1 | Die beiden oben dargelegten Motivationslinien spiegeln sich |
2 | auch in den Bedrohungsarten wider, denen IT-Systeme durch |
3 | kriminelle Handlungen im Wesentlichen ausgesetzt sind. Für |
4 | die Täter stellt sich je nach dem Motiv ihrer Handlung die |
5 | Frage nach dem wirkungsvollsten Weg zur Erreichung ihres |
6 | Ziels. Die so entstehenden Bedrohungen sind äußerst |
7 | vielfältig. |
8 | Folgende Bedrohungen werden dabei von Sicherheitsexperten |
9 | sowohl aus der Privatwirtschaft[FN: Hier werden insbesondere |
10 | verschiedene Studien, unter anderem von IBM, dem |
11 | Antivirenhersteller McAfee, der Wirtschaftsberatungsfirma |
12 | KPMG und anderen, herangezogen. Alle diese Studien |
13 | entsprechen nicht den Anforderungen an eine |
14 | wissenschaftliche Aufarbeitung des Themas. Sie bieten jedoch |
15 | einen guten Überblick.] als auch seitens des Bundesamtes für |
16 | Sicherheit in der Informationstechnik (BSI) als besonders |
17 | relevant angesehen.[FN: Siehe hierzu den BSI-Lagebericht |
18 | „Die Lage der IT-Sicherheit in Deutschland 2011“. Online |
19 | abrufbar unter: |
20 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
21 | ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil |
22 | e] |
23 | |
24 | |
25 | I.3.1.5.1 Botnetze |
26 | Ein Botnetz besteht aus einer großen Anzahl von miteinander |
27 | vernetzten Computern, die mit einer Schadsoftware (engl. |
28 | Malware) infiziert wurden.[FN: S. dazu auch Walter, |
29 | Internetkriminalität, 2008, S. 21, der auf eine Zahl aus dem |
30 | Jahr 2007 verweist, wonach angeblich 11 % aller mit dem |
31 | Internet verbundenen Computer mit Botnetz-Malware infiziert |
32 | sein sollen.] Diese Schadsoftware ermöglicht es einem Täter, |
33 | die Computer fernzusteuern und für einen Distributed Denial |
34 | of Service-Angriff (DDoS-Angriff)[FN: Ein Angriff, bei dem |
35 | mittels einer Vielzahl von einzelnen Computern, die oft in |
36 | ein Botnetz eingebunden sind, ein einzelnes Computersystem, |
37 | in der Regel ein Server im Internet, so lange mit Anfrage |
38 | überhäuft wird, bis dieser neue Anfragen nicht mehr |
39 | beantworten kann. Tipton/Krause, Information Security |
40 | Handbook, 2007, S. 2253; s. weiter Walter, |
41 | Internetkriminalität, 2008, S. 20; näher zu dem Thema unten |
42 | Abschnitt II.3.1.5.4.] oder auch nur für den Versand von |
43 | Spam zu nutzen.[FN: Pfleeger/Pfleeger, Analyzing Computer |
44 | Security: A Threat / Vulnerability / Countermeasure |
45 | Approach, 2011, S. 638 f.] Der Aufbau eines Botnetzes findet |
46 | zumeist ungerichtet statt. Ziel der Täter ist es, eine |
47 | möglichst große Anzahl an Rechnern in das Botnetz |
48 | einzubinden.[FN: S. dazu auch Kshetri, The Global Cybercrime |
49 | Industry, 2010, S. 2, der auf eine Schätzung hinweist, nach |
50 | der etwa 10 Millionen Computer täglich übernommen und zu |
51 | einem Bestandteil eines Botnetzes gemacht werden.] Hierbei |
52 | bedienen sie sich verschiedenster Methoden, um die Rechner |
53 | mit Schadsoftware zu infizieren.[FN: Zu diesen sogleich |
