Heise meldete am 13.04.2012: Die Antivirenexperten von Trend Micro haben einen Lösegeld-Trojaner entdeckt, der den Boot-Vorgang blockiert. Anders als der in Deutschland weit verbreitete BKA-Trojaner nistet er sich dazu im Master Boot Record (MBR) ein. Anschließend führt der Schädling einen Neustart durch und fordert den Nutzer auf, ein Lösegeld in Höhe von 920 Hrywnja (ukrainische Währung, umgerechnet rund 90 Euro) über den Zahlungsdienstleister QIWI an die Erpresser zu zahlen. (1)

technischen Fragen

QIWI

(2)

(3)

Seit 2010 arbeitet das Unternehmen mit ukash zusammen (4) und daher ergibt sich auch eine beachtliche Zahl: QIWI verfügte vor zwei Jahren schon über 100.000 eigene Verkaufsstellen.

Ansonsten ist das Unternehmen in Westeuropa ziemlich unbekannt gewesen. Das ändert sich jetzt durch die Erpressungs-Malware. Jedenfalls die Täter scheinen auf die Integrität des Unternehmens zu vertrauen. Das nennt man dann eine gelungene und typisch russische Markteinführung.

Auf weitere Nachrichten darf man gespannt sein.
 

24.04.2012 
Die Meldung hat mich dazu veranlasst, tiefer der Frage nachzugehen, in welchem Maße Malware heute automatisiert ist, welche Schritte sie ausführt und wie die einzelnen Schritte strafrechtlich behandelt werden können.

Zum Aufsatz: Automatische Malware. Automatisierung beim Einsatz von Malware und das IuK-Strafrecht.

Sein wesentlicher Inhalt wird hier zusammen gefasst.

Aus den Erfahrungen mit der Steuerung von Botnetzen durch Command & Control-Server - C & C - sowie dem Einsatz von Fluxservern, die den C & C tarnen und entlasten, und mehreren Berichten über automatisierte Homebanking-Trojaner leite ich die Annahme ab, dass jedenfalls die professionelle Malware so gut wie immer von automatischen Steuerungseinheiten begleitet, versorgt und geleitet werden. Insoweit unterscheide ich zwischen der Basis-Malware, die das Einnisten besorgt und weitgehend selbständig handeln muss, und der produktiven Malware, die in ihrer Nistumgebung als Zombiesteuerung, Homebanking-Trojaner oder für andere maliziöse Aufgaben eingesetzt. Diese Annahme wende ich auch auf die aktuellen Ramsonware-Angriffe an, die ich erpresserische Malware nenne, also den Bundespolizei-Trojaner und seinen anderen aktuellen Spielarten.

Der zunächst an dieser Stelle veröffentlichte (und jetzt verlagerte) Aufsatz behandelt folgende Themen:

 
Der neue Lösegeld-Trojaner weist eine ungewöhnliche Angriffstiefe auf, weil er die produktive Malware in den Konfigurationsdateien des BIOS verbirgt. Deshalb gehe ich zunächst auf strukturelle technische Fragen ein.

Stuxnet ist eine Malware, die für eine bestimmte Umgebung konstruiert wurde, die atomaren Anreicherungsanlagen im Iran. Sie haben keine Internetanbindungen (oder keine, die verlässlich zur Einschleusung von Malware genutzt werden konnten), so dass bei Stuxnet die Verteilung per USB-Sticks erfolgte. Das führte dazu, dass alle Basis- und produktiven Bestandteile gleichzeitig vorgehalten werden mussten. Diese Malware konnte jedoch auf die Umstände einer einzigen Umgebung und zu einem einzigen maliziösen Zweck konstruiert werden.

Darin liegt ein wesentlicher Unterschied zu der variablen Malware, die jetzt im Bereich der Cybercrime Gang und Gäbe ist. Die wichtigsten Formen sind die Botware, die Homebanking-Trojaner und die erpresserischen Formen der Malware. Aus ihren Erscheinungsformen leite ich die These von der eingeschränkten Autonomie und Automatisierung ab und unterscheide zwischen der Basis-Malware und der produktiven Malware.
 

 
Danach stellt sich die Frage nach der Abfolge bei der Installation von Malware. Ich unterscheide dabei nach folgenden Schritten:

Schon die  Vorbereitungsphase ist strafrechtlich von besonderem Interesse, weil die Täter zunächst die Malware selber und den Verbreitungsweg über (meistens) Pharmen oder E-Mail-Anhänge oder Spam-Aktionen einkaufen müssen. Sobald sie aber die Aktion starten, haben sie ihre Handlungen abgeschlossen und agiert die Basis-Malware autonom. Von besonderer Bedeutung ist dabei, wann die straflose Vorbereitungshandlung endet und der Versuch der Computersabotage beginnt.

