Cybercrime
Report 2019
Lagebericht über die Entwicklung von
Cybercrime
Cybercrime Report 2019
Lagebericht über die Entwicklung von Cybercrime
Wien 2020
1
Inhalt
Vorwort
5
1 Einleitung
6
Über die Broschüre
7
Entwicklungen und Trends
8
2 Rechtliche Herausforderungen
9
Anpassung des Cyberstrafrechts
10
Datenschutz-Grundverordnung und „WHOIS“ Abfragen
10
Carrier Grade NAT Problematik
10
Pseudoanonyme Transaktionen von virtuellen Währungen
11
3 Jahresrückblick
13
Zahlen und Fakten im Überblick
14
Cybercrime im engeren Sinn
15
Cybercrime im weiteren Sinn
16
Dunkelziffer und Anzeigeverhalten
17
4 Phänomeneund Ermittlungen
18
„Crime as a Service“
19
www.bundeskriminalamt.at/cybercrime
Ransomware
19
Bitcoin-Mixer und deren erfolgreiche Bekämpfung
20
Erpressungs-E-Mails
21
Internetbetrug
21
Voice over IP-Spoofing
22
Suchtmittelhandel im Darknet
23
Impressum
Pornographische Darstellungen Minderjähriger
24
Medieninhaber, Verleger und Herausgeber:
5 Bekämpfung
26
Bundesministerium für Inneres, Bundeskriminalamt
Josef-Holaubek-Platz 1, 1090 Wien
Kriminalpolizeiliche Struktur zur Bekämpfung von Cybercrime
27
+43 1 24836 985025 (Single Point of Contact)
bundeskriminalamt.at
Meldestelle
28
Druck: Digitaldruckerei des BMI, Herrengasse 7, 1010 Wien
Wien 2020
Zentrale Aufgaben
30
2
3
Forensik
30
Vorwort
IT-Ermittlungen
32
Liebe Leserinnen, liebe Leser!
Entwicklung und Innovation
33
Bundesweite polizeiliche Zusammenarbeit
34
Cybercrime ist ein immer stärker zunehmendes Deliktsfeld. Die
Opfer ziehen sich durch alle Altersgruppen und Gesellschafts-
Neue Erfolgsmodelle in der Ablauforganisation
35
schichten. Waren vor einem Jahrzehnt noch wenige Delikte
6 Zusammenarbeit mit der Polizei
36
diesem Bereich zuzuordnen, steigen seit 2014 die Fallzahlen
kontinuierlich und erreichten 2019 ein Rekordhoch. Durch die
Anzeigenerstattung
37
Digitalisierung und dem Zugang zu Diensten wie „Crime as
7 Events und internationale Gremien
39
a Service“ oder technischen Neuerungen haben es die Täter
einfacher ihre Reichweite zu steigern, wodurch auch erhöhte
Fachtagung IT-Beweismittelsicherung (ITB)
40
Schadenssummen resultieren.
Bundesminister für Inneres
Karl Nehammer, MSc und
Symposium „Neue Technologien (NT)“
40
geschäftsführender Direktor
Um dieses Kriminalitätsfeld nachhaltig bekämpfen zu können, sind folgende Bereiche
des Bundeskriminalamtes
8 Kriminalprävention
41
für die Sicherheitspolitik im Bereich Cybercrime von großer Wichtigkeit: verbesserte
Gerhard Lang, BA MA
Verhinderung von Straftaten
42
politische und rechtliche Rahmenbedingungen zur Eindämmung von Cybercrime, eine
erhöhte Bewusstseinsbildung für mehr Sicherheit und Eigenverantwortung im Internet,
9 Herausforderungen und Projekte
43
eine Stärkung der Widerstandsfähigkeit gegen kriminelle Cyber-Angriffe in der Wirtschaft
10 English Summary
45
sowie eine schnelle und wirksame Reaktion auf Cyber-Vorfälle.
11 Glossar
47
Die politischen und rechtlichen Rahmenbedingungen für Cybercrime sind in der EU und
international sehr unterschiedlich. Das Bemühen für die im Bericht genannten, konkre-
ten Problembereiche und auch umfassenden, strategischen Vorgehensweisen müssen
weiterhin forciert werden.
Kriminalpolizeilich werden auch weiter jene operativen Maßnahmen überlegt und
angeglichen, die im Rahmen der vorgegebenen strategischen Leitlinien von EU-Cyber-
Sicherheitsstrategien, nationalen Strategien im Bundeskanzleramt und innerhalb des
Bundesministeriums für Inneres entwickelt werden.
Ihr
Karl Nehammer MSc
Bundesminister für Inneres
Gerhard Lang, BA MA
Geschäftsführender Direktor des Bundeskriminalamtes
4
Cybercrime Report 2019
Cybercrime Report 2019
5
Über die Broschüre
1
Der vorliegende Bericht soll den alljährlichen Überblick in die komplexen Themenbereiche
von Cybercrime bieten und aufzeigen, wo die größten Herausforderungen für eine wirk-
same Umsetzung der politischen Rahmenbedingungen und deren effektive Vollziehung
durch die Exekutive liegen. Betrachtet werden hier nur die in Österreich geltenden
Einleitung
Definitionen und Abgrenzungen von Cyber-Kriminalität. Die Aufgaben der Cyber-Sicher-
heit, Cybercrime-Abwehr und Desinformation unterliegen den Verantwortungen anderer
Organisationen.
Die Ergebnisse aus den Analysen basieren auf Informationen, die in der fachlichen
Zentralstelle des Bundeskriminalamtes (BK), im Cybercrime Competence Center (C4) zu-
sammenlaufen sowie aus gesammelten Meldungen, Anzeigen, Statistiken, internationalen
Kooperationen, Informationsaustausch mit Mitgliedsstaaten, Ausbildungen, Positions-
papieren und Studien von Dritten stammen. Die Bestandsaufnahme der quantitativen
Daten und qualitativen Inhaltsanalysen fand von Jänner bis April 2020 statt, wobei
Entwicklungen bis zum Dezember 2019 berücksichtigt wurden.
Der Bericht teilt sich in mehrere Kapitel: Im ersten Kapitel zu den rechtlichen Rahmen-
bedingungen werden die größten Herausforderungen für das kriminalpolizeiliche
Handeln dargestellt. Der Jahresrückblick mit den kriminalstatistischen Analysen ist ein
wesentlicher Faktor für die strategische Ausrichtung zur Kriminalitätsbekämpfung und
wird als Grundlage für die Optimierung der präventiven und repressiven Maßnahmen
herangezogen. Trotz des enormen Anstiegs der Cybercrime-Delikte von 44,9 Prozent
im Vergleich zum Vorjahr konnte die Aufklärungsquote mit 35,8 Prozent annähernd
konstant gehalten werden. Im Folgekapitel werden die wichtigsten Phänomene im Detail
beschrieben und fallweise mit vorbeugenden Handlungsempfehlungen ergänzt. Die Auf-
bauorganisation und ihre Abläufe werden im nächsten Kapitel angeführt. Sie sind auch
aufgrund der technischen Komplexität mit ständigem Wissensaufbau und einhergehender
Spezialisierung sehr flexibel gestaltet. In diesem Kapitel folgt auch eine Beschreibung
der zentralen Strategien zur Kriminalitätsbekämpfung im Bereich Cybercrime mit einer
quantitativen Übersicht zu den stark ansteigenden Tätigkeiten der digitalen Forensik
und der Meldestelle im C4. Im Anschluss wird auf die Wissensvermittlung und den
internationalen Austausch eingegangen. Die Kriminalprävention bildet gemeinsam mit
der Zusammenfassung und dem strategischen Ausblick den Abschluss des Berichts.
Die Nutzung der im Bericht angegebenen Daten (vollständig oder auszugsweise) ist nur
mit der Quellenangabe „Polizeiliche Kriminalstatistik (PKS)“ gestattet.
Cybercrime Report 2019
7
Entwicklungen und Trends
2
Die markanten Entwicklungen im Bereich Cybercrime sind einerseits auf den massiven
Anstieg von Massenerpressungs-E-Mails zu Jahresbeginn und andererseits dem ganz-
jährig stark auftretenden Internetbetrug zurückzuführen. Den Erpressungen wurde durch
die Einrichtung einer eigenen Arbeitsgemeinschaft „ARGE Erpressungsmails“ begegnet
Rechtliche
und der Internetbetrug wurde kooperierend im Rahmen der Linienorganisation be-
arbeitet. Darüber hinaus zeigte sich ein Trend bei Tätern zur Nutzung von Ransomware
und anderen „Crime as a Service“-Leistungen aus dem Darknet.
Heraus-
Nach wie vor fehlen nötige rechtliche Rahmenbedingungen im Hinblick auf die Proble-
matiken bei Carrier Grade NAT, Domainnamen und Kryptowährungen, die derzeit die
kriminalpolizeiliche Arbeit massiv erschweren und sogar verhindern. Eine Aktualisierung
der Strategie und Konzepte zur Bekämpfung von Cybercrime ist geplant und betrif die
forderungen
Bereiche IT-Ermittlungen sowie die digitale Beweismittelsicherung. Verbesserungen der
Prozesse und Abläufe inklusive der einzusetzenden Technologien finden laufend statt, um
den stetig fortschreitenden technischen Herausforderungen gerecht werden zu können.
8
Cybercrime Report 2019
Anpassung des Cyberstrafrechts
Hasspostings sowie Fakenews nicht ausgeforscht werden. Dies führt im Rahmen der
Ermittlungen zu erheblichen Problemen bei der Zuordnung und Identifizierung krimineller
Bei kriminalpolizeilichen Ermittlungen in Zusammenhang mit Cybercrime-Delikten kommt
Userinnen und User, wenn vom Netzanbieter die üblichen Protokollierungen von Userinnen
es immer wieder zu Ermittlungshindernissen beziehungsweise Erschwernissen, die zum
und Usern beispielsweise auf Grund der fehlenden rechtlichen Rahmenbedingungen
Teil auf die derzeitigen eng gefassten materiellen strafrechtlichen Bestimmungen zurück-
nicht gespeichert werden dürfen und daher nicht übermittelt werden können. Überdies
zuführen sind. So ist zum Beispiel ein Datendiebstahl, der nicht durch „Überwindung
gibt es international und auch auf europäischer Ebene selbst zwischen den einzelnen
einer spezifischen Sicherheitsvorkehrung im Computersystem“ erfolgt, gerichtlich nicht
Mitgliedstaaten sehr große Unterschiede in deren rechtlichen Rahmenbedingungen zu
strafbar. Das BK spricht sich daher für eine Angleichung des „digitalen“ Cyber-Strafrechts
dieser Thematik.
an das „analoge“ Strafrecht wie, zum Beispiel in Zusammenhang mit Strafbestimmungen
beim Diebstahl, aus. Bei der Beurteilung von begangenen Cyber-Delikten sollte eine
entsprechende differenzierte Betrachtung und damit auch differenzierte Strafandrohungs-
bestimmungen erfolgen, je nach Datenumfang, Datenqualität oder Datensensibilität.
