Die Welt steht vor dem Abgrund. Ein Supervirus, das den gesamten Planeten vernichten soll, ist bereit, auf eben diesen losgelassen zu werden. Dahinter steckt eine Gruppe an Cyberterroristen. Doch die Hacker Mia, Sasser und Neo alias INSOMNIA haben diese bereits entdeckt. Ein Wettlauf mit der Zeit beginnt… Dieses Szenario aus dem Roman „Cyberwar: Der 3. Weltkrieg“  von Franziska Nelka ist gar nicht so weit hergeholt, denn auch heute tobt bereits ein „Krieg“ im Netz. Laut dem deutschen Nachrichtenmagazin Der Spiegel verpflichten Regierungen, Geheimdienste und Militär Hacker und Programmierer, um fremde Computernetze anzugreifen, Daten zu stehlen und Schäden anzurichten. Ein Beispiel: „2009 ermittelten Forscher des Information Warfare Monitor, dass die Rechner von Behörden, Organisationen und Regierungen in 103 Ländern geknackt worden seien. Als Ursprung der Attacken wurde (…) China ausgemacht. Dass der Staat als Drahtzieher fungierte, konnte man aber nicht nachweisen.“

Die EU-Strafverfolgungsbehörde in Den Haag, Europol, weist in ihren Berichten der vergangenen Jahre ebenfalls auf die steigende Gefahr von Cybercrime hin. Bereits in unserer Januar-Ausgabe erzählte Noch-Europol-Chef Rob Wainwright (im Mai wird er von Catherine de Bolle, der Generalkommissarin der Nationalpolizei Belgiens abgelöst, Anm.) von fehlenden Sicherheitsvorkehrungen der Unternehmen, dem steigenden Organisationsgrad der Kriminellen sowie der Rolle von Europol in diesem Rahmen. Vor diesem Hintergrund unterstreicht Wainwright besonders die Wichtigkeit der Zusammenarbeit von öffentlichen und privaten Partnern, um Computerkriminalität erfolgreich zu bekämpfen. Dies sei im Rahmen vieler Operationen bereits erfolgreich bewiesen worden: Die Operation „Avalanche“ wurde 2016 umgesetzt und war laut Wainwright einer der technisch komplexesten „Takedowns“ in der Geschichte des Cybercrime. Dabei handelte es sich um ein internationales Konglomerat, das seit 2009 aktiv gewesen war. Alleine in Deutschland verursachte es durch Cybercrime-Angriffe auf Online-Banking-Systeme einen Schaden von rund sechs Millionen €. Ein anderes Beispiel war das Ausschalten von AlphaBay und Hans im Juli 2017, zwei der größten kriminellen Darknet-Marktplätze (Nutzer surfen dort völlig anonym, Anm.) zu der Zeit. Dort wurde neben Waffen, Drogen und Malware auch gefälschte Dokumente gehandelt. Aber wie sieht es in den kommenden Jahren aus, welche großen Herausforderungen kommen auf Europol im Speziellen und globale Strafverfolgungsbehörden im Allgemein zu? Prognosen wie jene von Cybersecurity Ventures schätzen, dass sich die durch Cybercrime verursachten Schäden bis 2021 jährlich auf sechs Billionen US-$ belaufen werden. Da wollten wir noch einmal nachfragen…

Wie geht Europol mit einem „Forecast“ wie jenem von Cybersecurity Ventures um?
Der genaue finanzielle Schaden ist schwer einzuschätzen, insbesondere wenn es sich um eine globale Schätzung handelt. Denn es fehlt an einer einheitlichen Definition von Cybercrime und es ist schwierig festzustellen, was überhaupt einen finanziellen Schaden darstellt oder wer dadurch tatsächlich Verluste erleidet. Wir kommen also maximal zu einer groben Schätzung. Einige Kosten lassen sich leichter festmachen: so etwa die direkten finanziellen Einbußen als auch die steigenden globalen Investitionen in Cyber-Sicherheit. Andere Angriffsziele, an denen ein Schaden entstehen kann, sind schwieriger zu bewerten, etwa der Ruf eines Unternehmens oder der Verlust von geistigem Eigentum.

Wenn man den Fokus auf den finanziellen Schaden durch Cyberkriminalität legt, besteht die größte Herausforderung darin, einen kriminellen Zugriff auf Daten zu verhindern. Kriminelle kennen den Wert von Daten, wie sie durch die Ransomware-Attacken (persönliche Daten und Zugangsberechtigungen von Nutzern werden abgegriffen, mittels Ransomware verschlüsselt und anschließend Lösegeld verlangt, Anm.) sowie durch einen blühenden Untergrund-Markt gezeigt haben. Dort können alle möglichen wertvollen persönlichen Daten erworben werden. Nach wie vor machen Cybercrime-Attacken Schlagzeilen und zeigen damit, wie anfällig Organisationen für solche Angriffe sind.

