Die Frage, wie sich die Kriminalität und vor allem die Cybercrime organisiert, beschäftigt den Cyberfahnder von Anbeginn.

Die Erfahrungen mit Virenschreibern und Hackern lassen Einzeltäter vermuten. Wie die Internetgemeinde im übrigen sind auch sie in Gesprächs- und Neigungskreisen eingebunden und lassen sich wegen ihrer Erfolge feiern. Sie stellen Kontakte her und verbreiten sich in Foren. Man kennt sich. Daraus entstehen informelle Beziehungen zum Meinungs- und Wissensaustausch, die nicht nur in der Öffentlichkeit, sondern besonders in geschlossenen Nutzerkreisen gepflegt werden. Daraus können gemeinsame Projekte entstehen, die von einem mehr oder weniger lockerem Personenkreis geplant und durchgeführt werden.

Kommunikation und Zusammenarbeit ist ein sozialer Prozess, der wegen seiner Inhalte und Ziele neutral ist.
 

 
Immer wieder wird es vorkommen, dass sich Fachleute herausbilden, die sich entweder wegen ihres Fachwissens hervortun oder wegen ihrer besonderen Szenekenntnisse und Kontakte.

Vor allem die Mittelsleute mit ihren besonderen Szenekenntnissen sind als Ansprechpartner und Vermittler Gold wert. Sowohl deshalb, weil sie Interessenten und Geschäftsleuten Kontakte herstellen können, als auch deshalb, weil sie Geschäfte abwickeln können. So wandelt sich der profunde Szenekenner in einen Agenten oder in einen Kleinunternehmer für Szenekenntnisse und -dienste. Seine Leistungen werden in aller Regel über informelle Bezahldienste abgewickelt wie E-Gold.

In der modernen Cybercrime sind solche Mittelsleute die Leiter von spezialisierten Gruppen von Fachleuten, die sich besonders mit Programm-Schwachstellen ( Exploit-Händler), mit Toolkits oder mit der Malware-Programmierung auskennen.
 

 
Das Phishing ist die erste kriminelle Erscheinungsform im Internet, die sich ausschließlich kriminellen Zielen widmet.

Die einzelnen Arbeitsschritte beim Phishing (links) können selbständig und arbeitsteilig abgehandelt werden. Sie müssen nicht ständig wiederholt werden. Soweit es um die Beschaffung sicherer Speicherorte ( Drop Zone), Pharmen, Botnetze für Kampagnen und Adressen geht (siehe auch qualitätskontrollierter Kontomissbrauch), handelt es sich um Rüsttaten. Die mit ihnen gewonnene Infrastruktur muss zwar gelegentlich aktualisiert, die Erwerbs- und Absatztaten des Kontomissbrauchs und der Beutesicherung können aber davon unabhängig und selbständig organisiert werden.

Das arbeitsteilige Gedankenmodell, das ich daraus entwickelt habe lässt ein Unternehmen entstehen, das ich Phish & Co. genannt habe (kleines Bild).
 

 
Das Phishing hat sich stark gewandelt. In seinen frühen Erscheinungsformen setzte es auf E-Mails in der Tradition der Nigeria Connection, mit denen die Empfänger zur Preisgabe ihrer Kontozugangsdaten bewegt werden sollten. Dazu wurden zunächst Eingabefelder in der E-Mail selber und später kunstvoll nachgebaute Bankportale verwendet. Inzwischen sind die Angreifer dazu übergegangen, über infizierte Webseiten Malware zu verbreiten, die entweder nach Art der Keylogger Zugangsdaten ausspähen, Transaktionen automatisch umleiten oder einem Man-in-the-Middle den Direktzugriff bei der Transaktion zu verschaffen.

Die Professionalisierung der Phisher ist unübersehbar, was McAfee in seinem Länderbericht für Deutschland anerkennend damit betont, dass die Nachrichten inzwischen in perfektem Deutsch geschrieben sind.
 

 
Nach dem Vorbild beim Phishing lässt sich auch das Skimming als einen arbeitsteiligen Prozess begreifen, an dessen Anfang die Beschaffung der benötigten Technik steht ( Rüsttat). Selbst die Installation der Überwachungstechnik und das Ausspähen der Daten von Zahlungskarten sind für sich genommen vorbereitende Handlungen, die schließlich in den Missbrauch gefälschter Zahlungskarten münden.