Das Beispiel eines aktuellen Ermittlungsfalles zeigt die negativen Folgen
unzureichender Rechtsrahmen:
In Serbien wurde eine ermordete Frau aufgefunden, die nach Ermittlungen
Datenschutz-Grundverordnung und „WHOIS“ Abfragen
identifiziert werden konnte. Das Opfer war bereits sieben Tage tot, aber die
Nachforschungen ergaben, dass zur Verschleierung auch nach ihrer Ermordung
Domainnamen, wie „www.bundeskriminalamt.at“, machen Informationen im Internet
von ihrem Account auf sozialen Medien gepostet wurde. Diese Nachrichten
leichter auffindbar. Die dafür benötigten Domänen können bei Registries und Registraren
werden dem mutmaßlichen Mörder zugeordnet, der mehrere österreichische
angemietet werden. „WHOIS“ Abfragen im Internet führten in der Vergangenheit häufig
IP-Adressen für diese Postings verwendet hatte. Der österreichische Kabelan-
noch direkt zum Inhaber einer Domäne und zu einer technischen Kontaktperson. Diese
bieter konnte aufgrund der Verwendung von Carrier Grade NAT mit dem öster-
Domainnamen zählen zu den Grundbausteinen des Internets. Personenbezogene Aus-
reichischen Rechtsrahmen keine Auskunft erteilen. Zum besseren Verständnis
künfte sind für weiterführende Ermittlungen von hoher Bedeutung und waren bis zum
zur diesbezüglichen Thematik wird angeführt, dass die Speicherung über den
Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 auch öffentlich
Inhaber einer dynamischen IP-Adresse in Österreich nicht erlaubt ist, wenn die
zugänglich. Durch die Vielzahl von Registries und Registraren, die für die Verwaltung von
Zuordnung eine größere Zahl von Teilnehmern erfasst - was im Fall von Carrier
Domainnamen zuständig sind, ergeben sich weitere Herausforderungen bei den Nach-
Grade Nat immer zutrif. Der Mord konnte bis dato nicht geklärt werden.
forschungen. Waren vormals nur einfache Abfragen in öffentlichen Datenbanken erforder-
lich, müssen bei Auskunftsersuchen an internationalen Standorten verwaltungstechnisch
Eine diesbezügliche Harmonisierung auf europäischer Ebene wäre insofern
höchst aufwändige Prozesse durchlaufen werden. Diese erheblichen Ermittlungshürden
erstrebenswert.
werden als Folge der DSGVO auch in technischen und rechtlichen Gremien mit der
Dachorganisation der Domänenverwaltung ICANN behandelt. Bis dato konnten keine
von diesen Organisationen in Aussicht gestellte Konzepte final umgesetzt werden
Pseudoanonyme Transaktionen von virtuellen
Währungen
Weitere Informationen:
https://www.icann.org/public-comments/epdp-phase-2-addendum-2020-03-26-en
Kryptowährungen wie Bitcoins sind unter anderem auch ein beliebtes Mittel für
Finanztransaktionen, bei der Geldwäsche und für Käufe illegaler Waren im Internet.
Jeder kann selbst anonym eigene Wallets erstellen, die wie eine digitale Geldbörse
Carrier Grade NAT Problematik
zur Aufbewahrung und wie ein Bankkonto für den Versand und Empfang von virtuellen
Währungen genutzt werden. Der Einsatz von Computerprogrammen ermöglicht es zudem
Aufgrund der häufigen Nutzung der Carrier Grade NAT Technologie, bei denen mehreren
eine Vielzahl von Schritten beim Zahlungsverkehr zu automatisieren. Das reicht von der
Internetnutzerinnen und Internetnutzer zeitgleich idente IP-Adressen vom Netz Provider
Generierung dieser Wallets, bis zu eigenständigen, maschinellen Überweisungen von
zugewiesen werden, können viele Straftaten nicht geklärt und auch die Verfasser von
10
Cybercrime Report 2019
Cybercrime Report 2019
11
Geldbeträgen. Durch die Flut an anonymen Überweisungen werden Strafverfolgungs-
behörden vor Herausforderungen gestellt, die bei den notwendigen Erhebungen nicht
3
mehr bewältigt werden können.
Zum Zwecke der Strafverfolgung und zur Abwehr von Gefahren wäre für Ermittlungen
die Schaffung verbesserter rechtlicher Rahmenbedingungen erstrebenswert.
2019
Jahresrück-
wurde die 5. Geldwäscherichtlinie umgesetzt, die bereits eine Verbesserung der Si-
tuation brachte. Dennoch gibt es in dieser Richtlinie bei virtuellen Währungen noch
offene Gesetzeslücken wie zum Beispiel den Grenzwert für Transaktionen ab dem die
Identität des Inhabers durch die so genannten Krypto Exchange, die vor allem virtu-
blick
elle Währungen in reales Geld tauschen und umgekehrt, protokolliert werden muss.
Einen Lösungsweg zeigt die Schweizer Finanzmarktaufsicht Finma auf, die altbekannte
Regeln auch für Kryptozahlungen gegen Bedenken und Widerstände von Lobbyisten
durchsetzen konnte. Die Legislative erweiterte einfach ein Verfahren, das schon seit
langem für gewöhnliche Finanztransaktionen bei der Durchführung durch Banken gilt.
Die mittlerweile in der Schweiz geltende verpflichtende Übermittlung von Sender und
Geldempfänger bei Transaktionen von virtuellen Währungen versetzt die Schweiz nun in
die Lage organisierte Kriminalität, Geldwäsche und Terrorismusfinanzierung wesentlich
besser bekämpfen zu können.
12
Cybercrime Report 2019
Zahlen und Fakten im Überblick
Die Internetkriminalität wird in Cybercrime im engeren Sinne und weiteren Sinne
unterteilt.
Die vorangehend angeführten rechtlichen Herausforderungen wirken sich entsprechend
auf die IT-Ermittlungen und in Folge auch auf die Kriminalitätsentwicklung aus. Die
nachfolgenden Zahlen und Daten stammen ausschließlich aus der Polizeilichen Kriminal-
Cybercrime im engeren Sinn
statistik (PKS).
Cybercrime im engeren Sinne umfasst kriminelle Handlungen, bei denen Angriffe auf
Tabelle: Entwicklung der
Jahr
Anzahl der begangenen
Anzahl der geklärten
Aufklärungsquote
Daten oder Computersysteme unter Verwendung der Informations- und Kommunikations-
Anzeigen, der aufgeklärten
Straftaten
Straftaten
(gerundet)
technik (IKT) begangen werden. Die Straftaten sind gegen die Netzwerke selbst oder
Fälle und der Aufklärungs-
2010
4.223
2.336
55,30%
aber gegen Geräte, Dienste oder Daten in diesen Netzwerken gerichtet wie zum Bei-
quote von Cybercrime 2010
bis 2019
spiel bei der Datenbeschädigung, dem Hacking oder sogenannten „Distributed Denial
2011
4.937
2.370
48,00%
of Service“ (DDoS) Angriffen.
2012
8.866
2.195
24,80%
2013
10.053
4.545
45,25%
2019 musste bei Tatbeständen zu Cybercrime im engeren Sinn ein überdurchschnittlich
2014
8.966
3.660
40,80%
hoher Anzeigenanstieg von 148,3 Prozent gegenüber dem Vorjahr verzeichnet werden.
2015
10.010
4.157
41,50%
Die beiden häufigsten Deliktsarten waren der widerrechtliche Zugriff auf ein Computer-
2016
13.103
5.072
38,70%
system § 118a Strafgesetzbuch (StGB) und der betrügerische Datenverarbeitungsmiss-
2017
16.804
6.470
38,50%
brauch § 148a StGB.
2018
19.627
7.332
37,40%
Der § 118a StGB hat eine Steigerung von 69,7 Prozent bei einer Reduktion der Aufklärungs-
2019
28.439
10.192
35,80%
quote von -13,3 Prozent zu verzeichnen. Der § 148a StGB hat sich mit 5.537 Delikten und
einer Zunahme von 291,3 Prozent beinahe verdreifacht. Trotz dieser großen Steigerung
Die Abbildung der Entwicklung von Cybercrime in den letzten zehn Jahren zeigt, dass mit
konnten 1.262 Straftaten aufgeklärt werden. Damit konnte die Aufklärungen in diesem
28.439 Delikten 2019 gegenüber dem Vorjahr ein Anstieg von 44,9 Prozent zu verzeichnen
Delikt gegenüber 2018 immerhin um 254,5 Prozent gesteigert werden.
ist (2018: 19.627). Trotz des enormen Zuwachses der Anzeigen konnte die Aufklärungs-
quote im gleichen Zeitraum nahezu konstant gehalten werden. Die Anzahl der geklärten
Delikt
Angezeigte Fälle
Angezeigte Fälle
Geklärte
Geklärte
Tabelle: Angezeigte Fälle
2018
2019
Straftaten 2018
Straftaten 2019
und geklärte Straftaten
Straftaten stieg in diesem Bereich von 7.332 erstmals auf über 10.000 Fälle, wodurch
von Cybercrime im engeren
eine Aufklärungsquote von 35,8 Prozent erreicht werden konnte. Weitere Details können
§ 107c StGB
308
330
230
255
Sinn nach Paragraphen des
der Tabelle zur Entwicklung von Cybercrime der letzten zehn Jahre entnommen werden.
Strafgesetzbuches 2019 im
§ 118a StGB
403
684
110
96
Vergleich zu 2018
§ 119 StGB
11
11
8
10
30.000
Anzahl der begangenen Straftaten
28.439
Abbildung: Entwicklung der
§ 119a StGB
45
47
7
8
Anzeigen und der auf-
geklärten Fälle von Cyber-
25.000
Anzahl der geklärten Straftaten
§ 126a StGB
415
467
73
68
crime 2010 bis 2019
19.627
§ 126b StGB
102
93
10
12
20.000
16.804
§ 126c StGB
201
243
51
54
15.000
13.103
§ 148a StGB
1.415
5.537
356
1.262
10.053
10.010
§ 225a StGB
170
210
141
136
10.192
8.866
8.966
10.000
7.332
Gesamt
3.070
7.622
986
1.901
6.470
4.937
4.223
4.545
5.072
5.000
3.660
4.157
2.336 2.370 2.195
0
2010
2011
2012
2013
2014
2015
2016
2017
2018
2019
14
Cybercrime Report 2019
Cybercrime Report 2019
15
Cybercrime im weiteren Sinn
mehr als 59 Prozent der Anzeigen dar. Der Anteil der aufgeklärten Delikte
konnte, trotz des erheblichen Anstiegs gegenüber dem Vorjahr, mit 28,8 Pro-
Unter Cybercrime im weiteren Sinne werden Straftaten verstanden, bei denen die IKT als
zent dennoch stabil gehalten werden.
Tatmittel zur Planung, Vorbereitung und Ausführung von herkömmlichen Kriminaldelikten
eingesetzt wird, wie zum Beispiel Betrugsdelikte, Drogenhandel im Darknet, porno-
graphische Darstellungen Minderjähriger im Internet, Cybergrooming oder Cybermobbing.
Dunkelziffer und Anzeigeverhalten
Tabelle: Angezeigte Fälle
Delikt
Angezeigte Fälle
Angezeigte Fälle
Geklärte
Geklärte
Im Bereich der Internetkriminalität sind die Dunkelziffern, insbesondere unter
von Cybercrime im weiteren
2018
2019
Straftaten 2018
Straftaten 2019
Beachtung internationaler Studien, besonders hoch. Die diesbezüglichen
Sinn nach Paragraphen des
Internetbetrug
Gründe sind mannigfaltig. Viele Betroffene scheuen die Anzeige bei der
Strafgesetzbuches 2019 im
Vergleich zu 2018
Polizeidienststelle, teils aus Scham, Angst vor Reputationsverlust oder weil
§ 146 StGB
11.417
14.494
4.237
5.512
angenommen wird, dass der Fall ohnehin nicht verfolgt werden könne.
§ 147 StGB
1.248
1.560
366
436
§ 148 StGB
663
777
353
434
Jedoch kann mit jedem angezeigten Fall die Beweismittellage zu verdächtigen
Internetbetrug-
13.328
16.831
4.956
6.382
Tätergruppen weiter verdichtet werden. Außerdem verbessert die Anzahl der
Gesamt
Anzeigen die frühere Erkennung von neuen Massenphänomenen für die er-
Sonstige Kriminalität im Internet
mittelnden Strafverfolgungsbehörden. Ebenso können Präventionsmaßnahmen
§ 144 StGB
1.599
1.874
49
80
zeitnaher gesetzt und mit zielgerichteten Warnhinweisen an die Bevölkerung
§ 145 StGB
92
84
13
18
die Zahl der Geschädigten reduziert werden. Eine Wiedererlangung abhanden
§ 207a StGB
1.161
1.666
1.037
1.541
gekommener Vermögenswerte gelingt jedoch selbst nach internationaler
Ausforschung der Täter nur in den seltensten Fällen. Deshalb gebührt im Be-
§ 207b StGB
1
4
1
4
reich des Internetbetrugs, der Verhinderung von Straftaten durch angeregte
§ 208a StGB
108
101
67
69
Bewusstseinsbildung und Aufklärung, erhöhte Aufmerksamkeit. Die Täter
§ 218 StGB
10
12
3
7
nutzen menschliche Schwächen, wie Gier und Sehnsüchte nach Anerkennung
§ 223 StGB
24
42
15
35
oder Beziehungen aus, um sich zu bereichern. Auch im vergangenen Jahr blieb
§ 224 StGB
7
21
5
9
Social Engineering der maßgebliche Angriffspunkt.
