„Gib mir 4“: Interview mit Gerald Spyra und Wiegand Liesegang zu IT-Sicherheit und dem „Stand der Technik“

Bereits seit Längerem sind beinahe alle Menschen „online“. Die dabei verwendeten Geräte, insbesondere PCs wie Laptops, nutzen wir typischerweise auch zum Bearbeiten und Speichern vertraulicher, vielleicht sogar geheimer, Daten. Dass Virenscanner und selbst neueste verfügbare Software inkl. aller Patches in vernetzten Büroumgebungen keinen verlässlichen Schutz vor Angriffen bieten, ist mittlerweile klar geworden. Und zu der Gefahr von Angriffen auf die Technik selbst gesellt sich leider das Risiko eigenen Fehlverhaltens, etwa wenn jemand einen unverschlüsselten Datenträger verliert, eine vertrauliche Nachricht an den falschen Empfänger sendet oder einem Social-Engineering-Angriff erliegt.

Wenn es dann zu einem Schaden kommt, etwa dem Abgriff vertraulicher Daten oder dem Abfluss von Geld, liegen zwei Fragen nahe: war es vermeidbar und wer ist für die Folgen verantwortlich. Um möglichen Antworten auf diese Fragen sowie auf die zentrale Frage nach dem jeweils notwendigen „Maß“ an IT-Sicherheit näher zu kommen, habe ich mit dem Rechtsanwalt Gerald Spyra und dem öffentlich bestellten und vereidigten Sachverständigen Wiegand Liesegang gesprochen.

Rechtsanwalt Gerald Spyra

Martin: Welches Maß an IT-Sicherheit muss wer eigentlich erreichen?

Gerald: Diese Frage ist sehr spannend und weitaus komplexer als man dieses zunächst annehmen würde.

Denn zunächst gilt sich darüber klar zu werden, was IT-Sicherheit eigentlich bedeuten soll und wie sich „IT-Sicherheit“ von den übrigen, diesbezüglich oftmals synonym verwendeten Begrifflichkeiten wie Informationssicherheit, Datenschutz, Datensicherheit, Cybersicherheit, Sicherheit bei Produkten wie bspw. Medizinprodukten, usw. unterscheidet. Um es kurz zu machen: Es ist m.A. nach oftmals müßig und nicht zielführend zwischen diesen Begrifflichkeiten streng unterscheiden zu wollen. Vielmehr sollte man heutzutage alles als „Schutz von Daten“ bzw. „Schutz der störungsfreien Datenverarbeitung“ bezeichnen, denn darum geht es mehr oder weniger immer.

Darüber hinaus sollte man sich ferner die Frage beantworten, was man mit den Begriffen „IT-Sicherheit“ bzw. den vorstehend genannten Begrifflichkeiten eigentlich meint bzw. welche Bereiche / Aspekte diese erfassen sollen. So ist häufig zu beobachten, dass man diese Begriffe nur technisch verstehen und damit nur die technischen Aspekte beleuchten will (keine gute Idee). Untrennbar mit den technischen hängen nämlich immer auch die organisatorischen Aspekte zusammen, die man zusätzlich bzw. gemeinsam mit den technischen beleuchten muss. Doch auch diese beiden Bereiche sind m.A. nach für die Erfüllung einer „modernen IT-Sicherheit“ nicht ausreichend. Vielmehr sollte man zumindest immer die einschlägigen rechtlichen, technischen, organisatorischen sowie ökonomischen Aspekte berücksichtigen. Zusätzlich empfiehlt es sich vermehrt, auch die psychologischen Aspekte mit einzubeziehen (Stichwort: „Gefahren durch Social Enginieering“), was dieses Thema jedoch immer komplexer und somit schwerer greifbarer werden lässt.

Die rechtlichen „Sicherheits-Implikationen“ lassen sich m.A. nach an den datenschutzrechtlichen Anforderungen mehr oder weniger konkret ablesen. Da ein Verstoß gegen die „Sicherheit“ bzw. gegen den Datenschutz mit hohen Bußgeldern einhergehen kann, die nun auch zunehmend verhängt werden (siehe z. B. Beispiel 1&1 Bußgeld i.H.v. rund 10 Mio € wegen eines unzureichenden Rollen- und Berechtigungskonzepts) sollte die Erfüllung der EU-Datenschutzgrundverordnung (DSGVO) die maßgebliche „Motivation“ zur Umsetzung von adäquater Sicherheit (Rechtskonformität) für ein Unternehmen sein.

