Cybercrime Bedrohung, Intervention, Abwehr BKA-Herbsttagung vom 12. 13.

November 2013

Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

Jrg Ziercke Prsident des Bundeskriminalamtes

Es gilt das gesprochene Wort.

Jrg Ziercke, Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

Kriminalistik 2.0 ein hoher Anspruch, wollte man in 45 Minuten eine neue Kriminalistik entwerfen. Nein, es geht darum ber die Phnomene, die Herausforderungen zu verdeutlichen und erste Schritte zu skizzieren, wovon effektive Strafverfolgung in der digitalen Welt abhngig ist. Und wie wir beginnen uns aufzustellen, wohl wissend, dass nichts dynamischer sein wird als diese Kriminalistik 2.0! Nach erfolgreichen Hackingangriffen heben Kriminelle mit geflschten Kreditkarten innerhalb von zwei Tagen in insgesamt 23 Staaten weltweit rund 40 Millionen US-Dollar ab. Ein Trojaner ermglicht den Zugriff auf Prozess- und Produktionsdaten und somit den Angriff auf Prozessleittechniken Kritischer Infrastrukturen. 60 % der Unternehmen der Versorgungssektoren Strom, l, Gas, Wasser in Deutschland entdeckten den Trojaner auch in ihren Netzen. Ein abgewehrter Angriffsversuch auf ein deutsches Telekommunikationsunternehmen hat das Potential, das Internet in Deutschland auer Betrieb zu setzen.

Ich sagte bereits, dass die Kriminalistik 2.0 fr die professionellen Strafverfolger ein permanenter Lernprozess in einer dynamischen Welt sein wird. Denn: Cybercrime ist eine neue Dimension der Kriminalitt. Den Ttern bieten sich unzhlige potenzielle Opfer und Angriffspunkte weltweit. Das Gefahrenpotential fr den einzelnen Brger, fr Wirtschafts- und Finanzunternehmen, fr den Staat und seine Einrichtungen ist erheblich und allgegenwrtig. Daraus folgt: Cybercrime hat grenzenloses Wachstums- und Schadenspotenzial. Wesentliche Merkmale sind: Cyberstraftaten sind profitabel und verlangen wenig eigene Infrastruktur. Das Internet bietet Hacking-Tools, die sofort appliziert werden knnen. Das Netz ist anonym. Das ermglicht eine Trennung von realer und digitaler Identitt. Es ermglicht die Vernetzung krimineller Gruppen ber Lndergrenzen hinweg. Das Entdeckungsrisiko fr die Tter im Vergleich zur analogen Welt ist gering

Die weite Verbreitung informationstechnischer Systeme, die zunehmende Nutzung IT-gesttzter Infrastrukturen steigert die Abhngigkeiten von IT-Systemen und erhht die Verwundbarkeit von Staaten, Unternehmen, jedes Einzelnen. Hochgradig vernetzte und sensible Systeme werden gestrt und manipuliert. Straftaten werden online vorbereitet und offline umgesetzt. Wir sprechen hier von Hybridverbrechen.
BKA-Herbsttagung 2013 Seite 2 von 21

Jrg Ziercke, Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

Das Internet ist ein praktisches Mittel der Kommunikation und Interaktion: Informationen, Propaganda, Absprachen sind weltweit in Echtzeit teilbar. Das Internet ist Fernuniversitt des religis motivierten Terrorismus und dient der Vorbereitung realer Straftaten, wie den sogenannten flashrobs. Hierbei verabreden sich unbekannte Personen im Internet, um gemeinsam Geschfte zu berfallen. Die aktuelle Lage zeigt: Nicht die Kriminalittsphnomene, sondern die Tatbegehungsweisen verndern sich.

Unsere auf Basis der PKS 2012 gewonnenen Lagedaten sind unzureichend: 64.000 Flle von Cybercrime, 230.000 Flle mit dem Tatmittel Internet. Die Fallzahlen steigen stetig. Auch im Jahr 2013! Wir mssen jedoch davon ausgehen, dass die Dunkelziffer weit hher liegt. Nicht alle Vorflle werden der Polizei gemeldet, viele sogar gar nicht erst erkannt. Zudem gehen Taten, die vom Ausland aus verbt werden oder bei denen Tter einen Server im Ausland nutzen, nicht in die Kriminalstatistik ein. So ist es auch kaum mglich, die wirtschaftlichen Schden abzuschtzen. Die Angaben zu Schadenshhen variieren stark. Gem des Bundeslagebildes Cybercrime betrug die Schadenssumme 2012 durch Cybercrime im engeren Sinne rund 43 (42,5) Millionen Euro. Hinzu kommen Schden in Hhe von ca. 14 Millionen Euro im Bereich Phishing und ca. 30 Millionen Euro im Bereich der des Tatmittels Internet Im Zusammenhang mit Wirtschaftskriminalitt. Die von der Wirtschaft selbst verzeichneten Schden sind deutlich hher: Die weltweit durch Kriminalitt und Spionage im Internet verursachten jhrlichen finanziellen Schden werden ab 100 Milliarden US-Dollar aufwrts geschtzt. Dass die tatschlichen Fallzahlen und Kosten, die durch Cyberangriffe entstehen, schwer abschtzbar sind, zeigt eine Unternehmensbefragung der Industrie- und Handelskammer Nord. Demnach melden nur 6 % der Unternehmen Cyberattacken der Polizei.

Das grte Schadenspotential haben Kritische Infrastrukturen. Infrastruktursysteme vernetzen Europa und die Welt und bilden neuralgische Knotenpunkte. Es stellt sich heute nicht mehr die Frage, ob Angriffe auf Kritische Infrastrukturen erfolgen, sondern ob diese Angriffe erfolgreich abgewehrt werden knnen. Das BSI zhlt allein bis zu 2.000 Angriffe tglich auf die Computersysteme des Regierungsnetzwerks.
BKA-Herbsttagung 2013 Seite 3 von 21

Jrg Ziercke, Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

Eine Symantec-Studie 1 zeigt, dass insbesondere kleine und mittelstndische Unternehmen im Fokus der Cyberkriminellen stehen: 50 Prozent aller Cyberangriffe zielen auf Unternehmen mit weniger als 2.500 Mitarbeitern, ein Drittel auf Unternehmen mit weniger als 250 Mitarbeitern ab. Gerade weil diese Unternehmen glauben, uninteressant fr Cyberkriminelle zu sein, stoen die Tter hier auf unzureichende Sicherheitsvorkehrungen.

