Computer-Forensik E-Book

Alexander Geschonneck leitet als Partner bei der KPMG AG Wirtschaftsprüfungsgesellschaft den Bereich Forensic Technology. Sein Tätigkeitsschwerpunkt ist die Sicherstellung und Analyse von digitalen Beweismitteln im Rahmen der Korruptions- und Betrugsbekämpfung sowie die Reaktion und Aufklärung von Sicherheitsvorfällen. Davor war er leitender Sicherheitsberater und Partner bei der HiSolutions AG in Berlin sowie Leiter des Bereiches Forensic Technology & Discovery Services bei der Ernst & Young AG Wirtschaftsprüfungsgesellschaft.

Seit 1993 ist er branchenübergreifend im strategischen und operativen IT-Sicherheitsumfeld tätig. Alexander Geschonneck ist Mitautor der IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Seit 2002 ist er vom BSI lizenzierter IT-Grundschutzauditor sowie Audit-Teamleiter für ISO 27001-Audits auf Basis von IT-Grundschutz. Er studierte in Berlin Wirtschaftsinformatik mit Themenschwerpunkt Informationssicherheit. Auf seiner privaten Homepage finden sich weitere Veröffentlichungen zu Themen der Computer-Forensik und allgemeinen IT-Sicherheit. Alexander Geschonneck ist Certified Fraud Examiner und Certified Information Systems Auditor.

iX-EditionIn der iX-Edition erscheinen Titel, die vom dpunkt.verlag gemeinsam mit der Redaktion der Computerzeitschrift iX ausgewählt und konzipiert wurden. Inhaltlicher Schwerpunkt dieser Reihe sind Software- und Webentwicklung sowie Administration und IT-Sicherheit.

Computer-Forensik

Computerstraftaten erkennen, ermitteln, aufklären

6., aktualisierte und erweiterte Auflage

Alexander Geschonneck

Alexander [email protected]

Lektorat: René Schönfeldt

Copy-Editing: Ursula Zimpfer, Herrenberg

Herstellung: Birgit Bäuerlein

Autorenfoto: Markus Vogel

Umschlaggestaltung: Helmut Kraus, www.exclam.de

Druck und Bindung: M.P. Media-Print Informationstechnologie GmbH, 33100 Paderborn

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie;

detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

ISBN:

Buch 978-3-86490-133-1

PDF 978-3-86491-489-8

ePub 978-3-86491-490-4

6., aktualisierte und erweiterte Auflage

Copyright © 2014 dpunkt.verlag GmbH

Wieblinger Weg 17

69123 Heidelberg

Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen.

Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen.

Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autor noch Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buches stehen.

5 4 3 2 1 0

Inhaltsverzeichnis

Einleitung

Wer sollte dieses Buch lesen?

Was lernt man in diesem Buch?

Was lernt man in diesem Buch nicht?

Wie liest man dieses Buch?

Was ist neu in der 6. Auflage?

Was ist neu in der 5. Auflage?

Was ist neu in der 4. Auflage?

Was ist neu in der 3. Auflage?

Was ist neu in der 2. Auflage?

1      Bedrohungssituation

1.1    Bedrohung und Wahrscheinlichkeit

1.2    Risikoverteilung

1.3    Motivation der Täter

1.4    Innentäter vs. Außentäter

1.5    Bestätigung durch die Statistik?

1.6    Computerkriminalität

2      Ablauf von Angriffen

2.1    Typischer Angriffsverlauf

2.2    Beispiel eines Angriffs

3      Incident Response als Grundlage der Computer-Forensik

3.1    Der Incident-Response-Prozess

3.2    Organisatorische Vorbereitungen

3.3    Zusammensetzung des Response-Teams

3.4    Incident Detection: Systemanomalien entdecken

3.5    Incident Detection: Ein Vorfall wird gemeldet

3.6    Sicherheitsvorfall oder Betriebsstörung?

3.7    Wahl der Response-Strategie

3.8    Reporting und Manöverkritik

4      Einführung in die Computer-Forensik

4.1    Ziele einer Ermittlung

4.2    Anforderungen an den Ermittlungsprozess

4.3    Phasen der Ermittlung

4.4    Das S-A-P-Modell

4.5    Welche Erkenntnisse kann man gewinnen?

4.6    Wie geht man korrekt mit Beweismitteln um?

4.7    Flüchtige Daten sichern: Sofort speichern

4.8    Speichermedien sichern: Forensische Duplikation

4.9    Was sollte alles sichergestellt werden?

4.10  Erste Schritte an einem System für die Sicherstellung

4.11  Untersuchungsergebnisse zusammenführen

4.12  Häufige Fehler

4.13  Anti-Forensik

5      Einführung in die Post-mortem-Analyse

5.1    Was kann alles analysiert werden?

5.2    Analyse des File Slack

5.3    Timeline-Analysen

5.4    NTFS-Streams

5.5    NTFS TxF

5.6    NTFS-Volumen-Schattenkopien

5.7    Windows-Registry

5.8    Windows UserAssist Keys

5.9    Windows Prefetch-Dateien

5.10  Auslagerungsdateien

5.11  Versteckte Dateien

5.12  Dateien oder Fragmente wiederherstellen

5.13  Unbekannte Binärdateien analysieren

5.14  Systemprotokolle

5.15  Analyse von Netzwerkmitschnitten

6      Forensik- und Incident-Response-Toolkits im Überblick

6.1    Grundsätzliches zum Tooleinsatz

6.2    Sichere Untersuchungsumgebung

6.3    F.I.R.E.

6.4    Knoppix Security Tools Distribution

6.5    Helix

6.6    ForensiX-CD

6.7    C.A.I.N.E. und WinTaylor

6.8    DEFT und DEFT-Extra

6.9    EnCase

6.10  dd

6.11  Forensic Acquisition Utilities

6.12  AccessData Forensic Toolkit

6.13  The Coroner’s Toolkit und TCTUtils

6.14  The Sleuth Kit

6.15  Autopsy Forensic Browser

6.16  Eigene Toolkits für Unix und Windows erstellen

7      Forensische Analyse im Detail

7.1    Forensische Analyse unter Unix

7.2    Forensische Analyse unter Windows

7.3    Forensische Analyse von mobilen Geräten

7.4    Forensische Analyse von Routern

8      Empfehlungen für den Schadensfall

8.1    Logbuch

8.2    Den Einbruch erkennen

8.3    Tätigkeiten nach festgestelltem Einbruch

8.4    Nächste Schritte

9      Backtracing

9.1    IP-Adressen überprüfen

9.2    Spoof Detection

9.3    Routen validieren

9.4    Nslookup

9.5    Whois

9.6    E-Mail-Header

10    Einbeziehung der Behörden

10.1  Organisatorische Vorarbeit

10.2  Strafrechtliches Vorgehen

10.3  Zivilrechtliches Vorgehen

10.4  Darstellung in der Öffentlichkeit

10.5  Die Beweissituation bei der privaten Ermittlung

10.6  Fazit

Anhang

A     Tool-Überblick

B     C.A.I.N.E.-Tools

C     DEFT-Tools

Literaturempfehlungen

Index

Einleitung

»Ich brauche Informationen, Watson!«

Sicherheit in der Informationstechnik stellt ein wachsendes Problem dar. Hiermit ist natürlich nicht die Sicherheit an sich gemeint, sondern die Gefährdung der Sicherheit, die sich aus Unwissenheit, Fahrlässigkeit oder Vorsatz ergibt. Fast jede Organisation ist durch den massiven Einsatz von Informationstechnologie auch von ihr abhängig. So enthalten Computersysteme heute immer mehr und besser verdichtete Daten, die für den reibungslosen Ablauf von Geschäfts- und Arbeitsprozessen notwendig sind. Diese Abhängigkeit von der Informationstechnologie macht die betroffenen Einrichtungen zu einem idealen Ziel für Angreifer und Störenfriede.

Firewalls und Intrusion-Detection-Systeme

Die Sicherheitsverantwortlichen haben die Entscheidungsträger in den Unternehmen mittlerweile davon überzeugt, dass bei bestimmten Netzschnittstellen Firewall-Systeme halbwegs sichere Kommunikationsszenarien ermöglichen. Nachdem dieser Lösungsansatz gerade bei immer komplexeren Anwendungsstrukturen nicht immer konsequent umsetzbar erschien, wurden in einem weiteren Schritt häufig Intrusion-Detection-Systeme (IDS) installiert; sie sollen jene Angriffe erkennen, die mit Firewalls nicht zu verhindern sind. Es geht heute also nicht mehr nur darum, das Auftreten eines Sicherheitsproblems zu verhindern.

Es geht vielmehr darum, auch dann noch eingreifen zu können, wenn die ersten Schutzmechanismen von einem Angreifer überwunden wurden: Ein gerade ablaufender oder bereits eingetretener Sicherheitsvorfall muss zuverlässig erkannt werden, seine Auswirkungen sind wirksam einzudämmen, und es sollten dabei genügend Informationen gesammelt werden, um später eine sinnvolle Täterermittlung zu ermöglichen.

