Und nicht nur die Unter­neh­men, son­dern auch jede natür­li­che Per­son, die mit moder­nen Kom­mu­ni­ka­ti­ons- und Daten­ver­ar­bei­tungs­mit­teln arbeitet.

In der NZZ am Sonn­tag vom 15.05.2016 (auch online ver­füg­bar auf NZZ-online , Inter­view von Lukas Häuptli) wird der Chef NDB (Nach­rich­ten­dienst des Bun­des) Mar­kus Sei­ler im Nach­gang zum publik gewor­de­nen Angriff auf die RUAG interviewt.

Er hält fest: “Die Fir­men müs­sen ihre Ver­ant­wor­tung eben­falls wahr­neh­men und sich selbst vor Hacker­an­grif­fen schüt­zen, vor allem die­je­ni­gen, die kri­ti­sche Daten besit­zen.” Es ist zwar die Auf­gabe des NDB, die Schweiz durch das Sam­meln von Infor­ma­tion vor Cyber­at­ta­cken zu beschüt­zen. Nicht aber jedes ein­zel­nen Unternehmen.

Der Nach­rich­ten­dienst­chef ver­knüpft dabei den Hin­weis dar­auf, dass die Unter­neh­men sel­ber für die Sicher­heit der eige­nen Sys­teme sor­gen müs­sen, mit einem lange geheg­ten Wunsch des Nach­rich­ten­diensts: das Coun­ter-Hacking soll auf einen lega­len Boden gestellt werden.

Dabei muss klar sein, dass die Kom­pe­ten­zen des NDB und jene der Straf­ver­fol­gung von Geset­zes wegen strikte getrennt sind. Der NDB arbei­tet im Inland prä­ven­tiv und pro­du­ziert die not­wen­di­gen Infor­ma­ti­ons­grund­la­gen für die Ent­schei­dungs­trä­ger. Nur die Straf­ver­fol­gungs­be­hör­den (Staats­an­walt­schaft und die Korps der Kri­mi­nal­po­li­zeien) ver­fol­gen Straf­ta­ten und füh­ren die Täter der Jus­tiz zu, nicht so der Nach­rich­ten­dienst. Auch mit einer gesetz­li­chen Grund­lage für Coun­ter-Hacking durch den Nach­rich­ten­dienst wer­den damit nicht in aller­ers­ter Linie die Täter ver­folgt. Viel­mehr wer­den Infor­ma­tio­nen gesam­melt und allen­falls die Angriffs­fä­hig­kei­ten der Täter ein­ge­schränkt. Die gesam­mel­ten Infor­ma­tio­nen des Nach­rich­ten­diens­tes könn­ten im Nach­gang des Coun­ter-Hackings dann aber durch­aus die Grund­lage für die Straf­ver­fol­gung sein.

Aus Sicht der Straf­ver­fol­gung wäre Coun­ter-Hacking an sich nicht direkt not­wen­dig. Im Cyber­space las­sen sich Täter dage­gen viel­fach erst dann eru­ie­ren, wenn man sie aktiv ver­folgt. Ein ver­sier­ter Hacker wird nicht direkt von sei­nem Stand­ort aus seine Angriffe fah­ren, son­dern über meh­rere Kom­mu­ni­ka­ti­ons­schich­ten oder Zwi­schen­sta­tio­nen hin­weg seine Spu­ren ver­schlei­ern. Um den Angrei­fer zu ent­tar­nen, muss man unter Umstän­den in fremde Sys­teme von unbe­tei­lig­ten Drit­ten ein­drin­gen. Nach mei­ner Auf­fas­sung feh­len dafür den ordent­li­chen Straf­ver­fol­gern die gesetz­li­chen Grund­la­gen; im Moment auch dem Nach­rich­ten­dienst (über das neue Nach­rich­ten­dienst­ge­setz wird am 25.09.2016 abge­stimmt: Info des Bun­des mwH; Info der Kri­ti­ker die­ser Geset­zes­no­velle). Dazu kom­men die gros­sen Fra­ge­zei­chen in Bezug auf die Beweis­si­che­rung (Authen­ti­zi­tät und ins­be­son­dere Inte­gri­tät) des Coun­ter-Hacks und der ent­tarn­ten Angrei­fer. Die Beweis­si­che­rung steht bekannt­lich auch beim Ein­satz von Staats­tro­ja­nern im Zen­trum hef­ti­ger Dis­kus­sio­nen in Deutsch­land, wie auch der Schweiz.