Auch die Vorgehensweise beim Skimming hat sich gewandelt. Das gilt jedenfalls für den Vorgang des Ausspähens, für den die Täter inzwischen anders getarnte Kameras (zum Beispiel als Rauchmelder) oder Kartenlesegeräte verwenden, die bereits an der Eingangstür vom Bankvorraum angebracht sind.

Mit dem POS-Skimming ist eine gemeine und ganz andere Methode des Ausspähens aufgekommen, mit der gleichzeitig die Kartendaten und die PIN ausgespäht werden können, wenn die Kunden in Supermärkten nicht nur bargeldlos bezahlen, sondern dabei auch ihre PIN eingeben.

Für die Übertragung der dabei gewonnenen Daten haben sich drei Methoden etabliert: Das manipulierte POS-Terminal enthält entweder einen eigenen Speicher, der manuell ausgelesen werden muss, es splittet die versandten Daten und übermittelt sie zu einer Drop Zone oder sie werden per Funk zu einer Empfangs- und Speicherstation geschickt.
 

 
Die Arbeitsteilung beim Skimming symbolisiert das Schaubild rechts. Begreift man Skimming-Täter als fest gefügte Gruppe, die sich zur fortgesetzten Begehung von Missbrauchstaten zusammen gefunden hat, wird man sie als international tätige Bande ansehen müssen.

Mit der Strafbarkeit der einzelnen Arbeitsschritte befasst sich zunächst das Schaubild links. Das ist jedoch eine vereinfachte Betrachtung, weil dabei die komplette Tat als Inlandstat betrachtet wird. Die Rüsttat (Ausspähen von Daten) und die Erwerbstat (Missbrauch von gefälschten Zahlungskarten) werden jedoch immer in verschiedenen Länder begangen.

Mit den Besonderheiten der Strafbarkeit von Auslandstaten im Zusammenhang mit dem Skimming setzt sich schließlich das Schaubild rechts auseinander.
 

 
Phishing und Skimming sind besondere Erscheinungsformen der Cybercrime, die ihr Bild in der Öffentlichkeit geprägt haben.

Ihr gemeinsamer Oberbegriff ist der Identitätsdiebstahl. Er führt dazu, dass die Rechte anderer zur Nutzung elektronischer Dienst entweder missbraucht (Fälschungen wie beim Phishing und beim Skimming, Anmeldung bei Webdiensten unter fremden, aber existierenden Personendaten) oder die Dritten sogar von der Nutzung ganz ausgeschlossen werden (Übernahme fremder Konten, z.B. bei eBay).

Als eigenständige Instanzen der Cybercrime haben sich vor allem drei verschiedene etabliert.

An erster Stelle sind die Malwareschreiber zu nennen, zu denen ich auch deren Zulieferer, die Exploit-Händler und Toolkit-Schreiber zähle. Bei ihnen dürfte es sich in aller Regel um Einzelpersonen handeln, die informelle Gruppen bilden und von Mittelsleuten geführt werden. In Einzelfällen treten sie auch großmäulig auf. Im Zusammenhang mit dem Phishing und der "Pflege" von Botnetzen kann ich mir "hauptamtliche" Malwareschreiber vorstellen, die der kriminellen Veranstaltung ständig zuliefern und zur Verfügung stehen. Sie dürften aber die Ausnahme sein.
 

 
Die Botnetzbetreiber treiben die Rücksichtslosigkeit auf die Spitze. Sie setzen Malware ein, um massenhaft fremde Computer zu kapern und kontinuierlich für graue Geschäfte ( Spamming) und Straftaten zu missbrauchen. Sie haben mächtige Instrumente geschaffen, unter denen die gesamte Internet-Infrastruktur leidet, und verdienen damit gutes Geld.

