Rob Wainwright macht einen ruhigen und überlegten Eindruck. Er formuliert seine Argumente geradlinig aus und bringt sie auf den Punkt – unnötige Details lässt er im Gespräch aus. Allesamt Fähigkeiten, die dem Briten das Leben in seinem Beruf wohl etwas leichter machen. Denn dieses Umfeld scheint ohnehin fordernd genug zu sein, überhastete Entscheidungen wären hier fehl am Platz. Als Direktor der EU-Strafverfolgungsbehörde Europol (Europäisches Polizeiamt) in Den Haag, Niederlande, hat er es mit jeglicher Form von organisierter internatio­naler Kriminalität zu tun: Terro­r­ismus, Drogen-, Menschen- und Waffenhandel, Kinderpornografie – und seit einigen Jahren besonders auch mit Computerkriminalität (im Folgenden „Cybercrime“ genannt, Anm.). Informations- und Kommunikationstechniken, also Computer oder Netzwerke, werden dabei ausgenutzt, um Verbrechen zu begehen: Computer­betrug und Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten (Identitätsdiebstahl), Fälschung von Daten, Computer­sabotage und das Ausspähen und Abfangen von Daten gehören dazu (Definition laut dem deutschen Bundeskriminalamt).

Bereits 2011 warnte Wainwright vor der raschen Verbreitung von Cybercrime in den EU-Mitgliedstaaten – besonders von ­Malware (Schadsoftware, zu der unter anderem Viren, Trojaner, Würmer zählen, Anm.). Französische und deutsche Unternehmen erleiden dabei die meisten Datenleaks (siehe Infografik Seite 65). Als eine der Antworten wurde 2013 das Europäische Zentrum zur Bekämpfung der Cyberkriminalität (EC3) eingerichtet. Hunderte Verhaftungen haben seitdem stattgefunden, so auch erst kürzlich von fünf Personen durch die rumänischen und holländischen Behörden mit Unterstützung des EC3. Das Ziel des Cybercrime-­Zentrums ist klar definiert: Bürger, Unternehmen und Regierungen in Europa vor Onlinekriminalität zu schützen.

Handlungsbedarf ist jedenfalls gegeben – und das besonders auf globaler Ebene. Denn Cybercrime wird die Welt in den ­kommenden Jahren in Atem halten. Ginni Rometty, CEO und Präsidentin bei IBM, formulierte es etwa besonders drastisch: „Cybercrime is the greatest threat to every profession, every industry, every company in the world.“ Warren Buffett nannte es „the number one problem with mankind“. Die Statistiken hinken hier um nichts nach: Nach Berichten von Cybersecurity Ventures werden sich die dadurch verursachten Schäden bis 2021 jährlich auf sechs Billionen (!) US-$ belaufen. Im Report des Internet Organised Crime ­Threat Assessment (­IOCTA) von Europol 2017 wird besonders auf die steigende Bedrohung durch „Ransomware“ hingewiesen: Persönliche Daten und Zugangs­berechtigungen von Nutzern werden abgegriffen, mittels Ransomware verschlüsselt und anschließend Lösegeld verlangt.

Tatsachen und Prognosen, die den seit 2009 amtierenden Europol-Chef Wainwright sichtlich beschäftigen. Als wir darauf zu sprechen ­kommen, in welcher Größenordnung Cyber­crime-Attacken ansteigen und was dagegen zu tun ist, kommt ganz der Kriminologe in ihm hervor. Seine Miene wird ernster, der Blick schärft sich, die Sätze werden analytisch …

Ex-Post-Kosten nach einem Datenmissbrauch nach
Ländern und Regionen (in Millionen US-$)
Quelle: Ponemon Institute/IBM Security – 2017 Cost of Data Breach Study: Global Overview

Im IOCTA-Report steht, dass Cybercrime jährlich wächst. Von welchen Dimensionen sprechen wir hier?

