Cem Karakaya war Interpol-Agent. Heute ist er nicht nur Experte für Cyberkriminalität, und Sekretär der Verbindungsstelle München der Internationalen Polizei Vereinigung (IPA), sondern auch leidenschaftlicher Speaker und Berater. Seine Erklärungen sind ebenso mitreissend wie erschreckend und führen in der Regel zur schnellen Änderung sämtlicher Web-Passwörter.
Herr Karakaya, das Thema Cyberkriminalität wird immer wichtiger, in Österreich stieg die Zahl der dokumentierten Straftaten von 2018 auf 2019 von 19.627 auf 28.439. Wie sieht es mit der Aufklärungsquote aus, nimmt auch diese zu?
Eines der großen Probleme ist, dass wir bei Cyberkriminalität kein Tatortprinzip haben. Das kann zum Beispiel bedeuten, dass das Opfer in Deutschland sitzt, der Server in Indien steht und sich der Täter in Russland aufhält. Bei uns in München liegt die Aufklärungsquote derzeit bei rund 30 Prozent. Dazu kommt, dass der allererste Fall von Hacking in den 1980er-Jahren aufgetreten ist, sich die Polizei in Europa aber erst seit sechs oder sieben Jahren mit dem Thema beschäftigt. Bildlich gesprochen bedeutet das, dass die Täter mit einem Porsche unterwegs sind, während die Ermittlungsbehörde mit dem Dreirad fährt. Um erfolgreich zu sein, müsste man eigentlich immer schon da sein, bevor die Täter ankommen. Im Internet ist das allerdings etwas anders. Trotzdem ist die Geschwindigkeit ausschlaggebend. Jeden Tag entstehen 300.000 neue Viren, neue Trojaner oder Variationen davon. Manche Menschen haben nicht einmal ein Antivirenprogramm oder nutzen gecrackte Programme, wodurch automatisch Sicherheitslücken entstehen. Man sagt immer recht schnell, dass man gehackt wurde. Das stimmt in sehr vielen Fällen jedoch nicht. Wenn ich gecrackte Programme nutze oder Aktualisierungen nicht durchführe, schaffe ich Zugänge und Schlupflöcher.
Man ist vielfach also selbst schuld?
Genau. Die menschliche Faulheit gewinnt immer und daran wird sich auch in den kommenden Jahren nichts ändern. Zusammenfassend sollte man auch sagen, dass sich PolizistInnen mit vielen Kriminalitätsformen sehr gut auskennen, es im Bereich von Cyberkriminalität aber noch Wissenslücken gibt. Es muss also in erster Linie darum gehen, präventiv zu arbeiten und die eigenen MitarbeiterInnen für diese Themen zu sensibilisieren. Wenn ich mit meinem Präventionsmaßnahmen erfolgreich sein möchte, müssen meine MitarbeiterInnen unbedingt mit an Bord sein.
Der Schlüssel lautet also Selbstverantwortung?
Definitiv. Der Computer rechnet wirklich mit allem, aber nicht mit seinem Benutzer. Denn die Aufklärungsquote wird nicht wesentlich ansteigen. Dafür sind wir einfach viel zu spät dran, auch mit den entsprechenden Gesetzen. Die Täter nutzen zum Beispiel Verschleierungstaktiken, was die Aufklärung sehr viel schwieriger macht. Bei einer ganz bestimmten Art von Anrufen kann das beispielsweise sehr gut beobachtet werden. Dazu ein Beispiel: Es kommt ein Anruf herein und der Anrufer sagt, er wäre von der Firma Microsoft. Er gibt vor sich zu melden, weil er den Computer oder Laptop von Viren befreien möchte. In Wahrheit kam der Anruf aber gar nicht von Microsoft, sondern von einem Verbrecher, der auf diese Weise an Daten gelangen möchte. Die Telefonnummer am Display war verschleiert, obwohl sie ganz normal ausgesehen hat. Das ist aber nur ein Beispiel von vielen.
Sie haben vorhin schon kurz über die Polizei gesprochen. Ist Cyberkriminalität bereits Teil der Ausbildung?
Es gibt mittlerweile viele Fortbildungsinstitutionen, also ja, das ist schon Teil der Ausbildung. Wie bereits erwähnt, liegt der Fokus der Polizei seit rund sechs oder sieben Jahren auch auf diesem Thema. Viele BürgerInnen, die Opfer solcher Attacken werden, denken sich im ersten Moment, dass sie zwar zur Polizei gehen sollten, tun es dann aber doch nicht, weil sie das Gefühl haben, dass ohnehin nichts dabei herauskommt. Wichtig wäre das aber auch deshalb, weil die Polizei dann weiß, wie viele solcher Fälle es eigentlich gibt und diese Zahlen in weiterer Folge auch der Politik vermittelt werden können. Damit würde das Thema an Relevanz gewinnen und Ressourcen könnten aufgestockt werden.
