Interview zu Cyberstalking

Dieses Interview erfolgte im Rahmen einer Seminararbeit zum Thema „Stalking: Möglichkeiten zu Prävention und Opferschutz“ während des dualen Studiums bei der Polizei NRW. Jonas Meisner ist Polizeikommissaranwärter im 2. Ausbildungsjahr an der Fachhochschule für öffentliche Verwaltung NRW und hat mich zu diesem Thema interviewt.

Cyberstalking beschreibt ein Stalking-typisches Handeln des Täters durch Ausnutzen des Internets oder anderer elektronischer Mittel. Dabei gibt es viele mögliche unterschiedliche Erscheinungsformen, wie eine mehrfache Kontaktaufnahme oder Belästigung, Veröffentlichung unwahrer Tatsachen, intimer Details oder Fotos, Diebstahl der Identität des Opfers durch Anmeldung in Foren o.ä., Begehung von Straftaten oder Warenbestellung unter den Personalien des Opfers. Die Folgen solcher Aktionen können für die Opfer gravierend sein.

Jonas Meisner: Können Sie einen Fall aus ihrer beruflichen Praxis schildern?

Martin Wundram:

Im Laufe der Jahre habe ich als Sachverständiger eine Anzahl an Fällen von Cyberstalking begleitet. Wenn Täter und Opfer in einer persönlichen Beziehung stehen und es konkrete Verdachtsmomente gibt, kann eine Aufklärung möglich sein. So habe ich einen Fall als Gerichtssachverständiger begutachtet, in dem motiviert durch ausreichende Anhaltspunkte im Rahmen einer Durchsuchung der PC des Beschuldigten gesichert und untersucht werden konnte. Der Täter hatte mehrfach Nacktbilder seiner Ex-Freundin in „eindeutigen“ Dating-Portalen eingestellt und dazu erniedrigende Texte formuliert. Da hier keine Anonymisierungstechniken zum Einsatz kamen und der PC unverschlüsselt war, konnte der PC des schließlich Angeklagten und Verurteilten zweifelsfrei als Tatmittel identifiziert werden.

Sobald jedoch Anonymisierungstechniken wie TOR zum Einsatz kommen und keine Vermutungen oder Erkenntnisse über mögliche Täter vorliegen, sind solche Fälle schwer oder sogar überhaupt nicht aufklärbar. Das gilt insbesondere dann, wenn es nicht zu dauerhaften Aktionen kommt, sondern eher zu „Nadelstichen“. In einem kleineren Unternehmen wurde kürzlich ein Abteilungsleiter mehrfach mittels Cyberstalking unter Druck gesetzt und diffamiert. Von Extern wurden unter Verwendung anonymisierter TOR-IP-Adressen E-Mails an die E-Mail-Verteiler der Abteilung und sogar an unternehmensweite E-Mail-Verteiler versendet. Inhalte waren erniedrigende Falschinformationen über den Abteilungsleiter, ihn beruflich schädigende Falschaussagen und mehrfach auch explizit ausformulierte Drohungen. Der Fall konnte nicht aufgeklärt werden. Dies lag wohl auch daran, dass tatsächlich niemand eine Vermutung über den oder die möglichen Täter und auch nicht über das Motiv hatte. Eine Kontaktaufnahme an die täterseitig verwendeten E-Mail-Adressen blieb ohne jede Reaktion.

Ein besonders tragischer Fall ist auch der von Amanda Todd, der schließlich mit einem Suizid tragisch endete.

Jonas Meisner: Wie kann ich mich vor Cyberstalking schützen? (Maßnahmen zur Prävention)

Martin Wundram:

