Manfred Kloiber: Bedenken haben diese EU-Datenschutzbeauftragtem, vor allen Dingen Peter Hustinx, aber auch seine Kollegen nicht nur gegen die polizeilich-militärische Zusammenarbeit, sondern auch bei den sogenannten public private partnerships, die das EC3 eingehen soll. Bisher arbeitet Europol in Sachen Cyberkriminalität ja schon mit verschiedenen Unternehmen im Projekt 2020 zusammen. Wie wird denn diese Zusammenarbeit auf das EC3 übertragen, Peter Welchering?
Peter Welchering: Dieses Projekt 2020 soll vom EC3 weitergeführt werden. Diskutiert wird, wie es weitergeführt werden kann. Denn hier geht es ja um Trendanalysen in Sachen Computerkriminalität, die die nächsten drei bis vier Jahre umfassen und die auch schon ermitteln wollen und sollen: Wo werden denn im Schwerpunkt kriminelle Handlungen festgestellt und wie kann man sozusagen präventiv dagegen vorgehen? Die Federführung allerdings bleibt bei der ENISA, der Europäischen Agentur für Netz- und Informationssicherheit und bei der Londoner Polizei. Also da hat sich die ENISA nicht die Butter vom Brot nehmen lassen. Aber das Ganze hat eben auch zu Diskussionen geführt, inwieweit denn Datenbanken und Analysewerkzeuge, die das EC3 über das bisherige Europol-Projekt 2020 hinaus aufgebaut hat oder noch aufbauen wird, eben auch von privaten genutzt werden dürfen. Denn bisher dürfen solche Analysewerkzeuge, dürfen auch konkrete präventiv einzusetzende Daten im Projekt 2020 eben von den privaten Partnern benutzt werden. Und da ist ein Beispiel sehr heftig im Dezember diskutiert worden – das der sogenannten Unified Informations Access Plattform. Die hat Europol von einem Anbieter gekauft und setzt diese Plattform ein, um ganz klassisches Data-Mining zu betreiben. Mit solchen Data-Mining-Methoden können Profile erstellt werden. Und diese Profile lassen eben Kriminalitätsentwicklungen in bestimmten Bereichen, etwa mit einem Schwerpunkt bei der Kreditkartenkriminalität sehr früh erkennen. Und da gibt’s dann eben die Streitfrage: Inwieweit dürfen die Analyseergebnisse, die hier auf öffentlich zugänglichen Daten basieren – die werden nämlich im Internet gesammelt – an Private weitergegeben werden? Denn hier haben natürlich vor allen Dingen Kreditkartenunternehmen ein sehr großes Interesse daran.
Kloiber: Was passiert denn mit den bisher von Europol geführten Cybercrime-Analyse-Dateien?
Welchering: Die sollen in den nächsten Monaten vereinheitlicht werden, in EC3 zusammengeführt werden. Und zwar alle Analysis Work Files, wie die heißen. Vor allen Dingen vorrangig die Themenkomplexe Hacking, Markenpiraterie – auch das sehr umstritten – Schadsoftware, Identitätsdiebstahl und natürlich auch Twins. Twins ist die Analysedatei zum Thema Kinderpornografie. Und eine weitere Datei wird sehr massiv aufgebaut werden, die heißt Cyborg. Die hat Europol bisher für Internetkriminalität insgesamt angelegt. Die soll aber heruntergebrochen werden auf konkrete Deliktarten. Das Problem dabei: In diesen AWFs, in diesen Analysis Work Files, da werden eben nicht nur Tatverdächtige gespeichert, sondern auch sogenannte Kontaktpersonen. Das sind teilweise Menschen, die mit den Verdächtigen dann zufällig in ganz anderen Bereichen zu tun haben. Also etwa die Bäckereiverkäuferin, die einen Verdächtigen bedient hat. Und auch von diesen Kontaktpersonen werden eben persönliche Daten – etwa Name, Vorname, Wohnort, Telefonnummer und so weiter – gespeichert. Aber auch sensible Daten wie etwa die politische Einstellung oder die sexuelle Orientierung.
