text - cyberfahnder...automatisierte malware s. 4 carding ist nicht etwa nur der handel mit...

Text

Dieter Kochheim

Cyb

erfa

hnde

r 201

2

C

yber

fahn

der 2

012

Dieter Kochheim

Uumlber das Verschwinden der Cybercrime Automatisierte Malware April 2012

Automatisierte Malware S 2

Die Texte im Cyberfahnder werden immer laumlnger und lassen sich immer schwerer am Bildschirm lesen Zwei juumlngere Texte werden hier deshalb im druckfreundlichem PDF-For-mat praumlsentiert

lt 3gt Cybercrime ndash gibt es eigentlich nichtlt 3gt Underground Economy

lt 4gt Hosting

lt 5gt Beutesicherung

lt 5gt Cashing-Schaumlden

lt 6gt gespenstige Ruhe

lt 6gt der groszlige Bang

lt 7gt Erpressung mit MalwareAutomatisierung beim Einsatz von Malware

lt 7gt ungewoumlhnlich Angriffstiefe

lt 9gt variable Malware

lt 9gt eingeschraumlnkte Autonomie und Automatisierung

lt10gt Basis-Malware und produktive Malware

lt11gt Malware-Installation

lt12gt Tabelle Phasen beim Malware-Einsatz

lt13gt Vorbereitungsphase

lt13gt Distanzdelikte und Fallensteller

lt14gt Tabelle Rechtsprechung des BGH zu den Distanzdelikten

lt15gt Prozessstart als Beginn des beendeter Versuchs

lt16gt Versuch und strafbare Vorbereitungshandlungen

lt17gt Anlieferung

lt17gt Injektion

lt18gt Infektion Einnisten und Tarnung

lt19gt Homebanking-Malware Uumlberblick

lt19gt Einsatz von Homebanking-Malware

lt22gt C amp C- und Flux-Server

lt24gt Fazit

Thema Automatisierte Malware

Autor Dieter Kochheim

Version 100

Stand 30042012

Cover Foto Grafiken

copy Cyberfahnder 2012

Impressum cyberfahnderde


Operation Payback von 2010 zuvor Stuxnet und Night Dragon von 2011 Solche groszligen Meldungen gibt es gegenwaumlrtig nicht 1 Es scheint ruhig geworden zu sein um die Cy-bercrime Gibt es sie nicht mehr Wo bleiben die vorausgesagten Angriffe im Zusammen-hang mit der Industriespionage

Die Quartalsberichte von McAfee und ander-en Sicherheitsunternehmen zeichnen ein an-deres Bild Botnetze und die Verbreitung von Malware schreiten weiter voran und statt Phishing und Homebanking-Trojaner geraten eher erpresserische Infektionen in das Licht der Oumlffentlichkeit (Bundespolizei GEMA) Besonders im Trend sind Angriffe gegen die mobile Telefonie und das Abfangen von TAN beim Homebanking Das Spamming geht zuruumlck dafuumlr werden die Werbenachrichten gezielter eingesetzt

Die wichtigsten cyberkriminellen Geschaumlfts-felder sind immer noch

Das Herstellen und Verbreiten von Mal-ware zum Ausforschen der infizierten Rech-ner ihre Uumlbernahme als Zombies fuumlr Botnet-ze fuumlr erpresserische Angriffe und zur Ma-nipulation des Homebankings

Das Hacking zur Erlangung von Finan-zdaten

Der uumlbliche und allgegenwaumlrtige Betrug in Tauschboumlrsen und Webshops

Der Kontoeroumlffnungs- und Warenbetrug

Underground EconomyEin Blick hinter die Kulissen offenbart ein reges Treiben hackeryakuza112org zeigt allein 26 deutschsprachige Boards die sich froumlhlichen Themen wie carders hacking

1 Kurzkommentar zu diesem Beitrag Felix Knoke Netzwelt-Ticker Was am Dienstag sonst noch in der Netzwelt wichtig war Spiegel online 10042012

oder virus widmen Carders duumlrfte etwa 14000 Mitglieder und die Russian-Elite etwa 8000 Mitglieder haben Solche Boards sind Handelsboumlrsen fuumlr Informationen und kriminelle Dienste Dank den Happy Ninyas und anderen Zeitgenossen die solche (gegnerischen) Boards gerne mal hacken und als Dump der Oumlffentlichkeit zur Verfuuml-gung stellen wissen wir mehr uumlber das Innenleben In aller Regel stehen einige thematisch beschriebene Foren zur Verfuuml-gung (Threats) die die wichtigsten Themen wie Carding Skimming Malware Botnetze und Paketstationen abdecken Sie werden nicht nur thematisiert sondern in den Foren werden Tipps ausgetauscht und vor allem gehandelt Versierte Teilnehmer stellen Tu-torials uumlber Kontoeroumlffnungen per Internet Hacking-Tools oder die Erstellung falscher Ausweise zur Verfuumlgung und beweisen damit ihren Gemeinsinn

Die Administratoren und Moderatoren verdie-nen damit Geld Zunaumlchst verlangen sie Mit-gliedsgebuumlhren in erschwinglicher Houmlhe Verkaufslizenzen fuumlr bestimmte Produkte oder Gifte kosten extra in monatlich zwei- bis dreistelliger Houmlhe Am meisten verdienen sie aber an der Treuhand

Gesicherte Bezahlvorgaumlnge sind noumltig weil hier keiner dem anderen traut Kaumlufer und Verkaumlufer zocken gleichermaszligen ab wenn sich ihnen die Gelegenheit dazu bietet De-shalb muumlssen alle Geschaumlfte unter Einschal-tung eines vertrauenswuumlrdigen Treuhaumlnders abgewickelt werden der zunaumlchst den Kaufpreis in Empfang nimmt und das dem Verkaumlufer mitteilt Wenn der Kaumlufer den Em-pfang der Ware bestaumltigt hat kehrt der Treuhaumlndern den Kaufpreis nach Abzug seiner gerechten Gebuumlhr an den Verkaumlufer aus Der Treuhaumlnder macht auch seine ei-genen Geschaumlfte und vergisst gelegentlich auch die Zahlung an den Verkaumlufer

Cybercrime - gibt es eigentlich nichtEssay 0904201


Carding ist nicht etwa nur der Handel mit ge-stohlenen Zahlungsdienstdaten um Bank-konten abzuraumlumen sondern mit allem was mit Betrug Urkundenfaumllschung und gestoh-lenen Identitaumlten zu tun hat Die Boards ver-mitteln aber auch die Grundversorgung mit Rauschgift Medikamenten und Waffen

Zu den benoumltigten Werkzeugen gehoumlren si-chere Bankkonten Finanzagenten sind uumlber-holt Besser sind auf falschen Personalien oder von eingeflogenen Auslaumlndern eroumlffnete Bankkonten die sich zum Durchlauf mehre-rer Tausend Euro eignen Ein gefaumllschter Mietvertrag ist schnell gemacht eine auslaumln-dische Identitaumltskarte auch und eine falsche Gehaltsbescheinigung schon lange

Auch PostIdent-Bescheinigungen lassen sich einfach faumllschen Um die Bankkorrespon-denz zu erhalten bedarf es nur eines unge-brauchten Briefkastens in einem Mehrfamili-enhaus oder eines selbst installierten Brief-kastens in einem Abbruchhaus Der Waren-betrug ist schwieriger Fuumlr ihn muss man sei-nen falschen Ausweis in einer Postfiliale prauml-sentieren oder eine Packstation nutzen Un-ter einem gehackten Zugangskonto oder un-ter einer falschen Identitaumlt natuumlrlich

HostingFuumlr ein Carding-Board braucht man keinen sicheren Hafen bei einem Schurkenprovider Alle bekannten Hostprovider bieten fuumlr mo-natlich 20 oder 30 Euro dedizierte Server an die von dem Kunden administriert werden Das Board mit den Mitgliederdaten und ihren Beitraumlgen passt auf eine CD Auf den Server werden ein Content Management System - CMS - installiert und die Daten geladen

Boards sind geschlossene Veranstaltungen Betrogene Kunden die Rechtsanwaumllte oder Strafverfolger auf den Hostprovider hetzen gibt es nicht Insoweit ist die Carding-Szene fatalistisch Man handelt unter phantasievol-len Namen betruumlgt sich gegenseitig und sucht sich ein neues Opfer wenn man selbst einem anderen auf den Leim gegangen ist

Die schwersten Sanktionen die man befuumlrchten muss sind Beschimpfungen (Flames) und der Ausschluss Ein neuer Name verschafft ein neues Leben und damit wieder einen Zutritt

Wird es dem Betreiber zu heiszlig wechselt er den Hostprovider und macht das Board wo-anders auf Hostspeicher ist billig und die Hostprovider sind willig Sie wollen auch gar nicht wissen was ihre Kunden treiben Bleibt das Geld aus oder gibt es Aumlrger dann wird der Server platt gemacht und dem naumlchsten Kunden angeboten Nach ein paar Postings kommen die Board-Kunden ganz schnell wieder

Nur um die Domainadresse muss man sich kuumlmmern und einen leistungsfaumlhigen Verwal-ter finden carderscc nutzt dazu das australi-sche Privacyprotectorg das seinerseits von suspended-domaincom unter directicom betriebene DNS-Server in Mumbai nutzt Das ist eine lebhafte Hafenstadt mit 125 Mio Bewohnern im Bundesstaat Maharas-htra an der Westkuumlste Indiens und bestens mit dem Internet verbunden

Ich vermute dass alle drei Betreiber nur we-nige Bestandsdatenfelder vorraumltig halten

Domainname carderscc

Zugangscode

IP-Adresse

Kontakt ru

Kunde hat gezahlt

hellip bis

Das ist gelebte Datensparsamkeit nach Her-zenslust unserer hiesigen mehr oder weni-ger amtlichen Datenschutztrolle

Einen Schurkenprovider mit sicherem Hos-ting braucht nur wer sich an das oumlffentliche Publikum wendet um mit Lockangeboten zu betruumlgen urheberrechtskritische Multimedia- oder Programmdateien oder seine freie Mei-


nung uumlber den Holocaust oder die Segnun-gen des Nationalsozialismus zu verbreiten

Hostspeicher ist billig in Westeuropa und die Internet-Infrastruktur ist hier aumluszligerst leis-tungsfaumlhig Der beschwerderesistente Provi-der aus Russland Weissrussland oder der Ukraine hat nicht selten hier Hostspeicher fuumlr seine deutschen und westeuropaumlischen Kun-den gemietet und zahlt zuverlaumlssig Das wie-derum ist Globalisierung und eine klare Ab-sage an die internationale Rechtshilfe in Strafsachen

