Kapitän Jack Sparrow...

... und die Black Pearl. Was die Karibik im 18. Jahrhundert für die Piraten war, ist das Internet heute für alle Arten von Kriminellen. Ein quasi rechtsfreier Raum, wo alles möglich ist! Und was macht die Politik?

Ich hatte unlängst eine brillante Idee: Ich eröffne in der Innenstadt eine Bank. Natürlich keine echte Bank, aber auf den ersten Blick eine richtige Bank, mit Schalterraum und Angestellten. Vielleicht nenne ich sie Hypo-Alte-Adria (klingt vertraut, ist es aber nicht). Ich mache ein bisschen Werbung und locke die Kunden mit 20 % Rendite auf die Spareinlagen. Wenn die Leute ihr sauer erspartes Geld vorbeibringen, bekommen sie ein Sparbuch, das in Wahrheit wertlos ist. Das Geld wird natürlich nicht angelegt, sondern wandert direkt in meine Taschen. Wenn jemand Anzeige erstattet, zeige ich den Kriminalisten als Legitimation meinen alten Schülerausweis, da habe ich damals schon das Geburtsdatum etwas getunt. Und ich erkläre ihnen, dass die Zentrale der Bank in Novosibirsk steht, da ich weiß, dass Nachforschungen dorthin komplett sinnlos sind. Das heißt, ich zeige der Polizei eine lange Nase und wenn die Bank behördlich geschlossen wird, mache ich im Nebenhaus die nächste auf.

Dollys Installateur. Apropos gefälschter Schülerausweis: Stellen wir uns kurz vor, der 12jährige Franzi geht in den Sexshop seines Vertrauens und will dort die wohlfeile Dolly Buster Collection erstehen. Die nette Verkäuferin hält ihm nur einen Zettel hin, auf der die Frage steht: Sind Sie mindes­tens 18 Jahre alt? Franzi kreuzt eiskalt „Ja“ an und geht mit der DVD-Sammlung schnurstracks zu seinem Haberer Karli, wo er schon sehnsüchtig erwartet wird. Das ist natürlich fatal, da diese jungen Menschen eine komplett unrealistische Vorstellung darüber bekommen, wie schnell ein Installateur ins Haus kommt! Aber das ist eine andere Geschichte.

Potschert! Werter Leser, diese zwei Geschichten kommen Ihnen komplett durchgeknallt und irreal vor? Nun, im Internet passiert genau das jeden Tag zigtausend Mal. Und wir nehmen das als gottgegeben hin. Minister Karner hat vor wenigen Wochen die Kriminalstatistik 2022 präsentiert, und wenig überraschend war die Internetkriminalität ein großes Thema. Auch die Kriminaldienstreform soll mehr IT-Ermittler schaffen. Ein Schritt in die richtige Richtung, gar keine Frage. Aber, jeder Ermittler, der sich etwas mit dem Thema befasst hat, weiß, dass die Polizei nur die ganz potscherten Täter erwischen wird.

Ist halt so. Und das aus dem einfachen Grund, weil wir im Internet Vorgänge und Regeln für normal erachten, die wir im realen Leben nie akzeptieren würden. Und damit meine ich gar nicht, dass ich beim Erwerb eines T-Shirts beim Onlinehändler mehr Daten bekanntgeben muss, als bei meiner Hochzeit. Wir haben uns damit abgefunden, dass im Internet nichts echt sein muss, alles erlogen sein kann. Man kann vollkommen anonym Domains oder E-Mail-Adressen einrichten, tarnen und täuschen wird gefördert statt geahndet. Wir haben derzeit die skurrile Situation, dass private Unternehmen (und China und die CIA) jede Menge Daten aus dem WWW absaugen, aber die Strafverfolgungsbehörden in der EU komplett durch die Finger schauen. Und vor allem: Man kann angeblich nichts dagegen tun. Ist das so, müssen wir uns als Rechtsstaat damit abfinden?

