Ransomware

Ransomware ist zumindest seit den Jahren 2015/2016 ein massiv gestiegenes Problemfeld: Als Ransomware werden üblicher Weise Schadprogramme bezeichnet, die Daten oder ganze Systeme verschlüsseln und den Zugriff darauf verhindern. Zur Freigabe wird die Zahlung eines Lösegeldes (auf englisch: “ransom”) gefordert.  Es geht also im Kern um eine Kombination aus Datenveränderung/Datenunterdrückung und digitaler Erpressung. Eine Variante hiervon ist Ransomware, die zwar nicht verschlüsselt aber durch sonstige Manipulation – etwa des Dateisystems – den Zugriff auf Daten verhindert.

Ransomware kann sich ideal verbreiten durch kontaminierte Dateianhänge an Mails und sorglose Internetnutzer. Gegen Ransomware hilft aus meiner Sicht am besten eine präventive Tätigkeit: Rotierende Backups, ein durchdachtes IT-Sicherheitskonzept und geschulte Mitarbeiter. Sollte der Fall der Fälle eingetreten sein ist ein allgemeiner Rat, nicht auf Forderungen von Erpressern einzugehen; jedenfalls aber lohnt es sich, dauerhaft die folgenden Entwicklungen im Blick zu haben, die notwendigen Masterschlüssel für eine Entschlüsselung werden nicht selten im Nachhinein (irgendwann) bekannt.

Virus: Trojaner Locky

Für immer mehr Unsicherheit sorgt der Trojaner “Locky”, der nach einiger Wartezeit Dateien auf dem eigenen Rechner verschlüsselt und zur Zahlung auffordert, um eine Entschlüsselung zu erreichen.

Bei dem Verhalten handelt es sich um ein offenkundig strafbares Verhalten: Zum einen liegt mindestens eine versuchte Erpressung vor (§253 StGB) aber auch eine strafbare Datenveränderung die bereits im Verschlüsseln der Dateien zu erkennen ist (§303a Abs.1 StGB). Da von einem koordinierten Handeln auszugehen ist, wird jedenfalls das Merkmal der gewerbsmäßigkeit kein Problem darstellen, so dass eine Freiheitsstrafe von mindestens 1 Jahr im Raum steht.

Es gibt angesichts solcher Bedrohungen, die in Zukunft zunehmen dürften, vor allem einen Rat: Sauber getrennte und laufend aktuell gehaltene Backups auf externen Datenträgern. Unternehmen die gehackt wurden finden einen speziellen Beitrag von mir dazu; grundsätzlich sei ohnehin geraten, von Zahlungen Abstand zu nehmen. Es bleibt insbesondere abzuwarten, ob sich nicht nach einer gewissen Wartezeit ein Tool ergibt, dass die Verschlüsselung wieder rückgängig machen kann, dies wäre nicht das erste Mal in einem solchen Fall.

Links dazu:

DDOS-Angriff: Bericht aus einer Strafverhandlung

Meinem Mandanten wurde ein DDoS-Angriff vorgeworfen. Er hatte – freilich ohne dazu beauftragt worden zu sein – eine Webseite auf Sicherheitslöcher “prüfen” wollen, indem er ein Penetrationstool (wie Acunetix) eingesetzt hat. Der etwas betagte Server ging in die Knie und brach letztlich ganz zusammen. Der Betreiber erstattete Strafanzeige, letztlich wurde Anklage erhoben wegen einer begangenen Computersabotage entsprechend §303b StGB. Mit der Anklageschrift kam ich ins Spiel.
“DDOS-Angriff: Bericht aus einer Strafverhandlung” weiterlesen

Cybercrime Bundeslagebild 2014

Ich hatte zuletzt etwas zur Statistik 2012 geschrieben, inzwischen gibt es einige bemerkenswerte Änderungen, auf die das BKA hinweist und die sich aus meiner Sicht ergeben:

