Kriminalität im digitalen Raum und/oder mithilfe digitaler Methoden hat sich zu einem weltumspannenden Problem entwickelt. Ist es angesichts dessen überhaupt möglich, die Täter endgültig zu stoppen?
Cybercrime gab es bereits, als für die meisten Menschen ein eigener Computer völlige Utopie war und die Freigabe des WWW noch über ein Jahrzehnt in der Zukunft lag. Seitdem hat sich digitale Kriminalität als enorm wandlungsfähig und kreativ gezeigt. Sie kennt weder spezielle Opfergruppen, noch beständige Vorgehensweisen.
Nicht zuletzt aufgrund der enormen Bedeutung der Digitalisierung für die wirtschaftliche Gegenwart und Zukunft muss deshalb die Frage gestellt werden, es überhaupt für die Sicherheitskräfte – ganz gleich ob staatlich oder privatwirtschaftlich – machbar ist, zumindest in Teilbereichen die Cyberkriminalität zu stoppen, oder ob es auch in absehbarer Zukunft eine beständige Sisyphusarbeit bleiben wird.
1. Cyberkriminalität gestern und heute: Ein Überblick
Digitale Kriminalität ist einen weiten Weg gekommen, seitdem ein noch junger Kevin Mitnick im Jahr 1979 in das Computersystem der Digital Equipment Corporation eindrang und dort in Entwicklung befindliche Software stahl. Allerdings stellt der reine Diebstahl von Software nur ein Teilsegment dieser Kriminalitätsform dar. Um die Mammutaufgabe der Verbrechensbekämpfer bewerten zu können, ist es nötig, das Gesamtbild zu kennen.
Definition und Felder
Gemäß der Definition des BKA handelt es sich bei Cybercrime um:
„Straftaten, die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten (Cybercrime im engeren Sinne) oder die mittels dieser Informationstechnik begangen werden.“
Dabei lässt sich Digitalkriminalität grob in zwei Kategorien aufteilen:
- Straftaten, die im oder durch das Internet bzw. eine Netzwerkverbindung geschehen.
- Straftaten, bei denen Digitaltechnik lediglich ein Instrument darstellt, wodurch sie sowohl Tatwaffe wie „Opfer“ sein kann.
In der Praxis findet sich das wichtigste Unterscheidungsmerkmal darin, ob es sich um eine genuin digitale Straftat handelt, die ohne Digital- bzw. Netzwerktechnik nichtexistent wäre oder lediglich um die Nutzung von Digitaltechnik für eine alternative Herangehensweise an ein Verbrechen.
Ein Beispiel für ersteres wäre das Betreiben eines Fake-Shops mit dem Ziel, Nutzerdaten abzugreifen. Typisch für letzteres wäre die Verbreitung illegaler Pornografie über digitale Wege. Die dadurch möglichen Formen von Kriminalität sind von einer großen Vielfalt geprägt. Auch hierbei existieren mehrere Obergruppen, hinter denen sich teils multiple Spielarten verbergen:
- Hacking als unautorisierter Zugriff auf Computersysteme bzw. dort lagernde Daten.
- Malware, die als Werkzeug fungiert, um Systeme zu kontrollieren.
- Identitätsdiebstahl mit dem Ziel, persönliche bzw. personenbezogene Daten zu erlangen.
- Social Engineering, wodurch menschliche Opfer dazu gebracht werden sollen, Informationen preiszugeben und/oder Handlungen zu vollziehen.
- Software-Piraterie, also unautorisiertes Nutzen, Verteilen oder Kopieren von Software.
Hier sei unterstrichen, dass die Ausprägungen von als „Spaß“ gedachten Aktionen bis hin zu handfestem Terrorismus reichen. Das US-FBI spricht bei letzterem folgerichtig auch von Cyber Terrorism. Welche weitreichenden Möglichkeiten sich hinter den übergeordneten Kategorien verbergen, zeigt nicht zuletzt das Bundeslagebild Cybercrime, welches jährlich durch das BKA erstellt wird.
Aufgeschlüsselte Zahlen für Deutschland
Schon seit Jahren steigen die Fallzahlen von Cyberkriminalität auch hierzulande spürbar an. Dabei stellte das Jahr 2019 einen nach bisherigen Auswertungen besonderen Höhepunkt dar: Erstmalig durchbrach der Gesamtschaden die Grenze von 80 Millionen Euro; erreichte einen Endwert von 87,7 Millionen – allein im Bereich Computerbetrug. Auch die Zahl erfasster Fälle von Cybercrime insgesamt stellte in diesem Jahr einen Rekord dar, sie überschritt erstmals die Hunderttausendermarke auf 100.514 Fälle.
