24 minute read
STAAT IM UMBAU
Hier entsteht für Sie die Verwaltung von morgen graphischen Karten des BKG und der Länder zur Verfügung, heißt es. Neu seien Landkarten der einzelnen Bundesländer im Maßstab 1:400.000, die als Übersichtskarten genutzt werden könnten. Auf den Karten können Points of Interest (POI) dargestellt werden, zum Beispiel zu den Themen “Gesundheit”, “Versorgung” oder “Einsatzkräfte”. Auch sei es möglich, selbst definierte Kartenausschnitte nicht nur deutschlandweit, sondern weltweit zu erstellen.
Damit Bundesbehörden den Service nutzen können, müssen sie sich unter https://gdz. bkg.bund.de registrieren und dann einloggen. Unter der Rubrik Webanwendungen” befindet sich dann die Schaltfläche “Map on Demand (MoD)”.
Ideen und Prototypen entwickeln
Internationaler Hackathon 2022 des Statistischen Bundesamtes (BS/Florian Dumpert/Bogdan Levagin/Younes Saidani*) 17 Teams aus fünf Ländern und vier intensive Tage, um die amtliche Statistik weiterzuentwi-ckeln: Das bot der internationale Hackathon 2022 des Statistischen Bundesamts (Destatis). Nach dem KI-Hackathon 2021 wurden damit bereits zum zweiten Mal in dieser Form Ideen entwickelt und Lösungen prototypisiert.
Ende September 2022 lud das Statistische Bundesamt (Destatis) zu seinem internationalen Hackathon nach Wiesbaden ein. Ein Hackathon ist eine ganz besondere Form der Arbeit; sie ist intensiv, interdisziplinär und projektbezogen. In den Worten eines Teilnehmers: “Die größte Herausforderung ist: Man hat ein sehr begrenztes Zeitfenster und muss etwas auf die Beine stellen, das funktioniert. Das war sehr, sehr schwierig.” In kurzer, klar umrissener Zeit zu einer gegebenen Aufgabenstellung eine Lösungsidee zu entwickeln und als Prototyp zu implementieren, verlangt zielgerichtetes Arbeiten und die Fähigkeit zu priorisieren. Nach dem Destatis-internen KIHackathon 2021 wurde es 2022 nun international.
“Wir sichern das Vertrauen in unsere Ergebnisse und steigern ihren Nutzen, um bis 2025 der relevanteste deutsche Anbieter von Daten und Fakten zu Wirtschaft, Umwelt und Gesellschaft zu sein.” So lauten Ziel und Ambition des Destatis' in seinen Rollen als digitaler, kundenorientierter Informationsdienstleister, digitaler Datenmanager und zuverlässiger Statistikproduzent. Vor der Herausforderung, ihren Nutzenden vorhandene Datenschätze und Auswertungen schnell in adressatengerechter Form zur Verfügung zu stellen, steht die amtliche Statistik weltweit. Und so kamen im Rahmen des Hackathons 17 Teams aus Deutschland, den Niederlanden, Österreich, Portugal und Saudi-Arabien in Wiesbaden zusammen, um vier Tage lang an der Entwicklung von Prototypen zu
Teilnehmerinnen und Teilnehmer, Jury und Organisatoren des internationalen Hackathons. Foto: BS/Destatis folgender Fragestellung zu arbeiten: “Welches innovative Produkt kann die amtliche Statistik entwickeln, um in Zukunft schneller relevante Daten für Krisen bereitzustellen?”
Nach einer Zwischenpräsentation und einem abschließenden, achtminütigen Pitching vor allen Teams wertete eine Jury die erarbeiteten Lösungen anhand der Kriterien Relevanz, Innovationscharakter, Design, Automatisierung und Universalität aus. Die folgenden fünf Lösungen wurden von der Jury mit Preisen ausgezeichnet: Die Gewinner des diesjährigen Hackathons entwickelten einen leichtgewichtigen Datenkatalog, der unterschiedliche Datenbestände durchsuchbar macht und aufwändige manuelle Arbeiten ersetzen soll. Der zweite Preis wurde für eine Datensatz-Suchmaschine vergeben, die exemplarisch mit Beschreibungstexten und Metadaten aller offenen, englischsprachigen Datenquellen eines der beteiligten Ämter umgesetzt wurde.
Mit dem dritten Platz wurde ein Prototyp prämiert, der hunderte frei verfügbare Datenquellen automatisiert über Schnittstellen lädt und sie zur Früherkennung von Krisen einsetzt. Den vierten Preis errang ein Werkzeug, das basierend auf einem täglich aktualisierten Datensatz aus Twitter-Posts und Artikeltexten ausgewählter Nachrichtenmagazine analysiert und grafisch darstellt, wie in der öffentlichen Wahrnehmung verschiedene Themen verknüpft sind. Der fünfte Preis schließlich wurde für einen Prototypen vergeben, der amtliche Daten um frei verfügbare, kleinräumige Geodaten anreichert und in Form eines Storyboards nutzerfreundlich visualisiert, um schnell geografische Themenwebseiten zu erzeugen. Neben den prämierten Lösungen konnten auch alle anderen Teams einen vollständigen Prototypen präsentieren. Weitere innovative Ergebnisse beinhalteten etwa: Ein Dashboard, das internationale Handelsbeziehungen aufzeigt
Virtuell trainieren, real profitieren und künftige Entwicklungen in diesen prognostiziert; ein Tool für politische Entscheidungstragende, das mittels kleinräumiger Zensusdaten, Topologien, Strömungssimulationen und Wetterdaten den Effekt extremer Niederschläge und Flusspegel visualisiert; und ein Stimmungsbarometer, das Umfrage-, Finanz- und Twitter-Daten nutzt, um die öffentliche Stimmung während einer Krise besser einschätzen und quantifizieren zu können.
Die prämierten Lösungen wurden in den Innovationsprozess zu digitalen Aspekten (siehe Behörden Spiegel, Januar 2023, Seite 26) der Digitalwerkstatt des Destatis' übernommen.
Vernetzung, Austausch und digitale Arbeitskultur
Neben der Entwicklung der Prototypen diente der Hackathon 2022 auch dazu, die Vernetzung mit internationalen Expertinnen und Experten zu stärken und neue Formate und Arbeitsweisen im Destatis zu erproben. Dadurch wurden nicht nur neue Impulse für die Digitalisierung der amtlichen Statistik gesetzt, sondern auch Kreativität und Innovationsdenken von Mitarbeiterinnen und Mitarbeitern des Destatis' gefördert und in diesem Zusammenhang zur Erstellung digitaler Produkte nutzbar gemacht.
*Die Autoren sind im Referat “Künstliche Intelligenz. Big Data” der Gruppe “Digitale Transformation, Standards und Governance” des Statistischen Bundesamts beschäftigt.
