von Cathleen Berger
Die EU hat dem Kampf gegen die Cyberkriminalität wiederholt hohe Priorität beigemessen.[1] Dabei werden Instrumente der inneren und äußeren Sicherheit sowie Aufgaben der Strafverfolgungsbehörden und Nachrichtendienste zusammengeführt.
Ein Gebot der Trennung von Polizei und Geheimdiensten gibt es nicht in allen Ländern. In Deutschland ist es historisch gewachsen und basiert auf den einschneidenden Erfahrungen mit der Gestapo. Aus Gründen der Rechtssicherheit für die BürgerInnen sollten Polizei und Nachrichtendienste in der Bundesrepublik daher organisatorisch, personell und informationell getrennt bleiben. Die Strafverfolgungsbehörden dürfen erst mit dem Vorliegen eines tatsächlichen Verdachts tätig werden, während die Nachrichtendienste geheim und präventiv im Vorfeld aufklären, aber nicht polizeilich eingreifen dürfen. Ein Austausch von Informationen ist nur zulässig, wenn er anlassbezogen und im Einzelfall erfolgt. Diese Grenzen werden zunehmend unterlaufen – neuerdings auch bei der Bekämpfung von Cyberkriminalität.
Ob beim Online-Banking, Internetshopping, E-Mail oder der Standortbestimmung per GPS: der Cyberspace ist ein selbstverständlicher Begleiter. Auch kritische Infrastrukturen, wie Wasser- und Stromversorgung, werden virtuell gesteuert. Der Cyberspace, quasi ein öffentliches Gut, soll und muss daher frei zugänglich und nutzbar sein. Mangels klarer Eigentumsrechte bzw. dem großen Anteil an privaten Dienstleistern ist der Cyberspace jedoch schwer zu kontrollieren.
Grob lassen sich drei Formen der Cyberkriminalität unterscheiden: organisierte Cyberkriminalität (v.a. finanzieller Betrug, Datenmissbrauch), politisch motivierte Attacken (z.B. Cyberspionage) und Angriffe mit militärischem Potenzial (Cyberwar/Cyberdefence).[2] Der Cyberterrorismus lässt sich nicht trennscharf zuordnen – er kann sowohl in die zweite als auch die dritte Kategorie fallen.
In der EU liefert das Übereinkommen über Computerkriminalität des Europarates (Budapester Konvention) die einzige gemeinsame Grundlage für eine Definition von Tatbeständen. Die Konvention trat bereits 2004 in Kraft, ist aber aufgrund ihrer schwierigen Hackerdefinition umstritten und bisher nicht in allen Mitgliedstaaten ratifiziert (etwa in Griechenland, Irland, Luxemburg, Polen, Schweden, Tschechien).[3]
Die polnische Ratspräsidentschaft unternahm im November 2011 einen neuen Versuch, ein gemeinsames Glossar zur Cybersicherheit zu entwickeln. Das Resultat der Initiative: Cyberkriminalität ist „an offence committed in cyberspace.“[4] Eine Differenzierung zwischen verschiedenen Formen – von organisierter Cyberkriminalität über Cyberspionage und Cyberterrorismus – lässt sich so nicht vornehmen. Cyberkriminalität wird zu einem Sammelbegriff für Delikte und Tatbestände mit unterschiedlichen Motivationen und Reichweiten.
Dies führt zu Unklarheiten über das Ausmaß und die Zielrichtung zu ergreifender Gegen- bzw. Präventionsmaßnahmen. Finanzieller Betrug wird wohl eher von privaten, wenn auch organisierten, Tätern begangen. Ihnen wird strafverfolgend mit Mitteln der inneren Sicherheit begegnet. Spionageangriffe auf Regierungsdaten können dagegen durchaus von staatlicher Seite verübt werden. Hier klären eher Nachrichtendienste im Bereich der äußeren Sicherheit auf. Der Rat der EU und die Kommission beziehen in ihren sicherheitspolitischen Dokumenten alle der genannten Formen von Cyberkriminalität mit ein.
Drei Ebenen der Bekämpfung
Die EU wird auf drei Ebenen aktiv: strategisch, rechtlich und institutionell. Strategisch hat sie sich in einer Vielzahl von Dokumenten mit der Problematik der Cybersicherheit beschäftigt. Häufig werden die Überlegungen und vorgeschlagenen Maßnahmen im Kontext der Terrorismusbekämpfung verortet.