54 | Abschnitte II.3.1.6 und II.3.1.7.] Wer der Besitzer des |
55 | kompromittierten Systems ist, ist für den Täter nicht weiter |
56 | von Bedeutung. |
57 | |
58 | Die Kontrolle über ein ausreichend großes Botnetz eröffnet |
59 | dem Täter vielfältige Möglichkeiten: So wurden Botnetze |
60 | beispielsweise als Drohungsmittel für Erpressungen[FN: |
61 | Vacca, Computer and Information Security Handbook, 2009, S. |
62 | 124.] genutzt, um Vergeltung auszuüben oder um |
63 | Wettbewerbsvorteile zu erlangen[FN: Vgl. BSI, Lagebericht |
64 | IT-Sicherheit in Deutschland 2011, S. 15, abrufbar unter: |
65 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
66 | ionen/Lageberichte/Lagebericht2011_nbf.pdf?__blob=publicatio |
67 | nFile]. Angesichts der massiven Schäden, die ein |
68 | DDoS-Angriff für ein Unternehmen bedeuten kann, genügt in |
69 | der Regel schon die Androhung eines entsprechenden |
70 | Angriffs, um ein Unternehmen zur Zahlung eine Schutzgeldes |
71 | zu bewegen.[FN: S. das Beispiel bei Brauch, Geld oder Netz!, |
72 | c’t 14/04 sowie |
73 | http://www.heise.de/security/meldung/DDoS-Angriff-vermiest-C |
74 | onrad-die-Weihnachtsstimmung-1400117.html] Botnetze können |
75 | auch stunden- oder tageweise[FN: BKA, Cybercrime |
76 | Bundeslagebild 2010, S. 7, abrufbar unter: |
77 | http://www.bka.de/nn_224082/SharedDocs/Downloads/DE/Publikat |
78 | ionen/JahresberichteUndLagebilder/Cybercrime/cybercrime2010, |
79 | templateId=raw,property=publicationFile.pdf/cybercrime2010.p |
80 | df] an Dritte vermietet werden, die diese ohne eigene |
81 | technische Kenntnisse zum Spamversand oder für die genannten |
82 | DDoS-Angriffe nutzen. Hieraus hat sich inzwischen ein |
83 | eigenes Geschäftsmodell entwickelt.[FN: Walter, |
84 | Internetkriminalität, 2008, S. 21.] Der Kunde benötigt so |
85 | kaum noch eigenes vertieftes Wissen über die technischen |
86 | Zusammenhänge. |
87 | |
88 | Ein drittes Geschäftsmodell beim Betrieb eines Botnetzes ist |
89 | der sogenannte Click Fraud. Die ferngesteuerten Computer |
90 | (die Bots) werden genutzt, um massenhaft und andauernd |
91 | Werbebanner anzuklicken, an deren Umsätzen der Angreifer |
92 | verdient.[FN: Vacca, Computer and Information Security |
93 | Handbook, 2009, S. 124.] Auch die Übernahme, das so genannte |
94 | „Hijacking“, eines Botnetzes ist möglich.[FN: 2009 wurde |
95 | beispielsweise das Torping-Botnetz für mehrere Tage von |
96 | Forschern übernommen und in dieser Zeit beobachtet, vgl. |
97 | Brett Stone-Gross u.a.; Your Botnet is My Botnet: Analysis |
98 | of a Botnet Takeover, 2009, abrufbar unter: |
99 | http://www.cs.ucsb.edu/~seclab/projects/torpig/torpig.pdf] |
100 | |
101 | Ein bereits angesprochener, weiterer Einsatzzweck im Bereich |
102 | der Botnetze ist der Spamversand.[FN: Vacca, Computer and |
103 | Information Security Handbook, 2009, S. 124; |
104 | http://www.shadowserver.org/wiki/uploads/Information/RBN-AS4 |
105 | 0989.pdf, S. 4.] Hierbei ist der Versand von Spam zum einen |
106 | das Geschäftsmodell selbst, da sich trotz der niedrigen |
