Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
2008
28.12.2008 Cyberfahnder 2008
zurück zum Verweis zur nächsten Überschrift Entdeckung der Modularität
 

 
Schwerpunkte 2008

Entdeckung der Modularität

  Rogue-Provider
  Operating Groups
  modulare Cybercrime
  modulare Kriminalität
  Quellen

Entwicklung der Cybercrime
Netze und Netzkultur
Strafrecht und gesellschaftliches Umfeld
Strafverfahren
 

 
Nach dem Vorbild des Aufsatzes über das Phishing habe ich auch in der ergänzenden Neufassung des Aufsatzes über das arbeitsteilige Skimming versucht, die arbeitsteiligen Prozesse dieser Erscheinungsform der Cybercrime darzustellen und begreifbar zu machen. Meine Vermutung war die, dass sich über die Arbeitsteiligkeit die These ableiten ließe, dass diese Form der Kriminalität besonders dazu geeignet ist, sich in organisierten Strukturen aufzustellen und dabei als Bande zu handeln ( Tatbeiträge in Banden). Das hat die kriminalistische Erwartung ermöglicht, dass auch die Teilnehmer an einzelnen, auch vorbereitenden Tatbeiträgen wegen Beihilfe zur gewerbs- und bandenmäßigen Fälschung von Zahlungskarten mit Garantiefunktion nach § 152b StGB verdächtig sind und die Strafverfolgung nach § 6 Nr. 7 StGB dem Weltrechtsprinzip unterliegen würde ( Strafrecht).

Dem Aufsatz über die Malware und ihre Hersteller liegt die Annahme zugrunde, dass die Programmierer in dieser Szene eher Einzelgänger sind und deshalb nur zu losen Gruppenbildungen neigen, ohne sich in feste Strukturen einzubinden. Auf dieser Einschätzung beruhen auch die Texte, die die Führung: Cybercrime begleiten. Gleichwohl entstanden bei mir Zweifel, denn je länger ich mich mit den Betreibern der Botnetze beschäftigte, desto mehr drängte sich mir auf, dass auch sie sich zu arbeitsteiligen und bandenmäßigen Strukturen verbinden.

Zunächst stand also die Frage im Vordergrund, ob die aktuellen Formen der Cybercrime eher Einzeltätern zuzurechnen ist oder strukturierten Gruppen, die sich bandenmäßig organisieren.
 

 
Beim Phishing und beim Skimming war ich mir sehr schnell sicher, dass diese Formen der grenzüberschreitenden Kriminalität unterschiedliche Einzelqualifikationen erfordern, die für arbeitsteilige Prozesse besonders geeignet sind und deshalb bandenmäßige Strukturen erwarten lassen. Die Programmierer von Malware hielt ich eher für Einzeltäter und wegen der Betreiber von Botnetzen hatte ich mir bis Mai 2008 noch keine abschließende Meinung gebildet.

Modularität (auch ... Baukastenprinzip) ist die Aufteilung eines Ganzen in Teile, die als Module, Bauelemente oder Bausteine bezeichnet werden. (1)

Es handelt sich um ein technisch ausgerichtetes Beschreibungsmodell, um komplexe Gebilde und Abläufe in ihre Einzelteile zu zerlegen und wegen ihrer Herstellung planbar zu machen. In den Begriffen des Projektmanagements ( kritische Projekte) handelt es sich bei den Bausteinen um Arbeitspakete, die Planung ihres zeitgerechten Zusammenwirkens um die Beschreibung von Meilensteinen im Rahmen eines Projektplans und bei der aufbauenden und plangerechten Abfolge von Arbeitspaketen um Kritische Ketten.

Im Zusammenhang mit der IT ist die Modularität bekannt von der modernen Malware. Die Infektion eines Zielsystems erfolgt nur mit einem kleinen Keim, dem Loader, der, nachdem er sich eingenistet hat, die Bestandteile, wechselnden Funktionen und Updates von seinem Kontroll-Server nachlädt.

