SZ + Deutschland & Welt
Merken

So funktioniert heute Erpressung im Internet

Ein Gespräch mit Oberstaatsanwalt Thomas Linke, der Cyberkriminelle jagt, über gängige Erpressungen im Netz. Und was man als Betroffener tun kann.

 16 Min.
Teilen
Folgen
Oberstaatsanwalt Thomas Linke, Abteilungsleiter IT-OK.
Oberstaatsanwalt Thomas Linke, Abteilungsleiter IT-OK. © Stefan Weger

Von Fatina Keilani

Erst griff der Trojaner Emotet das Kammergericht an, dann die Humboldt-Uni. Gewöhnlich folgt die Erpressung. Thomas Linke, Leiter der Abteilung IT-OK bei der Staatsanwaltschaft, hat täglich damit zu tun – und mit den vielen anderen Erscheinungsformen der Organisierten Kriminalität im Internet. Ein Interview über das Vorgehen der Täter, Sex-Erpressungen und kriminelle Arbeitsteilung.

Herr Linke, wie hat sich die Organisierte Kriminalität im Internet entwickelt?

Allgemein ist festzustellen, dass sich der Trend zur Professionalisierung weiter verfestigt hat. Die Täter sind auf praktisch allen Deliktsfeldern tätig, die mit Computern begangen werden können. Verfestigt hat sich auch der Trend zu einer kriminellen Arbeitsteilung. Einen Schwerpunkt bilden weiter und gerade auch aktuell Verschlüsselungstrojaner, insbesondere derzeit „Emotet“. Dieser erlangte in Berlin erst gerade jüngst traurige Berühmtheit durch die Berichterstattung zum Angriff auf das Kammergericht.

Welche Fälle sind bei Ihnen die häufigsten?

Die zahlenmäßig größte Rolle spielen weiterhin versuchte unvollendete Erpressungen über das Internet. Am verbreitetsten sind zwei Phänomene: Zum einen werden Benutzern heimlich und getarnt Schadprogramme untergeschoben, sogenannte Malware, welche die Daten auf dem Gerät verschlüsseln, wobei nachträglich Geld für die Mitteilung des für die Entschlüsselung nötigen Passworts verlangt wird.

Neben dem großangelegten Versand tausender E-Mails mit mehr oder minder sinnvollen Standardtexten geschieht dies inzwischen zunehmend sehr gezielt, das heißt die Täter übermitteln Texte und Anhänge mit Dateibezeichnungen, die zum Tätigkeitsfeld des Opfers passen oder in denen die Täter auf Stellenausschreibungen oder Verkaufsangebote Bezug nehmen.

Besonders besorgniserregend ist dabei, dass teils Malware verwendet wird, die aus den Adressbüchern übernommener Computer E-Mail-Adressen ausliest und an diese - scheinbar vom übernommenen Computer aus - Schadsoftware sendet. Die Empfänger können so nicht auf den ersten Blick erkennen, dass ihnen ein fremder E-Mail geschickt hat. Das gilt zum Beispiel auch für „Emotet“.

Die zweite weitverbreitete Masche sind E-Mails, die wahllos an eine Vielzahl von Internetnutzern geschickt werden und in denen die Täter behaupten, sie hätten den Rechner des Opfers nebst Videokamera übernommen und den Nutzer beim Pornokonsum beobachtet oder gefilmt. Man werde die so heimlich hergestellten Aufzeichnungen veröffentlichen, sofern nicht ein bestimmter Betrag gezahlt werde.

In jüngster Zeit ist es schwieriger geworden, schädliche Software automatisch und rechtzeitig als solche zu erkennen, weil die Programme so gestrickt sind, dass schädigende Teile, die von Virenscannern erkannt werden könnten, nicht gleich in die Software eingebaut sind, sondern erst von so genannten „Command and Control Servern“ nachgeladen werden.

Und wenn man zahlt, kriegt man den Schlüssel?

In den Fällen der Verschlüsselungstrojaner erhalten die Opfer das zur Entschlüsselung erforderliche Passwort in seltenen Fällen nach Bezahlung des geforderten Betrages auch tatsächlich.

Polizei und Staatsanwaltschaft raten für gewöhnlich davon ab, die Forderungen der Erpresser zu erfüllen. Große Firmen, aber auch Anwaltskanzleien, Arztpraxen, Handwerker leisten teils aber auch hohe Zahlungen, weil ein Datenverlust schlicht existenzbedrohend oder existenzvernichtend wäre.

[Lokale Mobilität ist immer wieder Themen in unseren Leute-Newslettern aus den Berliner Bezirken. Hier gibt's die Newsletter für alle zwölf Bezirke kostenlos: leute.tagesspiegel.de]

Und die Variante mit den Sex-Erpressungen?

