Auf manche Traditionen ist Verlass. Zum 1. Mai berichten Medien verstärkt über Arbeitsbedingungen. Anlässlich des Black Fridays gibt es massenweise Schnäppchentipps, durchbrochen von konsumkritischen Kommentaren. Und die jährliche Vorstellung des Bundeslagebilds Cybercrime – wenn auch kein Feiertagsanlass – flankieren Texte über die Bedrohungen aus dem Internet.
Heute war es wieder Zeit für das alljährliche Ritual zur Cyberkriminalität „im engeren Sinne“. Denn im vorgestellten Lagebild geht es nicht um die Straftaten, bei denen jemand mit einer Online-Landkarte Fahrradparkplätze ausfindig gemacht hat, um dann mit dem Bolzenschneider loszuziehen. Sondern es geht um solche Kriminalität, die sich direkt gegen IT-Systeme richtet.
Das sind beispielweise Ransomware-Infektionen, bei denen dann die Systeme eines Krankenhauses außer Betrieb gesetzt und Unternehmen erpresst werden. Oder wenn jemand bei Banken Daten abgreift, um sie für kriminelle Zwecke zu verkaufen. Oder, nach Verständnis des BKA, auch „Hacktivismus“, im Bericht vor allem in Form von DDoS-Angriffen, die Websites und Dienste lahmlegen.
Die gewohnten Phrasen
Inhaltlich war es, wie beinahe jedes Jahr, wenig aufregend. Bundesinnenministerin Nancy Faeser hat die Übersicht gemeinsam mit BKA-Chef Holger Münch und BSI-Präsidentin Claudia Plattner vorgestellt. Es fielen die gewohnten Phrasen. Faeser verweist auf das große Dunkelfeld mit dem obligatorischen Eisberg-Bild und sagt den Satz, den man immer sagen muss: „Die Bedrohungslage im Bereich der Cybersicherheit bleibt hoch.“ Münch verweist rollengerecht auf Ermittlungserfolge, Plattner auf notwendiges Bewusstsein bei Unternehmen und Bevölkerung.
Der Trend, so das Lagebild, weise sogar ein bisschen nach oben. Ein bisschen wie immer, nur schlimmer also. Vor allem bei den sogenannten Auslandstaten, denn die stiegen laut der Erhebung um 28 Prozent. Wobei das genau genommen nur aussagt, dass man nicht so recht weiß, wo die Täter:innen eigentlich sitzen. Vielleicht sind sie ja auch in Deutschland, aber gut genug getarnt. Dann werden sie statistisch als Auslandstaten erfasst. Eine Kategorie für Taten mit unbekannter Herkunft? Fehlt.
Die Straftaten, von denen man zu wissen glaubt, dass sie aus dem Inland kommen, „stagnieren auf hohem Niveau“. Und da haben sie etwas gemeinsam mit den Vorstellungen der Bundesregierung, wie man das ändern könnte. Denn auch heute kaute besonders Innenministerin Faeser die üblichen alten Ideen wieder und ließ dabei wichtige andere Maßnahmen außer Acht.
Mit Vorratsdatenspeicherung das Thema verfehlt
Eine Vorratsdatenspeicherung, da bleibt sich Faeser treu, fordert sie direkt und vehement ein. Vom neuesten Urteil des Europäischen Gerichtshofs fühlt sie sich in ihrer Meinung gestärkt. Das Problem ist jedoch: Eine Vorratsdatenspeicherung verhindert keinen Cyberangriff. Noch dazu hat sie mit Cyberkriminalität im engeren Sinne – und darum geht es ja im Lagebild – direkt nichts zu tun. Das zeigen auch Faesers eigene Beispiele, etwa Darstellungen sexualisierter Gewalt gegen Kinder. Hier weicht die Innenministerin zugunsten ihrer Agenda deutlich vom Thema ab.
Wenn es hingegen um Maßnahmen geht, mit denen Cyberkriminalität im engeren Sinne bekämpft werden kann, bleibt Faeser auf der Pressekonferenz teilweise so nebulös wie das beschworene Dunkelfeld bei den den entsprechenden Straftaten.
Zwar will die Innenministerin „weitere Maßnahmen schaffen, die es dem Bund erlauben, bei schweren Cyberangriffen schnell zu handeln“ und sie erfolgreich abwehren. Aber welche sind das? Das verrät Faeser nicht und so kommen Assoziationen an die kontroverse Hackback-Diskussion auf. Momentan fordern zwar vor allem CDU-Politiker das Zurückhacken als Reaktion darauf, dass russischer Hacker jüngst mutmaßlich die Infrastruktur der SPD angegriffen haben. Doch auch Faeser fiel bereits früher durch Sympathien für die Gegenangriffe auf.
Konkret wiederholt sie das auf der Pressekonferenz zwar nicht. Sie will sich jedoch, so verspricht sie, für „die notwendigen Instrumente“ einsetzen.