Bei der IT-Sicherheit, dem „Datenschutz“ usw., muss man sich ferner immer auch fragen, wer eigentlich, wofür verantwortlich ist. So ist es bspw. gerade bei modernen (smarten) „Cloud-Lösungen“ ein ganz heißes Eisen zu bestimmen, wer eigentlich (in der Realität) für die Gewährleistung der „Sicherheit“ verantwortlich sein soll und in wie fern der eigentlich datenschutzrechtliche „Verantwortliche“, wie z. B. ein Unternehmen, das diese Lösung einsetzt, überhaupt Einfluss auf die Sicherheit solcher Lösungen nehmen kann. Denn oftmals ist es bei diesen Lösungen so, dass der „Verantwortliche“ mehr oder weniger komplett „abhängig“ vom Anbieter dieser Lösungen ist, was wiederum die Frage der Verantwortlichkeit in ein anderes Licht rückt.

Ferner kommt hinzu, dass es, wie z. B. auch aus der DSGVO deutlich wird, niemals ein „starres“ Maß an Sicherheit geben kann. Vielmehr ist es essenziell, dass immer eine adäquate Sicherheit entsprechend des mit der Datenverarbeitung einhergehenden Risikos vom Verantwortlichen gewährleistet wird. Wer Verantwortlicher und was ein adäquates Sicherheitsniveau ist, lässt sich jedoch immer nur im konkreten Einzelfall bestimmen.

Das wiederum hat in der Praxis zur Konsequenz, dass sich die Maßnahmen, die für eine adäquate, ausreichende „Sicherheit“ ergriffen werden müssen, von Unternehmen zu Unternehmen massiv unterscheiden können. Eine „one-size-fit-all“-Lösung kann es daher bei der IT-Sicherheit, dem Datenschutz, etc. nicht geben!

Damit erklärt sich auch, dass die DSGVO keine starren Vorgaben zur Gewährleistung von „Sicherheit“ gibt, sondern vielmehr einen risikoorientierten Ansatz verfolgt. Dadurch ist jedes Unternehmen als Verantwortlicher aufgerufen, ein entsprechendes Risikomanagement durchzuführen, um in die Lage zu kommen, ein ausreichendes Sicherheitsniveau für seine IT / seine Daten zu gewährleisten.

Voraussetzung dafür ist jedoch eine umfassende Transparenz über die Datenverarbeitungen / die IT-Infrastruktur, die Zugriffsmöglichkeiten auf IT / Daten usw., was jedoch in der Zeit der „smarten“ IT immer mehr zu einer „Mission Impossible“ wird.

Zusammenfassend lässt sich daher sagen, dass derjenige, der im jeweiligen Einzelfall für die „IT-Sicherheit“ verantwortlich ist (was es immer im Einzelfall, anhand der konkret stattfindenden Datenverarbeitung zu prüfen und festzulegen gilt), verpflichtet ist, ein der Verarbeitungssituation inkl. der damit einhergehenden, mannigfaltigen Risiken, adäquates (Daten-)Schutzniveau zu gewährleisten. Dieses Niveau hängt immer von den konkreten Umständen der jeweiligen Datenverarbeitung ab.

Wenn man sich offen und ehrlich mit diesem Thema auseinandersetzt wird man daher zum Ergebnis kommen, dass es kein „einheitliches Maß“ an Sicherheit geben kann, sondern alles vom Einzelfall und den Risiken abhängt, die mit der Datenverarbeitung einhergehen.

Martin: Gibt es konkrete juristische Vorgaben für spezifische Schutzmaßnahmen?

Gerald: Es gibt in unterschiedlichen Gesetzen / Verordnungen „Hinweise“ auf Schutzmaßnahmen, wobei diese jedoch alle recht rudimentär sind. So beinhaltet bspw. Art. 32 DSGVO auch nur einige allgemeine Hinweise auf zu ergreifende Schutzmaßnahmen, die immer anhand des jeweiligen Einzelfalls zu konkretisieren sind. So sind insbesondere folgende Maßnahmen bei einer Datenverarbeitung zur Gewährleistung von „Sicherheit“ zu berücksichtigen:

– Pseudonymisierung und Verschlüsselung personenbezogener Daten;
– die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
– die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
– ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Wie Art. 32 Abs. 2 DSGVO deutlich macht, sind bei der Beurteilung des angemessenen Schutzniveaus insbesondere immer „die Risiken zu berücksichtigen, die mit der Verarbeitung insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden verbunden sind.“

Mithin sind die Gefährdungen zu berücksichtigen, die bei einer Verletzung gegen die Schutzprinzipien der IT-Sicherheit nämlich der Vertraulichkeit, der Integrität und der Verfügbarkeit eintreten können. Auch daran sieht man, wie eng „Datenschutz“ und „IT-Sicherheit“ heutzutage zusammenspielen oder anders gesagt, dass es heute praktisch unmöglich ist, diese Bereiche getrennt voneinander zu betrachten.