Gibt es im Bereich der Cyberkriminalität bestimmte Trends, die sich momentan abzeichnen?
80 Prozent aller Fälle fangen mit einem Phishing-Mail an. An zweiter Stelle steht Erpressung. Man bekommt in diesem Fall beispielsweise eine e-mail, in der steht, dass eine unbekannte Person darüber Bescheid weiß, welche Pornoseiten man in der letzten Zeit besucht hat. Und dass diese Infos an alle Facebook-Kontakte weitergegeben werden, wenn eine gewisse Summe nicht bezahlt wird. Dabei handelt es sich ganz eindeutig um digitale Erpressung. Ein anderes Problem ist Love Scamming, also vorgetäuschte Liebe und damit zusammenhängend meistens Ausbeutung. An vierter Stelle steht für mich die Geldwäsche. Auch gefakte Onlineshops sind ein großes Thema.
Gibt es außer Phishing-Mails noch andere Klassiker?
Viele Menschen benützen für verschiedene Anwendungen dasselbe Passwort. Zum Beispiel in Onlineshops. Das ist ein klassisches Problem, das aber verheerende Folgen haben kann. In Firmen gibt es oft Probleme mit der Verschlüsselung der Daten. Auch Fake News und im Internet verbreitete Verschwörungstheorien sind ein Problem. Und Spionage. Viele Menschen glauben, dass alles kostenlos ist. Dabei zahlt man in der Regel mit seinen Daten. Ich sage immer: Wenn man für ein Produkt nichts bezahlt, ist man selbst das Produkt. In diesem Zusammenhang fällt mir unter anderem folgendes Beispiel ein: Wenn ich als Deutscher mit meiner deutschen IP-Adresse im Netz eine Reise buche, bezahle ich mehr als jemand mit einer britischen IP-Adresse. Bei demselben Anbieter. Logge ich mich über VPN mit einer französischen IP-Adresse ein, zahle ich noch weniger.
Das wissen allerdings die allerwenigsten Menschen …
Das mag schon stimmen. Allerdings gibt es auch genügend Dinge, die sehr viel offensichtlicher sind und über die auch schon oft gesprochen wurde. Edward Snowden hat alles riskiert, um diese Dinge offen zu legen. Allerdings hat das in den meisten Fällen nur dazu geführt, dass Menschen ihre Kameras abkleben. Das bringt nur leider gar nichts, denn nicht das Aussehen ist interessant, sondern auf die Gespräche kommt es an. Die Generation, die jetzt heranwächst, tut mir in dieser Hinsicht unglaublich leid, weil wirklich alle Daten dieser Menschen gespeichert sind. Unter diesen Menschen wird auch der zukünftige Bundeskanzler sein. Es gibt speziell in diesen Fällen also sehr viel Angriffsfläche für Erpressung. Das macht mir Angst.
Das ist auch angsteinflößend. Inwieweit sind sich dessen aber auch Unternehmen schon bewusst?
Das Bewusstsein steigt definitiv. Das merke ich natürlich auch anhand der Anfragen. Wobei ich es nicht auf Belehrung abgesehen habe. In meinen Vorträgen darf durchaus auch gelacht werden, aber das Lachen soll den Menschen im Hals stecken bleiben, weil es um ein sehr wichtiges Thema geht. Mein Ziel ist, dass sich die Menschen Gedanken zu diesem Thema machen. Deshalb möchte ich auch niemanden verteufeln, sondern über die Strategien der Täter sprechen und simple Maßnahmen präsentieren.
Was wäre so eine simple Maßnahme?
Eine Maßnahme, die sich sehr einfach umsetzen lässt, betrifft den Mailserver. Hier kann ganz einfach eingestellt werden, dass alle e-mails, die von extern kommen, als extern markiert werden. Dadurch wäre es einfacher, eine Phishing-Mail zu erkennen. Man sieht auf den ersten Blick, dass die e-mail gar nicht vom Chef kommen kann, weil sie als „extern” gekennzeichnet wurde. Vermutlich steckt dann ein Angreifer dahinter.
Abschließend eine sehr allumfassende Frage: Die Digitalisierung ist also nicht nur gut?
Die Digitalisierung ist wunderbar, wenn man dabei auch an die Menschen denkt, sie die Risiken kennen und dementsprechend auch alle wichtigen Maßnahmen treffen können. Der wirtschaftliche Schaden, der durch Cyberkriminalität entsteht, sollte aber nicht außen vor gelassen werden. Denn meistens bleibt das Geld in solchen Fällen nicht im Land, sondern geht ins Ausland.
