Cybercrime (dt. Cyberkriminalität) bezeichnet Straftaten, die unter Ausnutzung der Informations- und Kommunikationstechnik (IKT) begangen werden. Man unterscheidet hierbei zwei Kernbereiche:

Cybercrime im engeren Sinne: Dies sind Straftaten, die sich gegen IT-Systeme oder Daten richten. Beispiele hierfür sind das Hacken von Netzwerken, die Verbreitung von Schadsoftware oder die Sabotage von IT-Infrastruktur.

Cybercrime im weiteren Sinne: Hier wird die Informationstechnik als Tatmittel für traditionelle Delikte genutzt. Dazu zählen Betrugsdelikte im Internet, illegaler Handel auf Darknet-Märkten oder die Verbreitung verbotener Inhalte.

Das Ziel der Täter ist fast immer finanzieller Gewinn, Wirtschaftsspionage, Sabotage oder die Beschaffung sensibler Informationen (BUNDESAMT FÜR SICHERHEIT IN DER INFORMATIONSTECHNIK, o.J.).

Die Methoden von Cyberkriminellen sind vielfältig und entwickeln sich stetig weiter. Die folgenden Ausprägungen stellen die aktuell relevantesten Bedrohungen für Unternehmen und Privatpersonen dar.

Beim Social Engineering wird der Faktor Mensch als Schwachstelle ausgenutzt. Täter manipulieren ihre Opfer psychologisch, um an vertrauliche Informationen (z.B. Passwörter, Finanzdaten) zu gelangen oder sie zu bestimmten Handlungen zu bewegen, wie der Überweisung von Geld oder dem Öffnen eines schädlichen Anhangs.

Die häufigste Form ist das Phishing, bei dem massenhaft gefälschte E-Mails, SMS (als Smishing bezeichnet) oder Webseiten von vermeintlich vertrauenswürdigen Absendern (z.B. Banken, Paketdienste) versendet werden. Ziel ist es, Zugangsdaten abzugreifen oder Malware zu installieren. Eine gezielte Form, das Spear Phishing, richtet sich an ausgewählte Personen oder Unternehmen und ist durch eine hohe Personalisierung deutlich überzeugender und gefährlicher.

Malware ist der Oberbegriff für jegliche Art von schädlicher Software. Zu den wichtigsten Kategorien gehören:

• Ransomware: Diese Schadsoftware verschlüsselt die Daten auf einem infizierten System oder sperrt den gesamten Zugriff darauf. Für die Entschlüsselung wird ein Lösegeld (engl. Ransom) gefordert, meist in Form von Kryptowährungen. Moderne Angriffe (sog. Double Extortion) beinhalten zusätzlich die Drohung, gestohlene Daten zu veröffentlichen, um den Druck auf das Opfer zu erhöhen.
• Trojaner: Getarnt als nützliche Anwendung, führt ein Trojaner im Hintergrund schädliche Funktionen aus. Dazu gehören das Ausspähen von Daten (Spyware), die Übernahme der Systemkontrolle (Backdoor) oder die Einbindung des Rechners in ein Botnetz.
• Viren und Würmer: Während sich ein Computervirus an eine Datei oder ein Programm heftet und dessen Ausführung zur eigenen Verbreitung benötigt, kann sich ein Computerwurm selbstständig über Netzwerke verbreiten, ohne dass ein Nutzer aktiv eingreifen muss.

Das Ziel dieser Angriffe ist es, einen Onlinedienst (z.B. eine Webseite oder einen Server) durch eine massive Flut von Anfragen so zu überlasten, dass er für legitime Nutzer nicht mehr erreichbar ist. Bei einem DDoS-Angriff erfolgt dieser Angriff koordiniert von einer Vielzahl gekaperter Systeme, einem sogenannten Botnetz, was die Abwehr erheblich erschwert. Solche Angriffe werden oft für Erpressungen (Ransom-DDoS) oder zur Sabotage eingesetzt.