§ 229 StGB
1
1
§ 231 StGB
15
16
6
8
§ 232 StGB
35
62
33
54
§ 241a StGB
4
3
§ 297 StGB
5
5
§ 3g VerbotsG
176
95
160
76
Sontige
Kriminalität
3.229
3.986
1.390
1.909
gesamt
Cybercrime
19.627
28.439
7.332
10.192
gesamt
Der Internetbetrug erreichte 2019 mit 16.831 Anzeigen einen neuen Höchststand. Die
Anzahl der angezeigten Fälle von Betrugsformen im Internet §§ 146 bis 148 StGB folgten
mit einem Anstieg von 26,3 Prozent dem stetig steigenden Trend der vergangenen Jahre.
Auf den gesamten Bereich Cybercrime gerechnet, stellt somit der Internetbetrug etwas
16
Cybercrime Report 2019
Cybercrime Report 2019
17
„Crime as a Service“
4
Die Leistungen an sogenannten „Crime as a Service“-Diensten, die im Internet angeboten
werden, nahmen weiterhin zu. Es handelt sich dabei vorwiegend um Hackingtools, Schad-
software, wie beispielsweise Verschlüsselungstrojaner oder spezielle Dienstleistungen
der Geldwäsche. Auch die Nutzung von Bot-Netzwerken, die DDoS-Angriffen oder zum
Phänomene
Versand von Spam-E-Mails dienten, konnten vermehrt wahrgenommen werden. Ebenso
wurde ein Anstieg beim in Verkehr bringen von Falschgeld, Material mit Online-Kindes-
missbrauch, Kreditkartendaten und gefälschten Urkunden bemerkt.
und
Mit den im Darknet angebotenen Diensten stiegen vor allem Massenerpressungsmails und
gezielte Erpressungen durch Ransomware und Bitcoin-Forderungen an. Die Täterschaft
benötigte damit keinesfalls mehr tiefgreifendes Wissen zur technischen Durchführung,
Ermittlungen
sondern wird mit den „Crime as a Service“-Leistungen in die Lage versetzt, das fehlende
Wissen mit entsprechenden Diensten zukaufen zu können. Mit einem „Ransomware as
a Service“-Modell machten beispielsweise die Entwickler der Ransomware „GandCrab“
im Zeitraum von Anfang 2018 bis Mitte 2019, ihren eigenen Angaben zufolge, mehr als
zwei Milliarden US Dollar Gewinn.
Weitere Informationen:
https://www.zdnet.com/article/gandcrab-ransomware-operation-says-its-shutting-
down/
Ransomware
Ransomware wurde in den letzten Jahren zu einem der wichtigsten Werkzeuge von
Cybercrime-Tätern. Diese Schadsoftware verschlüsselt Nutzerdaten, um für deren
Wiederherstellung die Bezahlung von Lösegeldern, meist in Form von Bitcoins, zu fordern.
Es existieren mittlerweile zahlreiche Varianten mit unterschiedlichen Verbreitungs-
wegen und verschiedenen Verschlüsselungsalgorithmen. Die Gefahr, seine Daten durch
Schadsoftware zu verlieren, die die eigenen Daten verschlüsselt und auch häufig die
Sicherungen durch Backups, die zum Zeitpunkt der Verschlüsselung erreichbar waren,
unbrauchbar macht, ist immer noch sehr groß.
Im letzten Jahr wurden zentral 220 Fälle von Ransomware bearbeitet . Dabei konnten
einige Tatverdächtige erfolgreich ausgeforscht werden. Ein Schwerpunkt galt den
Organisationsstrukturen für den Vertrieb von Ransomware, die ebenfalls ermittelt werden
konnten. Die Angriffe richteten sich vorwiegend gegen kleine und mittlere Unternehmen
(KMU) und weniger gegen Einzelpersonen. Dadurch hatte sich das Risikopotential für
die österreichische Unternehmenslandschaft deutlich erhöht.
Cybercrime Report 2019
19
Als Gefahren für eine Infektion gelten:
entwickelten Software die Beschuldigten den jeweilig zuständigen Mitgliedsstaaten
zuordnen können und diese Erkenntnisse Europol übermittelt.
Fernzugriffe (die für Firmen für die Fernwartung und Datenzulieferung häufig not-
wendig sind),
Emails mit schädlichem Dateianhang oder mit Links über die Schadsoftware nach-
Weitere Informationen:
geladen wird,
https://www.europol.europa.eu/newsroom/news/
Schadsoftware über die die Verschlüsselungssoftware nachgeladen wird (zum
multi-million-euro-cryptocurrency-laundering-service-bestmixerio-taken-down
Beispiel Emotet),
zahlreiche andere Wege sich mit einem Verschlüsselungstrojaner infizieren zu
können, wie beispielsweise Drive-by-Downloads, Supply Chain Attacks oder
Erpressungs-E-Mails
Malvertising.
Auf das Massenphänomen der betrügerischen Erpressungs-E-Mails wurde Anfang
Im Laufe des Jahres gingen die Täter immer zielgerichteter gegen ihre Opfer vor und mit
2019 mit der Gründung einer eigenen Arbeitsgemeinschaft „ARGE-Erpressungs-E-Mail“
einer technischen Kompromittierung des Computersystems des Opfers von durchschnitt-
reagiert. Die Täter dieser Delikte versuchen durch das Versenden von E-Mails mit er-
lich vierzehn Tagen wurden auch deren Methoden viel aufwendiger und ausgeklügelter.
presserischem Text, der die Empfängerin oder den Empfänger in Angst und Schrecken
So wurden die Höhen von Erpressungssummen an den Umsatz und die Verschlüsselungs-
versetzen soll, möglichst viele Opfer zu finden. Die dabei angedrohten Konsequenzen
prozesse an die Backup-Strategien ihrer Opfer angepasst.
werden vom Täter nur vorgetäuscht.
Ransomware bleibt zusammengefasst eine der größten Gefahren im Internet, um seine
Im Gegensatz zu den massenhaft auftretenden Erpressungsmails besteht bei Sextortion
Daten zu verlieren. Bestehende Varianten von Ransomware werden technisch ständig
eine Täter-Opfer Beziehung. Was zunächst wie ein harmloser Flirt beginnt, endet letztlich
weiterentwickelt und auch der Modus Operandi vom Weg der Infektion bis zur Löse-
mit hohen Geldforderungen. Sextortion bezeichnet eine Betrugsmasche im Internet, bei
geldforderung den Umständen und Opfern flexibler angepasst. Angriffe mit Ransomware
der Internetnutzerinnen und -nutzer von attraktiven Unbekannten in Videochats dazu
erfuhren im letzten Jahr eine zielgerichtete Spezialisierung auch auf Unternehmen, bei
aufgefordert werden, nackt zu posieren oder sexuelle Handlungen an sich vorzunehmen.
denen die Geldforderungen der Täterschaft an die wirtschaftliche Leistungsfähigkeit
Die Täter zeichnen das auf und erpressen ihre Opfer mit der Veröffentlichung der heim-
beziehungsweise an die vorhandene IT-Infrastruktur mit ihren Backup-Lösungen an-
lich gemachten Fotos oder Videos.
gepasst werden. Die Infektion in Unternehmen hat immer häufiger den Ursprung in
anderer Schadsoftware (Trojaner), die wochen- oder monatelang vor der eigentlichen
Datenverschlüsselung das komplette Netzwerk oder Computersystem ausgespäht hat.
Internetbetrug
Die Angriffe lassen immer öfter auf großes Knowhow organisierter Tätergruppen be-
ziehungsweise Anbietern von „Ransomware as a Service“ schließen.
Mit der fortschreitenden Digitalisierung verlagern sich Betrugsdelikte immer mehr ins
Internet. Das Internet wird dabei als Werkzeug zur Begehung dieser Taten eingesetzt,
denn es bietet für die Täter die Möglichkeit, mit der Anonymität und der weltweiten
Bitcoin-Mixer und deren erfolgreiche Bekämpfung
Vernetzung einfach und weitgehend unerkannt eine große Anzahl von potentiellen
Opfern zu kontaktieren.
In den vergangenen Jahren wurde bei kriminellen Transaktionen in der Blockchain ein
erhöhter Anstieg von sogenannten Bitcoin-Mixern festgestellt. In einer im Juni 2018
2019 waren neben den Zuwächsen bei den klassischen Betrugsdelikten auch beim
gestarteten Ermittlung wurden im Mai 2019 die Betreiber der Webseite „Bestmixer.io“
Internetbetrug Steigerungen zu verzeichnen. Der Internetbetrug umfasst eine Vielzahl
ausgeforscht. Die Server wurden von den Behörden in den Niederlanden sichergestellt.
von Modi Operandi, die von Anlagebetrügereien, Gewinnversprechen in E-Mails oder
Durch die Analyse von Kryptowährungstransaktionen konnte den Betreibern der Webseite
Vortäuschen von Liebesbeziehungen bis hin zum Bestellbetrug durch vorgetäuschte
ein Umsatz von umgerechnet 200 Millionen Euro nachgewiesen werden. Hierzu wurde in
Warenlieferungen reichen. Zusätzlich ist gerade im Bereich des Internetbetrugs zumeist
den Niederlanden ein Geldwäscheverfahren geführt. Das C4 hat hierbei mit einer selbst
von Massendelikten auszugehen. Die spezialisierten Tätergruppierungen gehen arbeits-
teilig, technisch versiert und dementsprechend überlegt vor.
20
Cybercrime Report 2019
Cybercrime Report 2019
21
Häufige Tathandlungen waren auch das Vortäuschen besonders lukrativer Geschäfts-
Beim Spoofing werden oftmals Callcenter im Ausland eingerichtet, um sich zunächst
modelle, wie der Finanz-Online-Betrug oder der allgemeine Anlagebetrug unter
der Daten einer angerufenen Person noch einmal zu vergewissern. Meist stammen die
Verwendung von Kryptowährungen oder das Anbieten vermeintlich technischer Unter-
Namen und angerufenen Telefonnummern aus Listen von unseriösen Datenhändlern oder
stützung, wie der sogenannte Tech Support Scam oder der Microsoft-Betrug. Im Mai 2019
Quellen im Darknet. Diese Callcenter senden zumeist eine falsche Telefonnummer mit,
wurden bereits die ersten Fälle von versuchtem CEO Fraud via WhatsApp gemeldet, bei
um ihre wahre Herkunft zu verschleiern. Die Täter gehen hier in der Regel ungezielt vor
dem Unternehmer zur Überweisung hoher Geldbeträge verleitet wurden.
und lassen diese Listen sogar automatisiert von ihren freundlich wirkenden Mittätern
abarbeiten. Dies dient oft einer schnellen Auswahl von möglichen Opfern. Inhalte der
Im Herbst 2019 kam es zu einem exponentiellen Anstieg von Angriffen auf Social Media
Gespräche sind in der Regel Angebote von Gewinnspielen oder es werden ausstehende
Accounts. Häufig wurden alte, von Vorbesitzern nicht mehr genutzte, aber durch Täter
Beträge aus angeblichen Käufen oder Verträgen eingefordert. 2019 gab es einen Anstieg
recycelte Accounts für zahlreiche Betrugshandlungen verwendet.
