldeingang überweisen diese das Geld an andere Konten weiter, investieren es in eine Kryptowährung, die schwerer zurückzuverfolgen ist oder legen es bei Onlinediensten, wie Onlinecasinos an.

Abbildung 4 zeigt eine Phishing Mail zur Anwerbung von Finanzagenten. Der Text ist zum einen persönlich adressiert, zum anderen erscheint er professionell formuliert, sodass die Beteiligung eines Werbetexters zu vermuten ist. Der Adressat wird mit lukrativen Angeboten, hier mit einem hohen monatlichen Verdienst geködert. Denkbar wäre auch eine Anwerbung über Jobbörsen. Besonders anschaulich ist dieses Beispiel, da nicht nur mit einem hohem monatlichen Verdienst geworben wird, sondern auch die zu erwartende Vorgehensweise erklärt ist.

Insgesamt scheinen die Fallzahlen rückläufig zu sein. 2016 sind nur noch etwa die Hälfte der Fallzahlen des Vorjahres verzeichnet.[10]

Der Tatbeitrag eines Werbetexters ist als eine Beihilfe zum Computerbetrug zu sehen, jedoch können Emails auch eigenständig strafbar sein, wenn sie mit einer Identitätstäuschung verbunden sind und Vereinbarungen mit den Finanzagenten getroffen werden und dadurch beweiserhebliche Daten gemäß §269 I StGB gefälscht werden.[11] Gleiches gilt für das Erstellen der Phishing-Website. Zusätzlich kommen dazu bei Verwendung von Logos und Namen, die markenrechtlich oder urheberrechtlich geschützt sind §§143,143a MarkenG und §§106ff. UrhG in Betracht.

Der Finanzagent dürfte sich in den meisten Fällen mindestens der leichtfertigen Geldwäsche gemäß §261 V strafbar machen, wenn nicht sogar der Beihilfe zum Computerbetrug. Wenn das Geld über mehrere Konten weitergeleitet wird, dann ist der Betrug bereits vollendet und es kommt eine Begünstigung nach §257 StGB in Betracht.

Das schlichte Phishing der Zugangsdaten ist unter §202c I Nr. 1 StGB zu fassen, wohingegen der eigentliche Gebrauch der Zugangsdaten einen Computerbetrug nach §263 a I StGB in Tateinheit (§ 52 StGB) mit einer Veränderung beweiserheblicher Daten nach §269 I darstellt.[12]

3.2 Waren- und Warenkreditbetrug

Beim Warenbetrug bietet der Täter eine Ware zum Kauf an, jedoch mit der Absicht, nicht oder mangelhaft zu liefern.[13] Dieser Betrug ist auch ohne eine Nutzung des Internets denkbar, allerdings wird er hierdurch stark vereinfacht und besitzt gerade in Verbindung mit dem bereits beschrieben Phishing eine besondere Qualität; aufgrund dessen soll er an dieser Stelle der Bearbeitung kurz beschrieben werden. Mithilfe ausgespähter Zugangsdaten renommierter Verkäufer großer Verkaufsportale können Waren besonders attraktiv zum Verkauf angeboten werden. Üblicherweise werden Waren unter dem ansonsten üblichen Preis angeboten, um einen schnellen Verkauf zu gewährleisten. Auffällig hierbei ist oftmals die Verwendung generischer Artikelbilder. Die Zahlung wird hierbei entweder über einen Onlinedienst wie Paypal oder per Überweisung direkt an Konten von Finanzagenten vorgenommen, die zeitnah z.B. per Bargeldtransfer (Western Union) das Geld weitersenden und so die Spur des Geldes verwischen.[14]

Beim Warenkreditbetrug hingegen werden Waren zu Lasten der im Kundenkonto hinterlegten Zahlungsmittel bestellt. Die Lieferung erfolgt an veränderte Adressdaten, wie beispielweise leerstehende Wohnungen, Packstationen oder Warenagenten.[15]

Das Mitwirken der Waren- und Finanzagenten kann auf freiwilliger oder unfreiwilliger Basis geschehen. Unfreiwillig insoweit, als dass erbeutete Zugangsdaten dazu benutzt werden können, Gelder ins Ausland oder zu Onlinediensten zu transferieren oder Waren an übernommene Packet Stationen gesendet werden.[16]

Das Bundeskriminalamt beziffert die Anzahl der Straftaten in diesem Bereich 2016 mit 123.013 Fällen.[17]

Der Haupttäter dürfte sich gemäß § 263 StGB des Betruges strafbar machen. Gegen den Warenagenten ist gemäß §§263,27 StGB Beihilfe zum Betrug zu prüfen.

3.3 Mal- und Ransomware

Im diesem Kapitel sollen verschiedene Arten von Schadsoftware beleuchtet werden.

Um Daten vom PC des Angegriffenen abzufangen wird eine Schadsoftware verdeckt auf dem dessen PC abgelegt. Diese Malware kann nun den Datenverkehr zur Website der Bank mitschneiden, Daten abfangen oder modifizieren. Dies geschieht z.B. per man-in-the-browser-attack oder über die Proxykonfiguration. Die Schadsoftware richtet sich bei der man-in-the-browser-attack direkt im Browser ein, um dann Zugangsdaten abzufangen oder Transaktionen umzuleiten. Der Proxy ist dazu gedacht, sämtliche Anfragen an das Internet an ein anderes Gerät umzuleiten, um damit den Ursprung zu verschleiern oder innerhalb eines Netzwerkes nur ein Geräte direkt zum Internet geöffnet zu haben. Dies Verfahren soll der Sicherheit dienen, wird hier aber missbräuchlich eingesetzt. So kann der Angreifer entweder in den Besitz der Zugangsdaten und entsprechender Sicherheitsschlüssel (Transaktionsnummer: TAN) kommen oder durch Modifikation des Datenverkehrs dem Anwender falsche Tatsachen vorgaukeln und unbemerkt Transaktionen zu Finanzagenten durchführen.[18]

