Skip to main content

  BKA-Präsident Jörg Ziercke bei der Eröffnung der Herbsttagung 2013. Foto: BKA

Dauerbrenner Computerkriminalität

Herbsttagung 2013 des Bundeskriminalamtes

Von Peter Sehr, Stellv. Chefredakteur

Zum dritten Mal seit 2003 befasste sich das deutsche Bundeskriminalamt (BKA) in seiner Herbsttagung 2013 mit dem Dauerbrenner Computerkriminalität. Experten des In- und Auslandes betrachteten die vielfältigen Facetten und Spielarten dieser „Kriminalität 2.0“, wie es BKA-Präsident Ziercke in seinem zentralen Vortrag formulierte. Aber gibt es, trotz der doch sehr bedenklich stimmenden Drohszenarien, auf der Seite der Kriminalitätsexperten wirklich wirksame Ansätze zur Eindämmung dieses Phänomens? Allein, folgt man den in der Tagung angesprochenen Punkten, kommen doch arge Bedenken hoch. Hier eine Nachbetrachtung der Stand der Dinge.

Fast allen Vorträgen war gemeinsam, dass sie mit entsprechenden bedrohlichen Modi Operandi und Perseveranzen nicht sparten. Dass sich Straftäter in allen Ebenen der Gesellschaften finden, also Internet-Kiddies, Gelegenheitstäter, ideell Motivierte, politisch Motivierte, Organisierte Kriminelle bis hin zu Geheimdiensten und anderen von Staaten oder Institutionen gelenkten Professionellen: Nicht unbedingt neu.

Dass sich die statistischen Werte nach oben bewegen, dass die Anzeigenbereitschaft der Geschädigten immer noch im niedrigen Prozentbereich liegt, gesetzliche Maßnahmen fehlen oder unzureichend sind: Irgendwie auch bekannt und oft gehört.

Dass sich Kriminalität ins Internet verlagert, Kommunikation von organisierten Kriminellen verschlüsselt stattfindet, dadurch die Strafverfolgungsbehörden erhebliche Informationsdefizite haben, eine der Hauptzielgruppen von Kriminellen mittelständische Unternehmen sind, da ihre IT- Umgebung immer noch weitgehend ungeschützt professionellen Tätern zugänglich ist: Das sind nun mal die Tatsachen, oder man konnte es kommen sehen.

 

Gesetzliche Erfordernisse

So verwundert es auch nicht sonderlich, dass der für den Innenminister in die Bresche gesprungene Staatssekretär Fritzsche in seinem Vortrag viel zu den Tatbegehungen sagte, aber eher wenig zu den politischen Überlegungen, wie man diesen entgegentritt.

Besucher am Stand des Fraunhofer-Institut für Nachrichtentechnik - Heinrich-Hertz-Institut. Foto: BKASicher konnte er auf die neu eingeführten Bestimmungen der Paragrafen 202 a - 202c StGB hinweisen (sog. „Hackerparagrafen“). Letztlich konnte er aber nur das formulieren, was die bisherige Regierung in den letzten vier Jahren nicht hinbekommen hat:

So zum Beispiel die „Datenhehlerei“, eine Gesetzesinitiative des Bundesrates, die man wohl wieder aufgreifen will.

Oder aber auch eine Qualifizierung bei den Computerdelikten für Tatbegehungsweisen, die gewerblich begangen werden, sowie die Aufnahme von Computerdelikten in den Katalog des § 100a StPO, der ein Abhören der Telekommunikation erst erlaubt.

Es fehlen auch Bestimmungen zur Online-Durchsuchung und Quellen-TKÜ (Abhörmöglichkeit bei kryptierter Kommunikation) im formellen Recht. Und natürlich die Mindestspeicherfristen von Verkehrsdaten, ohne die eine Zuordnung kriminellen Handelns zu Personen, die im Internet agieren, in vielen Fällen gar nicht möglich ist. Hier leistet sich die Bundesrepublik Deutschland sogar ein Vertragsverletzungsverfahren, da eine Richtlinie der EU seit Jahren wegen des Widerstandes der Justizministerin nicht umgesetzt wird. Will heißen: Hier drohen Strafgelder in Millionenhöhe.

Mich macht das immer noch fassungslos, zumal in den vergangen Jahren hier haarsträubend falsche Argumentationen vorgeschoben wurden. Da war es offensichtlich auch ziemlich egal, dass man sich international der Lächerlichkeit preisgab, in dem Vertreter des Justizministeriums in EU-Sitzungen zum Teil aberwitzige Argumentationen ins Felde führten, die von den Teilnehmern anderer EU-Staaten auseinander genommen wurden.

Verfolgt man nun die Koalitionsverhandlungen, so könnte hier eine Einigung zwischen CDU/CSU und SPD erreicht werden. Dies bleibt aber abzuwarten.

Letzten Endes störte es bei diesem Vortrag dann nicht mehr, dass Staatssekretär Fritsche bei der Aufzählung der Aktivitäten der Strafverfolgungsseite das neue Zentrum von Interpol, das sich um Internetkriminalität kümmern soll, von Singapur nach Shanghai verlegte. Mein Nachbar hatte es erst gemerkt, als ich ihn darauf ansprach.