Virtual Reality und Künstliche Intelligenz in der Ausbildung von Martin
Kaloudis
Bessere Lernerfolge, höhere Effizienz: IT-Anwendungen wie Virtual Reality (VR) oder Künstliche Intelligenz (KI) können die Qualität in der Ausbildung steigern – auch bei der Bundeswehr. Das Potenzial von digitalen Lösungen in Trainingssituationen zeigen zwei Ansätze, die in Kooperation von Streitkräften und BWI entstanden sind. Produktionsmitarbeitende in der Automobilindustrie testen Montageabläufe mithilfe von KI und Machine Learning in virtuellen Räumen, angehende Ärztinnen und Ärzte erlernen Operationsmethoden mithilfe von VR-Brillen, Schülerinnen und Schüler gehen auf virtuelle Reisen durch unser Sonnensystem: Digitale Technologien schaffen neue Lernerlebnisse und verbessern die Qualität von Aus- und Weiterbildung. Denn sie geben Lernenden die Möglichkeit, ganzheitlich in immersive Lernwelten abzutauchen.
VR und KI steigern jedoch nicht nur den Lernerfolg – sondern auch die Verfügbarkeit und Effizienz von Trainings. Als Digitalisierungs- und Innovationspartner entwickelt die BWI mit ihrer Innovationseinheit innoX digitale Lösungen und erprobt, wo und wie sich diese sinnvoll bei der Bundeswehr nutzen lassen. Dabei arbeitet die BWI eng mit den Streitkräften zusammen, kennt daher die Bedarfe ganz genau und entwickelt so passgenaue Innovationen für die jeweilige Anforderung. Zwei Beispiele aus dem Bundeswehr-Alltag verdeutlichen wie realitätsnahe,
OZG und die Folgen
Wenn nur das Papier digitalisiert wird und nicht der Prozess (BS/Thomas Bönig) Die Digitalisierung der deutschen Verwaltung ist von herausragender Bedeutung, um die Handlungsfähigkeit öffentlicher Institutionen zu gewährleisten. Der stetig steigende Bedarf an Ressourcen für eine ausufernde Bürokratie ist enorm, ohne dass diese oft einen relevanten Nutzen bringt. Es ist absehbar, dass der öffentliche Sektor bald nicht mehr in der Lage sein wird, seine Aufgaben und Verpflichtungen zu erfüllen. Die öffentliche Wahrnehmung eines Staates, der nicht mehr fähig ist, notwendige Modernisierungen vorzunehmen und dabei immer teurer wie auch ineffizienter wird, führt unweigerlich zu Verwerfungen von Gesellschaft und Politik.
Martin Kaloudis ist Chief Executive Officer (CEO) und Vorsitzender der Geschäftsführung der BWI GmbH, des IT-Systemhauses der Bundeswehr. Foto: BS/BWI virtuelle Anwendungen und KI die Ausbildung von Soldatinnen und Soldaten verbessern können.
VR-Ausbildung: Training im virtuellen Container
Bei Auslandseinsätzen müssen Soldatinnen und Soldaten die Qualität vor Ort erworbener Betriebsstoffe überprüfen. Denn in der Bundeswehr gelten strenge Standards für Benzin, Kerosin oder Motorenöle. Die Kontrolle erfolgt in eigenen Betriebsstoff-Containern am Einsatzort. Für die Arbeit in den mobilen Laboren ist eine mehrmonatige Ausbildung notwendig. Aufgrund hoher Kosten und der komplexen Ausstattung verfügt die Bundeswehr jedoch nur über sieben Exemplare. Diese sind weltweit im Einsatz und werden darüber hinaus zu Ausbildungszwecken im Technischen Ausbildungszentrum der Luftwaffe Nord in Faßberg genutzt. Alle angehenden Betriebsstoff-Feldwebel reisen zur Ausbildung dorthin. Das führt zu Restriktionen, die die Ausbildung erschweren, etwa hinsichtlich der Kapazitäten oder der Terminplanung.
In enger Abstimmung mit der Luftwaffe hat die BWI daher mittels VR-Technologie einen digitalen Zwilling des Labor-Containers erstellt, mit identischen Funktionalitäten und gleicher Bedienung. Das digitale Abbild lässt sich unbegrenzt häufig klonen. So können beliebig viele Trainees Arbeitsschritte und Handgriffe im eigenen virtuellen Labor erlernen, wiederholen und vertiefen – jederzeit und an jedem Ort. VR soll die klassische Ausbildung dabei nicht ersetzen, sondern sie ergänzen und die Lernerfolge verbessern: Die Trainees lernen in der VR-Welt quasi unter Idealbedingungen und können das Gelernte später einfacher in Ausbildung und Einsatz anwenden.
Schießtraining: Auswertung durch Künstliche Intelligenz Neben den Lernenden unterstützen innovative IT-Lösungen die Ausbildenden, etwa bei der Schießausbildung der Bundeswehr. Die Angehörigen des Kommandos Spezialkräfte (KSK) müssen im Rahmen ihrer Ausbildung einen Schieß- parcours unter Stressbedingungen absolvieren und eine Mindestanzahl von Treffern erzielen. Das Schießtraining selbst dauert nicht lange, die Auswertung und Dokumentation erfolgt jedoch derzeit noch händisch und nimmt daher deutlich mehr Zeit und Ressourcen in Anspruch. So zählen die Ausbildenden die Treffer händisch aus und notieren sie auf einem Vordruck. Dann errechnen sie manuell die Punktzahl und tragen sie in eine Excel-Tabelle ein.
Gemeinsam mit dem KSK hat die BWI in einem Innovationsexperiment deshalb eine App entwickelt, die den Ausbildenden die Auswertung deutlich erleichtert. Eine in die App eingebundene KI erkennt automatisch die Treffer auf den Zielscheiben und leitet daraus die Punktzahl ab. Das Gesamtergebnis wandert automatisch in eine Datenbank. Dort kann es mit weiteren Metadaten verknüpft werden, die detaillierte Auswertungen für die Schießausbildung erlauben – und somit die Effizienz des Schießtrainings deutlich erhöhen.
Diese beiden Beispiele geben einen Eindruck, welche Wirkung passgenaue, innovative IT-Lösungen für alle Beteiligten in der Aus- und Fortbildung entfalten können. Das macht sie auch zur Inspiration für andere Bereiche der Bundeswehr und staatliche Organisationen, die vor ähnlichen Herausforderungen stehen. Die BWI treibt diese Themen weiter voran – für die digitale Zukunftsfähigkeit unseres Landes.