Kloiber: Und wie werden die Aktivitäten des EC3 in Sachen Computerforensik aussehen?
Welchering: Zunächst einmal in intensiver Zusammenarbeit mit Interpol, dann aber eben auch mit dem Cyber Defence Center der Nato. Natürlich auch mit den Computer Notfallteams, den europäischen, aber auch den nationalen, und eben der ENISA, der Europäischen Agentur für Netz- und Informationssicherheit. Und da ist dann die Streitfrage aufgebrochen: An wen darf denn das EC3 die sogenannten Forensic Laptops geben? Das sind Beweissicherungssysteme – auf Laptops tatsächlich installiert. Und mit mit diesen Beweissicherungssystemen können Computersysteme sehr effizient nach Schlüsselwörtern durchsucht und gefiltert werden. Aber damit lassen sich eben auch gelöschte Daten sehr effizient rekonstruieren. Und es handelt sich dabei um wohl die besten Entschlüsselungsroutinen, die in Europa verfügbar sind.
Kloiber: Bleiben wir bei den Europol-Projekten. Sehr umstritten ist ja das 2009 gestartete Projekt International Specialist Law Enforcement zur Sicherung von Beweismitteln. Wie sieht es damit aus?
Welchering: Da soll das EC3 teilweise mit einsteigen. Dieses International Specialist Law Enforcement ist ja ein Projekt der EU-Kommission. Aber die will das eben in einigen Bereichen abgeben. Und auch das hat für Streit gesorgt. Denn es geht in diesem Projekt um die Entwicklung von Methoden zur verdeckten Ermittlung. Und dabei geht es auch darum: Wie kann man denn heimlich in Fahrzeuge, Büros, Wohnungen und eben auch Computer in IT-Systeme eindringen? Und letzteres – das heimliche Eindringen in IT-Systeme – soll Aufgabe des EC3 werden. Und da muss natürlich geklärt werden: Wann darf das präventiv, wann darf das repressiv gemacht werden im Rahmen der Strafverfolgung? Im Augenblick ist das ohnehin – sagt auch das EC3 – mit dem Personal, das sie haben, überhaupt nicht zu schaffen. Dafür müsste kräftig aufgestockt werden und auch finanziell aufgebaut werden.
Peter Welchering: Dieses Projekt 2020 soll vom EC3 weitergeführt werden. Diskutiert wird, wie es weitergeführt werden kann. Denn hier geht es ja um Trendanalysen in Sachen Computerkriminalität, die die nächsten drei bis vier Jahre umfassen und die auch schon ermitteln wollen und sollen: Wo werden denn im Schwerpunkt kriminelle Handlungen festgestellt und wie kann man sozusagen präventiv dagegen vorgehen? Die Federführung allerdings bleibt bei der ENISA, der Europäischen Agentur für Netz- und Informationssicherheit und bei der Londoner Polizei. Also da hat sich die ENISA nicht die Butter vom Brot nehmen lassen. Aber das Ganze hat eben auch zu Diskussionen geführt, inwieweit denn Datenbanken und Analysewerkzeuge, die das EC3 über das bisherige Europol-Projekt 2020 hinaus aufgebaut hat oder noch aufbauen wird, eben auch von privaten genutzt werden dürfen. Denn bisher dürfen solche Analysewerkzeuge, dürfen auch konkrete präventiv einzusetzende Daten im Projekt 2020 eben von den privaten Partnern benutzt werden. Und da ist ein Beispiel sehr heftig im Dezember diskutiert worden – das der sogenannten Unified Informations Access Plattform. Die hat Europol von einem Anbieter gekauft und setzt diese Plattform ein, um ganz klassisches Data-Mining zu betreiben. Mit solchen Data-Mining-Methoden können Profile erstellt werden. Und diese Profile lassen eben Kriminalitätsentwicklungen in bestimmten Bereichen, etwa mit einem Schwerpunkt bei der Kreditkartenkriminalität sehr früh erkennen. Und da gibt’s dann eben die Streitfrage: Inwieweit dürfen die Analyseergebnisse, die hier auf öffentlich zugänglichen Daten basieren – die werden nämlich im Internet gesammelt – an Private weitergegeben werden? Denn hier haben natürlich vor allen Dingen Kreditkartenunternehmen ein sehr großes Interesse daran.
