Das Internet als weltumspannende Plattform für Kriminelle – Polizeikongress steht im Zeichen des bedenklichen Zugangs zur IT-Sicherheit.
Der Europäische Polizeikongress setzte dieses Jahr die zunehmend schlechtere Sicherheitslage im World Wide Web in den Fokus der jährlichen Veranstaltung: Immer bessere Ransomware, allgegenwärtige Phishing-Mails als Gefahr für sämtliche Zahlungsprozesse im Internet und die zunehmende Aktivität von Kriminellen im Dark Web – all das wirkt sich negativ auf die aktuellen Sicherheitsdaten und das Vertrauen in die Möglichkeiten der Strafverfolgung im Internet aus.
Die bedeutendsten Änderungen präsentierte Fernando Ruiz, der leitende Beamte des Europol-Zentrums für Cyberkriminalität „European Cybercrime Centre“. Als Ausgangspunkt entschied er sich für das Internet Organized Crime Threat Assessment 2019.
Technischer Fortschritt als Sicherheitsrückschritt
Besondere Erwähnung fand in seinem Vortrag das Verhalten der Kriminellen im sogenannten Darknet. Dieses würde oftmals auf einem ständigen Wechsel zwischen den unterschiedlichsten Plattformen aufbauen, vor allem das breite Angebot des crime-as-a-service würde sich mittlerweile auf professionelle DDoS-Attacken von Unternehmen und Privatpersonen verlagern. Doch das klassische Versenden von Phishing-Mails bleibe trotzdem an der Nummer eins. Daneben machen es die fortschreitenden technischen Möglichkeiten heute problemlos möglich, Deepfake-Videos zu produzieren und neue Zahlungsarten zu unterwandern. Zum Schluss der Präsentation wies Ruiz deutlich auf die Wichtigkeit einer internationalen Zusammenarbeit im Bereich der Cyberkriminalität hin, bei der Politiker, Staatsanwälte, Unternehmer, Forscher und andere Organisationen auf eine produktive Kooperation hinarbeiten müssten.
Auch das Bild, das die anderen Teilnehmer der Konferenz in ihren Vorträgen zeichneten, lässt nicht gerade auf einen großen Fortschritt der Strafverfolgung im Bereich der Internetkriminalität schließen: So beschwerte sich Jörg Angerer, Oberstaatsanwalt der Landeszentralstelle Cybercrime in Koblenz, über einen Mangel an Kooperationsbereitschaft von staatlicher Stelle. Denn je nach festgestelltem Ziel einer IT-Attacke sei ein jeweils anderes Ressort zuständig – jedoch ist vor allem in der beginnenden Angriffsphase kaum auszumachen, zu welchem konkreten Zweck der Angriff stattfindet. Auch die fehlende Zusammenarbeit und das Fehlen von organisatorischen Strukturen zwischen dem Bund und den Ländern erschwert in vielen Fällen ein produktives Vorankommen im Bereich der Cyberkriminalität. Letzte Thematik stellt bereits seit einigen Jahren einen Dauerbrenner auf dem jährlichen Polizeikongress dar und scheint bislang kein Gehör bei den angeprangerten Stellen zu finden.
Auch die Problematik der hohen Verbrechensraten, die unter dem polizeilichen Radar bleiben würden, wurde von Angerer erwähnt. Denn in der Polizeilichen Kriminalstatistik würden nur jene Vorfälle erfasst, deren Tatort sich unmittelbar auf dem Gebiet der Bundesrepublik befinden würde – durch die weite Verbreitung von VPN-Browsern und anderen technischen Optionen sei es jedoch in sehr seltenen Fällen möglich, diese Aussage tatsächlich mit Gewissheit treffen zu können. Im Gesamtbild sein Deutschland eher unzureichend auf die zunehmende Verlagerung der kriminellen Aktivitäten ins Internet vorbereitet, so dass beispielsweise Angriffen auf kritische Infrastrukturen nur unzureichend begegnet werden könne. Den Sargnagel für die effektive Strafverfolgung stellen auch die Anonymisierungsoptionen, wie Tor-Browser und Botnetze, und die weitreichende internationale Vernetzung der Kriminellen dar. Zusammenfassend zeichnete Angerer ein düsteres Zukunftsszenario, wonach das weltumspannende Internet weiterhin eine ideal ausgestattete Plattform für Kriminalität darstelle und einen perfekten Ort biete, an dem man leicht unerkannt davonkommen könne.