Forensische Untersuchungen

Zumeist sind also kombinierte Gegenmaßnahmen nötig, um auf Sicherheitsvorfälle zu reagieren. Dazu gehören auch die sogenannten forensischen1 Untersuchungen. Sie finden in der Regel dann statt, wenn es ernst zu nehmende Hinweise auf erfolgte oder gerade ablaufende Angriffe bzw. andere strafbare Handlungen auf die eigene Systemlandschaft gibt.

Wer sollte dieses Buch lesen?

Fast jede Organisation wurde bereits mit der Frage eines erfolgreichen Systemeinbruchs konfrontiert, und auch Privatpersonen, die ihren PC mit dem Internet verbinden, können Opfer eines Angriffs werden. Die wenigsten sind aber darauf vorbereitet. Will man Sicherheitsprobleme vermeiden oder ermitteln, ob noch andere Systeme der eigenen Umgebung Opfer eines Angriffs geworden sind, ist es sinnvoll, forensische Untersuchungen durchzuführen. Hierbei geht es u.a. darum herauszufinden, ob ein Angreifer wirklich erfolgreich war, welchen Weg er genommen hat und welche Systemlücken zu diesem Einbruch geführt haben könnten. Das Internet und aktuelle IT-Publikationen sind voll von Tipps und Tricks zum Absichern von Systemen und Kommunikationswegen, viele Dinge werden von den Administratoren umgesetzt, dennoch kommt es zu Einbrüchen.

Administratoren

Dieses Buch soll auch dem technisch versierten Administrator einen ersten Überblick geben, welche Maßnahmen sinnvoll sind und welche Werkzeuge und Methoden ihm zur Verfügung stehen. Die meisten technischen Zusammenhänge sind diesem Personenkreis aus der täglichen Arbeit bereits geläufig. In der Praxis ist aber häufig zu beobachten, dass bei der konkreten Behandlung von Sicherheitsvorfällen trotzdem oftmals Unwissenheit vorherrscht und Fehler gemacht werden. Dieser Lesergruppe werden Grundlagen und Hintergründe bei der Erkennung und Analyse von Systemeinbrüchen vermittelt. Außerdem erfahren Sie Wissenswertes über die Zusammenarbeit mit Ermittlungsbehörden.

Sicherheits- und IT-Verantwortliche

Leser, die über keinen intensiven technischen Hintergrund verfügen, aber für die Erstellung von Handlungsanweisungen und Richtlinien verantwortlich sind, können hier weitere Erkenntnisse über die Möglichkeiten der Computer-Forensik und Incident Response2 sammeln. Diese Erkenntnisse können die Basis für eigene Konzepte bei der Behandlung von Sicherheitsvorfällen bilden. Weiterhin erfährt dieser Leserkreis, welche Fähigkeiten (»Skill-Profile«) und organisatorischen Rahmenbedingungen für eigene Ermittlungsteams notwendig sind.

Strafverfolger und Ermittler

Lesen sollten dieses Buch auch Ermittler aus dem Strafverfolgungsumfeld, die die Werkzeuge und Methoden für die Erfassung und Auswertung von Beweisspuren besser verstehen und bewerten möchten. Der Blick für die technischen Möglichkeiten bei der Ermittlung hilft, die eingesetzten Verfahren bzw. gefundenen Beweisspuren sowie deren Grenzen besser einzuschätzen. Die Kenntnis, wie die Spuren gefunden werden und was sie eigentlich aussagen, kann für die spätere Bewertung durchaus hilfreich sein.

Alle o.g. Lesergruppen erhalten einen Überblick über die Methoden zur Erkennung von und der Spurensuche nach Systemeinbrüchen. Die IT-Spezialisten werden sicherlich mehr interessante und neue Erkenntnisse aus dem Bereich des richtigen Umgangs mit Beweismitteln und den Entscheidungen zur weiteren juristischen Verfolgung gewinnen können. Strafverfolger werden den hier gelieferten Überblick über die technischen Möglichkeiten der Beweisgewinnung zu schätzen wissen.

Revisoren und Betrugsermittler

Auch wenn der primäre Fokus diese Buches auf Angriffen auf IT-Systeme zu liegen scheint, ist das Verständnis wichtig, dass die hier beschriebenen Methoden und Verfahren oft auch zum Einsatz kommen, wenn Delikte aus dem Bereich der Wirtschaftskriminalität zu ermitteln sind. Wie der Leser in den späteren Kapiteln schnell merken wird, unterscheidet sich das Vorgehen bei der Sammlung bzw. Analyse von digitalen Spuren nach einem Servereinbruch nicht sonderlich von dem Vorgehen, das nach dem Ausnutzen von Sicherheits- und Konfigurationslücken eines internen Mail- oder Buchführungssystems nötig ist. Benutzt ein gewöhnlicher Straftäter informationstechnische Systeme wie PC, PDA oder Mobiltelefon, müssen auch die dort befindlichen digitalen Spuren gesichert, analysiert und dokumentiert werden.

Technische Voraussetzungen

Um dieses Buch besser zu verstehen, sollte der Leser über ein grundlegendes Verständnis für Basis-Sicherheitstechnologien wie Firewalls, Intrusion-Detection-Systeme und Verschlüsselung verfügen. Das fehlerfreie Bewegen auf der Kommandozeile kann an manchen Stellen den Zugang zu einigen vorgestellten technischen Details erleichtern, ist aber nicht zwingend nötig, um das Grundproblem zu verstehen. Ebenso sollten mangelnde Windows-Kenntnisse keinen Leser daran hindern, einen Überblick dafür zu bekommen, welche Möglichkeiten Windows-basierte Tools bieten können.

Im Zweifelsfall Experten hinzuziehen!

Dem Autor ist es wichtig darauf hinzuweisen, dass bei unsachgemäßem Vorgehen evtl. wichtige Beweise vernichtet werden oder das eigene System gänzlich unbrauchbar gemacht werden kann. Im Zweifelsfall sollten hier unbedingt Experten hinzugezogen werden. Wenn man die in diesem Buch besprochenen Tätigkeiten vielleicht nicht selbst durchführen kann, bietet das erworbene Wissen dennoch die Möglichkeit, sich einen Überblick über die verfügbaren Methoden zu verschaffen und die Ergebnisse toolgestützter Untersuchungen besser auf ihre Aussagekraft zu bewerten. Dieses kann hilfreich sein, wenn ein Ermittlungsbericht zu begutachten ist oder die Chancen und Risiken einer möglichen Ermittlung abgewogen werden müssen.

Was lernt man in diesem Buch?

Schwerpunkt: Systemeinbrüche

In diesem Buch werden Teilaspekte des System- oder Computereinbruchs und die Probleme bei deren Ermittlung näher beleuchtet. Die weiterführenden Bereiche der Computerkriminalität – wie Computerbetrug oder Täuschung im Rechtsverkehr beim Einsatz von Datenverarbeitung bzw. Fälschung beweiserheblicher Daten – werden dagegen nur zur Verdeutlichung der Themenrelevanz erwähnt. Dies hat seine Ursache darin, dass sich die Computer-Forensik häufig nur schwer abgrenzen lässt. Die grundlegenden Informationen, die für die juristische Würdigung »klassischer« Vergehen benötigt werden, haben aber auch in der Welt der Computer-Forensik ihre Gültigkeit:

Wer, Was, Wo, Wann, Womit, Wie und Weshalb

Beweise suchen, erkennen, bewerten

Es geht dabei vorrangig um die Gewinnung von Beweisen, die aussagekräftig genug sind, damit über die nachfolgenden Schritte besonnen entschieden werden kann. Dieses Buch zeigt, wo man nach Beweisen suchen sollte, wie man sie erkennen kann, wie sie zu bewerten sind und wie sie für das Gericht verwertbar gesichert werden sollten.

Was lernt man in diesem Buch nicht?

Keine IT-Grundlagen, keine speziellen Sicherheitstechnologien, keine juristischen Details

Dieses Buch vermittelt weder die wesentlichen Grundlagen zu den Themengebieten der IT-Sicherheit noch vollständige und abschließende Informationen über die Funktionsweise und Wirksamkeit von Firewalls, Intrusion-Detection-Systemen oder anderen Sicherheitstechnologien. Ebenso wird dieses Buch nicht den Ansprüchen eines juristischen Tiefenwerks gerecht werden. Zu allen diesen Gebieten existiert bereits hervorragende Standardliteratur, die diese Themen grundlegend und oft auch abschließend behandelt. Dieses Buch kann nicht alle eventuell infrage kommenden Methoden und Tools in voller Tiefe vorstellen. Aus diesem Grund werden die bisher eher selten vorgestellten Verfahren gezeigt und die bereits bekannten Herangehensweisen, z.B. aus dem breiten Bereich der netzwerkbasierten Intrusion Detection, weiter in den Hintergrund gestellt. An den entsprechenden Stellen werden aber Anregungen für die weitergehende Recherche geliefert.

