Den Begriff „Internetkriminalität“ kann man auf sehr unterschiedliche Weise definieren, aber wie auch immer man ihn bestimmt, in zwei Punkten sind wir uns mit Sicherheit alle einig: 1. Es gibt zu viel davon und 2. Wir müssen mehr tun, um die Kriminellen abzuschrecken. Auch Barak Obama hat vor kurzem darüber gesprochen, dass wir mehr Anstrengungen in die Bekämpfung von Internetkriminalität stecken müssen. Deshalb denke ich, dass es eine passende Zeit ist, sich einmal die Schritte anzuschauen, die dafür notwendig sind.
Ich verstehe unter Internetkriminalität „Verbrechen, bei denen Computer-Netzwerke das Ziel oder ein wesentliches Werkzeug sind“. Das umfasst die lange und stetig wachsende Liste an Vorfällen, die innerhalb der letzten 18 Monate aufgedeckt wurden, einschließlich des Einbruchs in, Datendiebstahls von und/oder DDoS-Angriffe gegen: Target, Home Depot, JPMorgan Chase, Sony Pictures, Microsoft Xbox Live, Sony PSN, eBay, NSA, Adobe, Apple iCloud und Community Health Systems.
Internetkriminalität: Prävention, Abschreckung und Kosten
In diesem Artikel geht es vorrangig um Strategien zur Abschreckung von Internetkriminalität, nicht um Präventionsmaßnahmen. Denn mit Letzerem sind Dinge gemeint, die wir selbst tun können, um unsere Systeme und Daten vor Kriminellen zu schützen, wie z.B. starke Authentifizierung, Verschlüsselung und Programme zur Erkennung und Eliminierung von Malware. Bei der Abschreckung geht es hingegen darum, den Anreiz, derartige Verbrechen zu begehen, herabzusenken, indem das Risiko (erwischt, identifiziert, verhaftet und bestraft zu werden) erhöht und der Nutzen (in Form von Profit) reduziert wird. Zudem müssen soziale Sanktionen, wie eine moralische Verachtung krimineller Handlungen, stärker greifen. Innerhalb der Politik geht man generell davon aus, dass die Kombination aus Präventions- und Abschreckungsmaßnahmen zu einem Rückgang der Kriminalität führt.
Vermutlich sind dir die Gründe bewusst, weshalb wir uns um eine Reduzierung der Internetkriminalität bemühen müssen, aber ich möchte sie dennoch kurz nennen: Internetverbrechen schädigen Unternehmen und Organisationen, deren Kunden und Mitglieder und die Ökonomie. Frag einfach eine beliebige Organisation, die sich mit dem Diebstahl von persönlichen Informationen auseinandersetzen musste oder mit Leuten, deren Daten gestohlen und für Identitätsdiebstahl oder andere Verbrechen missbraucht wurden. In Schritt 6 werde ich mich den finanziellen Auswirkungen von Internetkriminalität intensiver widmen und vor allem auf das Problem des Mangels an aussagekräftigen Daten zur Internetkriminalität eingehen.
Sechs Schritte, um Internetkriminelle abzuschrecken
In Bezug auf die angesprochenen Schritte mache ich mir keine Illusionen. Sie vorzunehmen wird schwierig und nicht jeder wird damit übereinstimmen, vor allem wenn es über den generellen Ansatz hinaus um die konkrete Implementierung geht. Aber ich bin davon überzeugt, dass es jetzt an der Zeit ist, diese Agenda zu verfolgen. Ansonsten wird das Vertrauen in Netzwerktechnologien noch weiter aufgeweicht und die Vorteile der Entwicklung werden immer mehr von den Nachteilen übertrumpft. Und wenn ich sage, dass es an der Zeit ist, dann meine ich damit, dass wir zu Taten übergehen müssen, anstatt nur darüber zu sprechen. Denn wenn man ehrlich ist, war es in der Vergangenheit schon öfter an der Zeit, ohne dass entsprechende Handlungen unternommen wurden. Aber diesen Mangel an Engagement können wir an anderer Stelle besprechen. Hier nun also, was wir unternehmen müssen:
1. Internationalen Druck ausüben
Kein Land sollte Internetkriminalität tolerieren. Jede Nation, die bei solchen Verbrechen wegschaut, sollte von der internationalen Gemeinschaft sanktioniert werden. Gleichzeitig sollten Bemühungen, gegen Internetkriminalität vorzugehen, mit Hilfsmitteln gefördert werden. Wenn ein Land allerdings nicht mit den internationalen Bemühungen zur Bekämpfung der Internetkriminalität kooperiert, sollten Hilfsmittel generell einbehalten oder zumindest reduziert werden.
