Herr Wainwright, kürzlich haben Sie während einer Konferenz gesagt, dass man Kriminelle auch dabei beobachten kann, bei Hack-Angriffen einen Euro zu klauen, den dafür aber von vielen Kundenkonten. Warum diese Zurückhaltung?
Ein Euro ist kein Betrag, der auffällt, und selbst wenn, würde keine Bank nach einer Anzeige ermitteln. Die Kriminellen wollen unerkannt bleiben. Und wenn sie auf einen Schlag eine Million Kunden angreifen zu je einem Euro, dann ist das immer noch ein Haufen Geld. Das ist nur ein Beispiel von vielen, das zeigt, wie innovativ diese Branche ist.
Die Angreifer wollen unerkannt bleiben, solange es geht.
Exakt. Wir haben sie im Rahmen einer anderen Operation entdeckt. Aber das ist der Trend, den wir sehen: Banken werden nun direkt ins Visier genommen. Die Verluste sind gigantisch.
Das IT-Unternehmen Kaspersky veröffentlichte einen Bericht, demzufolge Cyberkriminelle bei so einem Angriff in einer konzertierten Aktion bis zu einer Milliarde Dollar erbeuten konnten.
Europol hat bei dieser Aktion geholfen. Die Angreifer hatten über mehrere Monate hinweg identifiziert, wer die wichtigen Bankangestellten sind, deren Zugänge man knacken muss, um Zugriff auf das Überweisungssystem zu bekommen. Ausgeklügelte Sicherheitsmechanismen wurden erfolgreich ausgehebelt.
So viel Knowhow und Ausdauer kosten sehr viel Geld, daher galten diese Angriffe bis dato als das Metier von staatlichen Behörden. Ändert sich das?
Die Techniken, die Cyberkriminelle einsetzen, sind in manchen Fällen auf Augenhöhe mit Angriffen von Staaten. In diesem Bereich ändert sich gerade das Geschäftsmodell. Wir nennen es Crime-as-a-Service.
In Anlehnung an Software-as-a-Service, jenes Prinzip, bei dem Kunden monatliche Gebühren zahlen, um zum Beispiel Serien direkt im Netz schauen zu können.
Die Angebote werden adaptiert. Mittlerweile agieren immer mehr Kriminelle im Netz, die selbst gar nicht mehr über besonders große technische Expertise verfügen müssen. Sie kaufen sich die Dienste von Spezialisten ein und setzen sie nach dem Baukaustenprinzip für ihren Angriff zusammen. Die Angreifer zu finden ist extrem schwierig, da sie Verschlüsselung einsetzen, wie normale Internet-Nutzer auch.
In den USA wurde nach Bekanntwerden etlicher solcher Angriffe laut diskutiert, ob man die Angreifer selbst angreifen darf. Der Vorschlag ist, sensible Dokumente von vornherein mit Schadsoftware zu versehen; werden sie entwendet, kann man kriminelle Netzwerke verfolgen.
Wir leben in einer demokratischen Gesellschaft und Regierungsbehörden müssen sich an Normen halten. Alles, was wir tun, muss durch das Gesetz abgedeckt sein. Dieses Vorgehen, das Sie gerade beschreiben, ist nicht das von Europol. Ein großer Teil des Problems, das wir haben, ist Verschlüsselung.
"Ich glaube nicht, dass Verschlüsselung verboten werden sollte"
Der britische Premierminister David Cameron will Verschlüsselung bei Chat-Apps verbieten. Auch der deutsche Innenminister Thomas de Maizière liebäugelte kurzfristig mit so einer Idee. Wie sehen Sie das?
Ich glaube nicht, dass Verschlüsselung verboten werden sollte. Es ist ein fundamentaler Bestandteil dafür, wie das Internet funktioniert. In der Sekunde, in der wir Verschlüsselung verbieten, wird zum Beispiel der Online-Handel notwendigerweise kollabieren. Das ist in etwa so, als ob wir sagen würden: Kriminelle benutzen Telefone, verbieten wir Telefone. Das sagen wir aber nicht.