Die Ttertypen sind hchst unterschiedlich, ihre Motivlagen und ihr technisches Knnen sind uerst different. Vom Einsteiger bis zum Profi sind alle vertreten: Jugendliche Hacker, die ihr Potential testen wollen, Extremisten, Erpresser, Terroristen, lose kriminelle Strukturen und Banden, international organisierte Kriminelle, Nachrichtendienste anderer Staaten. Nicht immer ist die Motivation der Tter erkennbar. Eindeutig ist die Motivation zum Beispiel beim Ttertyp des Finanzagenten. Hier lassen sich Menschen anwerben, die ihr privates Konto gegen eine Prmie zur Verfgung stellen und sich dabei in der Regel der Geldwsche leichtfertig schuldig machen. In einem Ermittlungsverfahren des BKA konnten wir ber 18.000 Finanzagenten erkennen, davon 12.000 aus den USA, 6.000 aus Grobritannien, 160 aus Australien und 111 aus Deutschland. Die Ukraine, Moldavien, Russland und Litauen bildeten den internationalen Aktionskreis in diesem Verfahren. Als Einsteiger sehen wir Cyberkriminelle mit IT-Grundkenntnissen oder auch so genannte Script Kiddies. Mit vorprogrammierten Software-Toolkits beschftigen sie sich berwiegend mit Phishing, im Bereich Social Engineering, und Defacement, also dem Verndern von Webseiten. Dieser Gruppe geht es vor allem darum, Erfahrungen zu sammeln und die breiten Mglichkeiten des Internet zu erproben. Deutlich gefhrlicher sind fortgeschrittene Hacker mit einer hohen Affinitt zur Technik. Von ihnen gehen strukturierte Attacken, wie DDoS, Drive-by-exploit oder SQL-injections aus. Die Akteure sind Hobby-Hacker, ideologische Hacker oder organisierte Gruppen. Diese Gruppe verfgt ber gute IT-Kenntnisse, die es ihnen ermglichen, an persnliche Daten, betriebsinterne Informationen oder vertrauliche Regierungsdokumente zu gelangen. Die dritte Gruppe sind die Profis. Hier finden sich sowohl staatlich gelenkte Hacker als auch terroristische Gruppen und Hacktivisten. Hacktivisten verstehen sich als Kmpfer gegen Ungerechtigkeit, verstehen ihr Handeln als zivilen Ungehorsam gegen bestimmte politische Richtungen ein
1

Vgl. Symantec Corporation, Internet Security Threat Report 18/2013. Seite 4 von 21

BKA-Herbsttagung 2013

Jrg Ziercke, Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

virtueller Gang auf die Strae, um Unternehmen, Regierungsbehrden, Parteien, andere Gruppen oder Initiativen von ihrem in den Augen von Gruppen wie Anonymous oder Lulz-Security falschen Weg abzubringen. Mittels DDos-Attacken werden Internet-Portale lahm gelegt oder es werden Datenbanken gehackt, um im Anschluss sensible Informationen zu verffentlichen. Dies ist eine andere Qualitt von Internetangriffen: Es geht darum, einen mglichst groen Schaden anzurichten; der Profit ist eher ideeller Natur. Welche Ausmae solche Taten haben knnen, zeigen die Angriffe im Mrz dieses Jahres auf die Sdkoreanische Hauptstadt Seoul. Den Angreifern mit dem Namen Dark Seoul Gang gelang es, einen Virus auf mehreren tausend Firmen- und Bankcomputer zu installieren. Der Virus lschte Daten von Festplatten, die Rechner konnten nicht mehr hochgefahren werden. Zustzlich legte die Gruppe zahlreiche Geldautomaten in der Stadt lahm. In der Konsequenz darf also nicht nur gelten, dass wir uns vor Ttern schtzen, die Betriebsgeheimnisse, persnliche Daten oder digitale Identitten fr ihre Zwecke nutzen wollen, sondern wir mssen uns auch auf die Tter konzentrieren, denen es darum geht, maximale Schden anzurichten.

Soweit zur allgemeinen Lage. Mit welchen Phnomenen haben wir es konkret zu tun? Welche technologischen Entwicklungen beeinflussen diese Art von Kriminalitt. Straftaten werden heute in einer Art und Weise begangen, wie sie noch vor 10 Jahren oder gar 1949, als unser Grundgesetz formuliert und verabschiedet wurde, unvorstellbar waren.

Wie sehen kriminelle Geschftsmodelle im Bereich der Betrugsdelikte und Erpressungen heute aus? Der Online-Betrger ist vorrangig auf der Suche nach fremden Identitten und bernimmt fremde Accounts. Damit wird im Internet frei eingekauft, mit Daten von Onlinebanking-Kontos werden Barabhebungen durchgefhrt. Eine weitere Methode ist es, im Online- und Auktionshaushandel nach Vorkasse keine, minderwertige oder geflschte Ware zu versenden. Herausragend derzeit ein Ermittlungsverfahren wegen gewerbsmigen Betrugs an lteren Menschen in Deutschland begangen aus Call-Centern in der Trkei. Eine Identifizierung der Anrufer
BKA-Herbsttagung 2013 Seite 5 von 21

Jrg Ziercke, Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

ist hufig nicht mglich: Durch sogenanntes Call-ID-Spoofing wird die Rufnummer des Anrufers abgewandelt und verschleiert. Die tatschliche Rufnummer des Anrufers wird dabei durch eine frei whlbare Nummer ersetzt. Die bislang festgestellten Schden belaufen sich auf rund 23 Millionen Euro. Die Anzahl der bereits festgestellten Opfer allein in Deutschland umfasst derzeit 37.000, belastbare Schtzungen weisen aber auf ber 100.000 Geschdigte hin. Auch Erpressungen finden heute digital statt, und das in unterschiedlichen Varianten. Sie erinnern sich an den sogenannten BKA-Trojaner, Schadsoftware, die dem Nutzer vorgaukelt auf seinem Rechner seien illegale Inhalte und das BKA habe den Rechner aus diesem Grund gesperrt. Nach Zahlung einer Strafe sei dieser wieder nutzbar ein modus operandi, der erst dieses Jahr neu aufgelegt wurde, diesmal unter Verwendung eines Bildes der Bundeskanzlerin sowie der Logos von der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU), der Bundespolizei und des BKA. Ein weiteres Beispiel: Seit April 2012 wurden unter Nutzung eines Botnetzes mittels DDosAttacken die Webseiten von Online-Shops angegriffen. Nach den ersten Angriffen erhielten die Opfer erpresserische E-Mails mit einer Zahlungsaufforderung ber 10.000 US-Dollar. Im Falle der Zahlung des geforderten Schutzgeldes wrde von weiteren DDos-Angriffen abgesehen und die Firma auf eine sogenannte Whitelist gesetzt. Die Unternehmen knnten damit weitere Verluste durch die Nichterreichbarkeit ihrer Online-Prsenz abwenden. Der das Botnetz steuernde Command&Control-Server konnte von den Ermittlern festgestellt und lokalisiert werden. Der physikalische Standort des Servers befand sich in Litauen, so dass eine Serverberwachung gem 100a StPO bei einem deutschen Internetprovider nicht in Betracht kam. Die auslndische Partnerbehrde bermittelte Logdaten fr administrative Serverzugriffe. Die bermittelten IP-Adressen waren jedoch schon lter als sieben Tage. Die entsprechenden Anschlsse konnten wegen fehlender Mindestspeicherfristen in Deutschland nicht mehr ermittelt werden. Die verschlsselte Kommunikation der Tter fhrt dazu, dass lediglich Verdachtsmomente vorhanden sind.