Mit dem Modell der modularen Cybercrime habe ich die Vorgehensweisen aus der Softwareprogrammierung und dem Projektmanagement im Hinblick auf kriminelle Strukturen zusammen geführt. Die Idee dazu bekam ich nach einer tieferen Auseinandersetzung mit den Schurken-Providern und dem Russian Business Network - RBN.
 

zurück zum Verweis Rogue-Provider Operating Groups
 

 
Mit dem Russian Business Network - RBN - hat David Bizeul einen Schurken-Provider ausfindig gemacht. Auf seinen Spuren im Internet fand Bizeul Drop Zones mit allen möglichen kriminellen Inhalten, die durch den Einsatz von Scheinfirmen, erlogenen DNS-Registrierungen, Beschwerdeignoranz und technischen Kniffen vor der Enttarnung, vor finanziellen Forderungen und vor der Strafverfolgung geschützt werden.

Drop Zones sind sichere Speicherplätze für ausspionierte Daten, für geschützte und nicht gerade freie Multimedia-Daten und Programme, kinder- und sonstwie schwersexuelle Darstellungen sowie zum Gedankenaustausch über rechtsfeindliche Themen in offenen und geschlossenen Benutzerkreisen. Sie sind sozusagen sichere Ankerplätze. Der Schurken-Provider liefert in diesem Bild den sicheren Hafen, der in eine Umgebung eingebettet sein muss, der den ankernden "Piraten" Zugang zum freien Meer (Internet) sowie Schutz vor Nachstellungen und Strafverfolgung gibt.

Schurken-Provider handeln mit einer langfristigen Perspektive, müssen über eine stabile Einbindung in die technische Infrastruktur des Internets verfügen und müssen sich gegen politische, wirtschaftliche und polizeiliche Angriffe sichern. Das ist nicht überall auf der Welt möglich, wohl aber in Ländern, die über eine stabile Netztechnik und stabile Machtstrukturen verfügen. Das ist zum Beispiel in Russland der Fall.
 

 
Mit dem RBN beschäftigt sich auch Balduan im ( Schurken-Provider und organisierte Cybercrime). Er berichtet von Koordinatoren, die Cybercrime-Projekte planen, durchführen und kontrollieren, und von Operating Groups, die einzelne, spezialisierte Aufgaben und Zulieferungen leisten.

Die Vorstellung von Operating Groups erinnerte mich im Zusammenhang mit dem Skimming an die Handwerker, die Fassaden für Gelautomaten bauen, an die Läufer, die diese Geräte mit dem Ziel installieren, Daten von Zahlungskarten auszuspähen, und schließlich die weiteren Läufer, die die gefälschten White Cards an anderen Geldautomaten im Ausland einsetzen. Warum um alles in der Welt sollte der Fälscher von Zahlungskarten einen Riesenaufwand betreiben, um Handwerker und dreiste Läufer anzuwerben und zu beaufsichtigen, wenn er die einzelnen Zulieferungen (Module) im Einzelfall einkaufen kann?

Bandenstrukturen sind soziale Gebilde, in denen auch Machtkämpfe ausgetragen werden und Neid, Missgunst und Bevorzugungen entstehen können. Banden müssen gepflegt und ihre Mitglieder gehätschelt werden, damit sie nicht ausbrechen oder zu Verrätern werden.

Diesen Aufwand kann sich ein führender Kopf ersparen, wenn er das soziale Miteinander auf den wesentlichen Kern reduziert: Er kauft die kriminellen Dienste ein und beschränkt sich auf die Erfolgskontrolle.
 

zurück zum Verweis modulare Cybercrime
 

 
Auch aus einer anderen Perspektive heraus gibt das Skimming Gelegenheit, nicht von festen und dauerhaften Gruppenstrukturen auszugehen. Ein begnadeter Handwerker kann sich darauf beschränken, Fassaden und andere Überwachungstechniken herzustellen, um sie an verschiedene Interessenten zu verkaufen. Mit dem gefährlichen Einsatz der Technik muss er sich nur bei der Erprobung befassen, nicht aber auch während des ständigen Ausspähens von Kartendaten.

Die Läufer hingegen müssen nur dreist sein, weil sie sich in der Öffentlichkeit bewegen. Es macht keinen Sinn, Handwerker oder IT-Fachleute dieser Gefahr auszusetzen.

