4000 bis an die Zähne bewaffnete Polizisten bewachten im Januar dieses Jahres das World Economic Forum (WEF) der führenden Industrienationen im schweizerischen Davos. Nicht einmal eine Maus hätte es durch den stacheldrahtbewehrten Festungsring rund um das Konferenzgelände geschafft. Während Gebäude und Teilnehmer hermetisch abgeriegelt wurden, hingen jedoch die Server mit den gesammelten Daten zu dem Treffen weitgehend ungeschützt am Netz. Hackern gelang es, in das System einzudringen und sämtliche Daten über die 3200 Teilnehmer des Gipfels inklusive 1400 Kreditkartennummern zu stehlen: darunter beispielsweise die Handy-Nummern von Palästinenserführer Yassir Arafat und der ehemaligen US-Außenministerin Madeleine Albright.

Der Vorfall zeigt, dass sich seit dem letzten Jahr, als der "Iloveyou"-Virus Milliardenschäden in den Netzen der Welt anrichtete, nicht viel geändert hat. Nach wie vor offenbaren Netze staatlicher wie privatwirtschaftlicher Institutionen bedenkliche Löcher, durch die Hacker scheinbar mühelos eindringen können (siehe Kasten "Hacker-Attacken"). Experten, die gehofft hatten, dass durch die Virusattacken des letzten Jahres ein stärkeres Sicherheitsbewusstsein bei den verantwortlichen IT-Managern einziehen würde, sehen sich angesichts der jüngsten Pannen enttäuscht.

Nachdem "Loveletter" in der IT-Szene für Angst und Schrecken gesorgt hatte, nahmen sich hochrangige Politiker des Themas an. So stand bei einem G8-Treffen der führenden Industrienationen inklusive des russischen Ministerpräsidenten auch das Thema Computerkriminalität auf der Tagesordnung. Mit markigen Worten prangerten die Staatsführer die Sicherheitsprobleme an und kündigten an, Maßnahmen dagegen zu ergreifen.

EU setzt auf Cybercrime ConventionErstes Resultat dieser Initiative ist die Cybercrime Convention der Europäischen Gemeinschaft, die noch in diesem Jahr als Richtlinie der EU verabschiedet werden soll. Die Probleme rund um die Computerkriminalität lassen sich jedoch nicht so ohne weiteres lösen. So arbeiten die europäischen Parlamentarier mittlerweile am 25. Entwurf der Richtlinie zur Internet-Kriminalität. Welche Version wann schließlich die EU-Instanzen passieren wird, steht in den Sternen.

Zwar betonen die Politiker immer wieder, dass das Vertrauen der Bevölkerung in die Informationsgesellschaft sowie die weitere Entwicklung des E-Commerce gefährdet sei. Doch wirksame Rezepte gegen die Cyber-Kriminalität kann auch die EU nicht bieten. Tipps wie die Förderung von Präventionstechniken oder Schulungen für die Strafverfolgungsbehörden dürften in den einzelnen Ländern bereits hinlänglich bekannt sein.

Immerhin hat die Kommission erkannt, dass es nicht allein damit getan ist, neue Gesetze zu verabschieden. Um alle beteiligten Parteien anzuhören, soll ein EU-Forum eingerichtet werden, "um gegenseitiges Verständnis und Zusammenarbeit auf EU-Ebene zu fördern". Hier sollen Strafverfolgungsbehörden, Internet-Service-Provider, Telekommunikationsanbieter, Verbrauchervertreter sowie Datenschützer zusammenarbeiten. Doch der Amtsschimmel könnte dieses Projekt schnell in Grund und Boden trampeln. 1,95 Stellen, fünf Sitzungen für 2001 und 2002 sowie zwei Studien pro Jahr, für die jeweils "ein Mann-Monat" Arbeitsaufwand veranschlagt sind, sieht der Finanzbogen vor. Nicht gerade viel für die Rettung des E-Commerce.

Im Namen des Gesetzes reicht nichtEinige Regierungen wollen nicht länger auf eine gesamteuropäische Lösung warten und nehmen das Heft in die eigene Hand. So kamen im Dezember letzten Jahres Pläne der britischen Geheimdienste MI5 und MI6 ans Licht, wonach der gesamte Datenverkehr im britischen Teil des Internet überwacht werden sollte. Die Behörden verteidigten dieses Vorhaben damit, nur so die wachsenden Probleme mit der Internet-Kriminalität in den Griff zu bekommen. Bürgerrechtsgruppen drohten daraufhin, die britische Regierung vor das europäische Gericht für Menschenrechte zu bringen, sollte ein entsprechendes Gesetz verabschiedet werden. Laut Bürgerrechtler John Waldham werden in den Plänen grundlegende Prinzipien des Datenschutzes und der Menschenrechte verletzt. Die Behörden wiegelten ab. Noch sei keine Entscheidung gefallen.