BeutesicherungFinanzagenten gabs gestern Heute richtet man Bankkonten unter falschen Personalien ein oder hackt sie Die Phisher die der ver-storbene Kollege Thelen vor etlichen Jahren verfolgte mussten noch eine eigene Bank in der Karabik aufmachen um sich Zahlungs-karten auszustellen und die Beute aus dem Geldautomaten an der naumlchsten Ecke zu ho-len

Dank Kreditkarten auf Guthabenbasis aus Gribraltar kann man sich heute diesen Auf-wand ersparen Wechselstuben im alten Ost-block sind zwar teuer wechseln aber zuver-laumlssig Vouchers in Guthaben auf Kreditkar-ten um oder uumlberweisen an ein PayPal-Kon-to Auch die laumlstigen Edelmetallkonten (E-Gold ua) gibt es nicht mehr weil sie vom FBI wegen Geldwaumlsche dicht gemacht wur-den

Laumlstig sind aber auch die karibischen Online-Kasinos Sie verlangen tatsaumlchlich dass man wenigstens ein paar Runden verliert bis sie das Spielkonto aufloumlsen und den Saldo uumlberweisen Besser kann man die Beutesi-cherung bei groumlszligeren Betraumlgen aber nicht tarnen

Fuumlr kleine Betraumlge gibt es die Vouchers von PaySafeCard oder ukash oder ein Netzwerk nach Hawala-Art Waumlhrend Vouchers nach-verfolgt werden koumlnnen kennt die Hawala keine Buchfuumlhrung uumlber die Zahler und Zah-lungsempfaumlnger Die Hawalare rechnen un-

tereinander nur nach Volumen ab Das ken-nen wir sonst auch vom Clearing beim Ro-aming und bei dem internationalen bargeld-losen Zahlungsverkehr

Cashing-Schaumlden

Wenns um die Schaumlden geht klagt die Finanzwirtschaft nicht lauthals Sie bucht sie gegen die Gebuumlhren und bemuumlht sich um die Begrenzung des Imageschadens

Angesichts der Reife heutiger Malware kommt die Beute ganz automatisch zum Tauml-ter Er richtet einen Command amp Control-Ser-ver - CampC - ein und der bedient um sich her-um einen Schutzwall von Fluxservern Diese sind es die einen Abschnitt eines Botnetzes steuern oder die Homebanking-Malware mit den noumltigen Fake-Webseiten und den Infor-mationen uumlber die Zielkonten der Manipula-tionen versorgen Der Taumlter muss nur dafuumlr sorgen dass die Malware verteilt wird funk-tioniert und funktionstuumlchtig bleibt

Dagegen sind die erpresserischen Formen der Malware grobschlaumlchtig Sie fallen mit ih-ren Vorwuumlrfen (Sie haben urheberrechtlich geschuumltztes Material verbreitet oder Kin-derpornographie oder uumlberhaupt etwas anruuml-chiges getan) und mit ihren freundlichen An-leitungen auf wo und wie man Vouchers be-kommt Dabei leben sie von einer besonde-ren Dreistigkeit und bei denen die sich auf die Erpressung einlassen darf man durch-aus ein schlechtes Gewissen vermuten

Warum regt sich keiner daruumlber auf

Heutige Cybercrime ist ein Massenphaumlno-men Der einzelne Betroffene zahlt Lehrgelt oder sieht sich ertappt und zahlt Schweige-geld Die Finanzwirtschaft klagt auch nicht medienwirksam Ihr geht es nicht an die Sub-stanz und klagen wuumlrde bedeuten man habe seine Geschaumlftsprozesse nicht im Griff In den USA sind dafuumlr die Vorstaumlnde persoumlnlich haftbar Dann ist doch lieber eine Klimaanla-ge im Rechenzentrum ausgefallen anstatt dass ein Hackerangriff erfolgreich war


gespenstige RuheDie Instrumente der Cybercrime sind ausge-feilt wie nie zuvor und dennoch herrscht eine gespenstige Ruhe Jedenfalls bleiben die groszligen Meldungen aus und Anonymous fin-det nur noch eine nebensaumlchliche Beach-tung

Die Kinderporno- und die Cardingszene wur-den von der Strafverfolgung in den letzten beiden Jahren verunsichert Sie verbessern gerade ihre Abschottung Der Identitaumltsdieb-stahl aumluszligert sich vor allem in Bankkonten un-ter Scheinidentitaumlten ohne Sicherheiten und die Finanzwirtschaft schweigt solange sie keine richtigen Schmerzen hat Der geprellte Privatmann aumlrgert sich und schickt allenfalls seinen Rechtsanwalt zur Akteneinsicht

Die Underground Economy setzt Massen von Geld um und vieles davon versickert an den Zwischenstationen bei den Helfern und Helfershelfern

Sobald das wahre Ausmaszlig der Underground Economy bekannt wuumlrde koumlnnte jeder Schwarzarbeiter Hartz IV-Betruumlger und Steuersuumlnder (im kleinen Maszlig) mit Inbrunst behaupten er werde verfolgt (gehaumlngt) und die wahren Vergeher koumlnnten frei rumlaufen Recht haumltte er so gesehen Gegen die schleimigen Taumlter im Internet gibt es bislang nur wenige Verfahren und die Fanale sind rar

Es gibt sie Die raffiniert handelnden Abofal-len-Taumlter in Goumlttingen haben Bewaumlhrungs-strafen bekommen und der wichtigste von ih-nen der die Finanzen verwaltet hat war nur ein Gehilfe Sonst waumlre das vielleicht doch eine Bande gewesen

In Wuppertal gab es einen Singvogel und die Strafverfolger konnten eine ganze Skimming-Struktur samt Hinterleute und Geldwaumlscher ausheben Sie wurden ganz schwer range-nommen und zu Bewaumlhrungsstrafen verur-teilt

Hierzulande verfolgt man BtM- Grundstoff- und Arzneimittelhaumlndler im Internet islamisti-sche Aufruumlhrer und Terroristen aber keine

Schurkenprovider Man koumlnnte sie auch hier finden wenn man sie suchen wuumlrde Man koumlnnte auch Malware-Manufakturen und Operation-Groups fuumlr bestimmte kriminelle Aufgaen finden wenn man sie suchen wuumlr-de Und man koumlnnte auch Skimming-Trup-pen finden

der groszlige Bang wird kommen wenn die Schaumlden und die allgemeine Verunsicherung uumlberhand neh-men Ich vertraue der Strafverfolgung dass sie sich langsam aber nachhaltig in Bewe-gung setzen wird Angst habe ich nur vor den Datenschutztrollen und den Politikern die ihren Blick vor den Gefahren verschlie-szligen und jede Strafverfolgungsmaszlignahme mit dem Makel versehen dass immer nur Unschuldige generalverdaumlchtigt und verfolgt werden

Das freut die bedenkenlosen Cyberkriminel-len die jede Chance zum Beutemachen nut-zen


Heise meldete am 13042012 Die Antiviren-experten von Trend Micro haben einen Louml-segeld-Trojaner entdeckt der den Boot-Vor-gang blockiert Anders als der in Deutsch-land weit verbreitete BKA-Trojaner nistet er sich dazu im Master Boot Record (MBR) ein Anschlieszligend fuumlhrt der Schaumldling einen Neu-start durch und fordert den Nutzer auf ein Loumlsegeld in Houmlhe von 920 Hrywnja (ukraini-sche Waumlhrung umgerechnet rund 90 Euro) uumlber den Zahlungsdienstleister QIWI an die Erpresser zu zahlen 2

Das Zitat reizt zu einigen Erlaumluterungen und Spekulationen zunaumlchst zum Zahlungsver-kehr und dann zu den technischen Fragen

QIWI 3 ist ein russisches Handelsunterneh-men das von Mobiltelefonen uumlber Tickets bis hin zu Versicherungen alles vertickert 4 Sein Kerngeschaumlft scheint aber aus Zah-lungsverkehrsgeschaumlften also Bankgeschaumlf-te im herkoumlmmlichen Sinne Zahlungskarten und Zahlungsdienste nach dem Vorbild von Western Union MoneyGram sowie PaySafe-Card und anderen zu bestehen Es ist vor Al-lem im russisch-asiatischen Bereich sowie vereinzelt in Amerika und Suumldafrika verbrei-tet (orange) Filialen in Europa und anderen-orts sind in Planung (blau)

Seit 2010 arbeitet das Unternehmen mit ukash zusammen 5 und daher ergibt sich auch eine beachtliche Zahl QIWI verfuumlgte vor zwei Jahren schon uumlber 100000 eigene Verkaufsstellen

2 Malware blockiert Bootvorgang Heise online 13042012

3 Uumlbersetzung von Google QIWI weltweit

4 Uumlbersetzung von Google Produkte und Dienstleistungen

5 Partnerschaft mit QIWI Ukash erschlieszligt 100000 Verkaufsstellen in Russland ukash 01042010

Ansonsten ist das Unternehmen in Westeu-ropa ziemlich unbekannt gewesen Das aumln-dert sich jetzt durch die Erpressungs-Malwa-re Jedenfalls die Taumlter scheinen auf die Inte-gritaumlt des Unternehmens zu vertrauen Das nennt man dann eine gelungene und typisch russische Markteinfuumlhrung

Auf weitere Nachrichten darf man gespannt sein

ungewoumlhnliche Angriffstiefe

Bei einer groben Betrachtung eines Compu-ters und seiner Programmablaumlufe bildet das Basic Input-Output-System - BIOS - glei-chermaszligen die Basis fuumlr alle Ablaumlufe Es ist auf jeder Platine fest verloumltet besteht aus ei-nem Chip mit vielen verdrahteten Rechner-funktionen und pruumlft und startet alle Hardwa-re-Teile um sich herum Ohne ihm wird kein Prozessor - also die eigentliche Rechenma-schine kein Massenspeicher (Festplatte Diskette CD USB-Stick) keine Tastatur Grafik- oder Soundkarte erkannt und be-triebsfaumlhig gemacht Das BIOS ist fuumlr alle Technik verantwortlich und startet schlieszliglich das Betriebssystem

Das BIOS steht aber nicht fuumlr sich allein sondern hat in seinen heutigen Formen eige-ne programmierbare und veraumlnderbare Spei-cher und Dateien die ihm Informationen zu-liefern Sie foumlrdern seine Anpassungsfaumlhig-keit und machen es anfaumlllig

Bei einem Angriff mit Malware kommt es dar-auf an in moumlglichst tiefe Ablauffunktionen

Erpressung mit MalwareAutomatisierung beim Einsatz von Malware1604201


hinein zu kommen weil sie im Betrieb die houmlchste Vertrauenswuumlrdigkeit und Akzep-tanz haben Insoweit bildet das BIOS tat-saumlchlich die houmlchste Instanz (und die Basis)

