Schäden durch Cyberkriminalität

Universi-tätsnetz der RWTH Aachen zeigte, dass die Kontrollrechner für die dort aktiven Botnetze mehrheitlich in den USA, China und Deutschland standen.

Cyberkrimi-nalität. Schließlich hilft die zunehmende Besorgnis über eine verstärkte Bedrohungslage beim Wettbewerb um Stellen und Ressourcen oder bei der Sicherung einer Monopol-stellung am Markt (Kshetri, 2010, S. 9). Der bekannte IT-Sicherheitsexperte Bruce Schneier charakterisierte die IT-Sicherheitsindustrie einmal wenig schmeichelhaft und nur halb scherzhaft als »[a] self-dramatizing and fear-mongering world of security pun-dits« (Schneier, 2006).

6.4.2. Das Fehlen verlässlicher Zahlen

Zur politischen Einschätzung des Risikos von Cyberkriminalität ist es notwendig, zwi-schenpotentiellenSchäden undwirklichenSchäden zu unterscheiden. Werden die poten-tiellen Schäden mit den wirklichen Schäden verwechselt, verschiebt sich die öffentliche Meinung schnell in Richtung der Bedürfnisse des Staates nach Kontrolle und Über-wachung und gegen grundlegende Freiheitsrechte der Bürger. Helfen können hier nur verlässliche empirische Daten. Solche Daten fehlen aber leider weitestgehend. So stellt Kshetri (2010, S. 7) fest: »No reliable statistics exist.«

Ein erster Aspekt hiervon ist, dass bei Urheberrechtsverstößen keineswegs die Anzahl der Downloads mit dem Ladenverkaufspreis des Produkts multipliziert werden darf, um den Schaden zu beziffern: Es ist höchst ungewiss, ob diejenigen, die sich urheberrechtlich geschützte Musik oder Filme für den privaten Gebrauch heruntergeladen haben, diese Waren überhaupt zu diesem Preis auf dem legalen Markt erworben hätten.

Ferner erschweren geschlossene, kleinere Benutzergruppen eine analytische Bewertung, wie sie etwa im Bereich der Verbreitung und des Tauschs kinderpornographischer Schrif-ten zu beobachSchrif-ten sind (European Financial Coalition against Commercial Sexual Ex-ploitation of Children Online, 2010, S. 31).

Ein weiterer Grund für das Fehlen relevanter Statistiken ist die internationale Dimension von Cyberkriminalität (Wall, 2007, S. 17). Damit ähnelt sie stark der (internationalen) Wirtschaftskriminalität und der globalen organisierten Kriminalität, für die es auch keine zentrale internationale Registrierungsstelle gibt, wie sie etwa die Polizei auf nationaler Ebene bei normaler Straßenkriminalität darstellt. Auch werden viele Schadensfälle an den Strafverfolgungsbehörden vorbei geregelt, also ohne Strafanzeige und durch interne Ermittlungen innerhalb von Unternehmen. Insofern ist auch die vielzitierte Polizeiliche Kriminalstatistik (Bundeskriminalamt, 2010) im Bereich Cyberkriminalität nur bedingt aussagekräftig.

Ähnliches gilt für den zuletzt verstärkt zitierten jährlichen IT-Sicherheitsbericht von CSI und FBI in den USA (CSI/FBI, 2006) und andere Überblicksstatistiken von Unternehmen und Behörden, wie etwa Symantec (2009), G Data (Ester & Benzmüller, 2010), Panda Security (2010), PricewaterhouseCoopers (Bussmann et al., 2009), der Federal Trade Commission in den USA (Rantala, 2010) oder vom Department of Trade and Industry

in Großbritannien (DTI, 2004). Alle diese Erhebungen stimmen darin überein, dass die Anzahl der Sicherheitsvorfälle und die dadurch verursachten Schäden in den vergangenen Jahren stetig und deutlich zugenommen haben.

Die beste Art, verlässliche und statistisch repräsentative Zahlen über die Auswirkungen von Kriminalität zu erhalten, ist dieumfangreicheBefragung von Personen und Unterneh-men. Die bedeutendsten uns bekannten Umfragen im Bereich Cyberkriminalität stammen aus Großbritannien. Dort wurden erstmals 2003 (Allen, Forrest, Levi, Roy & Sutton, 2005) und letztmals 2004 (Wilson, Patterson, Powell & Hembury, 2006) im Rahmen der jährlich stattfindenden Kriminalitätserhebung (Britisch Crime Survey) Fragen zu Erfahrungen mit Cyberkriminalität gestellt. Befragt wurden etwa 40.000 Personen über 16 Jahren, die in einem Privathaushalt wohnen. Die Rücklaufquote betrug jeweils knapp 75%.

Die Zahlen der beiden Befragungen stimmen im Wesentlichen überein. Wir geben hier einen Überblick über die Ergebnisse der zweiten Befragung, die 2006 erschien (Wilson et al., 2006). Demnach gaben etwa ein Viertel der Befragten, die regelmäßig das Internet nutzten, an, innerhalb der letzten 12 Monate von einem Computervirus befallen worden zu sein. Allerdings hatten nur 2% den Eindruck, dass der heimische Rechner das Ziel eines erfolgreichen Hackerangriffs gewesen sei, bei dem Daten ausgespäht worden sein könnten.