Es zeigt sich in der Pra­xis lei­der, dass trotz den Mecha­nis­men der inter­na­tio­na­len Rechts­hilfe Hacker­vor­fälle auf Schwei­zer Boden durch aus­län­di­sche Täter sel­ten ver­folg­bar sind: In den Log­files eines ange­grif­fe­nen Sys­tems fin­det man zwar die IP-Adresse des Angrei­fers, mit der er auf das Ziel­sys­tem zuge­grif­fen hat. Einen Namen hin­ter dem Anschluss zu die­ser IP-Adresse hat man damit aber noch nicht so rasch. Die Staats­an­walt­schaf­ten erhal­ten trotz Anfra­gen an die aus­län­di­schen Stel­len oft keine oder keine ziel­füh­ren­den Aus­künfte. Oder sie scheuen den Auf­wand und die tech­ni­sche Mate­rie so sehr, dass sie die Ver­fah­ren direkt unter dem Hin­weis sis­tie­ren, dass die Täter­schaft unbe­kannt und im Moment nicht eru­ier­bar ist (StPO 314.I.a). Es scheint zudem, dass nur die grös­se­ren Kan­tone in ihren Staats­an­walts­ab­tei­lun­gen über spe­zia­li­sierte Juris­ten ver­fü­gen, wel­che die Welt der Tech­nik mit jener der Juris­ten ver­knüp­fen kön­nen. Das macht die Sache für ange­grif­fene Unter­neh­mun­gen oder Pri­vat­per­so­nen nicht ein­fa­cher. Und Cybercrime wird in Zukunft nicht abneh­men. Ganz im Gegenteil.

Der Chef NDB weist im Inter­view der NZZaS zudem auf ein zen­tra­les, wenn nicht gar das grösste Pro­blem der Cybercrime-Prä­ven­tion und ‑Ver­fol­gung hin: Die meis­ten Cyber-Angriffe (ob ver­sucht oder erfolg­reich) wer­den gar nicht erst bemerkt. Umso zen­tra­ler ist es, dass die benutz­ten Com­pu­ter­sys­teme immer up-to-date sind. Damit redu­ziert sich die Wahr­schein­lich­keit eines erfolg­rei­chen Angriffs bereits enorm. 

Benut­zen Sie auch heute noch einen Win­dows XP-Com­pu­ter? Dann kom­men Sie den gesetz­li­chen Pflich­ten mit aller­gröss­ter Wahr­schein­lich­keit nicht nach. Wer Per­so­nen­da­ten bear­bei­tet, unter­steht der aus­drück­li­chen Pflicht des Daten­schutz­ge­set­zes (DSG 7), für ange­mes­sene Daten­si­cher­heit zu sor­gen. Der Bun­des­rat hat diese gesetz­li­chen Vor­ga­ben in der Ver­ord­nung zum Daten­schutz­ge­setz noch etwas kon­kre­ti­siert. Es lohnt sich ein Blick in VDSG 9.

Übri­gens: Win­dows XP fin­det man nicht nur bei pri­va­ten Anwen­dern, son­dern ver­ein­zelt noch in der öffent­li­chen Ver­wal­tung. Sogar in den Steu­er­sys­te­men für bewaff­nete (sic!) Droh­nen von Welt­mäch­ten fand sich noch die­ses mitt­ler­weile mehr als 16 Jahre alte Sys­tem. Bezeich­nen­der Weise wurde auf die­sen Steu­er­sys­te­men fremde Schad­soft­ware gefun­den (Arti­kel auf heise.de und wired aus dem Jahr 2011).

Vor Hackern und Schad­soft­ware muss sich jeder sel­ber schüt­zen. Tun Sie es am ein­fachs­ten mit regel­mäs­si­gen Updates und dem Wech­sel auf aktu­elle Betreibsysteme.