Mirko Manske, BKA:
"Ja, meine Mutter war halt infiziert, mit einem Trojaner…"
Ross Anderson, Cambridge University:
"The problem with Bot-Nets…"
Manske:
"Da hat meine Mutter die Frage gestellt: Ja, was soll ich denn dann noch machen…"
Anderson:
"... that essentially it’s only the FBI…"
Manske:
"…wenn ich nicht einmal mehr glauben kann, dass etwas, was Du postest, auch tatsächlich von dir kommt?"
Anderson:
"...We should have a European level force…"
Manske:
"Letzten Endes ist das eine Frage, auf die auch wir im Moment keine Antwort haben."
Anderson:
"...similar to NATO…"
Manske:
"Letzten Endes ist das eine Frage, auf die auch wir im Moment keine Antwort haben."
Kai Fuhrberg, BSI:
"Spionage ist natürlich auch ein Thema."
Anderson:
"...for Cybercrime, but for Europe…"
Manske:
"Das würde für mich die Grenze überschreiten…"
Anderson:
"...Europe’s police forces."
Manske:
"Also, ich muss immer noch, wenn ich morgens aufstehe, wissen, dass ich der Gute bin."
Ich bin in einem Hotel in Amsterdam. In dem Konferenzraum sitzen 30, 40 Sicherheitsexperten und sehen sich an, wie ihnen ein etwas untersetzter Mann Mitte 50 mit seinem Notebook-Computer etwas vorhackt – Peter Wood nennt sich "ethischer Hacker" und macht sich in dem mehrstündigen Workshop darüber lustig, wie schwach die Passwörter in Computernetzen oft sind, häufig heißt das Passwort einfach nur "Passwort" oder "12345678".
Peter Wood klappert einen Rechner nach dem anderen ab, er sendet so genannte "Ping"-Befehle ins Internet, automatisch, blind, und während ihn die meisten Computer, die er damit erreicht, einfach abprallen lassen, reagieren manche eben doch, sagen: "Hier bin ich, Lauras PC." Und Peter kann sich in Ruhe bei ihr umsehen. Ah, ihre Privatfotos! Der Hacker könnte jetzt unbemerkt ein winziges Programm in ihrem Windows-Verzeichnis absetzen, einen Keylogger, der alle ihre Tastendrücke mit protokolliert, und wenn Peter in einer Woche wieder bei ihr anpingt und Port 6667 immer noch offen ist, holt er den Keylogger zurück und durchsucht die vielleicht Hunderte von Seiten lange Textdatei nach Wörtern wie "Visa" oder "Konto" oder "Passwort", die Laura irgendwann einmal eingetippt hat.
Peter Woods Kunden sind Firmen, die sich um ihre Datensicherheit Sorgen machen. Sie mieten ihn und seine Firma First Base Technologies in London an. Die richtig dicken Fische, insbesondere die Banken, sagt er, sind weitgehend sicher. Aber kleine Firmen und Endverbraucher sind es nicht. Wer setzt schon ausgefallene Passwörter, wer installiert jedes Sicherheitsupdate von Flash, von Java, von Acrobat, vom Virenscanner, von der Firewall? Das ist doch ein Vollzeitjob! Vor allem aber wird die Situation bei immer mehr Internet-Geldtransaktionen unübersichtlich. Wood:
"Virtuelles Geld ist sehr beweglich. Wenn wir zum Beispiel bei einem Online-Händler, also im Internet, etwas kaufen, speichert der unsere Kreditkarten-Informationen auf seinem Computer, denn nur so kann er das Kundenverhalten analysieren, Altkunden wiedererkennen und so weiter. Also behält der Online-Händler diesen Datensatz und schickt eine Kopie an die Abrechnungsstelle des Kreditkarteninstituts, diese schickt eine Kopie an die Bank, die Bank kopiert ihn an die Filiale, die für den Kunden vor Ort zuständig ist. In jeder dieser Transaktionen gibt es viele Teilnehmer, die sich alle nicht kennen. Woher nimmt der eine die Gewissheit, dass man dem anderen trauen kann? Das Vertrauensnetz wird sehr dünn."
Peter Wood trägt ein schwarzes T-Shirt, darauf in pixeliger Ur-Computerschrift die Worte: "Game Over".
Besuch in Wiesbaden beim Bundeskriminalamt. Das Amt lässt vor meiner Anreise per Inpol überprüfen, ob ich auch "sauber" bin. Bin ich offenbar. Am massiv gesicherten Tor fragt ein Bauarbeiter, ob es, wenn er drin ist, eine Toilette gibt, die er benutzen könnte. Leider nein. Dafür muss er wieder herausfahren.
Mich holt der Pressesprecher ab, wir fahren die paar Meter zum Gebäude, in dem also gegen die Computerkriminalität ermittelt wird, bundesweit. Wir sind etwas zu früh an diesem Vormittag. Während wir über den dunklen Flur des ehemaligen Kasernengebäudes laufen, um die Teeküche zu suchen, werfe ich ein paar Blicke in die Büros. Sie sind vollgestellt mit Computern und Flachbildschirmen, nur an wenigen sitzt jemand. Eine an Schulter und Arm tätowierte junge Frau kriecht hinter ihrer PC-Verbarrikadierung hervor und zeigt uns freundlich die Kaffeemaschine und wo der Zucker ist.
Durch den Spalt der nächsten Tür sehe ich, wie ein braun gebrannter, kurzhaariger Mittdreißiger seinem Team an einer Tafel etwas aufmalt: Mirko Manske, Leiter des Bereichs "Cybercrime" beim Bundeskriminalamt. Als sie alle gehen und der Raum für das Interview frei wird, wischt Mirko Manske die Tafel schnell ab. Sie haben nix gesehen? Natürlich hab ich nichts gesehen. Er schüttelt mir die Hand – wie zu erwarten, ein sehr fester, drahtiger Händedruck. Kein verhuschter Computer-Nerd ist das, sondern jemand, den man sich im Krimi vorstellt. Überhaupt kommen sie mir alle, die ich in der Abteilung gesehen habe, gar nicht wie Beamte oder brave Polizisten vor.
Heißt die Abteilung wirklich "Cybercrime"? Ja, die heißt wirklich so. Hieß früher "Informations- und Kommunikationskriminalität". Mirko Manske hat den Bereich umgebaut, modernisiert. Er ist ein Technikfreak, dauernd bimmelt sein iPhone am Schreibtisch, ein iPad hat er auch.
Also, fangen wir an: Wenn ich schon nicht sehen darf, was auf der Tafel stand, kann ich doch mal ganz unschuldig fragen, was er da eigentlich gerade gemacht hat?
"Was ich jetzt eben, die letzte Stunde gemacht habe? Ähm… Das ist ziemlich operativ, und deswegen kann ich dazu nichts sagen."
Schade, kann ich gleich wieder gehen. Ich hatte dieses Abblocken schon einmal erlebt, hier beim BKA, vor einigen Jahren, als es um die ersten Trojanerwellen ging und mir ein älterer Polizist auf die meisten Fragen keine Antwort gab, und wenn doch, dann nur schwammige. Aber Mirko Manske ist anders, ein Goldstück, und er sagt mir dann doch, was er gemacht hat.
"Ähm… Das ist ziemlich operativ, und deswegen kann ich dazu nichts sagen."
"Vom Prinzip her?"
"Vom Prinzip her habe ich heute Morgen die Zusammenarbeit zwischen dem FBI und dem BKA in einem Ermittlungsverfahren des FBI koordiniert und dafür gesorgt, dass alle Mitarbeiter in meinem Bereich wissen, was sie heute machen müssen, damit wir hoffentlich im Laufe dieser Woche für die Amerikaner operative Maßnahmen umsetzen können, die dann vielleicht zur Identifizierung und auch zur Festnahme eines in Deutschland aufhältigen Täters führen."
Worum es hier konkret geht, darf der Kriminalhauptkommissar nicht sagen, aber seine Themen drehen sich immer um so genannte SOK, die "schwere organisierte Kriminalität" im Internet.
Das klassische Betrugsszenario war vor wenigen Jahren noch so: Man findet eine Mail in seinem Postfach, vermeintlich von der Bank, man möge doch mal eben die Kontodaten aktualisieren. Klickt man auf den Link, wird man auf eine Webseite geführt, die der Seite der Bank, die man kennt, weil man ja da dauernd seine Überweisungen vornimmt, exakt gleicht. Guten Glaubens loggt man sich ein, legitimiert sich mit einer Tan-Nummer – aber eben nicht in der Bank, sondern bei einem Betrüger, der dann umgehend eine große Überweisung auf sein Schwarzkonto einleitet. Schwarzkonten befinden sich in der Regel bei Banken im Ausland, sie wechseln ständig, verschleiern ihre Inhaber. Die meisten Banken haben als Reaktion auf diese Betrugswelle inzwischen die zweifache Authentifizierung eingeführt, also eine zusätzliche Passwortabfrage, englisch: Two-Factor-Authentication. Vor allem aber gibt es jetzt die iTan, wo der Kunde nicht mehr eine beliebige Pin aus seiner Liste herauspickt, sondern der Bankcomputer pro Überweisung eine konkrete iTan-Nummer abfragt.
Im Flur vor Manskes Büro hängt ein Balkendiagramm, das zeigt, wie nach der Einführung dieser neuen Techniken die Zahl der Straftaten auf diesem Gebiet drastisch fiel. Two-Factor-Authentication und iTan hatten das Online-Banking tatsächlich wieder sicher gemacht. Aber nur für kurze Zeit, so kurze Zeit, dass es sogar den eCrime-Experten ganz anders dabei wurde. Manske:
"Das war etwas, was uns 2008 sehr überrascht hat, dass die Gegenseite diese Herausforderung iTan, also die Tatsache, dass es nicht mehr reicht, den Kunden auf irgendwelche schlecht gemachten, nachgebauten Webseiten zu locken, sondern dass ich heute in die eigentliche Transaktion eingreifen und dafür sorgen muss, dass der Geschädigte, der in den meisten Fällen zu dem Zeitpunkt gar nicht weiß, dass er geschädigt worden ist, eine Überweisung durchführt, im festen Glauben, dass er 500 Euro an Peter Müller überwiesen hat, auch später dann die durch die Bank angefragte iTan preisgibt, tatsächlich damit aber eine Überweisung in Höhe von 5000 Euro an Igor Popov autorisiert wird. Es zeigt aber auch, welche Innovationskraft auf Täterseite dahintersteht, und wie strategisch die Täter denken. Also wir haben Deutschland 2008 auch schon als Proof of Concept-Markt gesehen, wo die Täterseite unter Beweis gestellt hat: Es geht, wir können das angreifen, es ist teurer, aufwändiger geworden. Das hat uns wirklich sehr überrascht."
Auch Peter Wood, der ethische Hacker, hält diese Technik für eine kriminelle Meisterleistung, wenn sich zwischen Kunden und Bank eine Webseite, ein "Mann in der Mitte", ein Man in the Middle, einschleicht und für beide Seiten unsichtbar bleibt.
"Die Kriminellen haben sich hingesetzt und den ganzen Prozess der Internet-Bank-Transaktion komplett auseinandergenommen und ihn umgekehrt, sie sind der Kommunikation zwischen Browser und Server bis tief auf den Grund gegangen. Dazu mussten sie nicht Unmengen an Code schreiben. Viel wichtiger ist der gute Mix zwischen sozialer Kompetenz, Kenntnis der menschlichen Natur und Programmierung."
Kreditkartenbetrug findet in aller Regel außerhalb des Internets statt, nämlich zum Beispiel durch Abgreifen der Magnetstreifeninformation am Bankautomaten. Aber gerade fürs Internet hält Peter Ehmke, Geschäftsführer der Kreditkartengesellschaft Mastercard Deutschland, die Zeit für gekommen, feste Passwörter beim Bezahlen im Internet abzuschaffen und in dynamische Passwörter umzuwandeln. Zu den derzeit sichersten Verfahren der Geldtransaktion im World Wide Web gehört der SMS-Schlüssel. Aber auch hier werden sich, um im Kriminalerwortschatz zu bleiben, "Angriffsvektoren" finden lassen. Wer sagt denn, dass die SMS von der Bank kommt – und nicht vom Betrügerkartell XY?
Der Betrug bei Bezahlgeschäften ist das eine große Gebiet der Internetkriminalität. Das andere hängt damit zusammen: die Bot-Netze. Die unverlangt zugesandten Spam-Mails, in denen die vermeintlich seriösen Nachrichten der Bank stecken, oder nur ein unauffälliger Link zum Kauf von Kontaktlinsen, werden heute nicht mehr von einzelnen Computern verschickt, die man relativ schnell ausfindig machen könnte, sondern von so genannten Bot-Netzen. Bot kommt von Robot, also kleinen Roboterprogramme, die sich unbemerkt in Privat- und Firmen-PCs einnisten und ferngesteuert verschiedenste Aufgaben erledigen können. Sie heißen deswegen auch Trojanische Pferde oder Trojaner.
Man geht heute davon aus, jeder zweite Computer weltweit einen Trojaner an Bord hat. Weil er von Ferne frei programmierbar ist, kann er am Sonntag Tastatureingaben des Benutzers mitschneiden, am Montag einige Tausend Werbemails versenden und am Montagabend einfach nur zu einer bestimmten Webseite gehen. Wenn einige Tausende solcher Trojaner das innerhalb von Sekunden gleichzeitig tun, bricht diese Webseite aufgrund des Ansturms sofort zusammen. Der Schaden eines solchen Denial of Service-Angriffs kann für die betroffenen Firmen, besonders wenn sie vom Internethandel leben, rasch in die Tausende Euro gehen. Letztendlich kennt keiner ein wirksames Gegenmittel gegen diese Denial of Service-Angriffe, auch Kai Fuhrberg vom BSI, dem Amt, das den Bund schützen soll, nicht.