In gewissen Bereichen verdoppeln und verdreifachen sich die Angriffe pro Jahr. Insgesamt wissen wir es aber nicht. Ransomware hat sich zur Gefahr Nummer eins entwickelt. In den USA gibt es pro Tag 4.000 Ransomware-Attacken. In Europa dürften die Zahlen ähnlich ausfallen. Es ist ein Multimilliarden-Problem für Unternehmen in Europa. Bei unseren High-Level-Operationen merken wir, dass Cybercrime-Organisationen in größerem Stil und mit größerem Volumen ihre Ressourcen teilen und zusammenarbeiten. Im Darknet (Nutzer surfen völlig anonym, Anm.) gibt es andere Zahlen. Vergangenen Sommer konnten wir die zwei größten Portale auflösen. Dort wurden 350.000 verschiedene Arten an illegalen Produkten gehandelt: Drogen, Feuerwaffen, gestohlene Identitäten, pornografisches Material.

Schützen sich Unternehmen bereits gut genug vor derartigen Attacken?

Das ist eines der frustrierenden Dinge in meinem Job. Es besteht zwar sicherlich ein Trend, dass Unternehmen mehr darin investieren, sich zu schützen – besonders im Bankensektor. Betrachtet man aber die gesamte Branche, ist der Standard noch nicht dort, wo er sein sollte. Vergangenes Jahr gab es die große „WannaCry“-Attacke. Das war eigentlich eine recht einfach funktionierende Cybercrime-Attacke: Es wurde eine alte Schwachstelle in Systemen ausgenutzt. Diese hätte nicht existieren dürfen, wären die Cybersecurity-Basics eingehalten worden. 200.000 Unternehmen waren weltweit davon betroffen, darunter große multinationale Konzerne. Wie viele Warnungen braucht es denn noch? Das muss einfach verbessert werden.

Von wem genau?

Das fängt bei der Führungsebene jedes Unternehmens an. CEOs müssen die Verantwortung dafür übernehmen. Sie müssen dafür sorgen, dass die Basics installiert werden und ein Experte diesen Prozess einleitet und überwacht. Cybersecurity muss zur obersten Priorität gemacht werden. Im Bankensektor ist eine systematische Cybercrime-Attacke so gut wie die größte Gefahr für den Finanzbereich. Das erzählen mir auch einige CEOs.

Pro-Kopf-Kosten aufgrund missbräuchlich verwendete
Datensätze nach Branchenklassifizierung 2017 (in US-$)
Quelle: Ponemon Institute/IBM Security – 2017 Cost of Data Breach Study: Global Overview

Wie kann Europol als europäische Strafrechtsbehörde hier mehr Bewusstsein schaffen?

An erster Stelle involvieren wir uns im Gesetzgebungsprozess. Wir haben drei wichtige EU-Richtlinien und Verordnungen mitgestaltet, die dieses Jahr noch umgesetzt werden – darunter die Datenschutz-Grundverordnung (tritt im Mai 2018 in Kraft, Anm.). Allesamt werden sie die Cybersecurity-Standards für Unternehmen anheben. Ich denke, dass diese Verordnung Unternehmen dazu bewegen wird, mehr Verantwortung zu übernehmen. Denn bei einem Verstoß stehen hohe Strafen, bis zu vier Prozent des weltweiten Konzern­umsatzes, an. Weiters beziehen wir bei unseren Operationen gegen große Syndikate Technologie­unternehmen und Banken mit ein. Wir kreieren so Public Private Partnerships. Zudem spreche ich auch mit den CEOs und den Medien, um dieses Thema voranzutreiben. Eines der ersten und wichtigsten Dinge, die ich nach der WannaCry-Attacke getan habe, war, damit ins Fernsehen zu gehen. In Großbritannien, Europa und in den USA. Das ist durchaus ungewöhnlich für einen Europol-­Direktor, dies zu machen.

WannaCry hat Cybercrime auf ein neues Level gehoben. Netzwerke in 150 Ländern waren davon betroffen. Was haben Sie daraus gelernt?