Ein hnliches Prinzip verfolgt die sogenannte Ransomware. Sie sorgt nach der Infektion des Rechners dafr, dass der Computer fr den Nutzer gesperrt wird. Nur gegen Zahlung einer Gebhr wird die Sperrung wieder aufgehoben. In einem konkreten Verfahren haben unsere Ermittlungen ergeben, dass ein einzelner Tter innerhalb von 6 Tagen mehr als 200.000 Infektionen versucht hat und ber 32.000 Mal erfolgreich gewesen ist.
BKA-Herbsttagung 2013 Seite 6 von 21

Jrg Ziercke, Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

Hinter diesen kriminellen Geschftsmodellen stecken professionelle und global vernetzte Tter: Dieses Modell der Ransomware wird mittlerweile in Form von sogenannten Affiliate-Systemen, vergleichbar den aus der realen Geschftswelt bekannten Franchise-Modellen, vertrieben. Eine beliebige Anzahl krimineller Kunden kauft diese Pakete ein und betreibt die konkrete Begehung der Einzelstraftaten dann eigenverantwortlich. Fr diese Art der Erpressungen mssen die Tter nicht zwingend programmieren knnen oder ber umfassende technische Kenntnisse verfgen. Die erforderlichen Werkzeuge, sogenannte Exploit Kits, knnen sie ber einschlgige Internetplattformen in der underground economy erwerben. Weit verbreitet ist beispielsweise das sogenannte Blackhole Exploit Kit. Eine Nutzungslizenz kostet 700 Dollar im Quartal oder 1.500 Dollar im Jahr. Fr den Angriff aktueller Systeme bietet derselbe Anbieter parallel das sogenannte Cool Kit an. Fr 10.000 Dollar im Monat bekommen die kriminellen Kunden Exploits fr Sicherheitslcken, die noch nicht allgemein bekannt sind und fr die noch keine Sicherheitsupdates existieren. Welche Dimension hat diese Art der digitalen Erpressung? Anhaltspunkte geben die Zahlen der IT-Sicherheitsdienstleister Kaspersky und Symantec: Kaspersky vermutet, dass Tter im Jahr 2012 zur Durchfhrung von 1,5 Mrd. Cyberangriffen 6,5 Mio. Domains genutzt haben. Im Vergleich zum Vorjahr stellt dies eine Steigerung von einer halben Million Domains dar. Symantec berichtete fr das Jahr 2011 von 5,5 Milliarden geblockten Schadsoftwareangriffen. Allein in diesem Jahr wurden ber 400 Millionen neue Varianten von Schadsoftware festgestellt.

Zu einem anderen Phnomen. Wie werden heute Eigentums- und Diebstahlsdelikte begangen? Nicht nur Sachen und Gegenstnde, auch Daten und Identitten sind Werte, fr die sich Kriminelle interessieren. Im September 2013 erhielt das BKA die Information, dass ein groes deutsches Telekommunikationsunternehmen auf seinen Systemen Schadsoftware gefunden habe. Die Software war geeignet, Kundendaten auszusphen, in dem die Daten identifiziert, vervielfltigt und anschlieend ausgeleitet werden. Dabei werden Name, Anschrift, Bankverbindung und in bestimmten Fllen auch Kreditkartendaten der Kunden ausgespht. Gem den Analysen des Unternehmens wurden die Daten nach der Ausleitung auf dem Server eines schweizerischen Providers gespeichert. Das Unternehmen geht davon aus, dass ca. 2 Millionen Kundendatenstze durch die Tter kopiert und ausgeleitet wurden.

BKA-Herbsttagung 2013

Seite 7 von 21

Jrg Ziercke, Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

Im Februar dieses Jahres erbeuteten Kriminelle in einer konzertierten weltweiten Aktion innerhalb von 2 Tagen 40 Millionen US Dollar! Wie sind sie vorgegangen? Die Tat war akribisch vorbereitet worden: Zunchst brachen die Tter in die Abrechnungssysteme der Kreditkartenabwickler Bank of Muscat im Oman und der Rakbank in den Vereinigten Arabischen Emiraten ein und setzten die Limits von aufladbaren Kreditkarten nach oben. Anschlieend benutzten die Tter die Daten von einigen wenigen Prepaid-Kreditkarten der Banken und bermittelten diese an weltweit verteilte Helfer, die damit wiederum Blankokarten codierten und dann Abhebungen an Geldautomaten durchfhrten. Am 20. und 21. Februar 2013 wurden nahezu zeitgleich in mindestens 23 Staaten mit diesen geflschten Karten an Automaten Geld abgehoben. Weltweit ber 17.000 Transaktionen. Allein in Deutschland betrug der Schaden ca. 2,5 Millionen Euro bei knapp 1.000 Abhebungen in Essen, Hamburg, Dortmund, Koblenz, Bremen und Frankfurt/Main.

Doch nicht nur gewhnliche Cyber-Kriminelle sind an Daten interessiert. Um mglichst umfassende Informationen aus den Bereichen Politik, Wirtschaft und Militr sowie ber hier aufhltige Oppositionelle zu erlangen, nutzen auslndische Nachrichtendienste die Mglichkeiten des Internet. Sie versuchen, mittels Hacking und Malware illegal in fremde Rechnersysteme einzudringen oder direkt Informationsknotenpunkte anzuzapfen. Nachrichtendienstlich betriebene IT-Angriffe sind dem ueren Anschein nach kaum von allgemeinkriminellen Angriffen zu unterscheiden. Vordergrndig weisen sie eher auf andere Straftaten hin, wie zum Beispiel Konkurrenzaussphung, Exportverste, Diebstahl oder eben Cybercrime. Dies mag ein Grund dafr sei, dass es zur Einleitung und Fhrung von strafrechtlichen Ermittlungsverfahren wegen klassischer Spionagedelikte im Zusammenhang mit Cybercrime bislang nicht gekommen ist. Hinzu kommt auch hier: Viele Opfer bemerken den unerlaubten Informationsabfluss nicht, oder sie zeigen diese Flle aus Angst vor Imageverlust nicht an.

