Kolumne : Der blinde Fleck

Wir kennen sie alle, die Schlagzeilen, die wie verlässliche Kilometersteine daran erinnern, was noch nicht ganz so gut funktioniert: Zu wenige Unternehmen kümmern sich um bekannte Sicherheitslücken und sind über sie angreifbar. Zu viele öffentliche Institutionen lassen vermuten, dass ein Cyberangriff ein echtes Problem darstellen würde. Zu wenige Menschen kümmern sich adäquat um ihre Passwortsicherheit.

Wann sind wir denn so weit? Wann kommt die Schlagzeile „Deutschland steht, was die Cybersicherheit angeht, insgesamt gut da.“ Ist es das Warten auf Godot?

Es scheint, als wäre alles Wichtige gesagt und vor allen Dingen verfügbar. Das Wichtige ist: ein absoluter Schutz vor einem Cyberangriff ist unmöglich, aber mit einer soliden Grundlage an Cybersicherheit ist viel getan, vielleicht sogar das Wesentliche, um einen solchen Angriff gut zu überstehen. Nicht viel anderes gilt für uns Private.

Gelegeinheitsdelikten im Cyberraum vorbeugen

Kehren wir einmal dem digitalen Raum den Rücken zu und stellen uns den eigenen Sohn, die eigene Tochter vor, drauf und dran, das erste Mal allein mit der Clique in den Großstadtdschungel aufzubrechen. Bei einem solches Vorhaben sind die Belehrungen so klar wie natürlich: 1. Portemonnaie und Handy sind in einer Innentasche des Rucksacks zu verstauen, 2. Bei großem Gedränge ist der Rucksack vor dem Körper. Wir wissen, dass unsere Kleinen im Zweifel keine Chance haben, wenn ein zur Tat Entschlossener mit Gewalt den Rucksack an sich reißt. Aber wir wissen auch: die meisten Diebstähle sind keine Raubtaten, sondern Gelegenheitsdelikte. Kurz: Bei besonnenem Umgang mit den eigenen Wertgegenständen kann man uns immer noch unsere Habseligkeiten wegnehmen, aber wir senken das Risiko hierfür massiv.

Nichts anderes ist es mit der Sicherheit im Cyberraum, und zwar im Großen wie im Kleinen. Wenn ein Unternehmen weiß, dass bekannte Schwachstellen bestehen, über die fleißig aufgeklärt wird, dann ist die Entscheidung, diese so zu belassen, gleichbedeutend mit einem offenstehenden Rucksack in der Berliner U-Bahn. Es muss nichts passieren, aber wenn etwas passiert, sagt einem jeder, es sei eine Einladung für den Dieb gewesen.

Strafanzeigen, die sich um das vitale Betrugswesen im Internet drehen, wohnt nicht selten der Zusatz inne: „Der Mandant wusste natürlich, dass es sich bei dem Nutzer nicht um denjenigen handelte, für den er sich ausgab.“ Wenn etwa eine Kommunikation auf sozialen Medien mit Elon Musk, Taylor Swift oder ähnlichen internationalen Schwergewichten geführt wird. Dennoch läuft die Unterhaltung weiter, und am Ende fließt Geld, oder der eigene Personalausweis wird in die Kamera gehalten. Mit bekanntem weiterem Verlauf.

Uns scheint es immer bewusster zu werden: Zwar werden die Täter immer besser, was den Blick auf schritthaltende technische Lösungen richtet. Aber das eigentliche Problem sind wir selbst. Doch ist das Problem, dass der Mensch das Problem ist? Oder ist das Problem nicht viel eher, wie wir damit umgehen?

Betrachtet man die Möglichkeiten, die bestehen, um sich vor einem Cyberangriff oder zumindest vor dessen katastrophalem Ausmaß zu schützen, einerseits, und die Inanspruchnahme derselben andererseits, dann kann man bisweilen schon von einer billigenden Inkaufnahme der Opfer sprechen: „bitte greift mich an“. Insbesondere beim Beispiel der bekannten, aber nicht geschlossenen Schwachstellen, bei Passwörtern der Couleur „1234“ oder dem Vertrauen darauf, dass „elon_musk“ zwar nicht Elon Musk ist, aber bestimmt jemand, der nur Rechtschaffendes im Sinn haben wird (weswegen er ganz vertrauenswürdig die eigene Identität verschleiert).

Cybersicherheit als Zwang, der Realität ins Auge zu sehen

Es ist nach wie vor die Realität, die Fragen aufwirft: Wie kann man das nicht wissen? Wie kann man da nicht handeln? Wir sind schnell bei Unverständnis und einem Vorwurf. Aber bringt uns das weiter?

Es war auch einmal meine Realität, dass ich von Cybercrime überhaupt keine Ahnung hatte. Ich wusste nicht einmal, wie das Internet, dass ich täglich nutzte, dem Grunde nach funktioniert. Ich wurde in einer Inhouse-Schulung im November 2017 mit dem absoluten Basis-Wissen zu Blockchain-Technologie und Darknet konfrontiert. Mein Weg als Cyberstaatsanwältin hätte zu Recht mit den folgenden Fragen beginnen können: „Wieso weißt Du das nicht längst, Jana? Wieso lernst Du das erst jetzt?“

Diese Fragen hat mir aber keiner gestellt. Diesen Vorwurf musste ich nie hören – Gott sei Dank. Denn er hätte mich beschämt, er hätte mich gekränkt. Wahrscheinlich wäre ich dann keine Cyberstaatsanwältin geworden.

