Die Enquete-Kommission Internet und digitale Gesellschaft des Bundes hatte in Berlin zu einer Expertenrunde „Sicherheit im Netz“ eingeladen. Sowohl vom Bundeskriminalamt als auch aus Kreisen der Wissenschaft wurden dabei Fakten umrissen, die bei allen Beteiligten in Sachen Internet und Sicherheit sämtliche Alarmglocken schrillen lassen müssten. DIVSI informiert über wesentliche Aussagen des Treffens.
Das BKA stellt fest, dass der stetige Aufwärtstrend von zuletzt etwa 20% jährlicher Steigerung im Bereich der Cybercrime bestätigt werden kann. Die Anzahl der durch die Bundesländer im Rahmen des polizeilichen Informationsaustauschs an das BKA in 2011 gemeldeten Vorgänge wird nach momentanem Trend mehr als verdoppelt gegenüber den Eingängen des Jahres 2010.
Hier unterscheiden die Ermittlungsbehörden grundsätzlich zwischen zwei Arten der Internet-Kriminalität. Zum einen sind das die „konventionellen“ Modi Operandi, vornehmlich aus dem Betrugsbereich. Dabei werden die potentiellen Opfer via E-Mail aufgefordert, Vorauszahlungen für in Aussicht gestellte Erbschafts- oder Lotteriegewinnzahlungen zu leisten. Hier nutzen die Täter die heute vorhandene technische Infrastruktur für ihre Zwecke – die Straftaten dahinter haben sich nicht wesentlich geändert. Derartige Straftaten, und dazu gehören auch die „normalen“ Betrugsstraftaten im Online- oder Auktionshaushandel, bei denen nach Vorauskasse keine, minderwertige oder gefälschte Ware versandt wird, werden aus Sicht der Strafverfolgungsbehörden als „Cybercrime im weiteren Sinne“ verstanden.
In Abgrenzung dazu gibt es die „qualifizierte Cybercrime“. Darunter fallen Straftaten, die erst durch das Internet selbst ermöglicht wurden oder sich gegen das Internet selbst richten. Sie taucht in den unterschiedlichsten Erscheinungsformen auf – vom meist trojanerbasiertem digitalen Identitätsdiebstahl in jedweder Ausprägung, über das Einbrechen und den unberechtigten Zugriff auf gesicherte Systeme mit nachgelagertem Diebstahl dort vorhandener Daten bis hin zu digitaler Schutzgelderpressung.
Es ist schwer, die Verbrechen korrekt in absoluten Zahlen zu umreißen. Nach Einschätzung des BKA ist dies auf ein sehr großes Dunkelfeld zurückzuführen, da die überwiegende Anzahl der Straftaten durch das Opfer gar nicht bemerkt bzw. nicht bei den Strafverfolgungsbehörden angezeigt wird. Die offizielle Statistik weist für 2010 insgesamt 246.607 erfasste Straftaten mit dem Merker „Tatmittel Internet“ aus. Qualifizierte Cybercrime wurde in 2010 mit 59.839 Straftaten (gegenüber 50.254 in 2009) erfasst.
Nach BKA-Einschätzung werden sich mit der weiter fortschreitenden Technisierung der Gesellschaft auch in den kommenden Jahren immer mehr Erscheinungsformen von Kriminalität ins Internet verlagern oder dort entstehen. Das hat vor allem auch mit dem für die Täter deutlich geringeren Entdeckungsrisiko im Internet zu tun.
Das BKA hat festgestellt, dass die Täter einen weiten Bogen spannen. Bekannt sind Jugendliche, teilweise sogar noch Kinder, die mit erheblichem technischen Verstand und beeindruckender Begabung gepaart mit einer großen Portion Neugier und teilweise auch krimineller Energie Trojaner und andere Schadsoftware konzipieren, entwickeln und einsetzen. Häufig passiert dies zunächst nur, um innerhalb der Szene an Ansehen, an „Standing“, zu gewinnen.
