02.03.01.05 Bedrohungen (Teil 1)

1-1 von 1
  • 02.03.01.05 Bedrohungen (Teil 1) (Originalversion)

    von EnqueteSekretariat, angelegt
    1 Die beiden oben dargelegten Motivationslinien spiegeln sich
    2 auch in den Bedrohungsarten wider, denen IT-Systeme durch
    3 kriminelle Handlungen im Wesentlichen ausgesetzt sind. Für
    4 die Täter stellt sich je nach dem Motiv ihrer Handlung die
    5 Frage nach dem wirkungsvollsten Weg zur Erreichung ihres
    6 Ziels. Die so entstehenden Bedrohungen sind äußerst
    7 vielfältig.
    8 Folgende Bedrohungen werden dabei von Sicherheitsexperten
    9 sowohl aus der Privatwirtschaft[FN: Hier werden insbesondere
    10 verschiedene Studien, unter anderem von IBM, dem
    11 Antivirenhersteller McAfee, der Wirtschaftsberatungsfirma
    12 KPMG und anderen, herangezogen. Alle diese Studien
    13 entsprechen nicht den Anforderungen an eine
    14 wissenschaftliche Aufarbeitung des Themas. Sie bieten jedoch
    15 einen guten Überblick.] als auch seitens des Bundesamtes für
    16 Sicherheit in der Informationstechnik (BSI) als besonders
    17 relevant angesehen.[FN: Siehe hierzu den BSI-Lagebericht
    18 „Die Lage der IT-Sicherheit in Deutschland 2011“. Online
    19 abrufbar unter:
    20 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat
    21 ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil
    22 e]
    23
    24
    25 I.3.1.5.1 Botnetze
    26 Ein Botnetz besteht aus einer großen Anzahl von miteinander
    27 vernetzten Computern, die mit einer Schadsoftware (engl.
    28 Malware) infiziert wurden.[FN: S. dazu auch Walter,
    29 Internetkriminalität, 2008, S. 21, der auf eine Zahl aus dem
    30 Jahr 2007 verweist, wonach angeblich 11 % aller mit dem
    31 Internet verbundenen Computer mit Botnetz-Malware infiziert
    32 sein sollen.] Diese Schadsoftware ermöglicht es einem Täter,
    33 die Computer fernzusteuern und für einen Distributed Denial
    34 of Service-Angriff (DDoS-Angriff)[FN: Ein Angriff, bei dem
    35 mittels einer Vielzahl von einzelnen Computern, die oft in
    36 ein Botnetz eingebunden sind, ein einzelnes Computersystem,
    37 in der Regel ein Server im Internet, so lange mit Anfrage
    38 überhäuft wird, bis dieser neue Anfragen nicht mehr
    39 beantworten kann. Tipton/Krause, Information Security
    40 Handbook, 2007, S. 2253; s. weiter Walter,
    41 Internetkriminalität, 2008, S. 20; näher zu dem Thema unten
    42 Abschnitt II.3.1.5.4.] oder auch nur für den Versand von
    43 Spam zu nutzen.[FN: Pfleeger/Pfleeger, Analyzing Computer
    44 Security: A Threat / Vulnerability / Countermeasure
    45 Approach, 2011, S. 638 f.] Der Aufbau eines Botnetzes findet
    46 zumeist ungerichtet statt. Ziel der Täter ist es, eine
    47 möglichst große Anzahl an Rechnern in das Botnetz
    48 einzubinden.[FN: S. dazu auch Kshetri, The Global Cybercrime
    49 Industry, 2010, S. 2, der auf eine Schätzung hinweist, nach
    50 der etwa 10 Millionen Computer täglich übernommen und zu
    51 einem Bestandteil eines Botnetzes gemacht werden.] Hierbei
    52 bedienen sie sich verschiedenster Methoden, um die Rechner
    53 mit Schadsoftware zu infizieren.[FN: Zu diesen sogleich
    54 Abschnitte II.3.1.6 und II.3.1.7.] Wer der Besitzer des
    55 kompromittierten Systems ist, ist für den Täter nicht weiter
    56 von Bedeutung.
