Cybercrime Blog – Softwarerecht

Bedrohung durch Malla-Dienste wie WormGPT: Automatisierung von Cyberkriminalität durch Generative KI

Die Geschwindigkeit, mit der sich KI-Lösungen – speziell bei den großangelegten Sprachmodellen – entwickeln, hat natürlich auch die Einsatzmöglichkeiten für Cyberkriminalität drastisch erweitert. Ein Beispiel hierfür ist „WormGPT“, ein KI-Tool, das speziell auf die Anforderungen der kriminellen Nutzung zugeschnitten ist und in einschlägigen Foren auf großes Interesse stößt. WormGPT hat sich insbesondere in der Unterstützung von „Business Email Compromise“ (BEC)-Angriffen und Phishing-Attacken bewährt, indem es täuschend echte und überzeugende E-Mails erzeugt, die häufig sogar erfahrene Nutzer täuschen können.

WormGPT ist dabei nur ein Beispiel für die neuesten Erkenntnisse zur Nutzung von Large Language Models (LLMs) im Bereich der Cyberkriminalität. Insbesondere die Rolle der sogenannten „Malla“-Dienste (Malicious LLM Applications) wirft Fragen auf: Eine aktuelle Untersuchung zeigt, dass Cyberkriminelle vermehrt auf „unzensierte“ und frei zugängliche Sprachmodelle zurückgreifen, um diese für bösartige Dienste zu missbrauchen. Die beliebtesten Systeme im Untergrund sind dabei unter anderem OpenAI-Modelle wie GPT-3.5-turbo sowie Open-Source-Modelle wie Luna AI Llama2 Uncensored und Pygmalion-13B

Studie zur Bewertung der Risiken und Chancen von KI-gestützten Beeinflussungsmaßnahmen in sozialen Medien

In der Forschungsarbeit „Assessing the risks and opportunities posed by AI-enhanced influence operations on social media“ von Rolf Fredheim und James Pamment wird ein tiefgreifendes Verständnis für die Risiken und Chancen von KI-gestützten Beeinflussungsoperationen in sozialen Medien dargelegt.

Neue Wege zur Identifizierung von Bitcoin-finanzierten Cyberkriminalitätsnetzwerken

In einer Welt, in der Bitcoin und andere Kryptowährungen zunehmend von Cyberkriminellen für illegale Aktivitäten genutzt werden, ist es entscheidend, wirksame Methoden zur Aufdeckung und Analyse dieser kriminellen Finanznetzwerke zu entwickeln.

Eine spannende Analyse des IMDEA Software Institute, veröffentlicht im Oktober 2022, präsentiert eine innovative Methode namens „Back-and-Forth Exploration“ zur Nachverfolgung von Bitcoin-Transaktionen. Diese Technik ermöglicht es, finanzielle Beziehungen innerhalb von Cyberkriminalitätskampagnen und zu externen Diensten und anderen kriminellen Kampagnen aufzudecken

Neue Forschungserkenntnisse zur Autonomen Website-Hackfähigkeit von LLMs

Eine bahnbrechende Forschungsarbeit mit dem Titel „LLM Agents can Autonomously Hack Websites“ offenbart, wie fortgeschrittene große Sprachmodelle (LLMs), insbesondere GPT-4, autonom Websites hacken können. Dieses Potenzial wird durch die Fähigkeit der Modelle unterstrichen, ohne menschliches Feedback komplexe Aufgaben wie Blinddatenbankschema-Extraktion und SQL-Injections durchzuführen.

Cyberkriminalität in Nordkorea und die Bedrohung der Kryptowährungsindustrie

Nordkorea ist einer der Hauptverantwortlichen für die zunehmende Bedrohung der Cybersicherheit. Spätestens seit dem Angriff auf Sony Pictures im Jahr 2014 wird das Land als wichtiger Cyber-Akteur auf der internationalen Bühne wahrgenommen. Seitdem hat Pjöngjang seine Hackerfähigkeiten genutzt, um internationale Sanktionen zu umgehen und Gelder zu stehlen.

Mit den erbeuteten Geldern konnte Pjöngjang die Entwicklung seines Atom- und Raketenprogramms finanzieren. Nordkorea nutzt Cyberoperationen auch zur (digitalen) Spionage. Die Ziele sind breit gefächert: Sie richten sich unter anderem gegen Universitäten, Menschenrechtsorganisationen und Medienunternehmen, erzeugen Unzufriedenheit oder Misstrauen durch Wahlbetrug und greifen kritische nationale Infrastrukturen an. Die zunehmende Bedeutung Nordkoreas im Bereich Cybercrime und Cybersecurity ist auch der Grund, warum wir hier einen eigenen Blog-Post zu dem Thema pflegen.

