«Das Darknet ist mittlerweile ein Hypethema»

Cyberkriminelle gehören hinter Schloss und Riegel. Doch wie können internationale IT-Security-Unternehmen den Strafverfolgungsbehörden behilflich sein? Hierzu gibt Martin Rösler, Senior Director Threat Research bei Trend Micro, im Interview mit Computerworld Auskunft. Computerworld: Sie schützen nicht nur Firmen vor Cyberangriffen, Sie gehen auch gegen kriminelle Machenschaften im Internet vor. Wie sieht das aus? Martin Rösler: Das kann ich Ihnen anhand von Botnets aufzeigen. Unser Ziel ist es nicht, nur Botnets ausser Gefecht zu setzen. Das ist zwar spektakulär und kann medial gut verwertet werden, bringt aber nichts, weil die Netze durchschnittlich nach zwei bis zehn Tagen wieder in Betrieb genommen werden. Dies zeigen zumindest die Fälle der letzten zehn Jahre, bei denen nur gegen die Infrastruktur vorgegangen wurde. Unser Ziel ist es somit, Leute, die diese Botnetze betreiben, ebenfalls auszuschalten. Das kann aber nur geschehen, wenn eine enge Zusammenarbeit und ein reger Informationsaustausch mit diversen Behörden und Mitbewerbern initiiert wird. Wie sieht die Zusammenarbeit zwischen Ihnen und den Strafverfolgungsbehörden aus? Rösler: Trend Micro ist sehr um die Zusammenarbeit mit diversen Polizeien weltweit bemüht. Dies geht über eine reine Kontaktaufnahme hinaus. So haben wir einen Kooperationsvertrag mit Interpol geschlossen, bei dem wir diese Behörde auch finanziell unterstützen. Ein Mitarbeiter aus unserem Team ist zudem ständiger Teil der Cyberabteilung von Interpol, dem IGCI (Interpol Global Complex for Innovation) in Singapur. Mit den einzelnen Polizeien arbeiten wird auch zusammen, da stossen wir aber an unsere Grenzen. Wo liegt das Problem? Rösler: Das Grundproblem ist, dass die Polizeiarbeit als Hoheitsaufgabe gesehen wird. Viele einzelne Polizisten würden gern enger kooperieren, dürfen aber von Gesetz wegen nicht. Praktisches Beispiel: Ein Ermittler ist an Informationen interessiert, die in den Zuständigkeitsbereich eines benachbarten Staates fallen. An die gelangt er dann nur über einen international festgelegten Prozess. Der dauert etwa ein halbes Jahr, bis er beantwortet wird. Im Internetzeitalter ist das viel zu lange. Kurzum: Die Polizei will zwar, sie kann aber oft nicht. Da ist ein internationaler Player mit einem Cybercrimebekämpfungsteam von 23 Mitarbeitern in 18 Ländern ein willkommener Partner. Ein weiteres Problem ist, dass die technische Entwicklung sehr rasant ist, und der Gesetzgeber immer noch gleich schnell funktioniert wie im letzten oder gar vorletzten Jahrhundert. Nächste Seite: Überwachung vs. Privatsphäre Überwachung vs. Privatsphäre Apropos Gesetz: In vielen Ländern, so auch in der Schweiz, werden die Gesetze in Sachen Überwachung verschärft. Wie stehen Sie zu dieser Ausweitung der Möglichkeiten, beispielsweise der Vorratsdatenspeicherung? Rösler: Ich bin da sehr gespalten. Einerseits ist es wichtig, dass ich einen mutmasslichen Täter mit Belegen überführen kann, also genügend Beweismaterial habe. Diese Beweissicherung dauert oft lange. Deshalb ist es meiner Meinung nach sinnvoll, dass die Daten über einen genügend grossen Zeitraum gespeichert werden. Mir sind zum Beispiel Fälle von Kinderpornografie bekannt, da konnten Täter nicht verfolgt werden, weil die Daten nicht lange genug aufbewahrt worden waren. Umgekehrt sammeln vor allem kommerzielle Anbieter meiner Meinung nach zu viele Daten. Wir von Trend Micro leisten beispielsweise viel Aufklärungs- und Sensibilisierungsarbeit an Schulen. Dort zeigen dann die Mitarbeiter meines Teams den Kids mit Hilfe eines Tools – Maltego –  auf, was man alles mit Hilfe der frei verfügbaren Daten von Twitter, zu denen auch Geoinformationen gehören, über einzelne Schüler herausfinden kann. Wenn wir dann aufzeigen, wie einfach es ist, deren Wohnort anhand dieser frei zugänglichen Daten herauszufinden, bringen wir manchen zum Grübeln. In diesem Zusammenhang werden definitiv zu viele Daten gesammelt, die unsere Privatsphäre bedrohen. Nächste Seite: Die Rolle des Darknet Die Rolle des Darknet Sie beobachten auch das Darknet. Wie beurteilen Sie die Lage hier? Rösler: Mittlerweile ist Darknet zu einem Hypethema geworden. So «dark» ist das Darknet heute gar nicht mehr. Sie können heute mit einem Tor-Browser ohne Probleme auf Onion-Wikis gelangen und werden staunen, was da alles relativ offen gehandelt wird. Dort finden Sie zehntausende Kleinanzeigen wie auf einer Auktionsseite. Meist handelt es sich aber um redundante Angebote, welche hauptsächlich Drogen verkaufen wollen. Daneben landen Sie auf Hass-Seiten, auf denen sich diverse Leute sehr plastisch ausdrücken und schlicht digitalen Müll produzieren. Echt Kriminelles wie Waffen und Auftragsverbrechen finden Sie hier dagegen nicht mehr, sondern in Foren, die sich unterhalb des Darknet bewegen.Dass heisst in dem, was wir als Darknet kennen, ist mittlerweile die Polizei präsent… Rösler: Darauf können Sie Gift nehmen. Auch Ermittler der Polizei gehen in Darknet-Foren vermehrt auf Patrouille. Die «echten» Kriminellen haben sich somit bereits abgesetzt und bewegen sich in unzugänglichen Foren. Wie muss ich mir das technisch vorstellen? Rösler: Technisch sieht das sehr ähnlich aus wie beim «regulären» Darknet. Der Unterschied ist der, dass Sie nur in die wirklich dunklen Foren kommen, wenn Sie mindestens zwei Leute kennen, die für Sie bürgen. Es läuft also klassisch über Vertrauensbeziehungen. Das Internet hat die Welt nicht neu erfunden, die menschlichen Beziehungen funktionieren hier genau gleich wie ausserhalb des Netzes.