von Anrufern, die sich als Kriminalpolizistinnen und Kriminalpolizisten ausgegeben und
vor allem ältere Personen mit angekündigten Abholungen von Geldbeträgen und Sach-
Die Bekämpfung des Bestellbetrugs ist ein Schwerpunkt des BK. Dabei stehen be-
werten um ihre Vermögen gebracht haben. Die mitgesendeten falschen Telefonnummern
trügerische Bestellungen über das Internet bei österreichischen Online-Händlern im
haben oft eine österreichische Vorwahl, um beim Opfer Vertrauen zu wecken. Mittlerweile
Fokus. Im letzten Jahr wurde dazu unter der Leitung Österreichs gemeinsam mit Europol
können die Nummern dieser Callcenter für jeden einzelnen Anruf automatisch generiert
die „E-Commerce Action Week“ abgehalten. So konnten in Zusammenarbeit mit dem C4
werden. Diese Anrufe werden über die Voice over IP (VoIP) Technologie abgewickelt
rund 200 neue falsche Onlineshops, vorwiegend im Technik- und Bekleidungsbereich
und über Server in Länder ohne Abkommen zur internationalen Strafverfolgung weiter-
ermittelt werden, die auf wenige Tätergruppierungen zurückzuführen waren. In der Vor-
geleitet. Damit sind weiterführende Erhebungen nahezu aussichtslos. Die Polizei setzt
weihnachtszeit 2019 wurde man auf eine Verdoppelung der Fake- und Phishingshops
daher ihren Schwerpunkt auf verstärkte Präventionsarbeit.
aufmerksam. Diese zeigte sich insbesondere durch durchschnittlich bis zu zehn neue
Fake-Shops pro Tag. Ebenso wurden zahlreiche Betrugsfälle durch das Verwenden
falscher Identitäten und Kontaktdaten bei Bestellungen im Internet, durch Kontaktauf-
Suchtmittelhandel im Darknet
nahme per Telefon, Email oder über Soziale Medien registriert.
Der Online-Handel mit verbotenen Substanzen hat sich mittlerweile zu einer gängigen
Mit dem gemeinsamen Ziel den Bestellbetrug in Europa zu bekämpfen, wurde der Fokus
Begehungsform der Suchtmittelkriminalität entwickelt. Sowohl Einzeltäter als auch kri-
im Jahr 2019 auf Prävention gerichtet. Gerade hier ist es wichtig, die Schäden durch
minelle Organisationen bedienen sich des Darknets zur Abwicklung ihres organisierten
präventive Maßnahmen zu verhindern. In der Praxis sind oft internationale Ermittlungen
Suchtmittelhandels und generieren damit ihre illegalen Gewinne. Von der Kontaktauf-
nötig, wo repressive Maßnahmen nur sehr schwer durchgeführt werden können. Das
nahme über Verkaufsverhandlungen bis hin zur Bezahlung wird der gesamte Ablauf
BK setzt daher neben der wirksamen Präventionsarbeit auch auf eine intensive Zu-
über verschlüsselte Netzwerke abgewickelt. Ermittlungen zeigen bislang, dass der
sammenarbeit zwischen Wirtschaft und Polizei, um Internetbetrug effektiv bekämpfen
Online-Drogenhandel den Straßenhandel nicht verdrängt. Vielmehr wird der Handel auf
zu können. Dazu wurde gemeinsam mit der Wirtschaftskammer Österreich (WKO) eine
Online-Plattformen dazu genutzt, illegale Suchtmittel höherer Qualität zu erwerben, um
Informationsveranstaltung für Online-Händlerinnen und -Händler abgehalten und eine
diese im Straßenverkauf gewinnbringend weiterzuverkaufen. Der klassische Straßen-
Roadshow durch alle Bundesländer veranstaltet. Ziel der Maßnahme war es Möglich-
handel wird somit durch den Internethandel erweitert und ergänzt.
keiten zum eigenen Schutz anzubieten und den Austausch mit der Privatwirtschaft und
der Polizei im Rahmen des Projekts „Gemeinsam.Sicher“ zu intensivieren.
Wie sehr Österreich vom Online-Suchtmittelhandel betroffen ist, zeigen die nach-
stehenden Zahlen. Seit September 2016 werden durch den deutschen Zoll Schwerpunkt-
kontrollen bei den zu exportierenden Briefsendungen durchgeführt. Dabei wurden im
Voice over IP-Spoofing
internationalen Briefzentrum Frankfurt am Main bisher etwa 13.200 Briefsendungen durch
das Zollfahndungsamt sichergestellt, die insgesamt rund 1.200 Kilogramm Suchtmittel
Als gängige Vorbereitungshandlung für klassische Betrugshandlungen, aber auch für
zum Inhalt hatten. Adressiert waren die Briefsendungen an Empfänger aus über 90 ver-
den stark ansteigenden Internetbetrug wurden die operativen Ermittlungsbereiche in
schiedenen Nationen. Dabei belegt Österreich, gemessen an der Anzahl der Empfänger,
den Landeskriminalämtern (LKA) vermehrt auf den Modus Operandi des „Voice over
seit Beginn der Kontrollen, den zweiten Platz hinter den USA und liegt noch vor Destina-
IP-Spoofing“ aufmerksam.
tionen, wie Großbritannien, Frankreich oder Australien. Im zweiten Halbjahr 2019 wurde
22
Cybercrime Report 2019
Cybercrime Report 2019
23
diese Reihung von Österreich angeführt. Die für Österreich bestimmten Postsendungen
Eine weitere Problematik in diesem Bereich ist immer noch das sogenannte „Liken“ be-
enthielten insgesamt rund 163 Kilogramm Suchtgift, hauptsächlich Amphetamin und
ziehungsweise Weiterleiten von Videos, die vor allem via Facebook verbreitet werden
MDMA sowie 34.000 Stück Ecstasy-Tabletten und 1.080 LSD Trips. Der Ursprung dieser
und sexuelle Handlungen von Minderjährigen mit Tieren zeigen. Derartige Darstellungen
Postsendungen ist in der Regel auf die Niederlande zurückzuführen. Etwa 75 Prozent
werden oft gedankenlos als vermeintliche „Spaßvideos“ an andere Userinnen und User
der in Österreich sichergestellten Postsendungen wurden von dort versandt. Auch in
weitergeleitet ohne sich darüber im Klaren zu sein, dass schon der Besitz und die Ver-
Österreich werden im Zuge von regelmäßigen Kontrollen Postsendungen mit Sucht-
breitung solcher Darstellungen ebenfalls strafbar sind.
mitteln sichergestellt. Insgesamt wurden im Zeitraum von Jänner 2016 bis Jänner 2020
rund 9.100 Postsendungen mit Suchtmitteln eingezogen. Diese Sendungen enthielten
insgesamt rund 232 Kilogramm sowie 67.300 Stück Suchtmittel. Die Folgeermittlungen
zu den bisherigen Sicherstellungen ergaben, dass das Suchtmittel der aufgegriffenen
Briefsendungen ausschließlich über Darknet-Marktplätze bestellt wurde.
Eine ernstzunehmende Gefahr des Online-Handels zeigt sich auch mit dem ansteigenden
Postversand von designten Derivaten, wie zum Beispiel Carfentanyl oder der Substanz
U-47700. Diese Substanzen können schon beim Einatmen oder bei bloßem Hautkontakt
zu beträchtlichen Gesundheitsschäden bis hin zum Tod führen. Eine große Anzahl der
im Darknet verkauften illegalen Suchtmittel wird in den Niederlanden hergestellt und
über diverse Vertriebskanäle am Postweg nach Österreich versandt.
Aber nicht nur Konsumentinnen und Konsumenten, sondern auch Suchtmittelhändlerinnen
und -händler im Darknet konnten sich in Österreich etablieren. Seit der Gründung eines
für den Suchtmittelhandel im Darknet spezialisierten Referates im BK mit Dezember
2018 konnten bereits zwölf in Österreich tätige Betreiber international agierender
Darknet-Shops für Suchtmittel ausgeforscht werden. Mit nachgewiesenen Umsätzen
in Millionenhöhe konnten diese zusammen mit ihren Mittätern festgenommen werden.
Dabei wurden große Mengen an Kokain, Methamphetamin, Ecstasy-Tabletten sowie
Benzodiazepine sichergestellt.
Pornographische Darstellungen Minderjähriger
Die Zahl der Anzeigen wegen pornographischer Darstellungen Minderjähriger (Para-
graph 207a StGB) ist 2019 erneut um 43,5 Prozent auf 1.666 angestiegen (2018: 1.161
Anzeigen). Dies resultiert unter anderem daraus, dass die verschiedenen Anbieter von
sozialen Medien in den USA bzw. Kanada den Kampf gegen die Verbreitung von kinder-
pornografischen Daten massiv verstärkt haben. So werden die einzelnen Dienste auf
kinderpornografische Dateien überprüft und der betroffene Account gesperrt. Damit
einhergehend erfolgt eine entsprechende Verdachtsmeldung an das jeweilige Land, dem
der Verursacher zugeordnet werden kann.
24
Cybercrime Report 2019
Cybercrime Report 2019
25
Kriminalpolizeiliche Struktur zur Bekämpfung von
Cybercrime
5
Für die Gewährleistung von mehr Sicherheit im virtuellen Raum ist es notwendig eine
bundesweit umfassende Strategie zur Bekämpfung von Cybercrime zu verfolgen.
Deshalb nimmt diese österreichweit bei der Polizei auf lokaler Ebene in den rund 900
Bekämpfung
Polizeiinspektionen und in über 100 Bezirks- und Stadtpolizeikommanden einen Schwer-
punkt ein. Darüber hinaus sind auf Länderebene technisch ausgebildete Expertinnen
und Experten zur Durchführung und Unterstützung von technischen Ermittlungs- und
Beweissicherungsmaßnahmen tätig.
Die Zuständigkeit auf Bundesebene zur Bekämpfung von Cybercrime obliegt innerhalb
der Abteilung Kriminalpolizeiliche Assistenzdienste des BK dem C4. Es ist nationale
und internationale Koordinierungs-, Ermittlungs- und Meldestelle im Zusammenhang
mit Cybercrime im engeren Sinn sowie für die elektronische Beweismittelsicherung und
deren Auswertung zuständig. Eingerichtet ist die C4-Meldestelle als 24/7 erreichbare
Kontaktstelle gemäß der Budapest Cybercrime Convention und anderen internationalen
Vereinbarungen. Darüber hinaus agiert die C4-Meldestelle als wichtige Ansprechstelle für
die Bevölkerung und Unternehmen, wodurch im Schadensfall eine rasche Unterstützung
erfolgen und neue Phänomene frühzeitig erkannt werden können. Das C4 dient aber
auch für alle Polizeidienststellen als wichtige Drehscheibe und als Koordinationspunkt.
Das C4 gliedert sich mit seinen Schnittstellen zum Cyber Security Center (CSC) des
Bundesamtes für Verfassungsschutz und Terrorismusbekämpfung (BVT) sowie inter-
national zu Europols EC3 als wesentlicher Bestandteil in die Strategie des Bundes-
kanzleramts (BKA) ein. In diesem Zusammenhang ist das C4 Teil des Innerer Kreises der
operativen Koordinierungsstrukturen (IKDOK).
