Kolumne : Beschleunigung in der Lernkurve

Es gibt Idealszenarien und es gibt die Realität. In meinem Job haben die beiden nur gelegentlich miteinander zu tun. Eine perfekte Strafverfolgung gibt es nicht. Genauso wenig wie es den perfekten Mord gibt. Überall spielen Interessen, Kapazitäten und Befindlichkeiten eine Rolle. Und dennoch ist das Idealszenario wichtig, um den Fokus nicht zu verlieren, wenn es ein bisschen länger dauert mit der Umsetzung des gewünschten Ergebnisses.

Das Idealszenario in der Cybersicherheit wäre eine gewichtige Präventionsarbeit mit hoher Priorisierung, fortlaufende Sensibilisierung und ein barrierefreier Umgang der von Cyberangriffen betroffenen Unternehmen mit den für diese Angriffe gerufenen Behörden. Das Idealszenario wäre eine flächendeckende strategische, technische und personelle Ausstattung auf hohem Professionalisierungsgrad.

Prioritäten und ihre Daseinsberechtigung

Davon sind wir – flächendeckend betrachtet – sowohl auf Unternehmens- als auch auf Behördenseite ein gutes Stück entfernt. So ehrlich sollten wir alle sein. Und oftmals sind die Missstände zurückzuführen auf anderweitige Prioritäten, die ebenfalls ihre Daseinsberechtigung haben.

Als wir bei der ZIT vor über zwei Jahren begonnen haben, noch aktiver auf betroffene Unternehmen und solche, die es werden können, zuzugehen, taten wir das zunächst, um zu verstehen, wie dort gedacht wird. Aber auch in dem Geiste, dass es nicht weiterhilft, Missstände und Versäumnisse zu beklagen.

Wir konnten seitdem bereits feststellen, dass Sprachbarrieren abgebaut werden konnten und Raum für eine vertrauensvolle Zusammenarbeit geschaffen wurde. Auch Raum dafür zu erläutern, wie wir vorgehen. Ein Cyberangriff ist schließlich kein Wohnungseinbruchsdiebstahl. All das scheint ganz gut anzukommen.

Einsturzgefährdet?

Und doch gibt es sie weiterhin, diese Fälle. In denen eine örtliche Polizeidienststelle informiert wird, die nicht auf Cybercrime spezialisiert ist. Der Fall wird nicht sofort an die ZAC (Zentrale Ansprechstelle Cybercrime für die Wirtschaft beim jeweiligen Landeskriminalamt) des Landes weitergeleitet. Zeit geht verloren. Fragende Gesichter. Sofort entsteht der Eindruck, dass die Polizei sich nicht auskennt. So etwas passiert einem von einem Cyberangriff betroffenen Unternehmen genau einmal. Es wird die Polizei nicht mehr einschalten, wenn es nicht muss. Aus Unternehmenssicht nur zu verständlich.

Selbst wenn en gros die Dinge besser werden (und das werden sie). Es genügt ein solcher Fall, und das Vertrauen in die Behördenwelt ist erschüttert. Kaum aufzuwiegen durch zehn Fälle, in denen sich die Unternehmen gut betreut fühlten und angenehm überrascht waren von der Sachkenntnis der polizeilichen Berater, der dann doch modernen Vorgehensweise und der Rücksichtnahme auf die unternehmensinternen Prozesse direkt nach einem Angriff.

Wenn sich die Behördenwelt einmal nicht mit Ruhm bekleckert, dann wird das mühsam Errichtete umgeworfen. Kleinen Moment, wird es das?

Den Kritikern, die nicht müde darin werden zu wiederholen, wie abgehängt die Behörden seien, möchte ich entgegenhalten: Was meinen Sie, ist die Alternative? Missstände zu beklagen, hat bisher keinen weitergebracht. Und die Einblicke, die wir gewinnen, zeigen ebenfalls: Grundlegendes wird noch immer von vielen Unternehmen nicht konsequent bedacht. Aber die werden nicht besser darin, wenn wir Strafverfolger darüber die Nase rümpfen. Sondern wenn sie durch geschulte Begleitung erkennen, dass eine solide Absicherung ihrer technischen Systeme zwar nicht den nächsten Angriff abwenden kann. Aber großen Schaden.

