© 2020 Sonja Stirnimann

Impressum

Cyberspace: das Motiv als Ursprung?

Aktualisiert: März 13

Sinnvoller und praxistauglicher als der Versuch, alle Kriminellen im Cyberspace in eine Schublade zu stecken ist es, die DNA von Tätern anhand der Motive akzentuiert zu betrachten, zu verstehen und mit den Erkenntnissen individuell umzugehen. Ein mögliches Motiv allein macht jedoch noch lange keinen Wirtschaftskriminellen. Das wissen wir.



Primäre Motive


Die primären Motive von Kriminellen im Cyberspace unterscheiden sich teilweise von denjenigen der Wirtschaftskriminellen in der realen Welt und können in Rache, finanzieller Gewinn, Neugier und Ruhm eingeordnet werden.


Die ersten beiden Motive gemäß Roger im Cyber-Territorium, die sich in Form der Racheund des finanziellen Gewinnesmanifestieren, sind auch in der realen Welt sehr häufig anzutreffen. In Anlehnung an das Fraud-Dreieck und der diesen zugrundeliegenden Theorien gehört die «Rache» in den Bereich der «Rechtfertigung» und wird weniger dem «Motiv» zugeordnet.

Was die Herausforderung, Neugier und den Ruhm betrifft, so zeigt die Praxis, dass diese Motivatoren bei den klassischen Wirtschaftsdelikten und Verstößen gegen die Compliance weniger stark ausgeprägt sind.


In dieser Hinsicht unterscheiden sich die Motive zwischen den Cyberkriminellen und den Wirtschaftskriminellen so wie wir sie bis dahin kannten nach Cresseys’ Theorie.

Die Neugierumfasst insbesondere den Drang nach Wissen, intellektueller Herausforderung, wobei sich der Ruhm nach Medienaufmerksamkeit, Publizität und dem Bild des Volkshelden widmet.


Die DNA der Wirtschaftskriminellen – ob in der virtuellen oder realen Welt – zeigt große Überschneidungen hinsichtlich der Motivation.

Und genau diese Treiber gilt es zu verstehen.


In der Kategorie der Rache sind die persönlichen «offenen Rechnungen» von oder gegenüber anderen Personen, der Organisation oder anderen Staaten gegenüber zu verstehen.

Die Thematik der Gier und persönlicher Bereicherung wird unter dem Aspekt des finanziellen Gewinnes betrachtet. Diese Kategorisierungen der verschiedenen möglichen Motive ist in keiner Art und Weise abschließend und gilt als Unterstützung zur Einordnung möglicher Ausprägungen.


Illustriert bewegen sich die verschiedenen Täter entsprechend ihren Charakteristiken innerhalb vier verschiedenen Quadranten.




Anhand des Beispiels «interner Täter (IN)» kann unter Herbeiziehung der Grafik folgende Ableitung gemacht werden: Die Tätergruppe verfügt über einen relativ hohen Wissensstandard, den sie sich intern (in der Organisation) und auch extern (Research, Weiterbildung, etc.) aneignen konnte.


Im Vergleich zu den «Information Warrior» (IW) haben sie etwas weniger Kenntnisse, aber sehr viel mehr als die Novizen (NV).Die primäre Motivation ist die Rache gepaart mit finanziellen Interessen. Die Neugier spielt eine untergeordnete Rolle.


Die Codierer (VW) wiederum agieren nicht aus finanzieller Motivation, sondern reichern das Motiv der Rache mit demjenigen der intellektuellen Herausforderung (Neugier) an.

Die Novizen wiederum bewegen sich vermehrt aus Motivationsgründen, welche die Neugier nähren und sie in gutem Lichte stehen lassen (Ruhm). Diese Methode des Quadranten ermöglicht in einem ersten Schritt eines Ereignisfalles und einer Sachverhaltsermittlung – wo erst wenige oder noch keine erhärteten Fakten identifiziert werden konnten – die bis zu diesem Zeitpunkt vorliegenden Information zu Motivation und Fähigkeiten einzuordnen. Studien zu Folge können sich auch Hacker entlang einer Karriereleiter entwickeln und von einem Novizen (NV)zum professionellen Täter aufsteigen.


Der Quadrant als Werkzeug


Der Quadrant kann zusätzlich als Visualisierung der Entwicklung während einer Untersuchung genutzt werden. Im Laufe der Ermittlungen werden immer mehr hervorstechende, prägnante Spuren, Charakteristiken, Eigenschaften, Vorgehensweisen, Motive, sowie deren Interaktionen untereinander hinsichtlich einer möglichen Täterschaft bekannt.

Darauf basierend kann ein Bild im Sinne eines Profils erstellt werden. Diese Bildkonstruktion ist eine sogenannte psychologische Analyse des Tatherganges. Die hervorstechenden, prägnanten Spuren werden am Tatort in Form von laufenden Programmen, Skripten, Nachrichten, etc. hinterlassen. Zusätzlich enthalten diese Spuren sachdienliche Hinweise zum Opfer und dem Ziel der Aktion. Dies können Arbeitsplätze, Server, operative Systeme sein. Ebenfalls Aufschluss erhalten wir über die betroffenen Daten (Kundendaten (CID), persönliche Daten, firmenspezifische Daten (Patente, Lizenzen, Rezepte, geheime Interna, Finanzinformationen).


Die gesammelten Spuren werden aggregiert, analysiert und dem Quadranten zugeordnet, um die vorhandenen Informationen zu visualisieren. Das Modell erlaubt den Ermittlern, vom gleichen investigativen Support zu profitieren wie es bei der Aufarbeitung traditioneller Delikte unter Einbeziehung verhaltensbasierter Methoden möglich ist.


Der Quadrant in der Praxis


Die dem Ermittler vorliegenden Fakten oder Spuren deuten darauf hin, dass ausschließlich Finanzdaten betroffen sind, die umliegenden Systeme nur indirekt attackiert wurden, unwesentlicher Kollateralschaden entstand, keine Skripte hinterlassen wurden, die Fähigkeiten des Hackers hoch und keine Mitteilungen seinerseits zurückblieben.

Entsprechend werden diese Erkenntnisse dazu führen, dass man mit der Hypothese arbeitet, es mit einem externen, professionellen Hacker der finanziell motiviert ist, zu tun hat. Dadurch können für die Erhärtung der Hypothese verschiedene Tätergruppen ausgeschlossen und der Fokus enger gesteckt werden. Entsprechend werden die Ressourcen effektiver alloziert.

Wenn wir nun wenige Ausprägungen ändern und die Fähigkeiten des Hackers als niedrig eingestuft werden, sieht das Modell und darauf basierend dessen Aussagekraft komplett anders aus. Man würde nun davon ausgehen, dass es sich um einen finanziell motivierten Kleinkriminellen (PT) handelt.


Der fehlende Teil des Puzzles?


Die Anwendung des Quadranten und somit Darstellung der wesentlichen Komponenten und ihren Interaktionen untereinander schließt weder eine Untersuchung noch weitergehende Abklärungen aus, sondern ist ein Hilfsmittel zur Visualisierung, Hypothesen-Bildung und Hypothesen-Anpassung während einer Ermittlung.


Welche Tools nutzen Sie für die Vervollständigung Ihres Puzzles?


Ihre Sonja Stirnimann


4 Ansichten