Anstieg von Internet-Straftaten während der Corona-Krise

Verunsicherung und Unachtsamkeit von Privatpersonen und Unternehmen einerseits und Reduzierung der Überprüfung für eine möglichst schnelle Auszahlung durch die Behörden anderseits öffneten Tür und Tor für Cyberkriminelle. Sie passten ihre Techniken zur Erlangung von Daten und Geld umgehend an die aktuellen Umstände an.

Im Folgenden soll es jedoch nicht um den Subventionsbetrug im Zusammenhang mit staatlichen Corona-Soforthilfen gehen, wo beispielsweise Zuschüsse für nichtexistierende oder nicht mehr aktive Unternehmen beantragt und pandemiebedingte Liquiditätsengpässe vorgetäuscht wurden. Nach Geldwäsche-Verdachtsanzeigen der Kreditinstitute gibt es hier eine Vielzahl von Ermittlungsverfahren, in denen die Staatsanwaltschaft u.a. die Konten der Beschuldigten pfändet, um die zu Unrecht erlangten Zuschüsse abzuschöpfen. Betroffen sind hier viele Personen, die erstmalig im Zusammenhang mit der Corona-Krise strafrechtlich in Erscheinung getreten sind.

Der Beitrag soll einen Überblick über Straftaten mithilfe gefälschter Webseiten und Phishing-E-Mails sowie Handel im Darknet und Clearnet durch gewerbsmäßig handelnde Täter geben. Auch wenn nicht alle Täter der Organisierten Kriminalität zuzurechnen und Einzeltäter genauso vertreten sind wie Bandenmitglieder, haben sie doch eins gemeinsam: Straftaten sind ihre einzige Einkommensquelle.

Erlangen von Daten mit Fake-Seiten

Der bekannteste Fall von Cyberkriminalität ereignete sich im April 2020 in Nordrhein-Westfalen.

Gegenstand der Ermittlungen ist der Verdacht, dass die Täter Internetseiten aufgesetzt haben, die das Design der Originalseite des Corona-Soforthilfe-Portals des nordrhein-westfälischen Wirtschaftsministeriums verwandt haben. So sollten mutmaßlich Nutzer, die Anträge auf Corona-Soforthilfen stellen wollten, auf falsche Seiten gelockt werden, um die Daten der Nutzer abzugreifen und möglicherweise Corona-Hilfen durch die Täter selbst illegal zu erlangen. Die Täter sind dabei nach bisherigem Ermittlungsstand sehr professionell vorgegangen.

erklärte Oberstaatsanwalt Markus Hartmann im Interview der Wirtschaftswoche am 19.04.2020.

Die Links zu den falschen Formularen landeten als Anzeigen an die Spitze der Suchergebnisse. Die Websites mit der Endung „.de“ hatten ähnliche Namen wie die echte Antragsseite unter der Adresse https://soforthilfe-corona.nrw.de und waren zum Teil täuschend echt gestaltet. Bis zu 4000 Unternehmen und Selbstständige in Nordrhein-Westfalen fielen nach Schätzungen der Landesregierung auf die Webseite herein. Nachdem der Betrug offenbar wurde, nahm die Landesregierung die echten Antragsformulare vorrübergehend aus dem Netz.

In Nordrhein-Westfalen gehen die Ermittler davon aus, dass allein durch den Betrug mittels sogenannter Fake-Seiten in 11 Fällen ein Schaden von über 227.000 Euro verursacht wurde. Laut einem Sprecher der Zentral- und Ansprechstelle Cybercrime NRW ergaben sich aus etwa 900 Einzelanzeigen im Zusammenhang mit Fake-Seiten rund elf tatsächliche Betrugsfälle. Bundesweit waren den Behörden Ende Mai nach dpa-Recherchen mindestens 18 solcher Fake-Seiten in über der Hälfte aller Bundesländer bekannt (Quelle: Wirtschaftswoche vom 02.06.2020).

Erlangen von Daten durch Phishing-E-Mails

Das erhöhte Informationsbedürfnis im Zusammenhang mit der aktuellen COVID-19-Pandemie wird weiterhin für Phishing-Versuche genutzt. Es sind wieder vermehrt E-Mails im Umlauf, die den Empfänger veranlassen sollen, persönliche Daten wie Zugangsdaten, Passwörter, Transaktionsnummer, Bankdaten usw. preiszugeben. Die rechtswidrig erlangten Daten werden später vor allem für Computerbetrug durch Online-Überweisung und Erpressung durch Verschlüsselung der Daten verwendet.

Entweder werden die Phishing-E-Mails, die finanzielle Hilfsmaßnahmen als thematischen Aufhänger haben, eingesetzt, um im direkten Austausch Daten von Einzelpersonen und Unternehmen zu erlangen. Oder Unternehmen werden darin aufgefordert, persönliche oder unternehmensbezogene Daten auf gefälschten Webseiten preiszugeben. Oder die E-Mails enthalten Dateianhänge zur Verbreitung von Schadprogrammen.

Das Informationsbedürfnis in der Bevölkerung wird auch mithilfe von gefälschten Webseiten ausgenutzt. So konnte das BSI eine exponentielle Zunahme an Registrierungen von Domainnamen mit Schlagwörtern wie „corona“ oder „covid“ beobachten. Neben der Nutzung für legitime Informationsangebote werden viele dieser Domainnamen für kriminelle Aktivitäten missbraucht. Nutzer werden auf solchen Webseiten zum Download und anschließender Installation vermeintlicher Software-Updates aufgefordert. Tatsächlich werden die Systeme der Nutzer dadurch mit Schadprogrammen infiziert.

Handel mit Betäubungsmitteln im Darknet

Die Beschränkungen führten zu mehr Umsätzen im legalen wie im illegalen Online-Handel.

Im Vergleich zu einer Erhebung Mitte Februar 2020 ist aktuell weltweit die Zahl der Angebote von Rauschgift auf 18 untersuchten Marktplätzen im Dar-knet von etwa 96.000 auf ca. 125.000 Angebote gestiegen (Stand: Mai 2020). Das entspricht einem Anstieg von 30 Prozent. Mit einem Anstieg von Rauschgiftbeschaffungen über das Internet/Darknet dürfte auch ein Anstieg des Versandes von Betäubungsmitteln mittels Post- und Zustelldiensten einhergehen.

„Aktuelle Entwicklungen in der Organisierten Kriminalität im Zuge der Covid-19-Pandemie“ Antwort der Bundesregierung vom 02.06.2020, BT-Drs. 19/19708, S. 7

Warenbetrug mit Fake-Shops

Auch die Betreiber von Fake-Shops passten ihr vorgebliches Angebot an. Sie boten Artikel wie Atemschutzmasken oder Desinfektionsmittel gegen Vorkasse an, als diese schwer verfügbar waren und lieferten nach Eingang der Zahlung nicht. Wie das Landeskriminalamt Niedersachsen berichtete, verschickten Betrüger dafür auch Spam-Mails im Namen eines deutschen Unternehmens. Wer einem Link in dieser Mail folgte, landete auf einer gefälschten Verkaufsplattform (Quelle: Polizeiliche Kriminalprävention vom 28.02.2020)