Schließlich sind die Schurkenprovider (Rogue-Provider) und ihre berühmteste Ausprägung zu nennen, das Russian Business Network. Das RBN ist ein normales Internetunternehmen in St. Petersburg mit einem besonderen Klientel und einer außergewöhnlichen Geschäftsidee: Alle Dienste, die kriminell missbraucht werden können, Drop Zones, anonyme DNS-Adressen und geschlossene Benutzerkreise mit mächtigem Hostspeicher, werden bereit gestellt. Das Geschäftsmodell ist einfach erklärt: Dumme Nachfragen nach den Verantwortlichen werden nicht beantwortet und mit technischen Tricks werden die interneteigenen Abfragesysteme blockiert. Auch das Kostenmodell ist einfach: Je mehr dumme Nachfragen kommen, desto teurer wird der Dienst.

 
Ein grundlegender Aufsatz stammt von Moritz Jäger bei (1). Er beschrieb bereits 2006 die Angebote professioneller Malwareschreiber und die dafür eingerichtete Foren, wobei er sich auf das Phishing konzentrierte.

Der Aufsatz lässt den Eindruck entstehen, dass in der Malware- und Betrügerszene eher Einzeltäter handeln, die ihre Produkte und Dienste (Support) und ihre Vermarktung in einer Person unternehmen. Jedenfalls ist Jäger davon überzeugt, dass die kriminellen Malwarehändler von dieser Tätigkeit gut leben können.

Auch das Marktmodell, das er skizziert, scheint eher das eines Basars zu sein. Von organisierten Strukturen, die kennzeichnend für die Organisierte Kriminalität sind, ist wenig zu entdecken.

Jäger lässt jedoch offen, wer die Betreiber der betreffenden Foren sind, wer die Konten führt, über die vertrauensvoll der Geldverkehr abgewickelt wird, und wer zum Beispiel E-Gold betreibt.

 
Die äußerst spannenden und lesenswerten Länderberichte von McAfee (2) befassen sich mit den globalen Sicherheitsbedrohungen und dabei mit dem Schwerpunkt Malware und Cybercrime, was bei einem Unternehmen, das IT-Sicherheit verkauft, nahe liegend ist. Das besondere an der Reihe ist, dass immer die Besonderheiten eines Landes beschrieben werden und aus dieser nationalen Sicht heraus der Blick auf die Welt im übrigen geworfen wird.

Mich hat am meisten der Länderbericht über Russland von Igor Muttik beeindruckt (3). Auch Muttik beschreibt eine rege Szene, in der Malware-Dienste offen gepriesen und gehandelt werden. Als Auslöser dafür sieht er eine gefährliche Kombination aus bestqualifizierten Fachleuten und ihren miserablen Arbeitsmarkt- und Lohnaussichten. Sein Schluss ist zugleich der Titel: Die Wirtschaft und nicht die Mafia treibt Malware voran.

Muttik hat nach Crimeware-Angeboten in Russland gesucht und ist reichlich fündig geworden: Spam-Adressen, Bot-Software, Spionageprogramme zu verhaltenen Preisen und für Großabnehmer gegen Rabatt.
 

 
"Kriminalität" begreift Muttik eher als individuelles Lebensprogramm unter ökonomischem Druck. Ich verstehe ihn so, dass er meint: Schafft Wohlstand für alle und verfolgt die Cybercrime, dann wird sie als attraktive Alternative zu legalen Jobs verschwinden.

"Mafia" bleibt bei ihm jedoch ein Stichwort, das er nicht weiter mit Leben füllt.

Die wenigen verlässlichen Informationen zum Thema "russische Mafia" lassen es eher befürchten, dass kriminelle, geheimdienstliche und Wirtschaftsfachleute in ein organisiertes Gebilde eingebunden sind, das der Begehung lukrativer Straftaten dient. "Wirtschaft" und "Mafia" dürften deshalb, jedenfalls bezogen auf das heutige Russland, in einem wesentlichen Bereich deckungsgleich sind.

Deshalb glaube ich auch nicht Muttiks Annahme, wenn ich sie richtig verstanden habe. So viel allgemeiner Wohlstand lässt sich gar nicht schaffen, dass sich eine konsequent durchorganisierte und geldlich gut vorfinanzierte Kriminalität nicht doch in Geld und Wert lohnen könnte.

Diese Überleitung führt zu den Schurkenprovidern und namentlich zum Russian Business Network - RBN, aber zunächst zur Organisierten Kriminalität im Internet.
 

