Themen
Dienste
  Cybercrime    Ermittlungen    TK & Internet  Schriften   Literatur 
  Suche   Gästebuch   Newsletter   intern   Impressum 

Cybercrime

24.06.2012 Gegenstände der Cybercrime
zurück zum Verweis zur nächsten Überschrift IuK-Strafrecht: Zwischen Herzschrittmacher und Internet
  Definition der Cybercrime. Gegenstände und Dimensionen der Betrachtung
 

 

 Internetkriminalität sind Straftaten, die auf dem Internet basieren oder mit den Techniken des Internets geschehen, definiert die Wikipedia. Auch der Cyberfahnder verwendet so unterschiedliche Begriffe wie IuK-Strafrecht, Internet-Strafrecht, Cybercrime und informationstechnische Systeme. Dieser Aufsatz widmet sich ihren Aussagegehalten und bringt sie in ein System, das sich dem Thema Cybercrime unter verschiedenen Betrachtungsweisen nähert.

 Eine klassische Unterscheidung ist die zwischen dem EDV-Strafrecht und dem Internetstrafrecht. Das Erste beschäftigt sich vor allem mit den einzelnen datenverarbeitenden, technischen Komponenten und allenfalls mit ihrer kleinräumigen Vernetzung. Das Internetstrafrecht betrachtet besonders die globale Vernetzung als Medium für die großräumig ausgeführte Kriminalität.
 

informationstechnische Systeme als Gegenstände der Cybercrime
Mikro- und Makrodimensionen der Informationsverarbeitung
informationstechnische Systeme in hierarchischen Verbünden
technische Betrachtung der Cybercrime
Handlungsmodell
Anwendung des Handlungsmodells
Schichtenmodell beim Betrieb
Abbildungen der Strukturen der Cybercrime
arbeitsteilige und organisierte Cybercrime
Fazit
 


Beide Betrachtungsweisen sind verkürzt. Unter dem engen Gesichtpunkt des EDV-Strafrechts werden zum Beispiel die üblichen Verbreitungswege für Malware und unter dem Gesichtpunkt des Internetstrafrechts ihre Wirkweise im Einzelfall ausgeblendet.

 Ich selber bevorzuge deshalb den etwas sperrigen Begriff des IuK-Strafrechts. Das Kürzel spricht auf die Informations- und Kommunikationstechnik - IuK - an und verbindet damit sowohl die einzelne informationsverarbeitende Komponente wie auch ihre klein- und großräumigen Vernetzungen zum Datenaustausch. Während die Informationsverarbeitungstechnik eher komponentenbezogen ist (PC, Server, Netzwerkkomponente), umfasst die Kommunikationstechnik nicht nur die Inhaltsdaten, sondern auch die Adressierung von Daten und die datenverarbeitende Fernsteuerung.

IuK ist somit ein umfassender Begriff, der jedoch einer - zumindest - technischen Dimensionierung bedarf, um im Einzelfall aussagefähig zu bleiben ( Mikro- und Makrodimensionen der Informationsverarbeitung). Gleichermaßen umfassend spricht das BVerfG von "informationstechnischen Systemen", wobei es ihm auf die personenbezogenen Funktionen und nicht auf ihre technische Dimension ankommt ( informationstechnische Systeme als Gegenstände der Cybercrime).

 Die technikbezogene Betrachtung muss ergänzt werden um ein Handlungsmodell, das auf den Grundformen der Cybercrime basiert. Das sind das handwerkliche Hacking, die Automatisierung durch den Einsatz von Malware und die gleichzeitige, mehr oder weniger tiefe Anwendung des Social Engineerings. Dem stelle ich den sturen Betrieb von maliziöser Technik zur Seite und blende die Beutesicherung und die darum entstandene Infrastruktur aus. Sie umfasst die Einrichtung und Betreuung von Webshops einschließlich Zahlungsverkehr und Inkasso sowie die Geldwäsche und den grenzüberschreitenden Vermögenstransfer, wobei alles in allem zwischen technischem Betrieb, handwerklichem Handeln (unter der Überschrift "Hacking") und einem Rest Social Engineering angesiedelt ist.

