Computerprävention

Sensibilisierung für Gefahren im Netz

Von EKHK a.D. Klaus Kemper, Duisburg¹

1 Allgemeines

Ende der 1990er-Jahre setzte sich in der deutschen Polizei die Einsicht durch, dass es dringend geboten sei, neben der Strafverfolgung auch der Kriminalprävention in Form eigener Organisationseinheiten einen höheren Stellenwert einzuräumen. Neben den bereits seit Jahrzehnten durchgeführten sicherheitstechnischen Hinweisen zur Vermeidung von Einbruchsdiebstählen wurde in diesen Dienststellen nun auch verstärkt auf die Verhaltensprävention im Zusammenhang mit den Bereichen Rauschgift-, Gewalt- und Jugendkriminalität sowie Sexual- und Betrugsdelikte gesetzt. Nachdem um die Jahrtausendwende Computer sowie das Internet praktisch für jeden Bürger verfügbar geworden waren, dauerte es nicht lange, bis die ersten Anwender auch die sich ihnen bietenden Möglichkeiten dieser technischen Errungenschaften nutzten, um mit ihnen Straftaten zu begehen. Diese mittels Anwendung der Informations- und Kommunikationstechnik, kurz IuK, durchgeführten Delikte werden unter dem Oberbegriff „Computerkriminalität“ oder auch „Cybercrime“ zusammengefasst und haben in den letzten zwei Jahrzehnten einen enormen Aufschwung erlebt. Laut der Polizeilichen Kriminalstatistik des BKA für das Jahr 2020 wurden in diesem Zeitraum 130.611 Fälle bekannt, was einen Anstieg von 7.605 Fällen bzw. ein Plus von 6,2% bedeutet.² Da sich diese Entwicklung verhältnismäßig frühzeitig abzeichnete, wurden die bekannt gewordenen Modi Operandi auch recht zügig in das Portefeuille der kriminalpolizeilichen Vorbeugungsmaßnahmen aufgenommen und die Sachrate „Computerprävention“ geschaffen.

2 Persönliche Daten

Die persönlichen Daten jedes einzelnen Menschen können für andere Privatpersonen, Institutionen oder Firmen für ihre eigenen Zwecke von großem Interesse sein. Sie geben nicht nur Aufschluss über Namen, Geburtsort und -datum sowie Wohnanschrift, sondern ermöglichen Interessierten auch einen Blick auf Vorlieben, Kaufgewohnheiten oder Bewegungsbilder. Um dies zu vermeiden, sind die Persönlichkeitsrechte in der Bundesrepublik seit Jahren durch entsprechende Datenschutzgesetze und -verordnungen, z.B. das Bundesdatenschutzgesetz (BDSG), geschützt. Während in der gesamten Europäischen Union entsprechende rechtliche Bestimmungen gelten, hat in den USA nach den terroristischen Anschlägen im Jahr 2001 der sog. „Patriot Act“ die diesbezüglichen Rechte der Bürger in bestimmten Situationen eingeschränkt.

3 Erschleichen von Daten und deren Missbrauch

Wie bereits angesprochen, aber auch detailliert in den vorangegangenen Beiträgen der Fachzeitschrift „Die Kriminalpolizei“ dargelegt, hat der Missbrauch persönlicher Daten in den letzten Jahren stark zugenommen. Dabei ist zunächst festzuhalten, dass natürlich gegen deren freiwillige Preisgabe durch den Bürger nichts einzuwenden ist. Dazu ist aber die ausdrückliche Einwilligung erforderlich. Im Gegensatz zu Deutschland nehmen es viele andere Länder mit dem Datenschutz weniger genau, dort hat sich mittlerweile ein regelrechter Markt für diese „Ware“ gebildet. Hintergrund ist u.a. das Interesse der Werbeindustrie, auf diese Weise an Personenprofile zu gelangen. Diese helfen dann dabei, die Bürger per Internet oder auf andere Art mit auf sie zugeschnittener Werbung zu konfrontieren. Ist dieses Vorgehen für die Betroffenen eher lästig, so sind andere (strafbare) Handlungen im Zusammenhang mit persönlichen Daten oft auch mit finanziellem Schaden verbunden. Dabei wurde diesbezüglich auch schon vor dem „Computer-Zeitalter“ auf Möglichkeiten der Telekommunikation zugegriffen. So köderten Straftäter per Telefon arglose, häufig betagte Bürger mit angeblich bei Gewinnspielen für sie ausgelosten Preisen, ihre persönlichen Daten preiszugeben. Mit gezielt gestellten Formulierungen, die zwangsläufig ein zustimmendes „ja“ beim Angerufenen hervorlockten, wurde diesen dann, ohne dass sie es wussten, z.B. ein Zeitschriften-Abonnement „untergejubelt“. Exemplarisch sei hier auch noch der „Enkeltrick“ erwähnt, bei dem der Anrufer zunächst durch geschickte Fragen an persönliche Daten aus dem familiären Umfeld eines kontaktierten Senioren gelangt. Mit diesen wird dann die Notlage eines Enkels oder anderen Verwandten vorgetäuscht und der Senior zum Abheben einer bestimmten Geldsumme bewegt, die dann einem Boten des vermeintlich in Not geratenen Familienmitglieds übergeben werden soll. Mit dem Einzug des Computers in den Alltag der Bürger wurde die Palette der damit verbundenen kriminellen Möglichkeiten erheblich erweitert, wobei diese zum Großteil im Zusammenhang mit bekannten Straftatbeständen, wie z.B. dem Betrug, stehen. Die Aufgabe der Sachrate Computerprävention besteht darin, die Öffentlichkeit über die entsprechenden Modi Operandi zu informieren und Möglichkeiten aufzuzeigen, wie man vermeidet, Opfer derartiger Delikte zu werden. Im Folgenden sind einige der gängigen Arten von Malware ebenso aufgeführt wie Hinweise, sie als solche zu erkennen.