    57
    58 Die Kontrolle über ein ausreichend großes Botnetz eröffnet
    59 dem Täter vielfältige Möglichkeiten: So wurden Botnetze
    60 beispielsweise als Drohungsmittel für Erpressungen[FN:
    61 Vacca, Computer and Information Security Handbook, 2009, S.
    62 124.] genutzt, um Vergeltung auszuüben oder um
    63 Wettbewerbsvorteile zu erlangen[FN: Vgl. BSI, Lagebericht
    64 IT-Sicherheit in Deutschland 2011, S. 15, abrufbar unter:
    65 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat
    66 ionen/Lageberichte/Lagebericht2011_nbf.pdf?__blob=publicatio
    67 nFile]. Angesichts der massiven Schäden, die ein
    68 DDoS-Angriff für ein Unternehmen bedeuten kann, genügt in
    69 der Regel schon die Androhung eines entsprechenden
    70 Angriffs, um ein Unternehmen zur Zahlung eine Schutzgeldes
    71 zu bewegen.[FN: S. das Beispiel bei Brauch, Geld oder Netz!,
    72 c’t 14/04 sowie
    73 http://www.heise.de/security/meldung/DDoS-Angriff-vermiest-C
    74 onrad-die-Weihnachtsstimmung-1400117.html] Botnetze können
    75 auch stunden- oder tageweise[FN: BKA, Cybercrime
    76 Bundeslagebild 2010, S. 7, abrufbar unter:
    77 http://www.bka.de/nn_224082/SharedDocs/Downloads/DE/Publikat
    78 ionen/JahresberichteUndLagebilder/Cybercrime/cybercrime2010,
    79 templateId=raw,property=publicationFile.pdf/cybercrime2010.p
    80 df] an Dritte vermietet werden, die diese ohne eigene
    81 technische Kenntnisse zum Spamversand oder für die genannten
    82 DDoS-Angriffe nutzen. Hieraus hat sich inzwischen ein
    83 eigenes Geschäftsmodell entwickelt.[FN: Walter,
    84 Internetkriminalität, 2008, S. 21.] Der Kunde benötigt so
    85 kaum noch eigenes vertieftes Wissen über die technischen
    86 Zusammenhänge.
    87
    88 Ein drittes Geschäftsmodell beim Betrieb eines Botnetzes ist
    89 der sogenannte Click Fraud. Die ferngesteuerten Computer
    90 (die Bots) werden genutzt, um massenhaft und andauernd
    91 Werbebanner anzuklicken, an deren Umsätzen der Angreifer
    92 verdient.[FN: Vacca, Computer and Information Security
    93 Handbook, 2009, S. 124.] Auch die Übernahme, das so genannte
    94 „Hijacking“, eines Botnetzes ist möglich.[FN: 2009 wurde
    95 beispielsweise das Torping-Botnetz für mehrere Tage von
    96 Forschern übernommen und in dieser Zeit beobachtet, vgl.
    97 Brett Stone-Gross u.a.; Your Botnet is My Botnet: Analysis
    98 of a Botnet Takeover, 2009, abrufbar unter:
    99 http://www.cs.ucsb.edu/~seclab/projects/torpig/torpig.pdf]
    100
    101 Ein bereits angesprochener, weiterer Einsatzzweck im Bereich
    102 der Botnetze ist der Spamversand.[FN: Vacca, Computer and
    103 Information Security Handbook, 2009, S. 124;
    104 http://www.shadowserver.org/wiki/uploads/Information/RBN-AS4
    105 0989.pdf, S. 4.] Hierbei ist der Versand von Spam zum einen
    106 das Geschäftsmodell selbst, da sich trotz der niedrigen
    107 Conversion Rate[FN: Die Studie Kranich/Kreibich/Levchenko et
    108 al., Spamalytics, Proceedings of the 15th ACM conference on
    109 Computer and communications security - CCS '08, 2008 legt
    110 nahe, dass eine "conversion rate of well under 0.00001%" (S.
    111 11) vorliegt, also mehr als einhunderttausend Spam-Mails für
    112 einen aus Sicht der Spammer erfolgreichen Abschluss nötig
    113 sind.] durch Umsatzbeteiligung an den so verkauften
    114 Produkten weiterhin erhebliche Gewinne erzielen lassen.[FN:
    115 Eingehend: Ebda.] Zum anderen dienen die versandten E-Mails
    116 auch dazu, weitere Rechner zu infizieren und dadurch zu
    117 einem Bestandteil des Botnetzes zu machen.