Geht doch. Wie schwierig ist es, weltweit gültige Regeln einzuführen? Nun, wenn ein Flugzeug in Paris, in Peking oder Addis Abeba landet, die Kommunikation mit dem Tower erfolgt nach den gleichen Regeln. Und die Crew könnte problemlos mit einem Flugzeug der gleichen Type, das auf ein anderes Land zugelassen ist, weiterfliegen. Wenn ein Schiff die Weltmeere befahren will, muss es registriert sein und gewisse Auflagen erfüllen, egal aus welchem Land es kommt. Führerschein und Kfz-Kennzeichen gibt es in allen Ländern dieser Welt. Wer mit Aktien handeln will, egal wo auf der Welt, muss sich an die gerade gültigen Regeln halten. Bezüglich illegaler Drogen gibt es eine UNO-Resolution, die von den meisten Ländern ratifiziert wurde. Wenn eine Bank am internationalen Zahlungsverkehr teilnehmen will, muss sie im SWIFT-Zahlungsnetz registriert sein. Conclusio: Internationale Regeln gibt es in vielen Bereichen, man muss sie nur machen.

Nicht greifbar? Aber hier geht’s ja um Daten, um Nullen und Einser, die quer über den Erdball schwirren, das ist ja nicht regional greifbar. Egal ob Server, PC oder Handy, Programmierer, Vendor oder User, sowohl die Geräte als auch die Personen, die damit arbeiten, sind real und haben einen Namen und einen Aufenthaltsort. Oder einen Betriebsort. Oder einen Geschäftsort. Wenn ich einen Server betreibe, bin ich dann für den Inhalt verantwortlich? Wenn ich ein Haus besitze und vermiete und im Erdgeschoss eröffnet ein illegales Bordell mit großer Leuchtreklame auf der Straße, oder Schlepper vermieten Matratzen zu Wucherpreisen, kann ich im zumutbaren Rahmen dafür verantwortlich gemacht werden? Wenn ich mein Auto an einen 14-Jährigen verborge, bin ich für den folgenden Unfall mitverantwortlich?

Notwendige Regeln! Als Berta Benz im Jahr 1888 die erste längere Fahrt mit dem „Auto“ ihres Gatten Carl unternahm, gab es keine StVO, kein KFG, keine Ampeln und keine Radargeräte. Also ungefähr so paradiesisch wie jetzt im Internet. Aber bereits im Jahre 1906 wurde in den preußischen Provinzen eine Polizei-Verordnung über den Verkehr mit Kraftfahrzeugen erlassen, im Jahr 1910 trat das erste deutsche Kraftfahrgesetz in Kraft. Das Word Wide Web gibt es seit dem Jahr 1990, ab 1993 gab es den ersten Browser für jedermann, 1997 ging Google online und, naja den Rest kennen Sie ja. Das Internet ist also den Kinderschuhen entwachsen, sogar die ärgsten Flegeljahre sollten schon vorbei sein. Aber da die Erziehungsberechtigten sich nie wirklich gekümmert haben, hat sich aus dem aufsässigen Jugendlichen ein Schwerkrimineller entwickelt, gegen den Hannibal Lecter, Lex Luthor und Al Capone Chorknaben sind. Erpressung, Anwerben von Mördern, Kinderpornographie, Betrug und der Handel mit allem was Gott verboten hat, sind sein tägliches Geschäft.

300 Milliarden Euro! Der Schaden durch Cybercrime wird weltweit pro Jahr auf rund 300 Milliarden Euro geschätzt, in Deutschland sind das rund 1,5 % des Bruttoinlandproduktes, das ist mehr als das Militärbudget. In Österreich wird der Schaden auf rund 200 Millionen Euro geschätzt, wobei genaue Zahlen sicher schwer festzumachen sind. CEO-Fraud und Ransomware kann für eine Firma existenzbedrohend sein und jeden Tag verlieren Menschen ihr Erspartes, weil sie gutgläubig einen Link angeklickt haben. Im Darknet werden Waffen, Drogen, Identitäten und Dienstleistungen wie Mord verkauft. Die Kriminellen können Webseiten von meiner Bank, meiner Versicherung oder der Post täuschend ähnlich nachmachen, sie können sich als Behörde oder auch als Polizei ausgeben.

Keine Chance! Betrug hat es immer schon gegeben, aber es war noch nie so leicht wie heute. Unser 12-jähriger Franzi mit der tollen DVD Sammlung kann ganz locker von einer speziellen Website seiner Mutter eine Mail schicken, bei der Alexander.Van-der-Bellen@Hofburg.at als Absender aufscheint und in der sich Sascha vehement dafür einsetzt, dass der Franzi nicht zu lange Handyverbot bekommt. Und selbst wenn Minister Karner jeden der rund 30.000 Exekutivorgane zu IT-Ermittlern schulen lässt, solange die Polizei keine zielführenden Auskünfte ermitteln kann, sind die Erhebungen ganz schnell am Ende.