Ransomware-Attacken steigen laut dem Internet Organised Crime ­Threat Assessment (IOCTA) von Europol 2017 am stärksten an. In welchen Bereichen sind sie besonders gefährlich?
Für Ransomware werden Cloud-Computing-Lösungen und Unternehmen ein lukratives Ziel sein. Sie haben einen großen Einfluss, da sich die Menschen in unserer Gesellschaft daran gewöhnt haben, ihre Daten in der Cloud zu haben um überall und jederzeit darauf zugreifen zu können. Neben dem Datenzugriff und dem anschließenden „Diebstahl“ stellen jedoch auch Manipulationen eine erhebliche Bedrohung dar. Ein Beispiel hierfür könnte die Manipulation von Wählerstimmen sein, wenn Bürger die Möglichkeit haben, an elektronischen Wahlen teilzunehmen. Daher ist das Kernprinzip der Informationssicherheit besonders wichtig: Vertraulichkeit, Integrität und Verfügbarkeit. Eng damit verbunden ist das Thema des Missbrauchs von Kryptowährungen. Dieses hat in den letzten Jahren immer mehr an Bedeutung gewonnen hat und ist zweifellos eine große Herausforderung für die kommenden Jahre. Kriminelle erpressen ihre Opfer mit Zahlungen in Kryptowährungen zum Beispiel durch Ransomware- oder DDoS-Angriffe (ein spezieller Internetdienst wird stillgelegt, Anm.). Dadurch wird es schwieriger, diese Zahlungen im Rahmen der Strafverfolgung zu ahnden. Eine weitere Herausforderung im Zusammenhang mit Kryptowährungen ist der Diebstahl von Verarbeitungsleistung von (infizierten) Maschinen für Kriminelle. Kriminelle können zum Beispiel Malware (eine gewisse Art von Schadsoftware, Anm.) auf infizierten Computern installieren, die das Mining der Kryptowährungen durchführt.

Hinter dem Schlagwort Internet of Things (IoT) steht die weitflächige Vernetzung von Geräten, Maschinen und Devices über das Internet. Ein „gefundenes Fressen“ für Kriminelle?
Es gilt das Potenzial sowohl für Angriffe auf als auch durch die Nutzung des IoT zu identifizieren. Obwohl dieses Thema schon seit einiger Zeit diskutiert wird, wird es in den kommenden Jahren noch schlagender werden. Die DDoS-Angriffe, die Ende 2016 über das Mirai-Botnet gestartet wurden, waren die ersten ernsthaften groß angelegten Angriffe auf unsichere IoT-Geräte. Dennoch müssen Kriminelle das Potenzial für den Missbrauch von IoT-Geräten erst voll ausschöpfen. Das macht es umso mehr nötig, in Zukunft darauf vorbereitet zu sein. Denn 2020 wird es laut Schätzungen weltweit zwischen 20 und 100 Milliarden IoT-Geräte geben.

Sprechen wir über ein anderes Thema im Rahmen der modernen Polizeiarbeit: Predictive Policing. Der Begriff beschreibt die technologische Entwicklung, dass Polizeibehörden auf maschinelles Lernen und Algorithmen setzen, um Verbrechen vorherzusagen, etwa den Tatort, Tatzeitraum oder Deliktstyp. Predictive Policing wird beispielsweise von Polizeidezernaten in Los Angeles, San Francisco, Zürich und München eingesetzt. Arbeitet Europol ebenfalls damit?
Predictive Policing oder die Anwendung von hauptsächlich quantitativen analytischen Techniken, wird als eine Methode angesehen, mit begrenzten Ressourcen effektiver und aktiver arbeiten zu können. Zum Beispiel um zukünftige Kriminalitätsmuster vorherzusagen und gefährdete Gebiete zu identifizieren, um so Verbrechen zu verhindern. Die Möglichkeit, eine Straftat vorauszusagen, hängt aber stark von der Menge der verfügbaren Daten ab. Genauer gesagt: von der Häufigkeit der begangenen Straftaten. Zum Beispiel können Einbrüche und Raubüberfälle mehrmals täglich in einem bestimmten Gebiet auftreten. Durch das Sammeln der Daten und die Verbindung dieser Daten mit den Straftaten können bestimmte prädiktive Faktoren ermittelt werden. Dadurch können einigermaßen zuverlässige Hinweise auf zukünftig zu erwartende Verbrechen gegeben werden. Wenn jedoch eine Deliktsart weniger häufig und unter verschiedenen Umständen begangen wird wie zum Beispiel der gelegentliche Handel mit Waffen, die in einer regulären Fracht versteckt sind ist es viel schwieriger, zuverlässige Faktoren zu finden. Auch die Wahrscheinlichkeit, dass Verbrechen entdeckt und/ oder gemeldet werden, ist ein wichtiger Faktor. Menschen- und Drogenhandel werden etwa seltener entdeckt, während Autodiebstahl und Gewaltverbrechen üblicherweise gemeldet werden.