    118 Der BSI-Lagebericht 2011 stellt zudem fest, dass „im Jahr
    119 2010 zunehmend ein weiterer Trend auftrat: Beim so genannten
    120 ‘Hacktivismus‘, einer Mischform von Hacking und Aktivismus,
    121 stellen Internet-Nutzer ihre PCs freiwillig zur Verfügung,
    122 um Angriffe, beispielweise DDoS-Angriffe, auf Unternehmen
    123 durchzuführen. Auf diese Weise kann sich ebenfalls ein
    124 Botnetz bilden“.[FN: BSI, Lagebericht IT-Sicherheit in
    125 Deutschland 2011, S. 15, abrufbar unter:
    126 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat
    127 ionen/Lageberichte/Lagebericht2011_nbf.pdf?__blob=publicatio
    128 nFile]
    129
    130
    131 I.3.1.5.2 Identitätsdiebstahl und -missbrauch
    132 Angriffe auf eine fremde Identität versetzen Angreifer in
    133 die Lage, sich im Internet oder innerhalb eines IT-Systems
    134 als die Person auszugeben, deren Identität sie übernehmen
    135 konnten. Die Identität lässt sich auf verschiedene Weise für
    136 den Täter nutzen. Eine der direktesten Formen ist etwa der
    137 Zugriff auf das Onlinebanking der Nutzer. Die Täter finden
    138 dabei trotz sicherheitstechnologischer Weiterentwicklungen
    139 immer wieder neue Wege zur Umgehung der
    140 Sicherheitsmechanismen. Zur Weiterleitung der unrechtmäßig
    141 erlangten Gelder ins Ausland werden so genannte
    142 Finanzagenten eingesetzt. Diese Personen werden wiederum
    143 durch Spam angeworben.[FN: Beschrieben etwa hier: BSI,
    144 Lagebericht IT-Sicherheit in Deutschland 2011, S. 23,
    145 abrufbar unter:
    146 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat
    147 ionen/Lageberichte/Lagebericht2011_nbf.pdf?__blob=publicatio
    148 nFile.] Auch im Bereich des Warenbetrugs spielt der
    149 Identitätsdiebstahl eine zentrale Rolle. Zur Abholung und
    150 Weiterleitung der unter falscher Identität bestellten Waren
    151 werden wiederum so genannte „Warenagenten“eingesetzt.[FN: S.
    152 etwa die Warnung des BSI hier: FD-StrafR 2008, 271131;
    153 weitere Beispiele: BKA, Cybercrime Bundeslagebild 2010, S.
    154 10 ff., abrufbar unter:
    155 http://www.bka.de/nn_224082/SharedDocs/Downloads/DE/Publikat
    156 ionen/JahresberichteUndLagebilder/Cybercrime/cybercrime2010,
    157 templateId=raw,property=publicationFile.pdf/cybercrime2010.p
    158 df]
    159 Ein weiteres Feld im Bereich des Identitätsmissbrauchs ist
    160 der Missbrauch von Zahlungskarten. Nach Einschätzung des BKA
    161 hat sich hier mit dem Carding in den letzten Jahren eine
    162 neue Methode etabliert, bei der Waren unter fremder
    163 Identität gekauft und sodann von den Tätern wieder verkauft
    164 werden.[FN: Der Begriff Carding wird im betreffenden Bericht
    165 für eine Methode verwendet, nach der mithilfe ausgespähter
    166 oder gestohlener Kreditkarten zunächst online Waren gekauft
    167 werden, die dann von den Tätern über andere Online-Shops
    168 oder Plattformen wie eBay weiterverkauft werden, s. BKA,
    169 Cybercrime Bundeslagebild 2010, S. 12, abrufbar unter:
    170 http://www.bka.de/nn_224082/SharedDocs/Downloads/DE/Publikat
    171 ionen/JahresberichteUndLagebilder/Cybercrime/cybercrime2010,
    172 templateId=raw,property=publicationFile.pdf/cybercrime2010.p
    173 df ; der Begriff wird teilweise aber auch so verstanden,
    174 dass „Carding“ den Vorgang beschreibt, wenn der Dieb einer
    175 Kreditkarte durch die Abbuchung kleinerer und damit
    176 unauffälliger Beträge kontrolliert, ob die entwendete Karte
    177 bereits gesperrt oder noch nutzbar ist.] Auch hier kommen
    178 oftmals „Agenten“ zum Einsatz, die für die Täter die Ware
    179 abholen oder weiterversenden.
    180
    181
    182 I.3.1.5.3 Spam
    183 Von den sonstigen Bedrohungengrundsätzlich zu unterscheiden
    184 sind solche Handlungen, die zwar als sozialschädlich
    185 betrachtet werden, aber mangels des dafür erforderlichen
    186 besonderen Unrechtsgehaltes nicht ohne Weiteres als
    187 Straftaten im juristischen Sinne und damit als
    188 Internetkriminalität charakterisiert werden können. Dies
    189 sind namentlich Ordnungswidrigkeiten und bloße
    190 Belästigungen, wie beispielsweise unerwünschte Werbung im
    191 Internet und bestimmte Formen unverlangt zugestellter
    192 E-Mails. Das damit angesprochene Versenden von Spam ist zwar
    193 nicht ohne Weiteres unmittelbar als Straftat anzusehen,
    194 stellt aber etwa mit werblichem Inhalt eine
    195 Ordnungswidrigkeit nach §§ 6 Absatz 2, 16 Absatz 1 des
    196 Telemediengesetzes (TMG)[FN: Telemediengesetz vom 26.
    197 Februar 2007 (BGBl. I S. 179), zuletzt geändert durch
    198 Artikel 1 des Gesetzes vom 31. Mai 2010 (BGBl. I S. 692).]
    199 dar, wenn der kommerzielle Charakter oder der Absender
    200 verschleiert oder verheimlicht wird.
    201
    202 Daneben stellt Spam auch eine unzumutbare Belästigung nach §
    203 7 Absatz 3 Nummer 3 und 4 des Gesetzes gegen den unlauteren
    204 Wettbewerb (UWG)[FN: Gesetz gegen den unlauteren Wettbewerb
    205 in der Fassung der Bekanntmachung vom 3. März 2010 (BGBl. I
    206 S. 254).] dar und kann damit zu einem wettbewerbsrechtlichen
    207 Unterlassungsanspruch führen. Ein solcher
    208 Unterlassungsanspruch nach §§ 823, 1004 des Bürgerlichen
    209 Gesetzbuches (BGB)[FN: Bürgerliches Gesetzbuch in der
    210 Fassung der Bekanntmachung vom 2. Januar 2002 (BGBl. I S.
    211 42, 2909; 2003 I S. 738), zuletzt geändert durch Artikel 1
    212 des Gesetzes vom 10. Mai 2012 (BGBl. I S. 1084).] analog
    213 kann sich aus einer Verletzung des allgemeinen
    214 Persönlichkeitsrechts[FN: LG Berlin NJW 1998, 3208.] oder
    215 dem Eingriff in das Recht am eingerichteten und ausgeübten
    216 Gewebetrieb[FN: LG Berlin NJW 2002, 2569, 2570.] ergeben.
    217 Parallel können Schadensersatzansprüche nach § 823 Absatz 1
    218 BGB entstehen. Der Durchsetzung derartiger zivilrechtlicher
    219 Ansprüche stehen aber oft praktische Gründe entgegen, da die
    220 Verfolgung langwierig,teuer und oft erfolglos ist.[FN:
    221 Conrad, in: Auer-Reinsdorff/Conrad, Beck’sches
    222 Mandatshandbuch IT-Recht, § 25 Rn. 250.]
    223
    224 Größere Bedeutung hat Spam allerdings als
    225 Vorbereitungshandlung für andere Formen der
    226 Internetkriminalität. Spam wird genutzt, um Phishing
    227 einzuleiten, um Personen für den Warenbetrug anzuwerben,[FN:
    228 BSI, Lagebericht IT-Sicherheit in Deutschland 2011, S. 20,
    229 abrufbar unter:
    230 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat
    231 ionen/Lageberichte/Lagebericht2011_nbf.pdf?__blob=publicatio
    232 nFile
    233 Siehe auch die Ausführungen in Kaputel II.3.1.5.2.] oder um
    234 weitere PC-Infektionen herbeizuführen.[FN: Viren können
    235 mittels Dateianhängen über E-Mails verteilt werden. Hierzu
    236 werden die selben Techniken wie beim Spamversand genutzt.
    237 Viren können so in großer Zahl verteilt werden. Zum Ganzen:
    238 Kurose/Ross, Computernetzwerke: Der Top-Down-Ansatz, 2008,
    239 S. 78.] In diesen Fällen nimmt Spam also eine vorbereitende
    240 Funktion für andere Angriffsformen ein und entfaltet damit
    241 eine mittelbare Bedrohungswirkung.[FN: BSI, Lagebericht
    242 IT-Sicherheit in Deutschland 2011, S. 20, abrufbar unter:
    243 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat
    244 ionen/Lageberichte/Lagebericht2011_nbf.pdf?__blob=publicatio
    245 nFile]
    246 Insofern war und ist Spam weiterhin die zahlenmäßig
    247 häufigste Angriffsform.[FN: S. dazu Kshetri, The Global
    248 Cybercrime Industry, 2010, S. 5, wo auf eine Schätzung von
    249 200 Milliarden Spammails täglich und auf einen Spananteil
    250 von 87 bis 90 % bei allen E-Mails für das Jahr 2009
    251 hingewiesen wird.] Durch die enorme Rechen- und
    252 Sendeleistung, die den Versendern mittlerweile zur Verfügung
    253 steht, sind Spamwellen erheblichen Ausmaßes zu
    254 beobachten.[FN: S. die aufschlussreiche Grafik bei: BSI,
    255 Lagebericht IT-Sicherheit in Deutschland 2011, S. 20,
    256 abrufbar unter:
    257 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat
    258 ionen/Lageberichte/Lagebericht2011_nbf.pdf?__blob=publicatio
    259 nFile; weiter dazu Walter, Internetkriminalität, 2008, S.
    260 20.]