Das Internet bietet auch zahlreiche Nutzungsmglichkeiten fr den illegalen Handel insbesondere mit Drogen und mit Kinderpornographie. Die Vorteile des Internet fr den Handel mit diesen illegalen Gtern sind offensichtlich: Der Handel ist anonym fr Anbieter und Abnehmer und in Sekundenschnelle rund um die Uhr von jedem Ort der Welt aus mglich. So ist das Internet heute das wesentliche Medium fr die Verbreitung und den Konsum von Kinderpornographie. Im Juli
BKA-Herbsttagung 2013 Seite 8 von 21

Jrg Ziercke, Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

dieses Jahres gelang es, eine der zentralen, international ttigen Plattformen zur Verbreitung von Kinderpornographie abzuschalten. Auf der Plattform waren insgesamt 2 Millionen kinderpornographische Bilder. Nach Einschtzung der beteiligten Strafverfolgungsbehrden ist der Verantwortliche der Plattform weltweit die zentrale Figur im Bereich des Besitzverschaffens, Verbreitens und Drittbesitzverschaffens von kinderpornographischen Inhalten. Mit dem Abschalten der Plattform wurden die Online-Aktivitten von ca. 25.000 Pdophilen unterbrochen, die Szene konnte deutlich verunsichert werden. ber die Sichtung der verschiedenen Boards der Plattform nach deren Abschalten (retrograd) konnten ca. 200 weitere mutmalich deutsche Nutzer festgestellt werden. Zu diesen Usern liegen lediglich Nick-Name und E-Mail-Adressen, keine IP-Adressen vor. Eine Identifizierung ist so nur noch in wenigen Ausnahmefllen mglich. Fr die Polizei besteht ein zustzliches Problem: Viele Inhalte werden in geschlossenen Foren kommuniziert. Neue Mitglieder werden nur aufgenommen, wenn sie selbst kinderpornographisches Material bereit stellen. Spezielle Bereiche werden ausschlielich fr Mitglieder eingerichtet, die nachweislich selbst Kinder sexuell missbrauchen.

Ein weiteres besonderes Beispiel fr den digitalen Handel inkriminierter Waren ist die Webseite Silkroad. Silkroad war eine Webseite im sogenannten Deep Web, also jenem Teil des Internets, der nicht ber normale Suchmaschinen auffindbar ist. Silkroad stellte eine Art Online-Schwarzmarkt im Stil eines gewhnlichen Onlineshops dar. Bei Silkroad konnte nahezu alles kuflich erworben werden. Die Bezahlung erfolgte anonym ber Bitcoins. Der geschtzte bisherige Umsatz beluft sich auf 1,2 Milliarden US Dollar. Als versteckter Dienst im sogenannten TOR-Netzwerk wird die Anonymitt der Nutzer durch Verschleierung der Verbindungsdaten gewahrt. Erschwerend kommt hinzu, dass die Onlinebezahlungen allein ber die virtuelle Whrung von Bitcoins 2 abgewickelt wurden. Diese werden von Kunden an ein Treuhandkonto berwiesen und der Betrag erst dann an den Verkufer ausgezahlt, wenn die Ware geliefert wurde. Die bestellten Waren von Kleidung ber Waffen bis hin zu illegalen Drogen wurden anschlieend per Post geliefert.
2

Bitcoins sind eine virtuelle Peer-to-Peer Whrung, die internationale berweisungen unter ihren Nutzern ermglicht. Dabei werden reale Whrungen in Bitcoins getauscht. Die Finanzwelt der Bitcoins ist unabhngig von klassischen Banken oder Finanzinstituten und kann daher staatlich bisher nicht reguliert werden.

BKA-Herbsttagung 2013

Seite 9 von 21

Jrg Ziercke, Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

Im Rahmen eines Ermittlungsverfahrens des Bayerischen LKA gelang es, mehrere Tatverdchtige zu identifizieren, die ber die anonymisierte Plattform verschiedene Betubungsmittel weltweit vertrieben. Die Tter gingen uerst konspirativ vor, jegliche Kommunikation erfolgte verschlsselt. Die Umstze: ber 300 Kilogramm Betubungsmittel, ber 500.000 Ecstasy-Tabletten bei einem geschtzten Gewinn von ca. 8,7 Millionen Euro innerhalb von acht bis vierzehn Monaten! Anfang Oktober konnte der mutmaliche Betreiber des Onlineportals festgenommen und die Internetseite durch die US-Behrden abgeschaltet werden. Neuesten Meldungen ist zu entnehmen, dass Silkroad 2.0, eine Art Klon der Ursprungsseite, bereits wieder online ist.

Ich komme noch einmal auf die digitalen Whrungen zurck. Im Cyberspace existieren unterschiedliche Whrungen. Das System funktioniert hnlich wie bei "normalen" Whrungen: Euro, Dollar und andere Whrungen werden gegen virtuelle Zahlungsmittel eingetauscht, die dann als verschlsselte Codes auf dem Computer existieren. Gezahlt werden kann damit mittlerweile nicht mehr nur bei Online-Anbietern. Die relative Anonymitt dieser Whrungen stellt einen weiteren Anknpfungspunkt fr kriminelle Machenschaften, insbesondere der Geldwsche dar.

Hinter dem bekannten Fall Liberty Reserve steckte ein weltweites Geschftsmodell: Internetnutzer konnten bei Liberty-Reserve ein Konto erffnen, auf das sie bei Drittanbietern "echtes" Geld einzahlen mussten, welche daraufhin die von ihnen erkauften Liberty Reserve-Geldeinheiten auf den Nutzerkonten zur Verfgung stellten. Das Angebot sollen ber eine Million Anwender genutzt haben. Seit 2006 sollen insgesamt 55 Millionen Transaktionen mit einem Gesamtvolumen von rund 6 Milliarden US-Dollar durchgefhrt worden sein. Im Mai 2013 wurde Liberty Reserve mit Sitz in Costa Rica von den US-Behrden geschlossen. Ein Erfolg? Nur fr den Moment vergleichbare Angebote haben sich bereits etabliert und werden von Kriminellen rege genutzt.

Zwar sind in Deutschland E-Geldinstitute zur Identifizierung ihrer Kunden verpflichtet, sofern der gespeicherte E-Geld-Betrag 100 pro Monat bersteigt. Da Zahlungsdienstanbieter ihren Geschftssitz jedoch meist nicht in Deutschland haben, unterliegen sie weder der Aufsicht der

