Onlinekriminalität: Der Handel mit gestohlenen Daten

Immer wieder werden Datenbanken mit sensiblen Nutzerdaten im großen Stil geklaut. Und mit Hilfe von Phishing-Mails und Malware werden Nutzern massenhaft Kreditkartendaten, Zugänge zu Onlinebanking-Accounts oder andere persönliche Daten gestohlen. Der Kriminologe Thomas Holt von der Michigan State University hat den Handel mit geklauten Daten in Onlineforen und IRC-Kanälen untersucht. Auf der Def Con 22 gab er einen Einblick in die Praktiken.

Holt berichtete, dass es sehr unterschiedliche Untergrundmärkte gebe. So seien einige Foren leicht mittels Suchmaschinen auffindbar und die Einstiegshürde gering. Allerdings werde dort auch öfter schlicht betrogen. Es würden häufig Daten angeboten, die zum Großteil ungültig sind oder sogar nur aus Datenmüll bestehen. Darauf weisen Foreneinträge von enttäuschten Kunden hin. Neben diesen von Holt als Ripoff-Foren bezeichneten Handelsplätzen gibt es aber auch hochgradig professionell organisierte Handelsplätze.

Kundenservice für gestohlene Daten

Auch beim Handel mit gestohlenen Daten ist Kundenservice Pflicht. Als Beispiel zeigte Holt eine Anzeige, in der einem Käufer von geklauten Kreditkartendaten versprochen wird, innerhalb von 24 Stunden nach dem Kauf alle Datensätze, die nicht mehr gültig sind, gegen gültige Datensätze zu tauschen. Bei gestohlenen Paypal-Datensätzen erhält der Kunde manchmal gleich einen passenden Zugang zu einem Proxy-Server dazu, da sich die Zugänge oft nur in dem Land problemlos nutzen lassen, in dem sich der originale Inhaber des Accounts befindet.

Anders als vielleicht erwartet, spielen Kryptowährungen wie Bitcoin bislang laut Holt kaum eine Rolle bei der digitalen Datenhehlerei. Vielmehr wurde der Bezahlservice Liberty Reserve verwendet, der jedoch im Jahr 2013 nach Ermittlungen von US-Strafverfolgungsbehörden geschlossen wurde.

Handel über Treuhänder

Die professionell geführten Foren bieten oft Dienstleistungen an, um den Datenhandel zu erleichtern. So sind etwa Escrow-Services üblich, bei denen Daten und Geld zunächst an den Forenbetreiber geliefert werden. Da der Forenbetreiber einen guten Ruf zu verlieren hat, vertrauen Händler und Käufer diesem eher als einem unbekannten Forenmitglied. Nach Abzug einer Gebühr für den Escrow-Service wird das Geld an den Händler und die Daten an den Käufer weitergeleitet.

Ein wichtiger Aspekt des illegalen Datenhandels sind Reputationssysteme. Die funktionieren laut Holt ähnlich wie bei Ebay oder Amazon. Dabei wird eher bei dem Händler gekauft, mit dem Nutzer früher schon gute Erfahrungen gemacht haben. Wer einen Händler kritisiert, muss aber unter Umständen Belege dafür liefern, beispielsweise Chatlogs. Nutzer, bei denen der Verdacht besteht, dass sie Händler grundlos kritisieren, verlieren möglicherweise schnell ihren Zugang.

Testkäufe möglich

In manchen Foren bieten die Moderatoren auch Test-Services für Händler an. Diese sind im Gegensatz zu den Escrow-Services kostenlos. Der Forenbetreiber führt einen Testkauf beim Datenhändler durch, und wenn er mit dem Ergebnis zufrieden ist, werden Foreneinträge, die den entsprechenden Händler kritisieren, gelöscht.

In den Foren werden die Geschäfte üblicherweise nur angebahnt, der spätere Handel findet per E-Mail oder über ICQ-Chats statt. Deshalb sei es auch schwer, den genauen Umfang des Handels zu kalkulieren. Holt geht aber aufgrund von Schätzungen davon aus, dass einzelne Transaktionen durchaus Millionenbeträge für die Händler einspielen.

Infrastruktur angreifen

Einige Betreiber von illegalen Foren seien schon seit über zehn Jahren im Geschäft. Solchen Foren gelten als besonders vertrauenswürdig. Wer so lange tätig ist, dem wird eher zugetraut, professionell zu handeln.

Für Strafverfolgungsbehörden hat Holt den Ratschlag, dass sie sich darauf konzentrieren sollten, die Infrastruktur des illegalen Datenhandels zu stören. Gegen einzelne Händler oder Käufer vorzugehen, sei kaum effizient, wenn jedoch ein wichtiges Forum nicht mehr verfügbar sei, störe das den Datenhandel deutlich mehr.

Kürzlich war die US-Firma Hold Security in die Kritik geraten, die eine Datenbank mit mehr als einer Milliarde Zugangsdaten von russischen Hackern erbeutet haben will. Gegen ein Abonnement von monatlich 10 US-Dollar können besorgte Kunden erfragen, ob sich ihre Daten in der Datenbank befinden. Kritiker monieren, dass Hold Security so ebenfalls mit den gestohlenen Daten handelt. Die US-Firma hingegen spricht von einer "Aufwandsentschädigung".