Seit dem 19. Februar dieses Jahres ist in Großbritannien der "Terrorism Act 2000" in Kraft. Das Gesetz erweitert die Definition eines terroristischen Tatbestandes beträchtlich. So könnten künftig auch Angriffe gegen elektronische Systeme als Terrorakt geahndet werden, wenn die Regierung oder die Öffentlichkeit davon betroffen sind. Die Polizisten, und nicht die Richter, dürfen jetzt entscheiden, wie sie den einzelnen Fall einordnen. Verdächtige können bis zu 48 Stunden ohne Angabe von Gründen festgehalten werden.

Vertreter des britischen Internet-Service-Providers Green Net äußerten sich besorgt über den Gesetzesvorstoß. Der Diensteanbieter betreut die Web-Seiten verschiedener politischer Initiativen und Kampagnen. Green-Net-Berater Paul Mobbs argwöhnt, mit der neuen Regelung könnten politische Protestaktionen im Internet unterdrückt werden. "Wenn eine Gruppe zu einer E-Mail-Protestaktion gegen die Regierung aufruft und der Server bricht zusammen, könnte dies als terroristischer Akt gewertet und verfolgt werden."

Um Cyber-Kriminalität zu bekämpfen, haben die britischen Behörden im vergangenen November beschlossen, eine eigene Polizeieinheit aufzubauen, die gegen Internet-Delikte vorgehen soll. 36 Millionen Dollar lassen sich die Verantwortlichen die 80 Cyber-Cops kosten. Die Truppe soll in Sachen Kinderpornografie, Betrug und Hacken fremder Rechner ermitteln.

Neben Großbritannien verstärken auch andere Länder ihre Anstrengungen im Kampf gegen Internet-Kriminalität. So hat beispielsweise Frankreich letztes Jahr eine eigene Cyber-Polizeitruppe auf die Beine gestellt, die Vergehen wie Hacker-Attacken und Softwarepiraterie verfolgen soll. Die 35 Köpfe zählende Mannschaft soll mit anderen französischen Strafverfolgungsbehörden und mit Herstellern von Sicherheitssystemen zusammenarbeiten.

Außerdem wollen die französischen Behörden die Internet-Service-Provider schärfer überwachen. So verurteilte im November letzten Jahres ein Gericht in Paris den Diensteanbieter Yahoo, seinen Nutzern den Zugang zu Web-Seiten zu sperren, auf denen Nazi-Memorabilien angeboten werden.

In Deutschland sorgt ein neuer Entwurf zur Telekommunikations-Überwachungsverordnung (TKÜV) für Unruhe. Nachdem ein erster Vorstoß 1998 scheiterte, soll nun eine überarbeitete Version die Provider künftig dazu zwingen, den Datenverkehr aufzuzeichnen und die Daten den Strafverfolgungsbehörden zur Verfügung zu stellen.

Auch Albert Bischeltsrieder, Fahndungsleiter beim Landeskriminalamt (LKA) in München, will die Provider stärker in die Pflicht nehmen. So sollten die Anbieter von Internet-Diensten dazu verpflichtet werden, Zugangsdaten ihrer Nutzer zu speichern. Im Geschäftsleben sei es ganz normal, dass über alle Vorgänge Buch geführt wird. Deshalb sei es unverständlich, dass dies gerade im Internet, einem Medium, das für kriminelle Handlungen sehr leicht missbraucht werden könne, nicht gelten sollte.

Da jedoch kein Unternehmen den Mehraufwand und damit Wettbewerbsnachteile freiwillig auf sich nehmen werde, müssten staatliche Vorschriften mit den dazugehörigen Sanktionen her, fordert der bayerische Kriminaler. Nach Ansicht des auf Online-Recht spezialisierten Anwalts Thomas Stadler ist dieser Ansatz jedoch mehr als fragwürdig. Damit drücke sich der Staat vor den Kosten für die Strafverfolgung und versuche, diese den Providern aufzubürden. "Strafverfolgung ist aber Sache des Staates", sagt Stadler.

Staat will Kosten auf Provider abwälzenDas Ganze sei wohl eher ein Vollzugsproblem, erläutert der Freisinger Anwalt. So sollten die Behörden erst einmal die notwendigen Planstellen schaffen, um die bestehenden Gesetze durchzusetzen. Allerdings dürfe man auch nicht den politischen Hintergrund vergessen. So sei es populär und nicht teuer, neue Gesetze zu fordern, während sich Politiker mit der Forderung nach teuren Planstellen im Polizeivollzug nicht gerade beliebt machten.