Die hier entwickelten Modelle wirken abgehoben und abstrakt. Sie helfen aber dabei, die Auseinandersetzung mit der Cybercrime in einem vollständigen Modell systematisch zu greifen, darzustellen und Anderen zugänglich zu machen.
 

zurück zum Verweis informationstechnische Systeme als Gegenstände der Cybercrime

 

 
Großansicht

 

 
In dem Arbeitspapier IuK-Strafrecht habe ich als den Gegenstand der Cybercrime das unter einer einheitlichen Administration stehende Local Area Network - LAN - angesehen. Leitend dafür ist der Begriff des "informationstechnischen Systems" - itS, der im Zusammenhang mit der Onlinedurchsuchung vom BVerfG entwickelt wurde (1) und dort nur wenig Trennschärfe bekommen hat. Als itS betrachtet das BVerfG alle technischen Geräte, die der Verarbeitung und Speicherung von personenbezogenen Daten dienen. Davon nimmt es, sozusagen als Bagatellen im Kleinem, allenfalls einfache, unvernetzte Steuerungen der Haushaltselektronik aus. ItS sind demnach bereits Spielekonsolen, elektronische Notizbücher und Telekommunikationsgeräte (2), wobei das BVerfG unterschiedliche Aspekte hervorhebt, die ihre Schutzbedürftigkeit bestimmen:

itS haben eine erhebliche Bedeutung für die private und berufliche Lebensführung erlangt

itS sind leistungsfähige Geräte zur Informationsverarbeitung und -speicherung geworden

itS sind zunehmend vernetzt und ermöglichen dadurch den wechselseitigen Zugriff auf bedeutende persönliche Daten

itS sind zunehmend nicht nur klein-, sondern vor allem auch großräumig vernetzt

Die itS werden vom Telekommunikationsgeheimnis, vom allgemeinen Persönlichkeitsrecht und dem daraus entwickelten Recht auf informationelle Selbstbestimmung (Volkszählungsurteil) nur unzureichend geschützt, so dass das BVerfG ihnen das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zur Seite stellt (3), um neuartigen Gefährdungen zu begegnen, zu denen es im Zuge des wissenschaftlich-technischen Fortschritts und gewandelter Lebensverhältnisse kommen kann <Rn 166>. Es handelt sich um den Schutz des individuellen Vertrauens auf die Integrität technischer Geräte und Systeme gegen staatliche Eingriffe, wobei die Eingriffe nicht ausgeschlossen sind, sich aber an der Stärke dieses Grundrechts und der konkurrierende Rechte messen lassen müssen.

Diesen sehr weiten Begriff lege ich auch bei der Betrachtung der Cybercrime zugrunde. Im engeren Sinne geht es dabei um den Missbrauch technischer Komponenten und der Organisation der Informations- und Kommunikationtechnik (IuK). Das betrifft ihren physikalischen Bestand und ihre informationsverarbeitenden Strukturen selber. Im weiteren Sinne geht es um die besondere und gezielte Nutzung von itS, um Straftaten zu begehen. Keine Cybercrime ist danach die sozialtypische Nutzung der IuK, auch wenn sie zur Absprache, Planung und Ausführung von Straftaten genutzt wird.
 

zurück zum Verweis Mikro- und Makrodimensionen der Informationsverarbeitung



Großansicht

 
Dem BVerfG geht es um eine abstrakte Abgrenzung, um die Grenzen staatlicher Eingriffsbefugnisse zu bestimmen. Diese Betrachtungsweise kann nur einen groben Rahmen liefern, um die Gegenstände der Cybercrime und damit - das setze ich gleich - des IuK-Strafrechts zu bestimmen. Ihm entnehmen wir jedenfalls zwei untere Grenzen:

es handelt sich um keine Cybercrime, wenn sie sich gegen einfache, unvernetzte Informations- oder Kommunikationstechnik wendet

es handelt sich um keine Cybercrime, wenn es nur um die sozialadäquate und gebräuchliche Nutzung der IuK geht

In großräumigen Dimensionen sind der Cybercrime keine globalen Grenzen gesetzt. Um dabei klare technische Betrachtungsgrenzen zu bestimmen, empfiehlt es sich, zwischen Mikro- und Makrodimensionen bei den itS zu unterscheiden:

D0: Den Subraum bestimmen einzelne, isolierte Bauelemete, also elektronische Bauteile wie Drähte, Integrierte Schaltkreise, Schalter, Motoren usw. Sie sind nur ausnahmsweise von Interesse.

D1: Der informationsverarbeitende Kern wird von der inneren Organisation des itS bestimmt, also beim PC vom BIOS, um das System zu starten, vom Prozessor für die Datenverarbeitung als solche und vom Hauptspeicher, der die zu verarbeitenden Daten aufnimmt, bevorratet und wieder abgibt.