3.1 Spyware

3.1.1 Phishing

Grundsätzlich ist die Datenweitergabe durch Dritte nicht strafbar, sofern die Einwilligung dazu vorliegt. Strafbar ist sie allerdings, wenn sie ohne eine solche durchgeführt wird, um damit dann Aktionen durchzuführen, durch die der eigentliche Eigentümer geschädigt wird. Im Zusammenhang mit den Möglichkeiten des Internets ist nicht einmal ein wie auch immer gearteter direkter Kontakt zwischen den Parteien vonnöten. Es bedarf lediglich der geschickten Täuschung, die den eigentlichen Nutzer, meist per E-Mail, zur Herausgabe seiner Daten, bevorzugt z.B. seiner Kontonummer oder ähnlicher sensibler Informationen, veranlasst. Dazu bedient der Täter sich oft angeblich seriöser Einrichtungen, wie z.B. Geldinstituten oder Telefonanbietern, die aufgrund sich ergebender Notwendigkeiten um die Übersendung der benötigten Angaben bitten. Im Erfolgsfall wird den Opfern dann in der Regel ein finanzieller Schaden zugefügt, da nun auf deren Konto zugegriffen werden kann. Diese Praxis wird als „Phishing“ bezeichnet, einem dem englischen „fishing“ (fischen) nachempfundenen Begriff. Die Gefahr, Geschädigter einer solchen Cyber-Attacke zu werden, reduziert sich erheblich, wenn der angeschriebene User die folgenden Hinweise beherzigt:

• Auch wenn die im Anschreiben niedergelegte E-Mail-Adresse aufgrund früherer Kommunikationen bekannt scheint, sollte sie noch einmal eingehend geprüft werden. Hintergrund ist die Tatsache, dass sich verschiedene Buchstaben in den möglichen Computerschriften verwechseln lassen. Als Beispiel seien hier der Kleinbuchstabe l (Calibri) und der Großbuchstabe I (Arial) genannt. Darüber hinaus sind auch die Null und der Großbuchstabe O schnell zu verwechseln.
• Zip-Dateien werden generell nicht im Zusammenhang mit Zahlungsaufforderungen verschickt.
• Meist wird der Adressat nicht direkt angesprochen, sondern mit den allgemeinen Floskeln „sehr geehrter Kunde“ oder „sehr geehrte Damen und Herren“, eine Praxis, die in echten Schreiben in der Regel nicht verwendet wird.
• Die E-Mails beinhalten oft Grammatikfehler oder fragliche Redewendungen, was darauf hinweisen kann, dass sie mit Hilfe eines Übersetzungsprogramms erstellt worden sind. Derartige Formulierungsprobleme finden sich niemals in tatsächlichen Benachrichtigungen von Kreditinstituten oder seriösen Firmen.
• Enthält das eingegangene Schreiben den Hinweis auf eine gewisse zeitliche Dringlichkeit der erbetenen oder gar geforderten Maßnahme, besteht der Verdacht einer Phishing-Mail.
• Eine weitere Möglichkeit, sich über die Echtheit des Anschreibens rückzuversichern, besteht im Vergleich der angeblichen E-Mail-Adresse des Absenders mit dessen tatsächlicher elektronischer Erreichbarkeit.
• Auch der Griff zum Telefon zwecks fernmündlicher Rücksprache mit einem Sachbearbeiter bringt Klarheit, inwieweit die Benachrichtigung der Wahrheit entspricht.
• Bei Bewerbungen auf Ausschreibungen ist es ratsam, in den zu übersendenden Unterlagen zunächst keine Kontodaten oder Kopien von Personalpapieren mitzuschicken. Das kann auch zu einem späteren Zeitpunkt erfolgen, wenn die Seriosität des Gegenübers feststeht.