Auf den Spuren krimineller Datenflüsse

Der Betrug bleibt zunächst meist unbemerkt: Der Bankkunde schiebt die EC-Karte in den Schlitz des Geldautomaten, tippt seine PIN ein, nimmt das Geld und die Karte und geht wieder. Was er nicht weiß: Er ist gerade Opfer eines Datendiebstahls geworden. Der Kartenschlitz des Geldautomaten ist manipuliert. „Skimming“ nennt sich die Methode, bei der durch technische Manipulation von Geldautomaten Kartendaten ausgelesen und auf leere Kartenrohlinge – sogenanntes „White-Plastic“ – kopiert werden. Die Täter erbeuten mit einer am Automaten angebrachten Kamera auch die PIN des Karteninhabers. Mit der gefälschten Karte und der Geheimnummer können die Betrüger das Konto ihres Opfers leerräumen.

Das Skimming ist nur eine von zahlreichen neueren Methoden, mit denen Einzeltäter oder auch organisierte Banden Geld erbeuten. Die digitalisierte und automatisierte Welt öffnet abseits des guten alten Banküberfalls neue Türen für Finanzkriminalität. Mit gefälschten Ausweisdokumenten gelangen Kriminelle etwa an Online-Kredite, die sie nie zurückzahlen. Gestohlene Kreditkartendaten werden online zu Geld gemacht. Beim „RAM Scraping“ erbeutet eine Schadsoftware gar Kreditkarten- und andere Zahlungskartendaten, die beim bargeldlosen Bezahlen an der Supermarktkasse oder im Kaufhaus ausgelesen werden. Auch gesprengte Geldautomaten sorgen derzeit vermehrt für Schlagzeilen.

Auf ein wissenschaftliches Gespräch mit Straftätern

„Geld zu entwenden war natürlich schon immer ein Thema“, erklärt der Informatiker Ronny Merkel. „Und mit dem Aufkommen digitaler Systeme tauchen dann mit zeitlicher Verzögerung die entsprechenden Straftaten auf, die diese Systeme angreifen. Meistens, wenn die Technik neu ist und noch nicht ausreichend getestet wurde.“ Der Forscher untersucht in einem interdisziplinären Verbundprojekt gemeinsam mit Wissenschaftlern aus Darmstadt und Bochum und mit Bundeskriminalbeamten, welche Wege das Geld, die Daten und das Know-how bei diesen meist organisierten Finanzdelikten nehmen. Das Ziel des vom Geldautomatenhersteller Wincor Nixdorf koordinierten Projekts ist es, die polizeiliche Aufklärung zu unterstützen und Präventionsvorschläge zu erarbeiten. Wissenschaft, Ermittlungsbehörden und Industrie arbeiten eng zusammen, um die jeweiligen Expertisen einfließen zu lassen und die Forschung so praxisorientiert wie möglich zu gestalten. Das Magdeburger Teilprojekt, das von Professorin Jana Dittmann geleitet wird, befasst sich mit der Modellierung der Geld-, Daten- und Wissensflüsse und bezieht psychologische Aspekte ein. Um den Herausforderungen des Projekts gerecht zu werden, ließen die Magdeburger Informatiker ihre Welt aus Codes, Programmiersprachen und Modellen zunächst weit hinter sich. In einem ersten Schritt sammelten und bündelten sie das Wissen über Finanzdelikte und gingen dafür zu jenen, die Experten auf diesem Gebiet sind: zu den Ermittlern – und den Tätern.

In Experteninterviews befragten sie zunächst etwa Beamte aus Sonderkommissionen für Geldautomatensprengung sowie Kriminaltechniker und Ermittler des Bundeskriminalamtes BKA. Welche Herausforderungen sehen die Experten? Wie sind ihre Arbeitsabläufe? Wo sehen sie ihre Bedürfnisse noch nicht erfüllt? Mit einem Fragenkatalog verschafften sich die Informatiker einen Überblick über den kriminalistischen Umgang mit Finanzdelikten. Auch Wincor Nixdorf lieferte aus der Sicht der Endanwender wertvolle Informationen für die Forscher.