107 | Conversion Rate[FN: Die Studie Kranich/Kreibich/Levchenko et |
108 | al., Spamalytics, Proceedings of the 15th ACM conference on |
109 | Computer and communications security - CCS '08, 2008 legt |
110 | nahe, dass eine "conversion rate of well under 0.00001%" (S. |
111 | 11) vorliegt, also mehr als einhunderttausend Spam-Mails für |
112 | einen aus Sicht der Spammer erfolgreichen Abschluss nötig |
113 | sind.] durch Umsatzbeteiligung an den so verkauften |
114 | Produkten weiterhin erhebliche Gewinne erzielen lassen.[FN: |
115 | Eingehend: Ebda.] Zum anderen dienen die versandten E-Mails |
116 | auch dazu, weitere Rechner zu infizieren und dadurch zu |
117 | einem Bestandteil des Botnetzes zu machen. |
118 | Der BSI-Lagebericht 2011 stellt zudem fest, dass „im Jahr |
119 | 2010 zunehmend ein weiterer Trend auftrat: Beim so genannten |
120 | ‘Hacktivismus‘, einer Mischform von Hacking und Aktivismus, |
121 | stellen Internet-Nutzer ihre PCs freiwillig zur Verfügung, |
122 | um Angriffe, beispielweise DDoS-Angriffe, auf Unternehmen |
123 | durchzuführen. Auf diese Weise kann sich ebenfalls ein |
124 | Botnetz bilden“.[FN: BSI, Lagebericht IT-Sicherheit in |
125 | Deutschland 2011, S. 15, abrufbar unter: |
126 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
127 | ionen/Lageberichte/Lagebericht2011_nbf.pdf?__blob=publicatio |
128 | nFile] |
129 | |
130 | |
131 | I.3.1.5.2 Identitätsdiebstahl und -missbrauch |
132 | Angriffe auf eine fremde Identität versetzen Angreifer in |
133 | die Lage, sich im Internet oder innerhalb eines IT-Systems |
134 | als die Person auszugeben, deren Identität sie übernehmen |
135 | konnten. Die Identität lässt sich auf verschiedene Weise für |
136 | den Täter nutzen. Eine der direktesten Formen ist etwa der |
137 | Zugriff auf das Onlinebanking der Nutzer. Die Täter finden |
138 | dabei trotz sicherheitstechnologischer Weiterentwicklungen |
139 | immer wieder neue Wege zur Umgehung der |
140 | Sicherheitsmechanismen. Zur Weiterleitung der unrechtmäßig |
141 | erlangten Gelder ins Ausland werden so genannte |
142 | Finanzagenten eingesetzt. Diese Personen werden wiederum |
143 | durch Spam angeworben.[FN: Beschrieben etwa hier: BSI, |
144 | Lagebericht IT-Sicherheit in Deutschland 2011, S. 23, |
145 | abrufbar unter: |
146 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
147 | ionen/Lageberichte/Lagebericht2011_nbf.pdf?__blob=publicatio |
148 | nFile.] Auch im Bereich des Warenbetrugs spielt der |
149 | Identitätsdiebstahl eine zentrale Rolle. Zur Abholung und |
150 | Weiterleitung der unter falscher Identität bestellten Waren |
151 | werden wiederum so genannte „Warenagenten“eingesetzt.[FN: S. |
152 | etwa die Warnung des BSI hier: FD-StrafR 2008, 271131; |
153 | weitere Beispiele: BKA, Cybercrime Bundeslagebild 2010, S. |
154 | 10 ff., abrufbar unter: |
155 | http://www.bka.de/nn_224082/SharedDocs/Downloads/DE/Publikat |
156 | ionen/JahresberichteUndLagebilder/Cybercrime/cybercrime2010, |
157 | templateId=raw,property=publicationFile.pdf/cybercrime2010.p |