 
In einem älteren Bericht stellt McAfee die Frage nach der Organisierten Kriminalität im Internet (4). Das Ergebnis ist eine erste Typenlehre für Cyberkriminelle, die ihre Motive und Gefährlichkeit berücksichtigt.

Die Täter der Internetkriminalität reichen heute (2006) von Anfängern mit nur eingeschränkten Programmiererkenntnissen, die ihre Angriffe nur mit vorgefertigten Skripts durchführen können, bis hin zu gut ausgebildeten professionell arbeitenden Kriminellen, die über die aktuellen Ressourcen verfügen.

Nur etwa  2% der Hacker und Malware-Schreiber gehören zur puristischen  Elite der Bedrohungsautoren. Diese Innovatoren suchen die Herausforderung und nach Sicherheitslücken aus Begeisterung an der Sache. Ihre Gefährlichkeit wird als gering eingestuft, weil sie wissen, was sie tun.

Mittelmäßig gefährlich sind die ruhmgierigen Amateure. Sie sind Anfänger mit nur eingeschränkten Computer- und Programmiererkenntnissen, nutzen vorgefertigte Tools und bekannte Tricks und suchen nach Anerkennung in den Medien. Sie überblicken aber die Folgen ihres Handelns nicht und machen Fehler, die zu ihrer Entdeckung führen.

Gleichermaßen mittelmäßig gefährlich sind die Nachahmer, die Trittbrettfahrer, die verzweifelt versuchen, ihren berühmten Vorbildern nachzueifern, aber keine Innovationen oder eigenständige Leistungen in die Szene einbringen. 
 

 
Aus der Gruppe der  verärgerten oder ehemaligen Mitarbeiter, Zulieferer oder Berater stammen die hoch gefährlichen Insider. Sie verfügen über Detail- und Exklusivwissen und häufig auch über Zugangsrechte, die sie während ihrer Mitarbeit erhalten hatten. McAfee schätzte schon 2006 ihre Bedeutung als steigend ein. Sie handeln böswillig und zielgerichtet, zerstörerisch oder auf ihren finanziellen Vorteil bedacht. Ihnen kann man nur begegnen mit einer klaren, organisatorischen Sicherheitsstruktur und gelebten Sicherheitskultur.

An die Spitze der hoch gefährlichen Kriminellen stellt McAfee die Organisierten Internetverbrecher. Wie in den meisten Gemeinschaften erfolgreicher Krimineller sitzen tief im Inneren einige streng abgeschirmte Köpfe, die sich auf die Mehrung ihrer Gewinne mit beliebigen Mitteln konzentrieren. Sie umgeben sich mit den menschlichen und technischen Ressourcen, die dies ermöglichen.

Das damit gezeichnete Bild ist das einer eng gefügten Organisation, also eine Art arbeitsteiliges Unternehmen. Das wird es geben, wenn langfristige Ziele verfolgt werden sollen ( Spezialisten, Operation Groups, Rogue-Provider). Kriminelle und gleichzeitig profitable Aktionen dürften aber eher in der Form von Projekten zu erwarten sein ( Koordinatoren).

 
Im Januar 2008 veröffentlichte Bizeul seine Studie über das Russian Business Network - RBN (5) und lenkte damit erstmals das breitere Interesse auf diese Form der etablierten Cybercrime. Im Gegensatz zu den Botnetzbetreibern, die sich zwar auch etablieren in dem Sinne, dass sie eine auf Dauer, Ausdauer und Überleben ausgerichtete technische Infrastruktur als Parasiten betreiben, ist das RBN ein offizieller Zugangs-, Host- und Serviceprovider, wobei ich darunter keinen Zugangsprovider, sondern einen Anbieter von Internet- und anderen Dienstleistungen verstehe. Das sind die Einrichtung, Verwaltung und Verschleierung von DNS- und IP-Adressen, die Einrichtung und Pflege von Scheinfirmen, das Angebot von Foren und Hostspeicher für geschlossene Benutzergruppen, sichere Drop Zones für illegale Datensammlungen und die sichere Erreichbarkeit im Internet. Der Phantasie sind keine Grenzen gesetzt, um das Angebot beliebig zu erweitern.