Strafrechtlich ist das das Handlungsmodell nämlich vergleichbar mit den Fällen, dass Bomben mit Zeitzündern gestartet oder Gift zum Verzehr bereit gestellt werden. Die rechtlichen Grundlagen behandelt das Kapitel Distanzdelikte und Fallensteller. Daraus leite ich folgende Ergebnisse ab:

Die Verbreitung der Basis-Malware als Anlage zu einer E-Mail erfordert ein Zutun des Opfers. Es muss (in aller Regel) die Anlage selber starten. Dadurch wird es zum "Tatmittler gegen sich selbst" und tritt eine konkrete, unmittelbare Gefährdung des geschützten Rechtsguts erst beim Start der Anlage ein. Der Versuch beginnt und endet in diesem Moment.

Dasselbe gilt für Links, die in der E-Mail selber eingebettet sind, wenn sie zu einer präparierten Webseite führen. Mit der Betätigung des Links wird ein geplanter, automatisierter Ablauf in Gang gesetzt, der ebenfalls zur unmittelbaren Gefährdung führt und deshalb gleichzeitig beendet ist.

In E-Mails eingebetteter Malcode bedarf keines Zutuns des Opfers. Er ist "scharf", sobald er versandt wird. Somit beginnt der Versuch in diesen Fällen bereits beim Versand der Spam-Nachrichten. Weil ein weiteres Zutun des Täters nicht erforderlich ist, ist der Versuch damit auch schon beendet.

Die Einrichtung von Pharmen mit präparierten Webseiten ist vergleichbar den Gifttrunk-Fällen. Eine konkrete und unmittelbare Gefährdung tritt erst ein, wenn das Opfer die präparierte Webseite aufruft. Das ist der Beginn des gleichzeitig beendeten Versuchs.

Wurden dazu fremde Webseiten präpariert, liegt auch darin eine Datenveränderung, die aber als gesonderte Tat nichts mit der Verbreitung der Malware als solche zu tun hat.

Seltener werden Massenspeicher (USB-Sticks, CD / DVD, Speicherkarten, Wechselfestplatten) zur Verbreitung der Malware genutzt. In diesen Fällen tritt die unmittelbare Gefährdung ein, sobald der Datenträger in die Hand des Opfers gerät. Spätestens in diesem Moment verliert der Täter seine Herrschaft über den Angriff und ist der Versuch beendet.

Daneben gibt es aber auch eine Strafbarkeit im Vorbereitungsstadium:
 

 
 Das Kapitel Versuch und strafbare Vorbereitungshandlungen konzentriert sich auf die Computersabotage im Zusammenhang mit dem Einsatz der Basis-Malware mit dem Ergebnis: Allein schon der Umgang mit der Basis-Malware ist als besonderes Gefährdungsdelikt strafbar ( §§ 303a Abs. 3 und 303b Abs. 5 StGB i.V.m. § 202c StGB). Aber auch schon in der Anlieferungsphase kann eine Übermittlung von maliziösem Code erfolgen, wobei die Strafbarkeit bis in das Vorbereitungsstadium vorverlagert ist ( § 303b Abs. 1 Nr. 2 StGB). Das gilt auch noch für den nächsten Schritt der Invasion, der Injektion.

 Im Zusammenhang mit den folgenden Schritten ( Infektion, Einnisten und Tarnung) werden die Funktionen der Basis-Malware genauer betrachtet:

Der Aufsatz beschränkt sich schließlich darauf, eine Einsatzform genauer zu betrachten, nämlich die:
 

 
Die Grafiken in der dabei verwendeten Animation stammen aus dem Arbeitspapier IuK-Strafrecht und zeigen noch leichte Abweichungen zu den jetzt gewonnenen Erkenntnissen ( Homebanking-Malware). Das macht das Kapitel Einsatz von Homebanking-Malware mit einer eigenen Animation wett.