D2: Das Programm liefert die Variablen für den ordnungsgemäßen Betrieb des itS. Dazu gehören das Betriebssystem und die Anwenderprogramme.

D3: Das System ist eine selbständige Komponente in der IuK und reichert D0 bis D2 mit Schnittstellen an. Dazu gehören die primären Eingabegeräte (Tastatur, Maus), die Massenspeicher (Festplatten, DVD-Laufwerke und -Brenner, USB-Sticks und andere Speichermedien), Netzanschlüsse (Netzwerkkarte, Nahfunk, WLAN, Telefonie) und andere, zum Beispiel Ausgabegeräte (Drucker, Anlagensteuerungen). Mit D3 erfassen wir das, was wir üblicher Weise als EDV verstehen: Computer, Laptops, Handys und Netzwerkkomponenten, die für sich ein gekapseltes und vollständiges System bilden, das mit anderen Systemen verbunden werden kann.

D4: Das LAN (im engeren Sinne: Local Area Network) ergänzt das System um Verbindungen zu weiteren Systemen, die aufeinander abgestimmt sind. Streng genommen handelt es sich um das unter einer einheitlichen Administration organisierte Netz, das aus mehreren oder sogar vielen selbständigen Endgeräten und zentralen Dienst-Komponenten besteht, also Datensammlungen (File-, Datenbank- und Webserver). Es ist - von außen betrachtet - der Endnutzer im Sinne von § 3 Nr. 8 TKG.

D5: Das Autonome System - AS - ist ein unter einer einheitlichen Administration stehendes Verbindungsnetz, das mit mindesten 2 weiteren AS verbunden ist und fremde Daten durchleitet.

D6: Der Verbund ist ein Teilnetz, das ein AS und seine durch Schnittstellen und Regularien mit ihm verbundene Partner umfasst. Neben einfachen AS-Verbünden werden damit auch Overlay-Netze oder geschlossene Landesnetze erfasst.

D7: Das globale Netz umfasst alle angeschlossenen Verbünde, AS und LAN. Beispiel gebend ist das Internet.
 

zurück zum Verweis informationstechnische Systeme in hierarchischen Verbünden

 

  

 Die verschiedenen Dimensionen erscheinen auch in der Grafik links, die ebenfalls auf eine technische Betrachtung abhebt. Den inneren Bereich bildet die einzelne EDV-Anlage mit ihren Schnittstellen ("Stern") und umfasst D0 bis D3. Das hellblau unterlegte Vieleck bezeichnet das unter einer einheitlichen Administration stehende LAN (D4). In einfachen Fällen handelt es sich um einen PC und eine einzelne ISDN-Karte, die über das Telefonnetz die Verbindung zu einem Zugangsprovider und über ihn zum Internet herstellt.

Die Grafik orientiert sich an einem heute üblichen häuslichen Netz mit mehreren an einen Router angeschlossenen PCs und Peripheriegeräten, die eigene Netzverbindungen herstellen können, also zum Beispiel eine TV-Karte zum Kabelnetz oder eine andere zu einem Nahfunknetz (Bluetooth, WLAN). Diese Darstellung zeigt auch, dass das "System" mit verschiedenen Netzen verbunden sein kann, die keiner einheitlichen Administration unterliegen. Solche "Fremdnetze" können ein Einfallstor für Angreifer von außen sein.

Den äußeren Rahmen bildet das globale Netz (D7, großer Kreis). In ihm sind alle angeschlossenen LAN, AS und Verbünde eingebunden, die zum Datenaustausch zur Verfügung stehen (Vielecke).

 Unter dem Gesichtspunkt des IuK-Strafrechts betrachten wir vor allem das LAN als das unter einer einheitlichen Administration stehende Netz eines Endnutzers im Sinne von § 3 Nr. 8 TKG. Die Ebenen D1, D2 und D3 sind von besonderem Interesse, wenn es um das Vorgehen beim Hacking oder um die Wirkweise von Malware geht (4).

    
zurück zum Verweis technische Betrachtung der Cybercrime

 

 
Cybercrime sind alle kriminellen Erscheinungsformen im Zusammenhang mit der Informations- und Kommunikationstechnik - IuK. Cybercrime im engeren Sinne richtet sich unmittelbar gegen die technischen Komponenten und die Datenverarbeitungsvorgänge im Zusammenhang mit der IuK.
 

