Wann genau Internetkriminalität aufkam, lässt sich nicht genau datieren. Vermutlich hat sich die Cyber-Kriminalität neben der Entstehung, Entwicklung und Ausweitung des Internets aufgetan. Als das erste Computervirus zählt beispielsweise eine Version aus dem Jahre 1986 namens Brain, die von zwei Brüdern in Pakistan geschrieben wurde. Der Virus infizierte weltweit den Boot-Sektor von Disketten. Interessanterweise war Brain gar nicht als zerstörerischer Virus gedacht. Heute besitzen die Brüder ein erfolgreiches Unternehmen mit Brain Telecommunication Limited.
Ein wichtiger Wendepunkt in Bezug auf die Bekämpfung von Internetkriminalität lieferte die Konvention gegen Kriminalität im Internet, auch „Budapester Konvention gegen Datennetzkriminalität“ genannt, aus dem Jahre 2001. Das öffentlich-rechtliche Nachrichtenmagazin Deutsche Welle (DW) berichtete über die Konferenz, bei der sich die Teilnehmer aus 30 Staaten in Budapest dem Problem widmeten und folgende Zielsetzungen formulierten:
Es folgten schließlich weitere nationale, EU-weite und internationale Maßnahmen gegen Cybercrime, unter anderem auch der 2009 entwickelte Fünf-Punkte-Plan der Europäischen Kommission.
Der Begriff Internetkriminalität schließt im Grunde sämtliche Delikte ein, die in jeglicher Art und Weise im Zusammenhang mit dem Internet stehen. Das heißt, unter Internetkriminalität fallen neben durch das Internet verbreitete Computerviren auch Delikte wie Cybermobbing bzw. Cyberbullying in sozialen Netzwerken oder auch Kinderpornografie. Ein Aspekt der Internetkriminalität beschreibt der Internetbetrug und umfasst selbst verschiedenste Deliktarten. Grundsätzlich geht es um internetspezifische Betrugsfälle. Unter Betrug wiederum versteht das Strafgesetzbuch (§ 263):
Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er durch Vorspiegelung falscher oder durch Entstellung oder Unterdrückung wahrer Tatsachen einen Irrtum erregt oder unterhält, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
(http://www.gesetze-im-internet.de/stgb/__263.html)
Zu den Formen des Internetbetrugs zählen:
Bereits aus dem Begriff „Computersabotage“ lässt sich seine grobe Bedeutung herleiten, denn Sabotage meint laut Duden die planmäßige Störung eines Arbeitsablaufs bzw. die Zerstörung von Anlagen oder Maschinen. Der Begriff wird im Strafgesetzbuch (StGB) unter § 303b als Delikt beschrieben und im Detail definiert.
Definition im Sinne des Strafrechtes
Laut § 303b handelt es sich bei Computersabotage um eine Handlung, die die für ein Unternehmen oder Organisation essentielle Datenverarbeitung stört. Es geht im Grunde darum, dass „eine Datenverarbeitungsanlage oder ein „Datenträger zerstört, beschädigt, unbrauchbar [ge]macht, beseitigt oder verändert [wird]“. Dies schließt beispielsweise auch die rechtswidrige Datenveränderung mit ein, beispielsweise indem Computerviren verbreitet werden, mit dem Ziel einem anderen Nachteile zu schaffen.
Geahndet werden solche Vergehen mit Freiheitsstrafen von bis zu drei Jahren oder einer entsprechenden Geldstrafe.