Das OZG, welches vermeintlich zur Digitalisierung der deutschen Verwaltung führen soll, ist in seiner strukturellen Ausprägung als reiner Onlinezugang ein Ansatz, in dem gar keine nachhaltige Digitalisierung stattfinden kann. Man muss sich die Frage stellen, warum mit den bisherigen enormen Investitionen nur eine Pseudodigitalisierung erreicht wurde. Das gesetzte Ziel des IT-Planungsrats über OZG die Digitale Verwaltung zu gestalten, erscheint nach den bisherigen Ergebnissen als wenig realistisch. Mit einer OZG-Strategie aktueller Ausprägung kann überhaupt keine Digitalisierung der Verwaltung erreicht werden, da der alleinige Fokus darauf liegt, für Bürgerinnen, Bürger und Wirtschaft einen Online-Zugang über elektronisches Papier zu ermöglichen, welches in der Verwaltung wie bisher analog weiterbearbeitet wird, wie es bei den BAFÖG-Anträgen deutlich wurde. Digitalisierung ist mehr als IT-Systeme mit OnlineEingabemasken auszustatten oder elektronische Formulare für redundante Eingaben einzusetzen und dann am Prozessende Papier auszudrucken. Anstatt die Vorteile von Digitalisierung für effizienteres, schnelleres Arbeiten in der Verwaltung zu nutzen, wird das Gegenteil erreicht. Den Kommunen ist diese Problematik schon lange bekannt, wie es auch in den Dresdner Forderungen formuliert ist. Dennoch sind weder Bund noch Länder auf die kommunale Ebene zugegangen, machen sich deren Know-how nicht nutzbar und vergeben vielfältige Chancen, schneller, effektiver sowie kostengünstiger, mit echter Digitalisierung die Modernisierung der Verwaltung anzugehen.
Künstliche Komplexität
Stattdessen wird die künstlich geschaffene Komplexität der deutschen Digitalisierung weiter erhöht, um damit ein dysfunktionales Konstrukt zu schaffen, welches immer weniger Transparenz bietet.
“Jeder kann etwas kompliziert machen, aber es braucht ein Genie, um es einfach zu machen.” Es scheint eine Zielsetzung zu sein, so viel wie möglich Komplexität in das Thema einzubringen, klare Zuständigkeiten und Verantwortlichkeiten zu vermeiden, sodass eine Frage nach der Verantwortung für das absehbare Scheitern von OZG ungeklärt bleiben muss. Unter dem Deckmantel der Komplexität kann von allen Beteiligten wie bisher weitergemacht werden, obwohl absehbar ist, dass dies nicht zu einer digitalen Verwaltung führen wird, während sich Bürgerinnen, Bürger und Wirtschaft im Gegenzug mit den Freuden einer neuen Form
MELDUNG von “Bürokratie Online” auseinandersetzen dürfen. Folgenschwer ist, dass wertvolle Ressourcen, welche für eine echte Digitalisierung der Verwaltung dringend notwendig sind, auch zukünftig nicht zur Verfügung stehen werden, sondern in Investitionen einfließen, die auf überalterten Vorstellungen einer analogen Verwaltung mit elektronischem Papier sowie auf überholten ITArchitekturen basieren, die für eine Digitalisierung nicht geeignet sind. Es ist unumgänglich, dass kurzfristig auf das bisherige Management des OZG reagiert wird, um einen Umschwung einzuleiten und zumindest den Beginn einer Digitalisierung der Verwaltung in absehbarer Zeit zu erreichen. Die mangelhaften Ergebnisse der Pseudodigitalisierung durch OZG sowie
Thomas Bönig ist Leiter DO.IT – Amt für Digitalisierung, Organisation und IT sowie Chief Digital Officer (CDO) und Chief Information Officer (CIO) der Landeshauptstadt Stuttgart. Foto: BS/privat das deutliche Verfehlen von Zielen erscheint in der öffentlichen Wahrnehmung als eine Überforderung von Politik und Gremien, ebenso wie die anhaltende Planlosigkeit, wenn es darum geht, Architekturen oder tragfähige Strategien für eine digitale Verwaltung zu erstellen.
Blühende Fantasie
Einige OZG-Zahlenwerke, die bisher veröffentlicht wurden, sind eher einer blühenden Fantasie zuzuschreiben und haben vielfach wenig mit der Realität zu tun. Es muss daher ein drastisches Umsteuern stattfinden, um die Fehlentwicklungen bei der digitalen Transformation zu korrigieren. Abzuwarten, bis sich die Situation noch weiter verschlechtert, um danach eine Schuldfrage ausufernd zu diskutieren, anstatt notwendige Entscheidungen zu treffen, die sowieso unabdingbar sind, wäre das falsche Signal.
Eine nachhaltige Digitalisierung der deutschen Verwaltung kann noch erreicht werden, doch dazu erfordert es tiefgreifende und weitgehende Reformen beim Management und der strategischen Ausrichtung, die längst überfällig sind. Eine erste Orientierung hierzu bieten Ansätze, wie sie bereits erfolgreich in der Wirtschaft oder in anderen Ländern umgesetzt wurden. Unumgänglich ist jedoch ein durchgängiger Plattformansatz, welcher konsequent bürgerzentriert abzubilden ist. Aktuell kann man der Politik beim OZG leider nur ein Zeugnis ausstellen: ungenügend, Thema nicht verstanden sowie Ziele vollständig verfehlt.
OZG-Umsetzung: Land Hessen weitet Unterstützung der Kommunen aus (BS/gg) Für die Jahre 2023 und 2024 übernimmt das Land Hessen im Zuge der Umsetzung des Onlinezugangsgesetztes (OZG) die Betriebskosten von kommunalen EfA-Verfahren (“Einer für Alle”) in Höhe von bis zu 3,9 Millionen Euro pro Jahr. “Das Land versetzt seine Kommu- nen damit in die Lage, sowohl durch das Land Hessen finanzierte Online-Anträge auf der civento-Plattform, als auch die von anderen Ländern erarbeiteten EfA-Leistungen zu nutzen – beides kostenfrei”, so Patrick Burghardt, Digitalstaatssekretär und CIO des Landes Hessen.
Im Bundestag verteidigt Bundeskanzler Olaf Scholz (SPD) seine Entscheidung, Kampfpanzer in die Ukraine zu liefern. Währenddessen hört der D i gitalausschuss am anderen Spreeufer Expertinnen und Experten für Cyber-Sicherheit an. Die beiden Sitzungen haben viel miteinander zu tun. Denn die Zeit drängt. Cyber-Sicherheit ist eine Grundvoraussetzung der Inneren und Äußeren Sicherheit Deutschlands. Und der Staat muss sich neu aufstellen. Kernstück der reformierten Cyber-Sicherheitsarchitektur soll das BSI werden. Geplant ist, das Amt zu einer Zentralstelle der Cyber-Sicherheit des Bundes und der Länder zu machen. Doch dafür müsse das Grundgesetz geändert werden, heißt es aus dem Bundesinnenministerium (BMI). Viele politische Entscheidungsträgerinnen und -träger sind skeptisch und knüpfen ihre Zustimmung zur Zentralstellenfunktion an die Bedingung, dass die Cyber-Sicherheitsbehörde in Zukunft unabhängig vom BMI agieren kann. Bislang übt das Ministerium die Fachaufsicht aus.