Bereich Schutzgegenstand Norm
Betrug und Untreue Programme § 263a Abs. 3 StGB
Funkschutz Abhörverbot §§ 148 Abs. 1 Nr. 1, 89 TKG
Geld- und Wertzeichenfälschung Programme, Vorrichtungen § 149 StGB
gemeingefährliche Straftaten TK-Einrichtungen § 317 StGB
persönlicher Lebens- und Ausspähen § 202a StGB
Geheimbereich Abfangen § 202b StGB
  Hackerparagraph § 202c StGB
  Fernmeldegeheimnis § 206 StGB
Sachbeschädigung Datenveränderung § 303a StGB
  Computersabotage § 303b StGB
sexuelle Selbstbestimmung Kinderpornographie § 184b StGB
Urheberrecht Kopierschutz § 108b UrhG
Urkundenfälschung technische Aufzeichnungen § 268 StGB
  beweiserhebliche Daten § 269 StGB
  Unterdrückung beweiserheblicher Daten § 274 Abs. 1 Nr. 2 StGB
  Datenverarbeitung § 270 StGB
Wettbewerbsrecht Geschäftsgeheimnis § 17 UWG

Einen Überblick über die Strafvorschriften im Zusammenhang mit dem IuK-Strafrecht im engeren Sinne liefert die Tabelle links. Sie reichen vom Hacking (Ausspähen von Daten, Computersabotage) über dem Schutz des persönlichen Lebens- und Geheimbereiches (u.a. Abhörverbote, Funkschutz, Geschäftsgeheimnisse), des Rechtsverkehrs (Computerbetrug, Datenfälschung) und des Anlagenschutzes (Computersabotage, TK-Anlagen) bis hin zu einigen strafbaren Vorbereitungshandlungen (Skimming-Geräte, Passwörter, Malware im Zusammenhang mit dem Computerbetrug).

Cybercrime im weiteren Sinne sind alle kriminellen Erscheinungsformen im Zusammenhang mit dem allgemeinen Strafrecht, deren Tatmittel die IuK in besonderer Weise ist. Das gilt zum Beispiel für die Erpressung im Zusammenhang mit verteilten Angriffen (DDoS) oder beim Vertrieb pornographischer Darstellungen.

Die Mikro- und Makrodimensionen der Informationsverarbeitung, die oben dargestellt wurden, dienen der Betrachtung und Analyse der Cybercrime, die die Grundlagen für die rechtliche Beurteilung (Subsumtion) schaffen. Ein Beispiel dafür sind die Onlinebanking-Trojaner: Die Basis-Malware muss zunächst eine Schnittstelle unter D3 überwinden, um sich auf der Programmebene (D2) zu installieren. Ramsonware dringt teilweise bis zu D1 (Manipulation des BIOS). Die produktive Malware im Zusammenhang mit dem Onlinebanking wirkt auf D2 und erhält meistens Unterstützung durch einen C & C-Server (D6 / D7) (5).

 

 
Von Cybercrime ist deshalb die Rede, wenn es um die tatsächlichen Erscheinungsformen geht. 

Von IuK-Strafrecht spreche ich hingegen, wenn es um die rechtliche Bewertung der Cybercrime geht.

Sonstige Begriffe wie Internetstrafrecht, informationstechnische Systeme und IT-Straftaten sind weniger aussagekräftig. Ich werde mich darum bemühen, sie künftig zu vermeiden.
 

zurück zum Verweis Handlungsmodell

 
 

 
 Das hier vorgeschlagene Handlungsmodell führt die Cybercrime auf vier wesentliche Handlungsfelder zurück. Sie betrachten in erster Linie die handelnden Täter und nicht die Technik, die sie einsetzen.

In dem Arbeitspapier IuK-Strafrecht habe ich die handelnden (Interessen-) Gruppen skizziert <S. 20> und damit die allgemeinen Ausführungen aus dem Arbeitspapier Cybercrime aus 2010 fortgeführt <S. 80, 94>. Das Handlungsmodell ist allgemeiner gehalten und betrachtet nicht die Motive der Handelnden, sondern ihre Methoden. Davon verspreche ich mir einen systematischen Zugriff von der Methode zum jeweils einschlägigen IuK-Strafrecht.
 

Die klassische Methode der Cybercrime ist das Hacking. Ich betrachte es hier als den individuellen und intellektuellen Angriff gegen einzelne Systeme (D3), um sie zu manipulieren und Daten zu erlangen. Es ist geprägt vom handwerklichem Können des Angreifers, der Schwachstellen ausloten muss und - häufig schrittweise - in ein LAN (D4) eindringt, um sich Zugangs- und Zugriffsrechte zu verschaffen und schließlich, zu welchem Zweck auch immer, die Systeme zu missbrauchen. Dazu verwendet der Hacker ähnliche Werkzeuge (Root Kits) wie die Malware, um sein Eindringen und seine Manipulationen zu verschleiern.