Malware-Arten
Eine verbreitete Form von Computersabotage, Datenveränderung und Computerbetrug ist das Versenden oder Integrieren von Schadstoffprogrammen, so genannte Malware. Zu den bekannten Arten gehören drei Typen:
Art | Beschreibung | Beispielformen |
Virus | Viren sind kleine Programme, die sich auf dem Computer selbstständig verbreiten und erheblichen Schaden anrichten können, sei es den Computer zu verlangsamen, Daten zu überschreiben, Schutzprogramme auszuschalten oder den kompletten Computer lahm zu legen. | BootvirenLinkvirenSkriptviren |
Wurm | Ein Computerwurm kann sich im Gegensatz zum Computervirus eigenständig über sämtliche Kanäle verbreiten, beispielsweise über E-Mails oder das Internet. Problem bei dieser Form ist, dass Würmer eine erhebliche Menge an Netzwerkressourcen benötigen, was zu Überlastungen führen kann. | E-Mail-WürmerIRC-WürmerP2P-Würmer |
Trojanisches Pferd | Als nützliches Programm getarnt, arbeitet ein Trojanisches Pferd unerkannt im Hintergrund und richtet beispielsweise dadurch Schaden an, dass es unwissentlich Schadkomponenten aus dem Netz auf den Computer herunterlädt oder Daten sammelt. | DropperLinker1-Programm |
Informationen der Uni Jena |
Bei Phishing-Mails handelt es sich um gefälschte E-Mails, die meist zum Zwecke des Datenklaus versendet werden. Der Begriff Phishing setzt sich aus den Wörtern „Password“ und „fishing“ zusammen und meint wörtlich „Angeln von Passwörtern“. Nicht selten erhält der Empfänger eine Mail, die von seiner Bank zu sein scheint und eine Aufforderung zur Angabe von persönlichen Daten oder das Klicken auf einen Link beinhaltet. Wie solch eine Phishing-Mail aussehen kann, zeigt ein Artikel auf TopTarif anhand zweier Beispiel-Mails. Charakteristisch für solche Mails seien demnach nicht selten orthografische sowie grammatikalische Fehler oder auch die Angabe einer hohen Dringlichkeit für eine bestimmte Aufforderung, wie in der zweiten Beispiel-Mail zu sehen ist:
„Wenn du schnell einsteigst, dann wirst du sehr schnell ein automatisches Einkommen von 50.000 bis 300.000 Euro im Monat haben.“
Der Diebstahl von Informationen hat für Kriminelle verschiedene Vorteile. Das Ausspähen von Daten wie Passwörter oder Kreditkartennummern ermöglicht zum Beispiel den Zugang zu illegalen Transaktionen. Des Weiteren werden solche Daten an unseriöse Vermarkter verkauft, die diese wiederum an Unternehmen teuer veräußern. Hierbei existieren verschiedene Personengruppen, die an Informationsdiebstahl interessiert sind, wie Hacker, Geheimdienste oder auch Wettbewerber. Auch hier werden gerne schädliche Programme in Form von Computer-Viren oder Trojanische Pferde genutzt. Letztere können beispielsweise unbemerkt dem Initiator Informationen preisgeben. Auch wenn es sich bei der NSA-Affäre weniger um Diebstahl von Informationen handelt, beeinflusst das Wissen von bestimmten Sachverhalten aber das Handeln von Institutionen wie der NSA als Geheimdienst, wodurch das netzbezogene Ausspähen zumindest als Teil von Informationsdiebstahl gesehen werden kann.
Von Identitätsdiebstahl ist die Rede, wenn personenbezogene Daten missbräuchlich durch Dritte genutzt werden. Der Betrüger verfolgt dabei entweder das Ziel, das eigene Vermögen zu erweitern oder der betroffenen Person zu schädigen. Zumeist geht dem Identitätsklau auch ein Informationsdiebstahl voran. Beispielsweise nutzen Betrüger zuvor ausgespähte Informationen einer Person, um sich in ein Social-Network-Profil zu hacken und systematisch Rufmord zu betreiben. Personenbezogene Daten werden aber auch genutzt, um Bestellungen bei Versandhändlern zu tätigen.
Bei dieser speziellen Betrugsform kauft der Betroffene beispielsweise aus dem Internet eine Ware und muss diese per Vorkasse bezahlen. Der Betrüger bzw. vermeintliche Verkäufer hatte allerdings nie vor, die jeweilige Leistung zu erbringen. Es handelt sich um einen Betrug, sobald vorsätzlich beabsichtigt wird, sich einen Vermögensvorteil zu verschaffen bzw. der anderen Person oder dem Unternehmen zu schädigen.
In diesem Fall geht der Verbraucher unbeabsichtigt ein nicht selten teures Abonnement ein, meist für mehrere Jahre. In den meisten Fällen interessiert sich der Verbraucher für eine Dienstleistung, übersieht beim Vertragsabschluss beispielsweise aber, dass es sich um eine Abo-Falle handelt. Nicht selten werden auch die ersten Monate günstige Konditionen bei Verträgen angeboten, allerdings geht nicht eindeutig hervor, dass sich der Preis nach einer bestimmten Monatszahl weiter nach oben bewegt.
Die verschiedenen Formen an betrügerischer Internetkriminalität lassen bereits vermuten, dass mit der Weiterentwicklung von Kommunikationstechnologien und die damit einhergehende Zunahme an Nutzern und Nutzungshäufigkeit auch eine Zunahme an Internetbetrug bedeutet.
Die Zahlen aus den polizeilich erfassten Fällen von Cyberkriminalität zeigen von 2009 bis 2013 einen leichten Anstieg. Allerdings geben diese Informationen noch keine Auskunft darüber, wie groß letztlich der Schaden war. So berichtete der Spiegel beispielsweise im Jahr 2012 zwar von einem Rückgang der absoluten erfassten Fälle 2011 im Vergleich zum Vorjahr, dennoch stieg aber die Schadenshöhe deutlich von 61,5 Millionen auf 71,2 Millionen Euro an. Der Großteil des Schadens ist im Übrigen auf Internetbetrug zurückzuführen. Insgesamt wird auch vom Bundeskriminalamt (BKA) betont, dass die Dunkelziffer weitaus höher vermutet wird, was letztlich kein absolutes Bild auf die Cyberkriminalität ermöglicht.
Einer Untersuchung der Bitkom aus dem letzten Jahr zufolge sind 55 Prozent der befragten Internetnutzer innerhalb von zwölf Monaten Opfer von Internetkriminalität geworden. Ein Großteil mit rund 40 Prozent hat dabei Erfahrungen mit Schadprogrammen wie Viren machen müssen, rund 20 Prozent mit Informationsdiebstahl und rund 15 Prozent mit Identitätsklau in Form von unwissentlichem E-Mail-Versand. Die Gefahren, die von solchen Delikten für den einzelnen Verbraucher ausgehen, sind vielfältig: Vom Datenklau über finanzielle Schäden bis hin zu umfassender Rufschädigung kann Internetbetrug ein immenses Problem für jeden Einzelnen bedeuten.
… in Unternehmen
Auch Unternehmen müssen sich vermehrt mit dem Thema auseinandersetzen. Phishing-Mails, Scareware oder Branchenbuch-Betrug sind dabei nur eine Auswahl an Gefahren, die sich Unternehmen stellen müssen. IT-Forensiker Karsten Zimmer von CSI Menden erläutert eine weitere Tendenz in Bezug auf Internetkriminalität für Unternehmen wie folgt:
„Vor allem Betrugsdelikte, Datenfälschung, Computersabotage (DDOS-Attacken) und Datenklau steigen drastisch an. DDOS-Attacken (Distributed Denial of Service) auf das Firmennetzwerk bedeuten einen hohen Verlust für das angegriffene Unternehmen und lassen sich nur schwer ermitteln. Etwa die Hälfte aller Wirtschaftskriminellen kommt aus dem eigenen Unternehmen. […]“ (Zitat aus http://news.toptarif.de/internetbetrug-welche-risiken-gibt-es-fuer-unternehmen-teil-1/)
Dass die Folgen für Unternehmen gravierend sein können, zeigen allein die entstandenen Kosten durch Cybercrime. Weltweit hatten laut einer Umfrage des Dienstleisters PwC Großunternehmen (Jahresumsatz: über 1 Milliarde US-Dollar) im Jahr 2013 Kosten von 3,9 und 2014 von bereits 5,9 Millionen US-Dollar durch Internetbetrug. Diese steigende Tendenz zeigt sich ebenso bei den bemerkten Cyberangriffen auf die Unternehmen.
In Mecklenburg-Vorpommern sei laut Berichten vom Dezember letzten Jahres eine deutliche Zunahme an Internetkriminalität zu verzeichnen. Allein der Internetbetrug hätte sich im Vergleich zum Jahr 2013 in der Anzahl an Straftaten um 40 Prozent gesteigert. Das Landeskriminalamt in Mecklenburg-Vorpommern vermutet daher für die Zukunft einen weiteren erheblichen Anstieg an Cybercrime. Ähnliche Tendenzen sieht aktuell auch das Bundeskriminalamt und betont im Besonderen die sich ändernde Täterstruktur als zukünftiges Problem. Mehr und mehr entwickeln sich diese von hochqualifizierten Einzelgängern hin zu zusammenarbeitenden und international agierenden Tätergruppen, die sich ganze kriminelle Infrastrukturen im Netz aufbauen. Entsprechend müssen sich vor allem die Kriminalämter auf wachsende Herausforderungen einstellen und deutlich in puncto technisches Wissen und Equipment sowie ausreichend spezialisiertes Personal aufrüsten.
Sollte sich die prognostizierte Zunahme an Internetbetrug bestätigen, werden umfassende Schutzmechanismen sowohl für jede Privatperson als auch für Unternehmen und andere Organisationen essentieller denn je. Fraglich bleibt nur, wie erfolgsversprechend solche Maßnahmen im Einzelnen sind und ob der perfekte Schutz vor Internetbetrug überhaupt existiert.