Beim Identitätsdiebstahl entwenden Täter personenbezogene Daten (Name, Geburtsdatum, Adresse, Zugangsdaten), um im Namen des Opfers Straftaten zu begehen. Dies reicht vom Bestellen von Waren auf fremde Rechnung über die Eröffnung von Konten bis hin zur Übernahme von Social-Media-Profilen für Betrugs- oder Propagandazwecke.

Cybercrime ist kein Kavaliersdelikt, sondern wird in Deutschland strafrechtlich verfolgt. Relevante Tatbestände finden sich insbesondere im Strafgesetzbuch (StGB):

• § 202a StGB: Ausspähen von Daten
• § 202b StGB: Abfangen von Daten
• § 263a StGB: Computerbetrug
• § 303a StGB: Datenveränderung
• § 303b StGB: Computersabotage

Die Strafverfolgung wird durch die Anonymität und die internationale Vernetzung der Täter erschwert.

Der CCC leistet wichtige Aufklärungsarbeit über Sicherheitslücken und kritisiert oft eine „Sicherheit durch Unwissenheit“ (Security through Obscurity). Aus Sicht des Clubs ist die beste Verteidigung gegen Cybercrime ein aufgeklärter, mündiger Nutzer sowie offene und transparente Systeme. Der CCC warnt zugleich vor einer unverhältnismäßigen Ausweitung staatlicher Überwachungsbefugnisse unter dem Vorwand der Cybercrime-Bekämpfung, da diese die Privatsphäre und die IT-Sicherheit der Allgemeinheit gefährden können (CHAOS COMPUTER CLUB, o.J.).

Als Malware (malicious software) wird jede Software bezeichnet, die entwickelt wurde, um Computersysteme gezielt zu schädigen. Angreifer nutzen sie, um Daten zu stehlen, Systeme zu sabotieren oder finanziellen Gewinn zu erzielen.

Ein grundlegendes Verständnis der verschiedenen Malware-Arten ist für eine effektive Abwehr unerlässlich.

Ein Computervirus heftet sich an legitime Dateien oder Programme. Er benötigt eine menschliche Aktion (z.B. das Ausführen einer infizierten Datei), um sich zu aktivieren und auf andere Dateien und Systeme zu verbreiten.

• Verhaltensbasierte Antiviren-Software: Erkennt Viren nicht nur anhand von Signaturen, sondern auch durch verdächtige Aktionen.
• Skript-Blocker im Browser: Verhindern die automatische Ausführung von schädlichem Code auf Webseiten.

Im Gegensatz zu Viren verbreiten sich Würmer selbstständig über Netzwerke, indem sie Sicherheitslücken in Betriebssystemen oder Software ausnutzen. Sie benötigen keine Interaktion des Benutzers.

• Zeitnahes Einspielen von Sicherheitspatches: Schließt die Einfallstore, die Würmer zur Verbreitung nutzen.
• Firewalls (insb. Netzwerksegmentierung): Verhindern die unkontrollierte Ausbreitung eines Wurms im internen Netzwerk.

Ransomware verschlüsselt die Daten eines Opfers oder sperrt den Zugriff auf das gesamte System. Die Täter fordern ein Lösegeld (Ransom) für die Wiederherstellung. Moderne Varianten (Double/Triple Extortion) drohen zusätzlich mit der Veröffentlichung gestohlener Daten oder DDoS-Angriffen.

• 3-2-1-Backup-Strategie: Mindestens drei Kopien auf zwei verschiedenen Medien, davon eine extern (offline oder in der Cloud).
• Unveränderliche (Immutable) Backups: Verhindern, dass die Ransomware auch die Sicherungskopien verschlüsselt.

Ein Bot ist eine Malware, die einen Rechner infiziert und ihn der Fernsteuerung durch einen Angreifer unterwirft. Mehrere dieser Bots bilden ein Botnetz, das oft für koordinierte Angriffe wie DDoS-Kampagnen oder den massenhaften Versand von Spam/Phishing genutzt wird.