Als Beispiel sei hier eine Studie der Insikt Group von Recorded Future aufgegriffen, die ein alarmierendes Bild der nordkoreanischen Cyberkriminalität zeichnet. Diese Aktivitäten, die seit 2017 zugenommen haben, zielen auf die Kryptowährungsindustrie ab und haben es Nordkorea ermöglicht, geschätzte 3 Milliarden Dollar an Kryptowährungen zu stehlen.

Rechtliche Implikationen aus der Log4J / Log4Shell Lücke

Eine der sicherlich herausragendsten Sicherheitslücken in diesem Jahrzehnt ist schon jetzt die Log4Shell-Sicherheitslücke, die zunehmend massiv ausgenutzt wird – ich hatte, wie üblich, auf LinkedIn frühzeitig dazu berichtet. Nun langsam, nachdem die Lücke bekannt ist und auch nicht nur in Teilen sondern massiv ausgenutzt werden kann und wird, stellt sich natürlich die Frage, was an rechtlichen Konsequenzen damit verbunden ist. Wie immer gilt: Es kommt drauf an.

Tatsächlich zeigt sich, dass die Lücke einige – vorhersehbare – Konsequenzen hat; viel interessanter ist, dass sich Datenschutzbehörden bereits postieren und auch anlasslose Kontrollen angekündigt haben. Dies nicht nur für Log4J speziell, sondern für Ransomware allgemein.

Markenrecht und IT-Strafrecht: Strafbare Kennzeichenverletzung durch Parallelimport und Rebundling

Vorsicht ist geboten bei einem zu leichtfertigen Umgang mit fremder Markenware. Wer etwa im geschäftlichen Verkehr zwar originale Markenware zum Weiterverkauf erwirbt, diese aber ohne Zustimmung des Markeninhabers einführt (etwa von ausserhalb des europäischen Wirtschaftsraums nach Deutschland) macht sich strafbar. Die klassische Verteidigungspositionen an dieser Stelle hilft selten weiter; so wird typischerweise vorgebracht, dass auf Grund eingetretener Erschöpfung gar kein Markenverstoss vorliegt, jedenfalls dass man an eine Zustimmung und im Übrigen Berechtigung geglaubt hat. Dies wird letztlich dann als Verbotsirrtum einzustufen sein, bei dem entsprechend §17 StGB zu fragen ist, ob er vermeidbar ist (dazu Bomba, GRUR 2013, S.1007). Die Anforderungen sind hier sehr hoch, insbesondere wird hierbei die „Konsultation eines erfahrenen Anwalts“ verlangt.

Schwierig wird es auch beim „Rebundling“ von Software, wenn also z.B. originale Echtheitszertifikate mit originalen Datenträgern (etwa OEM-Datenträger) auf eine neue Art miteinander verknüpft werden. Der BGH hatte hierzu bereits festgestellt, dass dies zivilrechtlich nicht zulässig ist – strafrechtlich droht hier neben einer Strafbarkeit nach dem Markengesetz auch eine solche nach §267 StGB wegen einer Urkundenfälschung (so Bomba, GRUR 2013, S.1010).

Beim Parallelimport, aber auch beim Verkauf gebrauchter Software, gilt es daher aufzupassen, um Strafbarkeitsrisiken zu vermeiden.

EU-Digitalstrategie

Die EU-Digitalstrategie ist eine Idee der EU-Kommission, mit dem Ziel, „das kommende Jahrzehnt zur digitalen Dekade Europas zu machen“. Ziel sind der Ausbau der digitalen Souveränität Europas sowie Aufbau eigener Standards. Der Schwerpunkt liegt in den groben Themenbereichen Daten, Technologie und Infrastruktur.

Bundesjustizministerium zu den weiteren Entwicklungen im IT-Sicherheitsrecht – Ausblick auf die Gesetzgebung im Cybercrime 2019

Im Nachgang zu dem „Doxing-Skandal 2018/2019“ hat das Bundesjustizministerium im Januar 2019 ein Thesenpapier veröffentlicht (unten als Download), dem weitere Maßnahmen einer eventuellen zukünftigen Gesetzgebung im Bereich IT-Sicherheit zu entnehmen sind. Dies sind in aller Kürze:

