Kolumne : Die Antwort liegt in den Daten

Es fühlte sich für uns an wie ein gigantisches, von langer Hand geplantes Einparkmanöver. Im April 2021 startete der Prozess gegen die Betreiber des „Wall Street Market“. Gemeinsam mit dem Ermittler-Team des Bundeskriminalamts konnten wir bei der ZIT das digitale Ladengeschäft des millionenschweren Darknet-Marktplatzes – bestehend aus nichts weiter als Nullen und Einsen – in den Schwurgerichtssaal des Landgerichts Frankfurt am Main einlaufen lassen. Damit kam ein langer Weg des Ringens um Bitcoins, Bytes und Beweise zu einem vorläufigen Ende: Daten im Gerichtssaal. Zum Anschauen, Nachfragen und Urteilen.

Der Prozess gegen die Betreiber der virtuellen Plattform für illegale Waren im Darknet war die Bühne für das, was die neue Normalität sein sollte, aber wohl noch nicht ganz ist. Die Strafkammer hatte darüber zu befinden, ob die drei Angeklagten die Administratoren des Marktplatzes waren, worüber sie im Einzelnen Tatherrschaft ausübten, wie die Aufgabenverteilung erfolgte und wie sämtliche – nahezu ausschließlich illegalen – Geschäfte technisch abgewickelt wurden, um schließlich ihr Urteil zu fällen.

Alle Antworten auf diese und noch viele weitere Fragen lagen, wenngleich die Angeklagten ihre grundsätzliche Beteiligung einräumten und umfassende Geständnisse ablegten, in der für ein Strafurteil erforderlichen Detailtreue nirgendwo sonst als in den Daten – der Datenbank des Marktplatzes und dem „Admin Control Panel“. Und all das musste in den Verhandlungssaal befördert werden, wo üblicherweise eher ein Tatmesser die Hauptrolle spielt.

Spurensuche im Datendickicht

Ich habe das Privileg, meinen ganzen Arbeitstag über mit Menschen zu arbeiten, die mit Daten umzugehen wissen und den Umgang mit ihnen vorantreiben – Innovationsfreude inbegriffen. Daten sind bei der Bekämpfung der Cybercrime das Beweismittel Nummer 1. Und nicht nur das, sie sind auch die Spur Nummer 1.

Die Strafjustiz darf und sollte man sich wie eine universell einsetzbare Entscheidungskette vorstellen. An jeder Station – der Staatsanwaltschaft, dem Ermittlungsgericht, dem Prozessgericht der Hauptsache – sind Entscheidungen mit ziemlicher Tragweite zu treffen. Diese Entscheidungen werden von Menschen getroffen. Da ist schon eine gewisse Geländegängigkeit zu empfehlen, wenn man mit großen Datenmengen als Beweismittel antritt. Denn noch haben die wenigsten Entscheidungstragenden damit zu tun.

Der „Wall Street Market“-Prozess, der im Juli 2021 mit der erstinstanzlichen Verurteilung der drei Angeklagten zu mehrjährigen Haftstrafen wegen des bandenmäßigen Handeltreibens mit illegalen Betäubungsmitteln sein vorläufiges Ende fand, war wohl der Idealfall der Einbringung von Daten in den Strafprozess.

Sämtliche Ermittlungsstränge basierten auf Daten. Daten führten uns bis zu den Tätern nach Hause. Daten erklärten uns die Bitcoin- und Monero-Zahlflüsse des Marktplatzes. Daten belegten die Aufgabenverteilung. Daten waren der Beleg für sämtliche Transaktionen, die über die Plattform abgewickelt wurden. Jeder kann sich vorstellen, wie ein Tatmesser in Augenschein genommen wird. Wie ein Gutachter erläutert, wieso es das Tatmittel gewesen sein muss, und wer es in den Händen hielt. Aber wie macht man das mit Daten?

Berührungsängste als Innovationskiller

Wir können Daten nicht anfassen, und da liegt eigentlich auch schon das größte Problem – nicht nur in der Justiz: die Scheu sich etwas anzunähern, das sich unseren Sinnen entzieht. Noch immer ist es die Ausnahme, dass Kriminalität im Internet zu einer solchen Aufklärung geführt werden kann. Sich mit allen Tatbeteiligten im Gerichtssaal zu treffen ist im Bereich Cybercrime ein Highlight. Noch schaffen es die Daten nur selten so weit.

Das Ergebnis einer bis heute herausstechenden Ermittlungsarbeit der Kolleginnen und Kollegen beim Bundeskriminalamt war es, das Ladengeschäft des „Wall Street Market“ in das Landgericht zu verfrachten, und zwar so, dass sich alle Verfahrensbeteiligten dort nach Belieben umschauen und unter Laborbedingungen unter anderem den Drogenan- und -verkauf in Augenschein nehmen konnten. Man kann einen digitalen Marktplatz aus Betreiber-,Verkäufer- und Besuchersicht konservieren und per Mausklick an die Wand werfen. Die Daten, die das möglich machen, verderben nicht, sie vergilben nicht, man muss sie nicht kühl lagern. Angeklagte können anschaulich erläutern, was sie gestanden haben – gewissermaßen am „lebenden“ Objekt. Daten lassen einen wieder eintauchen in die Vergangenheit wie kein anderes Beweismittel es kann.

Ransomware-Attacken als ultimativer Stresstest

Wir treten, wie ich in meinem Artikel „Das Lagebild der Vorbehalte“ beschrieben habe, immer stärker an Unternehmen heran, um sie zu überzeugen mit uns zu arbeiten, wenn sie von einer Cyberattacke betroffen sind. Wir brauchen für unsere Arbeit Daten, die bei den Betroffenen zu gewinnen sind. Und das wirft eine vollkommen berechtigte Frage auf: Was passiert dann? Was machen wir mit den Daten?