  1. So ist als erstes zu sehen, dass seit dem Jahr 2014 Delikte des Cybercrime nur noch in der polizeilichen Statistik erfasst werden, wenn konkrete Anhaltspunkte für eine Tatbegehung in Deutschland vorliegen. Das bedeutet, dass Zahlen ab 2014 keine brauchbare Vergleichsbasis zu vorhergehenden Zahlen darstellen, man sollte daher die Zahlen getrennt betrachten.
  2. Für das Jahr 2013 war noch zu sehen, dass 64.426 Fälle von Cybercrime festgehalten wurden – dies stellte lediglich eine Steigerung von rund 1 Prozent gegenüber dem Vorjahr (63.959) dar.
  3. Im Jahr 2014 wurden dann fast 50.000 Straftaten im Bereich des Cybercrime im engeren Sinn festgestellt. Das BKA erfasst hierunter alle Straftaten, die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten.
  4. Bei der Verteilung der Straftaten ist zu sehen, dass gut 22.300 Taten auf den Computerbetrug entfallen, was fast der Hälfte anteilig an den Straftaten entspricht. Weitere Straftaten mit Bedeutung waren die „Fälschung beweiserheblicher Daten” sowie die „Datenveränderung/Computersabotage“.
  5. Eine immer noch, insbesondere vom Mittelstand, unterschätze Gefahr sind gezielte Angriffe auf die Infrastruktur von Firmen (Stichwort Wirtschaftsspionage). Es ist seltsam, dass dieser Bereich zwar immer stärker von der Polizei betont wird, aber kaum von Unternehmen ernst genommen wird.

Download: Bundeslagebild Cybercrime 2014

Landgericht Düsseldorf bestätigt: Denial of Service ist strafbar

Sind “Denial-of-Service”-Attacken strafbar? Ich habe das in der Vergangenheit bereits bejaht (hier ausführlich nachzulesen), nunmehr gibt es ein aktuelles Urteil (Landgericht Düsseldorf, 3 KLs 1/11, hier bei OpenJur) – meines Wissens sogar das erste Urteil – dass die Strafbarkeit einer DDoS-Attacke untersucht und bejaht.

Im Sachverhalt ging es um die klassische Variante: Der Angeklagte hat mehrere Unternehmen angeschrieben und verlangt, dass eine bestimmte Summe gezahlt wird. Ansonsten würde er die Firmenwebseiten mittels DDoS-Attacken “lahm legen”. Immerhin in 3 Fällen wurde ihm Geld gezahlt (2x 2.000 Euro, 1×1.000 Euro – alles via UKash), in 3 weiteren Fällen wurde nicht gezahlt. Dabei wurden sämtliche Seiten mehrmals “lahm gelegt”, insbesondere zur Untermauerung der Geldforderung. Zur DDoS-Attacke nutzte der Angeklagte einen gemiteten russischen Server, über den er wiederum auf ein Bot-Netz zurückgriff. Zur Vertiefung empfehle ich den Wikipedia-Artikel und verzichte auf Ausführungen zum Aufbau eines BotNets sowie zu Botnet-Operatoren.

Das Landgericht Düsseldorf sah in allen 6 Fällen eine unproblematische Strafbarkeit wegen Computersabotage nach §303b I Nr.2 StGB, wobei von einer “gewerbsmäßigen Computersabotage” ausgegangen wird, da Firmeninteressen betroffen sind (§303b II StGB). Bemerkenswert ist, dass die Subsumtion des Gerichts hinsichtlich der Computersabotage mit jeweils einem Satz auskommt, was nochmals unterstreichen sollte, wie unproblematisch die Feststellung der Strafbarkeit einer DDoS-Attacke ist.

Hinweis: Neben der Computersabotage wurde selbstverständlich noch die Strafbarkeit wegen (versuchter) gewerbsmäßiger Erpressung festgestellt, was wenig überraschen sollte. Ich sehe hier keinen Ansatz für eine weitergehende Vertiefung.