• Analyse des ausgehenden Netzwerkverkehrs: Auffällige Kommunikationsmuster zu bekannten Command-and-Control-Servern (C2) können eine Infektion verraten.
• Sichere Konfiguration von IoT-Geräten: Viele Bots zielen auf ungesicherte Router, Kameras oder andere smarte Geräte ab.

Trojaner tarnen sich als nützliche oder legitime Software. Nach der Ausführung durch den Benutzer installieren sie im Hintergrund eine schädliche Nutzlast (Payload). Diese kann eine Backdoor öffnen, weitere Malware nachladen oder Daten ausspähen.

• Software nur aus vertrauenswürdigen Quellen beziehen: Vermeiden Sie Downloads von inoffiziellen Seiten.
• Anwendungs-Whitelisting: Erlaubt nur die Ausführung vorab genehmigter Programme.

Keylogger protokollieren sämtliche Tastatureingaben eines Benutzers. Das primäre Ziel ist das Abgreifen von Zugangsdaten, Kreditkarteninformationen und anderen sensiblen Daten, die manuell eingegeben werden.

• Passwort-Manager: Füllen Anmeldeinformationen automatisch aus, ohne dass diese physisch getippt werden müssen.
• Nutzung von virtuellen Tastaturen: Insbesondere für die Eingabe kritischer Passwörter (z.B. beim Online-Banking).

Ein Rootkit nistet sich tief im Betriebssystem ein, um seine Präsenz und die anderer Malware zu verschleiern. Es kann Antiviren-Software manipulieren oder deaktivieren und ist daher extrem schwer zu entdecken und zu entfernen.

• Regelmäßige System-Integritätsprüfungen: Tools wie Tripwire können unautorisierte Änderungen an Systemdateien aufdecken.
• Secure Boot (UEFI): Stellt sicher, dass beim Systemstart nur signierte und vertrauenswürdige Software geladen wird.

Spyware sammelt ohne Wissen des Nutzers Informationen über dessen Aktivitäten und leitet diese an Dritte weiter. Dies umfasst Browser-Verläufe, Anmeldedaten oder sogar Aufnahmen über Mikrofon und Kamera.

• Berechtigungsmanagement: Überprüfen Sie, welche Berechtigungen Apps (insbesondere auf Mobilgeräten) anfordern.
• Anti-Spyware-Tools: Spezialisierte Software, die gezielt nach Überwachungssoftware sucht.

Diese Malware-Art operiert direkt im Arbeitsspeicher (RAM) des Computers und schreibt keine Dateien auf die Festplatte. Sie nutzt legitime Bordmittel des Betriebssystems (z.B. PowerShell, WMI) für ihre Aktivitäten (Living off the Land), was die Erkennung durch signaturbasierte Scanner erschwert.

• Endpoint Detection and Response (EDR): Überwacht das Verhalten von Prozessen im Arbeitsspeicher und erkennt anomale Aktivitäten.
• Striktes PowerShell-Logging und -Monitoring: Protokolliert die Ausführung von Skripten, um verdächtige Befehle zu identifizieren.

Krypto-Jacking-Malware nutzt die Rechenleistung des infizierten Geräts, um im Hintergrund Kryptowährungen zu schürfen (Mining). Dies führt zu einer hohen Systemauslastung, verlangsamter Leistung und erhöhten Stromkosten.

• Browser-Erweiterungen: Spezielle Add-ons können Krypto-Miner-Skripte auf Webseiten blockieren.
• Ressourcen-Monitoring: Unerklärlich hohe und dauerhafte CPU-Auslastung kann ein Indikator sein.

Das einzige Ziel von Wiper-Malware ist die Zerstörung. Sie löscht oder überschreibt unwiderruflich Daten, Partitionstabellen oder den Master Boot Record (MBR), um Systeme unbrauchbar zu machen. Anders als bei Ransomware gibt es keine Möglichkeit zur Wiederherstellung durch eine Lösegeldzahlung.

