Wenn Frau Staatsanwältin vorbeischaut, ist es eigentlich immer zu spät. Der Schaden ist eingetreten und es dürfen die Scherben zusammengekehrt werden. Kein schillerndes Bild im Kampf für die ausgleichende Gerechtigkeit.
Warum also sollten ausgerechnet Staatsanwältinnen und Staatsanwälte über Prävention reden? Nur um den eigenen Aktenstapel zu reduzieren?
Im Gegenteil. Die Situation im Cyberraum lehrt uns, dass Prävention nicht nur für das Offensichtliche gut ist – nämlich zur Schadensminimierung. Sondern auch um die Arbeit der Strafverfolgungsbehörden überhaupt erst zu ermöglichen.
Es trifft fast alle
Was wir sehen, ist: Der Glaube, der Kelch könne an einem vorbei gehen, hält sich beständig. Noch immer treffen Unternehmen Cyberangriffe so hart, als habe keiner so richtig damit gerechnet. Was auch damit zu tun hat, dass bereits betroffene Unternehmen bis heute scheuen über die eigene Angegriffenheit zu sprechen. Aus Angst vor Reputationsverlust.
Verständlich, aber fatal. Denn das kann zu der Einschätzung der bislang Unversehrten führen, dass man mit etwas Glück drum herumkommt. Dabei belegen alle Erhebungen, dass dieser Glaube wohl keine Grundlage hat. Auch der Spruch, dass es nur zwei Sorten von Firmen gibt – nämlich solche, die bereits gehackt wurden und solche die noch gehackt werden – ist so alt und bekannt wie er wahr ist.
Aber welchen Unterschied macht es für die Strafverfolgung, ob sich ein betroffenes Unternehmen auf den Angriff gut, weniger gut oder gar nicht vorbereitet hatte? Ist es, wenn es zu spät ist, nicht egal?
Das ist es nicht. Wir stellen signifikante Unterschiede zwischen solchen Unternehmen fest, die glaubten nie angegriffen zu werden und jenen, die vielleicht sogar den Ernstfall schon geübt hatten, bevor es ernst wurde.
Unternehmen müssen in Angriffsszenarien denken
Wenn der Ernstfall eintritt, ist keine Zeit für das Basteln kluger Strategien, dann besteht Handlungsbedarf. Und nur zu verständlich ist, dass in solch einer Situation beharrliche Rückfragen und der Ruf nach den Datenspuren durch Polizei und Justiz eine schiere Zusatzbelastung darstellen. Das stellt sich aber ganz anders dar, wenn man mit dem Angriff rechnete.
Unternehmen müssen in Szenarien denken. Sie müssen mit dem Angriff rechnen, ihn einplanen, am besten gleich für morgen. Schon vor dem Angriff muss klar sein, wer welche Aufgabe haben wird, wie eine Task-Force aussehen könnte, wie die Backup-Struktur aussieht. Kurz: Wie der Ernstfall nicht zum Super-GAU wird. Und ein kleiner Teil dieses gesamten Szenarios ist: Wer ruft die Polizei an und was wollen die von uns?
Seit ich im Mai 2022 gebeten wurde, im Rahmen der französischen Ratspräsidentschaft einmal plastisch von Cyberangriffen zu sprechen, so dass es auch gut ausgebildete Juristinnen und Juristen aus der gesamten EU verstehen, die nicht auf den Cyberraum spezialisiert sind, habe ich einen Vergleich angestellt, der mir zunächst zu untechnisch vorkam. Aber er funktionierte: Cybersicherheit ist so wichtig wie die Steuererklärung. Der irische Kollege strahlte mich an und sagte: „Das werden sie bei mir zu Hause alle verstehen – ich werde Sie zitieren, Frau Kollegin.“
Tut weh, muss aber sein
Nicht jeder schaut begeistert auf die Steuererklärung. Aber es stellt sie kaum einer in Frage. Sie ist ein Kostenposten. Sie kommt jedes Jahr. Sie muss abgegeben werden, professionell erstellt, von Menschen, die sich damit auskennen. All das gilt auch für die Cybersicherheit.
Womöglich sind Umstrukturierungen vorzunehmen, wenn einmal die IT-Kenner im Hause waren und Absicherungsszenarien vorschlagen, die einen glauben lassen, man befinde sich im Krieg. Ist das wirklich nötig?
Es ist nötig. Die einzig realistische Einschätzung der eigenen Gefährdung ist die, im Zweifel schon morgen angegriffen zu werden.
Wir wissen, dass der wirtschaftliche Schaden etwa bei einer Ransomware-Attacke mitnichten durch die geforderte Erpressungssumme zu beziffern ist. Der Schaden ist weit größer. Und bemisst sich – das erläutern Cybersicherheitsunternehmen unermüdlich, wenn nicht Mantra-artig – ziemlich genau daran, wie gut sich das Unternehmen auf den Angriff vorbereitet hatte. Wie radikal das Unternehmen Vorkehrungen für den absoluten Ernstfall getroffen hatte.
Was bringt eine solche Vorkehrung der Strafverfolgung?
Wenn im Angriffsszenario gedacht und vor allem geplant wird, dann sind die Telefonnummern, die zu polizeilichen Beratergruppen führen, vorher bekannt. Dann ist die Einheit bestimmt, die Daten für die Polizei bereitstellen kann. Alles kein Hexenwerk. Und oft weniger als die Unternehmen an Zusammenarbeit vermuten. Aber wenn das im Ernstfall auch noch auf die Beine gestellt werden muss – dann ist das eben die eine Aufgabe zu viel. Und die Zeit, die uns bei der Strafverfolgung zum Verfolgen vielversprechender Datenspuren verloren geht. Eine gute Prävention stärkt das Verfolgen von Straftaten.
Dass der öffentliche und der private Sektor zusammenrücken müssen und Cybersicherheit dahingehend kein „entweder oder“ erlaubt, ist nichts Neues. Aber dieses Zusammenrücken sollte flankiert sein von einem Sicherheitsverständnis, das auch Prävention und Strafverfolgung ineinanderfließen lässt, denn diese beiden stellen in unserer vernetzten Welt keine Gegenpole mehr dar.
Die Auswirkungen einer guten Präventionsarbeit setzen sich für das Unternehmen und die Strafverfolgungsbehörden auch im Ernstfall fort. So wie beim Staffellauf immer die Mannschaft gewinnt, die nicht nur schnell rennt, sondern auch die Übergabe des Staffelstabs ordentlich geübt hat.
Jana Ringwald ist Oberstaatsanwältin bei der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt am Main. Sie leitet dort das Team Cybercrime im engeren Sinne sowie die Zentralstelle zur Verwertung virtueller Währungen der hessischen Justiz und vertritt aktuell den Bund im European Judicial Cybercrime Network (EJCN) bei Eurojust in Den Haag.
In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Von Jana Ringwald erschien zuletzt „Die Antwort liegt in den Daten“.