Um mehr Sicherheit auf dem Computer zu realisieren, sollten in erster Linie die technischen Voraussetzungen geschaffen sein:
Antivirenprogramm
Jeder Computer sollte zumindest über eine Basisversion verfügen. Dise stehen meist kostenlos zur Verfügung. Kostenpflichtige Versionen verfügen entsprechend über mehr Funktionen. Für einen umfassenden Virenscan sollte das Programm über eine Datenbank mit bekanntem Virenmuster verfügen, die Festplatte nach Viren scannen können, neue respektive unbekannte Viren anhand einer Heuristik ausfindig machen können und einen Mailscanner sowie Virenwächter besitzen. Schließlich sind die Programme stets zu aktualisieren.
Browsereinstellungen
Beim Browser selbst können ebenfalls Sicherheitseinstellungen getätigt werden, wobei hier darauf zu achten ist, dass die Funktionalität nicht gänzlich eingeschränkt wird. Wer etwa auf Plug-ins wie Flash oder Java angewiesen ist, sollte sie so konfigurieren, dass vor deren Aktivierung eine Nutzerabfrage erfolgt.
Firewalls
Das Einrichten einer Firewall fungiert als Sicherheitssystem vor unwissentlichen Netzzugriffen, indem sowohl eingehende als auch ausgehende Daten kontrolliert werden. Auf jedem Windows-PC ist eine Firewall aktiv. Auf Macs ist sie standardmäßig ausgeschaltet. Wer sich in öffentliche Netze einlogged, sollte sie unbedingt aktivieren. Zuhause oder am Arbeitsplatz wird die Firewallfunktion von Routern oder speziellen Appliances übernommen.
Mit IPv6 erscheint jedes Deivce im Internet mit einer eigenen Adresse. Dementsprechend sollten man darauf achten, dass Router die Firewallfunktion auch für IPv6-Netze beherrschen. Die meisten Heimgeräte dürften aufgrund fehlender Rechenleistung hierzu nicht in der Lage sein.
Unternehmen wie Privatanwender sollten den Schutz ihrer Infrastruktur regelmäßig überprüfen, ob diese noch zeitgemäß ist. Ein Blick auf die sogenannten Next Generation Firewalls könnte sich lohnen.
Verschlüsselung
Ein weitere Schutzmaßnahme betrifft das Verschlüsseln von Nachrichten und Dokumenten. Sie kann zwar keinen Angrtiff von Cyberkriminellen abwehren, den Schaden aber möglichst kleinhalten, da durch die Verschlüsselung zumindest sichergestellt ist, dass die Angreifer die Nachrichten respektive Dokumente nicht lesen können. Nützlich sind auch Funktionen wie DLP Document Fingerprinting, die gewährleisten, dass bestimmte Formulare nicht per E-Mail versendet werden können.
Desktop/Workplace as a Service (D/Waas)
Für Unternehmen kann es außerdem ratsam sein, bestimmte Computer-Arbeitsplätze in die Cloud auszulagern. Dadurch kann ein zentrales Sicherheitsmanagement erfolgen. Mehr Flexibilität versprechen solche Lösungen ebenfalls.
Gerade Unternehmen sind auf die Sicherstellung vertraulicher Daten angewiesen. Hierzu zählen meist bestimmte Personal- und Kundendaten, Finanzdaten oder auch Geschäftsgeheimnisse. Nach Meinungen von Fachleuten liegt das größte Problem nicht im vorhandenen Sicherheitssystem der Rechner, sondern meist in der unzureichenden Sensibilisierung der Mitarbeiter. So sollten diese dahingehend geschult werden, welche Daten kommuniziert werden können und welche nicht. Allerdings setzt dies im Vorfeld eine klare Definition vertraulicher Daten seitens der Geschäftsleitung voraus. Hierfür sollten laut einem Artikel auf it-sicherheit.de entsprechende Daten dahingehend klar klassifiziert werden. Große Gefahren bestehen beispielsweise im Social Web. Mitarbeiter sollten Grenzen der Kommunikation genau kennen und entsprechend handeln.
Als Unternehmen ist weiterhin die Absicherung der Daten durch sichere Passwörter von zentraler Bedeutung und zudem sollten Verschlüsselungen von beispielsweise mobilen Datenträgern erfolgen. Nicht nur für Unternehmen auch für Privatpersonen gilt, alle Passwörter in keinem Fall zentral auf dem Computer zu speichern. Zu groß ist die Gefahr, dass diese durch Malware ausgespäht werden.
Weitere Verhaltensregeln
Egal, ob für ein Unternehmen oder eine Privatperson, einen hundertprozentigen Schutz vor Angriffen von Internetkriminellen gibt es im Grunde nicht. Ein Unternehmen wird nie absolut gewährleisten können, dass nicht doch ein Mitarbeiter schädliche Software unwissentlich herunterlädt und auch als Privatperson kann bereits ein unaufmerksamer Klick auf einer unbekannten Webseite ausreichen, dass der Computer mit einem Virus infiziert wird.