BKA-Herbsttagung 2013

Seite 10 von 21

Jrg Ziercke, Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

Bundesanstalt fr Finanzdienstleistungsaufsicht (BaFin) noch dem deutschen Geldwschegesetz. Nationales Recht stt hier mal wieder deutlich an bestimmte Grenzen. Geldwscher nutzen zudem gezielt aus, dass Rechtshilfeersuchen langwierig sind, dass unterschiedliche Bank- und Berufsgeheimnisse gelten und die Kontroll- und Strafverfolgungsintensitt unterschiedlich ausgeprgt ist. E-money, bitcoins, financial agents vereinfachen Geldwsche und verringern gleichzeitig das Entdeckungsrisiko. Digitale Zahlungsmittel anonymisieren kriminelle Finanzstrme. Bei Delikten wie Diebstahl, Betrug, Erpressung, Drogenhandel oder Geldwsche sind die finanziellen Interessen der Tter offensichtlich. Es gibt aber auch ideologische Motivationen: Allgemein bekannt ist, dass das Internet inzwischen das wichtigste Mittel zur Verbreitung von Propaganda und Verffentlichungen religis motivierter terroristischer Organisationen und Gruppierungen ist. Die Zeiten, in denen Ideologieschulungen im Hinterzimmer stattfanden, Fanzines und Schriften zur ideologischen Schulung unter dem Ladentisch vertrieben wurden, sind lngst vorbei. In den vergangenen Jahren stellten wir vor allem Internetverffentlichungen der groen und bekannten Terrororganisationen wie Al Qaida, IBU, Kaukasisches Emirat, der Taleban fest. Seit einiger Zeit beobachten wir, dass auch kleinere Organisationen die Vorteile des medialen Jihad erkannt haben und mit verschiedenen neuen Medienproduktionsstellen auf den jihadistischen Medienmarkt drngen. Auch radikale Gruppen in Deutschland nutzen das Internet fr Propaganda- und Rekrutierung.

Welches sind die Anforderungen an eine erfolgreiche Bekmpfungsstrategie? Was bedeuten diese Phnomenbeschreibungen nun konkret fr die Strafverfolgungsbehrden? Wie sieht die effektive Strafverfolgung im Zeitalter des Internet aus? Was kennzeichnet die strategische und operative Kriminalistik 2.0? Bevor ich dazu komme, mchte ich noch einen Blick in die Zukunft werfen, den das BKAZukunftsteam mit dem Szenario-Projekt Always On 2018 fr uns vorgenommen hat. Hier die wesentlichen Ergebnisse: 1. Die Kriminalistik 2.0 wird immer hhere Anforderungen an Recherche- und Analyseverfahren im BKA richten. Da schnellere bertragungstechnologien hhere Datentransfers bei der

BKA-Herbsttagung 2013

Seite 11 von 21

Jrg Ziercke, Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

Verbung von Straftaten nach sich ziehen, werden die sichergestellten Datenmengen insgesamt erheblich zunehmen. 2. Die neuen Schwerpunkte krimineller Internet-Aktivitten werden vor allem in den Bereichen des virtuellen Handels, der virtuellen Whrungen und im Cyber-Terrorismus gesehen. Aber auch die Organisierte Kriminalitt in Kombination mit crime on demand, wo ohne Fachkenntnisse am eigenen PC Malware und Infrastruktur aus dem Angebot eines qualifizierten Unternehmens krimineller Prgung zusammengestellt und fr den eigenen Raubzug gemietet werden knnen, wird weiter zunehmen. 3. Zuknftig wird nicht allein fr die ffentliche Infrastruktur, sondern auch durch neue Gebudetechnologien, Stichwort: Smart Home, auch fr Privatpersonen eine hhere Gefhrdung durch Internetkriminalitt vorhergesagt und damit zur Angreifbarkeit eines jeden Einzelnen. 4. Die Nutzung moderner Technologien und Kommunikationsmittel an einer Vielzahl von Gerten bzw. Schnittstellen fhrt nicht nur zu greren Verwundbarkeit, sondern auch zu einer vermehrten Preisgabe personenbezogener Daten. 5. Das BKA muss sich auf neue Bedrohungsszenarien einrichten, die Frherkennung strken und ein abteilungsbergreifendes Wissensmanagement einfhren. Dazu gehrt auch ein internes Social Network fr dienstliche Zwecke. 6. Das BKA sollte sich zum Cloud-Anbieter fr die Polizeien der Bundeslnder entwickeln, um eine kostensparende Harmonisierung der polizeilichen Produkte und eine Homogenisierung der Standards zu erreichen. 7. Das BKA soll ein Ausbildungsmodul Digitale Ermittlungen in der Fachhochschulausbildung verankern und die zielgerichtete Fortbildung aller Mitarbeiter in Richtung Schlssel Know-how intensivieren.

Soviel zunchst zur mittelfristigen Zukunft. Aktuell liegen folgende Aufgaben vor uns: Die effektive Bekmpfung von Cybercrime setzt ein mglichst przises Bild dieses Phnomens voraus. Sehr verdienstvoll ist die Dunkelfelduntersuchung des LKA Niedersachsen. Erste Ergebnisse hat der Innenminister Niedersachsens Ende Oktober 2013 der ffentlichkeit prsentiert. Fast 20.000

BKA-Herbsttagung 2013

Seite 12 von 21

Jrg Ziercke, Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

Niedersachsen im Alter ab 16 Jahre haben sich an der Umfrage beteiligt. Niederschmetternd, aber wie zu erwarten, werden nur 8,5 % aller computerbezogenen Straftaten angezeigt. Das Phishing ber das Internet soll beim 10fachen der amtlich gemeldeten Zahlen, der Datenverlust durch Computer-Viren oder Trojaner sogar beim 20ig-fachen liegen. Die amtlich gemeldeten Zahlen auf Bundesebene liegen demnach nicht bei 250.000, sondern eher bei 2,5 Millionen Geschdigten oder hher. Aber auch diese Zahl halten wir fr noch zu gering, da hufig der strafbare Versuch einer Infiltration gar nicht bemerkt wird. Das Bedrohungspotenzial ist daher sehr viel hher. Das unterstreichen auch die vom BSI im August 2013 verffentlichten Zahlen des Identittsdiebstahls fr nur ein Vierteljahr: stattliche 250.000 Flle.

Cybercrime ist eine unterschtzte Gefahr. Besonders auch durch deutsche Unternehmen. Insider teilen die Branche in zwei Kategorien ein: In die, die schon gehackt worden sind, und die, die gerade gehackt werden. Die Sicherheitsbehrden brauchen zeitnahe Informationen! Das gilt auch ber die vom Ausland ausgehenden Angriffe auf deutsche Unternehmen und User, die bisher in der PKS nicht registriert werden. Unternehmen sehen hufig von Anzeigen ab, auch fr Privatpersonen ist der Gang zur Polizei eher die Ausnahme! Aber auch das Vorgehen der Polizei muss sich noch strker auf die Bedrfnisse der Geschdigten, der Unternehmen einstellen. Unaufflliges und schnelles Vorgehen bei der Tatortaufnahme nicht mit Blaulicht auf den Firmenhof fahren muss gesichert sein, um den Unternehmen die Angst vor Reputationsverlusten und Arbeitsausfall durch Sicherstellungen von IT-Systemen zu nehmen.

