Wo sich der deutsche Cyber-Untergrund so trifft

Sicherheitsexperten von Trend Micro fanden insgesamt zehn große, auf deutsche Anwender ausgelegte Foren und zwei Marktplätze, die zum Handel von Crimeware, Drogen, Fälschungen und andere illegale Waren dienen. Das ist im internationalen Vergleich eher wenig, allerdings wurden in den Foren rund 70.000 registrierte Nutzer gezählt. Etwa 20.000 von ihnen haben mindestens einen Post veröffentlicht.

Dem Forschungspapier „Der deutsche Untergrundmarkt“ zufolge bilden die deutschen Kriminellen im IT-Bereich im Vergleich etwa mit der russischen oder brasilianischen Szene lediglich eine verhältnismäßig kleine Gruppe. Es dürfte sich jedoch innerhalb der EU um die am weitesten entwickelte Community handeln. Als deutsche Untergrundforen definierten die Autoren der Studie alle Angebote, die vornehmlich von Kunden aus Deutschland besucht werden. Die Geschäftssprache hingegen ist nahezu durchweg Englisch.

Die untersuchten Foren arbeiten in der Mehrzahl mit einem hierarchischen Berechtigungssystem: Zu Anfang haben die Nutzer lediglich einen eingeschränkten Zugriff auf Informationen, durch die Empfehlungen von anderen Mitgliedern und gute Posts können sie jedoch aufsteigen und bekommen Zugriff auf zusätzliche Forenbereiche. Bei einigen Foren ist eine Einladung erforderlich, um Mitglied werden zu können, bei anderen genügt eine Registrierung. Im Unterschied beispielsweise zum russischen Untergrund: Deutsche Nutzer legen großen Wert auf Anonymität. So nutzen einige Foren .onion-Mirrors, die ausschließlich über das Tor-Netzwerk erreichbar sind, was jedoch zu deutlichen Einbußen bei der Geschwindigkeit führt. Viele Nutzer verwenden auch VPNs oder Proxy-Server, um ihre Identität geheim zu halten.

Gehandelt wird auf den deutschen Cybercrime-Marktplätzen mehr oder weniger das gleiche, was auch in anderen Teilen der Welt gefragt ist. Dennoch gebe es laut Trend Micro einige Auffälligkeiten: Im Vergleich mit dem russischen Untergrund wird deutlich weniger Crimeware angeboten, also Malware, die zum Zweck der Computer-Kriminalität entwickelt wurde (etwa Ransomware oder Phishing-Software). Stattdessen überwiegen gefälschte Dokumente wie etwa Personalausweise oder Führerscheine, teilweise aus fremden Staaten, Kreditkartendaten, gestohlene Datensätze und die Zugangsdaten zu gehackten Konten etwa bei Sky, Netflix, Amazon oder Zalando. Für den physischen Versand gestohlener Waren bedienen sich Kriminelle der Packstationen der Deutschen Post, die eine anonyme Warenübergabe erlauben. Dies sei eine Besonderheit, die sich im Ausland so nicht finde.

Weitere Angebote umfassen die benötigte Infrastruktur für kriminelle Aktivitäten, wie etwa Bulletproof Hosts zum Lagern von Malware oder Exploit Kits. Die von anderen Untergrundmarktplätzen bekannten Treuhänderdienste gibt es auch im deutschen Untergrundmarkt. Diese Dienste stellen sicher, dass geschäftliche Transaktionen reibungslos ablaufen. Der Treuhänder bekommt in der Regel zwischen drei und 15 Prozent des Verkaufspreises. Sobald dieses Geld bei ihm eingegangen ist, übermittelt er die Bezahlung an den Verkäufer und sorgt dafür, dass der Käufer die Ware erhält.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Der ganze Artikel: Wo sich der deutsche Cyber-Untergrund so trifft