Der Hacker in diesem Sinne braucht tiefe Kenntnisse über die IuK-Technik, ihre Handhabung und Schwachstellen. Als "Handwerker" muss er dieses Wissen persönlich anwenden.

Die Basis-Malware in ihrer heutigen Form macht nichts anderes als automatisiertes Hacking, das sich (grundsätzlich) gegen eine Mehrzahl von Systemen richtet (siehe das Arbeitspapier zur automatisierten Malware). Das wichtigste Kriterium dabei ist die Automatik, die dieses Handlungsfeld vom handwerklichem Hacking abgrenzt. Die breite Streuung bei der Verteilung von Malware, die zum Beispiel für die Ramsonware und das Onlinebanking kennzeichnend ist, wird zunehmend um individualisierte Formen ergänzt. Die wichtigsten Beispiele dafür sind Stuxnet und die anderen im Arbeitspapier IuK-Strafrecht beschriebenen Angriffe aus den letzten Jahren <S. 32 bis 36>.

 

 
Der Einsatz von Malware verlangt nach keinem Fachmann. Der Angreifer kann komplett vorgefertigte "Lösungen" (und Baukästen) verwenden. Die Programmierer hingegen benötigen tiefe Kenntnisse über Betriebssysteme, Systemarchitektur, Schwachstellen (Exploits) und die Tarnung maliziöser Prozesse. Häufig wird davon ausgegangen, dass ihnen Exploit-Händler und Root Kit-Entwickler zuarbeiten. Mit zunehmender Komplexität der Malware ist auch davon auszugehen, dass ihre Entwicklung arbeitsteilig erfolgt.

Das Social Ingineering präsentiert in dem Handlungsmodell die soziale Kompetenz und den Einsatz von Techniken der Suggestion und Manipulation. In seiner eigenständigen Form geht es um das Ausforschen öffentlicher Quellen, das Aushorchen von Personen und die Überwindung von Zugangskontrollen, um an verwertbare Informationen und Unterlagen zu gelangen. Seine Methoden kommen auch beim Hacking und im Zusammenhang mit der Malware zum Einsatz, wenn unbedarfte Systemadministratoren zur Einrichtung von Zugangsrechten oder Anwender zur Installation einer Malware überrumpelt werden.

Aus dem Hacking sind auch die Schurkenprovider entstanden. Ihr Handlungsfeld wird in dem Handlungsmodell etwas weiter verstanden und umfasst neben dem infrastrukturellem Betrieb (WhoIs Protection, Servermaskierung, Beschwerderesistenz und Scheinfirmen nach dem Vorbild des Russian Business Network - RBN) auch den Betrieb von (großen) Botnetzen und C & C-Servern zur Unterstützung automatisierter Malware.
 

zurück zum Verweis Anwendung des Handlungsmodells

 

 
Der Aussagewert des Handlungsmodells wird anhand von zwei Anwendungsbeispielen deutlich.
 

 In die Herstellung automatisierter Malware fließen besondere Kenntnisse aus der Handhabung der IuK-Technik und - etwas weniger - aus dem Social Engineering ein, weil es auch um die Methoden geht, wie sie verbreitet werden soll. Ihr Schwerpunkt liegt aber bei der Automatik.

Wenn man sich mit der Malware auseinandersetzt, dann ist es geboten, sie besonders aus dem Gesichtspunkt der Automation zu betrachten, auch wenn andere Handlungsfelder mit ihr - jedenfalls nachrangig - verbunden sind.

Der Einsatz automatisierter Malware führt zu leichten Verschiebungen der Perspektive.

Ramsonware blockiert den Systemstart des angegriffenen Systems späht ihre Nistumgebung aus, um sich von ihrem C & C-Server in richtiger Landessprache die optimale Version der Anzeige zuliefern zu lassen, um die Erpressung zu transportieren. Ihre maliziöse Funktion entfaltet sie unmittelbar mit der Infiltration. Verschiedene Versionen manipulieren die Systemumgebung des Betriebssystems (D2) oder sogar des Kerns (Steuerungsdateien des BIOS, D1). In Einzelfällen soll die Malware auch Dateisysteme verschlüsselt haben. Der Schwerpunkt bei der Ramsonware liegt bei der Automatik.