Um das Bild zu komplettieren, betrachteten die Wissenschaftler auch die andere Seite. Deutschlandweit befragten sie Täter, die in den Justizvollzugsanstalten wegen verschiedenster Delikte Strafen verbüßen müssen. Die zahlreichen bürokratischen Hürden, die für eine solche Befragung überwunden werden müssen, schreckten die Wissenschaftler nicht ab. Gemeinsam mit dem Kriminologischen Dienst und den Justizvollzugsanstalten ermittelten sie anhand der Paragrafen des Strafgesetzbuches, gegen welche die Täter verstoßen hatten, geeignete Interviewpartner. Stimmten diese einer Befragung zu, machten sich die Wissenschaftler auf den Weg in die Gefängnisse. „Die meisten Täter waren bereit für ein Interview“, erklärt Merkel. Allerdings nehme diese Bereitschaft ab, je organisierter die Strukturen sind, in denen sich der Täter bewegt, schränkt der Forscher ein. „Der Fluss von Geld, Daten und Wissen spielt natürlich in ganz verschiedenen Straftaten eine Rolle“, betont Ronny Merkel. Die kontaktierten Täter hatten dementsprechend vielfältige kriminelle Biografien. Auch Täter, die in Drogendelikte verwickelt waren und damit etwa über Kenntnisse zur Geldwäsche verfügten, waren für die Wissenschaftler interessant. Woher erhalten die Täter ihr Wissen? Wie wurden sie angeworben? Was geschieht mit den gestohlenen Daten und dem erbeuteten Geld? Über welche Kanäle gelangen sie an die technischen Mittel für ihre Taten? Mit diesen und ähnlichen Fragen versuchte das Team in über 30 Interviews an möglichst viele Informationen zu gelangen. Auch für das soziale Umfeld und die persönlichen Umstände sowie mögliche Tatmotive interessierten sich die Forscher. „Eigentlich gab es in jedem Interview eine kleine Überraschung“, sagt Merkel rückblickend. „Es sind immer andere Geschichten und andere Schicksale.“
„Unsere Expertise ist, dass wir die Technik und die Psychologie in diesem Projekt miteinander verbinden können“, sagt Ronny Merkel. Denn sein Magdeburger Mitarbeiter ist promovierter Psychologe. Besonders während der Täterinterviews sei dieses psychologische Wissen sehr nützlich gewesen – auch um die erhaltenen Informationen besser einschätzen und einen Blick auf mögliche Beweggründe werfen zu können. Diese sind so unterschiedlich wie die Täter. Während der eine schlicht seinen hohen Lebensstandard finanzieren wolle, habe ein anderer keinen anderen Ausweg aus einer Notlage gesehen. Auch Neugier sei mitunter ein Motiv, erklärt Merkel.

Mit der Intelligenz der Informatik gegen das organisierte Verbrechen


Neben dem Expertenwissen, das Täter und Ermittler zur Verfügung stellten, nutzte das Forscherteam auch all jene frei verfügbaren Quellen – die „Open Source Intelligence“ –, die Wissen über Kriminalität im Finanzbereich, über Methoden der Täter, mögliche Angriffsziele oder Schwachstellen im System liefern. Auch im Darknet – dem anonymisierten Teil des Internets – recherchierten sie, auf welchen Wegen Täter an illegale Werkzeuge wie Skimmer oder Kartenrohlinge gelangen oder auf welchen Plattformen Kreditkartendaten verkauft werden.

Informatik_item Als Darknet wird der versteckte Teil des Internets bezeichnet, in dem die Nutzer anonym surfen. Die genaue Zuordnung zu einer IP-Adresse ist dabei erschwert. Wichtige Daten werden verschlüsselt übertragen. Über herkömmliche Browser und Suchmaschinen ist das Darknet nicht zu erreichen. Ursprünglich wurde das „dunkle Netz“ erfunden, um anonyme Kommunikation zu ermöglichen und damit etwa Whistleblower und Menschenrechtsaktivisten aus autoritären Staaten zu schützen. Das Darknet ist jedoch auch Plattform für Kriminelle, die in Börsen Waffen, Drogen oder gestohlene Kreditkartendaten anbieten und verkaufen.


Im nächsten Schritt kehrten die Wissenschaftler zur Informatik zurück und ließen die gewonnenen Erkenntnisse in ein Modell einfließen. „Unser Modell soll zum einen die Ermittlungen erleichtern und auch zukünftige Trends abschätzen“, erklärt der Forscher. Daraus ließen sich dann entsprechende Präventionsmaßnahmen ableiten. Mit dem neuen Instrument, das kurz vor dem Abschluss steht, können Kriminalbeamte künftig leichter erkennen, wie die einzelnen Komponenten eines Finanzverbrechens miteinander verbunden sind.