Einige der in diesem Buch angesprochenen organisatorischen Vorarbeiten lassen sich naturgemäß auch nicht eins zu eins in der eigenen Organisation umsetzen, da sich aus jeder Ermittlungssituation ein unterschiedlicher Handlungsbedarf ergeben kann. Aus diesem Grund eignet sich dieses Buch nur bedingt als vollständige Checkliste. Wie in allen Gebieten der Informationstechnologie ist im Bereich der Computer-Forensik eine stete Fortentwicklung der technischen Möglichkeiten sowohl bei den Tätern als auch bei den Ermittlern zu verzeichnen. Dem Grundsatz »Erwarte das Unerwartete« folgend, kann hier nur ein Überblick über die aktuelle Situation gegeben werden, alle zukünftigen Entwicklungen erfordern womöglich andere Sichtweisen und Ermittlungstechnologien.

Wie liest man dieses Buch?

Detaillierungsgrad

Neben den Möglichkeiten zur Auffindung von Angriffsspuren beschreibt dieses Buch auch, welche technischen und organisatorischen Rahmenbedingungen für eine erfolgreiche Ermittlung unabdingbar sind. Der Detaillierungsgrad nimmt mit jedem weiteren Kapitel zu. Von den einführenden und grundlegenden Beschreibungen geht es über konkrete Prozessabläufe und Ermittlungstechniken hin zu praktischen Beispielen anhand verschiedener Fragestellungen und Spezialaspekte. Ist der Leser neu in der Gesamtthematik, sollte er dieses Buch von vorne nach hinten durchlesen. Bestehen Vorkenntnisse in den einzelnen Gebieten, kann sicherlich das eine oder andere Kapitel quergelesen werden.

Für einzelne Fragestellungen können Sie dieses Buch auch später als Nachschlagewerk bzw. Informationsquelle verwenden. Da die Computertechnologie oft schnellen Veränderungen unterworfen ist und Ermittlungswerkzeuge und -methoden häufig angepasst werden, können Sie weitere aktuelle Informationen zu den vorgestellten Tools auf der Homepage zu diesem Buch unter http://computer-forensik.org finden.

Kapitel 1

Risiken und Täter

In diesem Kapitel werden die Bedrohungssituation und die Motivation der Täter näher beleuchtet. Weiterhin findet sich dort eine Einschätzung der Risikoverteilung auf die Netzteilnehmer. Um die Relevanz für die eigene Umgebung besser abschätzen zu können, findet der Leser in diesem Kapitel hilfreiche statistische Aussagen. Deshalb eignet es sich besonders gut als Einstieg in das Thema.

Kapitel 2

Angriffstechniken

Wenn man Angriffsspuren erkennen möchte, muss man wissen, wie ein Angriff abläuft und welche Angriffsmuster überhaupt erkennbare Spuren hinterlassen. Aus diesem Grund werden hier einige Angriffstechniken erklärt. Die Erläuterungen gehen aber nur so weit, wie sie für das Verständnis der folgenden Kapitel nötig sind. Es existieren einige sehr interessante Bücher, die sich mit Angriffstechniken befassen und dies im Einzelnen erklären. Leser, die sich mit Angriffserkennung zum ersten Mal beschäftigen, sollten dieses Kapitel lesen.

Kapitel 3

Incident Response

Die notwendigen organisatorischen Vorarbeiten bei der Behandlung von Sicherheitsvorfällen und grundlegende Informationen über ein sinnvolles Incident-Response-Verfahren sind dem Kapitel 3 zu entnehmen. Dies umfasst sowohl die richtige Auswahl der Personen, die an der Ermittlung beteiligt sind, als auch die richtige Auswahl der Response-Strategie. Es werden alle wichtigen Schritte bei einer Sicherheitsvorfallbehandlung erläutert. Techniker, die den globalen Blick bekommen möchten, finden hier interessante Informationen.

Kapitel 4

Abläufe und Methoden

Kapitel 4 erklärt im Überblick alle wesentlichen Handlungen bei der Ermittlung eines Computereinbruchs mit allen durchzuführenden Tätigkeiten und Hinweisen zur richtigen Sicherung von Beweismitteln. Es werden die wesentlichen und unabdingbaren Schritte und Tätigkeiten erläutert, die nötig sind, um ein System zu analysieren. Hierzu gehören Antworten auf Fragen wie: Was soll ich machen, wenn der Rechner noch läuft? Wo soll zuerst nachgeschaut werden? Wie gehe ich bei einer forensischen Duplikation vor? Welche Untersuchungen können an einem Festplatten-Image durchgeführt werden? Wie gehe ich korrekt mit Beweismitteln um? Und so weiter.

Kapitel 5

Post-mortem-Analyse

Dieses Kapitel widmet sich ausführlich der zentralen Forensik-Technik »Post-mortem-Analyse«. Es werden wesentliche Fragestellungen zur Suche von Beweisspuren auf einem angegriffenen System vorgestellt. Der Leser erfährt, an welchen Stellen er nach Spuren suchen sollte, wie er diese bewerten kann und wie er damit seine Ermittlungsstrategie besser planen kann. Das Lesen dieses Kapitels ist hilfreich, wenn man die Arbeitsweise der später vorgestellten Werkzeuge besser verstehen möchte.

Kapitel 6

Werkzeuge

In diesem Kapitel wird die konkrete Arbeit mit Forensik- und Incident-Response-Werkzeugen erläutert. Die aktuell verfügbaren Toolsammlungen werden vorgestellt und deren Grundfunktion erklärt. Der letzte Teil in diesem Kapitel widmet sich den Möglichkeiten, einen eigenen Werkzeugkasten zusammenzustellen.

Kapitel 7

Analysebeispiele

Die in Kapitel 4 und 5 vorgestellten Vorgehensweisen sowie die Werkzeugsammlungen aus Kapitel 6 werden in diesem Kapitel an konkreten Beispielen illustriert. Anhand von typischen Analyseszenarien wird sowohl auf typische Windows- als auch Unix-Umgebungen eingegangen. Außerdem wird die forensische Analyse bei mobilen Geräten wie PDAs und Mobiltelefonen sowie bei Routern vorgeführt. Der Leser wird schnell erkennen können, welche Werkzeuge sich für welche Untersuchungsumgebung besonders eignen.

Kapitel 8

Empfehlungen für den Schadensfall

In diesem kurzen Kapitel werden in Form eines Best-Practice-Ansatzes wesentliche Empfehlungen für einen bereits eingetretenen Schadensfall vorgestellt. Diese Maßnahmen sind als Basis für die Erstellung individueller Handlungsanweisungen geeignet und sollten an die jeweilige Situation angepasst werden.

Kapitel 9

Backtracing

Kapitel 9 liefert einige Hinweise und Tricks zur Rückverfolgung von möglichen Tatverdächtigen anhand der gefundenen Spuren. Dem Leser wird sehr schnell deutlich werden, wo die Fallstricke liegen, wenn man z.B. eine IP-Adresse in den Datenspuren gefunden hat und glaubt, damit den Täter zu kennen. Dieses Kapitel kann nur unvollständig sein, bietet aber für die typischen Fundspuren hilfreiche Hinweise.

Kapitel 10

Rechtliche Schritte

Wenn es im Rahmen einer Ermittlung zur Entscheidung über eine weitere juristischen Würdigung kommen sollte, hilft Kapitel 10 weiter, da dort Empfehlungen für den Schadensfall gegeben werden. Neben einigen juristischen Begriffen werden die Vor- und Nachteile der einzuschlagenden juristischen Wege erläutert. Da Ermittlungen eines Sicherheitsvorfalls nicht selten mit der Absicht durchgeführt werden, den Täter strafrechtlich oder zivilrechtlich zur Verantwortung zu ziehen, beschäftigt sich dieses Kapitel mit der Verwertbarkeit von Beweismitteln bei Gericht. Dieses Kapitel wurde mit Unterstützung von Kriminalhauptkommissar Stefan Becker, Sachbearbeiter für Computerkriminalität am Polizeipräsidium Bonn, erstellt.

Was ist neu in der 6. Auflage?

In der 6. Auflage wurden Statistiken und Toolbeschreibungen aktualisiert sowie neueste rechtliche Entwicklungen aufgenommen. Hinzugekommen sind neue Ansätze der strukturierten Untersuchung von Hauptspeicherinhalten und die Analyse von Malware.

Was ist neu in der 5. Auflage?

Vieles ändert sich, so auch Statistiken, Einschätzungen und Versionsnummern. Wenn auch der Kern dieses Buches der gleiche geblieben ist, habe ich einige Erweiterungen und Ergänzungen vorgenommen. Fast alle Kapitel sind überarbeitet und erweitert, so wurden z.B. die Artefakte von Windows 7 (insbesondere der Registry und des Dateisystems) und erweiterte Analysetechniken hinzugefügt. Es sind mittlerweile auch neue Linux-Live-CDs verfügbar, die ebenfalls vorgestellt werden.

Was ist neu in der 4. Auflage?

Die 4. Auflage enthält einige wenige neue Dinge. Selbstverständlich habe ich die Toolübersicht angepasst und neue Werkzeuge aufgenommen. Ebenso sind die Statistiken und auch die juristischen Ausführungen aktualisiert worden.

Was ist neu in der 3. Auflage?

Natürlich wurden einige Statistiken aktualisiert und diejenigen, die nicht mehr gepflegt werden, komplett entfernt. Gerade auf dem Gebiet des Tooleinsatzes hat sich seit der letzten Auflage viel getan und es wurden auch neue Ermittlungstechniken bei der Sammlung und Analyse von flüchtigen Daten eingeführt.

