Cyberkriminalität:
gewӧhnungsbedürftig und nur eine Frage der Zeit ?
Vernetzen oder entnetzen: kann man nicht drüber weg, so muss man drunter durch.
Neben allen “gewöhnlichen” Problemen, die wir schon haben, ist Cyberkriminalität als eine wahre Herausforderung in unserem Leben aufgetaucht. Es ist vor kurzem eine SWP-Studie von A. Bendiek zum Thema „Europäische Cybersicherheitspolitik“ erschienen. Daneben liest man unter https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Strategie/cs_Strategie_node.html mehr zum Thema.
Cyberkriminalität wurde leider in den Niederlanden im Regierungsprogramm 2012 nicht genannt, kommt aber als Thema durch DigiNotar-Panne im September 2011 auf die politische Agenda sicher zurück. Bin gespannt, ob es in 2013 anders wird.
Cyberkriminalität verbreitet sich so schnell, dass es noch immer keine Lösung dafür gibt. Verwaltungsmӓβig, sowie in Bezug auf Bewusstseinsbildung- was Problemumfang betrifft-passen sich Gesetze, Strukturen usw nicht schnell genug an die neue Realität an. Dann hat man als Folge lediglich von einzelnen Vorfällen angetriebene Lösungen, die wir jetzt auf staatlicher Ebene oft beobachten können.
Ich habe mich schon in den Niederlanden in Reaktionen zum Thema geäußert, nun ist es Zeit, um meine Gedanken in einem Artikel zusammenzufassen.
Bewusstseinsmangel
Das kann man mit der Entwicklung eines Autos oder eines Flugzeuges vergleichen. Damals hat es auch über 30 Jahre lang gedauert, bevor wir die neue Situation begriffen, akzeptiert und uns daran angepasst hatten. Gewöhnung an Cyberkriminalität kostet also Zeit.
Wir sind uns dessen nicht ganz bewusst, was für Schaden Cyberkriminalität anrichten kann, und wie abhängig wir heutzutage vom Internet geworden sind. Aber sobald Sie selbst einmal Opfer eines Identitätsdiebstahls werden, verändert sich alles. Oder sobald Ihr Blackberry nicht mehr funktioniert. Bei der Cyberkriminalität haben wir keine konkreten Ideen, der Begriff bleibt „verschwommen“, bis es Sie selbst überkommt. Haben Sie einmal mit dem Opfer eines Identitätsdiebstahls gesprochen? Das ruiniert wirklich das ganze Leben. Ich denke sowieso, dass wir die Übersicht der Maßnahmen im Streit mit den Datenschutzverpflichtungen sowie eine lange Datenbankenliste mit unseren persönlichen Informationen verloren haben.
Cyberkriminalität scheint nicht als Problem identifiziert zu sein. Wir lösen das nämlich nicht. Man muss zuerst die Situation anerkennen und „erleben“, das bedeutet, einen emotionalen Kontakt damit haben, bevor man es lösen kann. Das ist die Frage, was für Entscheidungen man trifft. Wie es so oft der Fall ist, fühlt sich niemand für das Problem verantwortlich. Dass man für jeden Postbrief einen Briefumschlag braucht, vergessen wir ab und zu. Warum regeln wir physische Sicherheit und vernachlässigen die virtuelle Gefahren?
Die vorige Erfindung, vergleichbar mit der Bedeutung des Internets, war die Pille Beginn der sechziger Jahre. Und ehrlich gesagt ist das immer noch ein aktuelles Gesprächsthema. Cyberkriminalität hat also Zeit nötig, um eine mentale Kategorie zu werden. Das ist also nicht schlimm, dass es zur Zeit ein Problem gibt, womit wir nichts anfangen können. Aber, dass die Situation längere Zeit unverändert bleiben könnte, ist sicher nicht akzeptabel.
Kein wichtiges Problem?
Wie bereits erwähnt hat man eigentlich Cyberkriminalität bisher nicht als ein brennendes Problem identifiziert. Probleme müssen nämlich gelöst werden. Was macht die Politik hier, in den Niederlanden, damit? Haben wir überhaupt Cyberkriminalitätspolitik? Tun wir etwas, um die Situation zu verändern? Wir sehen Cybersicherheits-Organisation eigentlich auch nicht als ein Problem. Erst, wenn es schon zu spät ist. Wir vertrauen einem System mit geheimen Elementen. Das ist unbeherrschbar.