Den mit Abstand größten Anteil an diesen Fallzahlen (78.201 Fälle) haben sämtliche Spielarten von digitalem Betrug. Die hierbei häufigste Vorgehensweise ist das Phishing; also die Nutzung täuschend echt wirkender E-Mails und ähnlicher Nachrichten, um ein Opfer zur Preisgabe vertrauenswürdiger Daten zu bewegen – etwa Passwörter – wodurch die Versender weitere Ziele verfolgen, beispielsweise Gelddiebstahl. Aufgrund technischer Entwicklungen hat unlängst auch die Manipulation von Medieninhalten durch KI zwecks Erzeugung von Deep Fakes bedenkliche Formen angenommen.
Das Ausspähen bzw. Abfangen von Daten rangiert mit deutlichem Abstand (9926 Fälle) auf Platz zwei, gefolgt von Datenfälschung und anderen Täuschungen im Rechtsverkehr (8877 Fälle) und der Datenveränderung bzw. Computersabotage (3183 Fälle).
Ausgewählte Zahlen weltweit
Würde man Cyberkriminelle als eine Nation ansehen, so wäre sie die drittgrößte Wirtschaftsmacht des Planeten. Davon zumindest geht das Cybercrime Magazine aus, eine der bedeutendsten themenbezogenen Digitalpublikationen im englischsprachigen Raum.
Denn, so die Autoren, der globale Schaden bzw. „Ertrag“ durch Digitalkriminalität wird 2021 sechs Billionen US-Dollar betragen – das BIP von Deutschland betrug 2019 3,86 Billionen Dollar. Schlimmer noch: Bis Mitte des Jahrzehnts könnte diese „Wirtschaftsleistung“ auf 10,5 Billionen ansteigen, wodurch Cyberkriminalität nicht nur die durchschnittlichen Versicherungssummen durch Naturgewalten übersteigen, sondern auch mehr erwirtschaften würde als der globale Drogenhandel.
Den dabei größten Anteil haben aktuell Schäden, die privatwirtschaftlichen Unternehmen entstehen. Zwar haben kriminelle Angriffe bei Weitem nicht den größten zahlenmäßigen Anteil an digitalen Schäden und Ausfällen in Unternehmen, wohl aber bei der Schadenssumme.
2. Die großen Schwierigkeiten bei der Bekämpfung von Cybercrime
Vor allem die gigantischen Schadenssummen zeigen auf, wie groß das Problem ist. Zeitgleich gibt es aber weltweit kaum eine größere Sicherheitsbehörde, die keine spezielle Abteilung gegen Cybercrime betreibt – und auch der privatwirtschaftliche Kampf ist längst ein eigener, unglaublich lukrativer Wirtschaftszweig.
Doch woran liegt es, dass selbst eine derart geballte Macht bislang keine dauerhaft durchschlagenden Erfolge vermelden konnte?
Die Entwicklung wächst schneller als das Sicherheitsbewusstsein
2019 wurde ein britischer CEO dazu gebracht, 220.000 Euro nach Ungarn zu transferieren. Zunächst klingt dies lediglich nach einem weiteren Fall von CEO Fraud. Allerdings: Erstmals wurde bei diesem Betrugsfall eine per KI erzeugte Kopie einer dem Mann vertrauten Stimme eingesetzt.
Just dieser Fall zeigt eines der größten Probleme der Verbrechensbekämpfer: Zwar hat sich das Sicherheitsbewusstsein mittlerweile allmählich in den Köpfen der meisten Menschen festgesetzt; jedoch geht die Entwicklung neuer Maschen, Vorgehensweisen usw. deutlich schneller vonstatten.
Anders formuliert: Es ist vielen Menschen nicht möglich, sich auf diese ständig wandelnde Bedrohungslage einzustellen. Wenn eine Masche breitgesellschaftlich bekannt wird, darf davon ausgegangen werden, dass digitale Kriminelle längst neue Wege ersonnen haben.
Globales Netz, globale Kriminelle, regionale Strafverfolgung
Private Sicherheitsagenturen arbeiten grenzübergreifend. Auch staatliche Strafverfolgungsbehörden tun sich längst zusammen – im Zweifelsfall über das Cyber Fusion Centre von Interpol. Das Problem ist jedoch, dass es nach wie vor keine globale Instanz gibt, die in den jeweiligen Staaten mit derselben Kompetenz wie die dortigen Behörden agieren, diese vielleicht sogar übergehen könnte. Eine Art „Welt-Digitalpolizei“. Auch Interpol kann dies nicht, denn dabei handelt es sich de jure nur um einen Verein und de facto um eine Verbindungsorganisation zwischen nationalen Polizeibehörden.