In den Anfangszeiten wurde noch klar zwi-schen dem Betriebssystem - Operating Sys-tem - OS - und der Anwenderoberflaumlche un-terschieden So lieferte 1994 das Betriebs-system DOS (gemeint ist die Version 62) alle Grundfunktionen und dem Anwender einen dunklen Bildschirm der ihm zur Einga-be von Kommandos aufforderte Bunte Pro-gramme konnte er erst aufrufen wenn er das richtige Kommando mit der Tastatur eingab

Im heutigen Sprachgebrauch wuumlrde man das klassische Betriebssystem den Kernel nen-nen Das ist eine Vereinfachung weil es vie-le Randunschaumlrfen gibt Dennoch ist die Aussage richtig Der Kernel ist der Kern des Betriebssystems und das was er zulaumlsst verbietet oder gestaltet das laumlsst sich in al-len houmlheren Programmablaumlufen nicht mehr veraumlndern

Aus der Sicht von 1994 ist das OS im Uumlbri-gen das fruumlhe Windows 311 Es brachte den Einstieg in die bunte Windows-Welt und kleine bunte Bildchen - Icons die Komman-dos und andere Steuerzeichen bis heute er-setzen Eine solche Anwenderoberflaumlche fuumlhrt die technischen Grundfunktionen und Standardprozesse zusammen und erleichtert die Bedienung ungemein

Es ersetzt aber keine Anwenderprogramme und das sind urspruumlnglich Texteditoren (Word) Tabellenkalkulationsprogramme

(Multiplan Excel) Datenbanken (Access [na ja]) und andere Oberflaumlchen (Grafikbearbei-tung Desktop Publishing [grafische Gestal-tung fuumlr Flyer Hefte ua] Sounds)

In dem Schaubild oben links werden auch die Aps genannt Sie koumlnnen nicht trenn-scharf von den Anwenderprogrammen abge-grenzt werden weil sie teils als E-Mail- und Web-Browser vollwertige Anwenderprogram-me sind Sie enthalten oder verweisen auf selbstaumlndige Ablaufprogramme die entwe-der im Hintergrund bleiben (Java activeX) oder als Anzeigeumgebungen dienen (Acro-bat Reader Shockwave ua) die ihrerseits und unkontrolliert bis in das Betriebssystem und den Kernel eingreifen koumlnnen

Der neue Loumlsegeld-Trojaner setzt sich sogar im BIOS selber fest Er veraumlndert zwar nicht den Chip als solchen sondern nur die ihm zuliefernden Konfigurationsdateien Die Kon-sistenz des Kernels und des BIOS wird von den uumlblichen Vi-renscannern und Uumlberwachungspro-grammen nachhaltig uumlberwacht Deshalb gilt eine Malware die sich im Kernel einnisten kann als Besonderheit Ein Angriff auf das BIOS - je-denfalls auf seine Konfigurationsdateien - kann tatsaumlchlich als etwas noch Besonderes angesehen werden Der Schritt bis in das BIOS selbst ist Dank seiner intelligenten Funktionen (Programmierbarkeit) nicht mehr unmoumlglich

Deshalb interessiert mich die Frage wie weit die Automatisierung der Malware gehen kann wie sie strafrechtlich zu betrachten ist und welche weiteren Konsequenzen sie auf-wirft


variable MalwareBislang sind keine Studien veroumlffent-licht worden die sich eingehend mit den Formen der Erpressungs-Malwa-re und ihrer Funktionsweise beschaumlf-tigen Die in Europa bekannt gewor-denen Varianten des Bundespolizei-Trojaners waren an die nationalen Besonderheiten angepasst Die deut-sche Variante sprach sozusagen Deutsch und nutzte vor Allem die Bundespolizei um der Schutzgeldfor-derung Nachdruck zu verschaffen Dagegen war die spanische Variante in spanischer Sprache gehalten undsie bezog sich auf eine spanische Bundes-polizei Dasselbe gilt fuumlr die britische Varian-te die natuumlrlich englischsprachig war und sich auf die Metroplitan Police und spaumlter auf den Scotland Yard bezog 6

Fuumlr diese Variabilitaumlt gibt es drei moumlgliche Erklaumlrungen

Es wurden verschiedene Varianten mit nationalen Schwerpunkten verbreitet

Die Malware ist so komplex und so voll-staumlndig dass sie mindestens drei Varianten mit sich fuumlhrt Welche zum Tragen kommt richtet sich nach den Spracheinstellungen des angegriffen Geraumlts oder seiner IP-Adres-se

Mit Stuxnet ist eine solche all-in-one-Mal-ware bekannt geworden die sich uumlber (USB-) Speichermedien verbreitete 7 Sie ist aber nur fuumlr eine bestimmte Umgebung konstruiert worden naumlmlich fuumlr die iranische Urananreicherungsanlage

Die Malware oumlffnet nur eine Backdoor uumlbermittelt an einen Command amp Control-Server (Steuerungseinheit) die Umgebungs-variablen und bekommt von dem dann die noumltigen Updates und Anweisungen

6 CF gezielter Einsatz nach Landesgewohn-heiten 29122011

7 Siehe jetzt auch Innenangreifer half bei Stuxnet-Infektion Heise online 13042012

Ich vermute dass die dritte Variante zutrifft Sie wuumlrde in das Bild passen das von den Botnetzen gepraumlgt ist und von mir auch im Zusammenhang mit Homebanking-Trojanern erwartet wird Die Malware wird dadurch schlanker ihr Entdeckungsrisiko wird da-durch geringer und ihr Funktionsumfang muss nicht schon bei ihrer Verbreitung fest-stehen Das Modell ermoumlglicht eine schnelle Aktualisierung um Virenscanner abzuweh-ren und Angriffsziele anzupassen

eingeschraumlnkte Autonomie und AutomatisierungDamit gehe ich von folgender These aus Die hoch entwickelten Formen der heutigen Mal-ware arbeiten mit einer eingeschraumlnkten Au-tonomie Updates und Anweisungen im Ein-zelfall erhalten sie von einer auswaumlrtigen Steuereinheit (C amp C) Diese Strategie hat mehrere Vorteile Die Malware als solche muss keinen Ballast fuumlr Eventualitaumlten mit sich tragen sondern kann sich darauf kon-zentrieren sich einzunisten und eine Back-door zu schaffen Damit ist sie in der Lage mit einer Steuereinheit Kontakt aufzunehmen und sich mit maszliggeschneiderten Funktionen Rootkits und Auftraumlgen ausstatten zu lassen

Das Schaubild oben verdeutlicht das am Bei-spiel der Homebanking-Trojaner Sie haben sich mit Hilfe ihrer Steuereinheit in dem Zom-bie eingenistet und warten auf das Reiz-


kommando also den Verbindungsaufbau zu einer Bank Die dabei aufgenommenen Da-ten uumlbermittelt die Malware an ihre Steuereinheit die ihr manipulierte Webseiten zuspielt die dem Anwender schlieszliglich im Browser angezeigt werden Dazu gehoumlren auch die Daten fuumlr manipulierte Verfuumlgungen und die darauf angepassten Bank-Websei-ten die dem Anwender den ordnungsgemauml-szligen Betrieb vorgaukeln

Aus Botnetzen ist bekannt dass anstelle ei-nes vom Angreifer kontrollierten C amp C-Ser-vers einer von mehreren Flux-Servern agiert 8 Sie stehen unter der Kontrolle des C amp C haben aber keine direkte Verbindung zur Konsole des Kontrolleurs und in die Kette koumlnnen noch mehr Flux-Server zwischenge-schaltet sein

Wir haben es insoweit nicht mit einem Man-in-the-Middle-Angriff zu tun Der MitM ist die Malware selber nur dass sie ihre Anweisun-gen von anderen Automaten zugespielt be-kommt An der einzelnen Kontomanipulation oder anderen Aktivitaumlt der Malware ist auch kein menschlicher Angreifer beteiligt son-dern das besorgen die Steuereinheiten selb-staumlndig und automatisch Nur im Hintergrund muumlssen die menschlichen Taumlter fuumlr die Ver-breitung der Zombie-Malware und fuumlr die Ak-tualisierung der Steuereinheiten sorgen

8 Juumlrgen Schmidt Hydra der Moderne Die neuen Tricks der Spammer und Phisher ct 182007 S 76

Basis-Malware und produktive MalwareDas dahinter stehende Konzept ist infam brutal und logisch Beim klassischen Phis-hing wurden Kontozugangsdaten ausge-spaumlht mit denen ein menschlicher Taumlter ei-genhaumlndig Manipulationen ausfuumlhren konnte Das moderne Phishing braucht keinen menschlichen Angreifer der sich die Zeit um die Ohren schlaumlgt bis er neue Kontodaten zugeschickt bekommt oder ihm eine Malware meldet Jetzt ist es soweit Jetzt macht der Trottel Homebanking Automaten sind viel schneller und effektiver wenn professionelle Software eingesetzt wird die Basis-Malware effektiv verteilt und eingenistet ist und die Fernsteuerung richtig funktioniert

Dem folgend unterscheide ich zwischen zwei verschiedenen Projektstadien beim Malware-Einsatz Zunaumlchst muss die Basis-Malware verteilt werden und sich mindestens soweit in den angegriffenen Computern eingerichtet haben dass sie Kontakt zur Steuerungsein-heit aufnehmen kann Die Steuerungseinheit versorgt die Basis-Malware mit Updates und Anweisungen Erst dadurch wird die Basis-Malware zur produktiven Malware und kann ihre Nistumgebung optimieren und die von ihr erwarteten Aktionen ausfuumlhren Auch da-bei greift sie wieder auf die Zulieferungen der auswaumlrtigen Steuerung zuruumlck

Das gedankliche Modell dahinter ist funktio-nal ausgerichtet Die Malware im Einzelfall kann alle Basis- und produktiven Funktionen enthalten - wie Stuxnet muss aber mindes-tens die Basis-Funktionen koumlnnen Das laumlsst eine groszlige Spannbreite von Varianten zu und keine ist weniger wahrscheinlich als die andere

Die Funktionsbreite einer Basis-Malware wird sich immer auch am Einsatzzweck bemessen Fuumlr die Industriespionage das hat der Night Dragon bewiesen 9 reicht die Perforation des Angriffsziels und die Schaffung einer Backdoor aus Die Backdoor verschafft dem Angreifer den Zugang und er

9 CF Night Dragon 13022011


kann mit den Methoden des haumlndischen Hackings alles Weitere machen Eine reine DDoS-Malware fuumlr einen einzigen (Hacktivismus-) Einsatz wird auf eine filigrane Steuerung verzichten koumlnnen und alle Basis- und produktiven Funktionen Huckepack tragen

