ARGE Daten

Cybercrime: Politik gefordert

Eine Änderung der gesetzlichen Grundlagen und mehr Ressourcen sind laut ARGE-Daten-Obmann Hans Gerald Zeger dringend notwendig.

Als ob man mit dem Fahrrad einen Porsche jagen wollte – so ungleich verteilt sind die technischen und personellen Ressourcen im Kampf gegen Cyberkriminalität. Diesen Vergleich zieht Dr. Hans Gerald Zeger, Obmann der ARGE Daten, Mitglied des Datenschutzrats, Universitätsprofessor sowie Geschäftsführer eines e-Commerce- und Internet-Serviceunternehmens. Da kann sich der Radfahrer noch so sehr anstrengen und noch so gut trainiert sein, seine Chancen, den Verfolgten einzuholen, stehen schlecht.
Wie man sie verbessern könnte? Zeger sieht hier die Politik gefordert. Auch wenn es nicht gleich ein „Porsche“ sein muss – aber mehr Personal mit dem entsprechenden Know-how und eine bessere technische Ausstattung wären schon vonnöten. Allerdings sollte – wie bei Offline-Kriminalität – nicht nur auf Repression, sondern auch auf Prävention gesetzt werden. In diesem Fall heißt das für den Obmann der Datenschutzorganisation vor allem, die rechtliche Situation an die Bedrohungslage anzupassen.
Das bedeute aber nicht, alle Nutzer pauschal unter Generalverdacht zu stellen und die totale Überwachung des Bürgers anzustreben. Vielmehr gelte es, für die einzelnen Bereiche der Internetkriminalität spezielle Instrumentarien zu entwickeln und umzusetzen, so Zeger: „In der Öffentlichkeit, aber auch in der Politik, wird das Internet meist als Einheit gesehen. 99 Prozent der Leute setzen es mit WWW, E-Mail, Google und Facebook gleich. Es gibt drei grundverschiedene Aspekte, die kriminaltechnisch auch unterschiedlich behandelt werden müssen: e-Commerce, Meinungsaustausch und Schutz der Infrastruktur.“

e-Commerce. Im Bereich des On­line-Handels habe es gute Ansätze gegeben, stellt Zeger fest: Das Unternehmensgesetzbuch wurde um zahlreiche Informationspflichten erweitert. Im Geschäftsverkehr – dazu zählen Verträge, Angebote und Rechnungen – müssen seither Identität des Unternehmens, Postadresse, Aufsichts- und Registrierstelle bekannt gegeben werden. Durch diese Verpflichtungen konnte man zahlreiche Missbrauchsfälle verhindern. Allerdings wurde dieser Schritt bereits vor zwölf Jahren gesetzt, und weitere Maßnahmen lassen nach wie vor auf sich warten.
„In einem rein elektronischen Umfeld ist das zu wenig. Jeder Betrüger kann Logo, Adresse und Firmendaten eines Telefonbetreibers, einer Bank oder eines Online-Shops kopieren und nachahmen“, gibt Zeger zu bedenken. Wenn die Identität in gesicherter elektronischer Form offengelegt werden muss, lässt sich diese Art des Identitätsbetrugs weitgehend verhindern. Eine einfache, durch einen kurzen Passus im Unternehmensbuchgesetz zu realisierende Maßnahme, die auch für die Händler kaum Mehraufwand mit sich bringen würde.
Für die Konsumenten hätte das den Vorteil, dass sie leichter erkennen könnten, ob es sich bei dem Anbieter um ein seröses Unternehmen handelt. Was angesichts der Zuwächse, die der Online-Handel schon seit Jahren verzeichnet, eine bedeutende Rolle spielt. Dementsprechend lohnend ist dieses Betätigungsfeld auch für Kriminelle, die mit fiktiven Unternehmen und nie versendeten Waren gutgläubigen Käufern das Geld aus der Tasche ziehen.

