Internetkriminalität

Unter diesem Titel erlebten wir eine Gemeinschaftsveranstaltung der Kriminalpolizei,
dem Nachbarschaftsheim Darmstadt und unserer Vereinigung Feierabend Regionalgruppe Darmstadt. Das Nachbarschaftsheim begrüßte die Besucher mit einem außen aufgestellten Hinweis.

Als Referenten konnten wir Herrn Kriminaloberkommissar Michael Rühl und Herrn Dipl.- Informatiker Konstantin Sack vom Zentralkommissariat ZK50 der Kriminaldirektion des Polizeipräsidium Südhessen gewinnen, die uns umfangreich informierten.

Hierüber möchte ich nun berichten, füge aber auch hin und wieder eigene Erkenntnisse ein.

Wie gerade jüngst zu hören war gründete die Bundesregierung 3 Europäische Sicherheitszentren und eines davon in Darmstadt. Nach der Methode: Zuerst kam der Dieb und danach das Schloss geht es noch heute im Internet zu. Microsoft beispielsweise entwickelt seine Programme oftmals hastig – und manches Mal mit fehlerhaften Lücken – denn man will Programme verkaufen. Erst spät fällt den Firmen dann ein, dass etwas fehlt. Wichtige Updates werden dann nachgeschoben – eben manches Mal wieder fehlerhaft, so dass die Diebe wieder Lücken finden....

Diese Sicherheitszentren sollen nun das entwickeln, wozu die etablierten Firmen nicht willens, oder fähig sind. Bis dies aber soweit sein wird surfen wir immer wieder im Internet und wie manche meinen oftmals zu sorglos. Die neuesten Meldungen in den Medien scheinen dies auch zu belegen: Im letzten Jahr fand mit mehr als 50.000 Fällen eine Steigerung der kriminellen Machenschaften um 33 % statt, beim Online Banking sogar um 68 %. Die Dunkelziffer aber mag noch viel höher sein. Und es kann alle treffen, egal in welchem Alter man vor dem Bildschirm sitzt.

Wie kam es zum Internet? Im Jahr 1969 entstand erstmals mit ARPANET der Advanced Research Projekt Agency (ARPA) am US-Verteidigungsministeriums ein System zur Vernetzung der Informationen von Universitäten und Forschungseinrichtungen. Das eigentliche Ziel war die damals begrenzten Rechnerkapazitäten zuerst in USA und danach weltweit zu nutzen. Der Beginn der Verbreitung des Internets ist eng mit der Entwicklung des Betriebssystem Unix verbunden. Viele Schritte waren dazu erforderlich, damit sich das Internet überhaupt verbreiten konnte. Am Anfang wurde der E-Mail Verkehr saloonfähig und enorm genutzt. Mit der Erfindung des World Wide Web, kurz www 1989 bei CERN in Genf begann der Siegeszug des Systems weltweit.

Inzwischen kommt kaum ein Berufszweig ohne Internet aus. Rund vierzig Millionen Bewohner in Deutschland haben einen Internetzugang, wobei es im Jahr 2015 circa vier Milliarden Internetteilnehmer weltweit geben wird. Ein besonders starkes Wachstum wird in den Bereichen Unterhaltung und soziale Netzwerke erwartet. Dabei ist das Internet allgegenwärtig und zwar: Auf stationären und tragbaren Computern, auf Telefonen und anderen mobilen Endgeräten, auf Spielkonsolen und TV- Endgeräten, als Buch- und Musikspeicher, in Fahrzeugen und in der Bahn, in Haushaltsgeräten und auch immer mehr in den Zimmern und Schultaschen von Kindern und Jugendlichen.