25% der regelmäßigen Internetnutzer hatten innerhalb der vergangenen zwölf Monate anstößige Inhalte erhalten oder auf derartige Inhalte zugegriffen. Zum Vergleich hatten nur 12% eine anstößige oder belästigende E-Mail erhalten. 26% der Befragten unter 25 Jahren gaben an, mindestens ein Mal während des vergangenen Jahres urheberrechlich geschütztes Material illegal heruntergeladen zu haben. Die Befragungen enthalten auch interessante Aufschlüsse über die Profile von Tätern in der Cyberkriminalität.

In Deutschland wurden an der Universität Bonn in der Vergangenheit mehrere nicht-repräsentative Online-Umfragen zum Thema »Sicherheit und Delinquenz im Internet«

durchgeführt, zuletzt 2006 mit mehr als 2000 Teilnehmern (Rüther, 2007, 2006). Dort wurde unter anderem die Betroffenheit der Befragten bezüglich spezifischer Delikte erhoben. Im Resultat hatten mehr als 40% der Befragten mindestens einen »Viren-Befall« innerhalb der letzten zwölf Monate erlebt, allerdings lag der Anteil an Opfern von Phishing, Auktionsbetrug oder Hacking bei weniger als 5%.

Weitere Erhebungen in Deutschland sind uns nicht bekannt. Auch die Autoren der kürzlich erschienenen Studie zum Thema Identitätsdiebstahl und Identitätsmissbrauch im Internet Borges, Schwenk, Stuckenberg und Wegener (2011) weisen mehrfach darauf hin, dass empirische Daten zu kritischen Fragestellungen fehlen. Einen ersten, im Detailreichtum freilich nur unzureichenden Ansatz hin zu einer empirischen Analyse liefert nunmehr eine

Statistik der Europäischen Kommission, welche die durch die anderen Studien genannten Größenordnungen bestätigen (eurostat, 2011).

Eine Möglichkeit für repräsentative Messungen technisch definierbarer Phänomene bieten verteilte Sensornetzwerke, etwa in Form vonHoneynets. Honeynets sind Netzwerke von elektronischen Ködern für Schadsoftware (Honeypots) (Göbel, 2010; Provos & Holz, 2007; Spitzner, 2003), welche als Sensoren für Schadsoftware wirken. Mit ihnen kann man beispielsweise großflächig die Angriffsaktivität von sich autonom verbreitender Schadsoftware messen (Engelberth et al., 2010; Göbel & Trinius, 2010; Pouget, Dacier &

Pham, 2005). Für repräsentative Aussagen, etwa bezüglich der Frage, wie viele Rechner im deutschen Internet mit einer speziellen Klasse von Schadsoftware infiziert sind, ist jedoch eine Art »Zufallsstichprobe« mit mindestens 100 Sensoren des untersuchten Netzwerkbereichs notwendig (Freiling, 2010). Uns ist nicht bekannt, dass derartige Hochrechnungen bereits durchgeführt wurden.

6.4.3. Mögliche Abhilfe

Zur Bezifferung der Schäden von Cyberkriminalität in Deutschland wäre es sinnvoll, eine breit angelegte, repräsentative, kriminologische Studie durchzuführen. Sinnvoll wäre zudem, eine solche Studie in regelmäßigen Abständen zu wiederholen, um auch einen Einblick in die zeitliche Entwicklung zu erhalten. Ein anderer möglicher Ansatz wäre es, die Verlässlichkeit der polizeilichen Kriminalstatistik zu erhöhen.

Allerdings stehen diesen Vorhaben die mangelnde Anzeigebereitschaft vor allem der Wirtschaft und die geringe Bereitschaft entgegen, an empirischen Studien mitzuwirken (Kiethe & Hohmann, 2006, S. 185, Többens, 2000, S. 511 f.). Dass vor allem Unternehmen eine Anzeige bei den Strafverfolgungsbehörden scheuen, liegt in der Angst um die eigene Reputation und das Vertrauen der Kunden in die eigenen Produkte begründet (Dornseif, 2005, Kapitel 2). Bei Mitarbeitern dieser Unternehmen wirkt zusätzlich die Angst, dass nach einer Anzeige und der öffentlichen Bekanntmachung des Angriffs andere Kriminelle das eigene Unternehmen als Angriffsziel auswählen könnten, was auch den eigenen Arbeitsplatz gefährden könnte (Wall, 2007, S. 20). Auch die Einführung einer Pflicht zur Anzeige IT-bezogener Straftaten würde daher nicht wirklich weiterhelfen.

Notwendig ist vielmehr eine gesamtgesellschaftliche Einsicht, dass eine geringe Anzei-gebereitschaft schlussendlich zu einer Schieflage bei der internen Ressourcenzuteilung der Strafverfolgungsbehörden führt (Wall, 2007, S. 20). Dies wiederum führt zu weniger Wissen über Opfer und Täter – ein Teufelskreis.