Erstens gab es Hunderttausende Unternehmen, die nicht entsprechend geschützt waren. Zweitens verbessern sich die Fähigkeiten und Ressourcen der Cyberkriminellen sehr rasch. WannaCry bedeutete die größte Innovation bei Ransomware seit mindestens fünf Jahren. Denn davor funktionierte dies nur „eins zu eins“: Eine spezielle Schadsoftware wird an ein Unternehmen gesendet, das System wird infiziert und zum Zusammenbruch gebracht. Die ­Kriminellen rufen an und fordern 5.000 US-$, das System bleibt defekt. Dann infizieren die Kriminellen das nächste Unternehmen und das nächste … WannaCry benutzte das erste Mal eine Funktionalität, die sich von selbst ausbreitet. Das bedeutet, dass Computer infiziert wurden und wiederum automatisch andere Systeme – im selben Netzwerk oder jenen von kommerziellen Partnern. Das ist der Grund, warum es um die Welt ging.

Rob Wainwright (50)

Nach seinem Abschluss an der London School of Economics bekleidete der Waliser mehrere Positionen in Nachrichtendiensten und Strafverfolgungsbehörden in Großbritannien. Von 2000 bis 2003 war er Vorstand des britischen Verbindungsbüros bei Europol. 2006
wurde er zum Direktor der internationalen Abteilung der Serious Organised Crime Agency (SOCA) ernannt. Seit 2009 ist er Executive Director von Europol

Wie sind die Kriminellen organisiert?

Es gibt einen sehr geschäftstüch­tigen Markt für Cyberkriminalitätsspezialisten, mit Tausenden meist jungen Menschen auf der ganzen Welt. Diese „verleihen“ ihre Hacking-Skills an große kriminelle Organisationen. Zudem ist es ein sehr kompetitiver Markt, was wiederum Innovation antreibt. Die Entwicklung der vergangenen zwei Jahre ist gefährlich, da diese Vereinigungen viele Spezialisten zu einem Konglo­merat zusammengeführt haben, um eine Art Plattformökonomie für Cyber­crime zu schaffen. In einem unserer großen Fälle haben sich 20 Cyber­crime-Gruppen zu einer Business­partnerschaft zusammengeschlossen. Innerhalb dieser haben sie einen CEO, CFO und einen CIO nominiert. Dieses Konglomerat hat Business­services für die weitaus größere Kriminalitäts-Community zur Verfügung gestellt. Sie haben eine Million Phi­shing-E-Mails pro Woche produziert (geheime Daten, die beispielsweise für Online-Banking oder soziale Netzwerke genutzt werden, werden damit gestohlen, Anm.). Es existiert somit eine neue Form der Kriminalität und nicht mehr diese traditionellen Mafiastrukturen mit einer Gruppierung.

Wie können die Kriminellen ­identifiziert werden?

Das ist sehr schwierig. Besonders, wenn diese anonymisiert vorgehen – umso mehr, wenn sie ihre Daten verschlüsseln oder mittels Tor-Netzwerk im Darknet arbeiten (Netzwerk zur Anonymisierung von Verbindungsdaten, Anm.). Dadurch schützen die Kriminellen ihre Identitäten sehr gut und verhindern die Strafverfolgung in den meisten Fällen. Normalerweise gelingt dies nur, wenn die Kriminellen Fehler machen oder wir alternative polizeiliche Maßnahmen einsetzen, wie etwa einen Informanten, und sozusagen einen Glücks­treffer landen, das passiert auch manchmal. Aber eigentlich ist es nicht möglich, diese zu identifizieren.

Ist das nicht frustrierend?