Von Bedeutung dürfte deshalb diese Aufstellung sein, die auf die Homebanking-Malware abgestimmt ist:

Vorbereitungsphase	tateinheitlicher Umgang mit Programmen zur Computersabotage und zum Computerbetrug ( §§ 303b Abs. 5 StGB i.V.m. 202c Abs. 1 Nr. 2 StGB, 263a Abs. 3 StGB)
Anlieferung	versuchte Computersabotage in Tateinheit mit versuchtem Computerbetrug und mit versuchter Fälschung beweiserheblicher Daten ( §§ 303b Abs. 1, Abs. 3, 263 Abs. 2 i.V.m. 263a Abs. 2, 269 Abs. 2 StGB)
Injektion	vollendete Übermittlung nachteiliger Daten ( §§ 303b Abs. 1 Nr. 2 StGB) in Tateinheit mit versuchtem Computerbetrug und mit versuchter Fälschung beweiserheblicher Daten ( §§ 263 Abs. 2 i.V.m. 263a Abs. 2, 269 Abs. 2 StGB)
Einnisten	vollendete Computersabotage ( §§ 303b Abs. 1 StGB) in Tateinheit mit versuchtem Computerbetrug und mit versuchter Fälschung beweiserheblicher Daten ( §§ 263 Abs. 2 i.V.m. 263a Abs. 2, 269 Abs. 2 StGB)
Einsatz	Computersabotage in Tateinheit mit Computerbetrug und mit Fälschung beweiserheblicher Daten ( §§ 303b Abs. 1, 263a Abs. 2, 269 Abs. 2 StGB)

Den Abschluss des Aufsatzes bilden Ausführungen zu den C & C- und Flux-Servern und zum Standort der Betreiber automatisierter Malware in den Strukturen der Organisierten Cybercrime.
 

 
Mit dem Arbeitspapier Cybercrime habe ich 2010 nur die Erscheinungsformen der Cybercrime zusammen gefasst und dabei das materielle Cybercrime-Strafrecht respektvoll außen vor gelassen oder allenfalls gestreift. Im Nachhinein hat es sich als richtig erwiesen, dass ich meine materiellen Forschungen zunächst auf eine Erscheinungsform der Cybercrime beschränkt habe, dem Skimming. So konnte ich das umgrenzte Thema Schritt für Schritt erfassen und mich auch selber fortbilden, zumal die schwierigsten Probleme (wie so häufig) im allgemeinen Teil des Strafrechts liegen: Täterschaft und Teilnahme sowie Vorbereitung und Versuch. Aufsätze zum Skimming gibt es inzwischen viele, aber mir wurde schon mehrfach nachgesagt, dass kein anderer Autor zu tief in die Einzelheiten und Verästelungen eingestiegen ist. Ein besonderes Lob stammt von einem BGH-Richter, der sinngemäß sagte: Wenn ich über das Skimming schreiben wollte, dann könnte ich auch nur von ihnen abschreiben (Mai 2011).

2009 habe ich mich besonders mit den strukturellen Formen der Cybercrime befasst und die seinerzeit entwickelten Grundlagen haben Bestand bewiesen. 2010 habe ich mich endlich auch tieher mit den Boards befasst und auch die dabei gewonnenen Erkenntnisse stimmen noch immer. Ungeplant und überraschend gewann ich auch Erkenntnisse über den Cyberwar, noch bevor er zum öffentlichen Thema wurde ( Arbeitspapier Netkommunikation). Meine Unterscheidung zwischen dem Kalten und dem Heißen Cyberwar hat noch immer Geltung.

2011 habe ich zwei heiße Eisen angefasst. Zunächst habe ich den Mut gefasst, über die offenen und verdeckten Ermittlungen im Internet zu schreiben. Rumzutrollen ist die eine Sache, Farbe zu bekennen die andere. Der Aufsatz hat Bestand bewiesen.

Mit erheblich größeren Respekt bin ich an das umfassende Thema IuK-Strafrecht herran gegangen. Dazu musste ich zunächst mehrere Rechtsgebiete durchdringen, die auf dem ersten Blick nichts mit dem Cybercrime-Strafrecht zu tun haben scheinen, zum Beispiel dem Recht zur Urkundenfälschung und der kriminellen Vereinigung. Mit den Ergebnissen bin ich auch jetzt noch ganz zufrieden.

Auch der jetzt vorliegende Aufsatz über die automatisierte Malware fußt auf intuitiven Annahmen und verlangte eine tiefere Einarbeitung in fremd erscheinende Rechtsfragen (Distanzdelikte, Giftfallen). Ich habe den Eindruck, dass ich wieder einmal nicht ganz falsch liege.
 

(1) Malware blockiert Bootvorgang, Heise online 13.04.2012

(2) Übersetzung von Google: QIWI weltweit.

(3) Übersetzung von Google: Produkte und Dienstleistungen.

(4) Partnerschaft mit QIWI: Ukash erschließt 100.000 Verkaufsstellen in Russland, ukash 01.04.2010