Hilfsanträge sollten an Bedingungen geknüpft sein. So schlugen zwei US-Senatoren im März 2014 beispielsweise eine Internetsicherheitsänderung für das Ukrainische Hilfspaket vor. Zwar sind diese Änderungen nicht durchgegangen, aber ich denke, dass die Senatoren Mark R. Warner und Mark Kirk auf dem richtigen Weg waren. So forderten sie eine bessere Zusammenarbeit zwischen den USA und der Ukraine bezüglich der Bekämpfung von Internetkriminalität sowie die Gründung einer ständigen, hochrangigen Arbeitsgruppe, die vor allem die folgenden Ziele verfolgt:
- Einen regelmäßigen Dialog über Internetkriminalität führen,
- Möglichkeiten erkunden, um die Fähigkeit der Ukraine zu stärken, in Kooperation mit den Amerikanischen und Europäischen Exekutivorganen Internetkriminalität zu bekämpfen und
- Verbesserte Auslieferungsprozesse zwischen den USA und der Ukraine entwickeln.
Ähnliche Beziehungen sollten wir mit allen Ländern anstreben, in denen sie noch nicht existieren. Warum? Weil Internetkriminalität ortsunabhängig ist. Ein Täter in Land A kann problemlos einen Nutzer in Land B angreifen. Und wenn Land A weder starke Gesetze gegen Internetkriminalität noch den Willen hat, mit Land B zu kooperieren, so wird der Täter mit hoher Wahrscheinlichkeit ohne Strafe davonkommen.
2. Nationale Prioritäten anpassen
Um als gutes Beispiel voranzugehen, sollten die Vereinigten Staaten und andere Länder den Kampf gegen Cyberkriminalität als Priorität anerkennen – und zwar tatsächlich, nicht nur in öffentlichen Reden. Es müssen mehr Ressourcen bereitgestellt werden, um Internetkriminelle zu identifizieren, zu fassen und strafrechtlich zu belangen. Es ist inakzeptabel, dass auf der einen Seite die Kriminellen hinter dem Angriff gegen Target im Jahr 2013 noch immer nicht identifiziert und vor Gericht gestellt wurden und auf der anderen Seite Nutzer, die Opfer von Internetkriminalität waren, mit der Bemerkung abgewiesen werden, dass die Verbrechen nicht schlimm genug seien, als dass man sie ermitteln müsste.
Gewaltverbrechen und Eigentumsdelikte sind in Amerika und in Großbritannien auf einem historischen Tiefstand. Der Missbrauch von Netzwerktechnologien hingegen ist so verbreitet wie noch nie. Dies sollte bei einer Anpassung der polizeilichen Ressourcen berücksichtigt werden. Gleichzeitig sollte die Polizei aufhören, gegen so triviale technische Regelverstöße vorzugehen wie in den Fällen von Andrew Auernheimer und Aaron Swartz. Deshalb habe ich den Vorschlag des Präsidenten sehr begrüßt, den Computer Fraud and Abuse Act zu modernisieren und unerhebliches Fehlverhalten nicht in den Bereich des Gesetzes fallen zu lassen, während Leute, die Insider-Wissen missbrauchen, um Informationen abzugreifen, die sie für eigene Zwecke nutzen, stärker unter Strafe gestellt werden.