Im Gegensatz dazu ist die Onlinebanking-Malware auf einen mittelfristigen Betrieb ausgerichtet. Die Basis-Malware lässt sich von ihrem C & C-Server Updates anliefern und versucht dann, die produktive Malware möglichst unauffällig zu installieren und zu tarnen. Sie kommt erst dann zum aktiven Einsatz, sobald der Anwender mit dem Onlinebanking beginnt. Auch ihr Schwerpunkt liegt bei der Automatik, der vom Betrieb angereichert ist, weil die finale Malware auf ihren Einsatz wartet.

Botware entfaltet ihre maliziöse Funktion sofort und richtet den Zombie als Bestandteil des Botnetzes ein.
 

 Die maliziöse Wirkung der Botware führt im Betrieb zu etwa gleichen Schwerpunkten unter den Gesichtspunkten der Automatik und des Betriebes (siehe links). Es handelt sich jedoch um einen parasitären Betrieb, so dass innerhalb des Handlungsfeldes nach zwei Aspekten unterschieden werden muss, und zwar nach

der Verwaltung der zentralen Steuerungskomponenten (C & C-Server, Dumps, Kommunikation der Täter untereinander) und

dem parasitären Betrieb (Flux-Server, Zombies).

Bei wertender Betrachtung der Botware liegt der Schwerpunkt ihres Betriebes in der Automatik, der Softwarepflege, ihrer Verteilung und der Einsatzsteuerung. Bei der Darstellung von Botnetzen ist es deshalb geboten, ihre automatischen Funktionen hervorzuheben und die von den Tätern eingerichtete (und gepflegte) Infrastruktur nachrangig zu behandeln.

Dem Betrieb kommt bei der Betrachtung der Schurkenprovider eine ganz besondere Bedeutung zu. Dabei müssen wir uns aber von der Vorstellung lösen, dass es nur um den Betrieb von IuK-Technik ginge. "Betrieb" sind auch Webshops, Wechselstuben für verschiedene virtuelle Verrechnungssysteme, das normale Inkasso für Dritte und die Veranstaltung von Carding- oder anderen Boards.
 

zurück zum Verweis Schichtenmodell beim Betrieb

 

 

 

 Die Grafik zum Schichtenmodell beim Betrieb habe ich unter der Überschrift Strukturelle Betrachtung der Cybercrime schon in dem Arbeitspapier IuK-Strafrecht vorgestellt. Den Kern bilden dabei die Betreiber eigener Infrastruktur einschließlich der dazu erforderlichen Technik. In der mittleren Scheibe sind die administrativen Betreiber von Infrastrukturen angesiedelt. Sie kümmern sich nicht um das eingesetzte Equipment als solches, sondern richten es ein und pflegen es. Die äußere Scheibe ist den Nutznießern vorbehalten. Sie kümmern sich nicht um den administrativen Betrieb der IuK-Technik, sondern konzentrieren sich auf die besonderen Dienste, die sie zur Verfügung stellen.

Ob sich dieses Modell dauerhaft dazu eignet, die Geschäftsfelder der Cybercrime zu erfassen, ist eine offene Frage. Es zeigt aber beeindruckend, dass die Cybercrime zwar eine deutliche Nähe zur Technik hat, aber eben nicht nur.

 

 
Cybercrime lebt aus einem bestimmten Umfeld heraus, ohne das sie sich nicht hätte ausprägen und entwickeln können. Sie hat sich neben technischer und IuK-organisatorischer Kompetenz soziale Techniken und tiefes Wissen über ökonomische Prozesse und Techniken angeeignet. Das alles bildet im Handlungsmodell das Social Engineering ab.
 

zurück zum Verweis Abbildungen der Strukturen der Cybercrime

 

 
Die Dokumentationen der Erscheinungsformen und Entwicklungen der Cybercrime entstanden zunächst aus den Beobachtungen techniklastiger Fachleute. Die Folgen davon sind bis heute zu spüren: Es fehlt an Systematik und jede Abwandlung bekommt einen eigenen Namen. Das führt ganz häufig dazu, dass selbst einem ambitionierten Beobachter nichtswissende Blässe angesichts eines ganz neuen Begriffes widerfährt, der sich erst bei genauerer Betrachtung als Spielart einer bekannten Entwicklungslinie herausstellt.