An diesem Mittwoch vertraten die Geladenen recht unterschiedliche Auffassungen, wie das BSI unabhängiger agieren könnte.
Unabhängig wie der BfDI
“Wir müssen die Cyber-Sicherheitsarchitektur entschlacken”, forderte M anuel Atug . Der AG
KRITIS-Gründer setzt sich für eine sichere und resiliente Kritische Infrastruktur (KRITIS) ein. Die gegenwärtige Lage mit über 80 zuständigen Behörden führe in eine “Verantwortungsdiffusion”. Atug forderte, dass das BSI organisatorisch ähnlich dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) aufgestellt werden solle. Dann sei es endlich vollkommen unabhängig vom BMI.
Der Ruf nach Unabhängigkeit
Freiheit für das BSI, aber ohne “fachaufsichtsfreie Räume”?
(BS/Benjamin Hilbricht) Schon lange hat die Cyber-Sicherheitsszene eine Forderung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll unabhängig sein. An dieser Frage könnte sich entscheiden, ob es gelingt, die deutsche Cyber-Sicherheitsarchitektur zu reformieren. Doch wie diese Unabhängigkeit konkret aussehen könnte, darüber gibt es sehr unterschiedliche Vorstellungen.
Dies habe den zusätzlichen Vorteil, dass sich Cyber-Sicherheitsforscherinnen und -forscher dann nicht mehr davor fürchten würden, Sicherheitslücken zu melden. Durch die Kombination aus dem “Hackerparagraphen” und der Fachaufsicht durch das Innenministerium hätten viele Sicherheitsforschende Angst vor Strafverfolgung, wenn sie dem BSI Schwachstellen melden würden. Wenn das Amt dagegen vollkommen unabhängig wäre, könnte dort die dringend benötigte Meldestelle für IT-Sicherheitslücken angesiedelt werden. Die Sachverständige der Stiftung Wissenschaft und Politik, Dr. Annegret Bendiek, schlug vor, dass der Gesetzgeber einerseits das BSI unabhängiger aufstellen solle. Andererseits sei die Rolle des Bundeskriminalamts (BKA) im Nationalen Cyberabwehrzentrum (Cyber-AZ) zu stärken. Das unabhängigere BSI würde sich dann auf die defensive CyberSicherheit konzentrieren, während das BKA die Strafverfolgung betreiben würde.
Keine Ressortverschiebung
Einen “Vertrauensanker” nannte Dr. Sven Herpig das BSI. Der Leiter des Bereichs Cyber-Sicherheitspolitik im Thinktank Stiftung Neue Verantwortung (SNV) sagte: “Wirtschaft und Gesellschaft müssen darauf vertrauen können, dass das BSI Entscheidungen auf fachlicher Grundlage trifft. Da, wo das nicht der Fall ist, müssen diese Entscheidungen als politisch motiviert gekennzeichnet werden.” Deswegen sprach er sich dafür aus, dass es keine fachliche Weisungsbindung an das BMI geben dürfe. Vor allem die Bereiche Operative CyberSicherheit, Technikkompetenzen und Kryptografie sollten unabhängig agieren, forderte Herpig. Eine Ressortverschiebung sei ebenso denkbar wie eine Aufsicht durch den Bundestag. Dennoch sei es möglich, das BSI unter der Aufsicht des Bundesinnenministeriums (BMI) zu belassen. Doch dafür müsse das BMI die Aufsicht z.B. durch breite Arbeitsweisungen ausüben. Möglich sei auch eine Ex-Post-Kontrolle fachlicher Entscheidungen. “Politische Entscheidungen des BMI, die eventuell fachliche Entscheidungen des BSI übertrumpfen, sollten in einer Registratur vermerkt werden”, empfahl Herpig. “Dann
EU erleichtert Zugang zu Beweismitteln
Neues Verfahren für einen grenzüberschreitenden Zugang
(BS/Paul Schubert) Der Rat der Europäischen Union hat sich mit dem Europäischen Parlament über neue Vorschriften zur Verbesserung des grenzüberschreitenden Zugangs zu elektronischen Beweismitteln geeinigt.
Durch die neuen Regelungen soll es in Zukunft möglich sein, gerichtliche Anordnungen direkt an Diensteanbieter in einem anderen Mitgliedsstaat zu richten.
Die Regelung soll unter der Verordnung über Europäische Herausgabeanordnungen und Sicherheitsanordnungen beschlossen werden. Insbesondere die Justizbehörden haben sich erweiterte Befugnisse gewünscht, heißt es vom Rat. Unter anderem werde es dadurch den Justizbehörden wie Richterinnen und Staatsanwälten ermöglicht, rascheren Zugriff auf Beweismittel zu erlangen – unabhängig von deren Speicherort, sagt der schwedische Justizminister Gunnar Strömmer. Die Anordnungen sind dabei vielseitig anwendbar, unter anderem auch auf Teilnehmer-, Verkehrs- und Inhaltsdaten.
Einschränkungen bei der Herausgabe
Um Willkür und Überlastungen bei den Strafbehörden vorzubeugen, werden für Verkehrs- und Inhaltsdaten Einschränkungen vorgenommen. So können diese Daten nur bei Straftaten, die im Anordnungsstaat mit mindestens drei Jahren Freiheitsstrafe sanktioniert werden, herausgegeben werden. Darüber hinaus ist die Einsicht der Daten möglich, wenn die Straftaten in Verbindung mit Cyber-Kriminalität, Terrorismus, Fälschung im Zusammenhang mit unbaren Zahlungsmitteln (zum Beispiel Krypto-Währungen) oder Kinderpornografie stehen. Um die Einsicht in die Daten zu ermöglichen, soll ein Mitteilungssystem für Verkehrs- und Inhaltsdaten eingerichtet werden. Die Verord- nung schreibt vor, dass einer Herausgabeanordnung innerhalb von zehn Tagen Folge zu leisten ist. Die Frist kann in Ausnahmefällen auf acht Stunden verkürzt werden. Sollte die zeitliche Frist der Herausgabeanordnung ablaufen, können finanzielle Sanktionen in Höhe von bis zu zwei Prozent des gesamten weltweiten Jahresumsatzes des abgelaufenen Geschäftsjahres gegen die Diensteanbieter verhängt werden. Angeforderte Daten können abgelehnt werden Mithilfe des Mitteilungssystems kann der Vollstreckungsstaat innerhalb von zehn Tagen (in Notfällen etwa 96 Stunden) Einspruch gegen die angeforderten Daten erheben. Dafür kann der Staat die in den Rechtsvorschriften vorgesehenen Ablehnungsgründe nutzen. Ein Ablehnungsgrund liegt beispielsweise dann
Foto: vor, wenn die angeforderten Daten geschützt sind. Sollten die Informationen bereits übermittelt worden sein, wird die Anordnungsbehörde dazu verpflichtet, die Daten zu löschen, den Zugriff einzuschränken oder die Verwendung der Daten zu limitieren. können Bundestagsausschüsse sie einsehen.” Dadurch würde Transparenz über fachliche und politische Entscheidungen geschaffen.
