Der Bund Deutscher Kriminalbeamter - BDK - hat im Juli 2010 ein Positionspapier zur Computerkriminalität vorgestellt (1), das von seinem Vorsitzenden Klaus Jansen propagiert und für die Öffentlichkeit erklärt wird. So bedürfe es auch eines „Reset-Knopfs für das Internet“, mit dem das Kanzleramt Deutschland im Ernstfall sofort vom Netz nehmen könne. „Nur so lässt sich eine laufende Attacke schnell stoppen“. (2) Dagegen regt sich sofort die Kritik (3).

Die Kernaussage steht im Vorwort des Positionspapiers: Zur  Bekämpfung der Internetkriminalität ... muss <die Politik> der Kriminalpolizei und der Justiz auch das notwendige zusätzliche Personal und die rechtlichen und technischen Instrumentarien zur Bewältigung dieser Aufgabe zur Verfügung stellen sowie für die erforderlich personelle Qualifizierung Sorge tragen (1). Die meisten Forderungen betreffen deshalb die Organisation, Qualifizierung und Besoldung (1., 2., 3., 14.), die Schaffung staatsanwaltschaftlicher Zentralstellen und gemeinsamer Ermittlungskommissionen (6., 7.) und eine zentrale Meldestelle für kriminelle Transaktionen (13.). Solche Forderungen sind nicht neu, sondern verbreitet und berechtigt (4). Über die Einzelheiten wird sicher gestritten werden.

Das gilt auch, soweit der BDK die Entwicklung internationaler Standards für die IT-Forensik (5.), die Entwicklung standardisierter Sachbearbeitungsverfahren (4.) und die Ausweitung der polizeilichen internationalen Rechtshilfe verlangt (8.). Sprengstoff birgt insoweit nur die weiter gehende Forderung in Nr. 4.: Verzicht auf Datenerhebungen und Beweissicherungen in Ermittlungsverfahren, bei denen Ermittlungserfolge nicht zu erwarten sind – Konzentration der Ermittlungen auf die aufklärungsintensiven Delikte, vermehrte täterbezogene Ermittlungen.
 

Prävention
verlässliche Identifizierung
verdeckte Ermittlungen im Internet
Löschung von Malware
Internet-Reset
Fazit
 

Beschränkung der Datenerhebung

Das rührt an dem gesetzlich festgeschriebenen Legalitätsprinzip, das die Staatsanwaltschaft dazu verpflichtet, wegen aller verfolgbaren Straftaten einzuschreiten ( § 152 Abs. 2 StPO). Gleichwohl trägt das Strafverfahrensrecht auch in einzelnen Bereichen dem Opportunitätsprinzip Rechnung, wenn es Verfahrenseinstellungen wegen geringer Schuld ermöglicht ( §§ 153, 153a StPO) und tatsächliche Anhaltspunkte fordert, die fachkundig hinterfragt und bewertet werden müssen (5). Außerdem verlangt Nr. 5a RiStBV im Zuge der Ermittlungen die Vermeidung unnötiger Kosten.

Auch im Zusammenhang mit den Diskussionen um die begrenzten Personalressourcen in der Justiz wird immer häufiger die Frage nach der Opportunität der Strafverfolgung von Bagatelldelikten (6) gestellt, wenn sie als Masse die effektive Verfolgung schwererer Straftaten be- oder verhindert.

Die Forderung des BDK nach einer Konzentration der Ermittlungen auf die aufklärungsintensiven Delikte (Nr. 4) lässt sich dann realisieren, wenn die auch geforderten internationalen Standards für die IT-Forensik erweitert werden um die Erfahrungswerte, wie die Cybercrime aufgestellt ist, funktioniert und sich fortentwickelt. Damit lassen sich die Ermittlungsmethoden auch wegen ihrer Erfolgsaussichten bewerten. Die Kehrseite davon ist, dass sie wie eine Justizverweigerung wirken können, wenn vorschnell die Aussichtslosigkeit weiter gehender Ermittlungen ins Feld geführt wird.

An dieser Stelle ist kriminalistisches Fingerspitzengefühl gefragt und keine generelle Order.
 