Maritta Strasser, stellvertretende Sprecherin im Bundesjustizministerium, räumt neben technischen und datenschutzrechtlichen Problemen ebenfalls Vollzugsschwierigkeiten ein. Juristisch könne die Legislative eindeutige Richtlinien schaffen. Wenn man jedoch den Internet-Providern vorschreibe, alle möglichen Daten zu speichern, und diese verlegten ihren Sitz daraufhin einfach in ein anderes Land, würden die Gesetzesinitiativen ad absurdum geführt.

Datenschutzprobleme sieht Strasser etwas differenzierter als Bischeltsrieder, der die Bedenken der Datenschutzbeauftragten nicht nachvollziehen kann. Nach Ansicht der Ministeriumssprecherin ziehen die Datenberge einen Rattenschwanz von Problemen nach sich. So müssten die Daten auf kriminelle Inhalte durchsucht und irgendwie verwaltet werden. Problematisch sei außerdem der Schutz der Informationen, da diese auch Begehrlichkeiten von anderer Seite weckten. Marktforscher würden sich die Finger nach den Daten lecken. Das Risiko des Missbrauchs müsse von vornherein ausgeschlossen werden.

Der einzige Weg zu einer wirksamen Verbrechensbekämpfung führt laut Strasser über eine internationale Zusammenarbeit. Allerdings gebe es auch hier Schwierigkeiten bei der Einordnung strafbarer Tatbestände. Zwar sei Kinderpornografie überall strafbar. Andere Fälle lassen jedoch widersprüchliche Auslegungen zu. Während leicht pornografisch angehauchte Web-Seiten beispielsweise in den USA Stürme der Entrüstung hervorriefen, erregten nazistische Hasstiraden dort kaum Aufsehen. Diese fielen in den Vereinigten Staaten unter die Meinungsfreiheit. "Das unter einen Hut zu bringen wird ein mühsamer und steiniger Weg."

Was das internationale Vorgehen gegen Cybercrime angeht, gibt es noch viel zu tun. Zwar betont auch Bischeltsrieder die gute Zusammenarbeit mit ausländischen Behörden, doch in erster Linie sei man "eine bayerische Polizeidienststelle", die primär im deutschsprachigen Raum agiere. Von Initiativen, ein internationales Recht zu harmonisieren, hält er nichts: "Das klingt toll, ist aber Blödsinn."

Angesichts dieser Einstellung verwundert es auch nicht, dass es kaum gesicherte Statistiken über Internet-Kriminalität gibt. Laut der bayerischen Internet-Kriminalstatistik für 1999 ergaben sich für die sechs Beamten 696 konkrete Verdachtsmomente. Für das Jahr 2000 sei eine deutliche Steigerung zu erwarten. So mussten in den Monaten Januar und Februar bereits 652 Fälle untersucht werden, berichtete Innenstaatssekretär Hermann Regensburger.

Auffällig ist die hohe Zahl von Sexualdelikten. Bei einem Großteil der Fälle handelte es sich um Kinderpornografie. "Das ist eine Entwicklung, die ich so nicht erwartet habe", erklärt Bischeltsrieder. Es sei davon auszugehen, dass Kinderpornografie auch in den nächsten Jahren einen sehr hohen Anteil einnehmen werde. Über die Dunkelziffer der nicht aufgedeckten Verbrechen im Internet will der Beamte keine Schätzung abgeben. "Das wäre aberwitzig. Genauso wenig ist es möglich, die Zahl der weltweit verübten Ladendiebstähle anzugeben." Dieser Vergleich zeigt jedoch, dass die Quantität der Delikte im Cybercrime-Umfeld als nicht gerade gering eingestuft wird.

Auch auf EU-Ebene rechnen die Politiker mit einer hohen Dunkelziffer. In der Cybercrime Convention heißt es: "Die Zahl der bisher aufgedeckten und gemeldeten Übergriffe dürfte das wahre Ausmaß des Problems eher verschleiern." Problematisch sei vor allem, dass viele Unternehmen Hacker-Attacken nicht melden, um ihrem Image nicht zu schaden. Außerdem versuchten sie, ihre Anfälligkeit für weitere Angriffe nicht publik werden zu lassen.

Hacker prahlen mit ihren TatenWährenddessen sonnen sich die Hacker in ihrem zweifelhaften Ruhm und äußern sich selbstgefällig über das Unvermögen ihrer Opfer. Gegenüber der "Sonntagszeitung", einem schweizerischen Wochenblatt, prahlte die Gruppe "Virtual Monkeywrench" damit, wie einfach es gewesen sei, an die Daten des Davos-Gipfels zu kommen. "Sie boten sich wie von selbst an. Wir wunderten uns, dass solche Daten einfach auf der Strasse liegen." Auf die Frage nach dem kriminellen Aspekt der Tat antwortete einer der Hacker: "Unser Gewissen richtet sich nicht nach den Gesetzbüchern."