Darüber hinaus denke ich, dass Präsident Obama mit seinem Vorschlag, den Verkauf von gestohlenen Finanzinformationen wie Kreditkarten oder Bankkontonummern von Amerikanern im Ausland zu kriminalisieren, auf dem richtigen Weg ist. Zwar scheint es offensichtlich, dass solche Aktivitäten illegal sind, aber je deutlicher dies in Gesetzen formuliert wird, desto leichter ist es, das Anliegen in anderen Ländern geltend zu machen. Andere begrüßenswerte Schritte, die Obama verfolgt und auch in der oben verlinkten Pressemitteilung aufgeführt werden, sind:
- Die Autorität der Bundespolizei ausbauen, um den Verkauf von Spyware zu verhindern, die genutzt wird, um Personen zu belästigen oder deren Identität zu stehlen,
- Gerichten die Autorität geben, Botnets stillzulegen, die für DDoS-Angriffe und andere kriminelle Aktivitäten genutzt werden,
- Den Racketeering Influenced and Corrupt Organizations Act (RICO) aktualisieren, sodass er auch auf Internetverbrechen angewendet werden kann,
- Die Strafen für Computer-Verbrechen klarstellen und
- Sicherstellen, dass diese Strafen den nicht im Internet stattfindenden Verbrechen entsprechen.
3. Mehr Täter schneller fassen
Die Forderung danach, mehr Täter in kürzerer Zeit zu fassen, mag banal klingen, aber es gibt einen Grund, weshalb ich sie extra erwähne. Es gibt eine Reihe an Maßnahmen, die man ergreifen kann, um Kriminelle abzuschrecken. Hierzu gehören höhere Strafen für die Verurteilten, Steigerung der Wahrscheinlichkeit, verurteilt zu werden und eine schnellere Bestrafung im Falle krimineller Handlungen. Es gibt einige wissenschaftliche Auseinandersetzungen mit Kriminalität und eine Menge Forschungsarbeiten über das Thema, welche dieser Maßnahmen am effektivsten sind, um potentielle Kriminelle abzuschrecken.
Bei Befragungen sagen viele Kriminelle, dass das Strafmaß keine Rolle spielt, wenn sie darüber nachdenken, ein Verbrechen zu begehen. Warum? Weil die meisten Kriminellen davon ausgehen, dass sie nicht gefasst werden. Das liegt vielleicht daran, dass viele Täter noch ziemlich unreif sind und sich in ihrem jugendlichen Leichtsinn für unbesiegbar halten (siehe auch Schritt 4), aber unabhängig von den Gründen, spricht auch die folgende Behauptung für dieses Phänomen:
Es gibt nur wenige Hinweise darauf, dass die Steigerung des Strafmaßes eine abschreckende Wirkung hat. Im Gegensatz dazu gibt es beträchtliche Hinweise darauf, dass die Steigerung der Wahrscheinlichkeit, dass es überhaupt zu einer Bestrafung kommt, eine wirklich abschreckende Wirkung hat (sinngemäß aus S. N. Durlauf and D. S. Nagin, 2011).
Mit anderen Worten: Es ist zwar gut, dass Internetverbrechen mit Strafen verbunden sind, die das Ausmaß des Schadens reflektieren, den die Täter den einzelnen Menschen und der Gesellschaft angetan haben, aber härtere Strafen reichen offensichtlich nicht aus, um Kriminelle abzuschrecken. Vielmehr geht es darum, sie schneller zu fassen. Und das erfordert nicht nur einen besseren Einsatz der derzeitig verfügbaren Ressourcen, sondern meiner Meinung nach auch zusätzliche Ressourcen, die explizit für die Ergreifung von Internetkriminellen eingesetzt werden.
(Hinweis: Kriminologische Forschung zur Abschreckung bezieht sich normalerweise auf „traditionelle“ Verbrechen wie Einbruch oder Diebstahl; wenn du Studien kennst, die sich mit Maßnahmen zur Abschreckung von Internetverbrechen beschäftigen, lass es mich bitte wissen.)
4. Internet-Ethik als Fach an Schulen
Internet-Ethik ist nicht zu verwechseln mit Sicherheitsbewusstsein. Während ich ein eifriger Befürworter von Sicherheitsbewusstsein und -bildung bin und denke, dass dies dazu beitragen kann, Internetkriminalität zu reduzieren, sehe ich Internet-Ethik als essentiellen Teil zur Verhinderung von Internetverbrechen an. Schon in jungen Jahren müssen Kinder lernen, alle Arten von Internetkriminalität zu meiden, vom illegalen Kopieren einer Software bis hin zum Diebstahl von Nutzernamen und Passwörtern oder dem Einbruch in fremde Systeme. Dieser Vorschlag mag mit einem langwierigen Prozess verbunden sein, aber ich denke, dass er sowohl direkte als auch langfristige Vorteile bietet:
- Lehrer und Eltern werden in Bezug auf ihr eigenes Internetverhalten ein besseres Verständnis der Folgen erlangen. Viele Kinder bekommen mit, dass sich ihre Eltern im Internet unmoralisch verhalten, indem sie z.B. die Eigentumsrechte anderer missachten.