Die kriminalistische Bekmpfung von Cybercrime stellt hohe technische Anforderungen an die Strafverfolgungsbehrden. Mit welchen Problemen beschftigen sich Forschung und Entwicklung im Bereich Cybercrime im BKA derzeit? Big Data heit eines der Problemfelder. Wir erforschen und erproben intelligente Methoden zur computeruntersttzten Auswertung groer fremdsprachiger Datenmengen. Die BKA-Eigenentwicklung ist in der Lage, 56 Sprachen in Texten zu erkennen. Hier geht es sehr exotisch zu: Derzeit werden die Sprachen Kurdisch-Sorani und Kinyarwanda fr die Terrorismusbekmpfung bedarfsorientiert weiterentwickelt. Die Entwicklung umfasst eine automatisierte

BKA-Herbsttagung 2013

Seite 13 von 21

Jrg Ziercke, Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

Extraktion von Kerninformationen wie z.B. Personen-, Orts- und Organisationsnamen, Kfz-Kennzeichen, Bankdaten, Whrungsbetrge usw. Diese Extraktion dient der Filterung groer Datenmengen im Sinne einer ersten Relevanzbewertung. Ein weiterer Schritt ist die automatisierte Extraktion von Beziehungen zwischen Entitten und eine maschinelle Rohbersetzung. Erste Tests zeigen deutliche Ressourceneinsparungen. Der polizeiliche Sachbearbeiter kann verwertbare Informationen aus fremdsprachigen Texten filtern, ohne z.B. ber russische oder arabische Sprachkenntnisse verfgen zu mssen. Die im Rahmen von Ermittlungsverfahren festgestellten Datenmengen werden immer grer. Sicherstellungen bis zu einem Datenvolumen von 1 Petabyte sind bereits heute zu bewltigen. Das entspricht angeblich dem Inhalt von 500 Milliarden DINA4 Seiten.

Die Ermittlungs- und Auswertungsarbeit der Polizei steht daher vor einem Paradigmenwechsel. Was meine ich damit? Zum Einen: (1) Unstrukturierte Daten in vielerlei Formaten, oft ohne zu wissen, ob und welche Beweismittel in diesen Daten liegen, (2) kryptierte Datencontainer auf inkriminierten Datentrgern sowie (3) die hohe Komplexitt in der mobilen IT-Forensik. Zum Anderen stetig wachsende Datenmengen, die eine intelligente Datenselektion statt einer allumfassenden Auswertung verlangen. Ist die Nachvollziehbarkeit der intelligenten Datenselektion durch Gerichte zu gewhrleisten? Werden die Rechte der Verteidigung eingeschrnkt? Was heit das fr den Umfang einer entlastenden Datenselektion? Diese Fragen knnten auch rechtlichen Anpassungsbedarf auslsen und zu einer Debatte ber die Zukunft der Ermittlungsgrundlagen fhren. Ein weiteres Problem sind kontaminierte Daten, sogenannte Schmutzdaten. Diese mssen in einer sicheren Umgebung ausgewertet werden. Dies ist unabdingbar auch fr die Qualitt der Ermittlungsarbeit. Unser Ziel ist der Aufbau einer zentralen internetverbundenen Infrastrukturund Schmutzdatenumgebung, die gegenber den hausinternen Netzwerken und gegenber dem IT-gesttzten Bund-Lnder-Informationsaustausch besonders abgeschirmt ist.

Nicht nur gespeicherte Daten, auch Kommunikation und Interaktion im Internet kann heute mit einfachen Mitteln anonymisiert und kryptiert werden. Zahlreiche Anbieter bieten kostengnstige Produkte dazu an. Immer mehr Tter greifen darauf zurck. Das mobile Internet fhrt zu einem
BKA-Herbsttagung 2013 Seite 14 von 21

Jrg Ziercke, Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

wie wir sagen nomadisierenden Nutzerverhalten. Der Markt wandelt sich in den letzten Jahren zu mobiler und ultramobiler Internet-Kommunikation. Die Verlagerung von Daten in die Cloud wird erhebliche Auswirkungen auf die investigativen Mglichkeiten der Kriminalisten haben. Die Cloud wird nicht nur Tatort, z.B. bei der Aussphung gespeicherter Kreditkarteninformationen sein, sondern auch Tatmittel, z.B. im Rahmen einer Spam-Infrastruktur oder in Form von Rechenleistung zur berwindung von Passwortsperren. Infolge der Beliebigkeit des Netzzuganges steigen sowohl der operative Vorermittlungsaufwand im Hinblick auf den jeweils genutzten physikalischen Anschluss, als auch die Wahrscheinlichkeit von Informationslcken bei schwerer Kriminalitt. Interne Auswertungen bei bedeutenden Verfahren des Terrorismus und der Schwerkriminalitt zeigen, bei einer Stichprobe von 85 TK-Manahmen, folgendes Bild: In drei von vier TKManahmen (75 %) werden Verschlsselungs-, Kryptierungs- und oder Anonymisierungsdienste genutzt! Bei der Untergruppe von DSL-TK-Manahmen sind zwei von drei Manahmen (68 %) verschlsselt, bei Mobilfunk-TK-Manahmen sind es acht von zehn (81 %). Die Schwierigkeiten, die sich fr die Beweiserhebung ergeben, werden so deutlich. Die Erhebung der Telekommunikationsinhalte ist in diesen Fllen so gut wie nicht mglich. Es ist derzeit technisch unmglich einen laufenden kryptierten Kommunikationsvorgang zu entschlsseln.

Vor die Lage zu kommen, wird immer schwieriger, zum Teil unmglich! Diese Feststellung hat unmittelbare Auswirkungen auf die Bekmpfung der Schwerstkriminalitt in Deutschland. Das BKA wird daher im Frhjahr 2014 ein spezielles Fachsymposium zum Thema Organisierte Kriminalitt und Schwerstkriminalitt durchfhren, um die Lage der OK und der Schwerstkriminalitt insgesamt, insbesondere der italienischen Mafia und der russisch-eurasischen Kriminalitt mit Deutschland-Bezug sowie der aktuellen Rockerkriminalitt zu beleuchten. Dabei werden die zuknftigen Mglichkeiten der Beweiserhebung eine wichtige Rolle spielen.

Ein zweites groes Thema ist die Anonymisierung im Internet. Zunehmend werden in den Phnomenbereichen Kinderpornografie, Rauschgiftkriminalitt, Waffenhandel und Cybercrime TOR-Netzwerke genutzt. Ein Anonymisierungsnetzwerk, welches aus vielen voneinander unabhngigen Servern besteht. Jeder kann weltweit dieses Netzwerk mit eigenen Servern untersttzen.
BKA-Herbsttagung 2013 Seite 15 von 21

Jrg Ziercke, Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

Dazu bedarf es lediglich einer im Internet kostenlos erhltlichen Software, die auf einem eigenen Server installiert und gestartet werden muss. Weltweit gibt es mehrere tausend TOR-Server. Der Kommunikationskanal wird ber mindestens drei ausgewhlte Server verschleiert, wobei innerhalb des TOR-Netzwerkes jeder Server nur den Vorgngerserver und den Nachfolgeserver kennt. Smtliche Kommunikation der TOR-Server untereinander ist verschlsselt. Keine Kommunikationsinstanz hat Kenntnis darber, welcher Benutzer mit welcher Webseite Kontakt aufgenommen hat. In einem Ermittlungsverfahren ist es auslndischen Partnern gelungen, in ein TOR-Netzwerk einzudringen und wie schon erwhnt den bislang weltweit grten Ring von ber 25.000 Pdophilen mit 2 Millionen kinderpornografischen Abbildungen zu detektieren. Mit dieser Herausforderung setzen wir uns derzeit im BKA in Zusammenhang mit Kriminalistik 2.0 auseinander.

