Es ist Ostermontag und da gelten keine wissenschaftlichen Standards, sag ich einfach 'mal. Deshalb verfügt dieser Beitrag über keine Zitate oder Links. Er ist ein Essay über das Verschwinden der Cybercrime.

 Operation Payback von 2010, zuvor Stuxnet und Night Dragon von 2011. Solche "großen" Meldungen gibt es gegenwärtig nicht. Es scheint ruhig geworden zu sein um die Cybercrime. Gibt es sie nicht mehr? Wo bleiben die vorausgesagten Angriffe im Zusammenhang mit der Industriespionage?
 

Die Quartalsberichte von McAfee und anderen Sicherheitsunternehmen zeichnen ein anderes Bild. Botnetze und die Verbreitung von Malware schreiten weiter voran und statt Phishing und Homebanking-Trojaner geraten eher erpresserische Infektionen in das Licht der Öffentlichkeit (Bundespolizei, GEMA). Besonders im Trend sind Angriffe gegen die mobile Telefonie und das Abfangen von TAN beim Homebanking. Das Spamming geht zurück, dafür werden die Werbenachrichten gezielter eingesetzt.

Die wichtigsten cyberkriminellen Geschäftsfelder sind immer noch:

Das Herstellen und Verbreiten von Malware zum Ausforschen der infizierten Rechner, ihre Übernahme als Zombies für Botnetze, für erpresserische Angriffe und zur Manipulation des Homebankings.

Das Hacking zur Erlangung von Finanzdaten.

Der übliche und allgegenwärtige Betrug in Tauschbörsen und Webshops.

Der Kontoeröffnungs- und Warenbetrug.
 

 
Ein Blick hinter die Kulissen offenbart ein reges Treiben. hacker.yakuza112.org zeigt allein 26 deutschsprachige Boards, die sich fröhlichen Themen wie "carders", "hacking" oder "virus" widmen. Carders dürfte etwa 14.000 Mitglieder und die Russian-Elite etwa 8.000 Mitglieder haben. Solche Boards sind Handelsbörsen für Informationen und kriminelle Dienste. Dank den Happy Ninyas und anderen Zeitgenossen, die solche (gegnerischen) Boards gerne 'mal hacken und als Dump der Öffentlichkeit zur Verfügung stellen, wissen wir mehr über das Innenleben. In aller Regel stehen einige thematisch beschriebene Foren zur Verfügung (Threats), die die wichtigsten Themen wie Carding, Skimming, Malware, Botnetze und Paketstationen abdecken. Sie werden nicht nur thematisiert, sondern in den Foren werden Tipps ausgetauscht und vor allem gehandelt. Versierte Teilnehmer stellen Tutorials über Kontoeröffnungen per Internet, Hacking-Tools oder die Erstellung falscher Ausweise zur Verfügung und beweisen damit ihren Gemeinsinn.

Die Administratoren und Moderatoren verdienen damit Geld. Zunächst verlangen sie Mitgliedsgebühren in erschwinglicher Höhe. Verkaufslizenzen für bestimmte Produkte oder Gifte kosten extra in monatlich zwei- bis dreistelliger Höhe. Am meisten verdienen sie aber an der Treuhand.

Gesicherte Bezahlvorgänge sind nötig, weil hier keiner dem anderen traut. Käufer und Verkäufer zocken gleichermaßen ab, wenn sich ihnen die Gelegenheit dazu bietet. Deshalb müssen alle Geschäfte unter Einschaltung eines vertrauenswürdigen Treuhänders abgewickelt werden, der zunächst den Kaufpreis in Empfang nimmt und das dem Verkäufer mitteilt. Wenn der Käufer den Empfang der Ware bestätigt hat, kehrt der Treuhändern den Kaufpreis nach Abzug seiner gerechten Gebühr an den Verkäufer aus. Der Treuhänder macht auch seine eigenen Geschäfte und vergisst gelegentlich auch die Zahlung an den Verkäufer.

Carding ist nicht etwa nur der Handel mit gestohlenen Zahlungsdienstdaten, um Bankkonten abzuräumen, sondern mit allem, was mit Betrug, Urkundenfälschung und gestohlenen Identitäten zu tun hat. Die Boards vermitteln aber auch die Grundversorgung mit Rauschgift, Medikamenten und Waffen.

Zu den benötigten Werkzeugen gehören sichere Bankkonten. Finanzagenten sind überholt. Besser sind auf falschen Personalien oder von eingeflogenen Ausländern eröffnete Bankkonten, die sich zum Durchlauf mehrerer Tausend Euro eignen. Ein gefälschter Mietvertrag ist schnell gemacht, eine ausländische Identitätskarte auch und eine falsche Gehaltsbescheinigung schon lange.