Ransomware-Attacken machen ein Problem besonders deutlich, das nicht erst seit dem Aufkommen qualifizierter Cyberattacken besteht: das schwierige Zusammenspiel von Föderalismus und der Streuung von Kriminalitätseffekten. Nichts zwingt die Strafverfolgung so sehr in die Knie in einem föderalen Staat, wie eine Verteilung der Geschädigten von Straftaten auf mehrere Bundesländer. Und zwar nicht erst seit Ransomware-Attacken zum Tagesgeschehen gehören. Auch Ebay-Betrug hält sich nicht an Landesgrenzen oder kommt häppchenweise. Was das erfordert? Deconfliction. Als Standard-Prozess. Wer da draußen verbindet das mit der öffentlichen Verwaltung? Genau: keiner.

Zentralisierung gewonnen Wissens und Deconfliction, was nichts anderes bedeutet als die Entflechtung und Zuordnung von Daten zur Vermeidung von Redundanzen und damit potenziellen Konflikten, sind die einzigen Mittel, die helfen. Alle, die am selben Fall arbeiten, sollten so schnell wie möglich voneinander wissen. Und das geht besonders gut, wenn Daten die gemeinsamen Nenner sind. Keiner sollte die Arbeit tun, die ein anderer bereits erledigt hat. Das Abarbeiten des Einzelfalles, das Denken zwischen zwei Aktendeckeln ist Zeitverschwendung. Und im Übrigen auch ein Motivationskiller. Denn es bedeutet, dass man einstellt, was weiter ermittelt werden könnte. Und vielleicht doppelt und dreifach ermittelt, was längst geklärt werden konnte.

Das Ende des Denkens zwischen Aktendeckeln

Der Umgang mit Daten wird sowohl in meinem Beruf als auch in der öffentlichen Wahrnehmung noch zu sehr mit „Cyber“ in Verbindung gebracht. Dabei ist eine analoge Straftat – auch fernab von high-end Cyberattacken – im Grunde kaum noch begehbar. Was oftmals übersehen wird, ist, dass wir bei der Bewältigung unseres Alltags ganz gehörig in die Tasten hauen. Jeder Schritt und jeder Tritt sind von unserem Mobiltelefon begleitet. Und das hinterlässt Spuren. Spuren in Daten. Nichts anderes passiert bei denen, die Dinge tun, die wir nicht mehr gutheißen können.

Die Mühlen der Justiz – ein bekanntes und verfestigtes Bild. Sie mahlen langsam. Eine Rakete kann man sich im Kornfeld noch schlecht vorstellen. Aber genau die brauchen wir. Eine behördliche Kultur der Abarbeitung von Einzelfällen muss Schritt für Schritt dem datenbasierten und deutschlandweit koordinierten Zusammenführen von Ermittlungen als Standard-Prozess weichen. Eine Mammut-Aufgabe.

Als ich vor fünf Jahren meinen Weg zum Cyber fand, gab es dafür keine Ausbildungskonzepte. Abgehalten hat es mich nicht. Im Internet ist erst einmal alles Wesentliche zu finden, um die grundsätzliche Funktionsweise desselben zu verstehen. Mein Lernen hört nicht auf, keinen Tag. Ich kann behaupten, den wohl spannendsten Job in der Justiz zu haben, weil ich täglich Menschen zuhören darf, die Lösungen für unsere Probleme bauen. Datenlösungen.

Der Umgang mit Daten ist keine Raketenwissenschaft

Mit Daten, und damit den kleinsten Teilnehmern des Internets umzugehen ist erst einmal keine Raketenwissenschaft. Ich muss als Cyberstaatsanwältin nicht coden können. Ich muss verstehen, nachvollziehen und bestehende Tools und Abfragemöglichkeiten nutzen können. Das Problem am Umgang mit Daten in traditionellen Berufen wie meinem sind Berührungsängste. Daten kann man nicht anfassen. Und sie waren nicht Teil der Ausbildung. Also: Error.

Kriminalitätsphänomene spiegeln immer unseren Alltag, das war noch nie anders. Unsere Verletzlichkeit im virtuellen Raum konnte nur so stark zunehmen, weil unser Leben immer mehr dorthin abgewandert ist. Den eigenen Alltag online zu organisieren, aber kein vernünftiges Virenprogramm laufen zu lassen; eine IT-Infrastruktur zu betreiben, von der alles – Arbeitsplätze, Umsatz, Gehälter – abhängig sind, und sie nicht vernünftig zu schützen, gehen auf ein Sicherheitsdenken zurück, für das keine Grundlage besteht. Oder auf eine sträfliche Gutgläubigkeit.

Würde ich eine Ermittlungsakte zuklappen, weil der Spur der Daten zu folgen nicht lohnen würde, um danach zu meinem Handy zu greifen – es wäre eine Ironie, die sich die Justiz nicht leisten darf. Bei allen Risiken und Unwägbarkeiten, die technisches und rechtliches Neuland bietet – es ist ein Privileg, täglich mit Menschen arbeiten zu dürfen, die genau für dieses Neuland Lösungen bauen. Lösungen, die wir alle brauchen, nicht nur für die Bekämpfung der Cybercrime.

Jana Ringwald ist Oberstaatsanwältin bei der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt am Main. Sie leitet dort das Team Cybercrime im engeren Sinne sowie die Zentralstelle zur Verwertung virtueller Währungen der hessischen Justiz und vertritt aktuell den Bund im European Judicial Cybercrime Network (EJCN) bei Eurojust in Den Haag.

In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Von Jana Ringwald erschien zuletzt „Das Lagebild der Vorbehalte“.