„Keine Straftat ist uns die liebste Straftat“
Holger Münch spricht wie Claudia Plattner schon mehr darüber, wie man mehr reale IT-Sicherheit bekommen könnte – durch resiliente Systeme und Prävention. (Auch wenn sich Münch den Verweis auf notwendige Gesetzesänderungen nicht nehmen lässt, damit das BKA mehr Gefahrenabwehrbefugnisse ausüben darf.) „Keine Straftat ist uns die liebste Straftat“, so der BKA-Chef. Man könnte auch in Tradition von IT-Sicherheitsforschenden sagen: „Verteidigung ist die beste Verteidigung.“
Doch auch hier bleiben wichtige Schritte, die sich ja sogar schon im Koalitionsvertrag der Ampel-Parteien finden, unerwähnt. Sie scheinen wenig populär zu sein und drohen in der sich dem Ende zuneigenden Regierungszeit unterzugehen. Dabei funktionieren sie ganz ohne Grundrechtseingriffe, ganz ohne IT-Sicherheitskollateralschäden. Es geht vor allem um zwei Dinge: die notwendige Reform der sogenannten Hackerparagrafen und ein konsequentes Schwachstellenmanagement.
Schweigen zu Hackerparagrafen und Schwachstellenmanagement
Bei ersterem steht die Entkriminalisierung von ethischer IT-Sicherheitsforschung im Fokus. Finden ethische Hacker:innen etwa bei Unternehmen Sicherheitslücken und melden diese verantwortungsvoll, sind sie oft vom guten Willen der Betroffenen abhängig. Reagieren die Unternehmen unsouverän, droht ihnen eine Anzeige – letztlich dafür, dass sie die gesamte IT-Welt ein bisschen sicherer machen wollten.
Dieses Problem für Sicherheitsforschende und so auch für die IT-Sicherheit insgesamt wollte die aktuelle Bundesregierung angehen, der Ball liegt beim Justizministerium. Das hat im vergangenen Jahr ein Symposium zum Thema organisiert und will in der ersten Jahreshälfte 2024 immerhin einen Gesetzentwurf vorlegen. Doch die Zeit dafür wird knapp.
Beim Schwachstellenmanagement ist im Gegensatz zu den Hackerparagrafen nicht einmal der Wille der Regierung erkennbar, zu einer konsequenten Lösung zu kommen. Dabei ist das Prinzip einfach und logisch: Wird eine Sicherheitslücke etwa durch eine Behörde entdeckt, sollte sie etwa dem zuständigen Bundesamt für Sicherheit in der Informationstechnik gemeldet werden. Damit sie geschlossen werden kann. Damit hat nicht nur der Entdecker der Lücke die Chance, seine Systeme abwehrfähiger zu machen, sondern alle, die von der gleichen Lücke betroffen sind. Und das sind häufig ganz viele verschiedene Unternehmen, staatliche Behörden und Privatpersonen. Was ist das Problem?
Es gibt kein Privileg auf Sicherheitslücken
Zu dieser Konsequenz kann sich vor allem Nancy Faeser offenbar nicht durchringen. Denn Behörden wie die Polizei oder Geheimdienste haben ein Interesse daran, Schwachstellen für ihre eigenen Interessen offenzuhalten und sie beispielsweise für Staatstrojaner zu nutzen. Das aber betrifft am Ende nicht nur die IT-Sicherheit einiger Krimineller, sondern die der gesamten Gesellschaft mit kaum überschaubaren Folgen. Es gibt kein Privileg für staatliche Stellen, Sicherheitslücken nur „für das Gute“ auszunutzen.
Solange sich die Regierung nicht dazu durchringen kann, sich konsequent zum Wohl und für die IT-Sicherheit aller einzusetzen, bleibt das Raunen von der Cyberbedrohung und die Lancierung neuer Befugnisse eine traditionsgeprägte Inszenierung. Jeder kann seinen Teil dazu beitragen, unser aller IT-Sicherheit zu erhöhen. „Nicht klicken, sondern erst mal gucken“, fasst das Holger Münch zusammen.
Bundesinnenministerin Faeser hat indes noch ein paar mehr Möglichkeiten an der Hand. Sie könnte gemeinsam mit anderen dazu beitragen, die Sicherheitsprobleme der digitalen Welt an der Wurzel zu packen. Solange sie das aber nicht tun, bleibt das Rufen nach mehr Befugnissen vor allem eines: unglaubwürdig und bedeutungslos.
Super Bildmaterial!
Hat niemand wirklich was anderes erwartet ;-)
Cyberkriminalität soll bekämpft werden, während man selbst Sicherheitslücken auf dem Schwarzmarkt einkauft und die Cyberkriminalität somit noch unterstützt. White hat hacking und die Schließung von Sicherheitslücken werden kriminalisiert, aber Staatstrojaner sind Gesetz und der Staat vereinbart währenddessen Deals mit der NSO Group, die sogar in den USA wegen Menschenrechtsverstößen auf der schwarzen Liste steht. „Unglaubwürdig“ ist da tatsächlich eine sehr nette Formulierung.
Und „keine Straftaten“ gibt es trotz Skynet und der großen Firewall nicht einmal in Peking…
also mal wieder der wunsch nach kugelsicheren westen, die von polizei-kugeln durchschlagen werden können, wenn verbrecher sie tragen. phantastereien aus dem polizei-hq. und faeser ist wieder vorne mit dabei, damit die bürger nicht an zu viel freiheit zu grunde gehen.
Not well done, no relevant checks and balances, no competence, full double-rape intrusion.
Naja, noch ein Report. Demnächst wohl dann wieder: Rapport (Militär)
Vorratsdatenspeicherung für Beschäftigte der Bundesverwaltung besteht seit Jahren.