Im Bereich KRITIS existieren immer mehr IT-Sicherheits-Branchenstandards, die vom BSI akzeptiert wurden und auch nicht KRITIS-Unternehmen eine nicht zu unterschätzende Hilfestellung bieten. Diese stellen zumeist eine Konkretisierung der in ISO 27002 enthaltenen Maßnahmen darf. Auch wenn Unternehmen in einer bestimmten Branche nicht als KRITIS-Unternehmen anzusehen sind, kann es für diese dennoch durchaus empfehlenswert sein, z. B. zur Erfüllung der DSGVO-Anforderungen, die für ihre Branche für die KRITIS-Unternehmen vorgeschlagenen Maßnahmen, ihren konkreten Anforderungen entsprechend zu implementieren und zu dokumentieren.

Insbesondere wenn eine umfangreiche Verarbeitung besonders schützenswerter Daten (z. B. Gesundheitsdaten) vorliegt, ist das damit verbundene Risiko dementsprechend hoch, was es gem. DSGVO angemessen u.a. im Hinblick auf die zu ergreifenden technischen und organisatorischen Maßnahmen zu berücksichtigen gilt.

Martin: Gibt es Quellen, Vorgaben oder Urteile, aus denen hervorgeht, was heute als Mindeststandard nicht mehr ausreicht?

Gerald: Auch diese Frage ist sehr spannend, da es m.A. nach ja schon sehr fraglich ist, was überhaupt „Standard“ sein soll, wer diesen festlegt usw.

Denn der Begriff „Standard“ impliziert ja eigentlich, dass es etwas gibt, das überall Geltung beanspruchen kann. Da jedoch wie vorstehend aufgezeigt „Sicherheit“ etwas sehr Spezifisches ist, ist es schwer, einen überall geltenden „Mindeststandard“ zu definieren, der für alle denkbaren Szenarien Geltung beansprucht.

Dennoch werden regelmäßig Mindestanforderungen zu unterschiedlichsten Produkten, „Sicherheitstechniken“ u.a. vom BSI aufgestellt, die wiederum für Aufsichtsbehörden und Gerichte als Leitlinien dienen zu entscheiden, ob die eingesetzte IT bzw. Techniken noch dem „Stand der Technik“ entsprechen und damit „sicher“ sind oder nicht. Etwaige Urteile von Gerichten oder Beschlüsse von Aufsichtsbehörden, die sich mit diesen Fragen auseinandersetzen kommen im Prinzip immer nur zu Stande, weil etwas im Bereich „Sicherheit“ bildlich gesprochen „in die Hose“ gegangen ist. Wenn nämlich etwas passiert ist und dabei ein Produkt bzw. seine Eigenschaften nicht mehr dem jeweiligen Stand der Technik entsprechen, spricht immer eine gewisse Vermutung dafür, dass der Schaden durch dieses Produkt bzw. durch die veralteten Techniken, Standards etc. direkt oder mittelbar entstanden ist. Der Beklagte muss dann in einem Rechtstreit bzw. in einem behördlichen Verfahren diese Vermutung entkräften, indem er der Behörde bzw. dem Gericht nachweist, dass dieses Produkt / Verfahren nicht kausal für den Schaden war.

In die Jahre gekommene Software, Komponenten, Standards usw., gerade auch wenn sie nicht mehr den Anforderungen von BSI und Co. entsprechen, dürfen daher nach herrschender Meinung eigentlich nicht mehr eingesetzt werden. Denn diese beinhalten bspw. viele bekannt gewordene Sicherheitslücken, die in diesen alten Produkten nicht mehr gepatchet sind. Doch muss man m.A. nach ehrlicherweise auch sagen, dass es auch bei diesen in die Jahre gekommenen Produkten immer darauf ankommt, wie und in welcher „Umgebung“ bzw. unter welchen Umständen sie konkret eingesetzt werden sollen. Denn wenn ein Gerät autark betrieben und nicht im Netzwerk betrieben wird und insbesondere auch nicht mit dem Internet verbunden ist, dürfte das Risiko der Gefährdung geringer sein, als wenn ein solches Gerät mit dem Internet verbunden ist.

Will ein Verantwortlicher derartige Produkte weiterhin betreiben, muss er sich daher immer darüber im Klaren sein, was dieses u.a. in gerichtlichen Verfahren für Probleme mit sich bringen kann.

Martin: Gibt es einen Punkt der dir bei diesem Thema besonders am Herzen liegt?

Gerald: Um es kurz und knapp zu machen:
Mir ist es ein sehr, sehr großes Anliegen, dass man sich hinsichtlich dieses Themas endlich offen und ehrlich, mit den teilweise zugegebenermaßen auch sehr unbequemen Fragestellungen auseinandersetzt. Denn erst eine offene und ehrliche Auseinandersetzung mit Fragestellungen, die jedoch gerne von Politik und Wirtschaft totgeschwiegen werden, kann zu einer Besserung der Gesamtsituation führen.