Zu viel Datenmaterial für zu wenige Mitarbeiter
Rechtshilfemechanismen mit US-Behörden seien zu komplex wie auch die Mengen an Daten, die ausgewertet werden müssten – für beides seien die personellen und technischen Kapazitäten unzureichend, so dass die zu bearbeitenden Daten zu schnell veralten würden.
Ein wichtiges Bindeglied in der Kette der Cyberkriminellen seien die eigenen Mitarbeiter, betonte Anton Kreuzer, der Leiter des Sicherheitsunternehmens DriveLock. Dieser präsentierte konkrete Zahlen, wonach rund 80% aller Angriffe dadurch verhindert werden könnten, wenn die entsprechenden Mitarbeiter keinen verdächtigen Links in E-Mail-Sendungen folgen würden. Spezielle Schulungen könnten dabei helfen, die Sinne der eigenen Crew zu schärfen und diese auf die immer komplexeren Angriffsprogramme vorzubereiten. Auch die Tendenz der Kriminellen, erst einmal kleinere Beträge abzuziehen und damit eine kleinere Gefahr vorzutäuschen trägt ihr Übriges dazu bei, dass viele Sicherheitslücken offenblieben. Als Beispiel erwähnte der Sicherheitsexperte den Trojaner „Emotet“, der sich durch einen verzögerten – und damit auch häufig unbemerkten – Download der Malware auf den Firmen-PC auszeichnen würde.
Das Risikobewusstsein in der Bundesrepublik sein bislang nicht wirklich ausgeprägt, denn während asiatische Großkonzerne sich der Wichtigkeit von Sicherheitsmechanismen durchaus bewusst seien und diese als bedeutende Investitionen in ihr Unternehmen betrachten würden, würden deutsche Unternehmen erst einmal den ROI evaluiert haben wollen, bevor sie zu drastischen Sicherheitsvorkehrungen greifen würden.
Positive Prognosen trotze negativer Bestandaufnahme
Der CEO des Sicherheitsunternehmens itWatch, Ramon Mörl, unterstrich in seinem Auftritt auf der jährlichen Polizeikonferenz die positiven Aspekte im Kampf gegen die Kriminalität im World Wide Web. So betonte er, dass es durchaus erste Erfolge im Bereich der behördenübergreifenden Kooperationen zu verzeichnen gäbe. Jedoch bezog der erfolgreiche Experte deutlich Stellung für eine gewisse Aufgabentrennung: Während sicherere Software definitiv erforderlich sei, wäre es gleichzeitig notwendig, die Mitarbeiter von den Sicherheitsaufgaben zu befreien. Denn diese seien kaum auf die IT-bezogenen Tätigkeiten vorbereitet und könnten nur beschränkt einem Unternehmen zu echter Sicherheit im Cyberspace verhelfen. Auch polizeiliche Spezialkräfte sollten sich weniger mit vorhandenen Sicherheitslücken in bestehenden Systemen auseinandersetzen, sondern sich besser mit realen Ermittlungen befassen und die Entwicklung und Verbreitung der notwendigen Security-Software echten Profis überlassen.
Einen besonders interessanten Aspekt der aktuellen Sicherheitsfragen hob sich Mörl für das Ende seines Podiumsbeitrages auf: Die reale Bedienungsfreundlichkeit der Anwendungen lasse für ihn bis heute noch zu wünschen übrig. Dies manifestiere sich beispielsweise in dem Skandal rund um die Kanzlerin, die sich eher zum Griff zum privaten Handy hinreißen ließ, als das Diensthandy zu benutzen. Denn moderne Software, die den Sicherheitslücken Eintracht gebieten soll, besitzt noch lange nicht denselben Komfort wie jene Apps und Programme, die man privat nutzt und die zu 100% auf die Kundenwünsche und -bedürfnisse ausgerichtet sind. Damit seien auch die technisch vollständig ausgereiften Sicherheitssysteme bislang noch nicht bereit für die Auslieferung an die Endkonsumenten – Unverständliche Interfaces, komplexe Benutzungsmodalitäten und komplizierte Einweisungsverfahren in die einzelnen Programme sprechen nicht gerade dafür, dass sich IT-Sicherheit sehr bald in unseren Dienst- und Privatgeräten breitmachen wird, schloss Mörl ab.