158 | df] |
159 | Ein weiteres Feld im Bereich des Identitätsmissbrauchs ist |
160 | der Missbrauch von Zahlungskarten. Nach Einschätzung des BKA |
161 | hat sich hier mit dem Carding in den letzten Jahren eine |
162 | neue Methode etabliert, bei der Waren unter fremder |
163 | Identität gekauft und sodann von den Tätern wieder verkauft |
164 | werden.[FN: Der Begriff Carding wird im betreffenden Bericht |
165 | für eine Methode verwendet, nach der mithilfe ausgespähter |
166 | oder gestohlener Kreditkarten zunächst online Waren gekauft |
167 | werden, die dann von den Tätern über andere Online-Shops |
168 | oder Plattformen wie eBay weiterverkauft werden, s. BKA, |
169 | Cybercrime Bundeslagebild 2010, S. 12, abrufbar unter: |
170 | http://www.bka.de/nn_224082/SharedDocs/Downloads/DE/Publikat |
171 | ionen/JahresberichteUndLagebilder/Cybercrime/cybercrime2010, |
172 | templateId=raw,property=publicationFile.pdf/cybercrime2010.p |
173 | df ; der Begriff wird teilweise aber auch so verstanden, |
174 | dass „Carding“ den Vorgang beschreibt, wenn der Dieb einer |
175 | Kreditkarte durch die Abbuchung kleinerer und damit |
176 | unauffälliger Beträge kontrolliert, ob die entwendete Karte |
177 | bereits gesperrt oder noch nutzbar ist.] Auch hier kommen |
178 | oftmals „Agenten“ zum Einsatz, die für die Täter die Ware |
179 | abholen oder weiterversenden. |
180 | |
181 | |
182 | I.3.1.5.3 Spam |
183 | Von den sonstigen Bedrohungengrundsätzlich zu unterscheiden |
184 | sind solche Handlungen, die zwar als sozialschädlich |
185 | betrachtet werden, aber mangels des dafür erforderlichen |
186 | besonderen Unrechtsgehaltes nicht ohne Weiteres als |
187 | Straftaten im juristischen Sinne und damit als |
188 | Internetkriminalität charakterisiert werden können. Dies |
189 | sind namentlich Ordnungswidrigkeiten und bloße |
190 | Belästigungen, wie beispielsweise unerwünschte Werbung im |
191 | Internet und bestimmte Formen unverlangt zugestellter |
192 | E-Mails. Das damit angesprochene Versenden von Spam ist zwar |
193 | nicht ohne Weiteres unmittelbar als Straftat anzusehen, |
194 | stellt aber etwa mit werblichem Inhalt eine |
195 | Ordnungswidrigkeit nach §§ 6 Absatz 2, 16 Absatz 1 des |
196 | Telemediengesetzes (TMG)[FN: Telemediengesetz vom 26. |
197 | Februar 2007 (BGBl. I S. 179), zuletzt geändert durch |
198 | Artikel 1 des Gesetzes vom 31. Mai 2010 (BGBl. I S. 692).] |
199 | dar, wenn der kommerzielle Charakter oder der Absender |
200 | verschleiert oder verheimlicht wird. |
201 | |
202 | Daneben stellt Spam auch eine unzumutbare Belästigung nach § |
203 | 7 Absatz 3 Nummer 3 und 4 des Gesetzes gegen den unlauteren |
204 | Wettbewerb (UWG)[FN: Gesetz gegen den unlauteren Wettbewerb |
205 | in der Fassung der Bekanntmachung vom 3. März 2010 (BGBl. I |
206 | S. 254).] dar und kann damit zu einem wettbewerbsrechtlichen |
207 | Unterlassungsanspruch führen. Ein solcher |
208 | Unterlassungsanspruch nach §§ 823, 1004 des Bürgerlichen |
209 | Gesetzbuches (BGB)[FN: Bürgerliches Gesetzbuch in der |