Dabei ist das Netz voll Licht und Schatten. E-Mail, Chat und Messenger lassen sich nur schwer kontrollieren. Im Netz ist man nicht anonym. Kriminelle nutzen das Internet in zunehmendem Maß. Hier aber ist jeder von uns gefordert: Oftmals werden persönliche Daten, wie der echte Namen, Alter, Adresse und Telefonnummer abgefragt und von uns bedenkenlos eingegeben. Die unterschiedlichsten „Datensammler“ tragen alle im Netz vorhandenen Daten und Bilder in Datenbanken zusammen und veröffentlichen diese vielfältig im Internet. Wer dann auch noch irgendwo eingibt, dass er in Urlaub geht, braucht sich nicht zu wundern, wenn seine Wohnung in seiner Abwesenheit Besuch erhält. Immer wieder aber werden junge Leute gewarnt zu sorglos Partybilder und ähnliches ins Netz zu geben, weil künftige Arbeitgeber das Netz nach unliebsamen Informationen ihrer zukünftigen Mitarbeiterinnen und Mitarbeitern durchsuchen. In diesem Zusammenhang gilt besondere Beachtung den sozialen Netzwerken wie beispielsweise Facebook, oder SchülerVZ und studiVZ – und andere.

Konto Nummern und ähnliche Angaben sind ebenfalls sehr sensibel. Dennoch gibt es Situationen, wo sich diese Dateneingabe nicht verhindern lässt, wie beispielsweise beim Online-Banking . Hier aber muss man beachten, ob man sich auf der Originalseite der Bank befindet und nicht auf einer geschickten Fälschung. Um sicher zu gehen muss hierzu auf zwei Dinge geachtet werden: Zum einen erscheint in der Adressleiste nicht http://www.superbanking.de, sondern https://superbanking.de, wobei anstelle von http:/ ein s angehängt sein muss für Sicherheit, nämlich https:/. Zum anderen muss ein Vorhangschloss zu sehen sein und zwar entweder am rechten Ende der Adressenleiste, oder rechts unten am Bildschirmrand links neben der 100% Anzeige zur Abbildungsgröße. Diese beiden Merkmale erscheinen aber meistens erst, wenn man Konto-LogIn angeklickt hat.

Doch auch dann kommt es noch darauf an, dass man mit einem sicheren TAN-Verfahren arbeitet. Es sollte mindestens iTAN sein, mobile TAN mit TAN- Generator, oder Chip-TAN.

Beim dem klassischen PIN/TAN-Verfahren erhält der Kunde von seiner Bank eine persönliche Identifikationsnummer (PIN) und eine Liste mit TransAktionsNummern (TANs). Mit der PIN schafft man sich den Zugang zum eigenen Online Konto. Mit der TAN wird die jeweilige Transaktion bestätigt.

Das iTAN-Verfahren umgeht die Gefahr des „Phishings“ („nach persönlichen Daten angeln“), wobei mit einer gefälschten www-Seite eines Geldinstituts die PIN und TAN des Kunden abgefragt werden, um danach eine beliebige Summe von seinem Konto abzubuchen. Beim iTAN-Verfahren nämlich erhält der Kunde – wie beim klassischen TAN-Verfahren – eine Liste mit TANs. Die Bank verlangt nun im Laufe der Transaktion eine bestimmte TAN Nummer, beispielsweise 58, die man dann in der Liste ausstreicht, denn diese Nummer wird nie mehr abgefragt. Ein Missbrauch durch einen Phisher ist dabei mehr, als gering. Kritiker allerdings sehen noch immer eine kleine Gefahr und empfehlen noch bessere Verfahren.

Beim eTAN-Verfahren erhält der Kunde ebenfalls einen Identifikationspin per Post zugesandt. Anstelle einer TAN-Liste aber erhält man auf dem Postweg einen „TAN-Generator“, ähnlich einem Kartenlesegerät. Während der Transaktion erzeugt die Bank eine Kontrollnummer. Diese gibt man in den TAN-Generator ein, der eine eTAN ermittelt. Diese gibt man in das Überweisungsformular ein und schließt den Vorgang ab. Ein Phishing ist so nicht möglich, weil der TAN-Generator keinen Zugang zum Rechner benötigt. Allerdings ist das Ausspähen von Daten hierbei noch immer möglich.

Wer auch dies vermeiden will müsste sich für das eTAN plus Verfahren entscheiden. Hierbei verwendet man anstelle des TAN-Generators ein Kartenlesegerät, in das man seine Bankkarte einschiebt. Die Karte verfügt über einen geheimen Schlüssel, der zusammen mit einer Kontrollnummer der Bank eine gültige TAN Nummer erzeugt. Diese Nummer ist unabhängig von den jeweiligen Angaben im Überweisungsformular und kann von Fremden nicht ermittelt werden.