 

Internet: Konsens der demokratischen Kräfte

Es gab aber dann doch einige gute Ansätze, so zum Beispiel der Festvortrag von Prof. Dr. Dr. Udo Di Fabio von der Universität Bonn.

In seiner Betrachtung von Freiheit und Grenzen der digitalen Gesellschaft führte er aus, dass sich die Welt durch das Internet „entgrenzt“ habe. Zudem sei das Netz regelungsabweisend (regelungsavers). Das Problem sei nun, wie das früher vom Bundesverfassungsgericht entwickelte Recht auf informationelle Selbstbestimmung heute bei etwa täglich 17 Milliarden Facebookeintragungen als Grundrecht und Identität der Verfassung zur Umsetzung kommen kann.

Di Fabio bejaht den Anspruch der Exekutive auf Bereitstellung entsprechender Gesetze, die auch einer Grundrechtsprüfung durch das Bundesverfassungsgericht standhalten müssen.

Stand der Sicherheitskooperation Cybercrime. Foto: BKAIn der Konsequenz sieht er aber die Notwendigkeit des Schulterschlusses der Akteure, die ein freies (und nicht illegal genutztes) Internet wollen, im Gegensatz und somit als Gegenpol zu den Kräften, die es für kriminelle Zwecke missbrauchen.

Der Ansatz ist in so weit sehr interessant, da sich hier letztendlich Bündnisse von Unternehmen, der IT-Branche, der Internet-Community und der Strafverfolgungsbehörden bilden müssten, um praktische Lösungen gegen den, wie auch immer gearteten Missbrauch zu finden. Diesen Anspruch sollte man seiner Meinung nach auf keinem Fall privaten Internet-Sicherheitsdiensten überlassen.

Di Fabio sprach hier auch konkret den Chaos Computer Club (CCC) an, der ja durchaus auch in Expertenanhörungen des Bundestages aktiv präsent war oder auch als Sachverständige in Gerichtsprozessen auftrat.

Polizeiliche Ermittler wie auch Strategen haben hier wohl durchaus gezuckt. Doch will man ernstlich diese Kriminalität 2.0 unter Kontrolle bekommen – sofern das überhaupt noch geht- so ist diese Form der Zusammenarbeit nicht nur unvermeidlich, sondern auch notwendig und geboten.

Präsident Ziercke stellte in seiner Rede eine Initiative vor, die als „Quick Reaction Force Cybercrime“ von Strafverfolgern des Bundes und der Länder gebildet wird, die mit anderen Akteuren wie Banken, Unternehmen und weiteren in diesem Umfeld Beteiligten zusammenarbeitet.

Somit wäre eigentlich schon eine Plattform geschaffen, die entsprechend ausbaufähig wäre. Und warum nicht der Chaos Computer Club? Sicher bedarf es hier noch vieler Gespräche und anderen vertrauensbildenden Maßnahmen. Vorstellbar ist schon, wenn man als Polizei und/oder Justiz nichts zu verbergen hat, dass man auch transparent agieren kann. Und die Initiative hierzu müsste von der Polizei, vom BKA kommen.

 

Große Datenmengen: Wo werden diese jemals enden?

Ein weiteres zentrales Thema waren die großen Datenmengen, die im Rahmen der Nutzung von Computertechnik und Internet insbesondere durch die Nutzung von Cloud-Diensten anfallen.

Hier verlässt die Welt die Dimension Terabyte, um sich nun Datenmengen in Größen von Petabyte zuzuwenden. Das bedeutet, in DIN A 4 Papier umgerechnet, dass billionenfache Seiten nunmehr verarbeitet werden, was im Umkehrschluss bedeutet, dass im Sachbeweisverfahren inkriminierte Dokumente aus dieser Menge gefunden werden müssen.

Präsident Ziercke wies in seinem Vortrag auf Softwareentwicklungen des BKA hin, die es ermöglichen, in textbasierten unstrukturierten großen Datenmengen Strukturen zu generieren. Diese bieten wiederum Ansatzpunkte für den polizeilichen Auswerter, um beweisrelevante Hinweise zu erkennen. Oder etwas einfacher ausgedrückt: Die Software kann Orte, Personen, Objekte, Sachen wie z.B. Telefonnummern oder Institutionen, die untereinander in Beziehungen stehen, erkennen und sichtbar machen (so genannte Entitäten-Beziehungen-Extraktion oder Entity-Relationship Extraction /ERE). Diese Konstrukte müssen nicht, können aber mit entsprechenden Ermittlungsverfahrensinhalten korrespondieren. Der polizeiliche Ermittler bekommt ein entsprechendes Angebot von Beziehungsnetzen, das er nun auf Relevanz überprüfen kann. So können z.B. Täterstrukturen erkannt werden, oder auch Mobilfunkanschlüsse, Fahrzeuge, Wohnungen oder Treffpunkte, die sie nutzen. Erste Tests haben hier die Ermittler sehr beeindruckt.