Brauchen Sie zahlenmäßige Beweise? Der durch Cyberkriminalität angerichtete Schaden beläuft sich in den Niederlanden auf 250.000 Millionen Euro pro Jahr. Das war jedoch noch vor dem Vorfall mit DigiNotar, und der Betrag wächst seitdem eigentlich immer noch beträchtlich.
Einer der Gründe für Mangel an Cybersicherheit ist Unterschätzung des Informationswertes. Wir denken oft, dass unsere eigenen Beiträge im gesamten Informationsstrom unsichtbar bleiben. Aber diese kleinen „Teilchen“, von Ihnen und von mir tragen zur Gesamtheit bei, und wenn die kleinen „Teilchen“ in Algorithmen umgesetzt werden… scheint alles auf einmal ganz anders. Denken Sie als Beispiel nur an Pizza-Index zurück: Lieferung von 300 Pizzas bei Pentagon. Es war genug um zu begreifen, dass sich wirklich etwas Wichtiges vollzog; in diesem Fall die Irak-Offensive. Ein praktisches Beispiel: wie viele Menschen haben Sie gesehen, die vor dem Laptop-Bildschirm, z.B. im Flugzeug Bildschirmschutz gebrauchen, damit andere Reisende nicht mitlesen können?
Noch mehr Beispiele, die beweisen, wie fremd uns dieses Thema ist? „Ethisches Hacken“. Was finden Sie davon? Wie würden Sie das finden, wenn jemand zuerst in Ihr Computersystem eindringt und danach seine Hände in Unschuld wäscht? Und doch scheinen sehr viele Menschen dafür zu sein. Mystery -Hacking scheint mir prima zu sein. Aber nicht angekündigtes „ethisches Hacken“ ist mehr cracken und ist sicher nicht die Richtung, die wir vor den Augen haben. Fehlende Haftung ist sowieso einer der Unterschiede zwischen dem physischen und virtuellen Bereich. Software-Hersteller gehen dem Kunden gegenüber kein Risiko ein. Das im Gegenteil zum Beispiel zu den Autos, die bei Problemfällen vom Hersteller vom Markt zurückgerufen werden.
Ein anderer Aspekt der Cyberkriminalität: stellen Sie es sich bitte vor, zu welchen Konsequenzen es führen würde, wenn das Internet physische Prozesse steuern würde wie z.B. technologische Prozesse in der Lebensmittelindustrie. Oder Autoherstellung mit einer IP-Adresse? Dann könnte ein Hacker wirklich alles lahmlegen. Wir wissen das. Und was werden wir mit den Informationen tun?
Sicherheit organisieren
Die große Frage ist, ob es schon eine adäquate Sicherheitssoftware gibt. Es ist auf jeden Fall so, dass für Cybersicherheit auf lebenswichtigen Positionen immer extra Beobachtung erforderlich ist (24/7). Zweimal jährlich eine Papierkontrolle auf digitale Sicherheit nützt nichts. Ein gutes Beispiel dafür wäre die Luftfahrt. Wenn der FAA-Inspektor kommt, geht die Flugzeugtür offen. Außerdem begreift die Person wirklich, worum es sich handelt. Und wenn die Situation nicht stimme, bleibt die ganze Flotte auf dem Grund. Das spornt die Luftfahrt an, alles gut geregelt zu haben. Und das funktioniert prima. Mit Flugzeugen geht letzte Zeit selten was schief.
Der Sicherheitsgrad sollte eigentlich Interessen entsprechender Strukturen sowie einen potentiellen Schaden berücksichtigen. DigiNotar war ein relativ kleines Unternehmen mit einem kleinen Umsatz. Und doch ist durch den Vorfall einen Schaden von Millionen Euro verursacht. Dazu kommt noch Vertrauensbruch in die digitalen Aktivitäten des Staates. Und auf der anderen Seite eigentlich keine spürbaren Konsequenzen für das Unternehmen selbst.
Unternehmen und der Staat haben sind noch nicht gut im Einkauf der digitalen Sicherheitsprodukte. Wenn es nach den heutigen Regeln erfolgt, dann soll alles so billig wie möglich sein, wodurch Internetsicherheit als Thema vom Tisch gewischt wird. Wir müssten nachdenken, ob es vielleicht besser und richtiger kann.
Lösungen
In erster Linie müssen wir begreifen, dass Cybersicherheit wichtig ist, und Cyberkriminalität bestritten werden muss. Das muss der Ausgangspunt sein. Fernsehprogramme mit diesem Schwerpunkt als Thema zum Zweck der Aufklärung scheinen mir eine gute Initiative .
