Cybercrime aus Sicht der Aus- und Fortbildung der Polizei

Von Gerrit Domenghino LL.M., Münster

1 Einleitung: Das Böse schläft nie

„Die Zukunft ist schon da, nur noch nicht gleichmäßig verteilt“ soll der Science-Fiction-Autor William Gibson schon vor 20 Jahren in Bezug auf die Kluft zwischen denen, die moderne Technologien einsetzen und jenen, die der technischen Entwicklung hinterherhinken, gesagt haben. Diesen Ausspruch kann man heute auch auf die Cyberkriminalität übertragen, denn dort gibt es die Einen, die vielleicht ihr gesamtes Leben diesem Thema widmen, die vor dem Computer essen, trinken und schlafen. Sie stecken ihre ganze (kriminelle) Energie und Leidenschaft in das Ziel, die allgemeinen Risiken und aus ihrer Sicht Chancen der Digitalisierung für ihren (oftmals finanziellen) Vorteil zu nutzen. Und auf der anderen Seite sitzen die Mitarbeiter² von Unternehmen und Behörden, die die Cyberattacken verhindern oder verfolgen sollen.

„So wie sich unsere Gesellschaft rasant verändert, so schnell verändern sich Kriminalität und ihre Erscheinungsformen“³ hat der damalige nordrhein-westfälische Innenminister Ralf Jäger im Zusammenhang mit der Vorstellung der Polizeilichen Kriminalstatistik (PKS) 2013 gesagt. Das vor gut einem Jahr zunächst in China aufgetretene und dann zur weltweiten Pandemie gewordene COVID-19-Virus hatte ein gewaltiges Momentum, um die Gesellschaft und folglich die Kriminalität und ihre Erscheinungsformen zu verändern. Die Regierungen vieler Länder reagierten mit unterschiedlichsten Direktiven auf die Bedrohungslage. Zu den im März 2020 von den Regierungen in Bund und Ländern beschlossenen Maßnahmen zur Eindämmung der COVID-19-Pandemie zählten Kontaktbeschränkungen und Ausgangssperren, die viele Unternehmen dazu veranlassten, Mitarbeiter möglichst von zu Hause aus arbeiten zu lassen, wo diese dann für berufliche Zwecke meist private Endgeräte nutzten. Von heute auf morgen wurden Esstische als Arbeitsplätze und das heimische Wohnzimmer für Videokonferenzen genutzt; oftmals mit Hard- und Software, die aus der Not heraus und ohne ausreichende Sicherheitsüberprüfung für gut und nutzbar befunden wurden. Die in großen Unternehmen und Behörden sonst üblichen institutionalisierten Schutzmechanismen zur Abschottung der IT gegen Gefahren von außen waren somit oft nicht mehr gegeben, stattdessen wurden Heimnetzwerke mit häufig fehlenden professionellen Virenschutzprogrammen oder Firewalls genutzt. Ein weiteres Risiko entstand dadurch, dass auf diesen Systemen häufig Software installiert ist, die grundlegende Sicherheitslücken aufweist. So konnte man sich beim Videokonferenz-Anbieter Zoom eine Zeit lang in fremde Konferenzen zu schalten, oder auch Software wie Cisco Web-ex, Microsoft Teams oder Google Hangouts verfügte nur über eine unzureichende Ende-zu-Ende-Datenverschlüsselung.⁴ Nicht zuletzt wurden unter Zeitdruck vermehrt Möglichkeiten zum Fernzugriff auf die internen Netzwerke der Arbeitgeber geschaffen, wodurch es für die jeweiligen IT-Experten der Unternehmen und Behörden schwieriger wurde, unrechtmäßige Zugriffe zu identifizieren. Diese Veränderungen in der Nutzung von digitalen Angeboten und die daraus resultierende Gefahr impliziert einen wachsenden Bedarf im Bereich der Aus- und Fortbildung zur Bekämpfung der Cyberkriminalität.

2 Aktuelle Entwicklungen im Bereich Cybercrime

Angesichts der rasant steigenden Zahl von Cyberangriffen weltweit und in Deutschland sind die Sicherheitsbehörden mehr denn je gefordert, diesem Phänomen repressiv als auch präventiv entgegen zu treten. Die Polizeiliche Kriminalstatistik weist für das Jahr 2019 einen Trend mit einer Steigerung um 11,3% bei der Computerkriminalität aus, bei einem gleichzeitigen Rückgang der Aufklärungsquote um 15,2%.⁵ Bereits 2017 hatte der Digitalverband Bitkom⁶ vermeldet, dass jedes zweite Unternehmen in den vorangegangenen beiden Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden war, und dadurch ein Schaden von rund 55 Milliarden Euro pro Jahr entstanden war.⁷ Trotz des immensen Schadens, der ein Vielfaches der beispielsweise für das Berichtsjahr 2018 bezifferten Gesamtschadenssumme von 7,3 Milliarden Euro aller in der PKS erfassten Straftaten ist,⁸ schaltete nicht einmal jedes dritte betroffene Unternehmen staatliche Stellen ein; zum Teil aus Sorge vor Imageschäden.⁹ Um den Cybergefahren begegnen und die Cyberkriminalität bekämpfen zu können, bedarf es eines Bündels an Maßnahmen – von der Aufklärung der Nutzer über die Präventionsarbeit bis hin zur Aus- und Fortbildung der Mitarbeiter in den verschiedenen Strafverfolgungsbehörden.

3 Cybercrime in der grundlegenden Ausbildung der Polizei

Die Gewerkschaft der Polizei in NRW forderte Anfang vergangenen Jahres eine Optimierung der Aus- und Fortbildung, um den aktuellen Entwicklungen im Bereich Cybercrime entgegen zu treten.¹⁰ Eine Forderung, die nur unterstützt werden kann, denn zur erfolgreichen Bekämpfung bedarf es einer frühzeitigen Auseinandersetzung mit dem Phänomen in der Ausbildung der Mitarbeiter der Sicherheitsbehörden und eines ausreichenden Fortbildungsangebots, um das Wissen aufrecht und aktuell zu halten.

Auch außerhalb des (mehr oder weniger) geschlossenen Systems der Aus- und Fortbildung der Polizei kann eine Qualifizierung im Bereich Cybercrime wahrgenommen werden, beispielsweise an der Hochschule Wismar¹¹ oder der Hochschule Mittweida¹². Die Studienangebote außerhalb der polizeilichen Aus- und Fortbildung haben zwar den Vorteil, dass sie keine so strikten Zugangsbarrieren haben und im Prinzip von Jedem oder Jeder studiert werden können, jedoch ist der Nutzen für ein berufliches Vorankommen im Polizeidienst nicht immer gegeben. Es bedarf hier stets der Einzelfallprüfung, ob ein solcher Studienabschluss für eine möglicherweise angestrebte Laufbahnbefähigung anerkannt wird.