Das erwarte ich bei den erpresserischen For-men hingegen nicht wenn sie sich auf eine Vielzahl von Varianten einstellen sollen Auch hier wird es einfache Varianten geben die eine stark umgrenzte Zielgruppe ins Vi-sier nehmen und deshalb ohne auswaumlrtige Steuerung auskommen Nachhaltige und langfristige Angriffe kommen ohne sie jedoch nicht aus

Malware-InstallationIn dem Arbeitspapier IuK-Strafrecht 10 habe ich die Schritte bei der Installation von Mal-ware aufgefuumlhrt

Uumlber eine Auszligenverbindung muss schaumldli-cher Code in den Hauptspeicher des Zielsys-tems eingebracht (Injektion) und dort so ver-arbeitet werden dass seine Funktionen aus-gefuumlhrt werden (Infektion) Dazu wird eine Sicherheitsluumlcke missbraucht (Exploit) die die Malware dazu nutzt sich zu installieren Dazu erkundet sie in aller Regel die Umge-bungseigenschaften und laumldt von einem Command and Control-Server im Internet Updates und weitere Programmbestandteile Anschlieszligend versucht sie sich zu tarnen Dazu kommen Rootkits zum Einsatz also Programmpakete die vorhandene Sicher-heitseinrichtungen abschalten oder unterlau-fen mit denen die Malware zum jeweiligen Neustart eingebunden (Einnisten) und vor Entdeckung getarnt wird So praumlpariert kann die Malware ihre schaumldlichen Funktionen ausfuumlhren kann das System nach wertvollen Informationen durchsuchen (Lizenzschluumlssel Kontodaten Zugangscodes) Arbeitsprozes-se uumlberwachen (Keylogger) und andere Ak-tionen steuern (Phishing Botnetze DDoS

10 Dieter Kochheim IuK-Strafrecht S 24

Spams) Ganz haumlufig wird dabei auch eine Hintertuumlr eingerichtet (Backdoor) die der Angreifer direkt dazu nutzen kann das ange-griffene System als Konsole fur geheime Ak-tivitaumlten zu nutzen

Die Funktionen der Malware die bis zu ihrer Installation reichen habe ich oben als die der Basis-Malware bezeichnet 11 Das damit verbundene Entwicklungsmodell fuumlr die auto-matisierte Malware laumlsst sich weiter verfei-nern (siehe Tabelle auf der naumlchsten Seite) Dabei ist anzumerken dass die Verbreitung praumlparierter Webseiten besonders in Deutschland ein Problem geworden ist 12

Um eine Malware zum Einsatz zu bringen bedarf es mehrerer Eingriffsschritte Zu-naumlchst geht es darum den Malcode zum Op-fer zu bringen Dort muss er sich in die Infor-mationsverarbeitung einschleichen (Injektion und Infiltration) und sich installieren Erst dann kann er seine malizioumlsen Funktionen enfalten Sie koumlnnen zunaumlchst darin beste-hen dass sich die - produktive - Malware einrichtet Dank ihrer Steuerungseinheit eta-bliert (Updates neue Rootkit-Funktionen) und wartet

11 Der Prozess wird in der Praumlsentation Malwa-re-Infektion gezeigt

12 Frank Ziemann Viele Malware-Sites liegen in Deutschland PC-Welt 19042012Das fuumlhrt inzwischen auch zu ungewoumlhnlichen Maszlignahmen Google warnt tausende Betreiber gehackter Webseiten Heise online 18042012


Phase Beschreibung strafrechtliche Wuumlrdigung im Zusammen-hang mit Homebanking-Trojanern

Vorbereitungs-phase

Vorbereitung der Basis- und produktiven MalwareEinrichtung praumlparierter Webseiten oder von E-Mail-AnhaumlngenVerbreitung von SpamInfektion anderer Webseiten

tateinheitlicher Umgang mit Programmen zur Computersabotage und zum Computerbetrug ( sectsect 303b Abs 5 StGB iVm 202c Abs 1 Nr 2 StGB 263a Abs 3 StGB)

Anlieferung Zulieferung der Basis-Malware bis zu einer Schnittstelle im Zielgeraumlt

versuchte Computersabotage in Tateinheit mit versuchtem Computerbetrug und mit versuchter Faumllschung beweiserheblicher Daten ( sectsect 303b Abs 1 Abs 3 263 Abs 2 iVm 263a Abs 2 269 Abs 2 StGB)

Injektion Uumlberwindung einer Schwachstelle um die Basis-Malware in einen laufenden Verarbeitungsprozess einzubringen

vollendete Uumlbermittlung nachteiliger Daten( sectsect 303b Abs 1 Nr 2 StGB) in Tateinheit mit versuchtem Computerbetrug und mit versuchter Faumllschung beweiserheblicher Daten ( sectsect 263 Abs 2 iVm 263a Abs 2 269 Abs 2 StGB)

Infektion Aktivierung der Basis-Malware in den Ver-arbeitungsprozessen des ZielgeraumltesErkundung der SystemumgebungKontaktaufnahme zur Steuereinheit und Upload weiterer Komponenten

wie bei der Injektion

Einnisten Einrichtung der Programmbestandteile der produktiven Malware

vollendete Computersabotage ( sectsect 303b Abs 1 StGB) in Tateinheit mit versuchtem Computerbetrug und mit versuchter Faumll-schung beweiserheblicher Daten ( sectsect 263 Abs 2 iVm 263a Abs 2 269 Abs 2 StGB)

Tarnung Einsatz von Rootkits um die Malware vor der Erkennung zu tarnen

wie beim Einnisten

EinsatzKopieren

Unmittelbarer Einsatz Ausfuumlhrung der Schadfunktion zum Beispiel bei erpresseri-scher Malware oder bei der Uumlbernahme von Zombies in ein Botnetz Verbreitung der eigenen Basis-Malware Erforschung der Systemdateien nach verwertbaren Da-ten (Kontozugangsdaten Schluumlssel fuumlr hochwertige Anwenderprogramme)Ruhender Einsatz Gelegentliche Updates und Ergaumlnzungen des Einnistens Warten auf ein ausloumlsendes Ereignis (koordinierte DDoS-Attacke Homebanking)Verzoumlgerter Einsatz nach einem ausloumlsen-den Ereignis

Computersabotage in Tateinheit mit Computerbetrug und mit Faumllschung beweiserheblicher Daten ( sectsect 303b Abs 1 263a Abs 2 269 Abs 2 StGB)

Deinstallation Beseitigung der eigenen Programmkompo-nenten und Spuren nach Abschluss des Einsatzes (Option fuumlr reine Spionage-Mal-ware)


VorbereitungsphasePlanung Entwicklung und Einkauf der Mal-ware und anderer Ressourcen

Der Angriff muss geplant die Malware (Mal-code Exploits und Rootkits) entwickelt oder gekauft werden Daneben muumlssen die Ver-breitungswege vorbereitet werden Dazu ge-houmlrt der Ankauf von Botnetzen zur Verbrei-tung von Spam die Praumlparierung von frem-den oder eigenen Webseiten mit Malcode und ihre Einrichtung (Pharmen) Schlieszliglich muumlssen auch die Steuerungseinheiten (C amp C- Flux-Server) und Dumps (Ablageorte fuumlr ausgespaumlhte Daten) eingerichtet (und ge-pflegt) werden

Am Ende startet der Angreifer den Angriff mit einem Kommando und muss sich um nichts weiter kuumlmmern wenn er automatisierte Mal-ware einsetzt

Es gibt keine ausdruumlckliche Strafbarkeit fuumlr die Handlungen in der Vorbereitungsphase so dass es auf die Umstaumlnde im Einzelfall ankommt

Wenn die Taumlter ein Verbrechen planen ma-chen sie sich nach sect 30 StGB strafbar Das waumlre der Fall beim Bandencomputerbetrug ( sect 263 Abs 5 iVm sect 263a Abs 2 StGB) oder bei den gleichzeitig banden- und ge-werbsmaumlszligigen Formen der Faumllschung tech-nischer Aufzeichnungen ( sect 267 Abs 4 iVm sect 268 Abs 5 StGB) oder beweiser-heblicher Daten ( sect 267 Abs 4 iVm sect 269 Abs 3 StGB)

Handeln sie als Bande dann koumlnnen die vor-bereitenden Arbeiten der Mitglieder zu taumlter-schaftlichen Handlungen werden wenn sie maszliggebend waren und schlieszliglich der Erfolg eingetreten ist (neben den genannten Bei-spielen auch sect 263 Abs 3 Nr 1 iVm sect 263a Abs 2 StGB sect 267 Abs 3 Nr 1 iVm sect 268 Abs 5 oder sect 269 Abs 3 StGB sect 303b Abs 4 Nr 2 StGB)

Bilden die Taumlter sogar eine kriminelle Verei-nigung dann trifft auch die Hinterleute und die Raumldelsfuumlhrer eine strafrechtliche Haftung ungeachtet ihrer unmittelbaren Beteiligung

an einzelnen Sraftaten ( sect 129 Abs 4 StGB)

Daneben sind einzelne Vorbereitungshand-lungen - Umgang mit Skimming-Geraumlten ( sect 149 Abs 1 Nr 1 StGB) Programmen zum Computerbetrug ( sect 263a Abs 3 StGB) zur Computersabotage ( sect 303b Abs 5 StGB) oder mit Zugangscodes ( sect 202c Abs 1 Nr 1 StGB) - selbstaumlndig srafbar

Am Ende der Vorbereitungsphase startet der Taumlter den Prozess der Verbreitung Infiltrati-on Einnistung und Aktivierung der Malware Von da an hat er keinen Einfluss mehr auf den Erfolg - bis sich die Basis-Malware oder die erfolgreich eingenistete produktive Mal-ware meldet Der Grad der Automatisierung bestimmt ob dadurch rein automatische Pro-zesse angestoszligen werden oder ein unmittel-bares Mitwirken der Taumlter erforderlich ist

Distanzdelikte und FallenstellerIm Zusammenhang mit der automatisierten Malware tritt beim Start ein juristisches Pro-blem auf das einem Bombenanschlag mit ei-nem Zeitzuumlnder gleicht Der Taumlter hat zwar alles in seiner Macht stehende getan um den Erfolg herbeizufuumlhren Sein weiteres Zu-tun ist aber nicht mehr erforderlich

Den strafrechtlichen Versuch definiert sect 22 StGB Eine Straftat versucht wer nach sei-ner Vorstellung von der Tat zur Verwirkli-chung des Tatbestandes unmittelbar ansetzt Das ist regelmaumlszligig der Fall wenn der Taumlter eines von mehreren Tatbestandsmerkmalen erfuumlllt hat und er seinem Plan folgend ohne weitere Unterbrechung und Zwischenakte die Tat ausfuumlhren will Der BGH hat dazu das schoumlne Wortbild entwickelt Jetzt geht es los