Weitere Informationen:
https://www.bundeskanzleramt.gv.at/themen/cyber-sicherheit-egovernment.html
Cybercrime Report 2019
27
1.797
Abbildung: Organigramm
1.800
Anzahl der E-Mail-Eingänge
Abbildung: Meldungen an die
des C4
Cybercrime Competence Center C4
1.753
C4-Meldestelle 2019
Anzahl der Telefon-Meldungen
1.600
Summe der relevanten Meldungen (mit Cybercrime Bezug)
Büro 5.2
1.400
1.200
1.129
1.167
1.160
1.136
1.109
Meldestelle
982
1.000
942
937
913
1.012
942
823
800
768
849
897
886
817
775
743
Referat
Referat
Referat
Referat
600
685
658
629
5.2.1
5.2.2
5.2.3
5.2.4
400
Zentrale
IT-Beweis-
IT-
Entwicklung
238
200
Aufgaben
sicherung
Ermittlungen
& Innovation
111
110
78
80
70
76
81
62
60
60
47
0
Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez
KFZ-
Ermittlungen
Forensik
In ihrer zentralen Funktion als Cybercrime-Schnittstelle innerhalb polizeiinterner Struktu-
ren, sowie als Meldestelle für Bevölkerung und Wirtschaft agiert die Meldestelle als Ko-
ordinierungs- und Informationszentrum. Zusätzlich umfasst ihre Tätigkeit auch proaktive,
präventive Maßnahmen in Form von Warnmeldungen, die von speziell geschulten Mit-
IT-
ADA &
arbeiterinnen und Mitarbeitern erstellt werden. Die deutlich erkennbare Sensibilisierung
Forensik
Datenbanken
und Bewusstseinsbildung für das Thema Cybercrime erfolgte in fortlaufender Kooperation
mit unterschiedlichen Institutionen aus dem Bereich der Wirtschaft und Vereinen, wie
beispielsweise der WKO oder der Initiative „Watchlist Internet“. Darüber hinaus führen
Mobile
Erstanalysen der eingehenden Meldungen zu schnellen Informationsweitergaben aktueller
Forensik
Phänomene, damit akut negative Auswirkungen auf potentiell weitere Opfer minimiert
werden können. Für diese Aufgaben ist ein technischer Journaldienstbetrieb eingerichtet,
der in dringenden Fällen organisationsübergreifende Sofortmaßnahmen einleiten kann.
Meldestelle
Zur raschen und effizienten Gewährleistung internationaler Ermittlungen stellt die Melde-
stelle eine Drehscheibe zu anderen internationalen Dienststellen und Polizeieinheiten
Die Meldestelle zur Bekämpfung der Internetkriminalität ist seit knapp zehn Jahren im
wie dem Interpol Digital Cyber Center (IDCC), dem Europäischen Cybercrime Center
C4 etabliert und ist in einem 24/7 Betrieb rund um die Uhr erreichbar. Durch diese kön-
(EC3) und den jeweiligen High-Tech Crime Units anderer Staaten - National Contact
nen die erforderlichen Maßnahmen zur Gefahrenabwehr umgehend eingeleitet werden.
Points (NCPs) dar.
Anfragen und Meldungen erhält die Meldestelle von Bürgerinnen und Bürgern, Unter-
nehmen sowie nationalen und internationalen Polizeidienststellen. 2019 wurde die Melde-
Kontakt:
stelle mit 13.936 Anfragen konfrontiert, wobei davon 10.646 einen Bezug zu Cybercrime
Bundeskriminalamt
hatten (2018: 8.331 Anfragen). Der detaillierten Betrachtung kann der starke Jahresbeginn
Meldestelle Cybercrime
und die leichte Reduktion an Meldungen im Jahresverlauf aus der Abbildung Meldungen
Josef-Holaubek-Platz 1, 1090 Wien
an die C4-Meldestelle entnommen werden. Quelle der Daten zu den Anfragen an die
Email: against-cybercrime@bmi.gv.at
C4-Meldestelle ist das C4.
28
Cybercrime Report 2019
Cybercrime Report 2019
29
80.000
75.000
Weitere Informationen:
Abbildung: Ausgewertete
68.000
70.000
forensische Daten 2018 und
Watchlist Internet: www.watchlist-internet.at
2019 in Gigabyte
Europol: https://www.europol.europa.eu/about-europol/european-cybercrime-centre-ec3
60.000
60.000
50.000
45.000
45.000
43.000
41.000
40.000
40.000
37.000
42.000
36.000
40.000
Zentrale Aufgaben
30.000
35.00028.000
35.000
35.000
35.000
30.000
30.000
30.000
30.000
28.000
27.000
20.000
25.000
Das Referat für zentrale Aufgaben zeichnet sich verantwortlich für Beschaffung, Bereit-
10.000
stellung und Instandhaltung der C4-internen Infrastruktur. Darüber hinaus übernimmt
es administrative Tätigkeiten des C4 bei nationalen und internationalen Gremien,
0
öffentlichen Veranstaltungen, im Berichtswesen und in der Koordination bei Aus- und
Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez
Fortbildungsmaßnahmen für den Bereich IT-Ermittlungen, sowie in der elektronischen
Forensische Daten 2019
Forensische Daten 2018
Beweismittelsicherung. Bereits seit 2012 findet eine grundlegende Ausbildung von Be-
zirks-IT-Ermittlerinnen und -ermittlern statt. Mittlerweile unterstützen mehr als 300
speziell ausgebildete Beamtinnen und Beamte durch fachgemäße Erstmaßnahmen und
Aufgrund technischer Entwicklungen wird die Auswertung dieser Medien aber immer
Ermittlungen auf lokaler Ebene. Für diese Ausbildung werden die Vortragenden aus dem
schwieriger. Herstellerspezifische Systeme mit Verschlüsselungsverfahren stellen die
Pool der besten Expertinnen und Experten des BK und der LKAs rekrutiert.
elektronische Beweissicherung laufend vor große Herausforderungen. Insbesondere
im Bereich der mobilen Forensik werden Datensicherungen und Auswertungen immer
Als zusätzliche Fortbildungsmaßnahme für Kriminalbedienstete wird das Thema Cyber-
komplexer. Die steigenden Zahlen zu forensischen Tätigkeiten erklären sich mit den
crime insbesondere im Rahmen der Kriminaldienstfortbildungsrichtlinie (KDFR) vermittelt.
zunehmend aufwendigeren Auswertungen von Smartphones, die zum Teil von dem zu-
ständigen Assistenzbereich „IT-Beweissicherung“ der LKA nicht mehr bewältigt werden
Auf zahlreichen Veranstaltungen sind regional besonders geschulte Präventions-
können. Somit stiegt 2019 die Anzahl der im C4 ausgewerteten Geräte auf 1.578 mit
beamtinnen und -beamte, insbesondere für Klein- und Mittelbetriebe, aber auch für die
einer Gesamtdatenmenge von 59.260 Gigabyte gegenüber 964 mit 33.600 Gigabyte
interessierte Allgemeinheit im Einsatz.
im Jahr 2018.
300
Neben der Gremienarbeit mit Europol und Interpol führte das C4 auch die Organisation
291
Abbildung: Ausgewertete
mobile Geräte 2018 und 2019
wichtiger Veranstaltungen mit internationaler Beachtung durch. So wurde die ITB-Fach-
250
tagung abgehalten und entworfene Trainingsumgebungen für Ermittlungsschritte bei
200
Transaktionen von virtuellen Währungen vorgestellt. Auf internationaler Ebene vertritt
181
184
176
164
das C4 Österreich in der European Cybercrime Training and Education Group (ECTEG).
149
150
121
125
102
100
86
85
88
68
78
84
Forensik
79
74
75
50
66
63
57
52
50
44
IT und Speichermedien stellten sich auch 2019 als unverzichtbar für strafrechtlicher
0
Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez
Ermittlungen dar, wobei wieder ein deutlicher Anstieg an forensischen Auswertungen
verzeichnet wurde. Quelle der nachfolgenden Daten der Forensik ist das C4. Die elek-
Mobile Geräte 2019
Mobile Geräte 2018
tronische Beweismittelsicherung im C4 sowie in den LKAs gewinnt damit weiterhin an
ressourcenintensiver Bedeutung. Dies zeigt sich 2019 mit 524 Terabyte an forensisch aus-
gewerteten Daten von PC- und Serversystemen gegenüber 2018 mit noch 416 Terabyte.
30
Cybercrime Report 2019
Cybercrime Report 2019
31
14.000
Abbildung: Ausgewertete
Im Internet und insbesondere bei Cybercrime werden Kryptowährungen immer öfter
12.250
mobile forensische Daten
12.000
11.500
genutzt. Dieser Trend entsteht vor allem durch den niederschwelligen Einstieg in Krypto-
2018 und 2019 in Gigabyte
10.400
währungen durch einfach bedienbare Softwareprodukte. Dieser relativ einfachen Nutzung
10.000
steht aber die Komplexität der Technologie, die Kryptowährungen erst ermöglicht,
8.000
gegenüber. Deshalb ist gerade für Ermittlungen nicht nur technisches Spezialwissen er-
6.500
forderlich, sondern auch die richtige Ausrüstung ausschlaggebend. Im Bedarfsfall werden
6.000
5.000
5.000
daher Hilfsmittel für die IT-Ermittlungen im Verbund mit dem Referat für Entwicklung und
4.700
4.000
4.000
4.000
Innovation geschaffen, um die IT-Ermittlerinnen und IT-Ermittler bei ansonsten manuell
3.700
3.800
3.900
3.000
sehr aufwändigen Tätigkeiten zu unterstützen. Ein gutes Beispiel dafür ist die genannte
2.000
1.536
2.300
2.500
1.000
1.600
1.500
Unterstützung bei der Datenanalyse von Bestmixer.io im Punkt „Bitcoin Mixer und deren
550
1.200
900
1.000
1.024
0
erfolgreiche Bekämpfung“, die eine Anwendung der gewonnenen Erkenntnisse auf euro-
Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez
päischer Ebene zeigt. An diesem Beispiel ist weiters zu sehen, dass bei Cybercrime fast
Mobile forensische Daten 2019
Mobile forensische Daten 2018
ausschließlich digitale Spuren vorliegen und oft nur deren Analyse zum Täter führt. Für
die Koordinierung und Durchführung von kriminalpolizeilichen Tätigkeiten wurde im C4
Das zeit- und ressourcenaufwendige sowie hochspezialisierte Chip Off-Verfahren, bei
eine Ermittlungsgruppe mit dem Thema betraut.
dem elektronische Bauteile aus den Geräten herausgelötet und ausgelesen werden, und
die Kfz- Forensik können nur zentral im C4 durchgeführt werden.
Der zweite Schwerpunkt bei Cybercrime Ermittlungen ist derzeit das Darknet, das von
Tätern für die Abwicklung illegaler Geschäfte genutzt wird. Dies betrif besonders die im
Auch 2019 wurde die zentralen Leistungen der Fahrzeugforensik in steigendem Ausmaß
Punkt „Crime as a Service“ genannten Dienstleistung, den Online-Handel mit verbotenen
bei der Beweismittelsicherung für 728 Fahrzeugen in Anspruch genommen. Die Fahr-
Substanzen sowie sexuelle Kindesmissbrauchsdarstellungen. Das Darknet befindet sich
zeugforensik des C4 wurde als wichtige Säule durch Unterstützung der Ermittlungs-
laufend im Wandel, da immer neuere Anonymisierungstechniken eingesetzt werden.
arbeiten, forensische Schwerpunktkontrollen und Intensivierung der Zusammenarbeit
Dabei kommen durchwegs sehr spezialisierte Lösungen zur Anwendung, sodass nicht
mit ausländischen Dienststellen etabliert.
unbedingt das bekannte TOR Netzwerk zur Anonymisierung genutzt werden muss. Ein
Beispiel dafür ist die anonyme Handelsplattform OpenBazaar, die anonyme Geschäfts-
auftritte und Transaktionsabwicklung ermöglicht. Insofern ist es notwendig über die
IT-Ermittlungen
aktuelle Entwicklung im Darknet einen Überblick zu behalten. Mit dieser Aufgabe sowie
der Unterstützung, Durchführung und Koordination von Ermittlungstätigkeiten im Darknet
Das Referat der IT-Ermittlungen ist mit der Leitung, Koordination und Durchführung
wurde im C4 ein Experte betraut.
nationaler sowie internationaler Ermittlungen zur zielgerichteten Aufklärung von Cyber-
crime-Delikten betraut. Dafür bedient sich das C4 der erfolgreichen bi- oder multilateraler
Die Sonderermittlungskommission zu Ransomware wurde in der ersten Jahreshälfte
Zusammenarbeit mit Europol und Interpol. Im Anlassfall führt der Fachbereich „ADA und
2019 als Ermittlungsgruppe in die Linienorganisation übernommen. Deren Aufgabe ist
Datenbanken“, Automatischer Daten Abgleich (ADA) neben Ermittlungsfällen und Projekt-
auch weiterhin das auf Bundesebene zentralisiertes Zusammenfassen, Bearbeiten und
unterstützungen auch die Koordination und Durchführung des automationsunterstützten
Ermitteln von Ransomware-Fällen. Dies ermöglicht umfassend die Ransomware-Arten
Datenabgleichs durch. Darüber hinaus ist das Referat auch in der Lage technisch sehr
und Tätergruppierungen zu klassifizieren. Durch internationale Kooperation, die vor allem
komplexe Ermittlungen durchzuführen. Diesbezüglich gibt die Entwicklung von Cyber-
durch das European Cybercrime Center (EC3) koordiniert wird, erfolgt ein laufender
crime entsprechende Schwerpunkte vor, die von den IT-Ermittlern abgedeckt werden
Austausch und gemeinsame Ermittlungen um Täter zu auszuforschen.
müssen. In diesem Zusammenhang sind besonders zu erwähnen Kryptowährungen und
das Darknet, weil deren Nutzung durch Täter tendenziell steigt. Um dieser Entwicklung
nachzukommen, ist im C4 eine entsprechende Expertise für Ermittlungen in diesen Be-
Entwicklung und Innovation
reichen aufgebaut worden.