Ein großes Problem: Denn so, wie die Digitalisierung keine Rücksicht auf Staatsgrenzen nimmt, tun es auch Cyberkriminelle nicht. Keinesfalls vereinfacht wird dies dadurch, dass für alle möglichen Formen von Cybercrime in beinahe jedem Land andere Strafen drohen, andere Ermittlungsgrundlagen und -kompetenzen bestehen.
Für die Kriminellen ist dieses Kompetenzwirrwarr ein Glücksfall. So können sie darauf vertrauen, dass sie selbst im Fall einer Aufdeckung – welche sie oftmals kunstvoll verschleiern können – längst nicht so hart belangt werden, wie es angesichts des Schadens denkbar wäre.
Die kriminelle Kreativität und Anpassungsfähigkeit sind atemberaubend
Die bisher genannten Hürden wären bereits hoch, wenn Cyberkriminelle statisch agieren würden. Doch tatsächlich ist dieses Metier von einer unglaublich hohen Anpassungsfähigkeit gekennzeichnet. Nur als ein Beispiel von vielen: Experten schätzen, dass pro Monat allein 1,5 Millionen neue Phishing-Websites erstellt werden. Jedes Jahr kommen rund hundert neue Ransomware-Familien hinzu – nach einem bisherigen Allzeithoch 2017, als es sogar 327 waren.
Die Neue Zürcher Zeitung fasst es folgendermaßen zusammen:
„Doch die Täter hinter dem System zu ermitteln, ist eine Herkulesaufgabe. Die Infrastruktur der organisierten Verbrecherbanden befindet sich in Ländern, mit welchen eine Zusammenarbeit schwierig ist. Auch der Weg des Geldes ist praktisch nicht nachverfolgbar. Denn sobald betrogene Anleger oder Malware-Opfer ihre Beträge überweisen, verschwinden diese in einem gigantischen Geldwäscheapparat, werden quer über den Globus gejagt, auf unzähligen Konten vermischt, aufgeteilt und weitertransferiert. Im Einzelfall sind die Strafverfolgungsbehörden machtlos. Ihnen bleibt meist nichts anderes übrig als die Einstellung der Untersuchung. Einerseits ist der Betrug zu gut gemacht, als dass man Fehler finden könnte. Es gibt schlicht keine Ermittlungsansätze. Andererseits haben die Staatsanwaltschaften und Polizeien noch keine Antwort auf die agilen Betrüger gefunden.“
Die Trägheit der Politik
Wie weiter oben beschrieben drang Kevin Mitnick bereits 1979 in das Computersystem eines Unternehmens ein. Belangt wurde er dafür jedoch erst 1988. Der Grund dafür war, dass die USA bis zum 1986 verabschiedeten Computer Fraud and Abuse Act gar kein wirklich wirksames Rechtsmittel besaßen, um unrechtmäßiges Eindringen in Computer zu ahnden. Bis dahin wurden derartige Straftaten noch als Mail and Wire Fraud behandelt, also Betrug via Post und Kabel, was in der Praxis jedoch jegliche Griffigkeit gegen Cyberkriminalität vermissen ließ.
Dieser Fall zeigt erneut beispielhaft, warum Cyberkriminelle es auch heute noch leicht haben: Ebenso, wie das Sicherheitsbewusstsein in der Bevölkerung nicht der Bedrohungslage folgt, verhält es sich auch in den Parlamenten und Regierungszimmern. Zumal hier noch vielfach hinzukommt, dass Parteipolitik und demokratische Prozesse ein Vorankommen weiter verlangsamen können.
Letztendlich fallen auch die behördlichen Bekämpfungsversuche hierunter: Wie gut Staaten auf Cybercrime reagieren können, hängt in entscheidendem Maß davon ab, wie sehr die Regierenden die Bedrohungen erkennen und entsprechende Mittel für die Behörden freigeben – das BKA beispielsweise konnte erst 2020 seine Abteilung CC (Cybercrime) gründen, nachdem zuvor die Bekämpfung lediglich ein Teilbereich der Abteilung SO (Schwere und Organisierte Kriminalität) war.
Die Welt wird künftig eher noch datenintensivier und digitaler
- träge, notgedrungen nach „analogen“ staatlichen Mustern arbeitende Behörden
- zu langsam reagierende Politiker und politische Prozesse
- hohe Fähigkeiten, mafiöse Strukturen, teilweise staatliche Beteiligungen
- limitierte Kompetenzen privatwirtschaftlicher Bekämpfer und oft eine zu geringe Zusammenarbeit mit den Behörden
Allein diese vier Punkte ergeben in der Kombination eine toxische Mischung, welche die Bekämpfung von Cyberkriminalität erschwert. Zu allem Überfluss kommt noch hinzu, dass die Welt und ihre Bevölkerung Tag für Tag noch ein Stück digitaler wird und noch mehr Bereiche in diesen Raum verlagert.
Für die Bekämpfung der analogen Kriminalität mag das ein Glücksfall sein; der Kampf gegen Cyberkriminalität wird dadurch jedoch immens erschwert. Denn, sobald irgendeine neue Entwicklung getätigt wird, dauert es mittlerweile häufig nicht einmal mehr Monate oder Wochen, bis die ersten Kriminellen beginnen, sich diese Entwicklung zunutze zu machen.
Das Image der „Guten“ genügt oft nicht zur Nachwuchsanwerbung
Für immer mehr junge Menschen ist „irgendwas mit IT“ der Berufsweg, den sie am Ende der Schullaufbahn einschlagen. Und gerade heute, wo sich in dieser Generation praktisch nur noch Menschen finden, die keine Welt ohne Digitaltechnik mehr kennen, könnten die Kriminalitätsbekämpfer aus einem riesigen Pool qualifizierter Bewerber schöpfen – theoretisch.
Praktisch jedoch gilt: auch die Kriminellen können dies. Zwar wird sicherlich nicht jeder junge IT-Experte zum Kriminellen oder hegt auch nur die geringste Neigung dazu. Das Problem ist jedoch, dass auch längst nicht genügend junge Profis ihren beruflichen Weg in der digitalen Verbrechensbekämpfung sehen.
Vielfach können die staatlichen Behörden nur das Image der „Guten“ ins Feld führen, teilweise gepaart mit beruflicher Sicherheit durch Verbeamtung. Doch angesichts der Tatsache, was sich als App-Entwickler, ITAdministrator in Rechenzentren und ähnlichen Jobs in der freien Wirtschaft verdienen lässt, fehlt es meist gänzlich an dem, was auf der Gegenseite junge Menschen vielfach erst motiviert, eine digitale Verbrecherlaufbahn einzuschlagen: Ein attraktives Gehalt.
3. Für und Wider zur möglichen Erreichung des Ziels
Das vorangegangene Kapitel zeichnet durchaus ein düsteres Bild des Status quo und der mittelbaren Zukunft. Allerdings sollte dies nicht dazu verleiten, die Ausgangsfrage dieses Artikels vorzeitig zu beantworten. Denn tatsächlich ist ein Erfolg, zumindest in Teilbereichen, mittlerweile nicht mehr so unmöglich, wie es noch vor wenigen Jahren den Anschein hatte.
Die Bekämpfung wird durchaus globaler und vernetzter
Es ist zwar unbestritten eine Tatsache, dass beispielsweise das FBI ebenso unter alleiniger US-amerikanischer Hoheit agiert, wie es das BKA in Deutschland tut und das DGSI in Frankreich. Allerdings muss anerkannt werden, dass die internationale Zusammenarbeit der Strafverfolgungsbehörden in der jüngeren Vergangenheit dennoch stark verbessert wurde.
Zwar hapert es auf nationaler zwischenbehördlicher Ebene wie auch auf internationalem Level immer noch an vielen Stellen, jedoch hat sich unter dem Eindruck der Bedrohung zumindest die früher oft eklatante Eifersuchtskultur gewandelt – wodurch Behörden und Staaten Informationen für sich behielten, anstatt sie für eine gemeinsame Bekämpfung auch anderen zugänglich zu machen.
So haben sich mittlerweile 16 Nationen unter dem Europol-Dach der Joint Cybercrime Action Taskforce (J-CAT) zusammengefunden, um grenzüberschreitende Bekämpfung zu erleichtern. Auch haben die Behörden in vielen Nationen ihre bisherige Abschottung gegenüber der Privatwirtschaft aufgegeben, arbeiten deshalb beispielsweise im Verbund mit Unternehmen aus dem Bereich Digitalsicherheit zusammen, wodurch ein enormer Kompetenz-Boost erfolgen kann.