Ein wesentliches Instrument der Verordnung wird durch die Richtlinie zur Bestellung von benannten Niederlassungen und Vertretern geschaffen. Dabei werden Vorschriften für die Bestellung von Vertretern der Diensteanbieter oder ihren benannten Niederlassungen, die zuständig für die Entgegennahme und Erledigungen der Anordnungen sind, festgelegt. Bereits seit April 2018 wird die Verordnung durch den Rat der Europäischen Union und das Europäischen Parlament diskutiert. Nun ist man zu einer endgültigen Einigung gekommen.
CISO Bund
Ammar Alkassar, der ehemalige CIO des Saarlandes, betonte, dass Strafverfolgung und defensive Cyber-Abwehr zu trennen seien. Dies habe man durch die Gründung der ZITiS und des BSI auch erreicht. In den letzten Jahren habe sich die Sicht der Gesellschaft auf die CyberSicherheitsbehörde sehr positiv entwickelt. “Das hängt mit einer starken Stimme des BSIPräsidenten zusammen”, sagte Al kassar. Er empfahl, dessen Amt in Personalunion mit dem neu zu schaffenden Chief Information Security Officer (CISO) der Bundesregierung zu vereinen. “Der CISO-Bund darf aber nicht in einem fachlichen Weisungsverhältnis zum Bundesinnenministerium stehen”, ergänzte Herpig. Denn im BMI ist der CIO des Bundes, Staatssekretär Dr. Markus Richter, angesiedelt. Die wissenschaftliche Literatur zeige, dass der CISO nicht dem CIO untergeordnet werden dürfe. So ein Arrangement schwäche die IT-Sicherheit.
Ministerielle Augenhöhe
Nach Behörden Spiegel-Informationen beabsichtigt das BMI, dass Staatssekretär Dr. Markus Richter CISO des Bundes wird. Sein Stellvertreter solle Andreas Könen werden, der die Abteilung Cyber- und Informationssicherheit leitet. In Streitfällen mit anderen Ministerien könne der Präsident einer nachgeordneten Behörde nichts ausrichten, argumentiert das BMI. Das gehe nur auf ministerieller Augenhöhe.
Und was hält das BSI von alledem? Für die Cyber-Sicherheitsbehörde hatte der Digitalausschuss deren Vizepräsidenten Dr. Gerhard Schabhüser eingeladen. “Aufbauorganisatorisch benötigt der Bund hiesigen Erachtens eine eigenständige zentrale Steuerungsinstanz”, schreibt Schabhüser in seiner Stellungnahme für den Digitalausschuss. Das BSI sei dafür geeignet, “insbesondere dann, wenn es in der Lage ist, unabhängig und ressortübergreifend zu agieren”.
Hiesigen Erachtens Das Amt müsse seine “Aufgaben allein auf Grundlage wi ssenschaftlich-technischer Erkenntnisse” wahrnehmen. Dafür macht er konkrete Vorschläge. Das BSI-Gesetz (BSIG) sei um die Formulierung “BSI als selbstständige, fachlich unabhängige Bundesoberbehörde” zu ergänzen. Die Fachaufsicht könne durch jährliche Zielvereinbarungen mit dem BSI wahrgenommen werden. Diese sollten Ergebnisweisungen im Einzelfall ausschließen. So entstünden aber keine “fachaufsichtsfreien Räume”. Außerdem fordert Schabhüser, dass alle Ressorts künftig direkt mit dem BSI zusammenarbeiten können sollen. Dazu müsse aber die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) geändert werden. Schabhüser schließt sich in der Stellungnahme zudem Alkassars und Herpigs Ansicht bezüglich des CISO Bund an. Die unabhängigere Aufstellung des BSI gehe notw endigerweise damit einher, dass der Bund die “gesamtverantwortliche Rolle des geplanten CISO Bund” an das Amt übertrage. Vielleicht ist damit alles gesagt. Jedenfalls stellte an diesem Tag keines der Mitglieder des Digitalausschusses Fragen an den BSI-Vizepräsidenten.
“In Deutschland deutlich erschwert”
“Dies widerspricht dem Ziel einer einheitlichen Durchsetzung europäischen Rechts und steht nicht im Einklang mit der DSGVO”, kritisiert Kamp. Bußgelder gegen juristische Personen ent s prächen den Regeln der Datenschutz-Grundverordnung (DSGVO) und des EU-Rechts.
“Gerade bei großen Konzernen ist der Nachweis einer persönlichen Verursachung in der Unternehmensleitung häufig kaum zu führen.” Das sah wohl auch die
Datenschützerinnen und Datenschützer erwarten eine wegweisende Entscheidung vom Europäischen Gerichtshof. Foto: BS/Gerichtshof der Europäischen Union
Berliner Staatsanwaltschaft so und brachte im Einvernehmen mit der Landesdatenschutzbeauftragten eine Beschwerde ein. Damit ist das Verfahren beim Berliner Kammergericht. Dieses hat die wesentlichen Rechtsfragen dem Europäischen Gerichtshof (EuGH) zur Vorabentscheidung vorgelegt. Die Datenschutzkonferenz fordert den EuGH auf, im Sinne der Berliner Datenschutzbeauftragten zu entscheiden. In einer Stellungnahme schreibt das Gremium der Datenschutzaufsichtsbehörden: Für ein DSGVOBußgeld bedürfe es rechtlich gesehen “nur der Feststellung, dass Mitarbeitende des Unternehmens einen Verstoß gegen die DSGVO begangen haben, ohne dass die konkret handelnden Mitarbeitenden ermittelt werden oder Leitungspersonen des Unterneh men s sein müssen.”
Alles andere wäre ineffektiv. Zudem sei es nach ihrer Einschätzung nicht notwendig, dass der Pflichtverstoß schuldhaft begangen wurde. Eine objektive Zuordnung eines Datenschutzvergehens zu einem Unternehmen solle reichen.