Das Referat für Entwicklung und Innovation setzt sich auf wissenschaftlicher Ebene mit
dem Einsatz von neuen Technologien und deren Folgeabschätzung bei kriminellen Straf-
32
Cybercrime Report 2019
Cybercrime Report 2019
33
taten oder deren Potentiale für Aufklärungen auseinander. Dies umfasst die Forschung
Neue Erfolgsmodelle in der Ablauforganisation
und das wissenschaftliche Arbeiten auf speziellen cybercrime-relevanten Gebieten durch
Erforschung und Bewertung von Phänomen in den Bereichen der IKT und der digitalen
Um organisatorische Verbesserungen auszutesten wurde in der Außenstelle Zentrum Ost
Forensik. Dabei gewonnenes Wissen findet bei der Bewertung und Entwicklung von
des Wiener LKA im Februar 2019 ein Probebetrieb mit IT-Ermittlerinnen und Ermittler
unterstützenden Tools, wie Software Werkzeugen, der Wissensvermittlung und Unter-
sowie mit digitalen Forensikerinnen und Forensikern gestartet. Bereits in den ersten
stützung bei der Bearbeitung von aktuellen Fällen eine Anwendung. Im Bereich der
Wochen wurden diese von Kolleginnen und Kollegen anderer Bereiche konsultiert und mit
digitalen Forensik und bei Cybercrime Ermittlungen ist eine ständige Weiterbildung, aber
steigender Akzeptanz im Rahmen der Aktenbearbeitung hinzugezogen. Das geforderte
vor allem die Entwicklung innovativer Ideen für eine Qualitäts- und Effizienzsteigerung
Spezialwissen wird insbesondere bei Einvernahmen, Hausdurchsuchungen und OSINT-
gefordert, die durch dieses Referat gestützt werden.
Recherchen benötigt. Die Unterstützung umfasst neben der Sicherung von Videos, Bild-
extraktionen, Handyauswertungen auch die Bewältigung logistischer Herausforderungen.
Bundesweite polizeiliche Zusammenarbeit
Aus Sicht der IT-Ermittler wird die enge Abstimmung durch kurze Kommunikationswege
und räumliche Nähe zu den Ermittlungsbereichen in der Außenstelle als Erfolgsmodell
Erhält die Sicherheitsbehörde Kenntnis über eine Straftat mit IT-Bezug, was in der
gewertet. So können die IT-Ermittler gleich bei Aufnahme der Arbeiten unmittelbare
Regel durch Mitteilung eines Geschädigten bei einer Polizeiinspektion erfolgt, kann
Ermittlungsansätze finden oder ausschließen.
insbesondere bei komplexeren Sachverhalten auf die Bezirks-IT-Ermittler und deren
Fachexpertise zurückgegriffen werden. Darüber hinaus sind in den LKA Fachbereiche
Zahlreiche administrative und logistische Unterstützungshandlungen, wie die Erteilung
zur Klärung solcher Straftaten etabliert und fungieren auch als Bindeglied zum C4 im
von Auskünften und Beratungen, diverse Bildextraktionen oder die Sicherung und Kon-
Bundeskriminalamt.
vertierung von Videodateien können so ohne unnötigen Aufschub zur Zufriedenheit von
Ermittlerinnen und Ermittlern erledigt werden. Die frei gewordenen Kapazitäten werden
Die Polizistinnen und Polizisten in Polizeiinspektionen
(PI), Stadtpolizeikommanden
dadurch auf den Kernbereich der Ermittlungstätigkeiten konzentriert.
(SPK) und Bezirkspolizeikommanden (BPK) erhalten im Rahmen ihrer Grundausbildung
IT-Basisschulungen unter anderem zu den Themen strafrechtliche Tatbestände oder
Bereits bei der Konzeption des Modells wurden auch die notwendigen Zeiten für den
Verhalten am Tatort. Auf dieser Ebene agieren speziell ausgebildete Polizeibeamte, die
stetigen Kompetenzaufbau und den Wissensaustausch mit anderen Organisationen
als erste Ansprechpartner für Geschädigte zur Verfügung stehen und über Basiswissen
vorgesehen. Durch die fortgesetzte Abstimmung mit dem täglichen Bedarf des Auf-
verfügen. Sie informieren und beauftragen in einem zweiten Schritt die Expertinnen und
gabenbereiches, ist ebenso der unmittelbare und erhofe Wissenstransfer feststellbar.
Experten. Darüber hinaus ist Cyber-Kriminalität mittlerweile ein wichtiger Bestandteil
Kurz nach Einführung dieses Probetriebs konnten zahlreiche Erfolge verzeichnet werden.
in der Ausbildung dienstführender Beamtinnen und Beamten.
Unter anderem konnte bei folgenden Amtshandlungen ein wesentlicher Beitrag zur
Klärung der Straftat geleistet werden:
In den LKA der Bundesländer sind fachlich ausgebildete Exekutivbedienstete tätig. Diese
verfügen über eine spezielle polizeiliche Ausbildung und sind zusätzlich im IT-Bereich
Unterstützung bei einer Amtshandlung wegen mehrerer Vergewaltigungen teil-
geschult. Sie servicieren die jeweiligen Ermittlungsbereiche bei digitalen, forensischen
weise unter Verwendung von KO-Mittel
Sicherungen sowie deren Auswertungen und Aufbereitungen. Neben den forensischen
Ausforschung eines Beschuldigten nach einer Bombendrohung innerhalb von zwei
Tätigkeiten umfasst deren Aufgabengebiet auch Ermittlungstätigkeiten im Cybercrime-
Stunden
Bereich auf nationaler Ebene. Aufbauend auf die Bezirks-IT-Ermittler-Ebene gewährleistet
Ausforschung eines Beschuldigten nach einem Raub
das LKA ein professionelles Einschreiten bei höherrangigen Strafrechtsdelikten mit
Ausforschung von Verdächtigen nach schweren Betrügereien
entsprechendem IT-Bezug. Besonders bei internationalen Ermittlungen stellt das LKA
Ausforschung mehrerer Money-Mules nach einem Love-Scam
durch seine Schnittstellenfunktion auf Bundesländerebene eine Hilfeleistung für das C4
im Bundeskriminalamt dar.
34
Cybercrime Report 2019
Cybercrime Report 2019
35
Anzeigenerstattung
6
Wenn Sie Opfer von Cyber-Kriminalität geworden sind, haben Sie die Möglichkeit diesen
Sachverhalt in jeder Polizeidienststelle prüfen zu lassen beziehungsweise gegebenen-
falls anzuzeigen.
Zusammen-
Achtung: Wenn es um einen konkreten aktuellen Notfall geht (Angriff auf Leib oder
Leben), dann rufen Sie den Polizeinotruf 133 an.
arbeit mit der
Richtige Vorgehensweise:
Sichern Sie bitte relevantes Beweismittel und Datenmaterial, wie beispiels-
Polizei
weise Emails, Chat-Verläufe, Zahlungsbelege, Screenshots, digitale Fotos
oder Videos oder ähnliches. Wenn bestimmte Inhalte nicht abgespeichert
werden können, erstellen Sie Screenshots oder fotografieren Sie den Bild-
schirm notfalls ab.
Stellen Sie sicher, dass sich die Unterlagen und Daten, die Sie der Polizei
zur Verfügung stellen, im Originalzustand befinden. Das bedeutet, dass an
ihnen keine Manipulation, keine Ergänzungen oder ähnliches durchgeführt
wurden. Bei E-Mails würde das bedeuten, diese nicht einfach weiterzu-
leiten, sondern die Original-E-Mail abzuspeichern und die gespeicherte
Kopie als Anhang zu übermitteln wäre.
Häufig haben Sie auch selbst die Möglichkeit, bei den von Ihnen be-
troffenen Accounts, Informationen zu erfragen, die für eine Täteraus-
forschung notwendig sind. Exemplarisch sind dies IP-Adressen über
widerrechtliche Zugriffe inklusive Zeitstempel, Logdaten und so weiter.
Überprüfen Sie dazu am besten selbst, welche der für die Tathandlung
relevanten Daten beim jeweiligen Account-Anbieter beziehungsweise On-
line Service Provider gespeichert werden und für Sie zugänglich sind oder
deren Bekanntgabe über diesen angefordert werden kann.
Wenn es sich um komplexere Tathandlungen handelt, dokumentieren Sie
den Tathergang in chronologischer Weise und stellen Sie sicher, dass die
Geschehnisse zeitlich richtig eingeordnet sind.
Wenn Sie Probleme haben die Beweismittel technisch zu sichern be-
ziehungsweise abzuspeichern, bitten Sie eine Person Ihres Vertrauens
diese Beweise mit Ihnen gemeinsam zu sichern.
Stellen Sie die gesicherten Daten dem aufnehmenden Beamten nach
Absprache mit diesem in geeigneter Form zur Verfügung (beispielsweise
über https://cryptshare.bmi.gv.at). Die Daten zur Verfügung zu stellen ist
wichtig für die weiteren Ermittlungen, um den Verlust von Spuren im Netz
zu vermeiden.
Cybercrime Report 2019
37
Bitte haben Sie Verständnis dafür, dass Sie bei einem ersten Gespräch mit der Polizei
nicht unmittelbar auf spezialisierte Cybercrime-Expertinnen und -Experten treffen und
7
deshalb in den meisten Fällen erst in einem zweiten Schritt an eine spezialisierte Fach-
dienststelle weitergeleitet werden oder von dort Rückfragen erhalten. Darüber hinaus
kann Ihnen die Meldestelle für Cybercrime professionelle Auskunft über die weitere
Vorgangsweisen und Schritte bei Cybercrime-Vorfällen erteilen. Für die formelle An-
Events und
zeigenerstattung sind in der Regel die Polizeidienststellen zuständig. Derzeit ist eine
formelle Anzeigeerstattung ist über die Meldestelle nicht vorgesehen.
internationale
E-Mail:
against-cybercrime@bmi.gv.at
Gremien
38
Cybercrime Report 2019
Fachtagung IT-Beweismittelsicherung (ITB)
8
Die 5. Fachtagung IT-Beweismittelsicherung (ITB) fand am 19. März 2019 in Wien statt
und wurde vom C4 in Kooperation mit dem Bundesministerium für Landesverteidigung
(BMLV) organisiert. Thema waren unter anderem neue Phänomene im Cyber-Bereich. IT-
Ermittlerinnen und -Ermittler sowie Forensik-Expertinnen und -Experten vom Assistenz-
Kriminal-
bereich in den LKAs - LKA AB6 ITB, von den Bezirken sowie aus den Fachabteilungen des
BK, des BVT, von den Landesämtern für Verfassungsschutz und Terrorismusbekämpfung
(LVT), vom Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung (BAK), vom
BMLV, vom Bundesministeriums für Finanzen (BMF) und von der Bundeswettbewerbs-
prävention
behörde nahmen an der Tagung teil.
