Ermittlungsmethoden gegen Cyberkriminelle – und wie man sich davor schützt

Wir zeigen anhand eines konkreten Falles, mit welchen Ermittlungsmethoden die Behörden die Identität von Cyberkriminellen aufdeckt.

Ermittlungsmethoden kritisch hinterfragt: der Webhoster als Partner der Polizei?

Am Anfang steht die Risikoabwägung

Auskunftsanfrage auch an CDN-Dienstleister & Domain-Registrar

Ermittlungsmethoden vorgestellt: Erstellung des Server-Abbilds im Datencenter

Beschlagnahmung des Servers bei unkooperativen Hostern

Auswertung als größter Brocken der Ermittlungsarbeit

Lückenlose Anonymisierung der Datenströme

Ermittlungsmethoden: Warten auf einen fatalen Fehler

Wie kann man sich vor den Ermittlungen der Polizei schützen?

Privaten Computer separat nutzen

Besser keinem Krypto-Mixing-Dienst vertrauen!

Was man beim Webhosting beachten sollte

Ermittlungsmethoden der Polizei: Ein Hinweis in eigener Sache

Ein wenig Paranoia zahlt sich auf Dauer aus

Ermittlungsmethoden kritisch hinterfragt: der Webhoster als Partner der Polizei?

Wir stellen in diesem Hintergrundbericht die Ermittlungsmethoden der deutschen Behörden vor. Der vorliegende Fall rund um eine Phishing-Webseite zeigt exemplarisch, wie strukturiert und mehrstufig Strafverfolgungsbehörden inzwischen vorgehen. Ausgangspunkt der Ermittlungen ist häufig eine entdeckte Phishing-Seite, die entweder durch Hinweise von Geschädigten, Sicherheitsforschern oder automatisierte Scans der Kreditkartenanbieter etc. auffällt. Die Vorgehensweise ist aber die gleiche wie bei Warez-Seiten, Fake-Shops, Fraud-Foren etc.

Am Anfang steht die Risikoabwägung

Bereits zu Beginn der Tätigkeit der Polizei steht eine Risikoabwägung. Die Ermittler prüfen, wie vertrauenswürdig der verwendete Hosting-Anbieter ist und ob eventuell die Gefahr besteht, dass dieser die Täter über ihre Anfragen informiert. Dabei spielt neben der Rechtsform, dem Bekanntheitsgrad auch der Standort eine Rolle, etwa ob sich der Anbieter in Deutschland, innerhalb der EU oder in klassischen Offshore-Jurisdiktionen befindet. Bekanntlich kooperieren große Hosting-Anbieter lautlos, sollte eine behördliche Anfrage bei ihnen eintrudeln. Einige kleinere Webhoster oder Domain-Registrare machen noch lange nicht alles mit.

Auskunftsanfrage auch an CDN-Dienstleister & Domain-Registrar

Handelt es sich um einen seriösen und somit wahrscheinlich kooperativen Anbieter, erfolgt in der Regel eine abgestufte Auskunftsanfrage. Diese richtet sich nicht nur an den eigentlichen Webhoster, sondern auch an den Domain-Registrar sowie gegebenenfalls eingesetzte CDN-Dienste. Große Firmen wie Cloudflare gelten dabei als vergleichsweise kooperativ, sofern die anfragenden Behörden die rechtlichen Voraussetzungen erfüllen. Doch zurück zum Hosting-Anbieter. Dieser kann konkrete technische Maßnahmen unterstützen, etwa durch sogenanntes Port-Mirroring aller ein- und ausgehenden Ports und IP-Adressen. Es handelt sich also um eine umfangreiche Telekommunikationsüberwachung des Servers. Man zeichnet sämtliche ein- und ausgehenden Verbindungen des Servers auf, sodass die Ermittler nachvollziehen können, welche IP-Adressen und Dienste genutzt werden.

Ermittlungsmethoden vorgestellt: Erstellung des Server-Abbilds im Datencenter

Ein weiterer zentraler Baustein ist die Erstellung eines vollständigen Server-Abbilds, eines sogenannten VM-Dumps. Die Abkürzung VM steht für Virtual Machine. Dieses Abbild enthält nicht nur die aktuell gespeicherten Daten, sondern oft auch Konfigurationsreste, Logdateien und Hinweise auf die ursprüngliche Einrichtung des Systems. Für die Ermittler sind insbesondere IP-Adressen aus Logfiles, Konfigurationsdateien oder Installationsprozessen relevant.

Parallel dazu werden beim Hosting-Anbieter hinterlegte Kundendaten abgefragt, also die Rechnungsanschriften, Zahlungsinformationen oder verwendete Zahlungsmittel wie Kreditkarten, PayPal- oder Stripe-Konten. Diese Auskünfte sind in der Regel kostenpflichtig und müssen von den Behörden entsprechend vergütet werden.

Beschlagnahmung des Servers bei unkooperativen Hostern

Anders gestaltet sich die Lage, wenn der Hosting-Anbieter als nicht vertrauenswürdig eingeschätzt wird oder eine Kooperation verweigert. In solchen Fällen greifen klassische Zwangsmaßnahmen. Nach einem richterlichen Beschluss können sowohl die Server........

© Tarnkappe