Eine andere Methode, um direkt vom Opfer eine Zahlung zu erhalten ist der sogenannte BKA-Virus oder -Trojaner (Abb. 5). Dieser Trojaner gibt vor, vom Bundeskriminalamt zu stammen und sperrt den Zugriff auf den PC oder auch das Smartphone mit der Begründung, dass illegale Aktivtäten ausgehend von dem gesperrten Gerät ausgemacht wurden und nach Zahlung einer Strafe von ca. 100 – 250 Euro soll das Gerät angeblich wieder entsperrt werden. Dieser Trojaner bedient sich verschiedener Sicherheitslücken und besitzt verschiedenste Ausformungen.[19]

Ebenfalls auf eine Zahlung ausgelegt ist die Scareware. Dies ist eine Software, die dem Benutzer mitteilt, dass sein System infiziert ist und bietet an, dieses zu bereinigen. Allerdings müsse dazu die Vollversion gekauft werden. Hier wird teilweise sogar sehr geschickt ein Scanvorgang des Systems simuliert und das Aussehen von bekannter Antivirensoftware nachgeahmt. Jedoch fällt auf, dass im Beispiel (Abb.6) das Logo von AVG Antivirus in Verbindung mit dem Name eset Antivirus in falscher Schreibweise und Schriftart verwendet wird, was einem durchschnittlichem und besonnenem Benutzer kaum auffallen dürfte, zumal die Mehrzahl der Benutzer durch derartige Meldungen vermutlich erschreckt und folglich unüberlegt reagieren.

Eine andere Form der digitalen Erpressung bedient sich dem Verschlüsseln von Benutzerdaten. Wenn ein Gerät infiziert ist, werden die Daten des Benutzers verschlüsselt und dieser aufgefordert, eine Zahlung zu leisten, damit die Daten wieder entschlüsselt und somit für ihn zugänglich sind. Im Gegensatz zu dem BKA-Trojaner besteht hierbei eine tatsächliche Gefahr für die Benutzerdaten. Bereits mit einfachen Mitteln lassen sich Daten leicht verschlüsseln, ohne dass eine Möglichkeit besteht, dies in annehmbarer Zeit rückgängig zu machen. Besonders großes Schadenpotential besteht bei dem Befall eines Clients im Netzwerk. Hierbei können leicht nicht nur die Daten des Clients, sondern alle im Netzwerk verfügbaren Daten und Dienste verschlüsselt und damit unzugänglich gemacht werden.[20] Das Bundeskriminalamt gibt an, dass lediglich 18% der so erpressten Unternehmen eine Strafanzeige gestellt haben.[21]

[...]


[1] https://www.berliner-zeitung.de/ratgeber/recht/wie-bei-us-mordfall-alexa-als-zeugin---darf-die-polizei-auf-amazon-echo-zugreifen--26157776 Letzter Zugriff: 03.01.2018

[2] http://ec.europa.eu/eurostat/tgm/table.do?tab=table&plugin=1&language=en&pcode=tin00099 Letzter Zugriff: 03.01.2018

[3] Ebd. S.2

[4] Bundes­lage­bild Cyber­crime 2016, S.7

[5] Ebd. S.2f

[6] Kochheim Kapitel 14 RndNr. 1124ff

[7] Büschel, Michael u.A.: Internetkriminalität. Phänomene – Ermittlungshilfen – Prävention, Heidelberg 2014 S.26

[8] Seidl, Alexander u.a.: Die Strafbarkeit des Phishing nach Inkrafttreten des 41. Strafrechtsänderungsgesetzes, S.86

[9] Cybercrime, Bundeslagebild 2016

[10] Cybercrime, Bundeslagebild 2016, S.21

[11] Kochheim, Kapitel 14 RndNr. 1164

[12] Ebd. RndNr. 1145f und Seidl: Die Strafbarkeit des Phishing, S.88

[13] Wernert, Manfred: Internetkriminalität. Grundlagenwissen, erste Maßnahmen und polizeiliche Ermittlungen, Stuttgart 2017, S.136

[14] Büschel.: Internetkriminalität. S.103

[15] Kochheim Kapitel 3 RndNr. 271f

[16] Ebd. Rnd.Nr. 266ff

[17] Cybercrime, Bundeslagebild 2016, S.7

[18] Ebd. Kapitel 14 RndNr. 1124ff

[19] Ebd. Kapitel 3 RndNr. 325f und Cybercrime, Bundeslagebild 2016, S.11

[20] Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): Die Lage der IT Sicherheit in Deutschland 2016, S.21

[21] Cybercrime, Bundeslagebild 2016, S.8

Ende der Leseprobe aus 24 Seiten

Details

Titel
Internetkriminalität. Vermögensdelikte im Internet
Hochschule
Universität Bielefeld  (Rechtswissenschaft)
Veranstaltung
Vertiefung der Kriminologie
Note
1,0
Autor
Jahr
2018
Seiten
24
Katalognummer
V443796
ISBN (eBook)
9783668812499
ISBN (Buch)
9783668812505
Sprache
Deutsch
Schlagworte
internetkriminalität, vermögensdelikte, internet
Arbeit zitieren
Mathias Klimesch (Autor:in), 2018, Internetkriminalität. Vermögensdelikte im Internet, München, GRIN Verlag, https://www.grin.com/document/443796

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Internetkriminalität. Vermögensdelikte im Internet



Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden