Im Anschluss an ihren bemerkenswerten Bericht über die Schattenwirtschaft im Internet vom August 2009 (2) haben Ester und Benzmüller die Basare (3) weiter beobachtet und jetzt ihr "Update 04/2010" veröffentlicht (4).

Nachdem das Elite-Forum zerschlagen worden ist (auch: 1337 Crew) (5), haben sich neue Boards gebildet, um dessen Nachfolge anzutreten. Die Crämer setzen ihre Geschäfte unvermittelt fort. Eine aktuelle Preisliste belegt, dass gehackte Spiele-Accounts für 5 bis 18 €, SIM-Karten im Bundle für 1 € das Stück und PayPal-Konten für wenig Geld (20 € bei einem Guthaben von 1.290,71 €) zu haben sind. Am teuersten sind gehackte Packstationen (6) für den Warenbetrug, die bis zu 50 Euro kosten (7). Bedruckte Kreditkartenrohlinge mit Hologrammen kosten zwischen 45 und 150 US-$, Kartendrucker von 450 bis 3.500 US-$ und ganze Skimming-Sets bis zu 10.000 US-$ (8).

Um die Nachfolge des Elite-Forums wurden erbitterte Kämpfe geführt. Die Konkurrenten schossen sich teilweise gegenseitig ab (9).

Um sich besser gegen die Strafverfolgung und Betrüger in den eigenen Reihen [Scammer (10)] zu schützen, wurden Aufnahmegebühren oder Referenzen gefordert (11). In einzelnen Fällen wurden auch keine neuen Mitglieder mehr aufgenommen (12).

Die Autoren beschreiben interessante Einzelheiten über die Geschäftspraktiken eines Boards (13). Neben der Aufnahmegebühr für jedes Mitglied (zum Beispiel 10 € per PaySafeCard) konnten sie bislang zwei verschiedene Arten von Verkaufslizenzen im Board erwerben:
 

DDoS gegen PaySafeCard

gefährliche Cybercrime-Szene

Monopollizenz (Patent); berechtigt zum exklusiven Verkauf einer Warengruppe (zum Beispiel gehackte Kreditkarten) und kostete mehrere Hundert Euro.

Shop-Lizenz; berechtigt zum Verkauf beliebiger Leistungen mit Ausnahme der Monopol-Dienste und war günstiger zu bekommen.

Mittlerweile gibt es nur noch normale Händlerlizenzen. Die so genannten Verkaufspatente wurden abgeschafft. Nun muss jeder Verkäufer einen Betrag zahlen, um die Verkaufsberechtigung zu erhalten. Das Prinzip spült Geld in die Board-Kasse und soll vor internen Scammern, Betrügern, schützen. (14)

Es seien neue Webshops entstanden, schreiben die Autoren, und einige "etablierte" seien weiterhin tätig. Ihre Betreiber könnten die Betreiber der Boards selber oder jedenfalls in deren Umfeld angesiedelt sein (15).

Am Fall des „1337 Crew“ Forums haben viele Mitglieder im Untergrund erkannt, dass sie nicht so sicher sind, wie es wohl viele von ihnen gedacht hatten. Viele Onlinekriminelle haben sich auch aus dem Untergrund-Tagesgeschäft zurück gezogen, vielleicht nur temporär, um nicht „mit laufendem Rechner“ von der Polizei erwischt zu werden. (16)
 

 
"PaySafeCard" - PSC - ist keine Karte im herkömmlichen Sinne, sondern ein Guthabenkonto aufgrund einer Einmalzahlung (17). Sie wird an einer Verkaufsstelle geleistet, an einer Tankstelle, Kiosk, Post, Lotto-Annahmestelle oder Automat. Dafür bekommt der Einzahler eine 16-stellige PIN genannt, die meistens auf einem Bon ausgedruckt ist.

Das Guthaben berechtigt zum Einkauf in den Webshops, die sich PSC angeschlossen haben. Dem Kunden entstehen keine zusätzlichen Transaktionskosten. Nur dann, wenn er sich das Guthaben wieder auszahlen lassen will, kostet das eine Bearbeitungsgebühr von 5 €.

PSC ist aber ein echtes, also anonymes PrePaid-System, so dass das Guthaben beliebig gehandelt und übertragen werden kann. Das macht PSC in der Schattenwirtschaft so beliebt. Unabhängig von Grenzen und Entfernungen kann der Einzahlungsbetrag einfach dadurch übertragen werden, dass dem Empfänger die PIN der "Card" mitgeteilt wird.

Unterstützt wird das durch ein Sicherheitssystem, das PSC anbietet. Der Erwerber des Guthabens kann mit der PIN ein Webportal aufrufen und dort die PIN mit einem zusätzlichen Kennwort schützen. Bei der Übertragung übermittelt er dann nicht nur die PIN, sondern auch das Kennwort. Der neue Inhaber kann jetzt das Kennwort ändern und ist dadurch der exklusive Inhaber des Einzahlungsbetrages (18). Auch in der Szene gilt: Vertrauen ist gut, Kontrolle ist besser. Erst wenn der neue Inhaber das Kennwort geändert hat, kann er sicher sein, dass der alte Guthabeninhaber nicht doch lecker einkauft und das Guthaben verbrät.
 

 
Dieses Verfahren hat PSC am 18.02.2010 abgeschlossen. Das Kennwort kann seither nicht mehr nachträglich geändert werden, wenn sich der Inhaber nicht mit dem ausgedruckten Bon legitimiert (19). "Sicherer" Zahlungsverkehr durch Übertragung des Guthabens ist dadurch eingeschränkt.

Die Hackerszene reagierte empört und rief zum DDoS-Angriff gegen PSC auf [siehe Kasten links, (20)].

Es kam zu längeren Ausfallzeiten (Downtime) der PSC-Homepage, wobei jedoch nicht bekannt ist, ob es schlussendlich durch die Angriffe begründet war, oder durch Wartungsarbeiten, wie offiziell verlautbart.
Nur einen Tag nach den DDoS-Aufrufen, am 19.02.2010, revidierte der Bezahldienstleister seine neue Passwortpolitik. Zum 22.2.2010 sollte eine Einrichtung und Änderung eines Passworts auch wieder ohne die Einsendung des Kassenbons möglich werden. (21)

Das wurde von der Szene freudig begrüßt (22).
 

 
Das Bild von der Cybercrime-Szene, das ich im Basar für tatgeneigte Täter gezeichnet und im Arbeitspapier Cybercrime (23) wieder aufgenommen habe, wird von dem neuen Bericht von Ester und Benzmüller nicht nur bestätigt, sondern weiter verfeinert.

Die Cybercrime-Szene besteht offenbar aus verschieden organisierten Beteiligten.

Die Masse besteht aus kaltschnäutzigen, selbstsicheren und bedenkenlosen Geschäftemachern und Trittbrettfahrern, also Einzelpersonen, die keine Skrupel haben, kriminelle Dienste zu nutzen und im kleinen Stil auch anzubieten. Das geschieht außerhalb der Webshops in den Foren, die den Hauptteil des Basars bilden.

Die Web-Kaufleute verdienen ihren Lebensunterhalt mit illegalen Angeboten - meistens mehr schlecht als recht. Sie sind bereit, in ihre Verkaufsplattformen zu investieren, und handeln damit auf längere Sicht. In anderen Worten: Gewerbsmäßig.

Unter den Web-Kaufleuten scheint es auch richtig erfolgreiche zu geben, quasi Großhändler. Sie benötigen nicht nur eine Plattform, sondern auch eine gewerbsmäßige Struktur. Es dürfte sich bei ihnen um Operating Groups handeln (24), die aus mehreren Personen bestehen, die ihrerseits eine Kleinbande bilden. Diese Gruppen haben einen fließenden Übergang zu den organisierten Internetverbrechern (25).