"Solche Denial of Service/Verfügbarkeitsangriffe abzuwehren ist eine der Hauptaufgaben. Wir haben Mechanismen geschaffen, die Datenlast, die da entstehen kann, zu erden, abzuwehren, in andere Bereiche zu verschieben, sodass sie uns nicht betreffen. Aber diese Abwehrmaßnahmen haben gewisse Grenzen. Glücklicherweise sind alle bisherigen Angriffe abgewehrt worden. Ich würde nicht davon ausgehen, dass die Kommunikation der Bundesregierung komplett unterbunden werden kann. Aber wenn’s dann tatsächlich passiert ist, muss man abwägen, ob eine Strafverfolgung sinnvoll ist. In den meisten Fällen wäre es natürlich hilfreich, den Täter zu finden, um für zukünftige Fälle das abzustellen. Aber wenn Sie darüber nachdenken: Diese Bot-Netze, das sind 30.000, 40.000 Rechner von meist unwissenden Bürgern, die damit die Bundesregierung angreifen; da ist es viel wichtiger, mit dem BKA die Hintermänner auszumachen. Das ist schwierig genug."
Zu schwierig? Ross Anderson sagt: nein. Aber wirtschaftlich uninteressant. Anderson berät die Europäische Union in Sicherheitsfragen und hat eine Professur für Informatik an der Universität Cambridge. Er erklärt mir in seinem etwas chaotischen Büro im "William Gates Computerlab" das nicht funktionierende Zusammenspiel zwischen Polizeibehörden. Nur die amerikanische Bundespolizei, das FBI, mit dem vorhin auch Mirko Manske vom BKA telefoniert hatte, leiste gute Arbeit; unter anderem mit einer Aktion namens "Bot oRast", Bot-Netze grillen. Aber der Rest der Welt schaue dem großen Amerika hier nur zu.
"Angenommen, Sie sind ein böser Mann, der von St. Petersburg aus ein Bot-Netz steuert und an einem Tag 100 Millionen vermeintliche Werbe-Mails verschickt, dann muss sich die Metropolitan Police in London, weil sie unsere größte Polizeibehörde ist, hierzulande mit Ihnen beschäftigen; denn von den 100 Millionen Spams landen etwa eine Million auf Rechnern in Großlondon. Die Beamten bei dieser Dienststelle werden aber sagen: Eine Million, das ist doch gar nichts! Und sie schieben den Ball an die Amerikaner weiter: Ihr habt schließlich nicht eine Million, sondern 20 Millionen davon abbekommen – denn die USA machen ungefähr 20 Prozent des Internetverkehrs aus. Dafür ist also das FBI zuständig. Leider fehlt in unserer Gesellschaft die Einsicht, dass diese Form der Kriminalität wirklich drastisch ist, ganz einfach, weil das Phänomen global verteilt ist. Wir haben die Sicherheitssituation im Internet analysiert und kamen zu dem Schluss, dass wir eine Strafverfolgungsbehörde auf europäischer Ebene brauchen, die sich, ähnlich der Nato, aber nur auf Europa beschränkt, um Cybercrime in Europa kümmert. Dann könnte man gegen die Bot-Netze noch effektiver vorgehen, als es das FBI schon tut."
Auch wenn die Angriffe böser Software, so genannter "Malware", meist aus dem Ausland kommen, Kriminalhauptkommissar Manske hat in Deutschland genug zu tun.
"Insbesondere im Bereich Ausspähen von Daten, digitaler Identitätsdiebstahl, Online-Banking macht, glaube ich, es auch Sinn, hier zu sein. Denn meine feste Überzeugung ist: Ich muss die Gesellschaft kennen, die ich angreifen will. Ich kann nicht irgendwo hinter dem Ural sitzen und mir aus dritter Hand mir Informationen darüber besorgen, worüber Menschen in Deutschland aktuell reden. Das haben wir in den großen Infektionswellen 2006/2007 gesehen: Als die Spritpreise gestiegen sind etwa, gab es eine gigantische Spamwelle, mit der Trojaner verteilt wurden, wo in der Mail die User aufgefordert wurden, einen Link anzuklicken, um an einer Abstimmung oder einem offenen Brief an den Bundesfinanzminister teilzunehmen, um gegen die hohen Spritpreise zu protestieren. Oder als die Zigarettenpreise angehoben wurden. Wenn Sie den GEZ-Trojaner, den BKA-Trojaner nehmen: Die Menschen leben hier, sie sind Teil unserer Gesellschaft, und sie diskutieren über das Gleiche im täglichen Leben, wie wir alle auch. Und deswegen finden sie auch die Schwachstellen, deswegen wissen sie, worauf Menschen in unserer Gesellschaft anspringen werden."
"Aber der Programmierer, der Igor Popov, könnte irgendwo leben?"
"Also der Igor Popov ist für uns das Standardbeispiel des ‚Mules‘, des Geldempfängers. Aber für die Programmierung der Malware gibt’s eigentlich keine Notwendigkeit, hier in Deutschland zu sein. Vor allem wird die Malware ja für einen globalen Markt entwickelt. Die Schadsoftware, die heute Tag für Tag ausgespuckt wird, ist ja nicht nur dafür programmiert, dass sie in Deutschland funktioniert, sondern in aller Regel gibt es Grundcontainer der Software, die dann regionalisiert werden."
Die Professionalisierung der Verbrecherkreise, mit allem, was damit zusammenhängt, ist ein ganz junges Phänomen. Ross Anderson aus Cambridge erinnert die Art, wie sich Kriminelle heute im Internet organisieren, an die nicht-kriminelle Gesellschaft Mitte des 18. Jahrhunderts. Die wurde vor allem dadurch effizienter und produktiver, dass sie sich spezialisiert und vernetzt hat.
"Bis vor fünf Jahren waren die Autoren von Computerviren meist Amateurprogrammierer, oft Teenager, die ihre Freunde oder Freundinnen damit beeindrucken wollten. Aber seit es um richtig viel Geld geht, schreiben diese Programme richtige Software-Ingenieure. Wenn Sie heute ein Malware-Entwickler in St. Petersburg sind, haben Sie auch eine Forschungs- und Entwicklungsabteilung und eine Abteilung für Tests, die sicherstellt, dass die aktuellen Antivirenprogramme Ihnen nicht dazwischenfunken. Und wenn später das Antivirenprogramm den Virus entdeckt, funkt der das nach Hause, und Ihre Entwickler schicken ein Update in den PC. Das passiert ganz genau so, wie wenn Microsoft Ihr Windows Betriebssystem auf dem aktuellen Stand bringt, um die Bösen draußen zu halten. Die Bösen schicken ein Update für ihren Virus, um die Guten draußen zu halten."