Natürlich. Das hat bei manchen meiner Kollegen in der Strafverfolgung dazu geführt, dass diese ein Verbot von Verschlüsselung gefordert haben. Das teile ich aber nicht. Zwar verwenden Kriminelle und Terroristen diese Technik, aber sie ist extrem wichtig. E-Commerce könnte beispielsweise nicht ohne existieren. Wir müssen also schlauer als die Kriminellen agieren und unsere Strafverfolgungsmaßnahmen verbessern; eben etwa bei der Entschlüsselung von Daten. Außerdem müssen wir mehr in Technologie investieren. Ich bin dafür, dass die großen Tech-­Unternehmen enger mit den Strafverfolgungsbehörden zusammen­arbeiten, um uns dabei zu helfen.

Durchschnittliche Anzahl der missbräuchlich verwendete Datensätze in Unternehmen nach Land und Region 2017 (in Tausend)
Quelle: Ponemon Institute/IBM Security – 2017 Cost of Data Breach Study: Global Overview

Europol hat keine exekutive Gewalt. Das bedeutet, dass nur die nationalen Behörden zur aktiven Strafverfolgung aufgerufen sind. Wie kann Europol hier dennoch tätig werden?

Wir haben die Kompetenz, Informationen zusammenzutragen, auszutauschen und zu analysieren. Die Stärke von Europol rührt daher, dass wir dies auf sehr großer Ebene machen. Es existieren nun 1.000 Strafbehörden auf unserer Plattform, wo wir untereinander Informationen austauschen. Pro Tag werden Tausende ­Nachrichten über laufende Ermittlungen zu ­Cybercrime, Terrorismus, Menschen- und Drogenhandel ausgetauscht. Wir haben einen sehr modernen datenanalytischen Rahmen geschaffen, der diese Datenflüsse täglich abfragt. Es ist unsere eigene Plattformökonomie. Wie Google und Amazon Daten dazu nutzen, um ihre Geschäftsstärke auszubauen, nutzen wir es, um die Strafverfolgung zu stärken. Aufgrund dieser Datenflüsse können wir grenzüberschreitende Sachverhalte ausmachen. Europol sperrt zwar die Kriminellen nicht selbst ein, aber immer öfter melden wir der Polizei – etwa in Wien oder Sydney –, dass wir eine Spur gefunden haben, die ihren Fall in einen anderen Staat führt. Und das führt dann zur Verhaftung durch die nationalen Behörden.

Dennoch: Im IOCTA-Report 2017 steht, dass Ihre Experten vermehrten Zugang zu Daten be­nötigen, um die Strafverfolgung zu erleichtern.

Das ist hauptsächlich dafür gedacht, dass wir näher an die private Industrie rücken; dass wir, wenn ein konkreter Verdacht gegen eine Person besteht und Tech-Unternehmen wie Facebook oder Google Daten über sie haben, sollten wir Zugang zu diesen bekommen. Oder Microsoft teilt uns mit, dass sie eine bevorstehende Cybercrime-Gefahr in ihrem System entdeckt haben. Diesen Zugang zu privaten Industrie­unternehmen gibt es bereits auf nationaler Ebene. Wir wollen diesen auf EU-Ebene heben. Es geht dabei aber nicht darum, ein neues Gesetz zu beschließen, sondern Europol das zu ermöglichen, was nationale Behörden bereits können.

Das bedeutet, die Zusammen­arbeit zwischen Europol und den Tech-Unternehmen wird verstärkt?

Sie wird bereits jetzt verstärkt. Im Bereich terroristischer ­Propaganda im Internet arbeiten wir derzeit mit 18 Social-Media-Anbietern weltweit zusammen, damit derartiges Material so schnell wie möglich ausfindig gemacht werden kann und wir Anbieter bitten können, es zu entfernen. Wir haben natürlich keine Macht, sie dazu zu zwingen. Vielmehr arbeiten wir auf Basis eines freiwilligen Code of Conduct zusammen. 90 Prozent
des Materials, auf das wir aufmerksam gemacht haben, wurden auch gelöscht.

Gibt es einen Zusammenhang zwischen ­Cybercrime und ­Terro­r­ismus?

Nein, es gibt hierfür keinen fundierten Beweis.

Dieser Artikel ist in unserer Januar-Ausgabe 2017 „Forecasting“ erschienen.