Grundlegende Weichenstellung
EuGH-Grundsatzentscheidung zu DSGVO-Bußgeldern erwartet (BS/bhi) Der Europäische Gerichtshof (EuGH) hat mündlich über eine Grundsatzfrage verhandelt: Müssen Datenschutzbehörden einer natürlichen Person eine Ordnungswidrigkeit nachweisen, um Bußgelder gegen ein Unternehmen verhängen zu dürfen? Anlass ist ein Bußgeldverfahren gegen die Deutsche Wohnen. “Die Sanktionierung von Datenschutzverstößen durch Unternehmen ist in Deutschland gegenüber anderen EU-Mitgliedstaaten derzeit deutlich erschwert”, klagt Meike Kamp. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte im Jahr 2019 ein Bußgeld in Höhe von 15,4 Millionen Euro gegen die “Deutsche Wohnen” verhängt. Das Unternehmen speichere ausufernd Mieterdaten. Das Problem dabei: Die Berliner Datenschutzbeauftragte verhängt e das Bußgeld gegen die juristische Person, welche das Unternehmen führt. Im deutschen Recht gelten Datenschutzverstöße jedoch als Ordnungswidrigkeiten. Diese können nach deutscher Auffassung nur von natürlichen Person begangen werden. Deshalb setzen Datenschutzbußgelder nach Ansicht des Berliner Landgerichts voraus, dass die Datenschutzbeauftragte eine verantwortliche natürliche Person identifiziert. In der Folge stellte das Berliner Landgericht das Verfahren gegen die “Deutsche Wohnen” ein.
“Die Entscheidung in diesem Verfahren wird für Deutschland eine grundlegende Weichenstellung bedeuten”, sagt Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein und Vorsitzende der Datenschutzkonferenz für das Jahr 2023. Die Datenschutzbeauftragten warten gespannt auf den Ausgang des Verfahrens.
“Das Verfahren vor dem EuGH wird hoffentlich in dieser Frage die erforderliche Rechtssicherheit für Unternehmen und Aufsichtsbehörden schaffen”, sagt die Berliner Datenschutzbeauftragte Kamp.
Die “Deutsche Wohnen” hat sich auf Anfrage nicht zu dem Verfahren geäußert.
Die ZCB wird acht. Für das Bayerische Staatsministerium der Justiz ist die Zentralstelle eine Erfolgsgeschichte. Sie begann mit zwei Staatsanwälten in einem provisorischen Büro außerhalb des Justizgebäudes in Bamberg. Einer der beiden war Lukas Knorr. Heute steht er als Leitender Oberstaatsanwalt an der Spitze der Zentralstelle. Im Jahr 2015 legten er und sein Kollege den Grundstein für die ZCB. Sie leiteten damals 500 Verfahren ein. Allein im letzten Jahr waren es hingegen schon über 15.000. Inzwischen arbeiten 22 auf Cyber Crime spezialisierte Staatsanwältinnen und Staatsanwälte in der Zentralstelle. Hinzu kommen vier IT-Forensiker.
Für Ermittlungen gegen Kinderpornografie und sexuellen Missbrauch im Internet gründete das bayerische Justizministerium zudem das “Zentrum zur Bekämpfung von Kinderpornografie und sexuellem Missbrauch von Kindern im Internet” (ZKI) unter dem Dach der ZCB.
Neue Tatfelder am Horizont
“Auf den Erfolgen bislang können wir uns nicht ausruhen”, betont der Bamberger Generalstaatsanwalt Wolfgang Gründler Die Dynamik bleibe hoch. Gemeinsam mit den neuen Technologien könnten die Ermittlerinnen und Ermittler schon neue Deliktfelder am Horizont sehen. “Straftäter sind meist die ersten, die technische Neuerungen für sich entdecken”, sagt Gründler. Als Beispiele nennt er Non
Dunkelfeldquote ist erheblich
Bayern wirbt für vorsorgliche Datenspeicherung
(BS/Benjamin Hilbricht) Laut der Polizeilichen Kriminalstatistik (PKS) liegt die Cyber Crime-Aufklärungsquote bei rund 30 Prozent. Die Aufklärungsquote der Zentralstelle Cybercrime Bayern (ZCB) liege deutlich darunter, vermutet deren Leiter. Als Gegenmittel fordert der bayerische Justizminister Georg Eisenreich (CSU) die Vorratsdatenspeicherung.
Fungible Tokens (NFTs) und das Metaversum.
“Unser Cyber-Strafrecht ist leider nicht auf der Höhe der Zeit”, kritisiert der bayerische Staatsminister der Justiz. “Wir sind Jahrzehnte hinterher.” Ei senreich bemängelt, dass Straftaten im digitalen Raum teilweise mit deutlich niedrigeren Strafmaßen versehen seien als Vergleichbares im Analogen. Zumindest müsse der Gesetzgeber die Strafmaße einander angleichen.
Verkehrsdatenspeicherung
Zudem bricht Eisenreich eine Lanze für die Vorratsdatenspeicherung. Diese Regelung verpflichte Telekommunikationsanbieter, Verkehrsdaten wie IP-Adressen zu speichern. Über solche Daten können Ermittlerinnen und Ermittler herausfinden, wer welche Daten abgerufen hat Der Europäische Gerichtshof (EuGH) hatte im September 2022 entschieden, dass eine anlasslose Speicherung von IP-Adressen unzulässig sei. “Aber er hat Spielräume eröffnet”, unterstreicht der Staatsminister. Bei schweren Straftaten wie sexuellem Kindesmissbrauch sei eine vorsorgliche Datenspeicherung möglich.
Der bayerische Staatsminister der Justiz, Georg Eisenreich (CSU), bei der Pressekonferenz zum achten Geburtstag der Zentralstelle Cybercrime Bayern. Screenshot: BS/Schubert
“Ich habe kein Verständnis dafür, dass die Bundesregierung und der Bundesjustizminister hier immer wieder blockieren und wirkungslose Instrumente wie das Quick-Freeze-Verfahren vorschlagen”, kritisiert der CSUStaatsminister. Bundesjustizminister Marco Buschmann (FDP) solle sich mit Staatsanwältinnen und -anwälten aus dem ZCB und ZKI unterhalten und sich über die Arbeitsebene informieren.
Der Bamberger Generalstaatsanwalt Wolfgang Gründler schließt sich dieser Forderung an. Quick Freeze laufe oft ins Leere. Denn Meldungen über Kinderpornografie kämen zum Beispiel aus den USA. Die gemeinnützige Organisation National Center for Missing & Exploited Children meldet den dortigen Behörden viele Fälle. Wenn die US-Behörden dabei IP-Adressen aus Deutschland ermitteln, leiten sie diese an die zuständigen Stellen weiter. Viele große deutsche Verfahren gehen auf diese Meldungen zurück.