Bereits die Europäische Sicherheitsstrategie von 2003 – ein Dokument zur Neuausrichtung der Gemeinsamen Außen- und Sicherheitspolitik – betonte, dass Phänomene wie Terrorismus und Cyberkriminalität sowohl mit internen als auch externen Mitteln der Sicherheitspolitik verhindert werden müssten.[5] Ihre Bekämpfung bekam Priorität. Die Strategie der Inneren Sicherheit vom November 2010 schlägt dann konkrete Maßnahmen zum besseren Schutz der BürgerInnen und Unternehmen im Cyberspace vor.[6] Die Risikowahrnehmung in der EU wird auch von Bewertungen Europols beeinflusst. In einem Bericht heißt es zum Beispiel, dass Cyberkriminalität „ein hohes Maß an nachrichtendienstlicher Koordinierung und Analyse im Rahmen der Zusammenarbeit bei der Strafverfolgung erfordert.“[7]
Von einem umfassenden Sicherheitskonzept zur Bekämpfung von Cyberkriminalität ist die Rede, interne und externe Instrumente, operative und präventiv ermittelnde Kompetenzen sollen miteinander verbunden werden. Konkret stellt etwa ein Bericht vom Oktober 2012 über die Verbesserung der Verknüpfung interner und externer Aspekte von Terrorismusbekämpfung die Notwendigkeit einer Zusammenarbeit von Europol und dem Intelligence Analysis Centre (IntCen) heraus.[8] Europol, als europäische Polizeibehörde, ist hauptsächlich für die Koordinierung von (operativer) Strafverfolgung im Bereich der inneren Sicherheit zuständig. Das IntCen unterstützt primär den Austausch und die Analyse von Geheimdienstinformationen der äußeren Sicherheit. Eine Erleichterung des Datenaustauschs zwischen Europol und IntCen regte auch der EU-Koordinator für Terrorismusbekämpfung in einem Diskussionspapier von 2012 an: Ein Austausch sei strategisch wichtig, um die Verbindungen zwischen Organisierter Kriminalität (OK) und Terrorismus besser zu beleuchten. Die Grenzen zwischen OK und Terrorismus seien diffus. Im Cyberspace verschwämmen sie noch stärker.[9] Terroristen kommunizierten mittlerweile hauptsächlich über das Internet. Auch Europol spricht in seinem Terrorismus-Lagebericht von 2012 von einer wachsenden Gefahr ideologisch-motivierter technologischer Angriffe (bspw. auf kritische Infrastrukturen).[10]
Die im Februar 2013 veröffentlichte EU-Cybersicherheitsstrategie benennt alle drei Formen der Cyberkriminalität als wichtige Herausforderungen für die Gefahrenabwehr im Cyberspace. Die EU müsse für die Verfolgung von OK im virtuellen Raum, von Cyberspionage und Cyberterrorismus gewappnet sein. Dafür sollen innen- wie verteidigungspolitische Instrumente eingesetzt werden.[11] Strategisch sollen die Zusammenarbeit und der Informationsaustausch zwischen Akteuren der Strafverfolgung und der nachrichtendienstlichen Analyse gefördert werden.
Auf rechtlicher Ebene schlägt die Cybersicherheitsstrategie eine neue Richtlinie zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit vor. Dies wäre die dritte Richtlinie, die die strategische Ausrichtung in rechtlicher Hinsicht flankiert. Die beiden ersten beschäftigten sich mit Angriffen auf Informationssysteme und der Bekämpfung des sexuellen Missbrauchs und der sexuellen Ausbeutung von Kindern und Kinderpornografie.[12] Die rechtliche Regulierung soll der Angleichung von Tatbeständen und strafverfolgenden Maßnahmen sowie der Verbesserung grenzüberschreitender Ermittlungen in den Mitgliedstaaten dienen.
Das Beispiel des EC3
Neben rechtlicher Regulierung und strategischer Ausrichtung nimmt die EU auf institutioneller Ebene Veränderungen vor. Die jüngste dieser Maßnahmen ist die Einrichtung des Europäischen Zentrums zur Bekämpfung von Cyberkriminalität (kurz: EC3). Dessen Errichtung geht auf einen Vorschlag der Strategie der Inneren Sicherheit zurück. Nachdem eine Machbarkeitsstudie über mögliche institutionelle Andockungen und weitere Formen eines solchen Zentrums in Auftrag gegeben wurde, empfahl die Kommission im März 2012 unter anderem aus Effizienz- und Kostengründen eine Anbindung an Europol. Der Rat stimmte dem im Juni 2012 zu und zum Januar 2013 nahm das EC3 seine Arbeit auf. Institutionell, finanziell und rechtlich ist das EC3 im Rechtsrahmen von Europol verankert.[13]
Primär soll das Zentrum Cyberstraftaten aufklären und bekämpfen, die entweder auf hohe illegale Erträge zielen (z.B. e-Banking, Internetbetrug), schwerwiegende Folgen für die Opfer nach sich ziehen (u.a. Kinderpornografie) oder auf die Beeinträchtigung kritischer Infrastrukturen und Informationssysteme abstellen (inkl. gezielter Cyberangriffe). Allein aus definitorischer Sicht unterscheidet der Arbeitsauftrag damit nur bedingt zwischen den verschiedenen Formen der Cyberkriminalität.