Vorwürfe und was sie nicht bringen

Wir dürfen den Unternehmen eine mangelhafte Absicherung nicht vorwerfen, sondern wir müssen sie ihnen vorhalten. Einen Cyberangriff zum Anlass nehmen, zu sensibilisieren.

Klar läuft vieles nicht optimal. Und wir müssen uns auch einiges anhören: „Da wusste der eine nicht, was der andere sagt.“ Auch Häme ist zu hören. „Wussten wir ja immer, dass der öffentliche Dienst nichts draufhat.“ Eine berechtigte Frage ist natürlich: wie werden wir denn nun besser?

Es wird immer auf Einzelne ankommen

Kompetenzen sind unterschiedlich verteilt. Das gilt übrigens auch für die Wirtschaft. Wo teilweise sträflichst übersehen wird, welche Schutzmaßnahmen längst in Paketen auf dem freien Markt verfügbar sind und im Angriffsfall einen wirklichen Unterschied machen. Aber gegenseitige Vorwürfe helfen uns nicht bei der Bekämpfung der Cybercrime und schon gar nicht beim Aufbau einer Cybersicherheit.

Ich bin seit dreizehn Jahren Staatsanwältin. Allgemeine Sachen, Wirtschaftsstrafsachen, internationale Rechtshilfe, politisch motivierte Straftaten, nun Cyber- und Cryptocrime. Ich habe mir einen Überblick verschaffen können. Und all diesen Spezialisierungen wohnt eines inne: Es wird immer auf Einzelne ankommen.

Strukturen schaffen keine Innovationen oder Lösungen. Es sind immer einzelne Menschen. Angetriebene, wovon auch immer sie angetrieben sind. Es gibt sehr wendige, geländegängige, pfiffige Cyber-Dienststellen in Deutschland, in denen Sachverstand und Wille zusammenkommen. Und dann wird losgelegt, sich ein Fall vorgeknüpft und genau an diesem Fall gelernt. Bestimmt nicht, weil eine Struktur das vorgibt. Es braucht auch bei uns solch agile Einheiten, schlicht weil der Föderalismus so schwerfällig ist.

Beschleunigung in der Lernkurve

Die Lernkurven bei der Bekämpfung der Cybercrime sind die höchsten, die ich in dreizehn Jahren Staatsanwaltschaft erleben durfte. Wir fangen ständig vorne an. Gleichzeitig gibt es Standards, die besser werden müssen und auch langsam besser werden. Wir sollten einander motivieren darin, an dieser immensen Herausforderung zu wachsen.

Ich habe das große Glück sehr viel Sachverstand um mich herum zu wissen, der mich befähigt meinen Job zu machen. Kolleginnen und Kollegen, die keine Zeit damit verschwenden, Missstände zu beklagen. Sondern die handeln, mit den Mitteln, die da sind und ihrer Überzeugung, das Richtige zu tun. Und die immer wieder einen Schritt weiterkommen. Wie Mittelstreckenläufer in der Stadionrunde nehmen sie die Beschleunigung aus der Lernkurve.

Aufgeben ist keine Option

Wir sind alle noch nicht da, wo wir sein sollten, was Cybersicherheit einerseits und die Zusammenarbeit zwischen betroffenen Unternehmen und Strafverfolgungsbehörden andererseits angeht. Jeder, der das in seinem Wirkungsbereich beginnt zu ändern, arbeitet mit an der Verbesserung. Aufgeben ist keine Option. Und bis dahin verbessern wir uns. Alle. Schritt für Schritt

Jana Ringwald ist Oberstaatsanwältin bei der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt am Main. Sie leitet dort das Team Cybercrime im engeren Sinne sowie die Zentralstelle zur Verwertung virtueller Währungen der hessischen Justiz und vertritt aktuell den Bund im European Judicial Cybercrime Network (EJCN) bei Eurojust in Den Haag.

In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Von Jana Ringwald erschien zuletzt: Das Spiel mit dem Medium