 
Mehrere Forderungen beschäftigen sich mit der Vorbeugung und Verhütung der Cybercrime: Verstärkung der Präventionsarbeit zur Verhütung der Computerkriminalität (Nr. 11) und dies verbunden mit einem stärkeren Verbraucherschutz gegen Abo-Fallen, kriminelle Callcenter, Spams usw. (Nr. 12), die Verpflichtung zu sicherheitsfördernden Maßnahmen und einer Meldepflicht wegen krimineller Aktivitäten (Nr. 13).

Die Adressaten der Nr. 13. sind unklar. Die Erfahrungen mit dem Onlinehandel, Homebanking und dem Skimming zeigen, dass die Betreiber und Banken erst dann in Sicherheitstechnik und -maßnahmen investieren, wenn die Kosten dafür geringer sind als die Schäden, die sie ohne sie erleiden. Diese Strategie ist kurzsichtig und blendet die Imageverluste aus, die mit mangelnder Sicherheit verbunden sind, auch wenn die Kunden keine nennenswerten Schäden erleiden. Mustergültig ist insoweit die Finanzwirtschaft, die im Zusammenhang mit dem Phishing und dem Skimming einen solidarischen Schadensausgleich geschaffen hat. Das ändert jedoch nichts daran, dass eine allgemeine Verunsicherung wegen dieser Kriminalitätsformen um sich greift.

Eine Vorsorge- und Meldepflicht für gewerbliche Händler ist denkbar, zumal die Sicherheit der Informations- und Kommunikationstechnik schon jetzt standardisiert ist (8). Gegen eine Meldepflicht werden sich jedoch die Lobbyverbände wehren und mit den damit verbundenen Kosten argumentieren. Befürchten, aber nicht eingestehen werden sie, dass mit einer Meldung immer auch das Eingeständnis verbunden ist, unvollständige Sicherheitsvorkehrungen getroffen zu haben. In den USA führt das zur unmittelbaren Haftung und persönlichen Schadensersatzpflicht von Unternehmensvorständen.

Eine private Meldepflicht halte ich hingegen für sinnlos, nicht zuletzt wegen des Massenproblems. Wer meldet, hat auch den Anspruch, ernst genommen und über den weiteren Verlauf unterrichtet zu werden. Das lässt sich beim Massenphänomen Cybercrime nicht mit angemessenem Aufwand leisten.
 

 
Auf Widerstand wird der BDK auch mit seiner Forderung stoßen, zur sicheren Erledigung von Rechtsgeschäften im Netz <eine> verlässliche Identifizierung des Teilnehmers mit digitalen Signaturen einzuführen. Dagegen wendet bereits Twister ein, dass die Identifizierung mit digitalen Signaturen nichts gegen den Identitätsdiebstahl ausrichtet, weil nicht der Mensch sondern nur sein Identitätsmuster geprüft wird (9).

In der Tat geht das zu weit, was der BDK-Vorsitzende in Absolutheit fordert [siehe Kasten links]. Nicht jedes Bagatell- und Alltagsgeschäft macht individuelle Datenschatten erforderlich (10). Nicht umsonst verlangt das Datenschutzrecht nach Datensparsamkeit ( § 3a DDSG) und fordert das Telemediengesetz, dass die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen ist ( § 13 Abs. 6 TMG). Auch insoweit gilt, dass eine Identifizierungspflicht nur bei bedeutenden Geschäften verlangt werden kann. Wer die Möglichkeiten fördern will, die das Signaturgesetz schon seit neun Jahren bietet, muss für Akzeptanz werben und den Aufwand sowie die Kosten für den Anwender auf ein Mindestmaß verringern.

Fehl geht auch der von Twister geäußerte Fatalismus. Sicher sind die Cyberkriminellen erfinderisch und anpassungsfähig. Gezielte und gut durchdachte Maßnahmen bremsen jedoch auch die Cybercrime aus, das zeigen das Gesetz gegen den Missbrauch von Mehrwertdiensten aus dem April 2003 (11), das die extremen Missbräuche durch 190-0-Nummern und Dialer beendet hat, und die Einführung des iTAN-Verfahrens (12), die von den Phishern einen deutlichen Strategiewechsel erzwungen hat (13).

Signaturen und entkoppelte Verfahren, wie zum Beispiel das mTAN- (14) und die biometrischen Erkennungsverfahren (15), errichten so starke Hürden, dass die Täter einen Aufwand treiben müssten, der sich nicht lohnt und dessen Erfolg dennoch zweifelhaft bliebe.
 