Das Vorgehen bei der Behandlung von Sicherheitsvorfällen unterliegt einer zunehmenden Standardisierung. Dieses Buch trägt dem Rechnung, indem das S-A-P-Modell näher beschrieben sowie die entsprechenden Empfehlungen des BSI aufgenommen wurden.

Die Computer-Forensik ist, im Vergleich zu den anderen forensischen Disziplinen, ein noch recht junges Fachgebiet. Es werden ständig neue Ermittlungsmethoden entwickelt. In dieser Auflage wurden einige davon aufgenommen, wie beispielsweise die neuen Ansätze bei der Analyse von Hauptspeicherkopien.

Viele Leser haben sich noch mehr technische plattformspezifische Details gewünscht. Dieses Buch soll jedoch eine Einführung mit den wesentlichen Ermittlungstechniken liefern. Eine tiefere Beschäftigung mit allen möglichen Plattformspezifika würde daher den Rahmen dieses Buches sprengen. Dennoch beschäftigt sich eine weitere Ergänzung in dieser Auflage mit den Neuerungen, die in Windows Vista und seinem Dateisystem enthalten sind. Es sind viele neue Spuren hinzugekommen, andere – altbewährte – wurden verändert.

Der Bereich der Analyse von PDAs und Mobiltelefonen wurde ebenfalls wesentlich erweitert und an die aktuelle technische Entwicklung angepasst.

Was ist neu in der 2. Auflage?

Neben der Aktualisierung einiger Statistiken und rechtlichen Rahmenbedingungen sind in dieser Auflage die neuen Funktionen der beschriebenen Werkzeuge ergänzt worden. So flossen die Änderungen in EnCase 5 sowie im AccessData FTK 1.60 in diese Ausgabe ein. Da das ebenfalls beschriebene F.I.R.E. nur noch sporadisch aktualisiert wird, wurde das auf Knoppix basierende Helix als Empfehlung für Ermittler aufgenommen. Ebenfalls neu ist der Abschnitt über das deutsche Werkzeug X-Ways Forensics.

forensisch [lat.]: gerichtlich oder auch kriminaltechnisch; z.B. auch forensische Medizin, forensische Psychologie

Antwort bzw. Reaktion auf einen (Sicherheits-)Vorfall

1 Bedrohungssituation

Zu Beginn dieses Buches wollen wir uns mit den Bedrohungssituationen befassen, denen IT-Systeme in unterschiedlicher Weise ausgesetzt sind. Dabei geht es um Fragen, die die Auswahl und den Einsatz von Schutzmaßnahmen betreffen, aber auch bei der Tätersuche und der Ermittlung strafbarer Handlungen relevant sind: Welche Teile meines IT-Systems sind besonders bedroht? Wie wahrscheinlich ist ein Einbruch, wie groß der mögliche Schaden? Wer könnte es auf einen Angriff anlegen, und warum? Mit diesen und ähnlichen Fragen werden wir uns dem Thema Computer-Forensik zunächst von außen nähern, um im weiteren Verlauf des Buches immer weiter an Detailtiefe zu gewinnen.

1.1 Bedrohung und Wahrscheinlichkeit

Bedrohung

Mit Bedrohung ist der potenzielle Auslöser für ein unerwünschtes Ereignis gemeint, das sich auf das betroffene IT-System oder die gesamte Organisation schädlich auswirken kann. Unternehmen und deren IT-Landschaft sind vielfältigen Bedrohungen ausgesetzt. Sicherheitsverantwortliche müssen diese Bedrohungen identifizieren und deren Schwere und Eintrittswahrscheinlichkeit abschätzen. Gegenmaßnahmen sind oft erst nach dieser sorgfältigen Abschätzung sinvoll.

Die Wahrscheinlichkeit, mit der eine Bedrohung im betrachteten Umfeld eintreten wird, ist u.a. abhängig von

der Häufigkeit der Bedrohung (Wahrscheinlichkeit des Auftretens anhand von Erfahrungen oder Statistiken),

der Motivation und den vorausgesetzten Fähigkeiten und Ressourcen eines potenziellen Angreifers,

der Attraktivität und Verwundbarkeit des IT-Systems bzw. seiner Komponenten, wie sie von potenziellen Angreifern wahrgenommen wird,

dem Wert, den die IT-Systeme und die darin gespeicherten bzw. verarbeiteten Informationen für die eigene Organisation oder aber für den Angreifer haben, und

der Positionierung des Unternehmens oder der Organisation in der Öffentlichkeit bzw. innerhalb der politischen Landschaft (z.B. Strafverfolgungsbehörden, Verwaltung und politische Parteien).

Eine vorhandene Schwachstelle allein verursacht noch keinen Schaden. Sie ist aber die Voraussetzung dafür, dass eine Bedrohung zu einem realen Schaden führt. Hieraus ergibt sich bei der Reduktion oder Eliminierung von Sicherheitsrisiken der Handlungsbedarf: Auf Schwachstellen, für die es konkrete Bedrohungen gibt, sollten die Sicherheitsverantwortlichen in den Unternehmen mit geeigneten organisatorischen, personellen, technischen und infrastrukturellen Maßnahmen sofort reagieren. Sind keine korrespondierenden Bedrohungen vorhanden, kann man mit Schwachstellen auch lange leben. Wichtig ist dabei aber, rechtzeitig zu erkennen, ob und wie sich die Bedrohungslage möglicherweise ändert.

Systematik der Bedrohungen

Grundsätzlich lassen sich Bedrohungen unterscheiden nach ihrem Ursprung, der Motivation der Täter, der Häufigkeit des Auftretens und der Größe des Schadens, der durch ihr Eintreten verursacht wird. Der Ursprung einer Bedrohung lässt sich noch feiner granuliert darstellen: Bedrohung durch die Umwelt oder Bedrohung durch Menschen. Wichtig ist auch die Unterscheidung, ob bei einem Sicherheitsvorfall eine absichtliche oder zufällige Bedrohung durch Menschen vorliegt. Bei den absichtlichen Bedrohungen interessieren uns konkret die Innen- und Außentäter.

1.2 Risikoverteilung

Eintrittswahrscheinlichkeit und Schadenshöhe

Ein Risiko lässt sich durch die Wahrscheinlichkeit eines gefährdenden Ereignisses und die zu erwartende Schadenshöhe beschreiben. Diese beiden Parameter, Schadenshöhe und Eintrittswahrscheinlichkeit, sind für die Bewertung der eigenen Risiken heranzuziehen. Bei der im Vorfeld für ein Sicherheitskonzept durchzuführenden Risikoanalyse geht es genau darum, herauszufinden, welche Unternehmenswerte bedroht werden könnten, welcher Schaden an den Unternehmenswerten im Einzelnen und für das Unternehmen im Ganzen im Schadensfall entsteht, wie hoch die Wahrscheinlichkeit eines Schadens ist und welche Schwachstellen existieren. Erst auf Basis dieser Erkenntnisse ist es in den meisten Fällen sinnvoll, organisatorische, technische, personelle oder infrastrukturelle Sicherheitsmaßnahmen umzusetzen.

Angriffe nehmen zu.

Grundsätzlich kann festgestellt werden, dass mit der Zunahme von vernetzten Computersystemen auch die Zahl der angegriffenen Systeme gestiegen ist. Dies liegt auch darin begründet, dass einfach mehr potenzielle Ziele vorhanden sind. Durch die Vernetzung von sehr vielen Systemen via Internet rücken neue Tätergruppen unterschiedlichster Motivation in das Spielfeld auf. Das Internet mit seiner Vielfalt an Netzdiensten, seiner weltweit einheitlichen Protokoll- bzw. Anwendungsstruktur und den damit verbundenen durchaus bedenklichen Design- und Implementationsfehlern trägt zur Risikoerhöhung bei. Die Wahrscheinlichkeit eines Angriffs über eine Netzverbindung steigt, wodurch eine signifikante Steigerung der Vorfälle über die vergangenen Jahre hinweg zu beobachten ist.

Angriffe werden komplexer.

Zusätzlich führt eine gewisse Monokultur bei den verwendeten Betriebssystemen und Applikationen gerade im Internet zu einer rasanten Multiplikation von Sicherheitsproblemen. Sicherheitslücken, die z.B. bei Implementation einer bestimmten WWW- oder DNS-Serversoftware auftauchen, können sofort bei allen Systemen ausgenutzt werden, die diese Software einsetzen. Es ist ebenfalls zu beobachten, dass die Angriffstechniken durchaus immer komplexer werden. Angriffe, die noch vor fünf oder zehn Jahren für zu kompliziert und damit undenkbar gehalten wurden, werden heute tagtäglich bei Systemeinbrüchen verwendet.