Mirko Manske, BKA:
"Sehr interessant ist, dass unsere Klientel, die in einem sehr computeraffinen Umfeld unterwegs sind, mittlerweile auch den Wert ihres Wissens für andere, nennen wir es einmal ‚analoge‘ Phänomenbereiche, erkennen, wo also Täter in unserem Bereich des Cybercrime einfach sagen: Weißt Du was, Du schmuggelst Waffen, Du brauchst sichere Kommunikation, und ich biete Dir sichere Kommunikation, mit meinem Know-how, mit meinen Servern. Ich bin Dein Dienstleister, ich kümmere mich darum, dass Du sicher und anonym kommunizieren kannst."
"Aber Deinen LKW fahre ich nicht über die Grenze."
"Ganz genau, Deinen LKW fahre ich nicht über die Grenze. Aber vielleicht erkläre ich Dir, wie GPS-Tracking-Devices funktionieren, und wie man vielleicht auch die GPS-Tracking-Devices von Speditionen oder Konkurrenzunternehmen ausnutzen kann, exploiten."
Das Bundeskriminalamt hat eine Fachgruppe, die sich nur damit beschäftigt, Streife im Internet zu gehen, herumzugucken, wo die Trends sind, was über Tauschbörsen gerade getauscht und in Chatforen besprochen wird. Die sozialen Netze wie StudiVZ oder Facebook sind besonders interessant, weil viele zukünftige "Infektionsvektoren" des Internetbetrugs darüber laufen werden. Manske:
"Ich habe es selber einmal in einer Feldstudie mit meiner Familie ausprobiert, und obwohl das Wissen vorhanden ist, ich soll auf keine Links klicken, passiert dann das. Wenn jemand, den ich über Facebook kenne, den ich über die VZs kenne, der mit persönlich bekannt ist, an seinem Wall einen Link oder eine Nachricht postet, dann ist die Wahrscheinlichkeit, da drauf zu klicken, unglaublich groß. Das ist doch mein Kegelfreund, das ist der aus meiner Doppelkopfrunde, mein Handballfreund, den kenne ich doch, jeden Tag lese ich seine Postings mit, und wenn der jetzt einen Link zu etwas total Lustigem postet, dann muss ich mir das einfach anschauen. Und zack ist der Rechner infiziert. Und so sehen wir einfach auch, wie Sie das vorhin so schön gesagt haben, dass sich unsere Welt tagtäglich verändert."
"Hab ich das vorhin gesagt?"
"Ja, ich meine, das haben Sie vorhin gesagt."
"Sie sagen das doch dauernd!"
"Ja, vielleicht hab ich’s dann oft genug gesagt."
"…weil Sie es selber schön finden."
"Das macht eine große Faszination unseres Phänomenbereichs aus. Ja, hier ist kein Tag wie der andere."
Beim Cloud-Computing, wo man seine Mails, Adressen, Kalenderdaten alle im Internet bereithält, statt zu Hause auf dem PC, wird die Datenlage noch vernebelter. Der amerikanische Sicherheitsberater und Buchautor Eugene Schultz, den ich bei einer Sicherheitskonferenz der Isaca in Amsterdam treffe, hält das Benutzen der "Wolke" für grob fahrlässig.
"Was mich enttäuscht, ist, dass an sich vernünftige Menschen davon träumen, in die Wolke zu kommen, bloß weil es bequem ist. Aber im Cloud-Denken ist kein Platz für Sicherheit. Als Individuum muss ich vielleicht nicht ganz so paranoid sein wie als Firma. Die Firmen, die damit Geld sparen wollen, machen mir die größten Sorgen. Wissen Sie, wo auf der Welt die tatsächlichen Server und Festplatten liegen? Vermutlich auf mehrere Rechenzentren an verschiedenen Orten verteilt. Wie können gerade die Europäer mit ihren strengen Datenschutzregelungen überhaupt so etwas in Betracht ziehen? Als Deutscher würde ich nachts wachliegen und mir über meine privaten Daten Sorgen machen, die in einer Wolke gespeichert sind. Wo bleibt da der Datenschutz?"
Das BKA unterhält neben Mirko Manskes Abteilung für Cybercrime und dem Internet-Streifendienst Zard auch den Bereich "Kipo" - Kinderpornografie. Die Überschneidungen mit den Themen von Cybercrime sind gering, auch wenn die Verbreiter von kinderpornografischem Material natürlich die Verschleierungstechniken der Profis aus der Bot-Netz-Welt gut gebrauchen können und auch nutzen. Einige Experten, mit denen ich sprach, unter anderem Ross Anderson in Cambridge, halten die Kinderpornografie für einen überschaubaren Bereich, winzig im Vergleich etwa zum Kreditkartenbetrug übers Internet. Mirko Manske:
"Da muss ich immer an meine Oma denken, die früher, als es um den großen Lauschangriff ging, gesagt hat: Weißt du was, die Polizei kann bei mir unterm Bett liegen, das, was die da hört, damit kann die nix anfangen. Diesen Grundtenor haben heute noch ganz viele Menschen. Meine Mutter sagte neulich zu mir: Na ja, wenn ich so einen Trojaner auf meinem Rechner habe, was wollen die denn mit meinen Bildern, mit all diesen Daten, da können die doch gar nichts mit anfangen! Unsere Erfahrung zeigt: Wenn die Daten erst einmal da sind, dann kommen die Verwertungsmodelle. Und dass die Generation meiner Eltern sagt, ist ja toll, dass ich jetzt meine ganzen Bilder und Informationen zu Hause auch mobil auf meinem iPhone sehen kann, und dabei überhaupt nicht überlegt, was dahintersteckt."
"Was ich hier dauernd bimmeln höre, ist ein iPhone, oder?"
"Das ist ein iPhone. Ich bin sicher als Opfer ein guter Prototyp. Ich bin über verschiedene Dienste mit verschiedenen Menschen überall auf dieser Welt permanent in Kontakt."
"Und wenn ich mit Ihnen befreundet wäre, wüsste ich, wann Sie in Urlaub fahren?"
"Nein, das wüssten Sie nicht, nein. Also, Sie wüssten es zumindest nicht über die Social Networking Portale. Wenn ich Sie aber auf einer Konferenz treffe, wissen Sie natürlich, dass ich mit meinen Kindern in den Sommerferien für eine Woche nach Holland fahre."
"So kurz?"
"Ja, viel zu kurz."
Noch eine Frage an Peter Wood, den guten Hacker in London, den Berater von Behörden und Banken: Wenn Sie vor 200 Jahren gelebt hätten, hätten Sie dann die Goldbarren in Banken gesichert?
"Nein, ich wäre wohl eher ein verrückter Professor mit einem Laboratorium hinter meinem Haus gewesen. Ich wollte immer ein viktorianischer Wissenschaftler werden. Aber das wäre ja nur 150 Jahre her gewesen."