 
Neben einer schnellen und effektiven polizeilichen Rechtshilfe (Nr. 8) fordert der BDK auch die Schaffung von Ermächtigungsnormen in der StPO und den Polizeigesetzen für offene und verdeckte Ermittlungen im Internet, speziell auch in Social Networks (Nr. 9).

Verdeckte Ermittlungen in diesem Sinne sind polizeiliche Aktivitäten, die ein Beamter durchführt, ohne sich als Polizist erkennen zu geben. Insoweit wird unterschieden zwischen dem verdeckten Ermittler, der sich dauerhaft unter einer Legende bewegt, und dem nicht offen ermittelnden Polizeibeamten - NOEP, der sich auf ganz wenige Kontakte mit den Zielpersonen beschränken muss (17).

Nur für den verdeckten Ermittler, der auf einen bestimmten Beschuldigten angesetzt ist oder der Wohnräume betreten soll, verlangt § 110b Abs. 2 StPO eine gerichtliche Zustimmung zum Einsatz. In allen anderen Fällen genügt die Zustimmung der Staatsanwaltschaft ( § 110b Abs. 1 StPO), wobei der Einsatz grundsätzlich auf die schwere und organisierte Kriminalität beschränkt ist (18).

Die Voraussetzungen und Grenzen für verdeckte Ermittlungen im übrigen sind von der Rechtsprechung entwickelt worden (19). Besonders wichtig ist insoweit das Urteil des BVerfG über die Voraussetzungen der Zulässigkeit der Onlinedurchsuchung (20). Danach ist es der Strafverfolgung unbeschränkt erlaubt, öffentliche Quellen im Internet zu nutzen, solange nicht durch die Kombination mit anderen Daten die Grenzen überschritten werden, die die informationelle Selbstbestimmung zieht.

Auch die Erkenntnisse aus geschlossenen Benutzerkreisen sind verwertbar, wenn sie mit verdeckten Methoden oder mit Zugangsdaten erreicht werden, die freiwillig oder durch offene Ermittlungen offenbart werden. Das betrifft auch geschlossene Benutzerkreise,  in denen sich die Polizei ohne Offenbarung ihrer Identität bewegt.
 

 
Wenn jedoch der Zugang zu geschlossenen Benutzerkreisen durch technische Manipulationen erlangt wird (Keylogging, Abschaltung von Zugangssicherungen), dann ist die geschützte Integrität von itS betroffenen, so dass insoweit nur aufgrund einer gesetzlichen Ermächtigung und in einem förmlichen Verfahren gehandelt werden darf, das das BVerfG formuliert hat.

Dadurch entsteht ein gestuftes System [siehe Kasten links]. Die erste Stufe ist von der allgemeinen Ermittlungsermächtigung in § 161 Abs. 1 StPO gedeckt und bei jeder Form von Kriminalität berechtigt. Für die zweite Stufe muss das gelten, was der BGH bereits 1996 im Zusammenhang mit der "Hörfalle" ausgeführt hat (21): Die Erkenntnisse dürfen dann verwertet werden, wenn es um die Aufklärung einer Straftat von erheblicher Bedeutung geht und die Erforschung des Sachverhalts unter Einsatz anderer Ermittlungsmethoden erheblich weniger erfolgversprechend oder wesentlich erschwert gewesen wäre.

Unklar ist der Begriff "Straftaten von erheblicher Bedeutung". Das schließt jedenfalls die Bagatellkriminalität aus, so dass sich der Maßstab empfiehlt, der auch für den Einsatz verdeckter Ermittler gilt: Es muss sich um schwere Kriminalität handeln oder im Ausnahmefall um mittlere Kriminalität (22).

Die dritte Stufe verlangt nach den Voraussetzungen des § 100a StPO und dessen Straftatenkatalog (23). Für die vierte Stufe gibt es keine Regeln in der Strafprozessordnung. Sie betrifft die Onlinedurchsuchung (24), die nicht zulässig ist.

Zuzugeben ist dem BDK, dass die Zulässigkeitsvoraussetzungen für Internetermittlungen nur schwer zu klären sind. Das hier vorgestellte System leistet eine Orientierungshilfe.