Abb. 1–1 Angreiferfähigkeiten vs. benötigtes Wissen1

Das amerikanische Sicherheitsunternehmen Symantec veröffentlicht regelmäßig einen »Internet Security Threat Report«2. Hierzu werden u.a. Alarme von mehreren Hundert Intrusion-Detection- und Firewall-Systemen analysiert. Für diesen Report wurden die Verbreitungswege von Malware analysiert. Glaubte man noch bis vor Kurzem, dass sich Schadcode fast nur noch online verbreitet, ist nun ein signifikanter Anstieg der Verbreitung über Datenträger zu verzeichnen:

Abb. 1–2Verbreitungsmethoden von Malware aus dem Symantec Internet Security Threat Report – Attack Trends 2012

Formen des Phishing

In den letzten Jahren hat sich der Trend zu sogenannten Spear-Phishing-Angriffen verstärkt. Zur Erläuterung: Phishing3 ist eine Angriffsmethode, bei der dem Opfer vorgetäuscht wird, er gebe seine Daten bei einer vertrauenswürdigen Webseite ein, um an vertrauliche Informationen wie z.B. Passwörter, TANs oder Kreditkarteninformationen zu gelangen. Hierzu wird oft ein Trojaner verwendet, der die gefälschte Webseite täuschend nachbildet und die abgefangenen Daten dann im Hintergrund auf einem sog. Drop-Zone-Server ablegt. Ein anderer einfacher Weg ist, die gefälschte Webseite auf einem Server zu hosten und das Opfer mit gefälschten E-Mails auf diesen Server zu locken. Eine neuere Variante des Phishing wird als Spear-Phishing bezeichnet (abgeleitet von der englischen Übersetzung des Begriffs Speer), worunter ein gezielter Angriff zu verstehen ist. Hierbei beschafft sich der Angreifer z.B. die Mailadressen von Mitarbeitern eines Unternehmens, um an diese gezielt eine Phishing-Mail zu übersenden, die wie eine Mail eines üblichen Geschäftspartners oder eines Newsletters für diese Mitarbeiter aussieht. Die »Trefferquote« bei dieser Art von Phishing-Attacken ist ungleich höher als bei normalen Angriffen, da die Wahrscheinlichkeit, dass der Mitarbeiter keinen Verdacht schöpft, sehr hoch ist. In Fachkreisen spricht man von Whaling, wenn sich die gezielte Attacke gegen hohe Führungskräfte richtet.

Targeted Attacks

Häufig sind die o.g. Methoden in sogenannten Targeted Attacks eingebettet, die gezielt einzelne Unternehmen im Fokus haben. Herkömmliche Malware-Abwehrmethoden, die auf Patternvergleich basieren, sind hier oft erfolglos, da der Angriffscode bisher nicht in der Öffentlichkeit aufgetaucht ist und speziell für das eine Ziel erstellt wurde. Oft lassen sich die Angreifer lange Zeit, um das richtige Ziel anzugreifen oder die richtigen Daten zu stehlen. In Fachkreisen werden solche langwierigen im Verborgenen ablaufenden Angriffe auf lohnenswerte Ziele auch Advanced Persistent Threats (APT) genannt. APT-Angreifer versuchen, nachdem sie Zugang zum Netzwerk des Opfers erhalten haben, sich dort so lange wie möglich unerkannt aufzuhalten. Dabei werden nicht alle Daten auf einmal gestohlen, sondern nach und nach die wesentlichen und wertvollen Informationen kompromittiert. Das Ziel der Angreifer kann sich oft ändern, abhängig von den Daten, die im Netzwerk des Opfers vorgefunden werden.

Advanced Persistent Threats

Die letzten großen Targeted Attacks gegen bedeutende Unternehmen und Organisationen wurden durch Spear-Phishing-Angriffe oder durch Whaling mittels mit Malware infizierten PDF-Dateien durchgeführt. Dieses Dateiformat hat die lange Zeit in Verruf geratenen MS-Office-Dateiformate als stärkste Bedrohung in diesem Kontext abgelöst.

Soziale Netzwerke

Als weitere Gefahrenquelle sind in der Vergangenheit soziale Netzwerke wie z.B. Facebook, LinkedIn, Xing oder StudiVZ in den Fokus gerückt. Wann immer ein Angreifer eine spezielle Person für eine Targeted Attack ausspioniert, wird er in der Vielzahl der sozialen Netzwerke fündig werden. Informationen, die hier einsehbar sind, können einfach für einen Spear-Phishing-Angriff verwendet werden. Die Wahrscheinlichkeit, dass ein Opfer auf einen Link klickt, der von einem »Freund« kommt, ist recht groß. Zusätzlich werden diese Netze zunehmend für die automatisierte Weiterverbreitung von Malware verwendet.

1.3 Motivation der Täter

Aus welcher Motivation heraus handeln Täter? Motiviert ist ein Täter aus dem Umfeld der Computerkriminalität häufig im gleichen Maße, wie ein klassischer Krimineller zum Begehen einer Straftat angeregt wird. Hierzu zählen u.a. finanzieller Gewinn, Wettbewerbsvorteil, Rache, Geltungssucht und Publicity. Ebenso wie im realen Leben bestimmte Handlungen zur gesellschaftlichen Anerkennung innerhalb bestimmter Gruppen führen, gilt dieses auch in der virtuellen Welt. Spektakuläre Systemeinbrüche können durchaus zur Akzeptanzsteigerung in der sogenannten Szene führen. Die Anzahl oder Art der angegriffenen Systeme werden wie Trophäen behandelt und auf einschlägigen Webseiten oder IRC-Channels präsentiert. Zu den in dieser Szene häufig verwendeten Personenbezeichnungen gehören Wörter wie Blackhat, Whitehat, Script Kiddies, Hacker, Cracker, Phreaker, Cypherpunks, Eleet, Lamer usw. Das Wort Hacker hat sich landläufig als neutrale oder gar positive Bezeichnung für Personen durchgesetzt, die in der Lage sind, interne Abläufe und Funktionen von Computern, Programmen und Informationen zu beeinflussen, während die Bezeichnung Cracker eindeutig negativer Natur ist, da Cracker in der Regel Schaden anrichten und in Systeme einbrechen wollen. Im Folgenden soll hier aber von Täter oder Angreifer gesprochen werden. Die Bezeichnungen Hacker und Cracker werden in diesem Buch ausnahmsweise synonym verwendet.

Elite, Hacker und Script Kiddies

Die Bezeichnung »elite« wird seit den Zeiten der klassischen Bulletin-Board-Systeme (BBS oder Mailbox) in den 80er Jahren verwendet und bezeichnete jemanden, der erweiterten Zugriff auf spezielle Dateien z.B. aus dem Download-Bereich hatte. Durch den Film »Hackers« wurde 1995 der Begriff elite für die Bezeichnung des sogenannten »Überhackers« verwendet. Man findet häufig unterschiedliche Schreibweisen wie eleet, leet, 13374, 31337 etc. Es wird derzeit in Schätzungen davon ausgegangen, dass weltweit ca. 500 bis 1.000 elite-Hacker in der Lage sind, neue Sicherheitslücken zu finden, während etwa 5.000 Hacker sogenannte Exploit5 Scripts schreiben können. Ebenso wird in vorsichtigen Prognosen davon ausgegangen, dass etwa 100.000 »Script Kiddies« im Internet aktiv sind6. Script Kiddies sind in der Regel nur daran interessiert, Techniken und Exploits zu nutzen, um in Systeme einzudringen, während erfahrenere Hacker Sicherheitslücken entdecken und Exploits entwickeln, ohne den Systemeinbruch im Hauptfokus zu haben.

Neben den Tätern, die bekannte Sicherheitslücken mit allgemein verfügbaren Angriffswerkzeugen nur erneut nutzen, liegt die Motivation der erfahrenen Angreifer darin, Aktivitäten durchzuführen, die normalerweise nicht überwacht werden, die schwierig zu erkennen bzw. schwer nachzuvollziehen oder im Labor schwer nachzustellen sind. Gleichzeitig müssen diese Angriffsaktivitäten gut verdeckt sein, sodass eine Beweissammlung oder gar Rückverfolgung bis zum Verursacher sehr schwierig wird. Ermittler kommen hier nur zum Ziel, wenn sie über spezielle Werkzeuge und entsprechende Erfahrung verfügen.

In der Öffentlichkeit haben sich einige Grobklassifizierungen zur Einstufung von Hackern etabliert. Diese Kategorisierung kann bei der Bewertung und Beurteilung der Motivlage im kriminalistischen Sinne durchaus behilflich sein:

Soziale Motivation

Technische Motivation

Politische Motivation

Finanzielle Motivation

Staatlich-politische Motivation

Soziale Motivation

Der am häufigsten auftretende Typ ist die Tätergruppe, die sich nach ihrer sozialen Motivation klassifizieren lässt. Es ist ein Verhalten wie in einer Jugend- oder Straßengang zu beobachten. Ganz ähnlich dem Verhalten solcher Gangs in der realen Welt werden Straftaten billigend in Kauf genommen oder »Mutproben« ausgeführt, die der Anerkennung des Hackers innerhalb seiner Peer-Group dienen. Der Hacker möchte zu einer bestimmten Gruppierung gehören und dies durch mehr oder weniger spektakuläre Website Defacements bzw. ähnlich gelagerte Hacks erreichen.

