Cybercrime im Corona-Deckmantel

Bekannte Phänomene in neuem Gewand

3.3 Social Engineering

In Zeiten von COVID-19 nutzen Kriminelle auch zunehmend das Instrument des „Social Engineering“²⁵. Der Begriff beschreibt die Durchführung sozialer Manipulation, basierend auf der Annahme, dass der Mensch grds. das schwächste Glied in einer IT-Sicherheitskette darstellt. Das Ziel besteht darin, das Opfer (meist Mitarbeiter eines Unternehmens) durch geschickte zwischenmenschliche Interaktionen und damit verbundene Täuschung über Identität und Absicht des Täters zu einem bestimmten Verhalten zu veranlassen, so dass geltende Sicherheitsrichtlinien (z.B. Vier-Augen-Prinzip, Rücksprache mit Vorgesetzten) missachtet und vertrauliche Unternehmensinformationen preisgegeben werden. Hierzu betreiben die Täter einen vergleichsweise hohen Aufwand, da eine genaue Kenntnis der Unternehmensstruktur, wichtiger Akteure und der Betriebsabläufe entscheidend für die Tatausführung in Form von Betrugshandlungen ist. Social Engineering dient insofern als Vorbereitung auf folgende Cybercrime-Handlungen.

So werden oftmals in einem ersten Schritt Mitarbeiter und ggf. erforderliche Zugangsberechtigungen zum Unternehmen ausgespäht²⁶, das Corporate Design offizieller Unternehmensdokumente gefälscht²⁷ und durch scheinbar unverbindliche Telefonanrufe/E-Mail-Korrespondenz die Unternehmensstruktur, namentlich beschäftigte Mitarbeiter sowie der intern genutzte Sprachgebrauch ausgeforscht. In einem zweiten Schritt werden sodann gezielt Phishing-Mails an zuvor festgelegte Mitarbeiter/Abteilungen versandt²⁸ oder telefonisch Kontakt aufgenommen, um durch eloquentes Auftreten gepaart mit Wissen um interne Abläufe bestimmte Handlungen, wie die Veranlassung von Geldzahlungen oder Preisgabe interner sensibler Informationen, auszulösen. Dabei geben sich die Täter in Corona-Zeiten als Angehörige der Personalabteilung des Opfer-Arbeitgebers aus, die vorsorglich die Aktualität personenbezogener Daten erheben müssen, falls es im Unternehmen zu Corona-Erkrankungen kommen sollte. Aber auch die Legende, ein Großlieferant zu sein, der das Unternehmen mit Masken/Schutzausstattung versorgt hat und noch auf die Begleichung hoher Rechnungsbeträge wartet, oder das Verschicken von E-Mails im Unternehmensdesign mit angehängten angeblichen internen Handlungsanweisungen (tatsächlich ist ein Schadprogramm angehängt) für einen Corona-Verdachtsfall, sind mögliche Abwandlungen.

Die Strafbarkeit ergibt sich aus den konkreten Anschlusshandlungen. Regelmäßig dürfte ein Betrug i.S.d. § 263 Abs. 1 StGB vorliegen. Je nach vorbereitender Handlung kommen diverse Straftatbestände in Betracht, wie z.B. das unbefugte Betreten des Unternehmensgeländes zur Auskundschaftung (Hausfriedensbruch i.S.d. § 123 StGB) oder der Diebstahl i.S.d. § 242 Abs. 1 StGB von Firmendokumenten (auch entsorgte Dokumente in Zusammenhang mit dem „Dumpster Diving“).

3.4 Malware/Ransomware

Das aus den Wörtern „malicious“ und „software“ zusammengesetzte Kunstwort bezeichnet als Oberbegriff solche Computerprogramme, die von Kriminellen mit dem Ziel entwickelt und verbreitet werden, unerwünschte und meistens schädliche Funktionen auf dem Zielrechner auszuführen. Ein solches Schadprogramm kann verschiedene Erscheinungsformen annehmen, z.B. als Virus (benötigt ein Wirtsprogramm, um Schadcode auszuführen) oder Trojaner (Tarnung als vermeintlich nützliche Software/Datei).²⁹ Malware kann auf ebenso unterschiedlichen Wegen auf ein IT-System gelangen, z.B. als getarnter Anhang in einer E-Mail, durch das Klicken auf Links oder das Anzeigen präparierter Webseiten, die bestimmte Sicherheitslücken im Browser ausnutzen, um Programmcode auszuführen³⁰. In diesem Zusammenhang stellt auch das Bundesamt für Sicherheit in der Informationstechnik fest, dass vermehrt Domains auf Begriffe wie „Corona“ oder „Covid“ registriert werden.³¹ Teilweise nutzen Kriminelle diese vermeintlich offiziell wirkenden Domainnamen aus, um auf den professionell gestalteten Webseiten entweder personenbezogene Daten abzuphishen (siehe Punkt 3.2) oder Schadcode in der Webseite zu verstecken. Beispiele dafür sind manipulierte Online-Angebote wie eine interaktive COVID-19-Infektionskarte³², falsche Informationswebseiten zum Virus oder gefälschte Infektions-Tracking-Apps³³.

Eine in Corona-Zeiten besonders relevante Malware ist Ransomware. Der Begriff beschreibt eine Variante von Schadsoftware, bei der das Programm die auf dem Zielsystem gespeicherten Daten als „Geisel“ nimmt und die Festplatte verschlüsselt. Das Opfer wird erpresst, indem erst durch Zahlung eines „Lösegeldes“ (engl. „Ransom“), meistens auf ein Bitcoin-Konto, die Verschlüsselung (angeblich) deaktiviert und der Zugriff auf die Daten wieder ermöglicht wird. Ransomware kann in unterschiedlichen Formen (Datenverschlüsselung, -löschung oder -veränderung) auftreten und wird aufgrund der kontinuierlichen Anpassung durch die Täter oftmals nicht schnell genug von Antivirenprogrammen erkannt. In Zeiten von COVID-19 entwickeln Kriminelle „Lockscreens“, die jegliche Benutzerinteraktionen mit dem System unmöglich machen oder Programme, die den Namen „Corona“ tragen und das System mit „Krankheitssymptomen“ (Veränderung von Symbolen, Verschieben von Dateien, Auslösen randomisierter Funktionen) überziehen. Darüber hinaus verleitet der Schock, plötzlich nicht mehr auf seine privaten oder beruflichen Dokumente, Videos, Fotos und sonstige Dateien zugreifen zu können, die Opfer zur schnellen Zahlung der erpressten Geldbeträge.

Die Strafbarkeit richtet sich dabei nach der konkreten Funktionsweise der Software und dem jeweiligen Tatstadium. Bei der durch die Software hervorgerufene Datenveränderung auf dem Zielsystem dürfte regelmäßig eine Tatbestandsalternative von § 303a Abs. 1 StGB in Form der Datenunterdrückung³⁴, -löschung, -unbrauchbarmachung oder -veränderung vorliegen. Wenn die Daten zudem eine wesentliche Bedeutung für das Opfer haben oder ein Unternehmen/eine Behörde betroffen ist, sind Qualifikationen i.S.d. § 303b Abs. 1, 2 StGB denkbar. U.a. bei einem durch die Tat entstehenden großen finanziellen Schaden, gewerbs- oder bandenmäßiger Begehung oder einer kritischen Infrastruktur als Angriffsobjekt können strafverschärfende Regelbeispiele i.S.d. § 303b Abs. 4 StGB hinzutreten.