Heute bin ich eine und bilde sogar andere aus. Aber ich bringe niemandem etwas bei, indem ich ihr oder ihm erst einmal den Vorwurf der Unwissenheit mache. Selbst wenn es fast schon zu spät erscheint, gilt, dass Menschen, die für eine Denke gewonnen werden können, besser umsetzen, was sie gelernt haben, als solche, die man zwingt. Wenn ich von meinem Beruf erzähle, dann höre ich oft Folgendes: „Auch wenn es mit meinem eigenen Leben nichts zu tun hat, es klingt total spannend, was Du machst, Jana!“

So sehr mich diese Wertschätzung jedes Mal freut, denn mein Job ist so spannend wie er klingt, so sehr erschüttert mich noch immer diese Einschätzung. Denn mein Beruf hat mit sehr vielen von uns zu tun. In einer Zeit, in der wir munter bei Online-Bestellungen unsere Adressen angeben, damit die Couchgarnitur auch den Weg zu uns findet, zu glauben, dass ein Cyberangriff und seine Aufklärung mit einem selbst nichts zu tun hätten, ist eins neben der Realität. Und vielen Opfern unterläuft derselbe Fehler wie einigen Tätern: sie vergessen, wo sie sie sich schon alles angemeldet haben.

Wir sehen: Es ist nicht getan mit der Frage nach dem Verantwortlichen im Unternehmen, dem neuesten Tool, dem Versicherungsschutz und der nächsten Schulung zur Sensibilisierung. Cybersicherheit zwingt uns, uns mit der Realität auseinander zu setzen. Wenn jemand wirklich behaupten können möchte, mit Cybersicherheit nichts zu tun zu haben, dann muss er auf den Mond ziehen. Wenn das denn langt.

Die Digitalisierung wirft die Frage auf, wie wir eigentlich leben wollen. Natürlich in Sicherheit. Und wo diese nicht zu garantieren ist, in einer Weise, die dennoch unseren Werten entspricht. Wie wollen wir mit der Gefahr im Cyberraum angegriffen zu werden leben? Ganz einfach: Genauso wie ohne diese Gefahr.

Cybersicherheit braucht Solidarität

Wir alle brauchen Verständnis für das, was wir noch nicht können oder was wir noch nicht geschafft haben umzusetzen. Und wir brauchen Unterstützung in dem, worin wir gut sind, womit wir Mehrwert schaffen können.

Objektiv betrachtet sind wir Menschen ausgestattet mit Technologien, die die meisten von uns nicht verstehen, aber nutzen. Im Schadensfall fallen wir aber nicht auf diese Realität zurück, sondern machen Vorwürfe, stellen Forderungen und sind voll des Unverständnisses. Nichts davon bringt uns weiter.

Wenn meine Kolleginnen und Kollegen Strafanzeigen bekommen, in denen jemand seine Geldbörse im digitalen Raum nicht nur offen hat herumstehen lassen, sondern noch die freundliche Aufforderung an einen Unbekannten ausgesprochen hat, diese bitte auszuräumen, dann ist es nicht schwer den Glauben an die Bürger zu verlieren.

Es zeigt: unser Beruf ist mehr als ein Job, denn in der freien Wirtschaft würden wir alle mehr Geld verdienen, seien es meine Kolleginnen und Kollegen in der Justiz oder jene bei der Polizei. Strafverfolgung im digitalen Raum wirkt wie eine auf unseren digitalen Lebensstil gerichtete Lupe: Wir sehen, wie vielen es längst wehtut, sich darin nicht mehr zurecht zu finden.

Cybersicherheit erfordert etwas, das auf keiner Cyber-Angriffs-Checkliste steht (und eine davon zu haben ist sehr wichtig!): Menschlichkeit und Solidarität. Verständnis für Fehler und das unermüdliche Anbieten von Unterstützung.

Ob es die Art ist, wie ich behutsam in ein hochdynamisches Arbeitsumfeld eingeführt wurde oder wie nach einem Cyberangriff mit den handelnden Personen im Unternehmen umgegangen werden sollte: Je digitaler unser Leben wird, desto menschlicher muss unsere Fachlichkeit werden. Wir sollten offen mit unseren Fehlern und unserem Nichtwissen umgehen und umso mehr Anläufe nehmen, um jede und jeden einzusammeln, die bis eben noch dachten, Sicherheit im Netz hätte mit ihnen nichts zu tun.

Jana Ringwald ist Oberstaatsanwältin bei der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt am Main. Sie leitet dort das Team Cybercrime im engeren Sinne sowie die Zentralstelle zur Verwertung virtueller Währungen der hessischen Justiz und vertritt aktuell den Bund im European Judicial Cybercrime Network (EJCN) bei Eurojust in Den Haag. In der kommenden Woche erscheint ihr Buch „Digital. Kriminell. Menschlich. Eine Cyberstaatsanwältin ermittelt“.

In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Von Jana Ringwald erschien zuletzt: Im Geiste eine Anfängerin