Kloiber: Was passiert denn mit den bisher von Europol geführten Cybercrime-Analyse-Dateien?
Welchering: Die sollen in den nächsten Monaten vereinheitlicht werden, in EC3 zusammengeführt werden. Und zwar alle Analysis Work Files, wie die heißen. Vor allen Dingen vorrangig die Themenkomplexe Hacking, Markenpiraterie – auch das sehr umstritten – Schadsoftware, Identitätsdiebstahl und natürlich auch Twins. Twins ist die Analysedatei zum Thema Kinderpornografie. Und eine weitere Datei wird sehr massiv aufgebaut werden, die heißt Cyborg. Die hat Europol bisher für Internetkriminalität insgesamt angelegt. Die soll aber heruntergebrochen werden auf konkrete Deliktarten. Das Problem dabei: In diesen AWFs, in diesen Analysis Work Files, da werden eben nicht nur Tatverdächtige gespeichert, sondern auch sogenannte Kontaktpersonen. Das sind teilweise Menschen, die mit den Verdächtigen dann zufällig in ganz anderen Bereichen zu tun haben. Also etwa die Bäckereiverkäuferin, die einen Verdächtigen bedient hat. Und auch von diesen Kontaktpersonen werden eben persönliche Daten – etwa Name, Vorname, Wohnort, Telefonnummer und so weiter – gespeichert. Aber auch sensible Daten wie etwa die politische Einstellung oder die sexuelle Orientierung.
Kloiber: Und wie werden die Aktivitäten des EC3 in Sachen Computerforensik aussehen?
Welchering: Zunächst einmal in intensiver Zusammenarbeit mit Interpol, dann aber eben auch mit dem Cyber Defence Center der Nato. Natürlich auch mit den Computer Notfallteams, den europäischen, aber auch den nationalen, und eben der ENISA, der Europäischen Agentur für Netz- und Informationssicherheit. Und da ist dann die Streitfrage aufgebrochen: An wen darf denn das EC3 die sogenannten Forensic Laptops geben? Das sind Beweissicherungssysteme – auf Laptops tatsächlich installiert. Und mit mit diesen Beweissicherungssystemen können Computersysteme sehr effizient nach Schlüsselwörtern durchsucht und gefiltert werden. Aber damit lassen sich eben auch gelöschte Daten sehr effizient rekonstruieren. Und es handelt sich dabei um wohl die besten Entschlüsselungsroutinen, die in Europa verfügbar sind.
Kloiber: Bleiben wir bei den Europol-Projekten. Sehr umstritten ist ja das 2009 gestartete Projekt International Specialist Law Enforcement zur Sicherung von Beweismitteln. Wie sieht es damit aus?
Welchering: Da soll das EC3 teilweise mit einsteigen. Dieses International Specialist Law Enforcement ist ja ein Projekt der EU-Kommission. Aber die will das eben in einigen Bereichen abgeben. Und auch das hat für Streit gesorgt. Denn es geht in diesem Projekt um die Entwicklung von Methoden zur verdeckten Ermittlung. Und dabei geht es auch darum: Wie kann man denn heimlich in Fahrzeuge, Büros, Wohnungen und eben auch Computer in IT-Systeme eindringen? Und letzteres – das heimliche Eindringen in IT-Systeme – soll Aufgabe des EC3 werden. Und da muss natürlich geklärt werden: Wann darf das präventiv, wann darf das repressiv gemacht werden im Rahmen der Strafverfolgung? Im Augenblick ist das ohnehin – sagt auch das EC3 – mit dem Personal, das sie haben, überhaupt nicht zu schaffen. Dafür müsste kräftig aufgestockt werden und auch finanziell aufgebaut werden.