„Underground Economy“
Die Gesamtheit aller täterseitig illegal genutzten Plattformen. Sie stellen eine kommerziell ausgerichtete, dynamische Landschaft dar, welche Kommunikations- und Verkaufsplattformen im Internet vereint.
Aufgrund der starken wirtschaftlichen und illegalen Ausrichtung der Plattformen, werden sie unter dem Begriff „Underground Economy“ zusammengefasst.

Clearnet (Visible Web, Surface Web, Open Web)
Für jedermann mit marktgängigen Browserprogrammen zugänglich, unterstützt durch einfache Handhabung mittels Suchmaschinen.
Auch im Clearnet sind vielfältige illegale Inhalte verfügbar, z. B. solche mit Bezug zu Politisch Motivierter Kriminalität oder Plattformen und Foren der „Underground Economy“.

Deep Web (Invisible Web)
Der Teil des Internets, dessen Inhalte nicht durch Suchmaschinen auffindbar ist, weil z. B. Webseiten nicht indexiert/in Suchmaschinen verlinkt wurden oder weil sie zugriffsbeschränkt sind. Inhalte des Deep Webs können z. B. Datenbanken, Intranets oder Fachwebseiten sein und sind – sofern die URL bekannt ist und eine Zugangsberechtigung besteht – mit marktgängigen Browsern erreichbar.

Darknet
Darknet-Inhalte sind ausschließlich durch Nutzung spezieller Software, die der Anonymisierung dient, einsehbar.
Bestandteile des Darknets sind z. B. Foren, Blogs/Wikis mit unterschiedlichsten – legalen wie illegalen – Zielrichtungen. Einen bedeutenden Teil machen sog. Darknet-Marktplätze aus, bei denen größtenteils inkriminierte Güter gehandelt werden. Auch werden zahlreiche bedarfsorientierte Angebote für Cybercrime-as-a-Service (Durchführung bzw. Unterstützungsleistungen krimineller Handlungen im Auftrag, auch CaaS) oder Darknet-Seiten mit kinderpornografischen Inhalten zur Verfügung gestellt.

Die neun Säulen der Cybercrime

Der Phänomenbereich der Cybercrime im engeren Sinne (CCieS) wird durch eine hohe Arbeitsteilung zwischen Tatbeteiligten sowie der für die Begehung der Gesamttat notwendigen Tatkomponenten geprägt. Nur noch wenige Cyberkriminelle können heutzutage ihre Taten alleine und ohne wesentliche Unterstützungshandlungen Dritter begehen. Daher kommt es zu einer stetig voranschreitenden Spezialisierung einzelner Cybercrime-as-a-Service-Anbieter. Das wiederum ermöglicht auch technisch weniger versierten Tätern komplexere Straftaten zu begehen. Folglich können die entsprechenden Akteure alle technisch komplexen Tatbeiträge zunehmend outsourcen und dafür kompetente Dienstleister einkaufen. Hierbei konnten, nach aktuellem Ermittlungsstand des BKA, neun essentielle Säulen identifiziert werden:

Säule 1: Foren und Jabber-Server

Repräsentieren digitale Plätze zum Austausch von Kontakten und Diensteanbietern und fungieren somit als „Gelbe Seiten“ für Cyberkriminelle. Hierdurch finden Anbieter und Bedarfsträger zusammen. Es handelt sich um das „Eintrittstor“ in die Underground Economy.

Säule 2: Bulletproofhosting & Proxyprovider

Auf Täterseite werden zur Tatbegehung oftmals inkriminierte, „robuste“ Infrastrukturen benötigt; die selbst bei missbräuchlicher Nutzung eine längere Zeit online bleiben und nicht direkt durch den Provider abgeschaltet werden können. Für derartige Dienstleistungen werden spezielle inkriminierte Provider genutzt. Außerdem gehören Proxy- bzw. VPN-Provider zur Basisausstattung und verschleiern die IP-Adressen der kriminellen Nutzer.

Säule 3: Marktplätze, Shops und Automated Vending Carts (AVC)

Für viele Cyberstraftaten benötigen Täter kompromittierte Zugangsdaten. Diese erhalten sie über zentralisierte und weitestgehend automatisierte Vertriebsplattformen sog. Marktplätze. Diese stellen einen großen Anteil strafrechtlich relevanter Inhalte im Darknet dar. Sie sind ähnlich aufgebaut wie kommerzielle E-Commerce Plattformen (Amazon, ebay etc.).

Säule 4: Malwareentwicklung & Coding

Die bedarfsorientierte Entwicklung von Schadsoftware richtet sich nach den spezifischen Anforderungen des Bedarfsträgers und dem Entwicklungsaufwand. Zudem spielen auch die Preisvorstellungen des Auftraggebers eine Rolle. Simple Malware ist bereits für 5.000 Euro erhältlich.

Säule 5: Malware Crypting & Obfuscation

Crypting beschreibt den Prozess des Überarbeitens und Verschlüsselns des maliziösen Codes, welcher nicht mehr durch den Entwickler selbst, sondern durch einen sog. „Crypter“, also einen spezialisierten Dienstleister, vorgenommen wird. Dieses Abhärten bzw. Verbessern einer Malware dient oftmals der Steigerung der Malware-Tarnfähigkeit (sog. Obfuskation).

Säule 6: Counter-Antivirus-Services (CAV)

Beschreibt den Service der Malware-Prüfung, um festzustellen, ob diese durch gängige Anti-Viren-Programme erkannt werden könnte.
Der Service kann je nach Bedarf "abonniert" werden und dem Kunden z. B. täglich Auskunft über die Effektivität der verwendeten Malware und deren Verschleierung geben.

Säule 7: Malware Delivery & Infection on Demand & PPI

Das Ausrollen und Installieren der Schadsoftware stellt einen weiteren wichtigen Schritt in der Verwertungskette dar. Die Kosten der Distribution orientieren sich an der Art der zu verbreitenden Malware sowie der Dauer der in Anspruch genommenen Leistung: Die Streuung der Malware erfolgt z. B. via Malspam, Phishing oder Drive-By-Infection.

Säule 8: Drops, Mules & Cashout

Inkriminierte Zahlungen müssen auf Konten geleitet und an Geldautomaten in bar abgehoben werden. Diese achte Säule fasst die aus Tätersicht mit Abstand risikoreichsten Aktivitäten zusammen, da hier in aller Regel ein Erscheinen des Täters oder der durch ihn beauftragen Läufer (sog. Runner/Drops) in der realen Welt erforderlich ist. Die Entgelte orientieren sich i. d. R. prozentual an den Umsätzen / dem Wert der Transaktion.

Säule 9: Exchanger - Die digitale Geldwäsche

Die „Exchanger“ bestreiten die „letzte Meile“ zum (kriminellen) Kunden und sorgen dafür, dass die beim Cyberkriminellen in einer Währung seiner Wahl eingegangenen Finanzmittel keiner konkreten Straftat mehr zugeordnet werden können.