Auch PostIdent-Bescheinigungen lassen sich einfach fälschen. Um die Bankkorrespondenz zu erhalten, bedarf es nur eines ungebrauchten Briefkastens in einem Mehrfamilienhaus oder eines selbst installierten Briefkastens in einem Abbruchhaus. Der Warenbetrug ist schwieriger. Für ihn muss man seinen falschen Ausweis in einer Postfiliale präsentieren oder eine Packstation nutzen. Unter einem gehackten Zugangskonto oder unter einer falschen Identität, natürlich.
 

 
 Für ein Carding-Board braucht man keinen sicheren Hafen bei einem Schurkenprovider. Alle bekannten Hostprovider bieten für monatlich 20 oder 30 Euro dedizierte Server an, die von dem Kunden administriert werden. Das Board mit den Mitgliederdaten und ihren Beiträgen passt auf eine CD. Auf den Server werden ein Content Management System - CMS - installiert und die Daten geladen.

Boards sind geschlossene Veranstaltungen. Betrogene Kunden, die Rechtsanwälte oder Strafverfolger auf den Hostprovider hetzen, gibt es nicht. Insoweit ist die Carding-Szene fatalistisch. Man handelt unter phantasievollen Namen, betrügt sich gegenseitig und sucht sich ein neues Opfer, wenn man selbst einem anderen auf den Leim gegangen ist. Die schwersten Sanktionen, die man befürchten muss, sind Beschimpfungen (Flames) und der Ausschluss. Ein neuer Name verschafft ein neues Leben und damit wieder einen Zutritt.

 Wird es dem Betreiber zu heiß, wechselt er den Hostprovider und macht das Board woanders auf. Hostspeicher ist billig und die Hostprovider sind willig. Sie wollen auch gar nicht wissen, was ihre Kunden treiben. Bleibt das Geld aus oder gibt es Ärger, dann wird der Server platt gemacht und dem nächsten Kunden angeboten. Nach ein paar Postings kommen die Board-Kunden ganz schnell wieder.

 Nur um die Domainadresse muss man sich kümmern und einen leistungsfähigen Verwalter finden. carders.cc nutzt dazu das australische Privacyprotect.org, das seinerseits von suspended-domain.com unter directi.com betriebene DNS-Server in Mumbai nutzt. Das ist eine lebhafte Hafenstadt mit 12,5 Mio. Bewohnern im Bundesstaat Maharashtra an der Westküste Indiens und bestens mit dem Internet verbunden.

Ich vermute, dass alle drei Betreiber nur vier Bestandsdatenfelder vorrätig halten:

Das ist gelebte Datensparsamkeit nach Herzenslust unserer hiesigen, mehr oder weniger amtlichen Datenschutztrolle.

 Einen Schurkenprovider mit sicherem Hosting braucht nur, wer sich an das öffentliche Publikum wendet, um mit Lockangeboten zu betrügen, urheberrechtskritische Multimedia- oder Programmdateien oder seine freie Meinung über den Holocaust oder die Segnungen des Nationalsozialismus zu verbreiten.

 Hostspeicher ist billig in Westeuropa und die Internet-Infrastruktur ist hier äußerst leistungsfähig. Der beschwerderesistente Provider aus Russland, Weissrussland oder der Ukraine hat nicht selten hier Hostspeicher für seine deutschen und westeuropäischen Kunden gemietet und zahlt zuverlässig. Das wiederum ist Globalisierung und eine klare Absage an die internationale Rechtshilfe in Strafsachen.
 

 
 Finanzagenten gab's gestern. Heute richtet man Bankkonten unter falschen Personalien ein oder hackt sie. Die Phisher, die der verstorbene Kollege Thelen vor etlichen Jahren verfolgte, mussten noch eine eigene Bank in der Karabik aufmachen, um sich Zahlungskarten auszustellen und die Beute aus dem Geldautomaten an der nächsten Ecke zu holen.

 Dank Kreditkarten auf Guthabenbasis aus Gribraltar kann man sich heute diesen Aufwand ersparen. Wechselstuben im alten Ostblock sind zwar teuer, wechseln aber zuverlässig Vouchers in Guthaben auf Kreditkarten um oder überweisen an ein PayPal-Konto. Auch die lästigen Edelmetallkonten (E-Gold u.a.) gibt es nicht mehr, weil sie vom FBI wegen Geldwäsche dicht gemacht wurden.

Lästig sind aber auch die karibischen Online-Kasinos. Sie verlangen tatsächlich, dass man wenigstens ein paar Runden verliert, bis sie das Spielkonto auflösen und den Saldo überweisen. Besser kann man die Beutesicherung bei größeren Beträgen aber nicht tarnen.

 Für kleine Beträge gibt es die Vouchers von PaySafeCard oder ukash oder ein Netzwerk nach Hawala-Art. Während Vouchers nachverfolgt werden können, kennt die Hawala keine Buchführung über die Zahler und Zahlungsempfänger. Die Hawalare rechnen untereinander nur nach Volumen ab. Das kennen wir sonst auch vom Clearing beim Roaming und bei dem internationalen, bargeldlosen Zahlungsverkehr.
 