Technische Ambitionen

Die Gruppe der technisch motivierten Hacker ist dadurch gekennzeichnet, dass die von ihnen durchgeführten Systemeinbrüche vor dem Hintergrund geschehen, angeblich den Technologieprozess zur Beseitigung von Sicherheitslücken zu beschleunigen. Durch ihre Taten soll die »Öffentlichkeit« auf System- und Sicherheitslücken hingewiesen werden. Sie verstehen sich als Aufklärer und wollen Hersteller und Betreiber von Computersystemen zum Handeln auffordern. Interessanterweise behaupten fast alle Hacker, zu dieser Gruppe zu gehören.

Politische Motive

Ebenfalls stellen viele Hacker die Behauptung auf, aus politischen Motiven zu handeln. Die politisch motivierten Täter verfügen über einen ausgeprägten politischen Glauben und präsentieren diesen zum Beispiel einer breiten Öffentlichkeit, indem sie Websites verändern bzw. verschandeln (Website Defacement). Diese Art von Angriffen, die vermeintlich politischer Natur sind, bekommen häufig mehr Aufmerksamkeit in der Presse als Angriffe, die nur so zum Spaß durchgeführt wurden. Interessanterweise haben aber nur wenige der gehackten Systeme direkt mit dem vermeintlichen politischen Gegner zu tun oder sind sonst irgendwie mit diesem in Verbindung zu bringen.

Finanzielle Absichten

Wie bei der »klassischen« Kriminalität existiert auch im Bereich der Computerkriminalität ein Personenkreis, der durch finanzielle Absichten getrieben wird. Hacker, die dieser Gruppe zugeordnet werden können, hacken, um sich persönlich zu bereichern. Hierzu gehören u.a. Tätigkeiten aus den Bereichen Wirtschaftsspionage, Finanzbetrug oder Softwarepiraterie. Im Gegensatz zu den anderen bereits erwähnten Gruppierungen findet man selten finanziell motivierte Täter, die in der Öffentlichkeit mit ihren Taten prahlen. Das Bestreben nach absoluter Anonymität ist innerhalb dieser Gruppierung als sehr stark zu bezeichnen.

Im Auftrag einer Regierung

Der Vollständigkeit halber sei zusätzlich auf die politisch motivierten Hacker hinzuweisen, die im Auftrag von Regierungen oder staatlichen Institutionen tätig sind. Hierbei sind neben anderen Regierungen auch Wirtschaftsunternehmen im Fokus. Wie man sich sicherlich denken kann, geht es hierbei nicht um Website Defacement, sondern um die verschiedensten Arten der Überwachung, Informationsbeschaffung bzw. -modifikation.

In Gruppen organisiert

Hacker »organisieren« sich gern in Gruppen. Diese Gruppen sind häufig nur ein virtueller Zusammenschluss und reichen oft über Ländergrenzen hinaus. Innerhalb dieser Gruppen werden Tipps, Angriffstechniken, Tools und manchmal auch Raubkopien kommerzieller Software (sog. Warez) ausgetauscht. Diese Gruppen geben sich einen in der Szene eindeutigen Namen und betreiben manchmal eigene Websites. Mitunter können Mitglieder anhand spezieller eindeutiger Erkennungsmerkmale einzelnen Gruppen zugeordnet werden.

In diesem Zusammenhang sind einige Statistiken von Interesse: Es existieren im Internet Websites, die es sich (aus vielerlei Gründen) zur Aufgabe gemacht haben, gehackte und modifizierte WWW-Server zu erfassen und als Mirror für die Nachwelt zu speichern. Wie bereits ausgeführt, haben es sich einige Hackergruppen zum Ziel gesetzt, in sogenannten Defacement-Mirrors verewigt zu werden. Ein entsprechender Defacement-Mirror ist z.B. zone-h.

Abb. 1–3 Defacement der Webseite von HP Belgien mit Hinweis auf den Defacement-Mirror zone-h.org und einer entsprechenden Rechtfertigung

Die Betreiber des Defacement-Mirrors zone-h.org versuchen bei jeder Archivierung einer veränderten Webseite zusätzlich die Motivlage des Hackers zu erfassen:7

Abb. 1–4 Versuch einer Analyse der Motivlage der Angreifer7

Der Grafik aus Abbildung 1–4 zufolge ist die Mehrheit der erfolgreichen Angriffe keiner bestimmten Motivation zuzuordnen (Dem Ausreißerwert bei »Just for Fun« liegt ein sogenanntes Mass Defacement zugrunde). Daraus würde folgen, dass die Ziele wahllos ausgesucht werden, was die Wahrscheinlichkeit, dass man selbst Ziel eines Angriffs wird, für alle Netzteilnehmer erhöhen würde. Allerdings ist zu dieser Grafik zu bemerken, dass sich hier nur diejenigen »verewigt« haben, die ihre Taten auch bekannt geben wollen. Wer wirklich im Verborgenen bleiben möchte, wird seine Angriffe hier nicht veröffentlichen. Dies ist besonders relevant, wenn der Täter aus finanzieller Motivation agiert.

Um die Motive von Straftätern auch von anderer Seite zu beleuchten, hat das Kriminalistische Institut des Bundeskriminalamts (BKA) das Delikt »Account-Missbrauch im Internet« näher beleuchtet. Hintergrund war ein bundesweit geführtes Sammelverfahren gegen mehr als 3.000 Tatverdächtige, für das am Polizeipräsidium Münster im Jahr 2000 eine Ermittlungskommission gegründet wurde. Auch wenn diese Untersuchung mehr als zehn Jahre zurückliegt, lassen sich daraus auch heute noch anwendbare Schlüsse ziehen. Zu den »logistischen und kriminalistischen Herausforderungen dieses Ermittlungsverfahrens« legte das BKA einen Erfahrungsbericht8 vor, der auf Untersuchungen der Universität Münster basierte. Zusammen mit Wissenschaftlern der Universität war zuvor ein Fragebogen entwickelt worden, der an beteiligte Staatsanwaltschaften, Gerichte und auch Eltern von Tatverdächtigen geschickt wurde. Ausgewertet wurden 599 Fragebögen. Neben anderen Fragestellungen wurde auch die Motivlage erfasst. Den gewonnenen Daten ist zu entnehmen, dass die Mehrheit der Täter wirtschaftliche Gründe als Motiv angab, also persönliche Bereicherung im Vordergrund stand. Neugierde wurde an zweiter Stelle genannt. Das Ausprobieren spielte für Einsteiger eine große Rolle. In der Kombination »Ausprobieren und wirtschaftliche Gründe« war Geldmangel erwartungsgemäß in der Fortführung der Tat der wesentlichere Faktor. Wie bei jeder statistischen Annäherung an eine Thematik sind auch in diesen konkreten Beispielen immer das Gesamtbild und die zugrunde liegende Datenlage zu betrachten. Anhand einer einzelnen Statistik lässt sich nicht direkt auf andere Fragestellungen schließen. Aussagen, die in einem speziellen Kontext erfasst und ausgewertet wurden, halten deswegen in der Regel selten einer Pauschalisierung stand.

Abb. 1–5 Auswertung der Motivlage in einem größeren Fall von Missbrauch von Internet-zugangskennungen

Motive

Fälle

in%

Wirtschaftliche Gründe

307

51,3

Ausprobieren

198

33,1

Technische Möglichkeiten

72

12

Sonstige Grunde

49

8,2

Reinlegen

16

2,7

Gruppen-Anerkennung

9

1,5

Wettkampf

6

1

Anerkennung im Internet

4

0,7

Geheimdienst

2

0,3

Ausspionieren

nicht genannt.

0

Jemanden Schaden zufügen

nicht genannt

0

1.4 Innentäter vs. Außentäter

Angriffe können von verschiedenen Ursprungsorten kommen. Der Täter kann sich sowohl außerhalb des angegriffenen Netzwerks befinden als auch innerhalb des eigenen Verantwortungsbereichs. Beide Ursprungsorte bieten bei der Ermittlung der möglichen Täter Vor- und Nachteile. Es gibt zwar Statistiken über das Verhältnis von Innentätern zu Außentätern, diese sind aber wegen der zu erwartenden Dunkelziffer kritisch einzuschätzen.

Außentäter

Durch die zunehmende Vernetzung der Informationstechnik hat sich die potenzielle Gefährdung stärker in Richtung auf den ortsunabhängigen Außentäter verlagert. Recht einfache Mittel wie ein PC und ein Internetzugang und geringes Fachwissen reichen aus, um ein Computersystem empfindlich zu stören.

Innentäter

Dennoch geht aufgrund des Wissens um die internen Informationsflüsse und vorhandener Insider-Informationen weiterhin eine sehr große Gefahr von Innentätern aus. Dies wird häufig durch mangelnde interne Schutzmechanismen begünstigt. Dem Innentäter wird es oft leicht gemacht, da in den wenigsten Fällen im internen Netz verschlüsselt wird oder wichtige Systemkomponenten ausreichend gehärtet sind. Zusätzlich sind die internen Überwachungs- und Protokollierungsmöglichkeiten aus verschiedenen Gründen nicht geeignet, auffälliges Verhalten frühzeitig aufzuklären oder einen erfolgten Angriff zu erkennen.