Dazu benutzten die Informatiker eine Methode, die sie „Semantische Modellierung“ nennen. „Die Semantik in der Modellierung wurde erstmalig vom Erfinder des World Wide Web, Tim Berners-Lee, aufgegriffen“, sagt Ronny Merkel. Das Besondere an der Methode ist, dass sie Informationen miteinander verknüpfen kann. Damit ist es möglich, nicht nur eine Vielzahl von verschiedenen Informationen in einer Datenbank zu sammeln, sondern auch das Wissen darüber zu speichern, welche Beziehung es zwischen ihnen gibt.

Die grundlegende Datenstruktur ist für die Forscher dabei ein sogenanntes „Triplett“. Zwei Sachverhalte, sogenannte Entitäten, das können etwa ein Täter und ein bestimmter Geldautomat sein, sind über eine Relation miteinander verbunden. In diesem Fall zum Beispiel: Täter A. raubt Geldautomat Nr. 13 aus. Aus zahlreichen Tripletts entstehen komplizierte, netzartige Grafen, in denen kleine Kästchen, die für die verschiedenen Entitäten stehen, am Bildschirm mit farbigen Linien miteinander verbunden sind.

Die dokumentierten Fälle, die die Forscher in ihren Interviews erfragt hatten, konnten sie so nach und nach grafisch abbilden. Zugleich liefert das Modell zusätzliche Informationen, die über die einzelnen Fälle hinausgehen. Klickt ein Ermittler etwa auf das Kästchen mit der Aufschrift „Täter A.“ öffnet sich ein weiteres Fenster auf seinem Bildschirm, in dem sämtliche Informationen über diesen grafisch sichtbar werden. Hat Täter A. bereits andere Geldautomaten ausgeraubt? Mit wem arbeitet er zusammen? Ist er in weitere Delikte verwickelt? Welche Werkzeuge benutzt er für seine Taten? Und noch weiter: Wurden diese Werkzeuge – etwa Skimmer, mit denen die Kartenschlitze von Geldautomaten manipuliert werden – bereits von anderen Tätern benutzt? Gibt es Kontakte zwischen den Tätern, etwa weil sie zurselben Zeit im selben Gefängnis saßen?

Digitale Ermittlungsarbeit

„Im Prinzip macht unser Modell das Gleiche wie ein klassisch arbeitender Ermittler“, sagt Ronny Merkel. Auch dieser sammelt Informationen und versucht, Zusammenhänge herzustellen.

Mit dem erforschten Instrument soll der Ermittler diese Zusammenhänge schneller und präziser finden. Gerade im Bereich der organisierten Kriminalität ist die Suche nach den bestehenden Verbindungen eines kriminellen Netzwerks mühsam und zeitaufwendig. Zusätzlich wollen die Informatiker ihr Modell so trainieren, dass es auch logische Schlüsse ziehen und diese dem Ermittler vorschlagen kann. Wenn etwa Täter A. und Täter B. denselben Geldautomaten zu unterschiedlichen Zeitpunkten angegriffen haben, gibt es möglicherweise eine Verbindung zwischen beiden. Der Demonstrator wird nun an Beispielfällen getestet und steht anschließend für eine weiterführende Erforschung zur Verfügung. „Wir machen natürlich Grundlagenforschung“, betont Ronny Merkel. Bevor das Werkzeug bei den Ermittlungsbehörden zur Anwendung kommt, muss es auf seine Praxistauglichkeit getestet und erweitert werden. „Wenn es praktikabel ist, wird es akzeptiert“, ist Merkel überzeugt. Der Forscher ist optimistisch, dass sich der Ansatz bewähren wird. Der Vorteil liegt schließlich auf der Hand: Anstatt umfangreiche Akten über vergangene Fälle zu wälzen, genügt künftig eine digitale Suche.

 

Autorin: Heike Kampe

 

"Teile dieser Veröffentlichung entstanden aus dem Forschungsvorhaben „Organisierte Finanzdelikte - methodische Analysen von Geld-, Daten- und Know-How-Flüssen (INSPECT)“ mit dem Förderkennzeichen 13N13473, welches vom Bundesministerium für Bildung und Forschung (BMBF) gefördert wird."