Die Vortragenden kamen vom Institut für Strafrecht und Kriminologie der Universität
Wien, vom „Computer Emergency Response Team Austria“ (CERT.at), vom Schweizer
Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS) sowie vom C4.
Themenschwerpunkte waren das Phänomen Doxing und Internet of Things (IoT).
Symposium „Neue Technologien (NT)“
Am 5. und 6. November 2019 fand in Wien das 9. Internationale Symposium ,,Neue
Technologien“ statt. Diese jährliche Veranstaltung wird gemeinschaftlich vom LKA Bayern,
LKA Baden-Württemberg, dem BK Österreich und dem Eidgenössischem Bundesamt für
Polizei (fedpol) organisiert. Die letztjährige Organisation wurde vom C4 durchgeführt.
Über 200 Teilnehmende aus den Bereichen Polizei, Militär, Behörden, Wirtschaft und
Forschung kamen dazu in den Räumlichkeiten der Landesverteidigungsakademie des
Bundesheers in Wien für eine gemeinsame Technologiefolgenabschätzung zusammen.
Ziel dieser Veranstaltungsreihe ist es, laufend neue Technologieprojekte, die für Polizei-
behörden von Bedeutung sind, im Rahmen hochkarätiger Vorträge vorzustellen und
konkrete Ergebnisse zu präsentieren. Diese länderübergreifende Plattform trägt dazu bei,
die möglichen Vorteile künftig bestmöglich nutzen zu können. Sie soll aber auch helfen,
einhergehende potenzielle Gefahren für die Bevölkerung frühzeitig zu erkennen. Mit den
Veranstaltungen wurde aus Sicht der Sicherheitsbehörden ein wichtiger lmpulsgeber
und eine bedeutende Plattform für die Sicherheitsforschung geschaffen.
40
Cybercrime Report 2019
Verhinderung von Straftaten
9
In der Präventionsarbeit wurde im vergangenen Jahr ein Schwerpunkt auf den Bereich
der Computer- und Internetkriminalität gelegt. Es wurde über Gefahren, Phänomene
und Problemfelder aufgeklärt. Mit gezielten Kooperationen kann der diesbezügliche
Wissensaustausch intensiviert und gezielt an die Bevölkerung weitergegeben werden.
Heraus-
Für das Erkennen von Fake-Shops und andere Betrugsmethoden, wie Gewinnversprechen
per E-Mail, Phishing-E-Mails und dergleichen wird die Bevölkerung über Social-Media-
Kanäle und Beiträge auf der Homepage des BK informiert und gewarnt. Im Detail wurde
forderungen
in Vorträgen und Beratungen besonders auf die Vorgehensweisen und Methoden des
Internetbetrugs eingegangen und dem stark ansteigenden Phänomen auch präventiv
entgegenwirkt. Dabei wurden auch Unternehmen gezielt auf die Deliktsformen des
CEO Fraud und das zugrundeliegende Social Engineering hingewiesen und Methoden
und Projekte
zu dessen Erkennung und Verhinderung erarbeitet. Für diese spezialisierte Tätigkeit
wurden 2019 in ganz Österreich bereits 150 Präventionsbedienstete ausgebildet, die
über das jeweilige LKA erreicht werden können.
Verstärkt wird dazu die Wirkung der Public-Private-Partnership nicht nur in Form der
Kooperation mit der WKO, sondern auch mit dem österreichischen Institut für an-
gewandte Telekommunikation, eingesetzt. Dem Fachverband Unternehmensberatung
und Informationstechnologie (UBIT) der WKO gehört die Experts Group IT Security an.
Jene führt Unternehmensberater, IT-Dienstleister zusammen, die sich dem Thema der
Informationssicherheit in all ihren Formen verschrieben haben und somit im Vorfeld
bereits gegen Cybercrime wirksam werden können. Mit dem C4 und den Landes-
polizeidirektionen findet eine laufende Kooperation statt, die Maßnahmen, Vorträge
und Veranstaltungen umfasst. So wurde auf dem E-Day, der jährlich das Interessen
von Unternehmen an neue Technologien wecken soll, durch das C4 und das LKA Wien
präventiv über aktuelle Gefahren von Cybercrime informiert und auf die Fragen der
Besucher dazu eingegangen.
Wenn Serviceleistungen nicht mehr von österreichischen Sicherheitsbehörden geleistet
werden können, gilt es den Klein- und Mittelunternehmungen (KMU) nicht nur den wich-
tigen präventiven Schutz zukommen zu lassen, sondern im Ereignisfall auch operative
Hilfe zu leisten. Dies wird von der WKO durch die Cyber-Security Hotline 0800 888 133,
an die sich betroffene Kammermitglieder wenden können, abgedeckt. Für Bürgerinnen
und Bürger steht die Informationsplattform www.watchlist-internet.at zur Verfügung,
auf der Informationen zu aktuellen Gefahren im Internet abgerufen werden können.
42
Cybercrime Report 2019
Die Analysen des Reports zeigen die schnellen Veränderungen bei Tätern und Techno-
logie, die eine Anpassung für die laufende Fortbildung der Kriminalpolizei und uni-
10
formierten Polizei notwendig machen. Dieser wird zum Teil durch die Schulungen der
Bezirks-IT-Ermittler erfüllt. Geplant ist der notwendige Ausbau, der bereits in einem
Projekt zu einem vollständigen Ausbildungskonzept weiterentwickelt wurde. Zusätzlich
dient der Cybercrime Experts Circle (CEC), der vom C4 aufgebaut wurde, als inter-
English
nationalen Plattform zum Austausch von unmittelbar praktisch anwendbarem Wissen
mit Expertinnen und Experten aus Partnerländern.
Herausfordernd bleibt es, rasche und effiziente Reaktionen auf internationale Cyber-
Summary
Vorfälle in operativen, kriminalpolizeilichen Dienst setzen zu können. Dazu wird ein
Spezialist für Cybercrime zu Europol entsandt werden, der künftig eine schnelle und
technisch kompetente Informationsweitergabe bei operativen Fällen gewährleisten soll.
Eine weitere Maßnahme ist die Einrichtung einer eigenen, zentralen Ansprechstelle als
bundesweiter Kontakt- und Informationspunkt zwischen diesen Betreibern sozialer
Medien sowie online-Diensteanbieter und inländischen Polizeieinheiten. Zusätzlich soll
mit einer technischen Aufrüstung im Form eines forensischen Auswertungscluster die
qualitativ hochwertige Auswertung der vermehrt sichergestellten Daten effizienter und
schneller werden. Weiters werden im Bereich der Forensik Vereinfachungen und effizi-
entere Gestaltungen für die Beweismittelsicherung vor Ort geprüft und deren Einsatz
geplant werden.
Um den gerichtlichen Aufträgen Folge bei der zunehmenden Verschlüsselung noch Folge
leisten zu können, wird mittels nationaler Forschungsinitiativen und Projekte der Ausbau
von Kapazitäten zur Entschlüsselung angestrebt werden.
Grundsätzlich ist ein größeres Problembewusstsein in allen gesellschaftlichen Bereichen
durch den starken Deliktsanstieg im Cybercrime Bereich notwendig geworden. Deshalb
werden Präventivmaßnahmen über bestehenden Kooperationen zur Steigerung der
Widerstandsfähigkeit gegen Cyber-Angriffe weiter ausgebaut werden.
Zur Umsetzung und Finanzierung der Cyber-Sicherheitsstrategie werden für die Pro-
jekte der Bekämpfung von Delikten im Cyberbereich vermehrt spezielle EU-Budgets
herangezogen.
44
Cybercrime Report 2019
The key developments in cybercrime in 2019 were the significant increase in mass black-
mail messages at the beginning of the year and the year-round high level of Internet
11 Glossar
fraud. The former was taken into account by the establishment of a separate working
group on blackmail emails and the latter was handled within the framework of the
regular organisation. In addition, there is a trend among offenders to use Ransomware
and other “Crime as a Service” deliverables from the darknet.
There is still a lack of a necessary legal framework for the problems of Carrier Grade
NAT, G5, domain names and crypto-currencies, which are currently making criminal police
work more difficult or even impossible.
An update of the cybercrime strategy is planned, covering IT investigations and seizing
of digital evidence. Improvements to processes, including the technology used, are
continually taking place in order to meet the ever-increasing technical challenges.
46
Cybercrime Report 2019
Anonymisierungsdienst
CEPOL
Bei Anonymisierungsdiensten handelt es sich um Services und Techniken im Internet,
Die European Union Agency for Law Enforcement Training beziehungsweise Europäi-
die dazu dienen, bestimmte Informationen, die auf die Identität eines Internetnutzers
sche Polizeiakademie ist eine durch Beschluss des Rates der europäischen Justiz- und
hindeuten könnten, zu verschleiern.
Innenminister im Jahr 2000 gegründete europäische Einrichtung zur Ausbildung der
europäischen Polizei.
Antivirenprogramm
Ein Antivirenprogramm (synonym mit Virenscanner oder Virenschutz) ist eine Software,
Chip Off-Verfahren
die bekannte Schadsoftware wie beispielsweise Computerviren (siehe Viren) in einem
Dieses Verfahren dient zum Auslöten von elektronischen Bauteilen und das Auslesen
Computersystem aufspüren kann, blockiert und gegebenenfalls beseitigt. Auch wenn
von allenfalls enthaltenen Informationen.
damit ein grundlegender Schutz gegeben ist, erfolgt dieser nicht zu hundert Prozent,
da es laufend neue Schadsoftware gibt, die noch nicht erkannt wird.
Cybermobbing
Der Begriff Cybermobbing bezeichnet das absichtliche und über einen längeren Zeit-
Applikation/App
raum anhaltende Beleidigen, Bedrohen, Bloßstellen, Belästigen oder Ausgrenzen von
Eine Applikation, kurz App oder Anwendungssoftware, ist ein Computerprogramm. Häufig
Personen über digitale Medien, wie beispielsweise über soziale Netzwerke, Messenger
wird der Begriff App im Zusammenhang mit Anwendungen für mobile Endgeräte, wie
Apps oder in Videoportalen.
Tablets oder Smartphones verwendet.
Darknet
Business Email Compromise (BEC)
Große Teile des Internets sind für übliche Suchmaschinen nicht zugänglich. Diese
Angreifer kompromittieren bei einem BEC den Email Schriftverkehr eines Unternehmens
zeigen oft nur Inhalte des offenen Internets, dem Clearweb, an. Dort liegen alle Daten
mit dem Ziel, einen Mitarbeiter der Firma zu einer Geldtransaktion auf das Bankkonto der
unverschlüsselt vor und können durchsucht sowie meist über eine Adresse, den so ge-
Täterschaft zu veranlassen. Es handelt sich hier um gezielte Angriffe gegen bestimmte
nannten URL, aufgerufen werden. Um in das Darknet beziehungsweise Tor-Netzwerk zu
Unternehmen, da die Täter im Vorfeld teilweise umfangreiche Recherchen anstellen
gelangen, benötigt man beispielsweise einen speziellen Browser, wie den Tor-Browser.
und sich häufig mittels Social Engineering zusätzliche Informationen verschaffen. Um
Daten werden im Darknet anonym und verschlüsselt über verschiedene Server geschickt.
derartige Fälle zu vermeiden, ist eine Sensibilisierung der Unternehmensmitarbeiter
Das Darknet war ursprünglich für Personen und Organisationen gedacht, die von Zensur
durchzuführen und es ist ratsam im Schriftverkehr mit Handelspartnern vorsichtig zu
bedroht waren. Heutzutage reicht das Spektrum an illegalen Aktivitäten im Darknet vom
sein. Bei unklaren oder eigenartigen Sachlagen über eine andere Technologie (Telefon)
Drogen- und Waffenhandel über Dokumentenfälschung, Geldfälschung, Datenhandel bis
sind die Sachverhalte zu überprüfen.
hin zu pornografischen Darstellungen Minderjähriger und weit darüber hinaus.