Der Gesamtverband der deutschen Versicherungswirtschaft (GdV) geht davon aus, dass etwa 40 % der Betrugs-, Diebstahls- und Unterschlagungsdelikte9 von den Mitarbeitern der betroffenen Unternehmen begangen werden10. Im Jahr 2002 entstanden laut GdV deutschen Firmen auf diese Weise Schäden in Höhe von rund 3 Milliarden Euro. In dieser Statistik ist allerdings nicht ausschließlich die Mitarbeiterkriminalität erfasst, die durch Computermissbrauch gekennzeichnet ist, sondern auch alle anderen Formen krimineller Handlungen wie Korruption und Vorteilsnahme, Untreue, Unterschlagung, Diebstahl, Betrug, Wirtschafts- und Betriebsspionage, Verrat von Betriebsgeheimnissen, Erpressung und Insider-Geschäfte. Es ist dabei aber zu bedenken, dass höchstwahrscheinlich bei einer Vielzahl dieser Delikte Computersysteme unterstützend oder begünstigend beteiligt waren. Laut Aussage des GdV besitzen die Täter meist betriebswirtschaftliches Fachwissen sowie gute Kenntnisse der internen organisatorischen Abläufe und Gewohnheiten des geschädigten Unternehmens.

Die Betrachtung der Innentäterproblematik darf nicht nur auf die eigenen Mitarbeiter isoliert werden. Vielmehr ist dabei einzubeziehen, dass zu diesem Täterkreis alle mit erweitertem internem Know-how ausgestatteten Personengruppen gehören. Hierzu zählen dann auch Geschäftspartner, Lieferanten, externe Dienstleister und eben auch Kunden.

Eine Statistik der Euler Hermes Kreditversicherungs-AG von 9.000 versicherten Vertrauensschäden (wieder nicht nur ausschließlich Computermissbrauch), die Alter, Geschlecht und Betriebszugehörigkeit der Täter erfasst, zeigt11:

Etwa zwei Drittel der Täter waren männlich, ein Drittel weiblich.

Mit zunehmendem Alter sinkt die Schadenshäufigkeit. 35% der Schäden wurden von Mitarbeitern unter 30 Jahren verursacht. 30% waren zwischen 30 und 40 Jahren alt, 23% zwischen 40 und 50 Jahren. Nur etwa 12% der Schäden gehen auf Mitarbeiter über 50 Jahre zurück.

Je länger die Betriebszugehörigkeit, desto seltener die Veruntreuung: Die höchste Dichte von Veruntreuungen liegt in den ersten zwei Jahren der Betriebszugehörigkeit, während sie ab 20-jähriger Beschäftigung im gleichen Unternehmen minimal ist.

Es war weiterhin zu erkennen, dass gerade die von langjährigen Mitarbeitern verursachten Schäden oft sehr hoch sind.

Für das Jahr 2006 geht Euler Hermes davon aus, dass ein Vermögensschaden von ca. 1,5 Milliarden Euro entstanden ist. Dies übersteigt die Schäden, die im gleichen Zeitraum durch Brandschäden verursacht wurden, um ungefähr eine halbe Milliarde Euro.

Im Jahre 2013 führte die KPMG AG Wirtschaftsprüfungsgesellschaft eine Umfrage zur »Computerkriminalität in der deutschen Wirtschaft« durch12. Demzufolge war jedes vierte der befragten Unternehmen bereits Opfer von Computerkriminalität.

Mehr als 80 Prozent der befragten 500 Unternehmen sehen für die Gesamtwirtschaft ein hohes bis sehr hohes Risiko, in Computerkriminalitätsvorfälle involviert zu werden. Zwei Drittel der Unternehmen erwarten sogar eine Zunahme der ernsten Bedrohungslage innerhalb der nächsten zwei Jahre.

Paradox ist hierbei jedoch, dass nur knapp ein Drittel der befragten Unternehmen das Risiko, mit dem eigenen Unternehmen von e-Crime betroffen zu sein, als hoch bis sehr hoch einschätzt. Demzufolge haben in der Risikowahrnehmung der Befragten also eher die anderen Unternehmen ein Problem. Von den betroffenen Unternehmen wurden Computerbetrug und Ausspähen oder Abfangen von Daten als häufigste Deliktstypen genannt.

Die mobile Telekommunikation und die Nutzung von mobilen Datenträgern werden als bedeutsamste Gefahrenquellen gesehen. Die zunehmende Verbreitung komplexer Technologien im Zuge der mobilen Telekommunikation bereitet somit die Angriffsmöglichkeiten für die komplexeren Deliktstypen. Die Angreifer werden dabei professioneller und führen die Angriffe zunehmend gezielt auf bestimmte Geschäftsbereiche oder Daten hin aus. Die Gefahrenquellen für e-Crime werden inzwischen vermehrt länderspezifisch gesehen, die größten Gefahren werden mit China, Russland und dem übrigen Osteuropa verbunden.

Bei den tatsächlichen Tätern besetzen die unbekannten Externen die vorderste Position. Es bleibt jedoch festzuhalten, dass die überführten Täter oft im unmittelbaren Umfeld zu finden sind.

Die Vorstudie aus dem Jahr 2010 ergab noch, dass die Personengruppe, die als besonders risikobehaftet wahrgenommen wurde – aktuelle oder ehemalige Mitarbeiter des Unternehmens – auch tatsächlich mehrheitlich dem Täterkreis bei Computerkriminalität entsprach. Inzwischen zeigt sich ein verändertes Bild. Es rangieren gemäß der aktuellen Version der KPMG-Studie die ehemaligen Mitarbeiter oder Insider, die ihr Wissen um Schwachstellen vorsätzlich missbrauchen, nach wie vor ganz oben. Bei den tatsächlichen Tätern besetzen die unbekannten Externen jedoch nun die vorderste Position, gefolgt von Mitarbeitern der betroffenen Abteilung, Kunden sowie sonstige Geschäftspartner. Beim Delikt »Verletzung von Geschäfts- und Betriebsgeheimnissen« wurden allerdings mehrheitlich die Mitarbeiter der betroffenen Abteilung als Täter identifiziert. Dies ist eigentlich auch nachvollziehbar, da diese oft privilegierten Zugang zu diesen Geheimnissen haben. Als Fazit kann festgehalten werden, dass auch diese Studie Computerkriminalität als Instrument im wachsenden weltweiten Konkurrenzkampf sieht, da der finanzielle Vorteil der überführten Täter bei 96% der betroffenen Unternehmen als Motivation festgestellt wurde.

Über diese Zahlen kann man sicherlich wie bei jeder Statistik diskutieren. Es ist aber als Tatsache anzusehen, dass die steigende Anonymität in großen Unternehmen und die zunehmende Angst der Arbeitnehmer vor Jobverlust zu einer Änderung in der Einstellung zu den Werten eines Unternehmens geführt haben. Unübersichtliche Unternehmensstrukturen – oft infolge von häufigen Umstrukturierungen oder Fusionen bzw. Firmenübernahmen – erleichtern es potenziellen Tätern zusätzlich, Lücken auszunutzen und dabei unerkannt zu bleiben.

Diverse Studien, die sich mit Wirtschaftskriminalität beschäftigten, zeichnen auch hier ein bemerkenswertes Bild.13 Auf Basis von Betroffenenbefragungen wird darin beispielsweise davon ausgegangen, dass jedes zweite deutsche Unternehmen von Korruption oder ähnlichen Delikten betroffen ist. Wenn man sich dann noch vor Augen hält, dass für fast alle wichtigen Geschäftsprozesse (bei denen auch Geldflüsse zu verzeichnen sind) informationstechnische Systeme zum Einsatz kommen, ist es jedem Betrachter klar, dass hier mit Computerforensischen Methoden zu ermitteln ist. Sobald die Täter beispielsweise Mail- bzw. Webtechnologien einsetzen oder einfach nur mit ihrem Mobiltelefon Informationen austauschen, sind digitale Spuren zu finden, die es zu analysieren und auszuwerten gilt, auch wenn der Schaden eventuell durch einen Nicht-IT-Prozess verursacht wurde.

Ein weiterer Aspekt der Innentäterproblematik ist, dass jemand mit ausreichend Prozess- oder Firmenwissen ohne aufwendiges Hacken erheblichen Schaden anrichten kann. Auch aus technischer Sicht regelkonformes Verhalten kann eine Computer-forensische Analyse nach sich ziehen, wenn gegen interne Richtlinien verstoßen wurde. Dies kann selbst der »normale« Einsatz eines Mail- oder Webclients sein, wenn damit eine Straftat oder strafvorbereitende Handlung bzw. andere Delikte begangen werden.

1.5 Bestätigung durch die Statistik?

Die Polizeiliche Kriminalstatistik

Das Bundeskriminalamt (BKA) veröffentlicht jährlich die Polizeiliche Kriminalstatistik (PKS). In der Polizeilichen Kriminalstatistik werden die von der Polizei bearbeiteten Straftaten registriert. Taten, die außerhalb der Bundesrepublik Deutschland begangen wurden, werden nicht berücksichtigt.