Organisierte Internetverbrecher in diesem Sinne sind hingegen die Betreiber der Boards und ihr "Umfeld", worauf Ester und Benzmüller zart hingewiesen haben. Sie richten sich im Internet so ein, dass sie selber ungestört kriminelle Geschäfte betreiben oder aus den Straftaten anderer ihren Gewinn ziehen können.
 

 
Wer zum DDoS-Angriff auf PSC aufgerufen und welche Stellung er in der Szene hat, weiß ich nicht. Es kann sich um einen Brüllaffen ebenso handeln wie um einen angesehenen Insider.

Die Fakten sprechen jedoch für sich: Ein verteilter Angriff gegen PSC scheint wirklich stattgefunden zu haben und das Unternehmen ist danach eingeknickt.

Western Union, PayPal und PaySafeCard sind keine kriminellen Unternehmen, die sich auf Geldwäsche und die Sicherung krimineller Gewinne ausgerichtet haben.

In der Rückschau belegen sie aber, dass ihre Folgenabschätzungen entweder leichtfertig und unbedarft oder so waren, dass sie im Interesse ihres Erfolges Bedenken beiseite geschoben haben. Ihre Dienste lassen sich zur Geldwäsche und von der Schattenwirtschaft nutzen. Dessen ungeachtet haben sie keine oder kaum Vorkehrungen getroffen, um dem vorzubeugen.

Western Union hat schon vor einigen Jahren darauf reagiert und verlangt jedenfalls in Deutschland die Identifikation seiner Kunden. PSC hat jetzt erfahren, wie gefährlich das Umfeld ist, auf das sich das Unternehmen eingelassen hat.

Beide Beispiele geben deutliche Signale an alle, die neue Geschäftsmodelle im Waren- und Finanzverkehr entwickeln: Nicht nur Aufwand und Gewinn sind ausschlaggebend, sondern auch die Absicherung gegen missbräuchliche Nutzung. Nicht der Missbrauch selber mindert den Gewinn, sondern die Schadensbegrenzung hinterher: Ansehensverlust, Kosten für die Vertretung in Rechtssachen, staatliche Regulierung.

Das passt noch nicht zur New Economy, die sich eher in visionären Höhenflügen und Seifenblasen äußert. Die Handwerkzeuge der Betriebswirtschaft, vor allem das Controlling und das Risikomanagement, bleiben dabei offenbar außen vor. Vom Krisenmanagement ganz zu schweigen.
 

 
(1) Thorsten Urbanski, Schattenwirtschaft im Wandel, G Data 04.05.2010 (am Ende).

(2) Sicherheitsstudien von G Data und McAfee, 03.10.2009;
Marc-Aurél Ester, Ralf Benzmüller, G Data Whitepaper 2009. Underground Economy, 19.08.2009

(3) Basar für tatgeneigte Täter, 11.04.2010

(4) Marc-Aurél Ester, Ralf Benzmüller, Whitepaper 04/2010. Underground Economy - Update 04/2010, G Data 22.04.2010

(5) Basar für tatgeneigte Täter, 11.04.2010

(6) Carding, 22.11.2008

(7) (4), S. 4; Grafik bei G Data.

(8) (4), S. 5; Grafik bei G Data.

(9) (4), S. 8; Hacker cracken Carder-Forum, 23.05.2010.

(10) der Basar, 11.04.2010

(11) (4), S. 9.
 

 
(12) (4), S. 8.

(13) ebenda

(14) ebenda

(15) (4), S. 9.

(16) Ebenda. Einigen Beschuldigten ist es bei der Elite-Razzia tatsächlich passiert, dass sie am PC sitzend von der Polizei bei ihren Geschäften im Board erwischt wurden.

(17) Paysafecard

(18) Grafik bei G Data

(19) (4), S. 6 f.

(20) (4), S. 7, Grafik bei G Data.

(21) (4), S. 7

(22) (4), S. 8

(23) Arbeitspapier Cybercrime

(24) spezialisierte Zwischenhändler, 07.08.2008

(25) Typenlehre nach McAfee: erste Typenlehre, 27.07.2008.