Das heißt allerdings nicht, dass ein umfassender technischer Schutz sowie ein aufmerksamer Umgang mit dem Internet letztlich sinnlos wären. Im Gegenteil, jede Sicherheitsmaßnahme hilft, einen gewissen Grad an Sicherheit zu gewährleisten und die Wahrscheinlichkeit zu reduzieren, Opfer von Cybercrime zu werden.
Schutz vor Internetbetrug soll schließlich auch die jeweilige Gesetzgebung bieten. So gibt es allein in Deutschland unterschiedliche Gesetze, die das jeweilige Vergehen sowie das Strafmaß definieren sollen. Aber auch die Polizei versucht durch Kompetenzaufbau und strategische Fahndung den Tätern besser auf die Schliche zu kommen.
Grundsätzlich greifen rund um das Internet zahlreiche unterschiedliche Gesetze (hier gibt es eine Übersicht). In Bezug auf Internetbetrug kann aber folgendes Gesetz als zentral erachtet werden:
„(1) Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflußt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.[…]“ (http://www.gesetze-im-internet.de/stgb/__263a.html)
Daneben sind weitere Gesetze zu nennen:
202a Ausspähen von Daten: Link zum Gesetz: http://www.gesetze-im-internet.de/stgb/__202a.html
265a Erschleichen von Leistungen: Link zum Gesetz: http://www.gesetze-im-internet.de/stgb/__265a.html
303a Datenveränderung: Link zum Gesetz: http://www.gesetze-im-internet.de/stgb/__303a.html
303b Computersabotage: Link zum Gesetz: http://www.gesetze-im-internet.de/stgb/__303b.html
Strafrechtliche Verfolgung
Zur strafrechtlichen Verfolgung von Delikten des Internetbetrugs rüsten die einzelnen Polizeibehörden in unterschiedlichen Bereichen laut eigenen Angaben auf. So existieren vermehrt Schwerpunktkommissariate sowie Netzfahnder. Des Weiteren würden mehr Informatiker eingestellt werden, damit ausreichend Know-how auf diesem Gebiet vorhanden ist. So beschreibt es zumindest die Bayerische Polizei.
Trotz zunehmender Gesetze ist als zentrales Problem der relativ lange Prozess der Gesetzgebung zu nennen. Denn bis ein Gesetz zu einem speziellen Internetbetrugsfall in Kraft tritt, kann dieses bereits durch Veraltung oder neuerer Problemstellungen an Relevanz verloren haben. Trotz Ausweitung der Kompetenzen sieht sich im Allgemeinen die Polizei nicht selten mit personellen Engpässen konfrontiert und auch die Fahndung nach ausländischen Tätern stellt sich oftmals als unmöglich heraus. Des Weiteren seien laut Kritikern die technischen Gegebenheiten in den Polizeibehörden Deutschlands bei weitem nicht so modern und gut ausgebildet – das bayerische Landeskriminalamt sei hier eher als positive Ausnahme zu nennen.
Ergebnis: Eigenschutz ist der beste Schutz
Insgesamt existiert keine absolute Sicherheit vor Internetbetrug. Die aktuellen Zahlen allein verdeutlichen eine zunehmende Tendenz solcher Delikte, die in unterschiedlicher Form daherkommen. Segen und Fluch zugleich sind die technischen digitalen Fortschritte, die zum einen neue Nutzungsmöglichkeiten erlauben und zum anderen Betrügern neue Türen für Internetbetrug ermöglichen. Die Herausforderungen für Staat, EU und die Polizeibehörden wachsen in der Hinsicht, dass mehr und mehr eine schnelle Reaktion von den Institutionen gefordert ist.
Letztlich befinden sich Verbraucher und auch Organisationen wie Unternehmen aber nicht in einer ausweglosen Situation. Jeder einzelne kann durch passende technische Schutzmechanismen eine wichtige Basis vor Internetbetrug schaffen und durch einen kritischen und aufmerksamen Umgang mit Daten sowie durch ein kritisches Verhalten im Netz den potentiellen Tätern bis zu einem gewissen Grad Einhalt bieten. Unternehmen können die Wahrscheinlichkeit von „Cyber-Angriffen“ durch Sicherheitsstrategien und durch laufende Sensibilisierung der Mitarbeiter in Schulungen oder Seminaren reduzieren. Alles in allem ist niemand vor Internetbetrug sicher, allerdings minimiert sich die Wahrscheinlichkeit eines Deliktes erheblich durch entsprechende Prävention.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…