Das entgegen gesetzte Ende dieser Skala wird durch den hochkriminellen Intensivtäter beschrieben, der das Internet als allumfassenden Aktionsraum jedweder (meist mit unmittelbarer Vermögensrelevanz) strafrechtlich relevanter Aktivitäten begreift. Hier stellen die Behörden eine weiter zunehmende Professionalisierung und ein stetig ausgebautes arbeitsteiliges Vorgehen fest.
Es gibt von einander losgelöste Tätergruppierungen, die einzelne Bausteine für mehrere, unterschiedliche Täter als buchbare Dienstleistung anbieten. Dabei ist es dem kriminellen Dienstleister, der z.B. Finanz- und Warenagenten bereitstellt, egal, für welche Phishing- oder Cardinggruppierung er seine Dienstleistung erbringt. Die verschiedenen Täter kennen sich nicht persönlich und kommunizieren in aller Regel über anonymisierte Kommunikationswege (ICQ, Skype, Jabber), die retrograd so gut wie keine und im Zuge von Echtzeitmaßnahmen auch nur sehr eingeschränkt erfolgsträchtige Ermittlungen ermöglichen. Die Cyberkriminellen von heute sind auf einem globalen Markt angekommen, auf dem Daten, Tatmittel und Infrastruktur weltumspannend gehandelt werden.
Nach BKA-Erkenntnissen sind die Opferstrukturen von großer Diversität geprägt. Die Bandbreite reicht vom unbedarften Internetnutzer, der seinen Rechner aus dem Karton des Discounters nimmt und direkt an das Internet anschließt bis zu aufwändig gesicherten Industrie- und Sicherheitseinrichtungen.
Mit Blick in die Zukunft wird auch die Tatsache bedeutsam, dass insbesondere die Internetnutzung durch ältere Menschen stark zunimmt. Im Jahr 2010 nutzten 65% der 55-64-jährigen und 41% der 65-74-jährigen das Internet.
Gerade mit diesen lebensälteren Usern drängen eine Vielzahl von so genannten „Newbies“, von unerfahrenen aber mit viel Neugier, Zeit und vor allem in aller Regel nicht unerheblichem finanziellen Potenzial ausgestatteten Usern in das Internet. Dabei sind sie jedoch nicht ausreichend über die Risiken des Webs und der modernen Technologie informiert und aufgeklärt.
Nach Ansicht des BKA ist die Internationalität des Internets, sein in ihm selbst liegender grundsätzlich globaler und netzwerkartiger Ansatz vermutlich der größte Schutzfaktor, den die heute im Phänomenbereich der Cybercrime aktiven Täter gezielt ausnutzen. Im Bereich der Cybercrime gibt es heute kaum noch Ermittlungsverfahren, die nur mittels nationaler Aktivitäten und Informationsquellen erfolgreich geführt werden können. Auslandsermittlungen – und sei es nur die Anfrage bei einem ausländischen Internetserviceprovider oder Zahlungsdienstleister zu IP-Logs und Verbindungsdaten – sind an der Tagesordnung. Sie bedingen in aller Regel justizielle Rechtshilfeersuchen, die (wenn sie denn gestellt werden) den Ermittlern benötigte Informationen nur mit erheblichen Zeitverzögerungen zur Verfügung stellen.
Die durch das BKA sowie Dienststellen der Bundesländer gestellten außereuropäischen Rechtshilfeersuchen, insbesondere in die USA, wohin aufgrund der technischen Gegebenheiten des Internets ein besonders starker Bezug gegeben ist, aber auch in die Ukraine und die Russische Föderation, wo häufig Täterspuren zu finden sind, haben im günstigsten Falle eine Laufzeit von wenigstens drei Monaten gezeigt.
Die so erlangten Daten sind dann, wenn sie schließlich bei der ermittlungsführenden Dienststelle in Deutschland angekommen sind, in aller Regel bereits inaktuell und „kalt“.