• Offline-Backups: Die einzige zuverlässige Methode zur Wiederherstellung nach einem Wiper-Angriff.
• Strikte Netzwerksegmentierung: Verhindert, dass sich ein Wiper lateral im Netzwerk ausbreitet und alle Systeme zerstört.

Adware blendet unerwünschte Werbung ein, oft in Form von Pop-ups oder Bannern. Während legitime Adware zur Finanzierung von Software dient, kann bösartige Adware den Nutzer auf schädliche Webseiten leiten oder Spyware-Funktionen enthalten.

• Ad-Blocker: Blockieren das Laden von Werbeinhalten im Browser.
• Sorgfalt bei Software-Installationen: Achten Sie auf gebündelte Software (“Bloatware”) und lehnen Sie die Installation unerwünschter Zusatzprogramme ab.

Unabhängig vom Malware-Typ bildet eine solide Basis an Sicherheitsmaßnahmen die wichtigste Verteidigungslinie:

• Regelmäßige Updates & Patch-Management: Halten Sie Betriebssysteme und Software stets auf dem neuesten Stand.
• Sicherheitssoftware: Nutzen Sie eine Kombination aus Antiviren-Software (AV) und einer Firewall.
• Starke Authentifizierung: Setzen Sie wo immer möglich Multi-Faktor-Authentifizierung (MFA) durch.
• Principle of Least Privilege (PoLP): Vergeben Sie nur die Berechtigungen, die für eine Aufgabe zwingend notwendig sind.
• Zero-Trust-Architektur: Vertrauen Sie keinem Gerät oder Nutzer pauschal, auch nicht im internen Netzwerk. Jede Anfrage muss verifiziert werden.
• Mitarbeiterschulung: Ein aufgeklärter Benutzer ist die erste und beste Verteidigung gegen Social-Engineering- und Phishing-Versuche.

Die digitale Forensik folgt strengen Prinzipien, um die Integrität von Beweismitteln zu gewährleisten und deren Gerichtsverwertbarkeit sicherzustellen.

Das oberste Gebot: Das Original-Beweismittel darf unter keinen Umständen verändert werden. Analysen finden ausschließlich auf forensischen 1:1-Kopien (Images) statt.

Jeder einzelne Schritt des forensischen Prozesses – von der Sicherstellung über die Analyse bis zur Auswertung – muss detailliert, nachvollziehbar und zeitlich protokolliert werden (Chain of Custody).

Die angewandten Methoden und genutzten Werkzeuge müssen so beschaffen sein, dass ein anderer Forensiker mit denselben Ausgangsbedingungen zum exakt selben Ergebnis gelangen kann.

Der durchführende IT-Forensiker muss über das notwendige Fachwissen und die erforderliche Erfahrung verfügen, um die Untersuchung korrekt und methodisch einwandfrei durchzuführen.

IT-forensische Fragestellungen sind die konkreten Aufträge, die eine Untersuchung leiten. Sie dienen dazu, Hypothesen zu falsifizieren. Eine IT-forensische Untersuchung wird durch gezielte Fragen geleitet. Diese lassen sich in der Regel den „sieben goldenen W der Kriminalistik“ zuordnen, angepasst an die digitale Welt.

• Welche Aktionen wurden auf dem System ausgeführt?
• Welche Programme wurden gestartet, welche Dateien geöffnet, kopiert oder gelöscht?
• Wurde Schadsoftware (Malware) ausgeführt und wenn ja, welche?
• Welche Kommunikationsverbindungen (Netzwerk, E-Mail, Messenger) wurden hergestellt?
• Wurden Daten manipuliert oder exfiltriert (gestohlen)?

