Möglichkeiten zur Wappnung gegen Cyberkriminalität
Die Forschung von E-CRIME war auf zwei zentrale Ziele ausgerichtet. Das erste Ziel war es, ein besseres Verständnis davon zu erlangen, wie sich die Ausbreitung, Entwicklung und Wirkung von Cyberkriminalität in Nicht-IKT-Sektoren gestaltet: Es wurden eine detaillierte Bestandsaufnahme zu Cyberverbrechen erstellt; Strukturen und Wirtschaftssysteme im Bereich der Cyberkriminalität analysiert; und bestehende Gegenmaßnahmen bewertet. „Zur Entwicklung effektiver Strategien mussten wir zunächst bestehende Wissenslücken schließen“, erinnert sich Dr. Timothy Mitchener-Nissen, der Koordinator des Projekts. „Die wichtigsten (Lücken) waren vor allem mit der Prognostizierung oder Modellierung der wirtschaftlichen Kosten von Cyberkriminalität sowie mit den Schritten verbunden, die – unabhängig von der spezifischen Form des Angriffs – von den an finanziell motivierten Cyberverbrechen beteiligten Parteien tatsächlich unternommen werden.“ Dr. Mitchener-Nissen und sein Team fuhren unter Anwendung der häufig in der Kriminologie zum Einsatz kommenden Crime-Script-Methodik fort. Über die Analyse von Informationen der besten verfügbaren Datenquellen konnten angefangen bei der Phase vor dem Angriff, in der die Ziele und Angriffsmethoden ausgewählt werden, bis hin zum Zeitpunkt der Monetarisierung, die Schritte skizziert werden, die für Cyberkriminelle bei der Durchführung von Cyberkriminalität erforderlich sind. „Durch die Umsetzung dieses Ansatzes konnten wir die Schritte nachbilden, die für die erfolgreiche Durchführung mehrerer unterschiedlicher Arten von Cyberangriffen erforderlich sind und Gemeinsamkeiten identifizieren, was zur Erstellung eines kriminellen Masterplans führte, der letztlich alle Angriffsarten berücksichtigte“, erklärt Dr. Nissen. Dieser Ansatz wurde durch die Erkenntnisse von Spezialisten und durch eine große europäische Umfrage mit mehr als 6 000 Bürgern und 1 250 Opfern von Cyberkriminalität vervollständigt. Die Datensätze aus der Umfrage unter den Opfern stehen Forschern zur Verfügung und berücksichtigen zeitgestempelte stichprobenartige Stellungnahmen sowie Ebenen der wirtschaftlichen Cyberkriminalitäts. Der Fragebogen wiederum beinhaltet einen standardisierten Fragenkatalog, der für wiederholte Befragungen in Längsschnittstudien genutzt werden kann, um Veränderungen im Laufe der Zeit in Bezug auf Meinungen und die Auswirkungen von Cyberkriminalität zu messen. Die richtigen Gegenmaßnahmen finden Ausgestattet mit den Crime-Skripten konnte sich das Team dem zweiten Ziel von E-CRIME widmen, dass darin bestand, geeignete Maßnahmen festzulegen, mit denen im Nicht-IKT-Sektor Cyberangriffen effektiv entgegengewirkt werden kann und Cyberangriffe vermieden werden können. Die Crime-Skripte ermöglichen es dem Verteidiger in der Tat, konzeptionelle Gates zu erkennen, die Angreifer zur Durchführung verschiedener Arten von Cyberkriminalität überwinden müssen. Dies hat laut Dr. Mitchener-Nissen einen doppelten Wert: „Zum einen wird ein konzeptuelles Modell ermöglicht, das dabei behilflich ist, Zielgruppen kriminelle Angriffe zu erklären, denen es zuvor möglicherweise am Verständnis von Angriffsmethoden mangelte. Zum anderen werden Verteidiger bei der Identifizierung von ,Pinch Points‘ unterstützt, auf die sie ihre Maßnahmen fokussieren sollten, um so vielen Angriffen wie möglich vorzubeugen.“ Insgesamt gesehen wurden über das Projekt unter anderem Empfehlungen für regulatorische Maßnahmen, Erweiterungen für krimininalitätssichere Anwendungen, Risikomanagement-Tools, bewährte Verfahren sowie Vertrauen und Zuversicht bildende Maßnahmen entwickelt: „Unsere Gegenmaßnahmen beinhalten die Entwicklung eines Bewusstseinsschulungsprogramms im Justizvollzugsbereich, das speziell auf Justizvollzugsbehörden (Law Enforcement Agencies, LEAs) zugeschnitten ist sowie ein Handbuch zur Prävention und Verhinderung von wirtschaftlicher Cyberkriminalität, das bereits in ganz Europa eingesetzt wird. Für den Industriesektor haben wir eine Kosten-Nutzen-Berechnungsmethodik und Richtlinien erstellt, die es Unternehmen ermöglichen, Kosten und Nutzen von Gegenmaßnahmen zu messen, um zu bestimmen, welche (Gegenmaßnahmen) vernünftiger Weise verwendet werden sollten“, sagt Dr. Mitchener-Nissen. Auch wenn das Projekt mittlerweile abgeschlossen worden ist, ist das E-CRIME-Konsortium zuversichtlich, dass das Bewusstseinsschulungsprogramm im Justizvollzugsbereich weiterhin verfeinert und von Polizeikräften in mehreren EU-Mitgliedsstaaten umgesetzt werden wird. „Dies würde schon für sich genommen sicherstellen, dass die Arbeit des E-CRIME-Projekts weit über das Enddatum des Projekts hinaus von Relevanz ist und Wirkung zeigt“, sagt Dr. Mitchener-Nissen.
Schlüsselbegriffe
E-CRIME, Cyberkriminalität, Cyberangriff, Crime-Script, kriminialitätssicher, Risikomanagement, Gegenmaßnahmen
