Polizist von hinten
Polizist von hinten
Bildquelle: Augustin-Foto, Lizenz

Ermittlungsmethoden gegen Cyberkriminelle – und wie man sich davor schützt

von Lars Sobiraj Lesezeit: 11 Min.

Wir zeigen anhand eines konkreten Falles, mit welchen Ermittlungsmethoden die Behörden die Identität von Cyberkriminellen aufdeckt.

Inhalt

Ermittlungsmethoden kritisch hinterfragt: der Webhoster als Partner der Polizei?

Wir stellen in diesem Hintergrundbericht die Ermittlungsmethoden der deutschen Behörden vor. Der vorliegende Fall rund um eine Phishing-Webseite zeigt exemplarisch, wie strukturiert und mehrstufig Strafverfolgungsbehörden inzwischen vorgehen. Ausgangspunkt der Ermittlungen ist häufig eine entdeckte Phishing-Seite, die entweder durch Hinweise von Geschädigten, Sicherheitsforschern oder automatisierte Scans der Kreditkartenanbieter etc. auffällt. Die Vorgehensweise ist aber die gleiche wie bei Warez-Seiten, Fake-Shops, Fraud-Foren etc.

Am Anfang steht die Risikoabwägung

Bereits zu Beginn der Tätigkeit der Polizei steht eine Risikoabwägung. Die Ermittler prüfen, wie vertrauenswürdig der verwendete Hosting-Anbieter ist und ob eventuell die Gefahr besteht, dass dieser die Täter über ihre Anfragen informiert. Dabei spielt neben der Rechtsform, dem Bekanntheitsgrad auch der Standort eine Rolle, etwa ob sich der Anbieter in Deutschland, innerhalb der EU oder in klassischen Offshore-Jurisdiktionen befindet. Bekanntlich kooperieren große Hosting-Anbieter lautlos, sollte eine behördliche Anfrage bei ihnen eintrudeln. Einige kleinere Webhoster oder Domain-Registrare machen noch lange nicht alles mit.

Auskunftsanfrage auch an CDN-Dienstleister & Domain-Registrar

Handelt es sich um einen seriösen und somit wahrscheinlich kooperativen Anbieter, erfolgt in der Regel eine abgestufte Auskunftsanfrage. Diese richtet sich nicht nur an den eigentlichen Webhoster, sondern auch an den Domain-Registrar sowie gegebenenfalls eingesetzte CDN-Dienste. Große Firmen wie Cloudflare gelten dabei als vergleichsweise kooperativ, sofern die anfragenden Behörden die rechtlichen Voraussetzungen erfüllen. Doch zurück zum Hosting-Anbieter. Dieser kann konkrete technische Maßnahmen unterstützen, etwa durch sogenanntes Port-Mirroring aller ein- und ausgehenden Ports und IP-Adressen. Es handelt sich also um eine umfangreiche Telekommunikationsüberwachung des Servers. Man zeichnet sämtliche ein- und ausgehenden Verbindungen des Servers auf, sodass die Ermittler nachvollziehen können, welche IP-Adressen und Dienste genutzt werden.

Ermittlungsmethoden

Ermittlungsmethoden vorgestellt: Erstellung des Server-Abbilds im Datencenter

Ein weiterer zentraler Baustein ist die Erstellung eines vollständigen Server-Abbilds, eines sogenannten VM-Dumps. Die Abkürzung VM steht für Virtual Machine. Dieses Abbild enthält nicht nur die aktuell gespeicherten Daten, sondern oft auch Konfigurationsreste, Logdateien und Hinweise auf die ursprüngliche Einrichtung des Systems. Für die Ermittler sind insbesondere IP-Adressen aus Logfiles, Konfigurationsdateien oder Installationsprozessen relevant.

Parallel dazu werden beim Hosting-Anbieter hinterlegte Kundendaten abgefragt, also die Rechnungsanschriften, Zahlungsinformationen oder verwendete Zahlungsmittel wie Kreditkarten, PayPal- oder Stripe-Konten. Diese Auskünfte sind in der Regel kostenpflichtig und müssen von den Behörden entsprechend vergütet werden.

Beschlagnahmung des Servers bei unkooperativen Hostern

Anders gestaltet sich die Lage, wenn der Hosting-Anbieter als nicht vertrauenswürdig eingeschätzt wird oder eine Kooperation verweigert. In solchen Fällen greifen klassische Zwangsmaßnahmen. Nach einem richterlichen Beschluss können sowohl die Server beim Anbieter als auch die Wohn- oder Geschäftsräume der Tatverdächtigen durchsucht und Beweismittel direkt beschlagnahmt werden. Da kommt es den Ermittlern sehr gelegen, dass nur die wenigsten Raubkopierer ihre Geräte daheim verschlüsseln.

Bei Webhostern, die absichtlich weit außerhalb der EU beheimatet sind, geht die Polizei bei ihren Anfragen leer aus. Schwierig wird es auch, sollte die Polizei bei ihren Ermittlungen noch am Anfang stehen und es steht noch kein Tatverdächtiger fest.