• Welcher Benutzeraccount wurde für die Handlungen verwendet?
• Lässt sich die Aktion einer bestimmten Person zuordnen?
• Von welcher IP-Adresse oder welchem System ging der Angriff aus?
• Welche Spuren hinterließ der Akteur, die auf seine Identität oder seine Werkzeuge hindeuten?

• Zu welchem exakten Zeitpunkt fand der Vorfall statt? (Erster Zugriff, Ausführung der Malware, Datenabfluss)
• Lässt sich eine chronologische Zeitachse (Timeline) aller relevanten Ereignisse erstellen?
• Wann wurden Dateien zuletzt geöffnet, verändert oder erstellt?

• Welche Systeme im Netzwerk sind betroffen?
• Wo (auf welchem Datenträger oder in welchem Verzeichnis) befinden sich die relevanten Beweismittel?
• Aus welcher geografischen Region oder welchem Netzwerksegment stammt der Angriff?

• Welche Sicherheitslücke oder welcher Angriffsvektor wurde ausgenutzt (z.B. Phishing, Zero-Day-Exploit)?
• Welche Werkzeuge (Software, Skripte) hat der Täter verwendet?
• Wie konnte der Angreifer administrative Rechte erlangen (Privilege Escalation)?
• Welche Maßnahmen wurden zur Verschleierung der Tat ergriffen (Anti-Forensik)?

• Wurden spezifische Exploit-Kits oder Malware-Familien eingesetzt?
• Wurden gestohlene Zugangsdaten verwendet?
• Lässt sich die verwendete Infrastruktur (z.B. Command-and-Control-Server) identifizieren?

• War das Ziel Datendiebstahl, Sabotage, Spionage oder finanzielle Erpressung?
• Handelte es sich um einen gezielten Angriff oder einen opportunistischen Zufallstreffer?
• Welchen Wert hatten die kompromittierten Daten oder Systeme?

Digitale Spuren unterscheiden sich grundlegend von physischen Beweismitteln. Ihre einzigartigen Merkmale bestimmen das Vorgehen in der IT-Forensik.

Digitale Informationen sind extrem flüchtig. Ihr Bestand ist oft an eine stabile Stromversorgung gebunden und sie können durch einfache Operationen (z.B. einen Neustart) unwiederbringlich zerstört werden.

• Beispiel: Der Inhalt des Arbeitsspeichers (RAM) geht beim Ausschalten verloren, während Daten auf einer Festplatte (HDD/SSD) bestehen bleiben.

Eine digitale Spur kann bit-identisch und verlustfrei kopiert werden. Dies ermöglicht es Forensikern, auf einer exakten Kopie (forensisches Image) zu arbeiten, während das Original als unberührtes Beweismittel asserviert wird.

Durch die Anwendung von kryptografischen Hash-Verfahren (z.B. SHA-256) kann die Unversehrtheit (Integrität) einer digitalen Spur jederzeit mathematisch bewiesen werden. Jede noch so kleine Veränderung an der Kopie würde zu einem völlig anderen Hashwert führen.

Digitale Spuren können leicht versteckt werden (z.B. durch Steganographie) oder befinden sich in Bereichen, die für den normalen Nutzer unsichtbar sind (z.B. unallocated space, slack space). Selbst „gelöschte“ Dateien sind oft noch physisch auf dem Datenträger vorhanden und können wiederhergestellt werden.

Die schiere Menge an Daten auf modernen Systemen (Terabytes) stellt eine große Herausforderung dar. Die relevanten Spuren sind oft wie die sprichwörtliche „Nadel im Heuhaufen“. Spezialisierte Werkzeuge sind notwendig, um diese Datenmengen effizient zu durchsuchen und zu korrelieren.

Eine digitale Spur (z.B. eine IP-Adresse oder ein Benutzername) lässt sich oft nur mit hohem Aufwand einer realen Person zuordnen. Techniken wie die Nutzung von VPNs, Proxies oder dem Tor-Netzwerk erschweren die Identifizierung des Urhebers zusätzlich.