210 | Fassung der Bekanntmachung vom 2. Januar 2002 (BGBl. I S. |
211 | 42, 2909; 2003 I S. 738), zuletzt geändert durch Artikel 1 |
212 | des Gesetzes vom 10. Mai 2012 (BGBl. I S. 1084).] analog |
213 | kann sich aus einer Verletzung des allgemeinen |
214 | Persönlichkeitsrechts[FN: LG Berlin NJW 1998, 3208.] oder |
215 | dem Eingriff in das Recht am eingerichteten und ausgeübten |
216 | Gewebetrieb[FN: LG Berlin NJW 2002, 2569, 2570.] ergeben. |
217 | Parallel können Schadensersatzansprüche nach § 823 Absatz 1 |
218 | BGB entstehen. Der Durchsetzung derartiger zivilrechtlicher |
219 | Ansprüche stehen aber oft praktische Gründe entgegen, da die |
220 | Verfolgung langwierig,teuer und oft erfolglos ist.[FN: |
221 | Conrad, in: Auer-Reinsdorff/Conrad, Beck’sches |
222 | Mandatshandbuch IT-Recht, § 25 Rn. 250.] |
223 | |
224 | Größere Bedeutung hat Spam allerdings als |
225 | Vorbereitungshandlung für andere Formen der |
226 | Internetkriminalität. Spam wird genutzt, um Phishing |
227 | einzuleiten, um Personen für den Warenbetrug anzuwerben,[FN: |
228 | BSI, Lagebericht IT-Sicherheit in Deutschland 2011, S. 20, |
229 | abrufbar unter: |
230 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
231 | ionen/Lageberichte/Lagebericht2011_nbf.pdf?__blob=publicatio |
232 | nFile |
233 | Siehe auch die Ausführungen in Kaputel II.3.1.5.2.] oder um |
234 | weitere PC-Infektionen herbeizuführen.[FN: Viren können |
235 | mittels Dateianhängen über E-Mails verteilt werden. Hierzu |
236 | werden die selben Techniken wie beim Spamversand genutzt. |
237 | Viren können so in großer Zahl verteilt werden. Zum Ganzen: |
238 | Kurose/Ross, Computernetzwerke: Der Top-Down-Ansatz, 2008, |
239 | S. 78.] In diesen Fällen nimmt Spam also eine vorbereitende |
240 | Funktion für andere Angriffsformen ein und entfaltet damit |
241 | eine mittelbare Bedrohungswirkung.[FN: BSI, Lagebericht |
242 | IT-Sicherheit in Deutschland 2011, S. 20, abrufbar unter: |
243 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
244 | ionen/Lageberichte/Lagebericht2011_nbf.pdf?__blob=publicatio |
245 | nFile] |
246 | Insofern war und ist Spam weiterhin die zahlenmäßig |
247 | häufigste Angriffsform.[FN: S. dazu Kshetri, The Global |
248 | Cybercrime Industry, 2010, S. 5, wo auf eine Schätzung von |
249 | 200 Milliarden Spammails täglich und auf einen Spananteil |
250 | von 87 bis 90 % bei allen E-Mails für das Jahr 2009 |
251 | hingewiesen wird.] Durch die enorme Rechen- und |
252 | Sendeleistung, die den Versendern mittlerweile zur Verfügung |
253 | steht, sind Spamwellen erheblichen Ausmaßes zu |
254 | beobachten.[FN: S. die aufschlussreiche Grafik bei: BSI, |
255 | Lagebericht IT-Sicherheit in Deutschland 2011, S. 20, |
256 | abrufbar unter: |
257 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
258 | ionen/Lageberichte/Lagebericht2011_nbf.pdf?__blob=publicatio |
259 | nFile; weiter dazu Walter, Internetkriminalität, 2008, S. |
260 | 20.] |
1-1 von 1
-
02.03.01.05 Bedrohungen (Teil 1) (Originalversion)
von EnqueteSekretariat, angelegt