Allerdings ließen sich die Großen der Weltwirtschaft nicht so ohne weiteres blamieren. In den letzten Wochen setzten die Behörden offenbar alle Hebel in Bewegung, um die Cyber-Eindringlinge zu fassen. Ende Februar ging einer der Hacker ins Netz. In Bern wurde ein bislang nicht namentlich bekannter Verdächtiger festgenommen. "Die Beweise sind eindeutig", hieß es aus Polizeikreisen.

Martin Bayer

mbayer@computerwoche.de

Informationen über CybercrimeCybercrime Convention der EU:

- http://conventions.coe.int/treaty/EN/cadreprojets.htm

Material zur Cybercrime Convention:

- http://europa.eu.int/ISPO/eif/InternetPoliciesSite/Crime/crime1.html

Bundesjustizministerium: Urheberrechtsschutz:

- http://www.bmj.bund.de/ggv/bervgint.pdf

Richtlinien für E-Commerce:

- http://www.bmj.bund.de/ggv/egg.pdf

Richtlinien der US-Regierung:

- http://www.cybercrime.gov

- http://www.usdoj.gov/criminal/cybercrime/action.htm

Warn- und Infoseiten:

- http://www.techpolice.com

- http://www.attrition.org

Datenschutz:

- http://datenschutz.de

- http://www.bigbrotheraward.de

Link-Sammlung zum Thema Cybercrime:

- http://europa.eu.int/ISPO/eif/InternetPoliciesSite/Crime/securitiesIssues.html

Terroristen im InternetAuch Terroristen haben inzwischen das Internet zum Kriegsschauplatz erklärt. Vor allem im Nahost-Konflikt zwischen den Palästinensern und Israelis greifen beide Seiten vermehrt zu virtuellen Waffen. Hacker versuchen, die Web-Seiten des Gegners zu manipulieren oder unter einer E-Mail-Flut zusammenbrechen zu lassen. Extremisten auf palästinensischer Seite haben bereits zum "E-Jihad" aufgerufen, dem heiligen Krieg gegen Israel im Internet. Doch auch die israelische Seite nutzt das Netz als Waffe. Wählt man zum Beispiel die Adresse www.hamas.org, erscheint nicht die offizielle Seite der extrem-islamistischen Bewegung, sondern das Angebot einer US-amerikanischen Sex-Seite. Ob der israelische Geheimdienst Mossad damit die fanatischen Moslemkämpfer nach dem Motto "Make love, not war" von Anschlägen abhalten will?

Hacker-AttackenEnde letzten Jahres brach ein Hacker in die Server des Online-Computerhändlers Egghead. com ein. Welche Schäden er dort anrichtete, konnte das Unternehmen bis heute nicht sagen. Möglicherweise hatte der Cyber-Gauner Zugriff auf die Kreditkartennummern von 3,7 Millionen Kunden. Das Unternehmen alarmierte vorsoglich die betroffenen Kreditinstitute.

Microsoft wurde im Herbst letzten Jahres Opfer einer Reihe von Attacken. Ein Unternehmenssprecher gab zu, dass ein Hacker mit dem Pseudonym "Dimitri" in einen Web-Server eingedrungen war und dort die Nachricht hinterlassen hatte: "Hack the Planet".

Eine Hacker-Gruppe mit dem Namen "Smoked Crew" machte in den letzten Wochen Jagd auf Server großer IT-Unternehmen. So knackten sie beispielsweise einen E-Learning-Server von Hewlett-Packard, eine Web-Seite des Emea-Bereichs von Compaq (Emea = Europe, Middle East and Africa) und einen Support-Server von Intel. In allen Fällen versuchten die Betroffenen, die Vorfälle herunterzuspielen. Man habe die Server isoliert. Es seien keine Schäden bekannt. Auf der Internet-Seite der "New York Times", die die Hacker zuletzt knackten, schrieben sie: "Well I''m sorry to say but you just got smoked by slurge. Don''t be scared though, everything will be allright, first fire your current security advisor."

Abb: Arten von Internet-Kriminalität

Das Computer Security Institute befragte 273 Unternehmen, von welcher Art Cybercrime-Attacken sie bereits heimgesucht wurden. Den Gesamtschaden bezifferten die befragten IT-Manager auf knapp 266 Millionen Dollar. Quelle: Computer Security Institute, 2000