Im Versuchsstadium kann der Taumlter unter den verschiedenen Voraussetzungen des sect 24 StGB straffrei werden wenn er seinen Plan aufgibt oder den Erfolg verhindert 13

13 Einzelheiten in Dieter Kochheim Die goldene Bruumlcke Gescheiterte Taten Ruumlcktritt vom Versuch und Straffreiheit 18012012


Rechtsprechung des BGH zu den Distanzdelikten

Eine Straftat versucht wer nach seiner Vorstel-lung von der Tat zur Verwirklichung des Tatbe-standes unmittelbar ansetzt ( sect 22 StGB) Die Grenze von der Vorbereitungshandlung zum Versuch wird nicht erst uumlberschritten wenn der Taumlter ein Tatbestandsmerkmal verwirklicht sondern schon dann wenn er Handlungen vor-nimmt die nach seinem Tatplan der Erfuumlllung eines Tatbestandsmerkmals vorgelagert sind in die Tatbestandshandlung unmittelbar ein-muumlnden und das geschuumltzte Rechtsgut - nach der Vorstellung des Taumlters - in eine konkrete Gefahr bringen Ein Versuch liegt deshalb vor wenn der Taumlter Handlungen begeht die im un-gestoumlrten Fortgang unmittelbar zur Tatbestandserfuumlllung fuumlhren sollen oder die im unmittelbaren raumlumlichen und zeitlichen Zu-sammenhang mit ihr stehen helliplt BGH Urteil vom 26011982 - 4 StR 63181gtDas gilt nicht zwingend fuumlr Distanzdelikte die ein Zutun des Opfers erfordern also bei denen der Taumlter notwendige Beitraumlge eines Tatmitt-lers in seinen Plan einbezieht Hier liegt zwar ein Ansetzen des Taumlters zur Tat schon vor wenn er seine Einwirkung auf den Tatmittler abgeschlossen hat es ist also nicht erforder-lich dass der Tatmittler seinerseits durch eige-ne Handlungen zur Tat ansetzt Ein unmittelba-res Ansetzen ist jedenfalls dann gegeben wenn der Tatmittler in der Vorstellung entlas-sen wird er werde die tatbestandsmaumlszligige Handlung nunmehr in engem Zusammenhang mit dem Abschluszlig der Einwirkung vornehmen ( BGHSt 4 270 273 30 363 365 f BGHSt 40 257 268 f BGHR StGB sect 22 An-setzen 4 BGHR AO sect 370 Abs 1 Konkurren-zen 12) Demgegenuumlber fehlt es hieran wenn die Einwirkung auf den Tatmittler erst nach laumln-gerer Zeit wirken soll oder wenn ungewiszlig bleibt ob und wann sie einmal Wirkung entfal-tet In diesen Faumlllen beginnt der Versuch erst dann wenn der Tatmittler dessen Verhalten dem Taumlter uumlber sect 25 Abs 1 StGB zugerech-net wird seinerseits unmittelbar zur Tat an-setzt Entscheidend fuumlr die Abgrenzung ist da-her ob nach dem Tatplan die Einzelhandlun-gen des Taumlters in ihrer Gesamtheit schon einen derartigen Angriff auf das geschuumltzte

Rechtsgut enthalten dass es bereits gefaumlhrdet ist und der Schaden sich unmittelbar anschlie-szligen kannlt BGH Urteil vom 12081997 - 1 StR 23497 Rn 8gtDie fuumlr Faumllle mittelbarer Taumlterschaft entwickel-ten Grundsaumltze gelten auch wenn - wie hier - dem Opfer eine Falle gestellt wird in die es erst durch eigenes Zutun geraten soll Auch diese Faumllle sind dadurch gekennzeichnet dass der Taumlter sich kraft Beherrschung des Gesche-hens fremdes Verhalten fuumlr seinen Erfolg nutz-bar macht Sie weisen daher eine der mittelba-ren Taumlterschaft verwandte Struktur auf das Opfer wird dabei zum Tatmittler gegen sich selbst () Auch hier liegt ein Versuch erst vor wenn nach dem Tatplan eine konkrete un-mittelbare Gefaumlhrdung des geschuumltzten Rechtsguts eintrittltebenda Rn 9gtZwar setzt der Taumlter bereits zur Tat an wenn er seine Falle aufstellt doch wirkt dieser Angriff auf das geschuumltzte Rechtsgut erst dann unmit-telbar wenn sich das Opfer in den Wirkungs-kreis des vorbereiteten Tatmittels begibt Ob das der Fall ist richtet sich nach dem Tatplan Steht fuumlr der Taumlter fest das Opfer werde er-scheinen und sein fuumlr den Taterfolg eingeplan-tes Verhalten bewirken so liegt eine unmittel-bare Gefaumlhrdung (nach dem Tatplan) bereits mit Abschluszlig der Tathandlung vor (etwa wenn der Taumlter eine Zeitbombe an einem belebten Platz deponiert vgl dazu auch RGSt 66 141 mit Sicherheit in absehbarer Zeit zu erwarten-des Betaumltigen eines Lichtschalters und da-durch bewirktes Ingangsetzen einer Brandstif-tungsanlage) Haumllt der Taumlter - wie hier - ein Erscheinen des Opfers im Wirkungskreis des Tatmittels hingegen fuumlr lediglich moumlglich aber noch ungewiszlig oder gar fuumlr wenig wahrschein-lich (etwa beim Wegwerfen einer mit Gift gefuumlll-ten Schnapsflasche im Wald) so tritt eine un-mittelbare Rechtsgutsgefaumlhrdung nach dem Tatplan erst dann ein wenn das Opfer tatsaumlch-lich erscheint dabei Anstalten trifft die erwar-tete selbstschaumldigende Handlung vorzuneh-men und sich deshalb die Gefahr fuumlr das Op-fer verdichtetltebenda Rn 10gt


Der Abbruch der weiteren Tatausfuumlhrung reicht zum strafbefreienden Ruumlcktritt wenn der Taumlter davon uumlberzeugt dass er sein Tat-ziel nicht erreicht hat und es nicht mehr errei-chen will (unbeendeter Versuch sect 24 Abs 1 S 1 1 Alt StGB) Ein beendeter Versuch liegt hingegen vor wenn der Taumlter seine Handlungsmoumlglichkeiten erschoumlpft hat und er entweder davon uumlberzeugt ist den Tater-folg erreicht zu haben oder eigenhaumlndig nicht mehr erreichen zu koumlnnen Er erlangt dann Straffreiheit wenn er durch ldquoZutunrdquo die Tat-vollendung (Erfolgseintritt) verhindert ( sect 24 Abs 1 S 1 2 Alt StGB)

Der Giftmord bei dem der Tod in unbekann-ter Zukunft eintritt und der Bombenanschlag mit Zeitzuumlnder sind sogenannte Distanzdelik-te Fuumlr sie gilt dass der Taumlter dann den Ver-such beendet wenn er die den unmittelba-ren Angriff bildende Kausalkette in Gang setzt und den weiteren Geschehensablauf aus der Hand gibt 14

Der BGH differenziert etwas breiter wie die Textzusammenstellung auf der vorigen Seite zeigt

14 Wessels Beulke Strafrecht Allgemeiner Teil CF Muumlller 2011 Rn 603 (unter Bezug-nahme auf Roxin)

Prozessstart als Beginn des beendeter VersuchsDanach muumlssen wir die Grundsaumltze die zum Versuch ( sect 22 StGB) und zur mittelbaren Taumlterschaft ( sect 25 Abs 1 StGB) entwickelt wurden auch auf den Prozessstart bei der automatisierten Malware anwenden Schon dabei gibt es verschiedene Loumlsungen Um den Uumlberblick nicht voumlllig zu verlieren be-schraumlnke ich mich auf die Basis-Malware und ihre Aktivitaumlten bis zum Einnisten Die ausfuumlhrenden Funktionen (Einsatz) muumlssen einer gesonderten Betrachtung unterzogen werden

Der Prozess des Einnistens ist immer mit ei-ner Datenveraumlnderung ( sect 303a StGB) und in Anbetracht der heutigen Bedeutung der EDV fuumlr Privatleute und Gewerbetreibende auch eine Computersabotage verbunden ( sect 303b StGB) 15 Darauf beschraumlnke ich mich hier Dabei kommt dem Verbreitungsweg eine besondere Bedeutung weil er die Naumlhe zum Opfer und den Beginn der Rechtsgutge-faumlhrdung bestimmt

Die Verbreitung der Basis-Malware als Anla-ge zu einer E-Mail erfordert ein Zutun des Opfers Es muss (in aller Regel) die Anlage selber starten Dadurch wird es zum Tatmitt-ler gegen sich selbst und tritt eine konkrete unmittelbare Gefaumlhrdung des geschuumltzten Rechtsguts erst beim Start der Anlage ein Der Versuch beginnt und endet in diesem Moment

Dasselbe gilt fuumlr Links die in der E-Mail sel-ber eingebettet sind wenn sie zu einer prauml-parierten Webseite fuumlhren Mit der Betaumlti-gung des Links wird ein geplanter automati-sierter Ablauf in Gang gesetzt der ebenfalls zur unmittelbaren Gefaumlhrdung fuumlhrt und des-halb gleichzeitig beendet ist In E-Mails ein-gebetteter Malcode bedarf keines Zutuns des Opfers Er ist scharf sobald er ver-sandt wird Somit beginnt der Versuch in die-sen Faumlllen bereits beim Versand der Spam-Nachrichten Weil ein weiteres Zutun des Tauml-



ters nicht erforderlich ist ist der Versuch da-mit auch schon beendet

Die Einrichtung von Pharmen mit praumlparier-ten Webseiten ist vergleichbar den Gifttrunk-Faumlllen Eine konkrete und unmittelbare Ge-faumlhrdung tritt erst ein wenn das Opfer die praumlparierte Webseite aufruft Das ist der Be-ginn des gleichzeitig beendeten Versuchs

Wurden dazu fremde Webseiten praumlpariert liegt auch darin eine Datenveraumlnderung die aber als gesonderte Tat nichts mit der Ver-breitung der Malware als solche zu tun hat

Seltener werden Massenspeicher (USB-Sticks CD DVD Speicherkarten Wechsel-festplatten) zur Verbreitung der Malware ge-nutzt In diesen Faumlllen tritt die unmittelbare Gefaumlhrdung ein sobald der Datentraumlger in die Hand des Opfers geraumlt Spaumltestens in diesem Moment verliert der Taumlter seine Herr-schaft uumlber den Angriff und ist der Versuch beendet

Versuch und strafbare VorbereitungshandlungenDie sectsect 303a Abs 3 und 303b Abs 5 StGB verweisen wegen der Strafbarkeit im Vorbereitungsstadium auf den Hackerpara-graphen sect 202c StGB Das fuumlhrt dazu dass bereits der Umgang mit der Basis-Mal-ware strafbar ist Wer Computerprogram-me deren Zweck die Begehung lteiner Da-tenveraumlnderunggt ist herstellt sich oder ei-nem anderen verschafft verkauft einem an-deren uumlberlaumlsst verbreitet oder sonst zu-gaumlnglich macht wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft ( sect 202c Abs 1 Nr 2 StGB)

Mit einer etwas schwereren Strafe droht sect 263a Abs 3 StGB im Hinblick auf Computer-programme deren Zweck der Computerbe-trug ist Das betrifft vor Allem die Homeban-king-Trojaner

Danach ergibt sich folgendes Bild fuumlr die Strafbarkeit der Taumlter in der Vorbereitungs-phase Allein schon der Umgang mit der Ba-sis-Malware ist als besonderes Gefaumlhr-

dungsdelikt strafbar ( sectsect 303a Abs 3 und 303b Abs 5 StGB iVm sect 202c StGB) Nach dem Start der Verbreitung verliert der Taumlter die Herrschaft uumlber die Basis-Malware Das bedeutet aber mit Ruumlcksicht auf die Gift-fallen-Rechtsprechung des BGH nicht dass damit auch das Versuchsstadium beginnt Das kann nur der Fall sein wenn einer be-stimmten Person eine bestimmte Malware zugespielt wird (Spear-Phishing) In den heu-te uumlblichen Faumlllen der Massenverbreitung von Basis-Malware beginnt der Versuch der Computersabotage bei der Zusendung des eingebetteten Schadcodes oder - noch et-was spaumlter - sobald das Opfer eine Anlage oder einen Link zu einer praumlparierten Web-seite aktiviert

Es handelt sich zugleich um ein Massen-Di-stanzdelikt was besonders beim Einsatz von Spams mit Malware-Anhaumlngen Links zu prauml-parierten Webseiten und selbstausfuumlhrenden Elementen deutlich wird Das taumltige Handeln der Taumlter endet mit dem Versand Dadurch werden alle Betroffenen die Opfer ein und derselben Tat Das beguumlnstigt den Taumlter weil er nur wegen einer Straftat innerhalb des dafuumlr vorgesehenen Strafrahmens be-straft werden kann und keine Gesamtstrafe gebildet wird ( sectsect 53 54 StGB) Wenn auch nur bei einem der Opfer die qualifizie-renden Merkmale der Computersabotage ( 303b Abs 1 StGB) der schweren Compu-tersabotage ( 303b Abs 2 StGB) oder eines besonders schweren Falls der schweren Computersabotage ( 303b Abs 4 StGB) vorliegen wird die Tat insgesamt ein Anwen-dungsfall der qualifiziertesten Form So kann sich die Strafdrohung schnell von 2 Jahren Freiheitsstrafe ( sectsect 303a Abs 1 StGB) uumlber 3 ( 303b Abs 1 StGB) und 5 Jahre ( 303b Abs 2 StGB) auf bis zu 10 Jahre Freiheitss-trafe im Houmlchstmaszlig erhoumlhen ( 303b Abs 4 StGB)

Je nach der Art der produktiven Malware kann sich eine weitere Strafbarkeit aufgrund besonderer Vorschriften ergeben Sie orien-tiert sich an der produktiven Malware im Ein-zelfall


AnlieferungBei der Anlieferung geht es zunaumlchst nur darum den Malcode zum Zielgeraumlt zu brin-gen Die haumlufigsten Techniken dafuumlr sind verseuchte Anhaumlnge an E-Mails in E-Mails eingebetteter Code in Webseiten eingebet-teter Code oder Datentraumlger mit Malcode (zum Beispiel auf verschenkten USB-Sticks) Dieser Schritt ist fuumlr das Opfer noch recht harmlos weil es sich durch sein eigenes Nutzerverhalten (Meidung unsicherer Seiten kein Starten von dubiosen Dokumenten und Links) und mit Sicherheitsprogrammen (Vi-renscanner und Firewalls die nur bestimmte und uumlberwachte Uumlbertragungsprotokolle [Ports] zulassen) vor uumlberraschenden Angrif-fen schuumltzen kann

Dennoch ist die Anlieferung die kriminalis-tisch interessanteste Phase im Zusammen-hang mit der automatisierten Malware Der Angreifer schlieszligt mit ihr seine vorbereiten-den Handlungen ab Die Hintergrundtechnik (Steuerungseinheiten C amp C- und Flux-Ser-ver) der Spam-Versand oder die Praumlparie-rung von Webseiten und vor Allem die Mal-ware als solche muumlssen vorbereitet sein und sozusagen stehen Alles muss geplant und eingerichtet sein Von der Anlieferung an laumluft die Infiltration automatisch und muss der Angreifer im Wesentlichen dafuumlr sorgen dass die Steuereinheiten fit bleiben um die Zombies zu versorgen

Bei der Anlieferung wird noch nichts am Ziel-system veraumlndert so dass mit ihr erst der Versuch einer Datenveraumlnderung ( sect 303a Abs 2 StGB) oder einer Computersabotage ( sect 303b Abs 3 StGB) einsetzt ( siehe oben) Im Zusammenhang mit automatisier-ter Malware ist das manuelle Handeln der Taumlter aber bereits abgeschlossen so dass mit der Anlieferung der Versuch beginnt und beendet wird und die Taumlter nur noch durch taumltiges Handeln vom Versuch zuruumlcktreten koumlnnen ( sect 24 Abs 1 S 1 2 Alt StGB)

sect 303b Abs 1 Nr 2 StGB verlagert die strafbare Haftung stark in die Vorbereitungs-phase weil bereits die absichtliche Eingabe

oder Uumlbermittlung von malizioumlsen Code zur Strafbarkeit fuumlhrt Die Computersabotage ist jedoch ein besonderer Fall der Sachbeschauml-digung ( sect 303 StGB) so dass eine gewisse denkbare oder sogar messbare Beeintraumlchti-gung des angegriffenen Systems verlangt werden muss Bis auf dem Weg zur Schnitt-stelle entfaltet der Malcode keine Wirkung sondern erst wenn die Schnittstelle ihn durchlaumlsst Deshalb bin ich der Meinung dass die Anlieferung als solche noch keine Uumlbermittlung und deshalb noch nicht strafbar ist

InjektionMit der Injektion hat die Basis-Malware die Schnittstelle zum Zielgeraumlt uumlberwunden Dazu bedarf es einer Umgebung die den Malcode gewaumlhren laumlsst also einer Schwachstelle (Exploit) Damit gelangt die Basis-Malware zunaumlchst einmal in den Hauptspeicher des Zielgeraumltes und muss die angegriffene Programmumgebung dazu ver-anlassen ihre eigenen malizioumlsen Funktio-nen zu starten also als Programm ausge-fuumlhrt zu werden

Die wichtigsten Umgebungen hinter einer Schnittstelle sind die Browser (E-Mail Inter-net) die proprietaumlren Anwenderprogramme zur Darstellung von Multimedia-Dateien (PDF Shockwave und andere) die Laufzeit-umgebungen fuumlr Anwenderprogramme (acti-veX Java) und die Betriebssysteme selber wenn die Anlieferung nicht uumlber die Netz-werkkarte sondern uumlber andere Schnittstel-len erfolgt

Zu einer gewissen Ehrenrettung fuumlr alle An-bieter von Sicherheitsloumlsungen sei ange-merkt dass die wirklich gute Basis-Malware inzwischen gut getarnt ist Sie wedelt nicht mit dem sinnbildlichem Brecheisen das von allen beteiligtigten Programmen schnell er-kannt werden koumlnnte Ihre malizioumlsen Funk-tionen sind verschluumlsselt und koumlnnen mit heuristischen Methoden (Funktionsabschaumlt-zung) nicht unbedingt und zuverlaumlssig er-


kannt werden 16 Teilweise funktionieren die einzelnen Angriffswerkzeuge nach dem Ma-muschka-Prinzip Das sind die russischen Holzfiguren die sich oumlffnen lassen und in ih-rem Inneren jeweils eine kleinere Version von sich offenbaren In dem Zusammenhang hier bedeutet das dass zunaumlchst ein harm-los wirkender Quellcode von der Malware gebildet wird der weitere verschluumlsselte Ele-mente enthaumllt Erst wenn diese auch ent-schluumlsselt werden entfaltet sich das naumlchste Angriffswerkzeug

Sobald die Injektion erfolgreich war hat auch eine Uumlbermittlung im Sinne von sect 303b Abs 1 Nr 2 StGB stattgefunden

Die Schwelle zur Datenveraumlnderung ( sect 303a StGB) oder zur Computersabotage im Allgemeinen ( sect 303b StGB) wird damit aber noch nicht erreicht was wegen der Vor-verlagerung nach sect 303b Abs 1 Nr 2 StGB ohne Bedeutung ist Selbst wenn die Malware in diesem Stadium Programmver-sionen Browsereinstellungen und Konfigura-tionsdateien ausliest so handelt es sich grundsaumltzlich um Daten die von den Anwen-derprogrammen bereitwillig offenbart wer-den und noch keinem strafrechtlichen Daten-schutz unterliegen (gemeint sind die sectsect 202a 202b StGB)

Alle anderen Tatbestaumlnde zur Sachbeschaumldi-gung an informationstechnischen Systemen koumlnnen noch nicht erfuumlllt sein weil die Mal-ware im Stadium der Injektion noch nichts veraumlndert und manipuliert hat Der Malcode hat einfach nur die Schnittstelle uumlberwunden hat den Kontakt zu einer Ablaufumgebung aufgenommen sich sozusagen angeklemmt und jetzt muss er in die Verarbeitungspro-zesse des Zielsystems hineinkommen

16 In der Artikelserie Tatort Internet in der Zeit-schrift ct wurden die Mechanismen anschau-lich beschrieben Dieter Kochheim IuK-Strafrecht S 25

Infektion Einnisten und TarnungBei der Infektion entfaltet die Basis-Malware ihre malizioumlse Wirkung weil sie damit direkt in die datenverarbeitenden Prozesse des Zielgeraumltes eingreift Waumlhrend - vor Allem - Virenscanner bei der Injektion nur den ver-schluumlsselten Code der Malware analysieren koumlnnen entfaltet sich bei der Infektion der Malcode zum Einnisten und kann an seiner Wirkweise erkannt werden