Dazu kann ich nur aus Sicht der IT-Sicherheit und IT-Forensik, also aus technisch-organisatorischer Sicht, schildern. Grundsätzlich ist es immer sinnvoll, bewusst mit dem Medium Internet umzugehen und nur diejenigen Informationen preiszugeben, die man wirklich preisgeben will und zu denen man auch mögliche Konsequenzen abschätzen kann. Wer von sich Ganzkörper-Nacktaufnahmen inkl. Gesicht in einschlägigen Portalen online stellt läuft einfach eher Gefahr, als jemand, der keinerlei Daten von sich veröffentlicht. Besonders riskant ist eine Informationspreisgabe in unmittelbar einsehbaren Plattformen, etwa Blogs oder Foren, die von Google und anderen Suchmaschinen indexiert und so einfach durchsuchbar gemacht werden. Aber auch vermeintlich geschlossene Kreise wie Facebook-Gruppen oder Threema-Chats bieten keine Garantie. Denn Nachrichten und Bild-/Videoinhalte lassen sich leicht als Screenshot an Andere weiter verbreiten. Es ist auch wichtig, sich deutlich zu machen, dass Inhalte im Internet manchmal 10, 20 oder noch mehr Jahre „konserviert“ und für jeden leicht auffindbar bleiben können. Die beste Präventivmaßnahme ist daher nach meiner Überzeugung die Datensparsamkeit und Datenvermeidung. Grundsätzlich ist es auch sinnvoll mit wechselnden und allgemein gehaltenen Pseudonymen zu arbeiten. So können Dritte nicht oder nur aufwändig Inhalte im Internet einem Individuum zuordnen.

Jonas Meisner: Wie kann ich mich verhalten, wenn ich bereits Opfer geworden bin?

Martin Wundram:

Auch dazu kann ich nur aus Sicht der IT-Sicherheit und IT-Forensik, also aus technisch-organisatorischer Sicht, schildern. Wichtig ist möglichst gut abschätzen zu können, was schlimmstenfalls passieren kann. Hat das Opfer Nacktbilder von sich selbst auf eigenen Systemen? Haben Dritte Nacktbilder? Steht das Opfer in der Öffentlichkeit? Was ist an Informationen über das Opfer im Internet und in IT-Systemen Dritter vorhanden und auffindbar? Wer zum Opfer geworden ist, sollte seinen „digitalen Schatten“ verkleinern, was eine Reduktion der Angriffsfläche bedeuten kann. Essentiell ist auch eine schnelle und präzise, also korrekte und belastbare, Dokumentation der Ereignisse. Dies können IT-Forensiker der Polizei und bei privaten IT-Forensikern insbesondere öffentlich bestellte und vereidigte Sachverständige sein. Es ist wichtig, sich an einen geeigneten Experten zu wenden, denn nach meiner Erfahrung geht oft wertvolle Zeit verloren und Spuren werden zu oft nicht so gesichert, dass sie bei einer Ermittlung und anschließender Beweisführung wirklich weiterhelfen. Problematisch sind etwa ungenaue Zeitangaben oder Informationen über IP-Adressen, die bereits Wochen oder Monate zurück liegen.

Jonas Meisner: Wo liegt die besondere Dimension von Cyberstalking?

Martin Wundram:

Die besondere Dimension liegt hier in der mühelosen Überwindung räumlicher Distanzen in Verbindung mit Anonymisierungstechniken. So können Opfer und Täter zur gleichen Zeit im selben Raum sitzen, der Angriff aber über eine IP-Adresse aus dem Ausland erfolgen. Umgekehrt ist es möglich, dass der Täter räumlich weit entfernt ist, er sein Opfer aber im „Cyberspace“ auf Schritt und Tritt verfolgen kann. Hinzu kommt die Möglichkeit, digitale Nachrichten praktisch zu Nullkosten an ein unbegrenzt großes Publikum zu verbreiten. Wer etwa über Twitter oder einen Blog ausreichend „spannende“ Nachrichten verbreitet, kann im Extremfall ein Millionenpublikum erreichen und zwar Tag und Nacht.

Weitere Informationen zu diesem Thema gibt es online, z.B. in Form eines Infoblattes des Bayerischen Landeskriminalamts.

Penetration Testing: Dump Hashes from Oracle SQL

How to get password hashes from Oracle SQL RDBMS when you already got a privileged account

Pentestmonkey and others offer valuable know-how for penetration testers facing an Oracle database server. If one already got privileged access (>=11g) system password hashes can be dumped for cracking purposes. It is important to consider that those hashes are stored not only in the attribute „spare4“ but can be stored in e.g. „spare6“. So if one wants to dump all hashes using „SELECT name,spare4 FROM sys.user$“ for each account with an empty hash you should SELECT the other spare-attributes, too.