Man sollte jedenfalls nicht den Fehler machen, jedem neuesten IT-Sicherheitstrend „nachzuhecheln“. Denn wie so einige Beispiele aufzeigen, handelt es sich auch bei diesen „Sicherheits-Technologien“ um Software, die Fehler haben. Daher ist es nicht unwahrscheinlich, dass durch den Einsatz einer solchen „Lösung“ zwar ein Problem gelöst wurde, dadurch aber möglicherweise ein oder mehrere neue Probleme geschaffen wurde. Denn gerade die datenschutzrechtlichen Anforderungen sollten beim Einsatz einer solchen Lösung nicht aus dem Blick verloren werden. Gerade weil solche Lösungen oftmals massiv in Rechte Dritter (z. B. Mitarbeiter) eingreift, sollte man vor Beschaffung den Einsatz einer solchen Software immer an den datenschutzrechtlichen Grundprinzipien messen.

Es ist mir ferner ein sehr großes Anliegen darauf hinzuweisen, dass man als Unternehmen / Nutzer usw. nicht in eine Technikhörigkeit verfällt. Vielmehr sollte man sich als Verantwortlicher immer darüber im Klaren sein, dass moderne Datenverarbeitung ausmacht, dass sie immer intransparenter und komplexer wird. Folglich wird es auch immer schwerer, die gesetzlichen Anforderungen, insbesondere auch die Gewährleistung einer angemessenen Sicherheit zu erfüllen, denn diese bedingen zwangsläufig „Transparenz“.

Von daher ist es wie gesagt absolut essenziell, sich offen und ehrlich mit diesem hochkomplexen und sehr diffusen Thema auseinanderzusetzen. Die vielfach in Unternehmen zu beobachtende „Vogel-Strauß-Mentalität“ „Kopf in den Sand stecken“ und alle relevanten Fragestellungen verdrängen nach dem Motto, „hätt noch immer jutjejange“, hilft jedenfalls nicht weiter und ist der Sache an und für sich nicht zuträglich!

Denn wie viele aktuelle Sicherheitsvorfälle zeigen, dürfte zunehmend das Motto gelten, dass je mehr man sich auf IT verlässt, umso größer ist das Risiko verlassen zu sein, wenn diese nicht mehr so funktioniert bzw. man nicht mehr auf die Daten zugreifen kann. Eine adäquate „Sicherheit“ der Datenverarbeitung ist damit das A und O, um den Geschäftsbetrieb aufrechtzuerhalten, weshalb man dafür halt auch mehr tun muss, als wenn man nur wenig IT einsetzt und seine Geschäftsprozesse nicht ausschließlich auf IT ausrichtet!

öbuv-Sachverständiger Wiegand Liesegang

Martin: Was ist der „Stand der Technik“?

Wiegand: Laut einschlägiger Literatur und Rechtsprechung genügen Maßnahmen dem „Stand der Technik“, wenn es sich um machbare technische Spitzenleistungen handelt, die sich in der Praxis bewährt haben oder zumindest erfolgreich und praxisnah erprobt wurden. Ferner sollten die Maßnahmen der herrschenden Auffassung führender Fachleute entsprechen.

Hiervon strikt zu trennen sind die „allgemein anerkannten Regeln der Technik“. Maßnahmen entsprechen „allgemein anerkannten Regeln der Technik“, wenn sie allgemein bekannten Erkenntnissen genügen und sich in der Praxis (allgemein) bewährt haben. Die Maßnahmen sollten sich ferner bei der Gesamtheit bzw. zumindest bei der Mehrheit der Praktiker durchgesetzt haben.

Darüber hinaus sind „allgemein anerkannte Regeln der Technik“ insofern von besonderer Bedeutung, als sie nach herrschender Meinung einen Mindeststandard für das Leistungs-Soll repräsentieren, sofern keine vertraglichen Vereinbarungen existieren. Weiterhin gilt nach herrschender Meinung, dass eine Leistung, die gegen Normen (wie DIN etc.) verstößt, die (allerdings im Einzelfall widerlegbare) Vermutung mit sich zieht, dass die Leistung nicht einmal dem Mindeststandard entspricht. Insofern ist in der Regel von einer weitreichenden Gleichwertigkeit von Normen und „allgemein anerkannte Regeln der Technik“ auszugehen.

Im Ergebnis sind beide Termini sehr allgemein gehaltene Qualitätsdefinitionen, die sich über die Zeit kontinuierlich verändern. Daher ist die Beurteilung, ob eine konkrete Maßnahme dem „Stand der Technik“ oder „allgemein anerkannten Regeln der Technik“ genügt, nicht trivial und nur für eine kurze Zeit gültig, insbesondere im Kontext der sich schnell ändernden Informationstechnologie.

Martin: Welche Rolle spielt dieser Begriff im Umfeld der IT-Sicherheit und Informationssicherheit?

Wiegand: Grob vereinfacht ist beispielsweise dem IT-Sicherheitsgesetz, dem Telemediengesetz, dem Telekommunikationsgesetz und der DSGVO gemein, dass bei der konkreten Ausgestaltung von Maßnahmen der „Stand der Technik“ zu berücksichtigen ist. Die Maßnahmen müssen ferner die tatsächlich konkret bestehenden Risiken und die Verhältnismäßigkeit / Wirtschaftlichkeit der Maßnahmen angemessen berücksichtigen.

Dementsprechend müssen bei der Herleitung und Definition von regulatorisch angemessenen Maßnahmen die Risiken, die Verhältnismäßigkeit / Wirtschaftlichkeit und der „Stand der Technik“ angemessen berücksichtigt werden, was eines differenzierten und systematischen Prozesses einschließlich einer entsprechenden Dokumentation bedarf.

Martin: Gibt es konkrete Ausgestaltungen des Standes der Technik, die als umzusetzende Vorgabe gelten, etwa bestimmte Entwicklungsstandards oder „verwende einen aktuellen Virenscanner“?

Wiegand: Tatsächlich gibt es Hilfestellungen, die die Ausgestaltung von Maßnahmen im Sinne des „Stands der Technik“ erleichtern bzw. ermöglichen sollen, bspw. die „Handreichung zum Stand der Technik“ vom Bundesverband IT-Sicherheit e.V. oder der branchenspezifischen Sicherheitsstandard (B3S) „BAK Datacenter & Hosting mit CDN“. Insbesondere die „Handreichung zum Stand der Technik“ lifert konkrete Anregungen, die für eine erste grobe Orientierung verwendet werden können.

Fragwürdig ist allerdings, die weit verbreitete, auch in den beiden zuvor beispielhaft angeführten Hilfsmitteln und vom BSI vertretene, Position, dass Normen und Standards herangezogen werden sollen, um den „Stand der Technik“ bestimmter Maßnahmen herzuleiten. Wie im Kontext von Frage 1 dargelegt, ist in der Regel vielmehr von einer weitreichenden Gleichwertigkeit von Normen und „allgemein anerkannte Regeln der Technik“ auszugehen.

Darüber hinaus gibt es Produkte, die bspw. vom BSI im Hinblick auf definierte Kriterien zertifiziert wurden, und somit zumindest ein bestimmtes Maß an IT-Sicherheit realisieren.

Im Ergebnis gibt es zumindest nach meiner Einschätzung keine konkreten Ausgestaltungen, die rechtlich verbindlich den Stand der Technik verkörpern. In der Folge sind individuelle und differenzierte Bewertungsprozesse notwendig, um für den jeweiligen Kontext eine angemessene konkreten Ausgestaltung herzuleiten.

Martin: Gibt es einen Punkt der dir bei diesem Thema besonders am Herzen liegt?

Wiegand: Tatsächlich habe ich den Eindruck, dass die Termini „Stand der Technik“ und „allgemein anerkannte Regeln der Technik“ aufgrund unzureichender Sachkenntnis häufig nicht richtig interpretiert und abgegrenzt und somit — auch bei der Vertragsgestaltung — nicht richtig verwendet werden.

Dies führt bspw. auch dazu, dass der Stand der Technik (eine technische Spitzenleistung, die möglicherweise erst vereinzelt praxisnah erprobt wurde) ohne entsprechenden Bedarf fast schon inflationär gefordert wird. Das kann auch zur Folge haben, dass aufgrund unzureichender Erfahrungen mit derartigen Maßnahmen das Sicherheitsniveau eher herabgesetzt als gesteigert wird.

„Gib mir 4“: Interview mit Noèl Funke zu Hackers4Good e.V.

Noèl, wir kennen uns seit der ersten Leetcon 2016, einer großartigen Konferenz, die du insgesamt dreimal organisiert und durchgeführt hast. Dabei hast du von Beginn an auch dein ehrenamtliches Engagement einfließen lassen und deine Gäste zum mitmachen motiviert. Ich erinnere mich an ein „Radrennen“ auf Fahrradergometern, bei denen jeder gefahrene Kilometer Spendengelder generiert hat und auch an deine Geschenkelieferung an den Weihnachtsmann im hohen Norden, damit dieser die Geschenke an Kinder in Deutschland bringen kann . Dazu bist du mit deinem LKW „Paulchen“ unterwegs gewesen. Daher heißt dieses Interview nicht „Gib mir 4“, sondern „Gib mir 4×4“.

Martin: Charity, also Nächstenliebe, ist ein wichtiger und sinnstiftender Teil des Menschseins. Was motiviert dich, was treibt dich an und gibt es für dich eine Besonderheit in sozialem Engagement von ITlern oder überhaupt in der IT?