Ob gesetzliche Regelungen dieselbe Klarheit schaffen würden, ist fraglich. Sie würden jedenfalls neue Berichtspflichten und Hemmnisse erwarten lassen (25). Das kennt man schon.
 

 
Mit Nr. 10 fordert der BDK Ermächtigungsnormen für die Entfernung von Malware, Trojanern und Viren, die sich meist ohne Wissen des Nutzers auf Rechnern „einnisten“.

Die Forderung ist äußerst problematisch und wichtig ist nicht, dass sie erfüllt, sondern dass das dahinter stehende Problem diskutiert und gelöst wird.

Malware und vor allem die Malware, die zur Steuerung von Botnetzen eingesetzt wird, ist modular aufgebaut. Zunächst besteht sie nur aus den Programmteilen, die für die Injektion und Infiltration nötig sind. Schon dann werden die Programmteile vom Server des Angreifers nachgeladen, die für den dauerhaften Betrieb nötig sind. Später werden auch Updates und neue Komponenten installiert.

Gelingt es der Polizei, infizierte Rechner zu identifizieren oder in einen C&C-Server (Command & Control) einzudringen, hat sie auch die Möglichkeit, auf die Zombies, also die infizierten Rechner einzuwirken und die dort aktive Malware abzuschalten. Das klingt gut. Der freundliche Zugriff birgt aber erhebliche Gefahren.

Aus der Fernwartung vernetzter Systeme ist bekannt, dass selbst unter optimalen Bedingungen immer wieder etwas schief gehen kann. Optimale Bedingungen heißt, dass alle am Netz angeschlossenen Rechner von gleicher Bauart sind, dieselben Programme haben und identisch konfiguriert sind.
 

 
Den Betreibern von Malware ist es im Endeffekt egal, ob das angegriffene System zerstört wird oder nicht. Sie suchen nach den Möglichkeiten, möglichst viele Zombies möglichst lange missbrauchen zu können. Sie sind keine zerstörungslüsternen Vandalen, ansonsten aber eiskalt. Sie wollen das System übernehmen und wenn es dabei kaputt geht, ist ihnen das egal.

Das darf der Polizei aber nicht egal sein. Wenn sie - aus welchen guten Motiven auch immer - auf fremden Rechnern Programme löscht oder umkonfiguriert, übernimmt sie eine immense Verantwortung.

Die Diskussion um die heimliche Bereinigung infizierter, aber fremder Rechner wird schon seit ein paar Jahren geführt. Es gibt sogar Fälle, in denen die Bereinigung einfach und gefahrlos gewesen wäre. Das ändert aber nichts an der Tatsache, dass immer ein Eingriff in fremde Systeme erfolgen müsste, den das BVerfG grundsätzlich ablehnt (26).

Bei allem Wohlwollen möchte ich eine generelle Ermächtigung der Polizei zu solchen Bereinigungen nicht. Im Einzelfall und wenn es um die Abwendung einer wirklich schweren Gefahr geht, mag eine Eingriffsbefugnis berechtigt und eine gesetzliche Regelung nötig sein. Wichtiger erscheint es mir aber, Mechanismen zu entwickeln, die beim Zugangsprovider des Opfers ansetzen und es warnen, damit es die Bereinigung in Eigenverantwortung durchführen kann. Das kann dann auch mit Strafdrohungen und der konsequenten Netzabschaltung verbunden sein.

Die Forderung zu Nr. 10 bedarf somit der breiteren Diskussion. Nichts für ungut!
 

 
Ich habe eine Ahnung davon, worauf der BDK-Vorsitzende Jansen hinaus will. Seine Äußerung greift zu kurz und war im Rahmen eines journalistischen Interviews fehl am Platz. Im Ergebnis ist seine Forderung auch falsch.

Nationale Gefahren wie die eines Atomkrieges birgt der heiße Cyberwar, den ich in dem Arbeitspapier Netzkommunikation beschrieben habe. Dabei handelt es sich um eine gezielte, zerstörerische Auseinandersetzung mit den Mitteln und gegen die gegnerischen Infrastrukturen der Netzkommunikation. Der Begriff umfasst nicht nur militärische Akteure, sondern auch politische Aktivisten, Unternehmen und die organisierte Cybercrime (28).