Ausgestattet mit modernster Technik und spezialisiertem Personal soll sich das EC3 als „Fusionszentrum“ etablieren und Daten aus unterschiedlichen Einrichtungen und Bereichen zusammenführen bzw. verschmelzen. Dabei verarbeitet es operative Informationen und begleitet polizeilich relevante Maßnahmen. Für diesen Teil seiner Aufgaben ist das EC3 im Bereich der Strafverfolgung und inneren Sicherheit tätig.
Das Zentrum unterteilt sich in verschiedene Teams, die jeweils eigene Bereiche abdecken. Im Bereich der nachrichtendienstlichen Analyse arbeiten Experten, die eine „Helikopter Perspektive“ einnehmen und neue Entwicklungen und Trends verfolgen. Hinzu kommen Strategen, die den Cyberspace horizontal scannen und Informationen auswerten. Sie sind auch im Bereich der äußeren Sicherheit aktiv. Zudem gibt es Ausbilder, die sich auf Trainings mit öffentlichen, privaten und akademischen Partnern konzentrieren. Sie sollen in technischer und fachlicher Hinsicht die Entwicklung und Forschung begleiten.
Europol ist laut Mandat nur auf Anfrage hin, nicht aber eigenmächtig, tätig (Art. 7 Europol-Beschluss). Es kann den Mitgliedstaaten zwar notwendige Untersuchungen anzeigen, lehnen diese einen Einsatz jedoch ab, werden keine operativen Maßnahmen ergriffen. Rechtlich gilt dies auch für das EC3. Allerdings soll es die Bemühungen grenzüberschreitender, operativer Untersuchungen im Cyberspace nunmehr intensivieren.
Anfragen an das EC3 dürfen von Ermittlern, Staatsanwälten, Richtern sowie in Verbindung mit technischen und forensischen Aspekten seitens des Privatsektors gestellt werden. Das EC3 ist angehalten, sich in diesem Zusammenhang als „Sprachrohr aller mit Untersuchungen über Cyberstraftaten befassten Strafverfolgungs- und Justizbediensteten“ zu verstehen.[14] Die Einbeziehung des Privatsektors sowie der Austausch mit akademischen Einrichtungen soll zum einen das Vertrauen in eine umfassende Herangehensweise an Sicherheitsbedrohungen im Cyberspace stärken, zum anderen die Entwicklung gemeinsamer Standards zur Berichterstattung oder Meldung von Cyberkriminalität erleichtern. Durch eine Harmonisierung solcher Standards soll nationalen Strafverfolgungsbehörden die Aufklärung vergleichbarer Delikte in anderen Ländern ermöglicht werden.
Gemäß Art. 23 und 25 des Europol-Beschlusses erlaubt das Mandat des Polizeiamtes einen Informationstransfer mit dem Privatsektor nur unter begrenzten Vorgaben und in Einzelfällen, etwa wenn diesbezüglich Abkommen mit internationalen Organisationen geschlossen werden. Das Tätigkeitsprofil des EC3 suggeriert nun, dass der Austausch mit privaten Partnern intensiviert werden soll. Auch die in der EU-Cybersicherheitsstrategie vorgeschlagene Richtlinie forciert den Ausbau von Programmen, die eine technische Verbindung des EC3 mit etlichen Unternehmen der Informationsbranche (z.B. Microsoft, Google, Symantec, McAfee, VISA-Master Card) ermöglichen. Inwieweit die rechtlichen Grenzen des bestehenden Europol-Mandats hierfür zu eng sind, bleibt offen.
Wie in der Kommissions-Mitteilung zur Kriminalitätsbekämpfung im digitalen Zeitalter, den Ratsschlussfolgerungen zur Errichtung des EC3 und der EU-Cybersicherheitsstrategie betont, ist das vorgestellte Aufgabenspektrum des EC3 nicht abschließend. Neue Trends und Bedürfnisse müssten im Zusammenhang mit den sich weiterentwickelnden Mustern der Cyberkriminalität verfolgt und berücksichtigt werden. Technischer Fortschritt ermögliche schließlich auch neue Angriffsformen. Je nach dem welche Trends und Verknüpfungen im Zusammenhang mit dem Phänomen der Cyberkriminalität identifiziert werden, erweitert sich somit das Portfolio.