Als Vorteil der schon fast zwingenden internationalen Ermittlungen im Phänomenbereich Cybercrime führt das Bundeskriminalamt an, dass immer mehr in der Verfolgung der Cybercrime involvierte und aktive Staaten erkennen, dass neue Arten der Zusammenarbeit gefunden werden müssen. Diese Wege müssen effektiver und vor allem schneller als der klassische Weg über die Interpol-Zentralstellen sein.
Diese Erkenntnis hat über die vergangenen fünf Jahre beim BKA zum Aufbau eines mittlerweile weltweiten Netzwerkes von im Phänomenbereich der Cybercrime eingesetzten Spezialisten geführt. Kollegen in Washington, Pittsburgh, Seoul, Bangkok, Kiew, Moskau oder Riga, zu denen persönliche Kontakte bestehen, sind nur noch einen Telefonanruf oder Jabber-Chat entfernt. Diese Kontakte tragen und ermöglichen es immer wieder, die Widrigkeiten der verschiedenen Rechtssysteme und der zwingenden Rechtshilfemaßnahmen im Rahmen des rechtlich Möglichen zu minimieren.
Im Rahmen der Enquete-Expertenrunde skizzierte Sicherheitsforscher Dr. Sandro Gaycken vom Institut für Informatik der FU Berlin, mit welchen Akteursgruppen künftig bei der Internet-Kriminalität zu rechnen sei. Demnach gibt es sechs mögliche Akteure, die sich auf unterschiedlichen Gefährdungsstufen abbilden lassen.
Dr. Gaycken wertet das Internet nicht als das Kernproblem der IT-Sicherheit. Das seien vielmehr die Hosts, die IT-Systeme selbst. Dies gelte vor allem aufgrund des Aufkommens der starken Angreifer. Die sind seiner Ansicht nach nicht auf das Internet angewiesen, um IT-basierte Angriffe vorzubereiten oder durchzuführen. Eine Verfügbarkeit ihrer Ziele im Internet kann aber in höherem Maße zu entsprechenden Angriffen verleiten, da die Kosten und Risiken solcher Angriffe weit niedriger und nahezu immer lohnend sind.
Kritik übte der Sicherheitsforscher an den derzeit existierenden Schutzmechanismen, besonders im Hochsicherheitsbereich. Hier müsse mit starken Cyberangreifern gerechnet und ein proportionaler Schutz implementiert werden. Dr. Gaycken: „Davon sind wir allerdings weit entfernt. Gegenwärtig existieren nur theoretische Konzepte zu proportionalem Schutz gegen starke Angreifer. Es muss ein Schutz der potentiellen Zielsysteme sein, und er muss grundlegend architekturell gedacht werden. Es müssen vollständig neue Modelle von Hardware und Software konzipiert und gebaut werden, während die alten Technologien nicht länger verwendet werden sollten.“
Der Vorwurf des Wissenschaftlers: „Im Hochsicherheitsbereich beherrschen aktuell ‚Schlangenölverkäufer’ aus Wirtschaft und Wissenschaft einige Debatten und Entscheidungsgremien, die entsprechenden Schutz versprechen, allerdings nur konventionelle und inhärent ineffiziente Sicherheit haben können.“
Bei Angriffen auf private Anwender wird nach Einschätzung von Dr. Gaycken als Gegenmaßnahme vorrangig die Sensibilisierung eine wichtige Rolle spielen. Einen Ausbau der Möglichkeiten der Strafverfolgung sollte man ebenfalls avisieren. Allerdings dürften diese angesichts der doch eher geringen Bedrohungslage keine zu voluminösen Trade-Offs mit Freiheitsrechten und Datenschutzbefindlichkeiten beinhalten. Ob es effiziente und verträgliche Strafverfolgung in diesem Bereich je geben kann, kann bezweifelt werden. Konventionelle Forensik mit Ermittlern scheint den technischen Mitteln vorzuziehen zu sein. Allerdings müssten deutlich mehr Stellen in den Kriminalämtern geschaffen werden, die sich mit Cyberkriminalität befassen können.