Die Gefahr eines Cyberwars ist real und Hinweise auf seine noch kalte Phase gibt es genug. Um ihn abzuwenden oder sogar zu bestehen ist ein "Reset" aber die falsche Methode.

Reset bedeutet Neustart und damit ist zwingend verbunden: Abschalten. Das bedeutet auch, dass erst einmal alle Netze abgeschaltet sind - mit Ausnahme militärischer oder anderer Netze, die eine unabhängige technische Infrastruktur betreiben und deren Betreiber auf dem ersten Blick paranoid wirken.

Krankenhäuser, Polizei und andere Betreiber kritischer Infrastrukturen wären beim Reset ihrer Handlungsfähigkeit beraubt. Genau das will der Angreifer im heißen Cyberwar erreichen, um andere destruktive Aktionen durchführen zu können. Das Reset spielt ihm in die Hände.

Eine (Teil-) Netzabschaltung hilft nur gegen die organisierte Cybercrime und gegen Angriffe im Rahmen des kalten Cyberwars. Gemeint sind vor allem DoS- und Hacking-Angriffe (29). Sie dienen zur taktischen Erkundung, zur Sicherung von Angriffsressourcen und zur Sicherung der eigenen Angriffsposition.
 

 
Viel wichtiger ist die Redundanz der physikalischen und technischen Netz-Infrastruktur. Nur sie verspricht im Ernstfall Stabilität und Verfügbarkeit von Netzdiensten.

Teile des Netzes müssen dabei abschaltbar sein, wenn ihre Verwaltungskomponenten kompromittiert sind. Für sie gilt dasselbe wie für den Grundgedanken des Internets: Wenn einzelne Netzknoten infolge eines Krieges ausfallen, dann muss die Netzkommunikation über Umwege über andere Verbindungsstrecken geführt werden.

Jansen ist auf halber Strecke hängen oder missverstanden geblieben.

Die Reset-Strategie hilft vorübergehend in einer noch ungefährlichen Phase des Cyberwars. Um ihn wirklich zu bestehen, bedarf es größerer Anstrengungen. Wer sich auf sie beschränkt, verliert im heißen Cyberwar.
 

 
Die Forderungen des BDK sind weitgehend berechtigt und in Teilen zu kurz bedacht. Das gilt besonders für die Prävention, die verlässliche Identifikation bei der Teilnahme am eCommerce und am eGovernment sowie wegen der Deaktivierung von Malware auf fremden Rechnern.

Ziemlich daneben liegt der Vorsitzende des DBK wegen seiner persönlichen Forderung nach einem Reset-Schalter für das Internet. Er würde nur verhältnismäßig harmlose Angriffe im Rahmen des kalten Cyberwars verhindern können und im heißen Cyberwar fatal sein.

Dennoch bin ich dem DBK äußerst dankbar. Die aufgestellten Forderungen regen die längst nötige Diskussion um die allgemeine digitale Sicherheit an. Dabei ist das Gleichnis zum Atomkrieg zwar überzeichnet, aber im Prinzip nicht falsch.

Wenn die technische kommunikative Infrastruktur zusammen bricht, dann werden die Menschen nicht daran sterben, dass das so ist. Sondern daran, dass die Versorgung mit Strom, Wasser, Gas, Nahrungsmitteln und Kraftstoff nicht mehr funktioniert. Arbeitsstätten, Schulen und andere Versammlungsorte zum Erfahrungsaustausch und für die gegenseitige Abstimmung werden nur noch beschwerlich erreichbar sein und die Menschen werden sich auf die Sicherung ihrer Höhlen und lokalen Sozialsysteme konzentrieren.

Der heiße Cyberwar wird, wenn er erfolgreich ist, die Opfer nicht allesamt töten, aber zurück in das frühe Stadium der Industrialisierung treiben. Wenn alles schief geht: In die Steinzeit der Jäger und Sammler.
 

 
Ich habe lange Jahre im Kalten Krieg mit der Gefahr gelebt, dass sowjetische Atomraketen über mir explodieren oder amerikanische Kurzstreckenraketen dasselbe tun. Sprengbares Material ist hinreichend unkontrollierbar im Umlauf. Während die sowjetischen Machthaber noch kalkulierbar waren, weil sie rational dachten, ist das bei religiösen und verblendeten Eiferern und kriminellen Hassadeuren nicht der Fall. Im heißen Cyberwar würde es sich sehr gezielt einsetzen lassen.