Grundsätzlich gilt Vorsicht walten zu lassen, wenn man sich mit Bank- und ähnlichen Geschäften einlässt. Dies gilt auch für E-Mails. So erhalte ich sehr oft ein E-Mail von der Postbank, wo ich zwecks Datenabstimmung aufgefordert werde meine persönlichen Daten einzugeben, einschließlich der geheimen Zugangsnummern. Der Haken dabei allerdings ist der, dass ich zur Postbank keinerlei Verbindung habe und auch vertraute Banken würden solche Daten niemals per E-Mail Kontakt abfragen.

Es lauern jedoch noch weitere Gefahren im Internet. So wird es immer Mal erforderlich ein Programm herunter zu laden, will man beispielsweise Bilder, oder Filme ansehen, die kostenlos angeboten werden. Die erforderlichen Programme sind meistens ebenfalls kostenlos und hier gilt es aufzupassen: Wer auf eine E-Mail Nachricht reagiert und etwas herunter laden will, oder wer über eine Suchmaschine nach diesem Programm sucht gerät oft auf kriminelle Seiten. Diese versprechen das Herunterladen des kostenlosen Programms. Im Kleingedruckten aber steht irgendwo, dass man hiermit ein Jahresabonnement zum Preis von 96 Euro abgeschlossen hat. Wer nicht zahlt erhält bald Post von einem Inkassobüro mit weit höheren Forderungen. Kostenlose Programme müssen kostenlos sein. Wer also nach seinen persönlichen Daten gefragt wird, der muss besonders aufpassen, ob er sie eingibt. Das Landgericht Frankfurt/Main hat kürzlich ein Urteil gefällt wegen des Verstoßes zur Preisangabeverordnung (Aktenzeichen: 2-03 O 556/09), doch müssten die Politiker in Berlin endlich einmal aufwachen und umfangreich tätig werden. Und da bleibt noch viel zu tun.
Doch auch wir sind gefordert: So wurde nun bekannt, dass wenige Stunden nach der Tsunami-Katastrophe in Japan Online-Kriminelle auftraten. Sie nutzen das Informationsbedürfnis der Leser schamlos aus. Wer in Suchmaschinen nach „Earthquakes in Japan“ suchte geriet leicht auf gefälschte Seiten. Klickte man sie an geriet man auf infizierte Webseiten mit gefälschten Antivirenprogrammen und wurde unter Umständen auf andere Schad-Software umgeleitet. Es bleibt nur aufzupassen, dass man sichere Quellen zur Deckung seines Informationsbedürfnisses verwendet.
Bei ihren Recherchen unterschiedet die Polizei zwei Bereiche, nämlich in:

Straftaten, bei denen der PC Tatmittel und –ziel ist, wie Schadhafter Code, Dos und DDoS-Attacken, Viren, Spam und Cyber-Terrorismus.

Straftaten bei denen der PC Tatmittel ist, wie Cyber-Stalking, Cyber-Mobbing/Bullying, Betrugs- & Identitätsdiebstahl, Phishing & Skimming sowie Kinderpornografie. Auch hierzu wurde umfangreich berichtet.

Abschließend ging es noch um das Urheberrecht für geschützte Werke der Literatur, Wissenschaft und Kunst sowie Lichtbildwerke und Lichtbilder. Hier aber sind wir von Feierabend besonders gefordert, stellen wir doch öfters Texte und Bilder auf den Webseiten von Feierabend ein.

Wenn man die kleineren Bilder mit der linken Maustaste anklickt werden diese vergrößerst.

Zum Schluss bleibt uns nur ein erneutes Danke an die beiden Referenten der Kripo und auch an die Geschäftsleitung vom Nachbarschaftsheim Darmstadt, weil wir diese Veranstaltung gemeinsam in deren Räumen durchführen konnten.

Bericht: Richard
Bilder: Arnulf, Kripo, Richard