Cybercrime vs. Cyberprosecution: Wie das digitale Verbrechen die Strafverfolgung verändert
Zugriff digital
Die Kriminalität hat sich im Laufe der Jahre mehr und mehr ins Netz verlagert. Das erfordert auch Veränderungen bei den Strafverfolgungsbehörden, meint der Autor, der als Oberstaatsanwalt mit der Verfolgung der Cyberkriminellen befasst ist.
Deutschlands Ärzte haben ein Passwort-Problem“ ist die Botschaft einer aktuellen, durch den Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) in Auftrag gegebenen Studie (sie ist wie alle weiteren zitierten Dokumente über ix.de/ix1913098 zu finden). Unter diesem markigen Titel listet die Untersuchung eine Reihe bemerkenswerter Befunde auf. Ermutigend erscheint zunächst das hohe Maß an Bewusstsein für die Bedeutung der IT in Bezug auf die Funktionsfähigkeit der Betriebe. So sagen 78 % der befragten Ärzte, ihr Betrieb sei ohne funktionierende IT-Systeme deutlich eingeschränkt. Das Vertrauen der befragten Praxismitarbeiter in die IT-Sicherheit ihrer Systeme scheint dabei überraschend hoch: 80 % meinen, sie seien ausreichend gegen Cyberkriminalität geschützt.
Erste Zweifel an dieser überaus positiven Selbsteinschätzung nährt der Kontrast zwischen abstrakter und konkreter Betroffenheit. Während 44 % der Befragten das allgemeine Risiko von Arztpraxen in Deutschland, Opfer von Cyberkriminalität zu werden, als eher hoch oder sehr hoch bewerten, sehen nur noch 17 % ein hohes Risiko, es könne die eigene Praxis treffen.
Leider hält die hohe Selbsteinschätzung der Mediziner einem kritischen Faktencheck selbst zu einfachen Grundfragen der IT-Sicherheit nicht stand (Abbildung 1). 22 von 25 durch IT-Experten im Rahmen der Studie genauer untersuchte Praxen nutzen sehr einfach zu erratende Passwörter, etwa den Namen des Arztes oder der Praxis. In ebenso vielen Praxen teilen sich mehrere Benutzer dieselbe Zugangskennung. In 80 % der Studienfälle haben alle Benutzer Administratorenrechte.
Notfallpläne fehlen häufig – ein Dienstleister solls richten
Kaum überraschen kann daher auch die Feststellung, dass nur eine der 25 Testpraxen ein schriftliches Notfallkonzept für den Fall eines IT-Ausfalls erstellt hat. Die anderen Betriebe verlassen sich auf ihren IT-Dienstleister, 10 von 25 Einzelunternehmen haben aber überhaupt keinen entsprechenden Vertrag abgeschlossen. Man möchte bei dieser Sachlage meinen, Deutschlands Ärzte hätten weit mehr als nur ein Passwort-Problem.
Die Studie offenbart unter dem Brennglas einer einzelnen Branchenbetrachtung symptomatische Befunde, deren Tendenzen sich auf weite Teile des Wirtschaftslebens übertragen lassen. Die Untersuchung „Status quo IT-Sicherheit in deutschen Unternehmen“ von Bitkom Research hat bereits im Oktober 2017 eindrucksvoll belegt, dass sich die Wirtschaft in einem trügerischen Gefühl von Sicherheit wiegt. Während mehr als 80 % der Unternehmen bereits IT-Sicherheitsvorfälle tatsächlich oder mutmaßlich verzeichneten, glaubt gleichwohl mehr als die Hälfte der Befragten, IT-Angriffe könnten vollständig verhindert werden.
Lagebild Cybercrime
Die Praxis der Strafverfolgung unternehmensbezogener Cyberkriminalität offenbart leider ein erheblich pessimistischeres Bild. Was gehackt werden kann, wird gehackt werden. Cybercrime hat sich zu einer global organisierten, arbeitsteiligen Untergrundwirtschaft entwickelt, die von dem ökonomischen Kalkül einfacher Tatgelegenheiten mit hohen Ertragschancen bei gleichzeitig gering empfundenem Entdeckungsrisiko befeuert wird. Dabei ermöglicht eine gut ausgebaute Zuliefererstruktur im digitalen Untergrund auch technisch nicht besonders gebildeten Angreifern das Begehen wirkungsvoller Cyberstraftaten. Wer nicht hacken kann, erwirbt Tools und Techniken auf Marktplätzen im Netz. Geldagenten und organisierte Absatzwege der Tatbeute werden wenige Mausklicks weiter gleich ergänzend angeboten.