“Wenn die Behörden Kenntnis von den Straftaten erlangen, sind die derzeit regelmäßig nur für sieben Tage gespeicherten Daten jedoch oft bereits gelöscht”, fasst Eisenreich zusammen. “Wo nichts an Daten gespeichert ist, lässt sich auch nichts einfrieren.”
Um dem entgegenzuwirken, habe Bayern im November 2022 eine Initiative in den Bundesrat eingebracht. Die Bundesregierung solle Spielräume zur Speicherung von IP-Adressen nutzen.
KiPo-Ermittlungen der ZCB
Im Gegensatz zu seinen Vorgesetzten hält sich Knorr mit Forderungen zurück. Der Leiter der ZCB erzählt aber von einem
Zero-Trust-Architektur: Vertraue nie, überprüfe immer
Ansätze für eine digitale Transformation der öffentlichen Verwaltung nach dem Wegfall traditioneller Sicherheitsgrenzen
(BS) Für die Digitalisierung der Verwaltung müssen neben den personellen auch infrastrukturelle Herausforderungen gelöst werden. HPE Aruba Networking setzt dabei vor allem auf Automatisierung von Prozessen und einen Zero-Trust-Ansatz. Ein Interview von Uwe Proll mit Katja Herzog und Lars Hartmann von HPE Aruba Networking.
Proll: Aktuell fehlt es an infrastrukturellen Voraussetzungen, um di e D igitalisierung in der Verwaltung Realität werden zu lassen. Wie bewerten Sie die derzeitige Situation?
Herzog: Die Bundesregierung ist mit dem Digitalpakt und dem KHZG sehr aktiv geworden und möchte einen Vorschub in der Digitalisierung leisten. Das kann allerdings nur ein Anfang sein. Es zeigt sich schon jetzt, dass man beim zweiten Digitalpakt prüfen muss, wie der Betrieb der Infrastruktur gewährleistet werden kann. Mit einer Anschaffung allein ist es nicht getan. Ein mittelständisches Unternehmen mit 6.000 Mitarbeiterinnen und Mitarbeiter ist ja auch nicht ohne Personal in der IT vorstellbar. Es muss klar werden, dass Aufbau und Betrieb von IT-Infrastrukturen kein Hobby sind. Dafür müssen Fachkräfte ausgebildet werden. Wir merken auch, dass die Beschaffung ins Stocken gerät, weil Ausschreibungen nicht lanciert werden und zu kleinteilig agiert wird. Was aber positiv zu vermerken ist: Die Entscheiderinnen und Entscheider haben al l erdings verstanden, dass Enterprise-Lösungen für die Digitalisierung der öffentlichen Verwaltung alternativlos sind. Aus diesem Grund müssen sichere, flexiblere, standardisierte und zukunftsfähige Lösungen gesucht werden.
Hartmann: Des Weiteren wachsen die Anforderungen an die IT-Fachkräfte, ohne das Budget in gleichem Maße anzupassen. Wir als Hersteller konzentrieren uns insbesondere auf Automatisierung. Wir haben einen großen Fokus auf Forschung und E ntwicklun g der Künstlichen Intelligenz (KI) gesetzt, wo wir den Betreibern der Netze an der Seite stehen und einen proaktiven Netzwerk-Betriebsmodus etablieren können. So werden Probleme schon erkannt, bevor die Nutzer dies merken und können oft behoben werden, ohne viel Aufwand für das IT-Personal. Die Folge: eine hervorragende “User Experience”.
Proll : Wie gewappnet sehen Sie die Verwaltung im Bereich IT-Security?
Hartmann: Auch die öffentliche Verwaltung löst sich teilweise vom Konzept des Zwiebelprinzips, der Implementierung von Si cherhei tsmechanismen am Netzwerkperimeter. Das lautet: Innerhalb des Rathauses ist alles sicher und nur die Kommunikation von und nach außen muss abgesichert werden. Dadurch, dass Mitarbeiterinnen und Mitarbeiter unter anderem ihre eigenen Geräte mit in die Netzwerke bringen und zunehmend auch Geräte zur Gebäudesteuerung und Überwachung eingebracht werden, muss eine Mikrosegmentierung und -profilierung im Netzwerk vorangetrieben werden.
Proll: Ist das mobile Arbeiten auch eine sicherheitstechnische Herausforderung?
Hartmann: Nein. Mit unserem Lösungsportfolio können wir alle Funktionalitäten abbilden. Die
Nutzererfahrung ist für die Mitarbeiterinnen und Mitarbeiter der Verwaltung immer die gleiche, egal ob sie von zu Hause, dem Bürgeramt oder dem Rathaus arbeiten. Diese Flexibilität unterstützen wir. Die IT hat dennoch den gleichen Durchgriff, sowohl was Sicherheit und Regelwerke als auch Management betrifft.
Herzog: Ich möchte kurz auf die Corona-Pandemie als Treiber dieser Entwicklung hinweisen. Hierdurch wurden alte Strukturen oft aufgebrochen. Vor einiger Zeit wurde WLAN noch komplett abgelehnt, mittlerweile ist dies bei den meisten Institutionen problemlos nutzbar. Hier wurden Dinge auf den Weg gebracht, die vor drei Jahren noch unvorstellbar waren.
Proll: Im digitalen infrastrukturellen Umfeld gibt es viele technische Devices, die im Netz agieren. Wie werden diese gemanagt?
Hartmann: Das Zauberwort ist Zero Trust. Grundsätzlich gilt: Jedes Gerät, das um Zugang bittet, wird erst mal überprüft. Über eine Profilierung des Gerätes, zusammen mit Korrelationen von weiteren Daten, wird über einen Zugang entschieden. Es wird geprüft, welche Netzwerksegmente für die Userinnen
Verfahren im Jahr 2019. Ein Mann hatte mehrere Jungen im Alter bis sechs Jahren schwer missbraucht. Die ZCB konnte ein Verfahren gegen ihn einleiten, an dessen Ende der Beschuldigte zu elf Jahren Freiheitsstrafe verurteilt wurde. “Dieses Verfahren zeigte, wie wichtig unsere Aufgabe ist, aber es belastete unsere Kolleginnen und Kollegen sehr”, sagt Knorr. Nicht alle Verfahren im Bereich Kinderpornografie führt die ZCB selbst. Wenn ein Verfahren keine technischen Spezialkenntnisse erfordert, leitet sie es an die zuständige Staatsanwaltschaft vor Ort weiter. Die ZCB ermittelt dagegen viel bei komplizierten Darknet-Fällen. “Typischerwei- se zeigen sich die Täter bei der er st en Vernehmung erstaunt, dass wir sie trotz der Verschleierung durch Darknet oder VPN gefunden haben”, lächelt Knorr Aufklärungsquote erheblich geringer Dennoch sagt der Leitende Oberstaatsanwalt: “Die Dunkelfeldquote ist erheblich.” Obwohl es Forschung dazu gebe, “sind die Zahlen meines Erachtens nicht sehr belastbar”. Was Ermittlungserfolge angeht, geben Polizeiliche Kriminalitätsstatistiken einen Wert von etwa 30 Prozent der Fälle an. “Aus unserer Warte liegt die Aufklärungsquote deutlich darunter”, erklärt der Leiter des ZBC aber.