Den Opfern wird eine anonyme Adresse für die Zahlung benannt, was übrigens bei den Verschlüsselungsfällen ebenso ist, und man wird zur Überweisung aufgefordert. Die Anzahl derer, die auf diese Forderung hereinfallen, ist allerdings deutlich geringer als bei den Verschlüsselungstrojanern, schon weil diese E-Mails immer ins Blaue an beliebige Empfänger versandt werden und die meisten ganz genau wissen, dass sie gar keine Webcam am Computer haben oder keine Pornoseiten angeschaut haben. Es gibt dann viele Anzeigen, aber meist nur wegen versuchter Erpressung.

Wie bezahlt man?

In den Erpressungsfällen werden die Opfer stets zur Zahlung in Kryptowährungen aufgefordert. Die größte Rolle spielt hierbei noch immer der Bitcoin. Es gewinnen aber auch andere Kryptowährungen an Bedeutung, zum Beispiel Etherium, Monero, Ripple. Es entstehen auch laufend neue Kryptowährungen, wir können da nur staunen!

Sie sprachen von krimineller Arbeitsteilung. Wie sieht die aus?

Das Stichwort hierzu lautet „crime as a service“. Der Begriff fasst die Arbeitsteilung der Täter untereinander zusammen. Das wird am besten an einem Beispiel klar. Werfen wir einfach mal einen Blick auf die oben genannten Erpressungsfälle mit Verschlüsselungstrojanern: Um diese Taten zu begehen, braucht es jemanden, der die Software programmiert.

Nach unseren Erkenntnissen führt die Spur der Programmierer meist irgendwo nach Osteuropa, wobei wir in Berlin noch keinen solchen Täter identifizieren konnten. Als nächstes braucht der Erpresser ein Netzwerk übernommener Computer, um die Schadsoftware unter die Leute, also an potentielle Opfer, zu verteilen, denn der Kriminelle kann ja schlecht von zu Hause aus handeln, weil das Entdeckungsrisiko zu hoch wäre und die Rechenleistung beziehungsweise die Internetverbindung nicht ausreicht.

Deswegen werden – wiederum mit Schadsoftware – durch Täter, die die Programmierer der Verschlüsselungssoftware nicht kennen, in großer Zahl fremde Computer im Internet übernommen und zusammengeschaltet. Wir nennen solche Verbände an gekaperten Computern Botnetze. Diese Botnetze werden dann zur Begehung von Straftaten an andere vermietet. Schließlich braucht unser Erpresser noch eine Bankverbindung, um die erpressten Bitcoin irgendwann einlösen zu können.

Hierzu wird entweder eine weitere Person als Finanzagent eingeschaltet oder man kauft ein auf falsche Personalien eingerichtetes Bankkonto, einen sogenannten Bankdrop.

Wer also im Internet mit Verschlüsselungstrojanern auf kriminelle Weise Geld erwirtschaftet, sucht einschlägige Boards im Internet auf und bedient sich der „Services“ des Programmierers, eines Botnetz-Betreibers und eines Finanzagenten/Bankdrop-Verkäufers.

Der Täter der Erpressung setzt dann nur noch seine eigene Bitcoin-Wallet in das Erpresserschreiben ein. Die Darstellung ist an dieser Stelle etwas verkürzt, reicht aber um das Prinzip aufzuzeigen. Ähnlich geschieht es auch mit allen anderen denkbaren Delikten.

Was ist ein Finanzagent?

Finanzagenten sind Leute, die entweder ihr ganz normales Konto Tätern für Geldeingänge zur Verfügung stellen oder im Auftrag von Tätern neue Konten zur Buchung krimineller Gelder einrichten. Ein Finanzagent kommt überall dort ins Spiel, wo am Ende einer Straftat Geld auf ein Konto fließen muss und der Täter nicht im Besitz eines Bankdrops ist. Das kann ganz bewusst, zum Beispiel im Austausch gegen einen Anteil an der Beute geschehen. Häufig werden Menschen aber auch durch unterschiedliche Methoden der Täuschung zu Finanzagenten gemacht. Relativ neu ist die Masche, Menschen ganz unbewusst zur Eröffnung von Konten zu bewegen.

Wie kann man denn ein Konto eröffnen, ohne dass man es merkt?

Das geschieht unter Verwendung von Identifizierungsdiensten im Internet. In der Regel wird den Betroffenen dabei vorgetäuscht, sie müssten sich für ein Arbeitsverhältnis oder einen Werkvertrag online über einen Videochat legitimieren. Tatsächlich erfolgt die Legitimation zur Eröffnung eines Kontos, was den Betroffenen verborgen bleibt.

Die Zugangsdaten zum Konto behalten die Täter, und schon verfügen sie über einen neuen Bankdrop. Das ist eines der besten Beispiele dafür, in welchem Maße sich in den letzten fünf Jahren die Cyber-Kriminalität professionalisiert hat. Entsteht eine neue Dienstleistungsform, ein neues Zahlungsverfahren, rückt das sofort in das Blickfeld Krimineller.