RBN ist ein Wirtschaftsunternehmen und das bedeutet, dass es Verträge schließen und Infrastruktur vorhalten muss sowie in öffentlichen Registern erscheint. Das geht nur solange, wie die staatliche Ordnung drumherum die Handlungen des Unternehmens toleriert. Das scheint in Russland noch immer zu funktionieren.
  

 
Bizeul empört sich über Kinderpornographie, Hackerwerkzeuge und andere illegale Inhalte, ohne die Gefährlichkeit des RBN in der Tiefe auszuloten.

Die wirtschaftliche, gesellschaftliche und kriminelle Brisanz des RBN hat erst Faber entdeckt und darüber in der berichtet  (5). Meiner Zusammenfassung ist nichts hinzuzufügen.

Bizeul und Faber beschreiben das "Phänomen RBN" und haben damit bemerkenswerte Erkenntnisse veröffentlicht. Das RBN stellt einen sicheren Hafen für die Cybercrime zur Verfügung und seine kriminellen Kunden können ihre Aktivitäten mittel- und langfristig planen, ohne immer wieder neue gehackte Server für den Versand von Spams und Malware, für Webpharmen, Drop Zones und andere Hilfsmittel auftun zu müssen. Das RBN ist keine Geheimgesellschaft, sondern tritt frech und offen in der Netzöffentlichkeit auf. Hut ab vor dieser Dreistigkeit.

Richtig Alarm löst jedoch erst ein Artikel aus, der bei erschienen ist.
 

 
Auch Gordon Bolduan beschäftigt sich mit dem RBN (6). Das Besondere an seinem Artikel ist jedoch, dass er Einblick in neue Strukturen verschafft, in denen die Cybercrime sich inzwischen organisiert.

Er berichtet zum Beispiel von Koordinatoren, also von den Projektmanagern der modernen Kriminalität, die ich zunächst als modulare Cybercrime betrachtet habe. Ihr Handeln richtet am kriminellen Profit aus. Ihnen ist es prinzipiell egal, ob sie das Geld mit Erpressung machen, etwa im Zusammenhang mit der Drohung mit DDoS-Angriffen, mit dem Missbrauch von Zahlungskarten ( Skimming), von Kontozugangsdaten ( Phishing) oder mit anderer Kriminalität. Entscheidend ist das Ergebnis, also der erwartete Gewinn.

Der eine oder andere Koordinator mag besondere Erfahrungen, Kontakte und Quellen für ein einzelnes Kriminalitätsfeld haben und deshalb besonders gut darin sein. Kennzeichnend für die modulare Kriminalität ist jedoch, dass sie wegen der kriminellen Methode und wegen der Erreichung der Meilensteine völlig offen ist. Ihre Maßgabe ist der erwartete Gewinn.

Das liegt vor allem daran, dass die modulare Kriminalität vorfinanziert werden muss. Sie verzichtet auf einen Mitarbeiterstamm, wenn es im Ergebnis schneller und besser: billiger ist, Daten, Werkzeuge und Dienste von spezialisierten Fachleuten einzukaufen.
 

 
Das führt zu einer Schattenökonomie mit kriminellen Halbfertigprodukten.

Kein "ordentlicher" Handwerker, der gute Fassaden bauen kann, setzt sich ohne Not dem Stress aus, diese auch für das Ausspähen von Zahlungskartendaten zu installieren und wieder abzubauen.

Die modulare Kriminalität ist eine logische Fortsetzung der Arbeitsteilung zwischen Dieb und Hehler, nur dass die Arbeitsteilung noch weiter segmentiert ist.

Möglich ist das nur, wenn es die eingangs genannten Mittelsleute gibt, die über Szenekenntnisse, Kontakte und mehr oder weniger locker angebundene Mitarbeiter verfügen. Sie und ihre Zuarbeiter bilden die Operating Groups, von denen erstmals Bolduan spricht. Sie liefern die kriminellen Halbfertigprodukte in Form von Geräten, Daten oder Diensten, also zum Beispiel für die Installation von Skimming-Hardware, für den Missbrauch von gefälschten Zahlungskarten, für den diskreten Transport oder Versand von Geld oder anderen Werten und so weiter.

Der Koordinator ist zunächst ein Kalkulator. Seine Entscheidungsparameter sind wirtschaftlicher Art und betreffen Aufwand, Profit und Entdeckungsrisiko. Nur der dritte Eckpunkt ist von der Kriminalität geprägt. Sie erinnern an das Planungsmodell für die IT-Sicherheit: Sie steht immer in Konkurrenz mit der Anwenderfreundlichkeit und den Kosten.
 