Mangelnde IT-Sicherheit der Unternehmen trägt zur Attraktivität digitaler Straftaten in erheblichem Maße bei. Wie hoch das Schadenspotenzial einer einzelnen Malware ausfallen kann, hat „Petya/Notpetya“ eindrucksvoll belegt. Das Magazin Wired berichtet, die US-Regierung prognostiziere einen Gesamtschaden in Höhe von 10 Milliarden US-Dollar nur für diesen Malware-Ausbruch. Die jährlichen Kosten der Cyberkriminalität, bezogen auf Deutschland, belaufen sich nach Schätzungen des Branchenverbandes Bitkom und des Bundesamtes für Verfassungsschutz auf 55 Milliarden Euro (siehe ix.de/ix1913098). PwC sieht Cybercrime im Bereich Wirtschaftskriminalität und Betrug bereits auf Platz zwei der am häufigsten gemeldeten Straftaten.
Dabei geraten die nicht primär monetären Folgen der Cyberkriminalität außerhalb der Unternehmenswirklichkeit oftmals allzu leicht aus dem Blick. Schon seit geraumer Zeit schwappt eine Welle sogenannter Sextortion-Mails nach der anderen durchs Netz. Täter behaupten, man habe den Rechner des Opfers und die Webcam gehackt, Aufnahmen sexueller Handlungen des Betroffenen beim Besuch einschlägiger Erotik-Seiten im Netz angefertigt und werde diese nunmehr wahlweise dem Arbeitgeber, den Facebook-Freunden oder der Familie zusenden, wenn das Opfer nicht einen Betrag in virtuellen Währungen als Lösegeld überweise.
Für den IT-Professional ist die Erpressermasche leicht als Fake zu durchschauen. Der weniger IT-affine Durchschnittsbürger sieht sich real und erheblich in seiner Privatsphäre verletzt. Über die Hotlines der Strafverfolgungsbehörden melden sich nicht wenige verzweifelte Anzeigeerstatter. Auch solche Massendelinquenz ist geeignet, das Vertrauen in die digitalisierte Wirklichkeit zu untergraben.
Strategien der Strafverfolgung
Auch die Strafverfolgungsbehörden müssen sich angesichts dieser volkswirtschaftlichen und gesellschaftspolitischen Herausforderungen fragen lassen, welche Handlungskonzepte sie für den digitalen Raum entwickelt haben. Denn wirksame Strafverfolgung muss besonders bei vorwiegend ökonomisch motivierten Tätern einen effektiven generalpräventiven Beitrag leisten.
Polizei und Justiz haben im Kampf gegen Cybercrime in den vergangenen Jahren erheblich aufgerüstet. Die Zeiten, in denen die angeblich mangelnde Kompetenz von Strafanzeigen aufnehmenden Beamten noch für einen Werbeclip einer Antivirus-Firma herhalten konnte (siehe ix.de/ix1913098), sind lange vorbei. Inzwischen sind flächendeckend Spezialdienststellen von Polizei und Justiz entstanden. Aufgrund des föderalen Aufbaus von Polizei und Justiz unterscheiden sich deren Organisationsstrukturen mitunter erheblich. Manche Bundesländer wie Bayern, Nordrhein-Westfalen und Hessen haben sich für eine landesweite Zentralstelle entschieden, bei denen die herausgehobenen Fälle der Cyberkriminalität konzentriert werden. Andere Länder setzen auf eine dezentrale Struktur mit Schwerpunktstaatsanwaltschaften.
Jenseits der Organisationsformen sind erhebliche Anstrengungen unternommen worden, die Behörden mit den erforderlichen Ressourcen auszustatten. So hat etwa Nordrhein-Westfalen seine Zentral- und Ansprechstelle Cybercrime (ZAC NRW), für die der Autor tätig ist, von etwas mehr als fünf Staatsanwältinnen und Staatsanwälten auf 21 Beamte ausgebaut. Allein die Zentralstelle erreicht damit die Personalstärke manch einer kleineren Staatsanwaltschaft, die die Kriminalität eines Landgerichtsbezirks insgesamt zu bearbeiten hat.
Besondere Aufgaben – besondere Dezernate
Eine so schlagkräftige Abteilung ist angesichts der erheblichen quantitativen wie qualitativen Zunahmen der Cyberkriminalität, ihrer hohen Schadenspotenziale und der volkswirtschaftlichen Auswirkungen dringend erforderlich. Während man vor einigen Jahren als Staatsanwältin oder Staatsanwalt noch für das Thema Cybercrime insgesamt Fachkenntnisse erwerben konnte, erfordert die hohe Diversität des Deliktsbildes heute eine Binnenspezialisierung und die Einrichtung phänomenbezogener Sonderdezernate.