"Ja, meine Mutter war halt infiziert, mit einem Trojaner…"
Ross Anderson, Cambridge University:
"The problem with Bot-Nets…"
Manske:
"Da hat meine Mutter die Frage gestellt: Ja, was soll ich denn dann noch machen…"
Anderson:
"... that essentially it’s only the FBI…"
Manske:
"…wenn ich nicht einmal mehr glauben kann, dass etwas, was Du postest, auch tatsächlich von dir kommt?"
Anderson:
"...We should have a European level force…"
Manske:
"Letzten Endes ist das eine Frage, auf die auch wir im Moment keine Antwort haben."
Anderson:
"...similar to NATO…"
Manske:
"Letzten Endes ist das eine Frage, auf die auch wir im Moment keine Antwort haben."
Kai Fuhrberg, BSI:
"Spionage ist natürlich auch ein Thema."
Anderson:
"...for Cybercrime, but for Europe…"
Manske:
"Das würde für mich die Grenze überschreiten…"
Anderson:
"...Europe’s police forces."
Manske:
"Also, ich muss immer noch, wenn ich morgens aufstehe, wissen, dass ich der Gute bin."
Ich bin in einem Hotel in Amsterdam. In dem Konferenzraum sitzen 30, 40 Sicherheitsexperten und sehen sich an, wie ihnen ein etwas untersetzter Mann Mitte 50 mit seinem Notebook-Computer etwas vorhackt – Peter Wood nennt sich "ethischer Hacker" und macht sich in dem mehrstündigen Workshop darüber lustig, wie schwach die Passwörter in Computernetzen oft sind, häufig heißt das Passwort einfach nur "Passwort" oder "12345678".
Peter Wood klappert einen Rechner nach dem anderen ab, er sendet so genannte "Ping"-Befehle ins Internet, automatisch, blind, und während ihn die meisten Computer, die er damit erreicht, einfach abprallen lassen, reagieren manche eben doch, sagen: "Hier bin ich, Lauras PC." Und Peter kann sich in Ruhe bei ihr umsehen. Ah, ihre Privatfotos! Der Hacker könnte jetzt unbemerkt ein winziges Programm in ihrem Windows-Verzeichnis absetzen, einen Keylogger, der alle ihre Tastendrücke mit protokolliert, und wenn Peter in einer Woche wieder bei ihr anpingt und Port 6667 immer noch offen ist, holt er den Keylogger zurück und durchsucht die vielleicht Hunderte von Seiten lange Textdatei nach Wörtern wie "Visa" oder "Konto" oder "Passwort", die Laura irgendwann einmal eingetippt hat.
Peter Woods Kunden sind Firmen, die sich um ihre Datensicherheit Sorgen machen. Sie mieten ihn und seine Firma First Base Technologies in London an. Die richtig dicken Fische, insbesondere die Banken, sagt er, sind weitgehend sicher. Aber kleine Firmen und Endverbraucher sind es nicht. Wer setzt schon ausgefallene Passwörter, wer installiert jedes Sicherheitsupdate von Flash, von Java, von Acrobat, vom Virenscanner, von der Firewall? Das ist doch ein Vollzeitjob! Vor allem aber wird die Situation bei immer mehr Internet-Geldtransaktionen unübersichtlich. Wood:
"Virtuelles Geld ist sehr beweglich. Wenn wir zum Beispiel bei einem Online-Händler, also im Internet, etwas kaufen, speichert der unsere Kreditkarten-Informationen auf seinem Computer, denn nur so kann er das Kundenverhalten analysieren, Altkunden wiedererkennen und so weiter. Also behält der Online-Händler diesen Datensatz und schickt eine Kopie an die Abrechnungsstelle des Kreditkarteninstituts, diese schickt eine Kopie an die Bank, die Bank kopiert ihn an die Filiale, die für den Kunden vor Ort zuständig ist. In jeder dieser Transaktionen gibt es viele Teilnehmer, die sich alle nicht kennen. Woher nimmt der eine die Gewissheit, dass man dem anderen trauen kann? Das Vertrauensnetz wird sehr dünn."
Peter Wood trägt ein schwarzes T-Shirt, darauf in pixeliger Ur-Computerschrift die Worte: "Game Over".
Besuch in Wiesbaden beim Bundeskriminalamt. Das Amt lässt vor meiner Anreise per Inpol überprüfen, ob ich auch "sauber" bin. Bin ich offenbar. Am massiv gesicherten Tor fragt ein Bauarbeiter, ob es, wenn er drin ist, eine Toilette gibt, die er benutzen könnte. Leider nein. Dafür muss er wieder herausfahren.
Mich holt der Pressesprecher ab, wir fahren die paar Meter zum Gebäude, in dem also gegen die Computerkriminalität ermittelt wird, bundesweit. Wir sind etwas zu früh an diesem Vormittag. Während wir über den dunklen Flur des ehemaligen Kasernengebäudes laufen, um die Teeküche zu suchen, werfe ich ein paar Blicke in die Büros. Sie sind vollgestellt mit Computern und Flachbildschirmen, nur an wenigen sitzt jemand. Eine an Schulter und Arm tätowierte junge Frau kriecht hinter ihrer PC-Verbarrikadierung hervor und zeigt uns freundlich die Kaffeemaschine und wo der Zucker ist.
Durch den Spalt der nächsten Tür sehe ich, wie ein braun gebrannter, kurzhaariger Mittdreißiger seinem Team an einer Tafel etwas aufmalt: Mirko Manske, Leiter des Bereichs "Cybercrime" beim Bundeskriminalamt. Als sie alle gehen und der Raum für das Interview frei wird, wischt Mirko Manske die Tafel schnell ab. Sie haben nix gesehen? Natürlich hab ich nichts gesehen. Er schüttelt mir die Hand – wie zu erwarten, ein sehr fester, drahtiger Händedruck. Kein verhuschter Computer-Nerd ist das, sondern jemand, den man sich im Krimi vorstellt. Überhaupt kommen sie mir alle, die ich in der Abteilung gesehen habe, gar nicht wie Beamte oder brave Polizisten vor.
Heißt die Abteilung wirklich "Cybercrime"? Ja, die heißt wirklich so. Hieß früher "Informations- und Kommunikationskriminalität". Mirko Manske hat den Bereich umgebaut, modernisiert. Er ist ein Technikfreak, dauernd bimmelt sein iPhone am Schreibtisch, ein iPad hat er auch.
Also, fangen wir an: Wenn ich schon nicht sehen darf, was auf der Tafel stand, kann ich doch mal ganz unschuldig fragen, was er da eigentlich gerade gemacht hat?
"Was ich jetzt eben, die letzte Stunde gemacht habe? Ähm… Das ist ziemlich operativ, und deswegen kann ich dazu nichts sagen."