Bitcoin
DDoS-Angriffe
Bitcoin (englisch für „digitale Münze“) ist ein weltweit verwendbares, dezentrales Register
DDoS-Angriffe („Distributed Denial of Service“-Angriffe) sind Attacken auf die Verfüg-
und der Name eines immateriellen Vermögenswertes. Überweisungen werden von einem
barkeit der Ressourcen und Dienste eines IT-Systems oder von Netzwerken meistens
Zusammenschluss von Rechnern über das Internet mittels Blockchain (durchgehende
mit dem Ziel, diese zu blockieren und somit regulären Benutzern keinen Zugriff mehr zu
Kette von Transaktionsblöcken) abgewickelt, sodass anders als im herkömmlichen Bank-
ermöglichen. Die Angriffe erfolgen häufig von vielen verschiedenen Ressourcen aus dem
verkehr keine zentrale Abwicklungsstelle benötigt wird. Eigentumsnachweise können in
Internet. Neben politisch oder persönlich motivierten Angriffen versuchen Täter auch
einer persönlichen digitalen Brieftasche, einem sogenannten Wallet, gespeichert werden.
häufig Geld mit DDoS-Angriffen zu erpressen.
48
Cybercrime Report 2019
Cybercrime Report 2019
49
Domain Name System (DNS)
Notsituation vorgetäuscht wird. Tatsächlich existiert die dargestellte, geliebte Person
Das DNS ist einer der wichtigsten Dienste im Internet. Seine Hauptaufgabe ist die Auf-
aber nicht, sondern dient der Betrügerin oder dem Betrüger nur als Tarnung. Die Täter
lösung des Domainnamens, wie zum Beispiel www.bmi.gv.at, in eine IP Adresse (siehe
schrecken dabei auch nicht davor zurück die Identität und den Internetauftritt von realen
IP Adresse), um eine Kommunikation zwischen den Computersystemen zu ermöglichen.
Personen dafür zu missbrauchen.
European Cybercrime Center (EC3)
Money Mules
Das EC3 ist ein Teil von Europol und wurde eingerichtet, um in folgenden drei Bereichen
Wie die deutsche Übersetzung der Bezeichung Money Mule, nämlich Geldesel, vermuten
signifikante Unterstützung für die Mitgliedsstaaten zu schaffen:
lässt, wird von einer Person illegal erworbenes Geld im Rahmen von Kurierdiensten trans-
feriert, um die Strafverfolgung zu erschweren. Meist erhält die Person ein Entgelt für
Bekämpfung von Cybercrime, begangen durch organisierte Gruppierungen, die
den Geldtransfer, ist sich aber dabei nicht bewusst, dass sie sich aktiv an Geldwäsche
beispielsweise durch Online-Betrug große Geldmengen erbeuten.
beteiligt. Die Anwerbung erfolgt oft über Email.
Bekämpfung von Formen von Cybercrime, die die Opfer massiv schädigen, wie bei-
spielsweise sexueller Missbrauch von Kindern.
Bekämpfung von Cybercrime (inklusive Cyberattacken), die gegen kritische Infra-
NAT
struktur und Informationssysteme der EU Mitgliedsstaaten gerichtet ist.
Bei Carrier Grade NAT teilt der Provider eine IPv4-Adresse aus dem privaten Adress-
bereich „10.0.0.0/8“ den Endkundenanschlüssen zu - keine „öffentliche IP-Adresse“
(§ 92 Abs 3 Z 16 TKG). Auf diese Weise „spart“ er mittlerweile sehr rare öffentliche
Firewall
IPv4-Adressen. Zwischen dem privaten Provider-Netz und dem öffentlichen IPv4-Netz
Eine Firewall ist ein System aus hardware- und/oder softwaretechnischen Komponenten,
vermittelt dann die sogenannte Network Address Translation (NAT) oder Port Address
um Netzwerke sicher miteinander zu verbinden. Die Firewall analysiert den Netzwerk-
Translation (PAT). Der dafür zuständige vermittelnde Server kümmert sich um die Adress-
verkehr und hat beispielsweise die Aufgabe, unerwünschte Zugriffe von außen wie dem
übersetzung zwischen den privaten und öffentlichen IPv4-Adressen und reicht die Pakete
Internet zu blockieren.
zwischen den Netzwerken weiter.
NAT wurde ursprünglich für lokale Netzwerke, wie dem WLAN-Router zu Hause, ent-
IP-Adresse
wickelt, die nur eine öffentliche IPv4-Adresse zugeteilt bekommen haben. Diese wird
Eine IP-Adresse dient zur eindeutigen Adressierung von Computern und anderen Geräten
aber von mehreren Clients als Zugang zum öffentlichen Netz genutzt. NAT findet hier
in einem Netzwerk, das auf dem Internetprotokoll (IP) basiert. Sie wird jedem Gerät
in kleinem Rahmen mit wenigen Clients statt. Bei Carrier Grade NAT sind davon meist
in einem Netzwerk zugewiesen und macht somit jedes Gerät adressierbar und damit
mehrere tausend Clients betroffen und gleichzeitig wird doppelt geNATet, weil der Kunde
erreichbar. Die IP Adresse entspricht funktional der Rufnummer in einem Telefonnetz.
immer noch nur eine IPv4-Adresse für mehrere Clients bekommt.
Technisch wird zwischen IP Version 4 (IPv4) und IP Version 6 (IPv6) unterschieden.
Bei jedem NAT- oder PAT-Vorgang wird nicht nur die private IP-Adresse in eine öffentliche
Letzteres wurde unter anderem eingeführt, da die Anzahl der möglichen öffentlichen
übersetzt, sondern auch die zu der Netzwerkadressierung (IP-Adresse und Port, Schreib-
Adressen bei IPv4 stark beschränkt sind und mittlerweile als aufgebraucht gelten.
weise zum Beispiel 194.203.112.23:80) gehörenden Ports ändern sich. -Das heißt, dass
bei jedem NAT Vorgang von dem NAT-Verbindungsserver einer bestimmten IP-Adresse
aus dem internen Netz eine bestimmte Portnummer der öffentlichen IP im externen
Love Scam
Netz (dem Internet) eindeutig zugewiesen wird, damit der Kommunikationsvorgang
Bei Love- oder Romance-Scam handelt es sich um eine Art von Partnervermittlungsbetrug.
nachvollziehbar bleibt (sonst wüsste der Verbindungsserver nicht, wer welche Kommu-
Der Täter stellt meist den ersten Kontakt per Email oder soziale Medienplattformen her
nikation durchführt). Das Identifikationsmerkmal des Nutzeranschlusses ist daher nicht
und versucht eine Vertrauensbasis durch zum Beispiel die Zusagen von persönlichen
mehr nur die IP-Adresse, sondern auch der sogenannte Source-Port oder sozusagen als
Treffen zu schaffen. In Folge der elektronischen Kommunikation versucht der Täter das
„Rückrechnung“ für die Provider die Ziel-IP und der Ziel-Port.
Opfer zum Übersenden von Geld und Wertgegenständen zu überreden indem eine
50
Cybercrime Report 2019
Cybercrime Report 2019
51
OSINT
Spam auch Schadsoftware im Anhang, Links zu infizierten Webseiten oder wird für
Open Source Intelligence (OSINT) befasst sich mit der Gewinnung von Informationen,
Phishing Angriffe genutzt.
die über offene Quellen frei verfügbar im Internet zu finden sind. Diese Daten werden
für weitere Ermittlungen und Analysen herangezogen, um gezielte Erkenntnisse daraus
herzuleiten.
Trojanisches Pferd (Trojaner)
Als Trojanisches Pferd bezeichnet man ein Computerprogramm oder Applikation, das
als nützliche oder harmlose Anwendung getarnt ist, im Hintergrund aber ohne Wissen
Phishing
des Anwenders eine andere, meist schädliche Funktion erfüllt.
Mit Phishing wird versucht, beispielsweise über gefälschte Webseiten, Emails oder andere
Messenger-Nachrichten an persönliche Daten zu gelangen. Phishing steht häufig in Zu-
sammenhang mit zumindest versuchten Betrugshandlungen und Identitätsmissbrauch.
URL
Ein URL (Uniform Resource Locator) identifiziert und lokalisiert Ressourcen im Internet,
wie beispielsweise Webseiten. Das URL-Format macht eine eindeutige Bezeichnung von
Ransomware
Dokumenten im Internet möglich und beschreibt die Internetadresse von Objekten, die
Als Ransomware wird Schadsoftware bezeichnet, die den Zugriff auf Daten und elek-
von einem Browser gelesen werden können (zum Beispiel http://www.bmi.gv.at).
tronische Systeme einschränkt oder verhindert. Diese Ressourcen werden erst wieder
nach Bezahlung eines Lösegeldes („ransom“) freigegeben.
Virus
Bei (Computer-)Viren handelt es sich um die älteste Art von Schadsoftware, die sich selbst
Schadsoftware
verbreiten und unterschiedliches Schadpotenzial in sich tragen. Sie treten in Kombination
Bei Schadsoftware (synonym mit den Begriffen Schadprogramme, Schadcode oder
mit einem Wirt auf, das heißt mit einem infizierten Dokument oder einer Applikation.
Malware) handelt es sich um Programme oder Skripte, die mit dem Ziel entwickelt
wurden, eine unerwünschte und meistens schädliche Funktion auf Computersystemen
auszuführen.
Verschlüsselung
Verschlüsselung transformiert Daten in Abhängigkeit von einer Zusatzinformation, dem
„Schlüssel“, in einen zugehörigen Geheimtext, der für diejenigen, die den Schlüssel nicht
Social Engineering
kennen, nicht entzifferbar sein soll. Die Umkehrtransformation, das heißt die Zurück-
Bei Social Engineering werden vermeintliche menschliche Schwächen, wie Neugier oder
gewinnung des Klartextes aus dem Geheimtext wird Entschlüsselung genannt.
Angst ausgenutzt, um Zugriff auf sensible Daten oder Informationen zu erhalten. Bei
Cyber-Angriffen verleiten Täter ihre Opfer dazu, eigenständig wichtige Daten preiszu-
geben, Schutzmaßnahmen zu umgehen oder selbstständig Schadsoftware auf ihren
Wallet
Systemen zu installieren. Während vor vielen Jahren noch der Müll nach Dokumenten
Ein Wallet, der englische Begriff für „Geldbeutel“ oder „Portemonnaie“, ist eine virtuelle
und Datenträgern durchsucht wurde, geschieht das Ausforschen von Informationen
Geldtasche, in der der Benutzer Bitcoins oder auch andere Kryptowährungen aufbewahrt.
heutzutage oft durch das Ausspähen von Daten auf Social Media Plattformen und An-
Insofern kann ein Wallet mehrere unterschiedliche Kryptowährungen beinhalten. Darüber
rufen mit falschen Identitäten.
hinaus gibt es unterschiedliche Arten von Wallets.
Spam
WHOIS
Als Spam bezeichnet man elektronische, unerwünschte Nachrichten, die massenhaft
WHOIS ist ein Service im Internet, das vor allem zur Abfrage von Daten zu Domainnamen
und gezielt über verschiedene Kommunikationsdienste verbreitet werden. Teilweise
genutzt wird. Vor der DSGVO war es uneingeschränkt möglich den Eigentümer und den
beinhaltet Spam in harmlosen Varianten unerwünschte Werbung. Häufig jedoch enthält
Ansprechpartner der Domain (siehe Domain Name System) sowie IP-Adressen über diesen
Dienst abzufragen, da alle Daten öffentlich zugänglich gewesen sind.
52
Cybercrime Report 2019
Cybercrime Report 2019
53
54
Cybercrime Report 2019
Cybercrime Report 2019
55
56
Cybercrime Report 2019