Selbst bei den eingeleiteten Verfahren richte sich etwa die Hälfte gegen unbekannt, ergänzt Staatsminister Eisenreich. Deswegen seien Ermittlungsbefugnisse wie die Verkehrsdatenspeicherung so entscheidend. “Auch ich will keinen Überwachungsstaat und keinen gläsernen Bürger”, sagt Eisenreich dann noch.
Lösegeldeinnahmen sinken
Zwei Faktoren besonders entscheidend (BS/sp) 2022 war kein gutes Jahr für Cyber-Kriminelle – zumindest was die Zahlung von Lösegeld anging. Die Gesamteinnahmen aus Ransomware-Angriffen ging von 765,6 Millionen US-Dollar aus dem Jahr 2021, auf etwa 456,8 Millionen US-Dollar im letzten Jahr zurück, vermeldete das amerikanische Blockchain-Analyseunternehmen Chainalysis. Betroffene reagieren seltener auf Lösegeldforderungen.
und User bzw. das Device freigeschaltet werden können. Auch dafür haben wir mittels KI eine Datenbank erstellt, bei der wir auch bei unbekannten Geräten eine Profilierung durchführen können. Des Weiteren werden die Zugangsrechte fortwährend angepasst, zum Beispiel wenn ein USB-Stick in einen Laptop gesteckt wird. Dann können spontan bestimmte Rechte für Geräte oder User wieder entzogen werden.
Proll: Aber ist die Zero Trust Policy nicht auch mit erheblichen Mehrkosten verbunden?
Hartmann: In all unseren Access Points ist eine Policy Enforcement Firewall enthalten. Wir sind in der Lage, diese Mikrosegmentierung aus unserer Cloud-Management-Plattform Aruba Central ohne Zusatzkosten einzusetzen. Es ist erst mal ein Konzept und eine Philosophie, die bei der Planung, Implementierung und beim Betrieb berücksi cht igt und umgesetzt werden muss. Die muss nicht mit signifikanten Zusatzinvestitionen in Software, Equipment und Personal einhergehen, wenn es gut und stringent gemacht wird.
Herzog: Aber selbstverständlich stecken dort Arbeit und Aufwand drin, die dementsprechend entlohnt werden müssen. Vor allem bei Produkten, die kostenfrei zu verwenden sind, bin ich der Ansicht: Was nichts kostet, hat oft keinen Wert. Zumindest im Bereich IT-Sicherheit. Aber unsere Erfahrung ist auch, dass die öffentliche Verwaltung flexibler und aufnahmebereiter geworden ist. Durch unsere eigenen System Engineers sind wir auch in der Lage, allen Interessierten einen Proof-of-Concept anzubieten. Danach kann über eine Investition in die Lösung entschieden werden.
Obwohl die Anzahl an Ransomware-Angriffen nicht rückläufig sind, verringerten sich die geleisteten Lösegeldzahlungen 2022 erheblich.
Die Untersuchungen des Unternehmens zeigen, dass die Opfer von Ransomware-Angriffen mit den Jahren immer weniger bereit waren, auf Lösegeldforderungen einzugehen. Während 2019 noch durchschnittlich 76 Prozent der Angegriffenen auf eine Lösegeldzahlung reagiert haben, sind es im letzten Jahr nur noch 41 Prozent gewesen. Diese Zahlen zeigen, dass der Rückgang des erzielten Lösegelds nicht mit der schwindenden Anzahl von Angriffen, sondern mit der Unwilligkeit der Opfer, Lösegeld zu zahlen, zusammenhängt.
Angst vor Sanktionierung
Im Bericht wird diese Erkenntnis vor allem am Beispiel der Ransomware-Gruppe Conti deutlich. 2021 erwirtschaftete die Hacker-Gruppe mehr Geld als andere Gruppierungen. Diese Entwicklung änderte sich nach dem brutalen Angriffskrieg Russlands gegen die Ukraine. In einem Blog-Post vermeldete die Ransomware-Gruppe am 25. Februar 2022 ihre Unterstützung für die russischen Streitkräfte:
“Sollte irgendwer auf die Idee kommen, eine Cyber-Attacke oder andere kriegerische Aktivitäten gegen Russland zu unternehmen, werden wir alle möglichen Ressourcen nutzen, um die Kritische Infrastruktur des Feindes zu attackieren”.
Nachdem Presseberichte gezeigt haben, dass Conti fest mit dem russischen Geheimdienst FSB verwurzelt ist, änderten sich die Vorgehensweisen der von Ransomware betroffenen
Foto: BS/Tumisu, pixabay.com
Unternehmen. Da viele Führungspersonen des FSB durch westliche Staaten sanktioniert wurden, wuchs die Angst davor, bei einer Lösegeldzahlung an Conti ebenfalls von Sanktionen betroffen zu werden, resümiert Chainalysis.
Cyber-Versicherungen nehmen zu
Neben den Sanktionsängsten wird auch die Zunahme von Cyber-Versicherungen als Grund für die geringer werdenden Lösegeldzahlungen genannt. Die Ransomware-Expertin Allan Liska erklärte im ChainalysisBericht, dass Cyber-Versicherungsfirmen klar definierten, wofür ein mögliches Versicherungsgeld, das nach einem Cyber-Angriff gezahlt werden könne, verwendet werden dürfe. Sie erklärte, dass Lösegeldzahlungen zumeist nicht darunter fielen. D es Weiteren wird die Duldung von Lösegeldzahlungen immer mehr infrage gestellt. So hatte das US-Finanzministerium 2021 ein Gesetz verabschiedet, das die Zahlung von Lösegeld unter Strafe stellt. Auch in Deutschland bewegt sich die Debatte. Im Juni 2022 wurde ein offener Brief von IT-Sicherheitsexpertinnen und -experten veröffentlicht, der forderte, das Zahlen jeglichen Lösegeldes bei Cyber-Angriffen einzustellen:
“Wenn Opfer von Ransomware das geforderte Lösegeld nicht zahlen würden, dann würde dieses Geschäftsmodell im Keim erstickt”, hieß es damals im Statement der Beteiligten.