Wieso? Wieso kann ich mir im Internet locker 20 verschiedenen Identitäten und Mailaccounts zulegen, muss aber im realen Leben bei der Handyanmeldung oder dem Kauf einer Wertkarte einen Lichtbildausweis vorlegen? Wieso kann ich mir im Internet anonym eine Wallet für Bitcoins einrichten, probieren Sie das einmal mit einem Konto bei einer echten Bank! Wieso kann ich mir im Internet getarnt eine Domain eröffnen, versuchen Sie einmal ähnliches beim Gewerbe- oder Meldeamt! Wieso ist jedes Mobilfunkunternehmen in Österreich verpflichtet, der Polizei mit staatsanwaltlicher Anordnung Personen- Gesprächs- Standort- und Teilnehmerdaten zu übermitteln, während Firmen wie WhattsApp, Telegram, Wickrme und alle anderen bei Voice over IP-Gesprächen gar nichts hergeben?

Kann man? Das Internet ist längst zur Parallelwelt gewachsen, wieso akzeptieren wir dort Zustände, wo die Schwachen nicht vor den Gierigen geschützt werden? Wieso ermöglicht es der Rechtsstaat, dass sich Terroristen und Schwerkriminelle so sicher fühlen können? Wieso nehmen wir Unternehmen, die im Netz gutes Geld verdienen, nicht stärker in die Pflicht? Wieso lässt sich die gesamte Justiz in der EU an der Nase herumführen? Weil es die Politik zulässt. „Da kann man halt nix machen“ wird die Standardausrede in Brüssel sein. Kann man nicht? Natürlich kann man. China und teilweise die USA leben das andere Extrem. China hat das Internet im eisernen Griff, was natürlich nicht das Ziel sein soll und kann. Aber China zeigt, dass man Server kontrollieren und nicht kooperative Seiten oder User einfach sperren kann. Die USA hat durch den Patriots Act, der nach 9/11 geschaffen wurde, weitreichende Kontrollmöglichkeiten im Netz und auf Servern. Jede Software am amerikanischen Markt muss für die Behörden eine Hintertüre bereithalten.

Rechtsstaatlich. Die technischen Möglichkeiten zur Kontrolle gibt es also. Nun müsste die EU ein rechtsstaatliches Mittelding zwischen der aktuellen Wildwest-Mentalität und der chinesischen Diktatur finden. Die rechtsstaatlichen Standards in der EU inklusive Einbindung der Justiz, Datenschutzbehörden und Rechtsschutzbeauftragten sollten auch Skeptiker überzeugen. Die Politik hat Missstände abzustellen. Dass Cybercrime DIE sicherheitsstaatliche Herausforderung ist, wird niemand ernsthaft bestreiten.

Stand 2008. Bei dieser Gelegenheit kann man auch das große schwarze Loch, mit dem Ermittler derzeit zu kämpfen haben, schließen. DSN-Direktor Omar Haijawi-Pirchner sagte im Standard-Interview: „Wir müssen unsere rechtlichen Befugnisse an moderne Kommunikationsformen anpassen. Die klassische Telefonüberwachung kann in der Strafverfolgung angeordnet werden, aber fast niemand nutzt heute normale Sprachtelefonie im modernen LTE-Netz. Kriminelle und Gefährder nutzen verschlüsselte Messenger wie Telegram, Signal oder WhatsApp. Wir haben da keine Möglichkeiten mehr, diese Kommunikation mitzubekommen. Für unsere Ermittlungen ist das ein Problem. Unser Gegenüber nutzt immer die aktuellen technischen Möglichkeiten. Da müssen wir auf Augenhöhe sein. Wir sind auf dem Stand von 2008.“

Justin! Und wieder, mit der gleichen Selbstverständlichkeit, mit der wir von der Politik im realen Leben Lösungen einfordern, finden wir uns gleichzeitig damit ab, dass es online keine Lösungen gibt. Beispiel Elektroscooter, der Justin Bieber unter den Fortbewegungsmitteln. Hat am Anfang jeder süß gefunden, aber bald hat es nur mehr genervt. Gab es zunächst keine Regeln für diese urbanen Quälgeister, war nach einiger Zeit klar, dass die Politik klare Regeln machen muss – was sie auch getan hat. Nun, diesen Elan würden sich die Bürger auch für Regelungen im Netz vorstellen. Anarchie hat noch selten zufriedene Bürger geschaffen.

Meinungen und Leserbriefe (auch vertraulich) bitte an: diekriminalisten@aon.at