Schade, kann ich gleich wieder gehen. Ich hatte dieses Abblocken schon einmal erlebt, hier beim BKA, vor einigen Jahren, als es um die ersten Trojanerwellen ging und mir ein älterer Polizist auf die meisten Fragen keine Antwort gab, und wenn doch, dann nur schwammige. Aber Mirko Manske ist anders, ein Goldstück, und er sagt mir dann doch, was er gemacht hat.
"Ähm… Das ist ziemlich operativ, und deswegen kann ich dazu nichts sagen."
"Vom Prinzip her?"
"Vom Prinzip her habe ich heute Morgen die Zusammenarbeit zwischen dem FBI und dem BKA in einem Ermittlungsverfahren des FBI koordiniert und dafür gesorgt, dass alle Mitarbeiter in meinem Bereich wissen, was sie heute machen müssen, damit wir hoffentlich im Laufe dieser Woche für die Amerikaner operative Maßnahmen umsetzen können, die dann vielleicht zur Identifizierung und auch zur Festnahme eines in Deutschland aufhältigen Täters führen."
Worum es hier konkret geht, darf der Kriminalhauptkommissar nicht sagen, aber seine Themen drehen sich immer um so genannte SOK, die "schwere organisierte Kriminalität" im Internet.
Das klassische Betrugsszenario war vor wenigen Jahren noch so: Man findet eine Mail in seinem Postfach, vermeintlich von der Bank, man möge doch mal eben die Kontodaten aktualisieren. Klickt man auf den Link, wird man auf eine Webseite geführt, die der Seite der Bank, die man kennt, weil man ja da dauernd seine Überweisungen vornimmt, exakt gleicht. Guten Glaubens loggt man sich ein, legitimiert sich mit einer Tan-Nummer – aber eben nicht in der Bank, sondern bei einem Betrüger, der dann umgehend eine große Überweisung auf sein Schwarzkonto einleitet. Schwarzkonten befinden sich in der Regel bei Banken im Ausland, sie wechseln ständig, verschleiern ihre Inhaber. Die meisten Banken haben als Reaktion auf diese Betrugswelle inzwischen die zweifache Authentifizierung eingeführt, also eine zusätzliche Passwortabfrage, englisch: Two-Factor-Authentication. Vor allem aber gibt es jetzt die iTan, wo der Kunde nicht mehr eine beliebige Pin aus seiner Liste herauspickt, sondern der Bankcomputer pro Überweisung eine konkrete iTan-Nummer abfragt.
Im Flur vor Manskes Büro hängt ein Balkendiagramm, das zeigt, wie nach der Einführung dieser neuen Techniken die Zahl der Straftaten auf diesem Gebiet drastisch fiel. Two-Factor-Authentication und iTan hatten das Online-Banking tatsächlich wieder sicher gemacht. Aber nur für kurze Zeit, so kurze Zeit, dass es sogar den eCrime-Experten ganz anders dabei wurde. Manske:
"Das war etwas, was uns 2008 sehr überrascht hat, dass die Gegenseite diese Herausforderung iTan, also die Tatsache, dass es nicht mehr reicht, den Kunden auf irgendwelche schlecht gemachten, nachgebauten Webseiten zu locken, sondern dass ich heute in die eigentliche Transaktion eingreifen und dafür sorgen muss, dass der Geschädigte, der in den meisten Fällen zu dem Zeitpunkt gar nicht weiß, dass er geschädigt worden ist, eine Überweisung durchführt, im festen Glauben, dass er 500 Euro an Peter Müller überwiesen hat, auch später dann die durch die Bank angefragte iTan preisgibt, tatsächlich damit aber eine Überweisung in Höhe von 5000 Euro an Igor Popov autorisiert wird. Es zeigt aber auch, welche Innovationskraft auf Täterseite dahintersteht, und wie strategisch die Täter denken. Also wir haben Deutschland 2008 auch schon als Proof of Concept-Markt gesehen, wo die Täterseite unter Beweis gestellt hat: Es geht, wir können das angreifen, es ist teurer, aufwändiger geworden. Das hat uns wirklich sehr überrascht."
Auch Peter Wood, der ethische Hacker, hält diese Technik für eine kriminelle Meisterleistung, wenn sich zwischen Kunden und Bank eine Webseite, ein "Mann in der Mitte", ein Man in the Middle, einschleicht und für beide Seiten unsichtbar bleibt.
"Die Kriminellen haben sich hingesetzt und den ganzen Prozess der Internet-Bank-Transaktion komplett auseinandergenommen und ihn umgekehrt, sie sind der Kommunikation zwischen Browser und Server bis tief auf den Grund gegangen. Dazu mussten sie nicht Unmengen an Code schreiben. Viel wichtiger ist der gute Mix zwischen sozialer Kompetenz, Kenntnis der menschlichen Natur und Programmierung."
Kreditkartenbetrug findet in aller Regel außerhalb des Internets statt, nämlich zum Beispiel durch Abgreifen der Magnetstreifeninformation am Bankautomaten. Aber gerade fürs Internet hält Peter Ehmke, Geschäftsführer der Kreditkartengesellschaft Mastercard Deutschland, die Zeit für gekommen, feste Passwörter beim Bezahlen im Internet abzuschaffen und in dynamische Passwörter umzuwandeln. Zu den derzeit sichersten Verfahren der Geldtransaktion im World Wide Web gehört der SMS-Schlüssel. Aber auch hier werden sich, um im Kriminalerwortschatz zu bleiben, "Angriffsvektoren" finden lassen. Wer sagt denn, dass die SMS von der Bank kommt – und nicht vom Betrügerkartell XY?
Der Betrug bei Bezahlgeschäften ist das eine große Gebiet der Internetkriminalität. Das andere hängt damit zusammen: die Bot-Netze. Die unverlangt zugesandten Spam-Mails, in denen die vermeintlich seriösen Nachrichten der Bank stecken, oder nur ein unauffälliger Link zum Kauf von Kontaktlinsen, werden heute nicht mehr von einzelnen Computern verschickt, die man relativ schnell ausfindig machen könnte, sondern von so genannten Bot-Netzen. Bot kommt von Robot, also kleinen Roboterprogramme, die sich unbemerkt in Privat- und Firmen-PCs einnisten und ferngesteuert verschiedenste Aufgaben erledigen können. Sie heißen deswegen auch Trojanische Pferde oder Trojaner.
Man geht heute davon aus, jeder zweite Computer weltweit einen Trojaner an Bord hat. Weil er von Ferne frei programmierbar ist, kann er am Sonntag Tastatureingaben des Benutzers mitschneiden, am Montag einige Tausend Werbemails versenden und am Montagabend einfach nur zu einer bestimmten Webseite gehen. Wenn einige Tausende solcher Trojaner das innerhalb von Sekunden gleichzeitig tun, bricht diese Webseite aufgrund des Ansturms sofort zusammen. Der Schaden eines solchen Denial of Service-Angriffs kann für die betroffenen Firmen, besonders wenn sie vom Internethandel leben, rasch in die Tausende Euro gehen. Letztendlich kennt keiner ein wirksames Gegenmittel gegen diese Denial of Service-Angriffe, auch Kai Fuhrberg vom BSI, dem Amt, das den Bund schützen soll, nicht.