 
Bandenkriminalität wird zu Recht als besonders gefährliche Kriminalität angesehen, weil ihre Protagonisten arbeitsteilig, spezialisiert und kontinuierlich zusammen arbeiten. Sie können sich sogar als subkulturelle Gruppe absondern und als solche wieder auf ihre gesellschaftliche Umgebung einwirken, so dass wir es mit einer Vollform der Organisierten Kriminalität zu tun haben. Der Gesetzgeber unterwirft die Bandenkriminalität einer verschärften Strafbarkeit und bezieht den arbeitsteilig abgespaltenen Hehler in die Verschärfung ein ( Kriminalität aus dem Baukasten).
 

 
Die modulare Kriminalität steht der Gefährlichkeit der Bandenkriminalität in nichts nach. Mit dem Instrumentarium der Bandenkriminalität lässt sie sich hingegen nicht greifen, wenn nicht der Koordinator einen permanenten Stab um sich herum aufbaut oder anstelle eines Projektes ein auf Dauer angelegtes Programm auflegt. Bei einem solchen Programm handelt es sich um einen organisatorischen Überbau, der immer wieder neue Projekte einrichtet. Ein Projekt ist immer durch Dauer und Ziel begrenzt. Ein Programm hingegen verfolgt langfristige und allgemein beschriebene Ziele. Das Ziel des modularen Programms ist die Gewinnerwirtschaftung durch kriminelle Projekte.
 

 
Die Betrachtung der modularen Cybercrime und überhaupt der modularen Kriminalität ist eine neue Art, Kriminalität und ihre Strukturen mit dem Ziel zu begreifen, sie zu bekämpfen. Dahinter steckt die Erkenntnis, dass man nur bekämpfen kann, was man begreift.

Ich befürchte, dass meine Annahmen zur kriminellen Modularität sehr schnell von der Wirklichkeit überholt werden. Die Strukturen, die Bolduan beschrieben hat, sind logisch, wirtschaftlich und setzen konsequent das um, was im IT- und im allgemeinen Management als "State of the Art" proklamiert wird: Outsourcing, Projektmanagement und Controlling.
 

 
Meine Überlegungen und Schlussfolgerungen gründen auf meinem Erfahrungswissen als Ermittler und sind ohne Bezüge zu konkreten Ermittlungsverfahren, die ich bearbeitet habe. Die ihnen zugrunde liegenden Fakten entstammen den Quellen, die ich hier zusammen gestellt habe. Es handelt sich ausnahmslos um öffentliche Quellen, die ich nur mit meinem besonderen Erfahrungswissen kombiniert und wegen der Schlüsse weitergedacht habe.

Sollte ich damit falsch gelegen haben, wäre ich eher erleichtert als betroffen. Meine Erfahrungen sagen mir jedoch, dass es nicht immer Spaß bereitet, mit meinen Befürchtungen Recht gehabt zu haben, besonders dann, wenn ich Recht behalte. Genau das befürchte ich im Zusammenhang mit der modularen Kriminalität auch.
 

(1) Moritz Jäger, Das Netz der Phisher: Wie Online-Betrüger arbeiten, tecchannel 20.09.2006

(2) McAfee, Lokalisierte Malware etabliert sich;
Sicherheitsreport Ein Internet, viele Welten (3,2 MB)

(3) Igor Muttik, Die Wirtschaft und nicht die Mafia treibt Malware voran, McAfee 12.02.2008

(4) Zweite große europäische Studie über das Organisierte Verbrechen und das Internet, McAfee Dezember 2006 (ZIP-Datei)

(4) David Bizeul, Russian Business Network study, bizeul.org 19.01.2008;
siehe auch Russian Business Network - RBN

(5) Frank Faber, Unter Verdacht. Eine russische Bande professionalisiert das Cybercrime-Business, c't 11/2008 (kostenpflichtiger Download, 60 Cent)

(6) Gordon Bolduan, Digitaler Untergrund, Technology Review 4/2008, S. 26 ff. (kostenpflichtiger Download, 1 €)