Der einsame Mann am Rechner, dem die weit entfernt lebende Russin etwas Zuwendung gibt und der dann für sie ein Konto eröffnet?

Sie sprechen damit den Klassiker des leichtfertig handelnden Finanzagenten an. Diesen gibt es noch immer. Meist wird er für seine „Bemühungen“ noch nicht mal entlohnt, hat aber eine Menge Scherereien mit den Behörden.

Früher beliebtes Ziel von Hackern, heute besser gesichert: Packstationen.
Früher beliebtes Ziel von Hackern, heute besser gesichert: Packstationen. © dpa

Der „Drop“ ist praktisch die Abwurfstelle für das kriminell gehandelte Gut, früher waren auch Packstationen beliebt als Drop. Was ist daraus geworden?

Die Fälle scheinen bei uns im Moment ausgestorben. Packstationen spielen derzeit kaum noch eine Rolle. Früher waren die leicht zu hacken. Aktuell sind sie besser abgesichert. In der Praxis werden jetzt mehr Warenagenten eingesetzt, was sich natürlich auch wieder von heute auf morgen ändern könnte.

Was sind denn nun wieder Warenagenten?

Salopp gesagt ist ein Warenagent ein Finanzagent für Gegenstände, in der Regel also für bestellte Waren. Bei Warenkreditbetrug stehen die Täter ja vor dem Problem, die Auslieferung der Ware sicherzustellen, ohne die eigene Identität und Adresse zu offenbaren. Deswegen schalten sie Dritte zur Entgegennahme oder Abholung der Ware ein. Diese Personen nehmen die Waren dann an der Tür entgegen oder holen sie ab. Auch Warenagenten handeln teils gut- und teils bösgläubig.

Welche Probleme sind unlösbar?

Es gibt aktuell hauptsächlich vier Probleme, die weder vom Gesetzgeber in Deutschland noch von den Staatsanwaltschaften oder der Polizei gelöst werden können: Das eine ist ein rein technisches Problem, nämlich die Möglichkeit zur wirksamen Verschlüsselung von Kommunikation und Datensammlungen. Es ist heute ohne weiteres möglich, Computer und Speichermedien so zu verschlüsseln, dass in mindestens 95 Prozent der Fälle eine Entschlüsselung durch die Ermittlungsbehörden nicht möglich ist.

Obwohl wir bei Durchsuchungen inzwischen sehr beherzt, nachdrücklich und schnell zugreifen – mehr will ich an dieser Stelle nicht sagen – ereignen sich immer wieder Fälle, in denen dem Täter beim Zugriff der Ermittler die Verschlüsselung noch gelingt und der dann kalt lächelnd daneben steht.

Eine weitere technische Schwierigkeit ist die Möglichkeit, Daten in der Cloud oder auf leicht zu versteckenden den kleinen Speicherkarten abzulegen. Man kann eine Menge beweisrelevanter Daten oder Zugangsdaten für Bitcoin-Wallets auf einem Chip speichern, der so klein ist wie ein Fingernagel, und den dann verstecken. Auch deswegen sind Durchsuchungen viel schwieriger geworden.

Daten, die in der Cloud gespeichert sind, saugen wir in der Mehrzahl der Fälle bei Durchsuchungen gleich mit ab. Das setzt aber voraus, dass wir von der Existenz von Cloud-Speichern erst mal Kenntnis bekommen. Steht der Cloud-Speicher im Ausland, können sich je nach Standort noch rechtliche Probleme ergeben.

Das führt zum dritten nicht lösbaren Problem, nämlich der Rechtshilfe und den unterschiedlichen Rechtsordnungen auf dem Globus.

Das vierte Problem, was zumindest auf nationaler Ebene nicht lösbar sein wird, ist die Existenz von Kryptowährungen. Diese gewährleisten recht weitgehend einen nur schwer bis gar nicht kontrollierbaren Zahlungsverkehr, was sich natürlich auch Kriminelle zunutze machen.

Was ist mit klassischeren Straftaten, etwa an Geldautomaten?

In Berlin hatten wir in letzter Zeit einige so genannte Jackpotting-Fälle. Auf dem Gebiet konnten in Berlin auch gute Ermittlungserfolge erzielt werden. Beim Jackpotting werden Geldausgabeautomaten durch Umprogrammieren angegriffen. Man verbindet dafür einen Computer über von außen zugängliche Schnittstellen des Geldautomaten und greift mit Software auf die Steuerung zu.

Dem Automaten wird dann ein Befehl ähnlich „Gib mir all Dein Geld“ geschickt. Der Automat öffnet dann die Klappe und spuckt die Scheine aus. Das geht bei einigen älteren Geldautomaten. Es gibt herumziehende Banden aus dem osteuropäischen Raum, die diese Möglichkeit gezielt nutzen. Natürlich funktioniert das nur bei schlecht gesicherten Geldausgabeautomaten.