Umleitservice. Opfer von Identitätsbetrug können aber auch online tätige Unternehmen werden, die Waren an gar nicht existierende Kunden schicken – oder an solche, die für eine nicht von ihnen getätigte Bestellung zur Kasse gebeten werden. Wie das funktioniert? Früher musste der Empfänger der Ware an der angegebenen Lieferadresse anwesend sein. Der Lieferant konnte durch Prüfung der Meldedaten feststellen, ob die Person tatsächlich dort wohnt. Mittlerweile bieten manche Logistikunternehmen ein Umleitservice an, das es ermöglicht, Zustellungen nachträglich an eine andere Adresse umzudirigieren.
Vom Kunden Kopien von Ausweis und Meldebestätigung zu verlangen, ist für Zeger keine taugliche Schutzmaßnahme – im Gegenteil. Sowohl Verkäufer als auch Käufer würden damit leichter zu Opfern von Kriminellen. Ein Scan des Reisepasses lässt sich von einem Betrüger dazu missbrauchen, die Identität des Passinhabers seinerseits für Bestellungen zu verwenden. Durch Nutzung des Umleitservices kommt die Ware nie bei der realen Person an, muss oft aber von ihr bezahlt werden. Denn der Beweis, dass man das Paket weder bestellt noch erhalten hat, ist nur schwer zu erbringen.
Den Ratschlag des Bundeskriminalamts, auf den Scan „Kopie“ zu schreiben und zu googeln, ob der Anbieter seriös ist, bezeichnet Hans Zeger als „höchst naiv und wertlos“. „Offline-Ausweise sind im Internet ungeeignet. Seit mehr als 20 Jahren gibt es elektronische Zertifikate, die von der EU durch die eIDAS-Verordnung besonders geschützt sind“, nennt der ARGE-Daten-Obmann die wesentlich sicherere, aber noch viel zu selten genutzte Variante.

Elektronischer Ausweis. Gründe, warum elektronische Zertifikate in Österreich nach wie vor wenig populär sind, gibt es mehrere. Die Bürgerkarte sei den Konsumenten zu kompliziert, vermutet Zeger. Außerdem würden viele das Risiko, Opfer eines Online-Betrügers zu werden, unterschätzen. Von staatlicher Seite müssten die entsprechenden rechtlichen Voraussetzungen geschaffen werden. Etwa mit dem Verbot, vom Käufer eine Ausweiskopie zu verlangen, oder durch Haftung des Logistikanbieters bei der Weiterleitung von Waren.
Das funktioniert aber nur, wenn es eine einfache Möglichkeit gibt, sich elektronisch auszuweisen. „Damit hätte man mit einem Schlag 90 bis 95 Prozent aller Probleme im Bereich e-Commerce los“, schätzt Zeger. Die Informationspflichten müssten an die Anforderungen der digitalen Welt angepasst werden. Verletzt jemand diese Pflichten, ist die Vereinbarung über die Bestellung von Waren oder Dienstleis­tungen rechtlich unwirksam und es besteht ein Anspruch auf Zahlungsrückabwicklung.
Eine gesetzliche Verpflichtung für Kunden, elektronische Zertifikate zu nutzen, lehnt Zeger allerdings ab. Verweigerer müssten nur die Konsequenzen tragen – wie jemand, der sein Fahrrad im öffentlichen Raum abstellt, ohne es abzusperren. Eine Zahlung durch die Versicherung wird in diesem Fall meist ausbleiben. Die Nutzer werden sich an die Verwendung elektronischer Zertifikate gewöhnen, wenn sie nicht wollen, dass ihre nicht elektronisch unterzeichneten Schreiben im Spam-Ordner des Empfängers landen.

Fake-Rechnungen. Die Verlagerung des Geschäftsverkehrs ins Internet bringt es auch mit sich, dass man Rechnungen für Waren oder Dienst­leis­tungen per E-Mail erhält, und zwar in immer größerer Anzahl. Da kann es schon einmal vorkommen, dass man den Überblick verliert, was laut Zeger auch für Firmen gilt. Betrüger nutzen das aus, indem sie Fake-Rechnungen – etwa für angebliche Bestellungen bei großen Online-Händlern oder für Telekommunikations-Dienstleistungen – und gefälschte Schreiben von Banken, in denen die Eingabe von Passwörtern und Kontodaten verlangt wird, versenden.
„Jede Bank, jeder Telefonanbieter oder Shop-Betreiber kann alle erforderlichen Informationen über sein gesichertes Portal zur Verfügung stellen. Das bietet dem Kunden die Sicherheit, dass die Rechnung oder Nachricht tatsächlich von seinem Anbieter stammt“, spricht sich Zeger gegen die Nutzung von E-Mails aus. Die Politik könnte festlegen, dass alle sonstigen Zustellformen rechtlich unverbindlich sind, und gegenüber den kontoführenden Banken ein Zahlungsrückforderungsrecht einführen. Der Versuch einer Zahlungsrückabwicklung wird meist erst bei höheren Summen unternommen – was beim neuen Phishing-Trend, Fake-Rechnungen über geringere Beträge auszustellen, seltener der Fall sein dürfte.