- Die Kinder werden die Jahre, in denen sie „gefährdet“ sind, mit einem klareren Verständnis dessen erleben, was im Internet richtig und falsch ist. Unzählige Kriminalitätsstudien zeigen, dass Teenager besonders gefährdet sind, auf die falsche Bahn zu geraten und sich an illegalen Aktivitäten zu beteiligen; Kinder mit einer guten moralischen Leitung durch Familie und Schule sind weniger anfällig für solche Entgleisungen, bzw. lassen schnell wieder davon ab, wenn sie doch einmal unrecht handeln.
- Die Gesellschaft als Ganzes wird weniger Toleranz aufbringen für Internetkriminalität. Wir müssen uns von der Vorstellung verabschieden, dass Hacking harmlos und irgendwie cool ist. Wir dürfen nicht kichern, wenn wir hören, dass Johnny in das Schulnetzwerk eingebrochen ist, um seine Noten zu ändern; Johnny und seine Eltern sollten bestraft werden und das kann nur richtig funktionieren, wenn sie verstehen, warum es falsch ist.
Schon früher gab es Bemühungen in diesem Bereich, so hat z.B. mein guter Freund Winn Schwartau schon vor vielen Jahren ein wunderbares Buch zum Thema Internet- und Computer-Ethik für Kinder geschrieben. Dieser Aufruf, zu handeln, ist aufgrund des scheinbar fortwährenden Mangels an Engagement vonseiten der Amerikaner, diese Probleme anzugehen, leider unbeachtet geblieben. Ich kann nur hoffen, dass mittlerweile mehr Leute erkennen, dass das Problem immer schlimmer werden wird, wenn wir nicht handeln.
5. Chancen in Entwicklungsländern verbessern
Wenn viele Menschen bestimmte Fähigkeiten haben, es gleichzeitig aber nicht genügend Jobs für diese Leute gibt, besteht die Gefahr, dass sie ihre Talente für andere, zwielichtige Zwecke nutzen. Das war besonders deutlich zu sehen in Peter Kruses Arbeit zum marokkanischen Phishing Cluster, die er 2013 bei Virus Bulletin vorgestellt hat. Ebenso im Buch „Spam Nation“ von Brian Krebs, wo es unter anderem um die Beschäftigungsmöglichkeiten für russische Programmierer geht, die von der legitimen Software-Entwicklung bis zur Malware-Erstellung rangieren.
Scheinbar begreifen viele Entscheidungsträger nicht so richtig, dass es gleichzeitig einen Mangel an qualifizierten Arbeitskräften in Amerika und einen Überfluss an talentierten Leuten in Entwicklungsländern geben kann. Der Hauptgrund hierfür ist, dass das Internet die einmalige Möglichkeit bietet, sich autodidaktisch fortzubilden. Ein Teenager mit einem Mobiltelefon in Marokko kann sich mithilfe des Internet grundlegende Hacking-Fähigkeiten antrainieren, aber es ist unwahrscheinlich, dass er einen Job finden wird, wo er dieses Talent auf positive Weise nutzen kann.
6. Das Problem richtig bemessen
Um ein Problem zu lösen, muss es zunächst richtig eingeschätzt und bemessen werden. Leider gibt es in der Englisch-sprachigen Welt kaum konsistente Bemühungen, das Problem der Internetkriminalität in objektive Zahlen zusammenzufassen. Und meiner Meinung nach werden die Politik und die Haushaltsplanung hierdurch stark behindert. Wenn man rechtfertigen möchte, dass man für den Kampf gegen Internetkriminalität mehr Ressourcen benötigt, muss man solide Beweise bezüglich des Umfangs und der Tragweite des Problems anführen. Während das US-amerikanische Justizministerium physikalische Verbrechen sehr ausführlich katalogisiert, wurde innerhalb der letzten zehn Jahre leider nur eine Untersuchung zur Internetkriminalität veröffentlicht: Cybercrime against Businesses, 2005. Es wurde gesagt, dass es sich hierbei um den ersten Bericht handle, um Daten über finanzielle Verluste und Ausfallzeiten von Systemen zu erheben, die aus Internet-Vorfällen resultieren. Leider war es auch der letzte.