Ich habe den Cyberwar beschrieben und wünsche ihn keineswegs herbei. Er ist eine Folge der Globalisierung. Die wirtschaftliche Globalisierung wird aber nicht mehr in Frage gestellt. Sie schafft unkontrollierte und rechtsfreie Freiräume, die außer der Tatsache, dass sie bestehen, keine Berechtigung haben.

Wir brauchen neue Regeln, ihre Kontrolle und Sanktion, wenn sie nicht eingehalten werden. Das geht nur, wenn die Globalisierung nicht als Wert an sich behandelt wird, sondern als Umgebungsvariable. Man kann sie nicht wegdiskutieren. Sie ist da und muss sich wegen ihrer vorteilhaften Auswirkungen beweisen. Das müssen wir ihr auch abverlangen! Sonst machen wir uns alle zu Opfern von zynischen Profiteuren.
 

 
(1) Computerkriminalität (Cybercrime), BDK Juli 2010

(2) Sven Rebehn, Kriminalbeamte fordern Ausweis fürs Internet, Osnabrücker Zeitung 17.07.2010

(3) Twister (Bettina Winsemann), Von Resetknöpfen und Machtphantasien, Telepolis 30.07.2010

(4) Laufbahn für Cybercops, 29.07.2010;
Straftaten mit der Informations- und Kommunikationstechnik, 09.03.2010;
digitale Spaltung der Gesellschaft. Cybercrime, 25.10.2009 (zum Koalitionsvertrag 2009).

(5) Geltung von Beweisen und Erfahrungen, 29.11.2009

(6) leichte, mittlere und schwere Kriminalität, 2007

(7) (2)

(8) Social Engineering. Risikofaktor Mensch, 01.03.2009;
Gefährdungskataloge im Grundschutzhandbuch der BSI.

(9) (3)

(10) Datenschatten in der Überwachungsgesellschaft, 27.06.2010
 

 
(11) Nummerntricks. Wider dem Missbrauch, 31.11.2008;
Gesetz zur Bekämpfung des Missbrauchs von 0190er-/0900er-Mehrwertdiensterufnummern, 09.08.2003

(12) Sicherheit von Homebanking-Portalen, 22.03.2008

(13) Basar für tatgeneigte Täter. Phishing, 11.04.2010

(14) Bezahlen mit dem Handy,, 25.01.2008

(15) biometrische Erkennungsverfahren, 01.02.2009

(16) Fazit: BVerfG zur Onlinedurchsuchung. Verdeckte Ermittlungen, 05.04.2008;
leichte Abwandlung in der Stufe 2.

(17) geheime Ermittlungen. Verschiedene V-Personen, 20.04.2008

(18) Anlage D zur RiStBV - Neufassung 2008, 3. Voraussetzungen der Zusicherung der Vertraulichkeit/Geheimhaltung

(19) geheime Ermittlungen. Einsatz von Vertrauenspersonen, 20.04.2008;
siehe zuletzt: heimlicher Mitschnitt, 02.07.2010.

(20) BVerfG: Onlinedurchsuchung, 05.04.2008;
BVerfG, Urteil vom 27.02.2008 - 1 BvR 370/07, 595/07
 

 
(21) sinngemäße Belehrung, 03.07.2010;
BGH, Beschluss vom 13.05.1996 - GSSt 1/96.

(22) (18)

(23) (un)zulässige Quellen-TKÜ, 31.10.2009;
Online-Zugriff an der Quelle, 08.11.2008.

(24) Mit Hängen und Würgen und unbrauchbar, 21.12.2008 (Onlinedurchsuchung im BKA-Gesetz).

(25) Das besondere politische Misstrauen gegen die Strafverfolgung zeigen schon jetzt die Berichtspflichten in den §§ 100b Abs. 6, 100e und 100g Abs. 4 StPO.

(26) (20)

(27) (2)

(28) Arbeitspapier Netzkommunikation, S. 24.

(29) So schon meine Kritik an Dan Brown: Brown, Diabolus, 14.02.2009