Fuumlr die Infektion bedarf es deshalb ebenfalls einer Schwachstelle (Exploit) um die Aktivi-taumlten der Basis-Malware zu tarnen Das kann in der Weise geschehen dass sie sich in die Ablaumlufe eines als sicher (in dem Sinne ge-houmlrt zu mir) angesehenen Programms ein-bringt oder sich als systemzugehoumlriges Pro-gramm tarnt

Je nach ihrer Ausrichtung bewirkt die Basis-Malware

Backdoor Einrichtung einer Auszligenverbin-dung um mit einer Steuerungs-einheit Kontakt aufnehmen Up-dates und Anpassungen laden zu koumlnnen

Viren-scanner

Abschalten oder Umkonfigurie-ren vorhandener Virenscanner

produktiveMalware

Installation der produktiven Mal-ware wobei zum Beispiel vor-handene Systemdateien ausge-tauscht oder veraumlndert werden Denkbar ist es auch dass die Programmkomponenten zu exo-tischen Massenspeichern (Gra-fikkarte Router ua) ausgelagert werden wo sie uumlblicherweise von Virenscannern nicht erfasst werden

Autostart Manipulation der Registry oder anderer Autostart-Dateien (Boot-sektionen) um den selbsttaumltigen Start der produktiven Malware zu gewaumlhrleisten

Rootkits Veraumlnderung der Systemrechte Zeitstempel und Dateigroumlszligen um die produktive Malware vor


ihrer Entdeckung zu tarnen

Alle genannten Maszlignahmen veraumlndern das angegriffene System nachhaltig im Sinne der sectsect 303a 303b StGB Spaumltestens hierbei tritt auch die Vollendung der klassischen Tat-bestaumlnde der Datenveraumlnderung und Com-putersabotage ein Die Art und der Einsatz-zweck der produktiven Malware bestimmen ihr weiteres Verhalten

Erpresserische Malware (Bundespolizei-Tro-janer) veraumlndert die Konfigurationsdateien des BIOS so dass beim naumlchsten Boot-Vor-gang der Systemstart verhindert und die be-liebte Zahlungsaufforderung erscheint

Zombie-Malware (Botware) richtet eine Backdoor ein nimmt in aller Regel den Kon-takt zu einem C amp C- oder Fluxserver auf und meldet ihre Betriebsbereitschaft Moder-ne Formen der Botware gehen verhaumlltnismauml-szligig schonend mit den Zombies um um sie lange fuumlr das Botnetz verfuumlgbar zu haben Besonders leistungsfaumlhige Zombies die zu-dem staumlndigen Netzkontakt haben koumlnnen auch als Flux-Server oder Fileserver (Ablage von Dateien) fuumlr Dumps oder zur Verbreitung von Daten und Codes eingerichtet werden In aller Regel durchforscht die Botware auch die lokalen Konfigurationsdateien um Konto-daten Zugangs- und Schluumlsseldaten zu er-kunden

Auf die Datenspionage spezialisierte Malwa-re koumlnnte zunaumlchst ihre Systemumgebung erkunden und Aufzeichnungsroutinen instal-lieren (Keylogger) Sie wird zudem eine Backdoor errichten um die erkundeten Da-ten zu uumlbermitteln und um dem Angreifer Zu-gang zum perforierten System zu geben

Homebanking-Malware ist besonders darauf ausgerichtet so lange unerkannt zu bleiben bis eine Bankverbindung hergestellt wird Sie wird deshalb nur gelegentliche Anfragen an ihre Steuerungseinheit richten um Updates abzufordern und zu installieren


Homebanking-Malware Uumlberblick Eine automatisierte Form der Homebanking-Malware soll uns als Beispiel fuumlr die tatsaumlchliche und rechtliche Betrachtung der Basis- und der produktiven Malware zeigen

Einen grafischen Uumlberblick gibt das Bild auf der Folgeseite Eine gesonderte Animati-on fasst die Tatphasen der Vorbereitung des Einnistens und des Einsatzes dieser Auspraumlgung von Malware zusammen Ihr Ziel die Manipulation der Verfuumlgungen im Zusammenhang mit Homebanking kann sich als schwere Kriminalitaumlt in der Form des ge-werbsmaumlszligigen Bandencomputerbetruges er-weisen ( sect 263 Abs 5 iVm sect 263a Abs 2 StGB) so dass bereits die Verabredung als solche und alle Handlungen im Vorberei-tungsstadium der Strafbarkeit wegen der Verabredung eines Verbrechens unterliegt ( sect 30 StGB)

Einsatz von Homebanking-Malware

Die Malware ruht solange der Anwender kei-ne Bank-Webseite aufruft und tritt dann in Aktion Die zweite Animation zeigt Bei-spielhaft den Einsatz einer automatisierten Form von Homebanking-Malware (siehe auch die Grafiken rechts) Sobald der An-wender Kontonummer Zugangscode und Captcha eingegeben hat klemmt sie ihn so-zusagen vom direkten Zugriff auf die Bank-seite ab uumlbermittelt ihrer Steuerungseinheit die offenen Bankdaten (Kontoinhaber Kon-tonummer Saldo letzter Besuch usw) und erhaumllt von der Steuerungseinheit eine nach-gemachte Bankseite

Das kann zum Beispiel die Mitteilung der Bank sein dass die Einrichtung neuer Si-cherheitsvorrichtungen die Eingabe einer be-stimmten TAN bedarf

Unsichtbar und im Hintergrund hat die Mal-ware auch von der Steuerungseinheit die Daten fuumlr eine Uumlberweisung erhalten und bei dem Anwender wird jetzt genau die von der Bank angeforderte TAN abgefragt Nach Ab-schluss der Transaktion erhaumllt die Malware


neue Bankseiten von der Steuerungseinheit die sich zunaumlchst fuumlr die Aktivierung der neu-en Sicherheitsvorrichtungen bedanken und die juumlngste Kontobelastung nicht erkennen lassen

Das boumlse Spiel kann beliebig haumlufig wieder-holt werden Kontouumlbersichten werden von der Malware zunaumlchst an die Steuerungsein-heit uumlbermittelt und dort bereinigt In dieser Version zeigt die Malware dem Anwender die Seite dann an

Sobald der Anwender eine eigene Uumlberwei-sung eingibt werden seine Daten an die Steuerungseinheit gegeben Von dort hat die Malware bereits die naumlchsten Uumlberweisungs-daten erhalten und damit die zweite manipu-lierte Uumlberweisung eingerichtet Sodann er-stellt die Steuerungseinheit eine neue Bank-seite mit der der Anwender zur Eingabe der fuumlr seine Transaktion erforderlichen TAN auf-gefordert wird Auch die Bestaumltigung der er-folgreichen Uumlberweisung mit angepassten Zahlen bekommt der Anwender uumlber die Malware von der Steuerungseinheit uumlbermit-telt Das ihm vorgegaukelte Schauspiel laumlsst jedenfalls nicht erkennen dass im Hinter-grund ganz andere Kontoverfuumlgungen statt-gefunden haben als die vom Anwender ge-wollten und eingegebenen

Eine Variante der Malware aumlndert beim Ver-lassen der Bankseite die Zugangsdaten zum Internet Damit wird ein nochmaliger Aufruf der Bankseite verhindert und damit auch kri-tische Nachfragen bei der Bank

Der Einsatz von Homebanking-Trojanern in der beschriebenen Form stellt sich bis zum Einnisten in aller Regel als ein besonders schwerer Fall der schweren Computersabo-tage im Sinne von sect 303b Abs 4 Nr 2 StGB dar (Gewerbsmaumlszligigkeit insoweit unter-stellt) Aufgrund der besonderen Ausrichtung der Homebanking-Malware beginnt der Ver-such des Computerbetruges bereits bei der Infektion mit der Basis-Malware weil bereits dadurch die Gefaumlhrdung des Rechtsgutes Vermoumlgen im Anschluss an die Giftfallen-Rechtsprechung einsetzt Die rechtlichen

Schluumlsse wegen der Strafbarkeit in den Pha-sen bis zum Einnisten bis schlieszliglich beim Einsatz der Malware ergeben sich bereits aus der Tabelle uumlber die strafrechtliche Wuumlrdigung im Zusammenhang mit Home-banking-Trojanern

Die filigranen Manipulationen an den Bank-Webseiten die dem Anwender angezeigt werden machen die Tat schlieszliglich auch zu einer (gewerbsmaumlszligigen) Faumllschung beweis-erheblicher Daten ( sect 267 Abs 3 Nr 1 iVm sect 269 Abs 3 StGB)

Die gleichzeitig gewerbs- und bandenmaumlszligi-gen Formen des Computerbetruges der Faumll-schung technischer Aufzeichnungen und be-weiserheblicher Daten sind selbstaumlndige Verbrechenstatbestaumlnde ( sectsect 263 Abs 5 iVm 263a Abs 2 sectsect 267 Abs 4 iVm 268 Abs 5 StGB oder 269 Abs 3 StGB) Die Verabredung zu solchen Verbrechen steht selbstaumlndig unter Strafe ( sect 30 StGB)

Die Verabredung ist wie die Anstiftung oder die Beihilfe eine Form der Beteiligung am Grunddelikt Im Zusammenhang mit dem Skimming hat der BGH zwar im Sommer 2011 das Konkurrenzverhaumlltnis zwischen Tauml-terschaft am Gefaumlhrdungs- und Beteiligung am Grunddelikt offen gelassen Sobald das Grunddelikt beginnt endet jedoch das Ge-faumlhrdungsdelikt Das bedeutet dass in der Vorbereitungsphase nicht der Umgang mit Programmen zur Computersabotage und zum Computerbetrug strafbar sind sondern die Verabredung zum schweren Computer-betrug in Tateinheit mit der Verabredung zum schweren Faumllschen beweiserheblicher Daten und in Tateinheit mit dem Umgang mit Programmen zur Computersabotage ( sect 30 StGB iVm sectsect 263 Abs 5 263a Abs 2 sectsect 267 Abs 4 268 Abs 5 StGB und 269 Abs 3 StGB sowie sectsect 303b Abs 5 StGB iVm 202c Abs 1 Nr 2 StGB)


C amp C- und Flux-ServerDie wichtigsten Charakteristika beim Einsatz automatisierter Malware sind ausgefeilte Vorbereitungen die Einrichtung von Steue-rungseinheiten und die eingeschraumlnkte Auto-nomie der Malware selber Wir sprechen in-soweit von hoch entwickelter professioneller Malware die von Taumltern im internationalen Maszligstab eingesetzt wird Stuxnet stellt inso-weit eine Ausnahme dar Diese Malware konnte auf keine Steuerungseinheiten zuruumlck greifen musste ihre Basis- und produktiven Teile Huckepack tragen und wurde uumlber US-B-Sticks vertrieben