Weder von der kriminellen Szene noch von Journalisten oder Security-Fachleuten kann man erwarten, dass sie mit kriminalistischem Sinn eine systematische Bewertung vornehmen. Vor allem die strategisch ausgerichteten Security-Leute machen das dennoch: Muttik von McAfee, weil ihn nicht die Dauer der Bekanntheit einer Schwachstelle interessiert, sondern ihre Funktionalität, um sie zu schließen, und ihre Struktur, um ähnliche gar nicht erst aufkommen zu lassen (6). Paget von McAfee hat die wichtigste Materialsammlung zur Geschichte der Cybercrime vorgelegt (7), die ich nachbearbeitet habe (8). Balduan machte schließlich auf neue cyberkriminelle Erscheinungsformen aufmerksam (9).

Auch der Cyberfahnder hat sich zunächst der Bestandsaufnahme gewidmet (10) und erst im Herbst 2011 den Mut gehabt, das IuK-Strafrecht systematisch zu beschreiben (11). Einige Fallbeispiele aus der Rechtsprechung lassen sich recht einfach darstellen. Spätestens bei den Fragen nach der Strafbarkeit der Verbreitung von Malware oder des Einsatzes von Onlinebanking-Malware geht es sozusagen an das Eingemachte und eine weiter differenzierte Betrachtung wurde erforderlich  (12).

Ich suche nach einem effektiven Rahmen, um das IuK-Strafrecht darzustellen. Die Erscheinungsformen der Cybercrime kennen Entwicklungslinien und deshalb hoffe ich, dass das IuK-Strafrecht parallele Lösungswege hat, auf die man immer wieder bei der Darstellung und Lösung aufbauen kann.

Mit den hier vorgestellten Modellen versuche ich, den gesuchten Rahmen zu schaffen. Er muss sachlich die ganze Spannbreite zwischen den technischen Komponenten und den globalen Netzen umfassen und gleichzeitig gliedern. Dazu habe ich die Mikro- und Makrodimensionen der Informationsverarbeitung beschrieben. Sie liefern einen technischen Blickwinkel und strukturieren die Kausalität.

Das Handlungsmodell fragt hingegen nach den Anforderungen an die Täter, nach dem Wissen und den Ressourcen, die sie haben müssen. Es ist mehr analytisch als reorganisatorisch, hat aber mehrere praktische Erkenntnisziele: Je tiefer ein Täter in ein Handlungsfeld eingebunden ist, desto länger und gewerbsmäßiger (professioneller) handelt er in ihm. Er ist kein Gelegenheitstäter. Je mehr Technikeinsatz nötig ist, desto organisierter und gefährlicher sind die Täter. Je länger ein Täter in einem Handlungsfeld tätig ist und dabei feste personelle Strukturen entstanden sind, desto eher handelt er als Mitglied eine Bande oder sogar einer kriminellen Vereinigung.

Das Schichtenmodell ist ein Gradmesser für den vorbereitenden und laufenden Aufwand, den der Täter leisten muss. Je höher er ist, desto höher ist auch die kriminelle Energie und damit die strafrechtliche Schuld.
 

zurück zum Verweis arbeitsteilige und organisierte Cybercrime

 

 
Es ist schon fast wieder vier Jahre her, dass ich von Balduan (13) auf Exploit-Händler, Operating Groups, Koordinatoren und Schurkenprovider hingewiesen wurde und daraus ein Modell von der arbeitsteiligen und organisierten Cybercrime entwickelt habe (14). Es hat sich bis heute bewahrheitet (und ich habe hier nur das Wort "IT-Straftaten" durch "IuK-Straftaten" ersetzt):

Die arbeitsteilige Cybercrime ist die vom Gewinnstreben bestimmte planmäßige Begehung von IuK-Straftaten, die einzeln oder in ihrer Gesamtheit von erheblicher Bedeutung sind. Ihre planenden Täter greifen dazu auf etablierte Strukturen (wie Botnetze und Rogue-Provider) und Gruppen mit Spezialisten (Operation Groups) zurück, deren Dienste und Handlungen sie zur Erreichung des kriminellen Zieles zusammenführen.

Organisierte Cybercrime ist die vom Gewinn- oder Machtstreben bestimmte planmäßige Begehung von IuK-Straftaten, die einzeln oder in ihrer Gesamtheit von erheblicher Bedeutung sind, wenn mehr als zwei Beteiligte auf längere oder unbestimmte Dauer arbeitsteilig
 
a. unter Verwendung gewerblicher oder geschäftsähnlicher Strukturen,

b. unter Anwendung von Gewalt oder anderer zur Einschüchterung geeigneter Mittel oder

c. unter Einflussnahme auf Politik, Medien, öffentliche Verwaltung, Justiz oder Wirtschaft zusammenwirken.