IT-Sicherheit mit Updateverpflichtung: Es soll EU-weit einheitliche und rechtlich verbindliche Standards geben, die den Herstellern und Diensteanbietern klare Anforderungen zur IT-Sicherheit auferlegen. Diese Standards sollten über die gesetzlichen Mindestanforderungen hinausgehen und eine mehrjährige Update-Verpflichtung des Herstellers enthalten.
Produkthaftung: Auch fehlerhafte Software soll unter das Produkthaftungsregime fallen und mangelnde IT-Sicherheit muss einen Produktfehler begründen. (Hinweis: Grundsätzlich gilt die Produkthaftung auch jetzt bei Software)
Stärkung im Datenschutz: Es soll eine Stärkung der Datenschutzbehörden erfolgen (fraglich wie, es geht um Landesbehörden, wo der Bund nicht wirklich eingreifen kann). Weiterhin soll ein verbesserter Schutz in die EU-ePrivacy-Verordnung (was auch skeptisch gesehen werden kann, nach meiner Wahrnehmung blockt genau hier die deutsche Regierung?).
Wettbewerbsrecht: Es soll ausdrücklich die Anwendbarkeit des Gesetzes gegen den unlauteren Wettbewerb auf Datenschutzverstöße klargestellt werden: „Wenn Daten von Verbraucherinnen und Verbrauchern missbräuchlich verwendet wurden und dadurch Gewinne erzielt werden, dann dürfen diese nicht bei dem bleiben, der das Recht verletzt hat.“. Hier wird fraglich sein, ob man wenigstens so klug ist, nur bestimmte Verstöße/Klauseln dem UWG zu unterstellen – oder ob am Ende dann doch massenhaft Abmahnungen wegen Formfehler in Datenschutzerklärungen auf Webseiten folgen können. Wichtig ist auch, dass man über das Instrument der „Gewinnabschöpfungsklage“ nachdenkt.
Online-Dienste in die Pflicht nehmen: Eher unscheinbar ist der Satz „Ein gehacktes Nutzerkonto bei einem Online-Dienst muss schnell und unkompliziert gesperrt werden können.“. Gemeint ist aber wohl, dass Online-Dienste klare Ansprechpartner mit kurzen Reaktionszeiten bereit halten müssen. Es bleibt abzuwarten ob man das wirklich angeht in einer Zeit, in der es als Erfolg verbucht werden muss, dass man bei Google überhaupt mal Mails liest.
Long Term Support: Ich bin mir nicht sicher, man schreibt unter dem Stichpunkt nachhaltige Sicherheit „Durch das Auslaufen des Software-Supports werden zum Teil Neuanschaffungen erzwungen“ und möchte erreichen, dass Software länger gepflegt wird. Ich vermute, dass für bestimmte Bereiche eine Art LTS begründet werden soll, wobei kritische Systeme schon heute langjährige Pflegepakete haben (und man oben ja schon die Updateverpflichtung angesprochen hat). Hier ist mir nicht ganz klar, wo man hin will … durch den pauschalen Verweis auf die EU könnte es sich aber auch mehr um einen unkonkreten Fülltext handeln.

Für mich zeigt sich eines deutlich mit der nunmehrigen Liste des BMJV: So unverbindlich es klingt, darf man wohl davon ausgehen, dass wir zeitnah ein IT-Sicherheitsgesetz 2 erleben werden. Dieses dürfte sich auf Online-Dienste und Softwareregeln konzentrieren. Weiterhin wird der deutsche Gesetzgeber – das macht er nun mal am liebsten – versuchen die Sanktionsschraube zu drehen. Schon fast unweigerlich dürften daher Klarstellungen im UWG zu erwarten sein, damit DSGVO-Verstöße dann definitiv erfasst sind. Datenschutzrecht und Softwarerecht werden den Bereich der IT-Sicherheit möglicherweise beherrschen, jedenfalls verstehe ich so die hier vorgenommenen Ankündigungen.

Ermittlungsverfahren wegen des Kaufs von gebrauchter Software oder Productkeys

Da kauft man sich eine gebrauchte Software im Internet bei einem Händler – und bekommt plötzlich Post von der Polizei oder Staatsanwaltschaft. So kann es leider geschehen, denn es gibt durchaus Fälle, in denen arglose Käufer mit strafrechtlichen Ermittlungsverfahren konfrontiert sind. Die Erfahrung zeigt allerdings, dass hier eher schnell als langsam eine Einstellung mangels Tatverdacht zu erreichen ist, wobei je nach Staatsanwaltschaft aber diverse befremdliche Diskussionen geführt werden müssen – etwa wenn ein Staatsanwalt meint, der isolierte Erwerb eines Productkeys sei per se verdächtig. Weiterhin überfordern die zugehörigen Marken- und urheberrechtlichen Fragen mitunter die Ermittlungsbehörden, was allerdings als Risiko einer Fehlerquelle zu sehen ist und nicht als Potential dass sich zu Gunsten des Beschuldigten auswirkt!

Betroffene sollten ruhig bleiben, Panik ist fehl am Platz, jedenfalls in den typischen Sachverhalten besteht zudem erhebliches Verteidigungspotential. Es kommt aber wie immer stark auf den jeweiligen Einzelfall an, durch einen erfahrenen Strafverteidiger sollte die Ermittlungsakte angefordert werden um sodann die Sach- und Rechtslage zu bewerten.

Im Übrigen werden zum Thema diverse Informationen auf unserer Webseite angeboten: