Europol macht Jagd auf "Cyberkriminalität" und "Hacktivismus"
Die immer umfangreichere EU-Polizeiagentur Europol erhält ab morgen weitere Kompetenzen. Der "Europäische Polizeikongress" lädt deren Chef nach Berlin
Ab dem 1. Januar eröffnet in Den Haag das Europäische Zentrum zur Bekämpfung der Cyberkriminalität. Unter dem Kürzel EC3 wird das Zentrum innerhalb der Abteilung Operations Department in Betrieb genommen. Leiter ("Product Manager") des neuen Zentrums ist der frühere dänische Geheimdienstchef und jetzige Krimi-Autor Troels Oerting. Zwar ist bislang nicht vorgesehen, dass das EC3 eigene Ermittlungen betreibt oder auf dem Hoheitsgebiet anderer Staaten tätig wird. Jedoch sollen die entsprechenden Strukturen und Maßnahmen der EU-Mitgliedstaaten unterstützt werden. Dies gilt sowohl in technischer, analytischer und forensischer Hinsicht.
Der Einrichtung des EC3 ging eine Umstrukturierung der gesamten Architektur Europols voraus: Der Bereich "Cybercrime" hat als drittes Standbein nun die gleiche Wertigkeit wie "Terrorismus" und "Organisierte Kriminalität". Ein eigens für das EC3 herausgegebenes Hochglanz-Factsheet beschreibt dessen Notwendigkeit mit dem Schutz des ökonomischen Wachstums der Europäischen Union. 146.000 internetbezogene Betriebe würden jährlich eingerichtet. Es wird auch erwähnt, dass Facebook bereits eine Milliarde Nutzer habe.
Europol wird mit dem EC3 endgültig in seinen Aktivitäten hinsichtlich des Cyberspace aufgewertet. Bereits in früheren Papieren wurde der Bereich "Cyberkriminalität" als wichtige Priorität herausgestellt. Die Agentur fungiert als "Wissenszentrum" für die Mitgliedsstaaten, indem Informationen gesammelt und weitergegeben werden. Im Juli 2010 wurde bei Europol die "Cyber Crime Task Force" (EUCTF) gegründet. Dort organisieren sich Polizeibehörden der EU-Mitgliedstaaten zusammen mit der "High Tech Crime Unit" von Europol, der EU-Kommission und der EU-Agentur zur justiziellen Zusammenarbeit (Eurojust). Zu den Aufgaben der EUCTF gehören die "Intensivierung des Informationsaustauschs" und die "Entwicklung von Strategien zur effektiven Bekämpfung von Cybercrime". Auch das deutsche Bundeskriminalamt entsendet einen Mitarbeiter seiner Fachdienststelle zur "Bekämpfung von "Cybercrime".
Das digitale Herz von Europol sind weitgehende "Analysedateien" (AWF), die in umfangreichen Dossiers Informationen zu Personen, Sachen und Vorgängen speichern. Angaben zu "kriminellen im Internet operierenden Gruppen" werden in den AWF "Cyborg" und "Twins" gespeichert. Europol betreibt eine Stelle zur Meldung von Straftaten im Internet und hat einen "digitalen Untergrund" ausgemacht, der sich unter anderem durch "unerlaubtem Zugang zu Sabotagezwecken", "Verletzung der Rechte des geistigen Eigentums", dem Versenden von Spam oder Angriffen auf Informationssysteme unbeliebt macht.
Längst geht Europol auch gegen Netzaktivismus vor: Zusammen mit Interpol hatte sich die Agentur beispielsweise innerhalb der "Operation Unmask" an Razzien gegen vermeintliche Mitglieder des Anonymous-Netzwerks beteiligt. Dessen Federführung hatte die "Latin American Working Group of Experts on Information Technology Crime" von Interpol. Bei Europol firmierte die Aktion als "Operation Thunder". Gemeldet wurde ein gelungener Schlag gegen "eine Gruppe von Hackern", die mehrerer "Distributed Denial-of-Service-Angriffe" verdächtigt wurden. Laut Europol wurde gegen die Betroffenen seit Juni 2011 durch die "Spanish National Police Cyber Crime Unit" (BIT) ermittelt. Europol hatte sogar ein eigenes Treffen zum Thema "Hacktivism" ausgerichtet, "um die verschiedenen Ermittlungsverfahren zu koordinieren und das weitere Vorgehen zu planen". Dessen Auswertung dauere angeblich noch an, weitere Razzien sind also zu erwarten.
Kooperation mit Unternehmen
Laut Europol soll das neue EC3 mit etlichen anderen Einrichtungen zusammenarbeiten, darunter auch der Industrie. Besonderes Augenmerk gilt den anderen EU-Agenturen CEPOL (EU-Polizeiakademie), Eurojust (als Vorläufer einer EU-Staatsanwaltschaft) und der EU-Agentur für Netz- und Informationssicherheit (ENISA). Auch Nicht-EU-Staaten, Interpol und andere internationale Organisationen, Internet-Regulierungsbehörden und Firmen "aus dem Finanzsektor" gehören zum Apparat des EC3. Eine besondere Rolle kommt den nationalen "Computer Emergency Response Teams" (CERTs) zu, die in allen 27 Mitgliedstaaten aufgebaut werden. Auch mit dem im September eröffneten CERT-EU arbeitet Europol zusammen. Im Arbeitsbericht für 2013 wird ausdrücklich auf die Zusammenarbeit mit den USA abgehoben.
Seit 2001 ist Europol Mitglied der "European Cybercrime Training and Education Group" (ECTEG), die ein "einheitliches Cybercrime Training" erarbeiten und allen Strafverfolgungsbehörden der EU zur Verfügung stellen will. Trainingsmodule werden zusammen mit Universitäten und der Industrie entwickelt. Auch das Bundeskriminalamt ist seit 2008 aktives Mitglied der ECTEG. Im Rahmen gemeinsamer Trainings wird auf die Dienste von der "Microsoft Digital Crimes Unit" oder der "World Vision Australia" zurückgegriffen. Bei forensischen Untersuchungen, etwa im Bereich von kinderpornografischem Material, soll Microsoft mit einer "Photo-DNA"-Anwendung helfen. Laut dem Bundesinnenministerium sollen die Zusammenarbeitsformen sogar ausgebaut werden: Langfristig würden "strategische Partnerschaften mit dem Privatsektor" beabsichtigt.
Neben Ausbildung, Forschung und "Awareness-Initiativen" sind überdies regelmäßige "Trendanalysen" zur zukünftigen Kriminalitätsentwicklung im Bereich Cyberkriminalität vorgesehen. Im sogenannten "Projekt 2020" will Europol beispielsweise Trends im Bereich "Cybercrime" ausfindig machen. Zusammen mit zahlreichen Firmen und Netzanbietern soll das Vorhaben eine Prognose der Entwicklung für die nächsten acht Jahre erstellen. Neben der "City of London police" und der ENISA nehmen hieran auch das internationale Zertifizierungsorganisation "Information System Security Certification Consortium" (ISC) und die "International Association of Public Prosecutors" teil. Aus der Privatwirtschaft sind Visa Europe, die Shop Direct Group, Transactis, Yodel, McAfee, CGI Canada, Atos, Cassidian, Digiware, Core Security Technologies und Trend Micro an Bord.
Das EC3 soll Bedrohungsanalysen erstellen und IT-Systeme auf ihre Verwundbarkeit testen. Spätestens hier offenbart sich die Konkurrenz zu anderen EU-Agenturen (etwa ENISA), die mit den gleichen Aufgaben betraut ist. Damit gerät die EU mit ihren eigenen Grundsätzen in Konflikt, wonach keine (etwa in den Mitgliedstaaten) bereits vorhandenen Strukturen errichtet werden dürfen. Dies wurde dann sogar dem Europäischen Datenschutzbeauftragten (EDPS) Peter Hustinx zuviel: In seiner Stellungnahme zum EC3 fordert er die Kommission auf, die vorgesehenen Aktivitäten näher zu spezifizieren. Im Brüssel-Sprech heißt das, der EDPS würde "mehr Klarheit im Hinblick auf die neuen Kapazitäten und Tätigkeiten begrüßen". Nur so könne deren Vereinbarkeit mit dem gültigen Rechtsrahmen geprüft werden. Hustinx bemängelt, dass Datenschutzbestimmungen nicht als Einschränkung der Effizienz des EC3 betrachtet werden sollen. Die Kompetenzen und vor allem die Datenschutzgarantien des EC3 müssten eindeutig definiert werden. Hierzu gehörten auch der Datentausch mit Dritten und die Analyse solcher Informationen, die "zu kommerziellen Zwecken zusammengetragen wurden".
Mitarbeiter von Europol sind regelmäßige Referenten bei behördlichen Internetausdruckern, die sich jedes Jahr in Berlin zur Verkaufsmesse "Europäischer Polizeikongress" verabreden. Der diesjährige Kongress am 19. und 20. Februar 2013 steht unter dem Titel "Schutz und Sicherheit im digitalen Raum" wieder unter Federführung eines Polizeiredakteurs der Monatszeitung "Behörden Spiegel". Unter anderem wird gegen "Hacker" gewettert, die bei Unternehmen "Geschäftsgeheimnisse" erbeuten würden. Auch Troels Oerting, der Leiter des neuen EC3 von Europol, ist als Referent des "Europäischen Polizeikongress" geladen.
Öffentlichkeit ist dort mitunter unerwünscht: So wurde vor drei Jahren ein dort vom Security-Dienst erkanntes Mitglied des Chaos Computer Clubs hochkant hinausgeworfen. Der Mann geriet in Verdacht, weil im Internet unter dem Pseudonym "CCC-P" zuvor zum Verwanzen der Polizisten-Veranstaltung aufgerufen wurde. Der Aufruf wurde im Kontext des 26. Kongress des Chaos Computer Clubs veröffentlicht, der wenige Wochen vorher ebenfalls im Berliner Congresszentrum abgehalten wurde.
Die Veranstalter entblößten sich nicht, zur Suche nach Abhörtechnik einen Trupp des Bundesamtes für die Sicherheit in der Informationstechnik (in der Zeitung bezeichnet als "Spionage-Experten") durch alle Seminarräume zu jagen. Erst danach war die "Privatsphäre und die Vertraulichkeit des persönlichen Gesprächs" wieder hergestellt, meldete der Polizeiredakteur des "Behörden Spiegel".