Ich finde, dass Internetgebrauch als Grundschulfach eingeführt werden muss, und dass der Staat eine nationale Kampagne darüber lancieren könnte, um uns als Bürger darüber aufzuklären und erläutern, was wir tun müssen, um mögliche Risiken einzuschränken. Und ja, Sie haben Recht, so eine Bewusstseinsbildungs-Kampagne kostet Zeit.
Man sollte beim Lösen des Problems IT-Experten in Teams mit z.B. Anthropologen zusammenarbeiten lassen.
IT- Infrastruktur muss genauso wie Wegenetz, Wasserwege, Luftraum als Grundinfrastruktur mit strategischer Bedeutung gesehen werden. Vielleicht gehört digitale Infrastruktur zum Ministerium für Infrastruktur und Umweltschutz in Kombination mit dem Ministerium der Justiz und Sicherheit, wie es jetzt mit Wegen, Deichen und Wasser der Fall ist. Ich muss als Bürger jeden Tag davon ausgehen können, dass ich sicher über die Brücke fahren kann. Dasselbe gilt auch für den sicheren Internetgebrauch. Ich muss auch hier davon ausgehen können, dass manche Sachen gut geregelt sind. Ist meiner Meinung nach eine öffentliche Aufgabe.
Alle Cybercenter müssten Bestandteile einer gesellschaftlichen Grundinfrastruktur mit entsprechender Aufsicht werden. Scanner müssten eigentlich bei Providern statt bei uns zu Hause installiert werden. Jedes Individuum muss Inhaber eigener gespeicherten Daten sein. Jetzt ist es noch nicht der Fall, und Unternehmen sind Inhaber der Daten über Sie und mich. Verantwortung muss also über Identity Provider und Claims -based -Identity -Management beim Individuum liegen und nicht umgekehrt. Identity Provider haben wir wirklich dringend nötig.
Unbeherrschbar
Wir sehen das Problem nicht. Nur, wenn es zu spät ist. Wir vertrauen dem System mit geheimen Elementen. Das ist eigentlich unbeherrschbar.
Wir könnten eine luftfahrtähnliche Aufsicht organisieren, wo nötig mit einem wirtschaftlichen Ansporn für Lieferanten der digitalen Sicherheitsprodukte, damit sie ihre Arbeit gut tun. Die Luftfahrtaufsicht könnte ein Modell für die ersten Schritte in der Cybersicherheit werden.
Jahresabschluss Gesetz schreibt in den Niederlanden vor, dass der Rechnungsprüfer die Glaubwürdigkeit eingereichter Informationen kontrollieren muss. Das scheint mir ein ausgezeichneter Rahmen, um die Sicherheiten der digitalen Umgebung in die Rechnungsprüfung mitzunehmen. Rechnungsprüfer müssen natürlich darauf gut vorbereitet werden. Auf diese Weise entwickelt man direktes Engagement bei Unternehmen, um Cybersicherheit ernst zu nehmen.
Man sollte Cybersicherheit auf dem europäischen Niveau auf die Agenda setzen. Vielleicht kann nur auf diesem Niveau einiger Einfluss auf Googles und Microsofts in dieser Welt noch ausgeübt werden.
Zum Schluss
90 Prozent der Spam-Geldströme ist auf drei Plätze in der Welt gerichtet . Man weiß es, und es wird trotzdem nichts getan. Um mit Spam 70 USD zu verdienen, müssen 12,5 Mio. Spam-Berichte verschickt werden. Und das passiert auch tatsächlich. Und scheint auch rentabel zu sein. Das bedeutet, dass wir noch einen langen Weg auf dem Weg zur Cybersicherheit haben. In diesem Kontext müssten wir uns eigentlich mal fragen, ob es eine gute Entscheidung wäre, – wenn man an die oben beschriebenen Punkte denkt- um noch mehr Dateien mit Privatinformationen der Bürger, was jetzt in den Niederlanden passiert, anzulegen.
Elektronische Steuerakte, Personenakte, Kinderakten… Und das alles passiert in der Welt, wo alles digitalisierbar, abhӧrbar, alles endlos kopierbar ist und dann mit allen „neuen Kombinationen“ mit schlauen Tools wie Semantic Analytics, Mining und Behavioural Targeting. Mit Hilfe der anwesenden Informationen und mit guten Algorithmen kann man viel herausfinden, geschweige, wenn es zu einem gezielten Anfall von Hackern kommt.
Wer den Kern essen will, muss erst die Nuss knacken. Ich wünsche uns und ganz Europa viel Erfolg mit diesen Cyber-Herausforderungen!