Auf meine Frage, wann man mit weiteren Berichten rechnen könne, erhielt ich 2014 vom National Criminal Justice Reference Service die Antwort, dass man mir derzeit keine Informationen darüber geben könne. Fragt man nach aktuellen Daten, verweist die Behörde auf folgenden Bericht: US Cybercrime: Rising Risks, Reduced Readiness Key Findings from the 2014 US State of Cybercrime Survey (PDF). Dieser wurde von PricewaterhouseCoopers LLP veröffentlicht, eine GmbH aus Delaware. Zwar ist es möglich, dass ein gewinnorientiertes Unternehmen in der Lage ist, eine objektive Studie über Internetkriminalität durchzuführen, aber innerhalb der Politik ist es immer schwierig, so etwas als Grundlage zu nehmen. Denn, wenn ein Sicherheitsunternehmen solche Informationen bereitstellt, liegt immer der Verdacht nahe, dass die Daten künstlich aufgebläht wurden, um das eigene Geschäft zu stärken. Auch wenn der Vorwurf nicht zutrifft, ist es schwierig, das Gegenteil zu beweisen.
In der Vergangenheit sind einige quasi-staatliche Berichte über Internetkriminalität veröffentlicht worden, insbesondere der CSI/FBI-Bericht, der allerdings 2011 das letzte Mal erschien. Seit 2001 veröffentlicht IC3, das Internet Crime Complaint Center, das mit dem FBI zusammenarbeitet, jährlich den Internet Crime Report. Dieser basiert auf Beschwerden, die von Opfern eingehen und zeigt den rapiden Anstieg an Internet-bezogenen Betrügen (die im Jahr 2013 mit Verlusten von insgesamt 782 Millionen Dollar einhergingen). So nützlich dieser Bericht auch ist, vermag er doch keinen konsistenten und ausführlichen Überblick zu verschaffen. Ich gehe davon aus, dass die globalen finanziellen Schäden, die durch Internetkriminalität entstehen, irgendwo zwischen 225 Milliarden Dollar – die auf Schätzungen von A. Anderson et al. in „Measuring the cost of cybercrime“ aus dem Jahr 2010 beruhen – und 440 Milliarden Dollar liegen – diese Zahl nannten 2013 die Kollegen aus McAfees Zentrum für Strategische und Internationale Studien in ihrem Artikel „economic impact of cybercrime and cyber-espionage“.
Was kommt nun auf uns zu?
Ich kann nur hoffen, dass die Politiker und Entscheidungsträger in D.C. und den anderen Hauptstädten dieser Welt wach werden und sich tatsächlich mit den Problemen und meinen vorgeschlagenen Schritten zur Reduzierung der Internetkriminalität auseinandersetzen. Es müssen Gesetze erlassen, Budgets erhöht und Rivalitäten zwischen Behörden beseitigt werden. Wir müssen alle gemeinsam an einem Strang ziehen, um die Internetkriminalität nachhaltig zu bekämpfen. (Mir ist bewusst, dass es auch andere Zukunftsszenarien gibt, aber es würde mir zu starke Bauchschmerzen bereiten, diese hier zu beschreiben.)
Weiterführende Literatur:
Ablon, L., Libicki, M., and Golay, A. (2014) Markets for Cybercrime Tools and Stolen Data: Hackers’ Bazaar, RAND Corporation, Santa Monica, California. Available: http://www.rand.org/content/dam/rand/pubs/research_reports/RR600/RR610/RAND_RR610.pdf
Durlauf, S. N. and Nagin, D. S. (2011) The Deterrent Effect of Imprisonment, Controlling Crime: Strategies and Tradeoffs, ed. P. J. Cook, J. Ludwig, and J. McCrary, 43-94, University of Chicago Press. Available: http://www.nber.org/chapters/c12078
Koops, B. (2011) The Internet and its Opportunities for Cybercrime, Tilburg Law School Legal Studies Research Paper Series, No. 9/2011. Available: https://pure.uvt.nl/portal/files/1290818/Koops_The_Internet_and_its_opportunities_for_cybercrime_110105_postprint_immediately.pdf