Vorladung Polizei
Polizei im Leipziger Hauptbahnhof.

Auswertung als größter Brocken der Ermittlungsarbeit

Die eigentliche Ermittlungsarbeit für die Mitarbeiter beginnt häufig erst mit der Auswertung der gesicherten Daten. Dabei analysieren IT-Spezialisten, über welche Wege der Betreiber auf den Server zugegriffen hat, etwa per SSH. Besonders relevant sind IP-Adressen, die der oder die Betreiber bei ihren administrativen Logins verwendet haben. Gleichzeitig versucht man die gesamte Infrastruktur zu rekonstruieren. Gibt es womöglich externe Datenbanken, auf die die Seite zugreift? Wo liegt der Mailserver? Welche weiteren externen Systeme sind eingebunden? Auch Spuren zur Einrichtung des Systems können entscheidend sein, etwa typische Konfigurationsmuster oder wiederverwendete Zugangsdaten.

Lückenlose Anonymisierung der Datenströme

Ein wiederkehrender Schwachpunkt auf Täterseite sind ungeschützte Zugriffe. Sobald aus Versehen ein Login ohne Anonymisierung (ohne VPN*) erfolgt, lässt sich die Spur direkt zu einem Anschluss zurückverfolgen, sofern die IP-Adresse nicht zu alt ist. Selbst wenn Logdateien gelöscht wurden, kann eine laufende Telekommunikationsüberwachung solche Verbindungen dennoch erfassen.

Parallel dazu spielt die Finanzermittlung eine zentrale Rolle. Große Zahlungsdienstleister wie PayPal sowie Kreditkartenunternehmen scannen das Internet automatisiert nach missbräuchlicher Nutzung ihrer Marken. Sie wollen proaktiv erkennen, wer in ihrem Namen Phishing betreibt. Dadurch entstehen zusätzliche Anknüpfungspunkte für Ermittlungen. Häufig lassen sich Zusammenhänge zwischen verschiedenen Phishing-Kampagnen herstellen, wenn die Täter dieselben Zahlungswege oder Empfängerstrukturen nutzen.

Server von vorne
Die Polizei ist stets auf die Daten der Server der Täter aus.

Follow the money

Am Ende läuft bei den Ermittlungsmethoden vieles auf das klassische Prinzip hinaus: „Follow the money“. Die Ermittler prüfen, woher die Einnahmen stammen, über welche Konten oder Dienste sie geleitet werden und wo sie letztlich landen. Gerade hier passieren immer wieder Fehler, etwa durch unzureichend verschleierte Zahlungsströme oder die Nutzung identifizierbarer Accounts. Oft reicht ein einzelner solcher Fehler aus, um die gesamte Struktur offenzulegen. Moderne Cybercrime-Ermittlungen beschränken sich nicht auf einzelne Maßnahmen. Es handelt sich um technische Analysen, die internationale Kooperationen und klassische Polizeiarbeit miteinander verbinden. Entscheidend ist dabei weniger eine einzelne Spur als vielmehr das Zusammenspiel vieler kleiner Hinweise, die sich am Ende zu einem belastbaren Gesamtbild verdichten. Zeit spielt dabei keine Rolle, die Täter sind ja meist in Deutschland wohnhaft und laufen den Behörden nicht weg.

Ermittlungsmethoden: Warten auf einen fatalen Fehler

Wie ein BKA-Mitarbeiter schon im vor über 10 Jahren beim Netzpolitischen Kongress der Grünen sagte, tun seine Kollegen im Prinzip nichts anderes, als alles Menschenmögliche zu versuchen und dann abzuwarten. Sie warten auf den einen entscheidenden Fehler. Sie hoffen beispielsweise darauf, dass die Freundin des Tatverdächtigen aus Versehen ohne VPN ins Internet geht und der Täter dies bei seiner anschließenden Nutzung nicht bemerkt. Oder sie hoffen auf einen Fehler bei der Verschleierung der Geldströme oder der Anonymisierungs-Dienstleister, die davon leben, dass sie die Identität ihrer Kunden schützen.

Polizei, Polizeiwache Haan, NRW
Polizei Mettmann: Wir sind für Sie da, bitte klingeln. ;-)

Wie kann man sich vor den Ermittlungen der Polizei schützen?

Wir bieten hier keine konkrete Anleitung für illegale Zwecke an. Dennoch ist es trotz des zusätzlichen Aufwands sinnvoll, die Inhalte der Webseite, die im WWW erreichbar sein sollte, im Tor-Netzwerk zu verstecken. Wie das Konstrukt im Detail funktioniert, erklären wir nächste Woche ausführlich. Der Surfer sieht zwar das Portal im Clearnet, die Daten kommen aber beispielsweise aus dem Tor-Netzwerk, um eine Aufdeckung zu erschweren.

Diese technische Konstruktion nutzten beispielsweise gerne die technischen Administratoren von Betrugsforen wie dem Crime Network oder vom Crime Market. Der einzige Nachteil ist eine merkliche Verzögerung der übertragenen Daten, die durch den Übergang zwischen dem öffentlichen Internet und dem verschlüsselten Netzwerk entsteht. Bis der Mausklick des Users zu einer sichtbaren Aktion führt, dauert etwas länger als gewöhnlich. Dafür sichert man damit, egal welche Ermittlungsmethoden die Polizisten anwenden, sein System sehr viel besser ab, als ohne die Kombination.

