Das Internet als weltumspannende Plattform für Kriminelle – der Polizeikongress stand im Zeichen einer ernüchternden IT-Sicherheitslage.
Der Europäische Polizeikongress rückte dieses Jahr die zunehmend schlechtere Sicherheitslage im Web in den Mittelpunkt: Immer ausgefeiltere Ransomware, Phishing-Mails als Dauergefahr für Zahlungsprozesse, wachsende kriminelle Aktivität im Dark Web – das alles untergräbt das Vertrauen in die Strafverfolgung im Netz.
Die bedeutendsten Einschätzungen lieferte Fernando Ruiz, leitender Beamter des Europol-Zentrums für Cyberkriminalität „European Cybercrime Centre“. Sein Ausgangspunkt: das Internet Organized Crime Threat Assessment 2019.
Technischer Fortschritt als Sicherheitsrückschritt
Besondere Aufmerksamkeit widmete Ruiz dem Verhalten von Kriminellen im Darknet. Typisch sei ein ständiger Wechsel zwischen Plattformen; das Angebot an Crime-as-a-Service verlagere sich zunehmend auf professionelle DDoS-Attacken gegen Unternehmen und Privatpersonen. Das klassische Phishing bleibe aber Nummer eins. Daneben machen fortschreitende technische Möglichkeiten es heute einfach, Deepfake-Videos zu produzieren und neue Zahlungsarten zu unterwandern. Am Ende seiner Präsentation betonte Ruiz die Notwendigkeit internationaler Zusammenarbeit – Politiker, Staatsanwälte, Unternehmer, Forschende und andere Organisationen müssten produktiv kooperieren.
Das Bild, das andere Konferenzteilnehmer zeichneten, fällt kaum besser aus: Jörg Angerer, Oberstaatsanwalt der Landeszentralstelle Cybercrime in Koblenz, beklagte mangelnde Kooperationsbereitschaft auf staatlicher Seite. Je nach festgestelltem Ziel einer IT-Attacke sei ein anderes Ressort zuständig – in der frühen Angriffsphase lässt sich der konkrete Zweck eines Angriffs jedoch kaum bestimmen. Die fehlenden organisatorischen Strukturen zwischen Bund und Ländern bremsen die Ermittlungen zusätzlich. Das Thema ist ein Dauerbrenner auf dem Polizeikongress, ohne dass sich bislang Wesentliches geändert hätte.
Angerer sprach auch die hohe Dunkelziffer an: Die Polizeiliche Kriminalstatistik erfasst nur Vorfälle, deren Tatort sich nachweislich auf dem Gebiet der Bundesrepublik befindet. Angesichts weit verbreiteter VPN-Nutzung und anderer Verschleierungsmethoden ist diese Zuordnung aber nur selten mit Gewissheit möglich. Deutschland sei insgesamt unzureichend auf die Verlagerung krimineller Aktivitäten ins Netz vorbereitet – Angriffe auf kritische Infrastruktur könnten nur begrenzt abgewehrt werden. Anonymisierungstools wie Tor-Browser und Botnetze sowie die internationale Vernetzung der Täter tun ihr Übriges. Angerers Fazit: Das Internet bleibt eine ideale Plattform für Kriminalität – und ein Ort, an dem man leicht unerkannt davonkommt.
Zu viel Datenmaterial für zu wenige Mitarbeiter
Rechtshilfemechanismen mit US-Behörden seien zu komplex, die auszuwertenden Datenmengen zu gross – für beides fehlten personelle und technische Kapazitäten, sodass relevante Daten zu schnell veralten.
Ein wichtiges Einfallstor für Cyberkriminelle sind die eigenen Mitarbeiter, betonte Anton Kreuzer, Leiter des Sicherheitsunternehmens DriveLock. Er nannte konkrete Zahlen: Rund 80 % aller Angriffe liessen sich verhindern, wenn Mitarbeitende keine verdächtigen Links in E-Mails anklicken würden. Gezielte Schulungen könnten dabei helfen, das Bewusstsein zu schärfen und die Belegschaft auf immer komplexere Angriffsmuster vorzubereiten. Erschwerend kommt hinzu, dass Kriminelle häufig mit kleineren Beträgen beginnen – eine Taktik, die Sicherheitslücken lange offen lässt. Als Beispiel nannte Kreuzer den Trojaner „Emotet“, der sich durch einen verzögerten und damit oft unbemerkten Download auf Firmen-PCs auszeichnet.
Das Risikobewusstsein in Deutschland sei bislang wenig ausgeprägt: Während asiatische Grosskonzerne IT-Sicherheit als strategische Investition betrachteten, wollten deutsche Unternehmen erst den ROI sehen, bevor sie zu ernsthaften Sicherheitsmassnahmen greifen.
Positive Prognosen trotze negativer Bestandaufnahme
Ramon Mörl, CEO des Sicherheitsunternehmens itWatch, setzte in seinem Auftritt einen bewusst anderen Akzent. Er verwies auf erste Erfolge bei behördenübergreifenden Kooperationen. Zugleich plädierte er klar für eine Aufgabentrennung: Sicherere Software sei zwar notwendig, aber Mitarbeitende sollten von Sicherheitsaufgaben entlastet werden – sie sind darauf schlicht nicht vorbereitet und können einem Unternehmen nur begrenzt zu echter Sicherheit verhelfen. Polizeiliche Spezialkräfte sollten sich weniger mit Sicherheitslücken in bestehenden Systemen beschäftigen und stärker auf reale Ermittlungen konzentrieren. Die Entwicklung und Verbreitung von Security-Software gehöre in die Hände echter Profis.
Den prägnantesten Punkt hob Mörl für den Schluss auf: Die Bedienungsfreundlichkeit aktueller Sicherheitslösungen lasse bis heute zu wünschen übrig. Das zeige sich schon am Beispiel der Kanzlerin, die lieber zum privaten Handy griff als zum Dienstgerät. Moderne Sicherheitssoftware erreicht schlicht nicht den Komfort von Apps und Programmen, die vollständig auf Nutzerbedürfnisse ausgerichtet sind. Unverständliche Interfaces, komplexe Bedienabläufe und aufwändige Einweisungen sprechen nicht dafür, dass sich IT-Sicherheit so bald auf unseren Dienst- und Privatgeräten durchsetzt, so Mörl.