Langsam endet die Schweigekultur
Opfer einer Straftat zu werden, bedeutet immer schon für manche Menschen ein selbst- oder fremdauferlegtes Stigma. Auch Cyberkriminalität macht hier keinen Unterschied, zumal bei dieser Form von Straftaten noch zwei verstärkende Faktoren hinzukommen:
- Cybercrime wird je nach Art nicht als „echte“ Straftat wahrgenommen; beispielsweise, wenn nur ein Virus entdeckt wurde, dieser aber keinen Schaden verursachte.
- Je nach Position sehen viele Menschen es als schamvoll an, Opfer von Cyberkriminellen geworden zu sein.
Infolgedessen wurde und wird eine große Zahl digitaler Straftaten nicht angezeigt, dies beklagt auch das BKA noch in seinem jüngsten Lagebild.
Allerdings sind verschiedene Experten auch der Ansicht, dass sich die Kriminellen derzeit „selbst ein Bein stellen“: Dadurch, dass immer mehr Menschen ungeachtet ihres Standes zum Opfer werden, scheint es so, als dass die stigmatische Schweigekultur derzeit auftaut. Zwar wird es noch lange Zeit dauern, bis jede Form von Cybercrime so selbstverständlich angezeigt wird wie beispielsweise ein Wohnungseinbruch; jedoch ist der Anfang durchaus gemacht.
Quantencomputer und starke KI könnten die Wende bringen – vielleicht
Die digitale Welt steht derzeit an einem Scheideweg, denn sie steht kurz davor, dass Quantencomputer einen breiten Einzug halten – und damit eine Technik, die nicht wie bislang evolutionär, sondern vollkommen revolutionär ist. Zumindest in den ersten Jahren nach dem Durchbruch könnten die staatlichen Behörden hier eine wichtige Oberhand gewinnen. Denn Quantencomputer können durchaus durch ihre extreme Leistungsfähigkeit nicht nur zur Verbrechensbekämpfung, sondern auch zur Prävention herangezogen werden. Zudem wird es dauern, bis derartige Computer allen zugänglich sind – womit staatliche Stellen mitunter zu den ersten Nutznießern gehören könnten.
Allerdings muss klar sein, dass dieses Zeitfenster sehr schmal ist. Bis Quantencomputer auch anderen Nutzern zur Verfügung stehen, und somit natürlich auch Kriminellen, wird nicht viel Zeit vergehen. Dann kann sich diese Technik ins Gegenteil verkehren, da sie natürlich auch in der Lage ist, bislang als unbezwingbar geltende Verschlüsselungen zu durchbrechen.
Ein weiterer Fokus liegt deshalb auf starker KI – also Künstliche Intelligenz, die selbstlernend ist und auch jenseits eines eng eingegrenzten Spektrums agieren kann, ungleich zu schwacher KI. Diese wird nach Ansicht von Experten wohl Anfang/Mitte der 2030er zu erwarten sein. Ähnlich wie Quantencomputer hat auch sie einen Dual Use, kann also sowohl für wie gegen Cybercrime eingesetzt werden. Dennoch dürfte auch hier zunächst ein Zeitfenster zu erwarten sein, in dem staatliche Stellen eher Zugriff darauf haben als Kriminelle.
Weitere Voraussagen wären jedoch unrealistisch. In Sicherheitskreisen geht man deshalb davon aus, dass es schlimmstenfalls auf eine weitere Verlagerung bzw. eine neue Form von digitalem Wettrüsten zwischen Verbrechern und Verbrechensbekämpfern hinausläuft.
Zusammenfassung und Fazit
Wird es in absehbarer Zeit jemals einen Tag geben, an dem die digitalen Verbrechensbekämpfer verkünden können, zumindest eine bestimmte Art von Cyberkriminalität endgültig gestoppt zu haben? Vielleicht. Denn, obwohl Kriminalität immer die Natur hat, sich neue Wege zu suchen, so zeigt doch ein Blick in die analoge Welt, dass es durchaus möglich ist, in bestimmten Bereichen die Oberhoheit zu erlangen und zu halten; beispielsweise bei Bankraub oder Schusswaffenkriminalität, die in vielen Ländern erfolgreich eingedämmt werden konnten und in den Kriminalitätsstatistiken der jüngeren Zeit kaum noch eine Rolle spielen.
Allerdings wäre es nach heutigem Stand wohl vermessen anzunehmen, dass es künftig gar keine digitale Kriminalität mehr geben könnte. Dazu müsste sich etwas ändern, was weder in der Hand von Sicherheitsexperten noch Wissenschaftlern liegt: das menschliche Naturell.
Titelbild von Nomad Soul via Adobe Stock
Artikel per E-Mail verschicken