Soziale Medien. Das Problem, nicht zu wissen, mit wem man es im Internet zu tun hat, besteht auch beim Meinungsaustausch über Soziale Medien. Nicht nur von der letzten Regierung kam die Forderung nach einem „elektronischen Vermummungsverbot“ – das Zeger nicht für das Mittel der Wahl gegen Cybermobbing, Hasspostings und die Verbreitung kruder Verschwörungstheorien hält: „Wir leben in einem Land, wo man es sich leisten kann, dass die Leute anonym im Internet unterwegs sind und posten.“
Stattdessen schlägt der Obmann der Datenschutzorganisation vor, die Betreiber von Foren stärker in die Pflicht zu nehmen. Den großen wie Facebook, die es sich leisten könnten, sollte die Einrichtung eines 24-Stunden-Beschwerdedienstes vorgeschrieben werden. Dieser müsste umgehend reagieren, wenn sich ein Nutzer über das Posting eines anderen beschwert, und Beleidigungen, Drohungen und ähnliches umgehend löschen. Für kleine Forenbetreiber hat Zeger eine andere Lösung parat: Außerhalb der Bürozeiten könnte ein externer Anbieter die Beschwerden bearbeiten und Postings vorübergehend sperren, bis der Inhaber des Dienstes über eine etwaige Löschung entscheidet.
Uploadfilter sind laut Zeger aus mehreren Gründen nicht zweckmäßig: Einerseits sortieren sie auch unbedenkliche Inhalte aus, was beispielsweise in den USA mit Informationen zur Brustkrebsvorsorge geschehen ist, und können Zitate oder ironisch Gemeintes nicht erkennen. Andererseits lassen sich mit etwas Geschick Botschaften so gestalten, dass sie vom Filter nicht erfasst werden. Derselbe Uploadfilter passt außerdem nicht für Länder mit unterschiedlichen rechtlichen Bestimmungen; so ist etwa die Verwendung des Hakenkreuzes in den USA legal.
Weder Filter noch Beschwerdedienste verhindern, dass Meinungsäußerungen im Internet manchmal die Grenze der Legalität überschreiten, und auch mit der Einführung elektronischer Zertifikate könnten Online-Betrügereien nicht ausgeschlossen werden. „Wenn doch etwas passiert, wären eine vereinfachte Anzeigemöglichkeit und schnelleres Reagieren nötig. Derzeit muss man zu einer Polizeidienststelle gehen, um eine Anzeige zu machen. Dort sitzen zwar meist engagierte Leute, aber mit Internetkriminalität haben sie nichts am Hut“, charakterisiert Zeger die aktuelle Situation. Abhilfe ließe sich schaffen, indem die Meldestelle für Internet-Kriminalität im BKA auch online erstattete Anzeigen entgegennehmen würde.

Verwundbare Infrastrukturen. So – vergleichsweise – einfach ist es im dritten Bereich der Internetkriminalität nicht. Ereignisse wie das Blackout in Südamerika und die Meldung, dass sich die USA ins russische Stromnetz gehackt haben, beides Mitte Juni 2019, würden die Verwundbarkeit der Infrastrukturen zeigen, so Zeger. Österreich habe einem derartigen Angriff wenig entgegenzusetzen: „Wenn man keine Cybertruppe von mindestens 100 Leuten hat, kann man es gleich bleiben lassen.“
Das Problem ist nur: Wo soll diese Hundertschaft herkommen? Auch hier weiß der Obmann der Datenschutzorganisation Rat: Spezialisten sollten von Aufgaben, die von weniger qualifizierten Personen durchgeführt werden können, befreit werden, z. B. von Recherchen im Darknet. Die Ressourcen – etwa von Polizei und Bundesheer – müsste man bündeln. Und gerade für ein kleines Land wie Österreich sei eine intensivere internationale Zusammenarbeit unbedingt erforderlich.
Rosemarie Pexa