Meine Annahme dass die hoch entwickelte Malware automatisiert ist fuszligt auf den Infor-mationen die im Hinblick auf die Botnetze bekannt sind und auf der Uumlberlegung dass vor Allem die Basis-Malware schlank sein muss um in die Zielsysteme eindringen zu koumlnnen Jede Zusatzfunktion koumlnnte sie auf-faumlllig machen und enttarnen Andeutungen auf entdeckte C amp C-Server gibt es haumlufiger in journalistischen Meldungen ohne dass ihre genaueren Aufgaben mitgeteilt werden Gelegentlich ist die Rede davon dass meh-rere C amp C-Server fuumlr den Betrieb eines Bot-netzes im Einsatz seien Waumlhrend ich diesen Aufsatz schrieb erhielt ich eine Bestaumltigung fuumlr meine Annahme die ich aber nicht naumlher ausfuumlhren kann

Ein gewissermaszligen klassischer Command amp Control-Server ist die zentrale Steuerungs-einheit fuumlr dezentralisierte Serverdienste Das Filesharing gibt ein fruumlhes Beispiel da-fuumlr Die Steuerungseinheit verwaltete die In-formationen daruumlber welcher Client die inter-essanten Informationen verwaltet und vermit-telt den Kontakt

Ein Botnetz lebt davon dass die eingefange-nen Zombies von einer zentralen Steue-rungseinheit geleitet werden Spams versen-den DDoS veranstalten Dumps zur Verfuuml-gung stellen oder als Konsole als Sprung-brett zur konspirativen Kommunikation oder zu kriminellen Handlungen dienen

Seit fast 5 Jahren wird auch (wenig) uumlber Flux-Server diskutiert Sie werden eingerich-tet um die Kontakt- und Versorgungsaufga-ben des zentralen C amp C-Servers zu entlas-ten und um das Entdeckungsrisiko fuumlr die Hinterleute zu verringern Auszligerdem erleich-tern sie das Netzmanagement indem sie Teile des Netzes selbstaumlndig verwalten und sich gegenseitig mit Updates und Anweisun-gen versorgen Faumlllt einer der Flux-Server aus uumlbernehmen die anderen seine Aufga-ben und wird bei Gelegenheit ein anderer gekapert

Zunaumlchst wurden Flux-Server als Webserver betrachtet die nur beschraumlnkte Vermittlungs-aufgaben haben Ihre Steuerungsfunktionen


waren begrenzt und sie waren eher Proxy- und Webserver die standardisierte Aufga-ben und Daten verteilten ohne dass die Cli-ents einen Kontakt zum Master of Desaster aufnehmen mussten Das klassische Vorbild dafuumlr ist die militaumlrische Meldekette Die kaumlmpfende Fronteinheit bekommt ihre Ein-satzbefehle nicht von der Heeresleitung di-rekt sondern von berittenen (bekradeten oder radelnden) Boten

Es gibt aber keinen zwingenden Grund da-fuumlr dass nur ein C amp C eingerichtet wird und tatsaumlchlich wird immer wieder berichtet dass verschiedenen Malwaren mehrere Internet-adressen mitgegeben wurden an die sie sich wenden sollen Seit 5 Jahren hat sich die Computertechnik wieder einmal deutlich weiter entwickelt Die Softwareverteilung und die Backuptechnik ist voran gekommen und ein Flux-Server kann ganz autonom handeln ohne (nach seiner Installation) je von einem seiner Administratoren persoumlnlich aufgesucht worden zu sein Andererseits kann genau dieser einsame Flux-Server als Konsole fuumlr die naumlchste Aktualisierung des Botnetzes dienen und die Updates weiter verteilen

Organisierte CybercrimeSchon 2010 habe ich die oben abgebildete Pyramide vorgestellt Die Zuordnung ver-schiedener Erscheinungsformen der Cyber-crime werden hier (Auszug aus einer Praumlsentation) den verschiedenen Stufen zu-geordnet

Die Taumltergruppen die automatisierte Malwa-re einsetzen werden im Bereich der organi-sierten Cybercrime angesiedelt sein Viel-leicht mit Ausnahme von Trittbrettfahrern die die Technik punktuell einkaufen

Gehen wir noch einmal an den Ausgangs-punkt zuruumlck Fuumlr die Einsatzbereiche Bot-netze und Homebanking-Trojaner gibt es kla-re Hinweise dass automatisierte Formen von Malware zum Einsatz gekommen sind Im Zusammenhang mit dem Spionageein-satz Night Dragon soll sie gezielt gegen die Mitarbeiter von Unternehmen und Organisa-tionen eingesetzt worden sein wobei die Malware selbstaumlndig Backdoors als Zugaumlnge fuumlr die Angreifer errichtete

Diese Hinweise habe ich zum Modell fuumlr jede Form von hoch entwickelter Malware geformt und auf die erpresserische Malware uumlbertra-gen die wegen ihres produktiven Teils relativ anspruchslos ist

Nicht jede Malware muss diesem Modell ge-nuumlgen und die strafrechtlichen Auswirkungen muumlssen anhand des Einzelfalls praumlzisiert werden Dennoch bin ich der Uumlberzeugung dass die hier entwickelten Grundsaumltze einen


guten Rahmen bilden um die rechtlichen Probleme in den Griff zu bekommen

FazitMit dem Arbeitspapier Cybercrime habe ich 2010 nur die Erscheinungsformen der Cyber-crime zusammen gefasst und dabei das ma-terielle Cybercrime-Strafrecht respektvoll au-szligen vor gelassen oder allenfalls gestreift Im Nachhinein hat es sich als richtig erwiesen dass ich meine materiellen Forschungen zu-naumlchst auf eine Erscheinungsform der Cy-bercrime beschraumlnkt habe dem Skimming So konnte ich das umgrenzte Thema Schritt fuumlr Schritt erfassen und mich auch selber fortbilden zumal die schwierigsten Probleme (wie so haumlufig) im allgemeinen Teil des Straf-rechts liegen Taumlterschaft und Teilnahme so-wie Vorbereitung und Versuch Aufsaumltze zum Skimming gibt es inzwischen viele aber mir wurde schon mehrfach nachgesagt dass kein anderer Autor zu tief in die Einzelheiten und Veraumlstelungen eingestiegen ist Ein be-sonderes Lob stammt von einem BGH-Rich-ter der sinngemaumlszlig sagte Wenn ich uumlber das Skimming schreiben wollte dann koumlnnte ich auch nur von ihnen abschreiben (Mai 2011)

2009 habe ich mich besonders mit den struk-turellen Formen der Cybercrime befasst und die seinerzeit entwickelten Grundlagen ha-ben Bestand bewiesen 2010 habe ich mich endlich auch tieher mit den Boards befasst und auch die dabei gewonnenen Erkenntnis-se stimmen noch immer Ungeplant und uumlberraschend gewann ich auch Erkenntnisse uumlber den Cyberwar noch bevor er zum oumlf-fentlichen Thema wurde ( Arbeitspapier Netkommunikation) Meine Unterscheidung zwischen dem Kalten und dem Heiszligen Cy-berwar hat noch immer Geltung

2011 habe ich zwei heiszlige Eisen angefasst Zunaumlchst habe ich den Mut gefasst uumlber die offenen und verdeckten Ermittlungen im Internet zu schreiben Rumzutrollen ist die eine Sache Farbe zu bekennen die andere Der Aufsatz hat Bestand bewiesen

Mit erheblich groumlszligeren Respekt bin ich an das umfassende Thema IuK-Strafrecht heran gegangen Dazu musste ich zunaumlchst mehrere Rechtsgebiete durchdringen die auf dem ersten Blick nichts mit dem Cyber-crime-Strafrecht zu tun haben scheinen zum Beispiel dem Recht zur Urkundenfaumllschung und der kriminellen Vereinigung Mit den Er-gebnissen bin ich auch jetzt noch ganz zu-frieden

Auch der jetzt vorliegende Aufsatz uumlber die automatisierte Malware fuszligt auf intuitiven Annahmen und verlangte eine tiefere Einar-beitung in fremd erscheinende Rechtsfragen (Distanzdelikte Giftfallen) Ich habe den Ein-druck dass ich wieder einmal nicht ganz falsch liege


Die Texte im Cyberfahnder werden immer laumlnger und lassen sich immer schwerer am Bildschirm lesen Zwei juumlngere Texte werden hier deshalb im druckfreundlichem PDF-For-mat praumlsentiert

lt 3gt Cybercrime ndash gibt es eigentlich nichtlt 3gt Underground Economy

lt 4gt Hosting

lt 5gt Beutesicherung

lt 5gt Cashing-Schaumlden

lt 6gt gespenstige Ruhe

lt 6gt der groszlige Bang

lt 7gt Erpressung mit MalwareAutomatisierung beim Einsatz von Malware

lt 7gt ungewoumlhnlich Angriffstiefe

lt 9gt variable Malware

lt 9gt eingeschraumlnkte Autonomie und Automatisierung

lt10gt Basis-Malware und produktive Malware

lt11gt Malware-Installation

lt12gt Tabelle Phasen beim Malware-Einsatz

lt13gt Vorbereitungsphase

lt13gt Distanzdelikte und Fallensteller

lt14gt Tabelle Rechtsprechung des BGH zu den Distanzdelikten

lt15gt Prozessstart als Beginn des beendeter Versuchs

lt16gt Versuch und strafbare Vorbereitungshandlungen

lt17gt Anlieferung

lt17gt Injektion

lt18gt Infektion Einnisten und Tarnung

lt19gt Homebanking-Malware Uumlberblick

lt19gt Einsatz von Homebanking-Malware

lt22gt C amp C- und Flux-Server

lt24gt Fazit

Thema Automatisierte Malware

Autor Dieter Kochheim

Version 100

Stand 30042012

Cover Foto Grafiken

copy Cyberfahnder 2012

Impressum cyberfahnderde


























Zugangscode

IP-Adresse

Kontakt ru

Kunde hat gezahlt

hellip bis











Cashing-Schaumlden














































































Vorbereitungs-phase












wie beim Einnisten

EinsatzKopieren































































Viren-scanner


produktiveMalware











































































Zugangscode

IP-Adresse

Kontakt ru

Kunde hat gezahlt

hellip bis











Cashing-Schaumlden














































































Vorbereitungs-phase












wie beim Einnisten

EinsatzKopieren































































Viren-scanner


produktiveMalware


























































Cashing-Schaumlden














































































Vorbereitungs-phase












wie beim Einnisten

EinsatzKopieren































































Viren-scanner


produktiveMalware


























































































































Vorbereitungs-phase












wie beim Einnisten

EinsatzKopieren































































Viren-scanner


produktiveMalware













































































































Viren-scanner


produktiveMalware


















































text - cyberfahnder...automatisierte malware s. 4 carding ist nicht etwa nur der handel mit...

Documents