Wir haben ein internationales Bankensystem, wir haben in Europa den Schengenraum eingeführt. Auch das hilft Terroristen, wir haben es trotzdem getan. Aber in all diesen Fällen haben wir die Sicherheit mitbedacht. Strafverfolgungsbehörden haben zum Beispiel das Recht, Telefone abzuhören. Es geht nicht darum, Verschlüsselung zu verbieten, aber es gibt ein Ungleichgewicht zwischen Privatsphäre und Sicherheit.
Wieso wird die Privatsphäre gegen Sicherheit ausgespielt? Menschen haben Schlösser an ihren Türen. In ihren Wohnungen sind sie also auch deshalb privat, weil dieses Schloss für Sicherheit sorgt.
Ja, klar. Aber Ungleichgewicht bedeutet auch nicht, dass man sich für dieses oder jenes entscheiden muss. Es geht um ein Gleichgewicht.
Der Chef des amerikanischen Geheimdienstes sagte kürzlich während einer Rede, dass er Zugriff auf die verschlüsselte Kommunikation haben will. Er könnte sich vorstellen, den Schlüssel in Einzelteile zu zerlegen - nur wenn alle Parteien sich einigen, kann man auf die Daten zugreifen.
Ich habe ein Problem mit dem Prinzip, das hinter dieser Forderung steckt: Hier werden bewusst Sicherheitslücken mit eingebaut. Unser Ziel muss es sein, die digitale Infrastruktur der Nutzer zu schützen. Das schaffen wir durch digitale Hygiene und die bestmögliche Verschlüsselung. Auch wenn man es gut meint: In dem Moment, in dem man eine Vorder- oder Hintertür einbaut, ist da der Fakt, dass diese Tür auch für nichterwünschte Personen offen stehen wird.
Wie kommt man dennoch an die Daten?
Es gibt jede Menge Informationen, die bei den kommerziellen Anbietern liegen. Die haben Daten, die sie aus anderen Gründen sammeln, um Nutzer zu identifizieren. Wir müssen daran arbeiten, dass die Beziehung zwischen Behörden und diesen Anbietern besser wird. Dass auf diese Daten, nach denselben Kriterien der Verhältnismäßigkeit, wie es im Banking-Bereich Usus ist, zugegriffen werden kann.
Viele Firmen sind nach den Snowden-Enthüllungen von so einer Zusammenarbeit eher abgeschreckt.
Die Firmen setzen zurecht Wert darauf, die Daten ihrer Nutzer zu schützen und sind ebenso zurecht besorgt, was manche der Enthüllungen von Snowden anbelangt. Die größte Aufgabe, vor der wir aktuell stehen, ist das Zurückgewinnen des Vertrauens, das eventuell in die Brüche gegangen ist. Dennoch: Letztendlich ist auch das öffentlichen Interesse gut bedient, sobald zuständige Behörden und Anbieter in einem ausgewogenen Verhältnis kooperieren . Wir haben eine gute Zusammenarbeit mit Unternehmen in der Privatwirtschaft, um Fälle von Cyberkriminalität zu bekämpfen. Zusätzlich dazu gründen wir eine Hinweisstelle.
Europol-Mitarbeiter werden sich durch Facebook und Twitter und Youtube klicken, um terroristische Inhalte zu finden.
Wir werden mit diesen Firmen zusammenarbeiten, auf freiwilliger Basis - ähnlich wie jeder Nutzer diese Videos melden kann. Die ISIS-Terroristen nutzen diese Netzwerke für ihre Propaganda. Daran kann niemand Interesse haben.
"Wir brauchen die Vorratsdatenspeicherung"
Kommen wir noch einmal zurück auf das Bekämpfen von Kriminellen. Neben der Forderung des Verschlüsselungsverbots gibt es eine weitere Forderung: die Vorratsdatenspeicherung.