Fr die Gefahrenabwehr und Strafverfolgung bentigen wir Gesetze, die sich an den Formen heutiger Kommunikation und Interaktion orientieren. In der virtuellen Welt kann nicht mit den Instrumenten der analogen Welt erfolgreich ermittelt werden. Das wre ein Widerspruch in sich. Ich kann nur immer wieder betonen: Nicht die Polizei speichert zum Beispiel Verkehrsdaten, sondern dies erfolgt bei einer Vielzahl von Providern. Deshalb kann der Staat auch nicht willkrlich auf diese Daten zugreifen oder in Unmengen von Daten willkrlich recherchieren. Nur wenn ein Richter es anordnet, dass zur Bekmpfung schwerer Kriminalitt der Zugriff erlaubt ist, werden bestimmte Daten zielgerichtet fr die Strafverfolgung nutzbar gemacht.

Zu einem ganzheitlichen kriminalistischen Bekmpfungsansatz gehrt auch, althergebrachte, bewhrte Methoden nicht zu vernachlssigen. Mittel wie Fahndung, Observation, der Einsatz verdeckter Ermittler zhlen nach wie vor zum Repertoire polizeilicher Ermittlungen in Fllen schwerer und schwerster Kriminalitt. Im Bereich der klassischen Fahndung erffnet uns das Internet neue Mglichkeiten. Der Anschlag whrend des Boston-Marathons hat die US-amerikanischen Behrden mit Massendatenauswertung in Form von Videofilmen und elektronisch bermittelten Fotos der Bevlkerung konfrontiert. Zuknftig wird das ffentliche Werben um solche Hinweise aus der Bevlkerung bei spektakul-

BKA-Herbsttagung 2013

Seite 16 von 21

Jrg Ziercke, Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

ren Verbrechen wohl zum Standard der Tatrekonstruktion und Tterermittlung auch in Deutschland gehren. Auch die klassische ffentlichkeitsfahndung verndert sich. Die Zielgruppe der jngeren Bevlkerung informiert sich weniger durch Fernsehen, Rundfunk und Printmedien, sondern strker ber soziale Netzwerke wie z.B. Facebook. In Verbindung mit der enormen Verbreitung mobiler Endgerte wre es mglich, weite Teile der Bevlkerung zielgerichtet nach schwerwiegenden Straftaten zeitnah anzusprechen und um Hinweise zu bitten. Im Hinblick auf die Nutzung von Facebook sind allerdings noch datenschutzrechtliche Fragen zu klren. Auch dazu muss Kriminalistik 2.0 eine Antwort parat haben. Ferner erwarten wir, dass die verdeckte Informationsgewinnung und der Einsatz von verdeckt arbeitenden Polizeibeamten und Vertrauenspersonen angesichts der Abschottung der Tter im Internet eine grere Bedeutung bekommen wird.

Wir brauchen hierfr Mitarbeiterinnen und Mitarbeiter, die in der Lage sind, die digitalen Spuren der Kriminellen aufzunehmen, die Tter zu identifizieren und ihnen ihre Taten nachzuweisen. Spezialdienststellen sollen Erkenntnisse liefern, was im Netz, im Darkweb und in der Underground Economy vor sich geht und wie wir darauf reagieren zu knnen. Darauf wollen wir uns verstrkt konzentrieren. Hier bentigen wir Experten wie Informatiker und Cyberanalysten. Im Bundeskriminalamt sind inzwischen in nahezu allen Abteilungen Informatiker beschftigt. Diesen Ansatz werden wir weiter ausbauen. Gleichwohl sind Spezialdienststellen und Experten allein keine ausreichende Antwort auf Cybercrime. Zuknftig werden wir die Bekmpfung von Cybercrime nicht allein den Spezialisten berlassen knnen. Unser gesamtes Personal muss bei der Bekmpfung entsprechender Straftaten mitarbeiten knnen. Cybercrime hat sich zu einer Querschnittskriminalitt entwickeln: Als eigenstndige Deliktsform und als Tatmittel in vielen Phnomenbereichen.

Ich mchte Ihnen anhand eines Szenarios darstellen, welcher Mehrwert fr alle Beteiligten zu erzielen wre, wenn die Sicherheitsbehrden die Expertise von Wirtschaft und Wissenschaft strker nutzen knnten.
BKA-Herbsttagung 2013 Seite 17 von 21

Jrg Ziercke, Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

Ein Wirtschaftsunternehmen mit Kernkompetenz im IT-Dienstleistungsbereich unterhlt ein Rechenzentrum, um seinen Kunden verschiedene serverbasierte Produkte zur Verfgung zu stellen. Dabei haben die Kunden Administratoren-Zugriff auf die von ihnen gemieteten Produkte. Durch interne Monitoring-Sicherheitsmechanismen wird festgestellt, dass die Netzwerkinfrastruktur langsamer agiert als normal. Das Unternehmen erkennt, dass Unbekannte sich Zugriff auf die komplette Netzwerkinfrastruktur verschafft und eine vollumfngliche Kontrolle ber smtliche Server ber 1.000 Server des Unternehmens bernommen haben. Das IT-Unternehmen wendet sich an das BKA. Je nach der von Tterseite gewhlten Angriffsstruktur kann es erforderlich sein, externe Spezialisten heranzuziehen, zum Beispiel in den Bereichen Entschlsselung von Programmcodes oder Netzwerkforensik. Im Rahmen des ersten Angriffs wird unter Einbeziehung von externen Mitgliedern, z.B. eines Netzwerkingenieurs, eine Datensicherung betroffener Serversysteme durch die IuK-Forensik des BKA erstellt. Dies gewhrleistet die Beweissicherung zum Zeitpunkt des Angriffs. Cyberanalysten und Softwareanalytiker des BKA sowie von IT-Unternehmen versuchen, den Datenverkehr zu analysieren und die Wirk- und Vorgehensweise des Angriffs bzw. der Schadsoftware zu bestimmen. Anschlieend wird der Zugriff auf das Netzwerk des Datenzentrums durch den Angreifer unterbunden und weiterer Schaden, z.B. das Abgreifen von Kundendaten, Betriebsgeheimnissen, abgewendet. Die Sicherheitslcke in der IT-Infrastruktur muss versiegelt werden. Hier werden externe Partner aus IT-Security-Unternehmen bentigt. ber externe Partner aus IT-Sicherheits-Unternehmen knnen evtl. Informationen ber bereits erfolgte Angriffe derselben Ttergruppierung erhoben werden, wodurch ggf. neue Ermittlungsanstze generiert werden knnen. Begleitend erhebt das BKA durch seine internationalen Kontakte Informationen zu hnlich gelagerten Vorfllen in der Welt.