Privaten Computer separat nutzen

Wer als Nutzer oder Betreiber auf Sicherheit achten muss, sollte unbedingt ein VPN* einsetzen, was einen Killswitch anbietet. Das hat den Vorteil, dass man unverschlüsselt gar keinen Datenverkehr zum Internet aufbauen kann. Solange das VPN offline ist, verhindert die Software jeden Kontakt zum Internet. Wie der BKA-Mitarbeiter in Berlin vor über 10 Jahren ausführte, ist es darüber hinaus stets sinnvoll, den privaten PC von dem zu trennen, mit dem der Kriminelle aktiv ist. Dann kann der Partnerin oder dem Minderjährigen kein Fehler bei der Benutzung unterlaufen. Der „andere“ Computer muss dann aber für die restliche Familie tabu sein.

Man sollte auch niemals mit dem gleichen Browser surfen. Wer keine zwei PCs nutzen will, setzt zumindest verschiedene Browser oder ein eigenes Profil dafür ein. Doch auch wenn es Platz und Geld kostet und unbequem sein mag. Am sichersten ist und bleibt bei „speziellen Tätigkeiten“ der Einsatz eines extra Computers.

coinmixer.se
Die Ermittlungsmethoden setzen auch beim Krypto-Mixing an.

Besser keinem Krypto-Mixing-Dienst vertrauen!

Das Einfachste für die Polizei, egal ob in Deutschland oder anderswo: Sie folgen der Spur des Geldes. Wer aus Versehen seine reguläre Bankverbindung, E-Mail-Adresse oder den echten PayPal-Account angibt, hat verloren. Das bedeutet auch, sämtliche Krypto-Mixing-Dienste sollte man mit größter Vorsicht betrachten! Niemand weiß wirklich, wie sicher die Tumbler ihre Coins anonymisieren können. Lieber für alle Transfers den Monero nutzen, um sicher zu gehen. Aktuell gilt die Blockchain dieser Kryptowährung mit Fokus auf Datenschutz als unknackbar.

Was man beim Webhosting beachten sollte

Beim Webhosting sollten dedizierte (reale) Server immer bevorzugt genutzt werden. Das gilt auch, obwohl es teurer ist, als virtuelle Server anzumieten. Ein echter Server muss für das Klonen heruntergefahren werden, das geht im laufenden Betrieb nicht. Bei einer VM merkt man nichts von einem kurzfristigen Ausfall. Das fällt weder dem Hosting-Kunden, noch dem Kunden auf. Reale Server kann man außerdem so konfigurieren, dass sie automatisch alle gespeicherten Daten löschen, sollte jemand ein USB-Gerät anschließen. Es kann auch sinnvoll sein, wichtige Daten im Arbeitsspeicher des Webservers laufen zu lassen. Schaltet der Webhoster oder die Polizei das Gerät für ein Port-Mirroring (TKÜ) aus, sind natürlich sofort auch alle Daten weg.

Ermittlungsmethoden der Polizei: Ein Hinweis in eigener Sache

Bitte nicht falsch verstehen: Wir wollen die Tätigkeit eines Phishing-Dienstes nicht gutheißen! Wir erhalten selbst tagtäglich derartige Nachrichten und warnen regelmäßig vor neuen Phishing-Kampagnen. Trotzdem dachten wir uns, ein kleiner Einblick in die Ermittlungsmethoden der Polizei könnte für einige Leser interessant sein.

Ein wenig Paranoia zahlt sich auf Dauer aus

Wer sich fragt, warum zum Beispiel der E-Book-Pirat Spiegelbest trotz seiner Aufmerksamkeit, die er über Monate hinweg generiert hat, nie erwischt wurde, musste ihn nur genauer beobachten. Spiegelbest hat nie Details zu seinem Wohnort, seiner Anstellung oder seinem Privatleben preisgegeben. Er war außerdem nie ohne VPN online. Die Behörden konnten diverse Personen identifizieren, die im Rahmen des Spenderkreises für E-Books weit weniger vorsichtig waren.

Wie man sieht, ist neben dem technischem Wissen offenbar auch eine gesunde Portion Paranoia (Verfolgungswahn) nötig, um dauerhaft unerkannt zu bleiben. Last, but not least hat sich der ehemalige Sprecher von TorBoox dann selbst aus dem Spiel genommen, indem er abgetaucht ist. Dauerhaft straffrei zu bleiben war ihm offenkundig wichtiger, als noch mehr Aufmerksamkeit zu generieren. Nun ja, besser spät als nie.

(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.

Jetzt kommentieren
Mehr zu dem Thema
Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Früher brachte Ghandy, wie er sich in der Szene nennt, an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmerinnen und Teilnehmern bei, wie das Internet funktioniert. In seiner Freizeit geht er am liebsten mit seinem Hund spazieren.