Nur abgeschlossene Verfahren

Der Erfassung liegt ein unter teils strafrechtlichen, teils kriminologischen Aspekten aufgebauter Straftatenkatalog zugrunde. Bundeseinheitlich wird seit dem 1.1.1971 eine »Ausgangsstatistik« geführt, d.h., die bekannt gewordenen Straftaten werden erst nach Abschluss der polizeilichen Ermittlungen vor Aktenabgabe an die Staatsanwaltschaft erfasst. Seit 1993 ist es eine gesamtdeutsche Statistik. Das Zahlenmaterial wird von den Landeskriminalämtern in aggregierter Form dem Bundeskriminalamt übermittelt und dann zur Polizeilichen Kriminalstatistik zusammengefasst. Das BKA schätzt die PKS allerdings selbst kritisch ein, da ihre Aussagekraft dadurch eingeschränkt wird, dass der Polizei nicht alle Straftaten bekannt werden. Daraus können sich natürlich Abweichungen im Verhältnis zwischen erfassten und wirklich begangenen Straftaten ergeben14.

Das BKA geht bei der PKS bereits von statistikbeeinflussenden Faktoren aus. Dazu gehören

das Anzeigeverhalten (z.B. Versicherungsaspekt),

die polizeiliche Kontrolle,

die statistische Erfassung,

die Änderung des Strafrechts

und die echte Kriminalitätsänderung.

Ein weiterer statistikbeeinflussender Faktor ist, dass Vorfälle mit mehreren hundert Geschädigten, wie es bei Phishingvorfällen vorkommt, oft nur einmal gezählt werden; sitzen die Täter im Ausland, werden sie gar nicht gezählt. Aufgrund dieser Einschränkungen und des – wie auch bei allen anderen Statistiken dieses Kapitels – zu erwähnenden beträchtlichen Dunkelfeldes ist davon auszugehen, dass die PKS die Kriminalität nicht hundertprozentig widerspiegelt. Allerdings können durch die annähernde Darstellung Erkenntnisse über Entwicklungstendenzen und Trends gewonnen werden.

1.6 Computerkriminalität

Das Bundeskriminalamt verzeichnet für den Bereich der Computerkriminalität stetige Zuwachsraten. So ist die Zahl der registrierten Fälle seit 1987 auf mehr als das 15-Fache angestiegen. Damit wird deutlich, dass die Kriminalität den technischen Möglichkeiten folgt. Zu bedenken ist hier, dass es sich nur um eine Betrachtung der bekannt gewordenen Kriminalität handelt – dies macht das BKA im oben zitierten Abschnitt zur Aussagekraft der Statistik selbst deutlich. Hinzu kommt, dass die Statistik grundsätzlich erst bei Abschluss der Ermittlungen erstellt wird. Somit ist immer ein gewisser Zeitverzug zu beachten.

Folgende Delikte werden seit 2002 in der PKS unter Computerkriminalität zusammengefasst15:

Computerbetrug,

Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten,

Betrug mit Konto- oder EC-Karten mit PIN,

private Softwarepiraterie,

gewerbsmäßige Softwarepiraterie,

Datenveränderung und Computersabotage,

Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung,

Ausspähen von Daten.

Abb. 1–6Fallentwicklung und Aufklärung für das gesamte Bundesgebiet. Der Anstieg bei Datenveränderung und Computersabotage resultiert aus Angriffen mittels Schadsoftware.

Aufklärungsrate

Im Jahr 2012 wurden 229.408 Fälle erfasst, die unter Nutzung des Tatmittels Internet begangen wurden. Dies bedeutete einen Anstieg gegenüber dem Vorjahr um 3,2 Prozent. Überwiegend handelte es sich hierbei um Betrugsdelikte (70,8%), darunter vor allem Warenbetrug (23,6%). 8,2% aller mit dem Tatmittel Internet begangenen Delikte sind Fälle von Computerbetrug.

Auffällig sind mit einem Anteil von 6% die erneut ansteigenden Fallzahlen beim Ausspähen und Abfangen von Daten, einschließlich der strafbaren Vorbereitungshandlungen.

Die Computerkriminalität ist im Jahr 2012 um 3,4% auf 87.871 Fälle angestiegen. Dies ist überwiegend auf eine Steigerung der Fallzahlen bei der Fälschung beweiserheblicher Daten und Täuschung im Rechtsverkehr bei Datenverarbeitung (+11,3%) sowie bei der Datenveränderung und Computersabotage (+133,8%) zurückzuführen. Dieser enorme Anstieg ist allerdings durch Angriffe mittels Schadsoftware bedingt.

Die Aufklärungsquote ist bei der Datenveränderung und Computersabotage im Vergleich zum Vorjahr von 41,2% auf 17,5 Prozent zurückgegangen. Aus der PKS lässt sich auch ablesen, dass bei den Computerstraftaten weiterhin männliche erwachsene Tatverdächtige ab 21 Jahren überwogen.

IuK-Kriminalität im engeren Sinne

Zum Themenkreis der Computerkriminalität gehört im Wesentlichen die Ausführung von Taten in Kenntnis bzw. unter Einsatz von Computer- bzw. Kommunikationstechnologie, die Verletzung von Eigentum an Sachwerten sowie Verfügungsrechten an immateriellen Gütern und die Beeinträchtigung von Computer- bzw. Kommunikationstechnologien. Die Computerkriminalität tritt in verschiedenen »Varianten« auf: Zum einen sind Computer das Ziel der strafbaren Handlung, zum anderen dienen Computer als Werkzeug für weitere Handlungen, z.B. Wirtschaftsstraftaten oder organisierte Kriminalität. Dem folgend lässt sich, wie bereits bei der PKS erwähnt, das Themengebiet der Computerkriminalität in IuK-Kriminalität im engeren Sinne und im weiteren Sinne aufteilen. Der IuK-Kriminalität im engeren Sinne lassen sich folgende Delikte zuordnen:

Tab. 1–1 Delikte der IuK-Kriminalität im engeren Sinne

Delikte der IuK-Kriminalität im engeren Sinne – Auszug aus dem Strafgesetzbuch (StGB)

§202a: Ausspähen von Daten

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

§202b: Abfangen von Daten

(gültig seit 11.08.2007)

Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

§202c: Vorbereiten des Ausspähens und Abfangens von Daten

(gültig seit 11.08.2007)

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder

2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(2) § 149 Abs. 2 und 3 gilt entsprechend.

§263a: Computerbetrug

(1) Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflußt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

(2) § 263 Abs. 2 bis 7 gilt entsprechend.

(3) Wer eine Straftat nach Absatz 1 vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, feilhält, verwahrt oder einem anderen überlässt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(4) In den Fällen des Absatzes 3 gilt § 149 Abs. 2 und 3 entsprechend.

§269 Fälschung beweiserheblicher Daten

(1) Wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, daß bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde, oder derart gespeicherte oder veränderte Daten gebraucht, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

(2) Der Versuch ist strafbar.

(3) § 267 Abs. 3 und 4 gilt entsprechend.

§270 Täuschung im Rechtsverkehr bei Datenverarbeitung

Der Täuschung im Rechtsverkehr steht die fälschliche Beeinflussung einer Datenverarbeitung im Rechtsverkehr gleich.

§271 Mittelbare Falschbeurkundung

(1) Wer bewirkt, daß Erklärungen, Verhandlungen oder Tatsachen, welche für Rechte oder Rechtsverhältnisse von Erheblichkeit sind, in öffentlichen Urkunden, Büchern, Dateien oder Registern als abgegeben oder geschehen beurkundet oder gespeichert werden, während sie überhaupt nicht oder in anderer Weise oder von einer Person in einer ihr nicht zustehenden Eigenschaft oder von einer anderen Person abgegeben oder geschehen sind, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Ebenso wird bestraft, wer eine falsche Beurkundung oder Datenspeicherung der in Absatz 1 bezeichneten Art zur Täuschung im Rechtsverkehr gebraucht.

(3) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen Dritten zu bereichern oder eine andere Person zu schädigen, so ist die Strafe Freiheitsstrafe von drei Monaten bis zu fünf Jahren.

(4) Der Versuch ist strafbar.

§274 Urkundenunterdrückung, Veränderung einer Grenzbezeichnung

(1) Mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe wird bestraft, wer

1. eine Urkunde oder eine technische Aufzeichnung, welche ihm entweder überhaupt nicht oder nicht ausschließlich gehört, in der Absicht, einem anderen Nachteil zuzufügen, vernichtet, beschädigt oder unterdrückt,

2. beweiserhebliche Daten (§ 202a Abs. 2), über die er nicht oder nicht ausschließlich verfügen darf, in der Absicht, einem anderen Nachteil zuzufügen, löscht, unterdrückt, unbrauchbar macht oder verändert oder

3. einen Grenzstein oder ein anderes zur Bezeichnung einer Grenze oder eines Wasserstandes bestimmtes Merkmal in der Absicht, einem anderen Nachteil zuzufügen, wegnimmt, vernichtet, unkenntlich macht, verrückt oder fälschlich setzt.

(2) Der Versuch ist strafbar.

§348 Falschbeurkundung im Amt

(1) Ein Amtsträger, der, zur Aufnahme öffentlicher Urkunden befugt, innerhalb seiner Zuständigkeit eine rechtlich erhebliche Tatsache falsch beurkundet oder in öffentliche Register, Bücher oder Dateien falsch einträgt oder eingibt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

(2) Der Versuch ist strafbar.

§303a Datenveränderung

(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(2) Der Versuch ist strafbar.

(3) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

§303b Computersabotage

(1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er