Dieser Gedanke, kriminelles Fachwissen nur gezielt einzusetzen, bietet sich auch für andere Erscheinungsformen der arbeitsteiligen und organisierten Cybercrime an, z.B. für Webdesigner und Dolmetscher beim Phishing, Administratoren für Botnetze und nicht zuletzt für die Entwickler von Malware.

Für die Entwicklung von Malware werden mindestens drei Komponenten benötigt. Sie muss auf einer Sicherheitslücke aufsetzen, deren Gestalt und Missbrauch von einem Exploit-Händler beschrieben werden muss. Für ihren Einsatz benötigt sie Tarntechnik auf dem aktuellen Stand. Der Malware-Schreiber muss diese Komponenten mit den Programmfunktionen verbinden, die die Malware ausführen soll. Je komplexer die Malware ist, desto mehr Fachwissen wird für ihre Programmierung benötigt. Im Fall der Botsoftware werden profunde Kenntnisse aus den Bereichen Filesharing und Fernwartung verlangt.
 

 
Multitalente unter den Malware-Schreibern will ich nicht ausschließen. Wahrscheinlicher ist es hingegen, dass sie sich zunächst zu informellen Gruppen zusammenschließen und ihr Fachwissen bündeln.

In der Schattenwirtschaft im Internet ( virtuelle Kriminalität 2008) geht es ums Geldverdienen. Ein begnadeter Programmierer muss aber nicht auch ein guter Kaufmann sein.

Das Modell der Operating Groups bietet die optimale Lösung. Auch sie benötigt einen führenden Kopf, der sich einerseits in der Szene auskennt und andererseits die Kundenkontakte pflegt. Das legt es nahe, sich die Malware-Szene als eine lose Struktur von kriminellen Kleinunternehmen vorzustellen, in der das Fachwissen verschiedener IT-Fachleute von Vermittlern zusammengeführt und gewinnbringend verkauft wird. Für die "Kunden" besteht darin der Vorteil, dass sie nur mit dem Vermittler verhandeln und nicht auch das Fachwissen der beteiligten Programmierer zusammenführen müssen.

Die Beobachtungen von Balduan werden von anderen Quellen bestätigt. Sie zusammen lassen das hier entwickelte Modell der modularen Cybercrime als tragfähig für breite Teile ihrer Erscheinungsformen erscheinen. Sie ist ein Modell, um die interaktive Struktur dieser Kriminalitätsform zu begreifen und zu analysieren.

Das Modell zwingt aber auch dazu, die Cybercrime nicht als Bandenkriminalität im herkömmlichen Sinne anzusehen, sondern als verteilte Struktur, die an unternehmerischen Leitlinien ausgerichtet ist. Ihre strafrechtliche Erfassung wird dadurch nicht leichter.
 

zurück zum Verweis Quellen modulare Kriminalität
 

10/08 modulare Kriminalität
09/08 Kriminalität aus dem Baukasten. Modulare Kriminialität
10/08 neue Erkenntnis: modulare Kriminalität
08/08 arbeitsteilige und organisierte Cybercrime
08/08 Cybercrime und IT-Strafrecht
07/08 Schurken-Provider und organisierte Cybercrime
07/08 globale Sicherheitsbedrohungen
05/08 Russian Business Network - RBN
05/08 arbeitsteiliges Skimming
05/08 Malware
05/08 Führung: Cybercrime

 
Im Modell der modularen Cybercrime kommt dem Koordinator als kriminellem Projektleiter die zentrale Rolle zu. Sein Handeln wird von drei Faktoren bestimmt ( Messlatte für Koordinatoren):

Aufwand
Gewinn
Entdeckungsrisiko

Die beiden ersten Faktoren sind rein wirtschaftlicher Art. Nur der dritte folgt aus daraus, dass der Koordinator Straftaten begeht.

Wo immer kriminelles Fachwissen benötigt wird und andererseits hohe Gewinne zu erwarten sind, bietet sich die Modularität als Modell für die zugrunde liegenden Gruppenstrukturen an. Das gilt jedoch nicht nur für die Cybercrime, sondern für die modulare Kriminalität insgesamt. Die damit verbundenen Rechtsfragen werden in dem Aufsatz Kriminalität aus dem Baukasten angesprochen.
 

zurück zum Verweis Anmerkungen
 


(1) Modularität
 

 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 29.07.2009