Das Ergebnis: Die Entscheidung des LG Düsseldorf überrascht nicht und liegt auf einer Linie mit meiner früheren Analyse. DDoS-Attacken sind keine Bagatell-Delikte. Dabei sind gerade Teenager aufgerufen, die Konsequenzen einer scheinbar anonymen Attacke – etwa im Rahmen von gruppenbasierten Angriffen wie von Anonymous – nicht zu unterschätzen, auch hinsichtlich evt. auflaufender zivilrechtlicher Schadensersatzansprüche. Die Entscheidung aus Düsseldorf sollte wachrütteln und warnen. Evt. anders lautende Analysen im Internet sind kritisch zu sehen. Insbesondere wenn sich auf eine frühere Entscheidung des OLG Frankfurt a.M. berufen wird, ist hier nur kurz festzustellen, dass diese Entscheidung auf Grund der Änerungen des StGB sich schlicht überholt hat. Dazu kommt die Problematik, dass auch der Versuch bereits unter Strafe stehen wird (§303b III StGB).

Dazu ausführlich:

Update: Es gibt nun erste Zweifel, ob der §303b StGB verfassungsgemäß ist – zum einen, weil er zu unbestimmt sein soll. Diesen Gedanken finde ich zwar nachvollziehbar, teile ihn aber nicht, da letztlich m.E. die Grenzen der Bestimmtheit (noch) eingehalten werden. Dass Wertungsgesichtspunkte bei der Analyse der Datenverarbeitung eine Rolle spielen ist im StGB keineswegs selten und gerade im Daten-Strafrecht ein typisches Kriterium. Dies gerade, da man häufig mit einem bestimmungsgemäßen Gebrauch einer Datenverarbeitung, einfach durch Häufigkeit, Probleme hervorrufen kann. Es verbleibt bei vielen Szenarien alleine die Intention des Handelnden als Differenzierungskriterium. Daneben wird angemerkt, dass eine Ähnlichkeit zum §202c StGB besteht, der ja bereits das BVerfG beschäftigt hat. Auch das ist auf den ersten Blick nachvollziehbar, wird von mir aber abgelehnt: Zum einen ist mit dem BVerfG gerade festzustellen, dass die Wertung auf Grund der Intention des Handelnden keinen Bedenken begegnet. Zum anderen stellt der §303b StGB – anders als der §202c StGB bei weiter Auslegung – eben nicht auch grundsätzlich rechtmässiges Verhalten unter Strafe.

Zu guter Letzt möchte ich darauf verweisen, dass bis heute – also nach nunmehr 5 Jahren Existenz des §303b StGB – weder in der Literatur noch in der Rechtsprechung jemals Zweifel an der Verfassungsmässigkeit der Norm aufgekommen sind. Dabei ist in der Begründung zum §303b StGB nachzulesen, dass ausdrücklich DDoS-Attacken unter Strafe gestellt werden sollten – auch das begegnete niemals irgendeiner Form von Kritik. Stattdessen war von Anfang an klar, dass die Norm restriktiv anzuwenden ist (dazu nur Hilgendorf/Wolf in K&R 2006, S.541ff.)

Distributed Denial of Service (DDoS) Attacken: DDoS Strafbar?

Aktuell sind wegen der Wikileaks-Debatte und so genannter “Rache”-Aktionen u.a. der Gruppe “Anonymous” so genannte DDoS-Angriffe wieder in aller Munde. Spätestens nachdem in den Niederlanden der zweite jugendliche “Hacker” von der Polizei festgenommen wurde, der sich an einem solchen DDoS-Angriff beteiligt haben soll, stellt sich auch zunehmend die Frage nach der Strafbarkeit. Bei Telemedicus etwa wurde es schon (sehr kurz) thematisiert, auch Stadler hat bereits etwas längeres dazu verfasst. Speziell wegen des Mythos des “Online-Demonstrationsrechts” in diesem Zusammenhang möchte ich das weiter konkretisieren.

“Distributed Denial of Service (DDoS) Attacken: DDoS Strafbar?” weiterlesen