Wir brauchen sie. Es ist ein wichtiger Teil dafür, wie Polizisten Verbrechen untersuchen. Auch im digitalen Zeitalter will die Polizei Verbrechen verhindern, Täter identifizieren, Beweismittel sichern. Was sich durch das Digitale geändert hat: Ein Großteil der Information, die wir brauchen, liegt bei den Anbietern. Wir brauchen legalen Zugriff auf diese Daten. Wir müssen sie zum Beispiel den Gerichten als Beweismittel vorlegen. Das ist ein Grundprinzip von Recht und Ordnung. Da es mittlerweile immer zeitintensiver wird, die Täter zu identifizieren, müssen wir auch in die Vergangenheit schauen dürfen.
Geht es darum, Verbrechen zu verhindern oder aufzuklären, wie kriminelle Netzwerke vorgegangen sind?
Es geht um beides.
Der Charlie-Hebdo-Terroranschlag in Frankreich hat für viele bewiesen, dass die Vorratsdatenspeicherung, die es in Frankreich zu dem Zeitraum gab, nicht geholfen hat, den Anschlag zu verhindern.
Nur weil es im Charlie-Hebdo-Fall nicht unbedingt geholfen hat, heißt das nicht, dass es nie hilft. Wenn wir einen mutmaßlichen Terroristen untersuchen, dann zeigt das womöglich auch sein Netzwerk. Das kann sehr hilfreich sein, um Anschläge zu verhindern. Ich kann Ihnen Dutzende Fälle nennen, in denen die Vorratsdatenspeicherung für Europol ein kritisches Element der Arbeit war.
Bitte, nennen Sie doch einen.
Ein Fall aus dem Bereich sexuelle Ausbeutung von Kindern, einen der bedeutendsten, den wir jemals hatten. Wir konnten 800 Verdächtige in 32 Ländern identifizieren, die mit Kindesmissbrauch zu tun hatten. Die Gruppe hat online agiert, in einem stark verschlüsselten Format. Unsere Experten haben bis zu zwei Jahre mit Strafverfolgungsbehörden zusammengearbeitet, um die Verschlüsselung auf dem konfiszierten Server zu knacken und danach in monatelanger Arbeit das Netzwerk nachzubilden. Erst dann hatten wir die Informationen, mit denen die Strafverfolgungsbehörden zu den Anbietern gegangen sind und IP-Adressen abfragen konnten. Dass wir die Verbrecher identifizieren konnten und damit Kinder schützen konnten, hing in diesem Fall fast ausschließlich davon ab, wie die Vorratsdatenspeicherung im jeweiligen Land geregelt war.
Was waren die Ergebnisse?
In Spanien, dort lag der Fall über acht Monate zurück, konnten wir mehrere Täter identifizieren. Bei einem von ihnen konnten wir vor Gericht beweisen, dass diese Person 100 Kinder missbraucht hat. In Deutschland konnten wir das nicht in dieser Form.
Weil die Speicherfristen viel kürzer sind.
Das war einer der Gründe.
Wie stehen Sie zum Urteil des Europäischen Gerichtshofes, das die Vorratsdatenspeicherung zwar nicht verboten, die Grenzen aber doch sehr eng gesteckt hat.
Es ist natürlich so, dass wir dadurch die Privatsphäre von Menschen verletzen. Wir müssen auch hier verhältnismäßig bleiben. Wer speichert die Daten, wer kann darauf zugreifen und in welchen Fällen? Nur um Terrorismus aufzuklären oder darf man auch mehr damit machen? In anderen Bereichen, zum Beispiel beim Abhören von Telefonen, haben wir das geschafft.
Die zwei Jahre, die Sie angesprochen haben, sind dem Gericht jedenfalls zu lang gewesen.
Ich sage nicht, dass es zwei Jahre sein müssen. Es ist eine Sache der Gesetzgeber das zu entscheiden.. Alles, was ich will, ist eine vernünftige Balance. Ich kann deshalb verstehen, dass es einen zeitlichen Rahmen braucht. In dem Fall, den ich geschildert habe, haben wir es in den meisten Fällen schneller als in den zwei Jahren geschafft. Aber wir haben auch länger gebraucht als sechs Wochen.