Auch das Recherchieren in mittlerweile über 50 Fremdsprachen ist möglich, ohne dass der Ermittler diese Sprachen beherrschen muss.

Diese Entwicklungen zeigen, was auch auf der Seite der Strafverfolgungsbehörden möglich ist.

Präsident Ziercke wies zudem darauf hin, dass mittlerweile in allen Abteilungen des BKA Informatiker eingesetzt wurden. Was er nicht ansprach, ist die Tatsache, dass gerade für die Entwicklung der oben dargestellten Software zwei ausgesprochen fähige Spezialisten nur mit Zeitverträgen statt Festeinstellung an das BKA gebunden sind, die bereits einmal verlängert wurden und nunmehr keine Chancen für eine weitere Verlängerung haben. Hintergrund ist die quotierte Einsparung an Infrastrukturpersonal in der Bundesverwaltung, die auch über lange Jahre beim BKA dafür gesorgt hat, dass nunmehr Beamte einfache, aber nicht verzichtbare Routineverwaltungsaufgaben übernehmen mussten und für andere, ebenso notwendige Aufgaben nicht zur Verfügung stehen.

Zwangsläufig fehlen die Planstellen, die nun einmal notwendig sind, um zum Beispiel diese beiden Wissenschaftler auf Dauer ans BKA zu binden.

Will heißen: Entschließt sich einer der Beiden eine andere Beschäftigung aufzunehmen, ist es vorbei mit weiterer Softwareentwicklung; denn mittlerweile haben die beiden Wissenschaftler ein derart dezidiertes Wissen, dass trotz aller Dokumentation eine zeitnahe Fortsetzung der Tätigkeiten, die im polizeilichen Arbeitsumfeld in der Tat einzigartig sind, unmöglich ist.

 

Verhalten in der Kritik: Angst vor Reputationsverlust und Sorglosigkeit

Ein weiterer zentraler Punkt, der in mehreren Vorträgen zur Sprache kam, war das Verhalten von Unternehmensverantwortlichen und deren Mitarbeiterschaft.

Alles in allem ist der Mensch, so die Experten, DIE Schwachstelle schlechthin. Sorglosigkeit oder aber auch die Angst vor Rufschädigung führen dazu, dass die eigene IT technisch/technologisch nicht oder nur ungenügend abgeschirmt wird. Anzeigen werden nicht erstattet, oftmals wird Erpressungen nachgegeben, um wieder arbeitsfähig zu werden. So ist z.B. das Blockieren der IT-Systeme durch Malware (Einbringen durch Trojaner) und dadurch die Unfähigkeit für Unternehmen, ihre Daten weiter zu be- und verarbeiten, eine weit verbreitete Einkommensquelle für kriminelle IT-Täter. Es fehlt, wenn es dann doch in Einzelfällen zu Strafanzeigen kommt, oftmals an speziell ausgebildeten Justizdienststellen. Hier besteht die Forderung Präsident Zierckes zu Recht, dass die Justiz hier Nachholbedarfe hat.

 

Ganzheitliche Strategie: Eine Fehlanzeige

Es zeigt sich, dass eine interdisziplinär strukturierte Strategie zur Bekämpfung der Computerkriminalität und insbesondere deren Verhütung zwar in Einzelstrukturen vorhanden ist oder dass zumindest eine konkrete Vorstellung von griffigen Einzelmaßnahmen existiert. Eine ganzheitliche Strategie setzt aber voraus, dass zum einen die Gesellschaft, somit die Bürger der Bundesrepublik Deutschland, erst einmal definieren müssen, was sie im Umgang mit Computernutzung und Internet wollen, und was nicht. Zum anderen müssen die Kräfte zueinander finden, die ein freies und nicht illegal missbrauchtes Internet nutzen, aber auch schützen wollen.

Dann sollten auf dieser Basis die entsprechenden Präventionsmöglichkeiten und

 -programme aufsetzen. Dabei ist der in der Tagung vorgetragene Ansatz, auf andere bewährte Präventionsprogramme als Vorlage zurückgreifen zu wollen, durchaus nachvollziehbar.

Konsequente Strafverfolgung und die entsprechenden gesetzlichen und technologischen Voraussetzungen hierfür, die dann von den demokratischen Kräften auch mitgetragen wird, würden diese nationale Strategie abrunden.

Letztendlich wäre das eine Basis, auf der sich Abstimmungen mit anderen Staaten führen ließen.

 

Fazit:

Die BKA-Tagung verpasste die Chance, für diesen ganzheitlichen Ansatz nachdrücklich zu werben. Positiv lässt sich aber feststellen, dass einige gute Ansätze zweifellos da sind. Diese jetzt in eine ganzheitliche Strategie zu überführen, alle gesellschaftlichen Kräfte zu mobilisieren, wäre Aufgabe unserer Politik. Im Koalitionsvertrag, so er zustande kommt, wird der Aspekt Internetnutzung eine Rolle spielen. Es wäre zu wünschen, wenn die Regierung hier die Chance für eine sinnvolle Strategie nutzt.

Im Übrigen lohnt sich der Besuch der Homepage des BKA. Hier sind auch Beiträge der Referenten der Herbsttagung verfügbar.