 
 Wenn's um die Schäden geht, klagt die Finanzwirtschaft nicht lauthals. Sie bucht sie gegen die Gebühren und bemüht sich um die Begrenzung des Imageschadens.

 Angesichts der Reife heutiger Malware kommt die Beute ganz automatisch zum Täter. Er richtet einen Command & Control-Server - C&C - ein und der bedient um sich herum einen Schutzwall von Fluxservern. Diese sind es, die einen Abschnitt eines Botnetzes steuern oder die Homebanking-Malware mit den nötigen Fake-Webseiten und den Informationen über die Zielkonten der Manipulationen versorgen. Der Täter muss nur dafür sorgen, dass die Malware verteilt wird, funktioniert und funktionstüchtig bleibt.

 Dagegen sind die erpresserischen Formen der Malware grobschlächtig. Sie fallen mit ihren Vorwürfen ("Sie haben urheberrechtlich geschütztes Material verbreitet" oder Kinderpornographie oder überhaupt etwas anrüchiges getan) und mit ihren freundlichen Anleitungen auf, wo und wie man Vouchers bekommt. Dabei leben sie von einer besonderen Dreistigkeit und bei denen, die sich auf die Erpressung einlassen, darf man durchaus ein schlechtes Gewissen vermuten.

 Warum regt sich keiner darüber auf?

Heutige Cybercrime ist ein Massenphänomen. Der einzelne Betroffene zahlt Lehrgelt oder sieht sich ertappt und zahlt Schweigegeld. Die Finanzwirtschaft klagt auch nicht medienwirksam. Ihr geht es nicht an die Substanz und klagen würde bedeuten, man habe seine Geschäftsprozesse nicht im Griff. In den USA sind dafür die Vorstände persönlich haftbar. Dann ist doch lieber eine Klimaanlage im Rechenzentrum ausgefallen anstatt dass ein Hackerangriff erfolgreich war.
 

 
 Die Instrumente der Cybercrime sind ausgefeilt wie nie zuvor und dennoch herrscht eine gespenstige Ruhe. Jedenfalls bleiben die großen Meldungen aus und Anonymous findet nur noch eine nebensächliche Beachtung.

 Die Kinderporno- und die Cardingszene wurden von der Strafverfolgung in den letzten beiden Jahren verunsichert. Sie verbessern gerade ihre Abschottung. Der Identitätsdiebstahl äußert sich vor allem in Bankkonten unter Scheinidentitäten ohne Sicherheiten und die Finanzwirtschaft schweigt, solange sie keine richtigen Schmerzen hat. Der geprellte Privatmann ärgert sich und schickt allenfalls seinen Rechtsanwalt zur Akteneinsicht.

 Die Underground Economy setzt Massen von Geld um und vieles davon versickert an den Zwischenstationen, bei den Helfern und Helfershelfern.

Sobald das wahre Ausmaß der Underground Economy bekannt würde, könnte jeder Schwarzarbeiter, Hartz IV-Betrüger und Steuersünder (im kleinen Maß) mit Inbrunst behaupten, er werde verfolgt (gehängt) und die wahren Vergeher könnten frei rumlaufen. Recht hätte er, so gesehen! Gegen die schleimigen Täter im Internet gibt es bislang nur wenige Verfahren und die Fanale sind rar.

Es gibt sie. Die raffiniert handelnden Abofallen-Täter in Göttingen haben Bewährungsstrafen bekommen und der wichtigste von ihnen, der die Finanzen verwaltet hat, war nur ein Gehilfe. Sonst  wäre das vielleicht doch eine Bande gewesen.

 In Wuppertal gab es einen Singvogel und die Strafverfolger konnten eine ganze Skimming-Struktur samt Hinterleute und Geldwäscher ausheben. Sie wurden ganz schwer rangenommen und zu Bewährungsstrafen verurteilt.

 Hierzulande verfolgt man BtM-, Grundstoff- und Arzneimittelhändler im Internet, islamistische Aufrührer und Terroristen, aber keine Schurkenprovider. Man könnte sie auch hier finden, wenn man sie suchen würde. Man könnte auch Malware-Manufakturen und Operation-Groups für bestimmte kriminelle Aufgaen finden, wenn man sie suchen würde. Und man könnte auch Skimming-Truppen finden ...
 

 
 ... wird kommen, wenn die Schäden und die allgemeine Verunsicherung überhand nehmen. Ich vertraue der Strafverfolgung, dass sie sich langsam, aber nachhaltig in Bewegung setzen wird. Angst habe ich nur vor den Datenschutztrollen und den Politikern, die ihren Blick vor den Gefahren verschließen und jede Strafverfolgungsmaßnahme mit dem Makel versehen, dass immer nur Unschuldige generalverdächtigt und verfolgt werden.

Das freut die bedenkenlosen Cyberkriminellen, die jede Chance zum Beutemachen nutzen.