Der materielle Erkenntniswert beider Definitionen ist gering, weil sie für die Anwendung des materiellen Rechts keine unmittelbare Wirkung haben. Ihr analytischer Wert ist hingegen bedeutsam. Je komplexer und je konspirativer sich die Kriminalität aufstellt, desto mehr ist die Strafverfolgung geneigt, sie als verschworene Verbünde, also als Banden oder als kriminelle Vereinigungen anzusehen. Die von Balduan beschriebenen Strukturen sind hingegen modular (15) und das spricht zunächst gegen feste Banden und Verbünde (16). Das verlangt nach einer kritischen Hinterfragung der Parameter für die Analyse. Im Endeffekt ist es egal, ob sich die Kriminellen bandenmäßig oder modular aufstellen, weil es nichts an der Gefährlichkeit ändert. Nur die Strafverfolgung als solche wird bei modularen Strukturen schwieriger.
 

zurück zum Verweis Fazit


 
Dieser Aufsatz ist für den Leser anstrengend, weil er keine knalligen Ergebnisse hat und keine bahnbrechenden Erkenntnisse vermittelt. Damit ist genau das Dilemma bezeichnet, in dem ich mich befinde. Ich will weg von dem auf einzelne Erscheinungsformen gerichteten Blick auf die Cybercrime und ich entwickele erst allmählich eine Struktur, wie ich sie als IuK-Strafrecht erfassen und strukturieren kann.

Die verschiedenen Betrachtungsweisen, die ich hier entwickelt und zusammen gefasst habe, versprechen Hilfe und sind noch nicht der große Durchbruch. Sicher bin ich mir jedoch, mit dem Begriff des IuK-Strafrechts und seiner gestuften technischen Betrachtung (Dimensionen) richtig zu liegen. Dieses Modell wird die Darstellung vereinfachen und dem Leser helfen, das technische Umfeld der strafrechtlichen Betrachtung im Blick zu behalten. Das erfordert Disziplin auf meiner und der Seite des Lesers.

Von dem Handlungsmodell erwarte ich mir eine Struktur für die Darstellung der Cybercrime und ich bin gespannt darauf, ob das funktioniert.
 

zurück zum Verweis Anmerkungen
 


(1) Informationstechnische Systeme, 25.04.2008;
BVerfG, Urteil vom 27.02.2008 - 1 BvR 370/07, 595/07

(2) Wenn man als untere Schwelle einfache, unvernetzte Haushaltsgeräte ohne nennenswerte datenverarbeitungstechnische Funktionen zugrunde legt, dann müssen als itS auch die in Kraftfahrzeugen verbaute Elektronik, computertechnische Peripheriegeräte (USB-Sticks) und zum Beispiel den Nahfunk nutzende Diagnosegeräte für Herzschrittmacher angesehen werden.

(3) Gestalt und Grenzen des neuen Grundrechts, 25.04.2008.
Im Interesse der Verständlich- und Lesbarkeit spreche ich deshalt vom technischen Integritätsschutz.

(4) Dieter Kochheim, Automatisierte Malware, April 2012

(5) Ebenda (4). Siehe auch Botfront, 16.06.2012 (Tiny Banker).

(6) Igor Muttik, Zero-Day Malware (engl.), McAfee 19.10.2010

(7) François Paget, Cybercrime and Hacktivism, McAfee 15.03.2010

(8) Dieter Kochheim, Cybercrime und politisch motiviertes Hacking. Über ein Whitepaper von François Paget von den McAfee Labs, 20.10.2010

(9) Cybercrime: Zusammenarbeit von Spezialisten, 13.07.2008;
Gordon Bolduan, Digitaler Untergrund, Technology Review 4/2008, S. 26 ff.;
kostenpflichtiger Download.

(10) Dieter Kochheim, Cybercrime, 2010

(11) Dieter Kochheim, IuK-Strafrecht, April 2012

(12) Dieter Kochheim, Automatisierte Malware, April 2012

(13)  (9)

(14) arbeitsteilige und organisierte Cybercrime, 07.08.2008;
neue Definition der Cybercrime, 07.08.2008.

(15) modulare Cybercrime, 07.08.2008

(16) Kriminalität aus dem Baukasten, 21.09.2008;
modulare Kriminalität, 05.10.2008.
 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 25.06.2012