"Solche Denial of Service/Verfügbarkeitsangriffe abzuwehren ist eine der Hauptaufgaben. Wir haben Mechanismen geschaffen, die Datenlast, die da entstehen kann, zu erden, abzuwehren, in andere Bereiche zu verschieben, sodass sie uns nicht betreffen. Aber diese Abwehrmaßnahmen haben gewisse Grenzen. Glücklicherweise sind alle bisherigen Angriffe abgewehrt worden. Ich würde nicht davon ausgehen, dass die Kommunikation der Bundesregierung komplett unterbunden werden kann. Aber wenn’s dann tatsächlich passiert ist, muss man abwägen, ob eine Strafverfolgung sinnvoll ist. In den meisten Fällen wäre es natürlich hilfreich, den Täter zu finden, um für zukünftige Fälle das abzustellen. Aber wenn Sie darüber nachdenken: Diese Bot-Netze, das sind 30.000, 40.000 Rechner von meist unwissenden Bürgern, die damit die Bundesregierung angreifen; da ist es viel wichtiger, mit dem BKA die Hintermänner auszumachen. Das ist schwierig genug."
Zu schwierig? Ross Anderson sagt: nein. Aber wirtschaftlich uninteressant. Anderson berät die Europäische Union in Sicherheitsfragen und hat eine Professur für Informatik an der Universität Cambridge. Er erklärt mir in seinem etwas chaotischen Büro im "William Gates Computerlab" das nicht funktionierende Zusammenspiel zwischen Polizeibehörden. Nur die amerikanische Bundespolizei, das FBI, mit dem vorhin auch Mirko Manske vom BKA telefoniert hatte, leiste gute Arbeit; unter anderem mit einer Aktion namens "Bot oRast", Bot-Netze grillen. Aber der Rest der Welt schaue dem großen Amerika hier nur zu.
"Angenommen, Sie sind ein böser Mann, der von St. Petersburg aus ein Bot-Netz steuert und an einem Tag 100 Millionen vermeintliche Werbe-Mails verschickt, dann muss sich die Metropolitan Police in London, weil sie unsere größte Polizeibehörde ist, hierzulande mit Ihnen beschäftigen; denn von den 100 Millionen Spams landen etwa eine Million auf Rechnern in Großlondon. Die Beamten bei dieser Dienststelle werden aber sagen: Eine Million, das ist doch gar nichts! Und sie schieben den Ball an die Amerikaner weiter: Ihr habt schließlich nicht eine Million, sondern 20 Millionen davon abbekommen – denn die USA machen ungefähr 20 Prozent des Internetverkehrs aus. Dafür ist also das FBI zuständig. Leider fehlt in unserer Gesellschaft die Einsicht, dass diese Form der Kriminalität wirklich drastisch ist, ganz einfach, weil das Phänomen global verteilt ist. Wir haben die Sicherheitssituation im Internet analysiert und kamen zu dem Schluss, dass wir eine Strafverfolgungsbehörde auf europäischer Ebene brauchen, die sich, ähnlich der Nato, aber nur auf Europa beschränkt, um Cybercrime in Europa kümmert. Dann könnte man gegen die Bot-Netze noch effektiver vorgehen, als es das FBI schon tut."
Auch wenn die Angriffe böser Software, so genannter "Malware", meist aus dem Ausland kommen, Kriminalhauptkommissar Manske hat in Deutschland genug zu tun.
"Insbesondere im Bereich Ausspähen von Daten, digitaler Identitätsdiebstahl, Online-Banking macht, glaube ich, es auch Sinn, hier zu sein. Denn meine feste Überzeugung ist: Ich muss die Gesellschaft kennen, die ich angreifen will. Ich kann nicht irgendwo hinter dem Ural sitzen und mir aus dritter Hand mir Informationen darüber besorgen, worüber Menschen in Deutschland aktuell reden. Das haben wir in den großen Infektionswellen 2006/2007 gesehen: Als die Spritpreise gestiegen sind etwa, gab es eine gigantische Spamwelle, mit der Trojaner verteilt wurden, wo in der Mail die User aufgefordert wurden, einen Link anzuklicken, um an einer Abstimmung oder einem offenen Brief an den Bundesfinanzminister teilzunehmen, um gegen die hohen Spritpreise zu protestieren. Oder als die Zigarettenpreise angehoben wurden. Wenn Sie den GEZ-Trojaner, den BKA-Trojaner nehmen: Die Menschen leben hier, sie sind Teil unserer Gesellschaft, und sie diskutieren über das Gleiche im täglichen Leben, wie wir alle auch. Und deswegen finden sie auch die Schwachstellen, deswegen wissen sie, worauf Menschen in unserer Gesellschaft anspringen werden."
"Aber der Programmierer, der Igor Popov, könnte irgendwo leben?"
"Also der Igor Popov ist für uns das Standardbeispiel des ‚Mules‘, des Geldempfängers. Aber für die Programmierung der Malware gibt’s eigentlich keine Notwendigkeit, hier in Deutschland zu sein. Vor allem wird die Malware ja für einen globalen Markt entwickelt. Die Schadsoftware, die heute Tag für Tag ausgespuckt wird, ist ja nicht nur dafür programmiert, dass sie in Deutschland funktioniert, sondern in aller Regel gibt es Grundcontainer der Software, die dann regionalisiert werden."
Die Professionalisierung der Verbrecherkreise, mit allem, was damit zusammenhängt, ist ein ganz junges Phänomen. Ross Anderson aus Cambridge erinnert die Art, wie sich Kriminelle heute im Internet organisieren, an die nicht-kriminelle Gesellschaft Mitte des 18. Jahrhunderts. Die wurde vor allem dadurch effizienter und produktiver, dass sie sich spezialisiert und vernetzt hat.
"Bis vor fünf Jahren waren die Autoren von Computerviren meist Amateurprogrammierer, oft Teenager, die ihre Freunde oder Freundinnen damit beeindrucken wollten. Aber seit es um richtig viel Geld geht, schreiben diese Programme richtige Software-Ingenieure. Wenn Sie heute ein Malware-Entwickler in St. Petersburg sind, haben Sie auch eine Forschungs- und Entwicklungsabteilung und eine Abteilung für Tests, die sicherstellt, dass die aktuellen Antivirenprogramme Ihnen nicht dazwischenfunken. Und wenn später das Antivirenprogramm den Virus entdeckt, funkt der das nach Hause, und Ihre Entwickler schicken ein Update in den PC. Das passiert ganz genau so, wie wenn Microsoft Ihr Windows Betriebssystem auf dem aktuellen Stand bringt, um die Bösen draußen zu halten. Die Bösen schicken ein Update für ihren Virus, um die Guten draußen zu halten."