Der Mehrwert einer solchen Zusammenarbeit liegt auf der Hand: Die Reaktionszeit bei Eintritt eines Einsatzfalles ist kurz, da bereits bei Beginn der Ermittlungen die bentigte Expertise zur Verfgung steht. Wir wollen im BKA daher das Modell einer Aufrufeinheit, einer so genannten Quick Reaction Force Cybercrime, bestehend aus Experten der Sicherheitsbehrden von Bund und Lndern und mit Spezialisten aus der Wirtschaft und Wissenschaft, einrichten.

BKA-Herbsttagung 2013

Seite 18 von 21

Jrg Ziercke, Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

Die in Unternehmen, Forschungsinstituten, Wirtschaft und Wissenschaft vorhandene Fachkompetenz muss aber noch viel umfassender in die Bekmpfung der Cyber-Kriminalitt einbezogen werden. Als ersten Schritt haben wir mit zentralen Akteuren aus dem Bankensektor fr den Bereich Cybercrime eine Kooperation in Form einer institutionalisierten Private Public Partnership (iPPP) bereits geschlossen. Weitere Partner sollen folgen. Der Vorteil einer solchen Partnerschaft liegt in erster Linie in der strukturierten und vertrauensvollen Zusammenarbeit. Wie wichtig die Zusammenarbeit ist, zeigt die aktuelle Entwicklung bei den Sicherheitsverfahren im Online-Banking. Aktuell wird das sogenannte mobile TAN-Verfahren angegriffen, indem auf einem bereits mit Schadsoftware infizierten Rechner eines Onlinebanking-Kunden bei der Anmeldung ein Pop-up-Fenster eingeblendet wird. Dem Kunden wird ber ein angebliches Sicherheitsupdate der Bank geraten, ein Update des mobilen TAN-Verfahrens auf seinem Handy vorzunehmen. Fhrt der Onlinebankingkunde das vermeintliche Sicherheitsupdate durch, es handelt sich um eine vom Tter gesendete Datei, infiziert er sein Handy unwissentlich mit Schadsoftware. Die auf dem Handy installierte Schadsoftware bietet dem Tter die Mglichkeit, eingehende Nachrichten ohne Wissen des Besitzers an eine andere Rufnummer weiterzuleiten. ber diese Methode gelangt der Tter an die fr die Autorisierung einer Transaktion erforderliche mobile TAN. Der zeitnahe Austausch ber neue modi operandi ist entscheidend, um Tter mglichst schnell an weiteren Straftaten zu hindern.

Cybercrime ist international. Die enge Zusammenarbeit auf internationaler Ebene ist damit ein zentraler Punkt. Europol und Interpol kommen hier Schlsselpositionen zu. Beide Institutionen verfolgen zur Bekmpfung der Cybercrime einen globalen, koordinierten und kooperativen Ansatz unter Beteiligung ffentlicher und privater Partner. Hierzu wurde bei Europol in Den Haag das European Cybercrime Center (EC3) sowie das Interpol Digital Crime Centre (IDCC) gegrndet. Der Interpol Global Complex for Innovation, dessen Erffnung fr September 2014 in Singapore auch mit Untersttzung des BKA geplant ist, soll: Mglichkeiten der digitalen Forensik vorhalten, Aus- und Fortbildung weltweit leisten,
Seite 19 von 21

BKA-Herbsttagung 2013

Jrg Ziercke, Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

Bindeglied zwischen den Polizeibehrden und der Wirtschaft sein, um gemeinsam die Risiken von Cybercrime einzudmmen und

neue Technologien im Hinblick auf sicherheitsrelevante Aspekte beobachten und entwickelte Tools allen Mitgliedstaaten zur Verfgung stellen.

Ich bin davon berzeugt, dass dies ein richtiger und wichtiger Schritt zur Bekmpfung dieser globalen Bedrohung ist.

Ich fasse die Ergebnisse meiner Analyse fr die Kriminalistik 2.0 zusammen: 1. Das Internet ist die perfekte Plattform zur Begehung von Straftaten: Schnell, anonym, weltweit vernetzt. 2. Cybercrime hat das Potential zum Massendelikt: Spezifische Tter-Kenntnisse sind nicht zwingend notwendig. Zugnge und Tatgelegenheiten sind nahezu unbegrenzt. Jeder kann Opfer werden: Brger, Unternehmen, Staat. 3. Die Innovationszyklen krimineller Tatbegehungsweisen werden immer krzer: Tter sind hchst flexibel, suchen immer nach neuen Einfallstoren und nutzen jede technische Mglichkeit fr ihre Zwecke. 4. Kommunikation und Interaktion im Internet wird anonymer: Verschlsselung, Kryptierung und Anonymisierung nehmen deutlich zu. 5. Nationale Grenzen sind irrelevant: Tatorte, Taterfolgsorte und Aufenthaltsort der Tter sind unabhngig voneinander. Beweismittel finden sich nicht mehr durchgngig am Tatort, sondern ausgelagert in einer Cloud. 6. Es gibt kein eindeutiges Profil von Cyberkriminellen: Vom Amateur bis zum Profi sind alle technischen Fhigkeiten vertreten, die Motivlagen sind hchst unterschiedlich: Monetre, ideologische, politische Ziele treten unabhngig voneinander auf oder vermischen sich. 7. Die Sicherheitsakteure sind gefordert, auf der Hhe der Zeit zu bleiben: Technische Voraussetzungen, geschultes Personal, rechtlich geeignete Rahmenbedingungen und hohe Anpassungsfhigkeit der Strafverfolgungsbehrden sind national und international durchgngig notwendig. 8. Sicherheit im Internet kann nur durch Kooperationen gewhrleistet werden: Schulterschlsse zwischen Nationen, enge Kooperationen mit Wirtschaft und Wissenschaft sowie das VertrauBKA-Herbsttagung 2013 Seite 20 von 21

Jrg Ziercke, Kriminalistik 2.0 effektive Strafverfolgung im Zeitalter des Internet aus Sicht des BKA

en der Brgerinnen und Brger in ihre Sicherheitsbehrden sind die Schlssel einer effektiven Bekmpfung, um das notwendige Vertrauen ins Internet zu bewahren.

BKA-Herbsttagung 2013

Seite 21 von 21