Macht es für Polizeibehörden überhaupt Sinn, auf derartige technische Lösungen zu setzen?
Viele der Großverbrechen werden auf lokaler oder nationaler Ebene behandelt. Es ist sinnvoll, dass Polizeikommissariate das Potenzial von Hightech-Lösungen wie maschinellem Lernen und künstlicher Intelligenz nutzen. Einige Abteilungen bewegen sich bereits in diese Richtung. Ein Vorteil ist, dass sie meist sofort auf die Daten zugreifen können, die sie benötigen, um die Maschine zu trainieren. Für Europol gibt es nur einen begrenzten Teil an Straftaten, die in den Zuständigkeitsbereich fallen und die geeignet sind, Daten in großem Umfang zu analysieren, um Delikte vorherzusagen. Zu den wenigen Beispielen gehören bestimmte Arten von Cyberkriminalität wie Ransomware und andere Arten von Hacking sowie Money Muling und Zahlungsbetrug, bei denen kompromittierte Zahlungskartendaten verwendet werden. Ein Nachteil für Europol liegt darin, dass es in den meisten Fällen keinen direkten Zugang zu den kriminologischen Daten hat, sondern die EU-Mitgliedstaaten die Informationen liefern müssen.

Unter anderem aufgrund dieser Faktoren gibt es zurzeit keine Predictive Policing-Programme, die von Europol koordiniert werden. Doch es ist nicht ausgeschlossen, dass einige Pilotprojekte in absehbarer Zeit durchgeführt werden.

Können die nationalen Kriminalitätsraten dadurch tatsächlich reduziert werden?
Bestimmt. Durch die effektive Nutzung von Informationen können knappe Ressourcen gezielter eingesetzt werden. Um dort einzugreifen, wo Probleme, Verbrechen und Bedrohungen der Sicherheit zu erwarten sind. Somit wird auch zur Wirksamkeit von Präventionsmaßnahmen und Ermittlungstätigkeiten beigetragen. Es ist jedoch auch wichtig, sich den Einschränkungen von Predictive Policing bewusst zu sein, denn es wird eine statistische Vorhersage aufgrund von Korrelationen (der kriminologischen Muster, Anm.) getroffen. Aber es besteht nicht unbedingt eine Kausalität (zwischen dem Einsatz derartiger Programme und der Reduzierung der Kriminalitätsrate, Anm.). Daher ist es wichtig, dass die Strafverfolgungsbehörden derartige Instrumente sorgfältig, verhältnismäßig und im Einklang mit den Rechtsvorschriften nutzen.

Die Softwareprogramme in Europa verwenden keine personenbezogenen Daten. In den USA ist dies teilweise anders. Das Chicago Police Department hat zum Beispiel eine „Heat List“ mit den Namen derjenigen Personen entwickelt, die am ehesten in eine Schießerei verwickelt sein könnten. Die Liste wird nicht von Menschen, sondern von einem Algorithmus erstellt. Ist das ein vernünftiger Schritt?
Das hängt vom Zweck und den Besonderheiten des Einsatzes derartiger Programme ab. Die Vorschriften für (den Gebrauch von, Anm.) Schusswaffen sind in den USA und den EU-Mitgliedstaaten sehr verschieden. Es ist unklar, ob diese Algorithmen Personen aus einem Pool von Tatverdächtigen oder Strafgefangenen auswählten oder aus dem Register der Schusswaffenbesitzer. In der EU erlauben es die nationalen Rechtsvorschriften eher, dass bereits bekannte Verdächtige und Strafverurteilte „getrackt“ werden als die breite Öffentlichkeit. Aber auch Bürger müssen generell damit rechnen, dass es einen Wandel in diese Richtung geben wird und zwar, dass möglicherweise verdächtige Personen auf Basis von Risikoprofilen herausgefiltert werden.