Mirko Manske, BKA:
"Sehr interessant ist, dass unsere Klientel, die in einem sehr computeraffinen Umfeld unterwegs sind, mittlerweile auch den Wert ihres Wissens für andere, nennen wir es einmal ‚analoge‘ Phänomenbereiche, erkennen, wo also Täter in unserem Bereich des Cybercrime einfach sagen: Weißt Du was, Du schmuggelst Waffen, Du brauchst sichere Kommunikation, und ich biete Dir sichere Kommunikation, mit meinem Know-how, mit meinen Servern. Ich bin Dein Dienstleister, ich kümmere mich darum, dass Du sicher und anonym kommunizieren kannst."
"Aber Deinen LKW fahre ich nicht über die Grenze."
"Ganz genau, Deinen LKW fahre ich nicht über die Grenze. Aber vielleicht erkläre ich Dir, wie GPS-Tracking-Devices funktionieren, und wie man vielleicht auch die GPS-Tracking-Devices von Speditionen oder Konkurrenzunternehmen ausnutzen kann, exploiten."
Das Bundeskriminalamt hat eine Fachgruppe, die sich nur damit beschäftigt, Streife im Internet zu gehen, herumzugucken, wo die Trends sind, was über Tauschbörsen gerade getauscht und in Chatforen besprochen wird. Die sozialen Netze wie StudiVZ oder Facebook sind besonders interessant, weil viele zukünftige "Infektionsvektoren" des Internetbetrugs darüber laufen werden. Manske:
"Ich habe es selber einmal in einer Feldstudie mit meiner Familie ausprobiert, und obwohl das Wissen vorhanden ist, ich soll auf keine Links klicken, passiert dann das. Wenn jemand, den ich über Facebook kenne, den ich über die VZs kenne, der mit persönlich bekannt ist, an seinem Wall einen Link oder eine Nachricht postet, dann ist die Wahrscheinlichkeit, da drauf zu klicken, unglaublich groß. Das ist doch mein Kegelfreund, das ist der aus meiner Doppelkopfrunde, mein Handballfreund, den kenne ich doch, jeden Tag lese ich seine Postings mit, und wenn der jetzt einen Link zu etwas total Lustigem postet, dann muss ich mir das einfach anschauen. Und zack ist der Rechner infiziert. Und so sehen wir einfach auch, wie Sie das vorhin so schön gesagt haben, dass sich unsere Welt tagtäglich verändert."
"Hab ich das vorhin gesagt?"
"Ja, ich meine, das haben Sie vorhin gesagt."
"Sie sagen das doch dauernd!"
"Ja, vielleicht hab ich’s dann oft genug gesagt."
"…weil Sie es selber schön finden."
"Das macht eine große Faszination unseres Phänomenbereichs aus. Ja, hier ist kein Tag wie der andere."
Beim Cloud-Computing, wo man seine Mails, Adressen, Kalenderdaten alle im Internet bereithält, statt zu Hause auf dem PC, wird die Datenlage noch vernebelter. Der amerikanische Sicherheitsberater und Buchautor Eugene Schultz, den ich bei einer Sicherheitskonferenz der Isaca in Amsterdam treffe, hält das Benutzen der "Wolke" für grob fahrlässig.
"Was mich enttäuscht, ist, dass an sich vernünftige Menschen davon träumen, in die Wolke zu kommen, bloß weil es bequem ist. Aber im Cloud-Denken ist kein Platz für Sicherheit. Als Individuum muss ich vielleicht nicht ganz so paranoid sein wie als Firma. Die Firmen, die damit Geld sparen wollen, machen mir die größten Sorgen. Wissen Sie, wo auf der Welt die tatsächlichen Server und Festplatten liegen? Vermutlich auf mehrere Rechenzentren an verschiedenen Orten verteilt. Wie können gerade die Europäer mit ihren strengen Datenschutzregelungen überhaupt so etwas in Betracht ziehen? Als Deutscher würde ich nachts wachliegen und mir über meine privaten Daten Sorgen machen, die in einer Wolke gespeichert sind. Wo bleibt da der Datenschutz?"
Das BKA unterhält neben Mirko Manskes Abteilung für Cybercrime und dem Internet-Streifendienst Zard auch den Bereich "Kipo" - Kinderpornografie. Die Überschneidungen mit den Themen von Cybercrime sind gering, auch wenn die Verbreiter von kinderpornografischem Material natürlich die Verschleierungstechniken der Profis aus der Bot-Netz-Welt gut gebrauchen können und auch nutzen. Einige Experten, mit denen ich sprach, unter anderem Ross Anderson in Cambridge, halten die Kinderpornografie für einen überschaubaren Bereich, winzig im Vergleich etwa zum Kreditkartenbetrug übers Internet. Mirko Manske:
"Da muss ich immer an meine Oma denken, die früher, als es um den großen Lauschangriff ging, gesagt hat: Weißt du was, die Polizei kann bei mir unterm Bett liegen, das, was die da hört, damit kann die nix anfangen. Diesen Grundtenor haben heute noch ganz viele Menschen. Meine Mutter sagte neulich zu mir: Na ja, wenn ich so einen Trojaner auf meinem Rechner habe, was wollen die denn mit meinen Bildern, mit all diesen Daten, da können die doch gar nichts mit anfangen! Unsere Erfahrung zeigt: Wenn die Daten erst einmal da sind, dann kommen die Verwertungsmodelle. Und dass die Generation meiner Eltern sagt, ist ja toll, dass ich jetzt meine ganzen Bilder und Informationen zu Hause auch mobil auf meinem iPhone sehen kann, und dabei überhaupt nicht überlegt, was dahintersteckt."
"Was ich hier dauernd bimmeln höre, ist ein iPhone, oder?"
"Das ist ein iPhone. Ich bin sicher als Opfer ein guter Prototyp. Ich bin über verschiedene Dienste mit verschiedenen Menschen überall auf dieser Welt permanent in Kontakt."
"Und wenn ich mit Ihnen befreundet wäre, wüsste ich, wann Sie in Urlaub fahren?"
"Nein, das wüssten Sie nicht, nein. Also, Sie wüssten es zumindest nicht über die Social Networking Portale. Wenn ich Sie aber auf einer Konferenz treffe, wissen Sie natürlich, dass ich mit meinen Kindern in den Sommerferien für eine Woche nach Holland fahre."
"So kurz?"
"Ja, viel zu kurz."
Noch eine Frage an Peter Wood, den guten Hacker in London, den Berater von Behörden und Banken: Wenn Sie vor 200 Jahren gelebt hätten, hätten Sie dann die Goldbarren in Banken gesichert?
"Nein, ich wäre wohl eher ein verrückter Professor mit einem Laboratorium hinter meinem Haus gewesen. Ich wollte immer ein viktorianischer Wissenschaftler werden. Aber das wäre ja nur 150 Jahre her gewesen."