Noèl: Eine Grundmotivation ist natürlich, dass es auf der Welt überall Kinder und Jugendliche gibt, die unsere Hilfe benötigen um in eine vernünftige Zukunft zu blicken. Egal ob bei digitalen IT-Themen oder auch ganz normalen Lebenssituationen. Selbst hier in Deutschland gibt es über 20.000 Kinder, die in Armut leben müssen. Es gibt zig tausend Kinder die nicht mal ein eigenes Bett haben. Kinder in Albanien teilen sich in der Schule zu viert einen Bleistift. Kinder und Jugendliche in Südafrika haben kaum Chancen auf Bildung, wenn sie nur 100km außerhalb der Hauptstädte leben, oder werden zwangsverheiratet, misshandelt … zur Arbeit gezwungen. Die Liste kann endlos fortgeführt werden … Ein unglaublicher Zustand!

Wir haben das Glück in einem ziemlich komfortablen Umfeld zu leben und können ein wenig zurückgeben, ohne das es uns weh tut. Daraus ist auch der Gedanke der Weihnachtstour mit „PAUL“ entstanden. Es tut eben nicht weh einige Wunschbriefe von sterbenskranken Kindern mit auf eine Reise zum Weihnachtsmann mitzunehmen … der Dank sind leuchtende Kinderaugen, die manchmal das letzte Geschenk ihres Lebens erhalten.

Ich denke, dass die Besonderheit an uns ITlern ist, dass wir in der digitalen Welt zu Hause sind und digitale Aspekte für eine Hilfe, die zukunftsorientiert angelegt ist, sonst eher weniger berücksichtigt werden. Aber letztlich ist nicht alles von IT und digitaler Welt abhängig. Wenn jemand Hilfe braucht und wir können Sie geben, ohne das es weh tut … gibt es keinen Grund es nicht zu tun. Gerade bei Kindern und Jugendlichen, die mit unserer Hinterlassenschaft leben müssen.

Geschenkefahrt zum Weihnachtsmann zur Auslieferung
Geschenkefahrt zum Weihnachtsmann zur Auslieferung

Martin: Gemeinsam haben wir den Verein Hackers4Good e.V. gegründet. Du bist der „Kopf“ und Ideengeber. Welche Ziele verfolgt der Verein?

Noèl: Die Menschen schauen in eine digitale, sich schnell verändernde Zukunft. Mein großes Steckenpferd ist die IT-Security und wie wir es auch gesellschaftlich schaffen diese digitale Zukunft vor allem sicher zu meistern. Kinder und Jugendliche bekommen hier oft wenig Unterstützung wenn es um digitale Themen geht und wie man zum Beispiel mit sozialen Medien umgeht. Auf sich allein gestellt lernen sie oft nicht den richtigen Umgang oder eignen sich falsche Denkweisen an. Jedes Kind, welches wir zu einem verantwortungsvollen Umgang mit IT, sozialen Medien und der digitalen Welt bewegen können bedeutet für mich:

  • ein Mobbingopfer weniger
  • ein Täter weniger
  • weniger Cyberkriminalität in Verbindung mit Kindern
  • eine Vorbereitung für die digitale Zukunft
    … und viele Themen mehr.

    Wir wollen einfach „handeln“ und nicht irgendwo Geld hinwerfen. (#mirhacknhalt)

Die Besonderheit dabei ist, das wir Hacker, Nerds oder IT-Leute direkt aus der Quelle schöpfen können und damit auch fachliches Wissen weitergeben können; die Kids mit praktischen Beispielen an das Thema heranführen können. Zusätzlich zu wichtigen Skills, die wir vermitteln, organisieren wir für bedürftige Kinder und Jugendliche auch Hardware, damit sie den Anschluss an die digitale Zukunft nicht verpassen.

Martin: Vor dir liegt eine engagierte Zeit in Afrika. Welche Pläne habt ihr und was möchtet ihr dort erreichen?

Noèl: Das Motto ist: Wir schenken einer Region die Zukunft ihrer Kinder! Ein guter Freund engagiert sich dort schon seit mehr als 15 Jahren. Es gibt auf einem großen Gelände einer Mission verschiedene Gebäude, Sportplätze und Einrichtungen. Nahe der Grenze zu Lesotho, in Underberg stehen bereits 14 Gebäude, die verschiedene Einrichtungen beheimaten. Waisenhaus, Kinderheim, Preschool, Highschool, ein SafeHouse für misshandelte Mädchen, Sporteinrichtungen und eine Art Wohnbereich für Jugendliche auf dem Weg ins Berufsleben. Die Aufgabe ist nun eine unterbrechungsfreie, stabile Versorgung mit Strom und Internet zu installieren. Hierzu müssen wir erstmal erfassen wie die Gegebenheiten vor Ort sind und mit Behörden und Versorgern sprechen. In Kooperation wird es alternative Konzepte wie Solarenergie geben. Im nächsten Schritt wird es eine Art berufsvorbereitende Schule geben in der wir IT-Skills vermitteln wollen, Grundkenntnisse, Programmierung, Office, etc. Dazu gehört auch der Aufbau dieser Schule auf technischer Ebene. Hardware, Infrastruktur, Zugang zu Medien und Internet. Derzeit gibt es dort schon ein Konzept für Gärtnerei & Landwirtschaft, sowie eines für Schneiderei & Hauswirtschaft. Wir übernehmen den Technologie-Part. Alles in allem ein auf lange Zeit und Nachhaltigkeit angelegtes Projekt.

Martin: Gibt es einen Punkt, der dir bei diesem Thema besonders am Herzen liegt?

Noèl: Es ist schockierend wie viel Bedarf an Hilfe allein hier in Deutschland herrscht und wie grotesk teilweise damit umgegangen wird. Ebenso wie der Umgang mit digitalen Themen gibt es an jeder Ecke etwas zu tun. Ein Projekt, das ich dabei besonders unterstütze, ist eine Web-Schule in Bochum, wo Kinder unterrichtet werden, die wegen Gewalt, Mobbing, Krankheit oder anderen Gründen nicht in die Regelschule gehen können. Die Kosten werden zwar nach langem Behördenkampf oft übernommen … aber die Kids haben keine Hardware um überhaupt am Online-Unterricht teil nehmen zu können. Das ist doch total GaGa … oder nicht? Also ein typischer Fall für die Hackers4Good … wir geben den Kids die Hardware, damit Sie für die Zukunft lernen können. Auch die Themen um soziale Medien, Mobbing und Missbrauch im Netz liegen mir sehr am Herzen und wir unterstützen immer wieder mit Kampagnen an Schulen und auf Veranstaltungen.

Erste Infos haben wir auf Facebook online gestellt: Hackers4Good (Facebook)

Interview zu Cyberstalking

Dieses Interview erfolgte im Rahmen einer Seminararbeit zum Thema „Stalking: Möglichkeiten zu Prävention und Opferschutz“ während des dualen Studiums bei der Polizei NRW. Jonas Meisner ist Polizeikommissaranwärter im 2. Ausbildungsjahr an der Fachhochschule für öffentliche Verwaltung NRW und hat mich zu diesem Thema interviewt.

Cyberstalking beschreibt ein Stalking-typisches Handeln des Täters durch Ausnutzen des Internets oder anderer elektronischer Mittel. Dabei gibt es viele mögliche unterschiedliche Erscheinungsformen, wie eine mehrfache Kontaktaufnahme oder Belästigung, Veröffentlichung unwahrer Tatsachen, intimer Details oder Fotos, Diebstahl der Identität des Opfers durch Anmeldung in Foren o.ä., Begehung von Straftaten oder Warenbestellung unter den Personalien des Opfers. Die Folgen solcher Aktionen können für die Opfer gravierend sein.

Jonas Meisner: Können Sie einen Fall aus ihrer beruflichen Praxis schildern?

Martin Wundram:

Im Laufe der Jahre habe ich als Sachverständiger eine Anzahl an Fällen von Cyberstalking begleitet. Wenn Täter und Opfer in einer persönlichen Beziehung stehen und es konkrete Verdachtsmomente gibt, kann eine Aufklärung möglich sein. So habe ich einen Fall als Gerichtssachverständiger begutachtet, in dem motiviert durch ausreichende Anhaltspunkte im Rahmen einer Durchsuchung der PC des Beschuldigten gesichert und untersucht werden konnte. Der Täter hatte mehrfach Nacktbilder seiner Ex-Freundin in „eindeutigen“ Dating-Portalen eingestellt und dazu erniedrigende Texte formuliert. Da hier keine Anonymisierungstechniken zum Einsatz kamen und der PC unverschlüsselt war, konnte der PC des schließlich Angeklagten und Verurteilten zweifelsfrei als Tatmittel identifiziert werden.

Sobald jedoch Anonymisierungstechniken wie TOR zum Einsatz kommen und keine Vermutungen oder Erkenntnisse über mögliche Täter vorliegen, sind solche Fälle schwer oder sogar überhaupt nicht aufklärbar. Das gilt insbesondere dann, wenn es nicht zu dauerhaften Aktionen kommt, sondern eher zu „Nadelstichen“. In einem kleineren Unternehmen wurde kürzlich ein Abteilungsleiter mehrfach mittels Cyberstalking unter Druck gesetzt und diffamiert. Von Extern wurden unter Verwendung anonymisierter TOR-IP-Adressen E-Mails an die E-Mail-Verteiler der Abteilung und sogar an unternehmensweite E-Mail-Verteiler versendet. Inhalte waren erniedrigende Falschinformationen über den Abteilungsleiter, ihn beruflich schädigende Falschaussagen und mehrfach auch explizit ausformulierte Drohungen. Der Fall konnte nicht aufgeklärt werden. Dies lag wohl auch daran, dass tatsächlich niemand eine Vermutung über den oder die möglichen Täter und auch nicht über das Motiv hatte. Eine Kontaktaufnahme an die täterseitig verwendeten E-Mail-Adressen blieb ohne jede Reaktion.

Ein besonders tragischer Fall ist auch der von Amanda Todd, der schließlich mit einem Suizid tragisch endete.

Jonas Meisner: Wie kann ich mich vor Cyberstalking schützen? (Maßnahmen zur Prävention)

Martin Wundram:

Dazu kann ich nur aus Sicht der IT-Sicherheit und IT-Forensik, also aus technisch-organisatorischer Sicht, schildern. Grundsätzlich ist es immer sinnvoll, bewusst mit dem Medium Internet umzugehen und nur diejenigen Informationen preiszugeben, die man wirklich preisgeben will und zu denen man auch mögliche Konsequenzen abschätzen kann. Wer von sich Ganzkörper-Nacktaufnahmen inkl. Gesicht in einschlägigen Portalen online stellt läuft einfach eher Gefahr, als jemand, der keinerlei Daten von sich veröffentlicht. Besonders riskant ist eine Informationspreisgabe in unmittelbar einsehbaren Plattformen, etwa Blogs oder Foren, die von Google und anderen Suchmaschinen indexiert und so einfach durchsuchbar gemacht werden. Aber auch vermeintlich geschlossene Kreise wie Facebook-Gruppen oder Threema-Chats bieten keine Garantie. Denn Nachrichten und Bild-/Videoinhalte lassen sich leicht als Screenshot an Andere weiter verbreiten. Es ist auch wichtig, sich deutlich zu machen, dass Inhalte im Internet manchmal 10, 20 oder noch mehr Jahre „konserviert“ und für jeden leicht auffindbar bleiben können. Die beste Präventivmaßnahme ist daher nach meiner Überzeugung die Datensparsamkeit und Datenvermeidung. Grundsätzlich ist es auch sinnvoll mit wechselnden und allgemein gehaltenen Pseudonymen zu arbeiten. So können Dritte nicht oder nur aufwändig Inhalte im Internet einem Individuum zuordnen.

Jonas Meisner: Wie kann ich mich verhalten, wenn ich bereits Opfer geworden bin?

Martin Wundram:

Auch dazu kann ich nur aus Sicht der IT-Sicherheit und IT-Forensik, also aus technisch-organisatorischer Sicht, schildern. Wichtig ist möglichst gut abschätzen zu können, was schlimmstenfalls passieren kann. Hat das Opfer Nacktbilder von sich selbst auf eigenen Systemen? Haben Dritte Nacktbilder? Steht das Opfer in der Öffentlichkeit? Was ist an Informationen über das Opfer im Internet und in IT-Systemen Dritter vorhanden und auffindbar? Wer zum Opfer geworden ist, sollte seinen „digitalen Schatten“ verkleinern, was eine Reduktion der Angriffsfläche bedeuten kann. Essentiell ist auch eine schnelle und präzise, also korrekte und belastbare, Dokumentation der Ereignisse. Dies können IT-Forensiker der Polizei und bei privaten IT-Forensikern insbesondere öffentlich bestellte und vereidigte Sachverständige sein. Es ist wichtig, sich an einen geeigneten Experten zu wenden, denn nach meiner Erfahrung geht oft wertvolle Zeit verloren und Spuren werden zu oft nicht so gesichert, dass sie bei einer Ermittlung und anschließender Beweisführung wirklich weiterhelfen. Problematisch sind etwa ungenaue Zeitangaben oder Informationen über IP-Adressen, die bereits Wochen oder Monate zurück liegen.

Jonas Meisner: Wo liegt die besondere Dimension von Cyberstalking?

Martin Wundram:

Die besondere Dimension liegt hier in der mühelosen Überwindung räumlicher Distanzen in Verbindung mit Anonymisierungstechniken. So können Opfer und Täter zur gleichen Zeit im selben Raum sitzen, der Angriff aber über eine IP-Adresse aus dem Ausland erfolgen. Umgekehrt ist es möglich, dass der Täter räumlich weit entfernt ist, er sein Opfer aber im „Cyberspace“ auf Schritt und Tritt verfolgen kann. Hinzu kommt die Möglichkeit, digitale Nachrichten praktisch zu Nullkosten an ein unbegrenzt großes Publikum zu verbreiten. Wer etwa über Twitter oder einen Blog ausreichend „spannende“ Nachrichten verbreitet, kann im Extremfall ein Millionenpublikum erreichen und zwar Tag und Nacht.

Weitere Informationen zu diesem Thema gibt es online, z.B. in Form eines Infoblattes des Bayerischen Landeskriminalamts.