Eine unkontrollierbare Dynamik?
Eine wesentliche Ressource in der Arbeit des EC3 sind Informationen. Um beispielsweise Angriffe auf kritische Infrastrukturen, wie Strom- und Wasserversorgung oder Flughäfen, abzuwehren (man denke auch an den Einfluss von Stuxnet auf das iranische Atomprogramm), benötigt das EC3: Informationen über die relevanten Strukturen (Lagebilder), ein Verständnis über Angriffsflächen und mögliche Konsequenzen (nachrichtendienstliche Bedrohungsanalyse), Informationen über Täterprofile und Netzwerke (nachrichtendienstliche Kapazitäten im Ausland), Zugang zu den Informationen der Betreiber der jeweiligen Infrastruktur (Privatsektor), die technischen Fähigkeiten, um Informationen zu sammeln und auszuwerten (Forschung und Entwicklung), transnationale Krisenreaktionsmechanismen und operative Kapazitäten, um Verdachtsmomenten nachzugehen (Strafverfolgung).
Die bestehenden (und zu schließenden) Kooperationsabsprachen des EC3 sollen diesem Zugang zu all diesen Informationen verschaffen. So bestehen Abkommen mit allen EU-Staaten, weiteren Staaten wie Norwegen, Australien oder Kolumbien sowie US-Einrichtungen wie dem FBI und dem Secret Service. Je nach Aufgabenteilung in den Mitgliedstaaten sind unterschiedliche Behörden angehalten, die jeweils relevanten Informationen zuzuspielen. In der Bundesrepublik umfasst dies unter anderem das Bundeskriminalamt (BKA), das Bundesamt für Sicherheit in der Informationstechnik (BSI) und den Bundesnachrichtendienst (BND).
Mit der institutionellen Bündelung all dieser Informationen im EC3 kann auf europäischer Ebene kaum von einer (informationellen) Trennung der Aufgaben gesprochen werden. Der Datenaustausch zwischen Akteuren auf europäischer Ebene, z.B. zwischen Europol und IntCen, erfolgt weniger punktuell und auf Einzelfälle bezogen als systematisch im Zusammenhang mit zum Beispiel internationalem Terrorismus oder Cyberkriminalität.
Werden zudem im Zuge der Bekämpfung von Cyberkriminalität auf europäischer Ebene Daten zu Personen, Netzwerken oder Fällen getauscht und verknüpft, gelangen im Ausland aktive Nachrichtendienste, wie der BND, über diese Ebene gegebenenfalls schneller an Informationen aus dem eigenen Inland als traditioneller Weise. Umgekehrt weitet sich der Bezugsradius im Inland tätiger Dienste, wie das BKA, durch die transnationale Verfolgung von Delikten zwangsläufig aus.
So notwendig deshalb Mandatsanpassungen auf nationaler wie europäischer Ebene sein mögen, muss doch sichergestellt sein, dass eine Kompetenzausweitung immer mit der notwendigen (richterlichen wie parlamentarischen) Kontrolle einhergeht. Aufgrund der Rechtsanbindung an Europol ist das EC3 gegenüber dem Rat der EU rechenschaftspflichtig. Es erstattet im Rat für Justiz und Inneres Bericht. Eine parlamentarische Kontrolle, zunächst durch das Europäische Parlament (EP) ist nur formal über das Haushaltsstatut, nicht jedoch inhaltlich vorgesehen. Ab 2014 wird das EC3 über eine eigene Budgetlinie innerhalb des Europol-Budgets verfügen. Im Rahmen der Verhandlungen über Personalstärke und operative Mittel kann das EP dann eine gewisse Kontrolle ausüben – eine inhaltliche Überprüfung findet damit aber nur indirekt statt, etwa über Begründungen bei Mittelanträgen. Fragen der Datensicherheit, wie das Ausmaß der Verwendung und Speicherung übermittelter und gesammelter Daten, sind so kaum transparent. Gleiches gilt für die Kontrolle über die Einhaltung von Grundrechten, wie der informationellen Selbstbestimmung oder dem Schutz der Privatsphäre in der Arbeit des EC3. Ohne eine klare Rechenschaftspflicht gegenüber dem EP – oder über die „europäischen Aktivitäten“ der nationalen Dienste gegenüber den Parlamenten der Mitgliedstaaten – ist die Transparenz gefährdet.
Insgesamt scheint die Bekämpfung von Cyberkriminalität auf europäischer Ebene eine Dynamik zu entwickeln, die deutschen Vorgaben zur Trennung von Nachrichtendiensten und Strafverfolgung zunehmend zuwiderläuft.