Die Pläne der Bundesregierung, die digitalen Ermittlungsbefugnisse von Sicherheitsbehörden auszuweiten, sind nach Meinung der Organisation AlgorithmWatch europarechtswidrig und stehen im Konflikt mit verfassungsrechtlichen Mindestanforderungen und datenschutzrechtlichen Grundsätzen.

Dabei kommt AlgorithmWatch – wie auch schon zuvor die Gesellschaft für Freiheitsrechte (GFF) – zu dem Schluss, dass man dieses Gesetz nicht mit ein paar Änderungen verbessern könnte. Die verfassungs- und menschenrechtliche Unverhältnismäßigkeit lasse „ausschließlich die Empfehlung zu, die Gesetzentwürfe zurückzuziehen und ein grundsätzliches gesetzliches Verbot des Einsatzes biometrischer Massenerkennungssysteme für öffentliche und private Stellen einzuführen“, so die Zusammenfassung der Stellungnahme zum Gesetz (PDF).

„Flächendeckende Verfolgung aller Menschen im digitalen Raum“

Die schwarz-rote Koalition plant in ihrem „Sicherheitspaket“ einerseits eine biometrische Massenfahndung im Internet zu erlauben sowie andererseits die Zusammenführung und Auswertung polizeilicher Daten mittels automatisierter Datenbankanalyse. Die Stellungnahme der Nichtregierungsorganisation fokussiert sich auf die biometrische Fahndung.

Diese biometrische Internetfahndung sieht die NGO sehr kritisch:

Der biometrische Abgleich ermöglicht die Identifizierung von Personen im öffentlichen Raum und im Internet auf Basis biometrischer Merkmale und schafft somit die technischen Voraussetzungen für eine flächendeckende Verfolgung aller Menschen im (digitalen) öffentlichen Raum.

Laut AlgorithmWatch berührt die Überwachungsmaßnahme zwangsläufig die Grundrechte aller Menschen, sie sei weder erforderlich noch verhältnismäßig. Betroffen seien dabei insbesondere die Grundrechte auf informationelle Selbstbestimmung und freie Meinungsäußerung.

Rückschlüsse auf politische Einstellungen

Die NGO kritisiert, dass die Maßnahme heimlich erfolgt und eine extrem hohe Streubreite hat: Es seien einfach alle Menschen betroffen, deren Gesichtsbilder im Internet zu finden sind. Das ist heute ein großer Teil der Bevölkerung. Zudem gebe es erhebliche Diskriminierungsrisiken, wenn sensible Daten erfasst und verarbeitet werden, wie Aufnahmen von Demonstrationen, Parteiveranstaltungen, Pride-Events, Gewerkschaftskundgebungen oder Gottesdiensten. Solche Aufnahmen lassen Rückschlüsse zu auf politische Haltungen, Parteizugehörigkeit, sexuelle oder religiöse Einstellungen.

Darüber hinaus könnten durch die biometrische Internetfahndung auch Bilder aus dem Kernbereich privater Lebensführung ausgewertet werden wie etwa Kindergeburtstage oder private Familienfeiern. Dieser Kernbereich ist verfassungsrechtlich besonders geschützt. Die öffentliche Verfügbarkeit der Daten, die für einen Abgleich herangezogen werden, ändere nichts daran, dass Schutzbereiche der Grundrechte berührt sind.

In der Stellungnahme verweist AlgorithmWatch darauf, dass das Bundesverfassungsgericht bei Kfz-Kennzeichen, die deutlich weniger sensibel als biometrische Merkmale seien, hohe verfassungsrechtliche Anforderungen aufgestellt habe.

Auch seien die Anforderungen für die geplante massenhafte Verarbeitung biometrischer Daten zu unspezifisch sowie die Einsatzzwecke und Tatbestandsmerkmale zu breit und nicht gewichtig genug, als dass eine grundrechtskonforme Anwendung realistisch erscheine. Hier verweist die Organisation auf den Straftatenkatalog des § 100a Abs. 2 StPO , der regelmäßig erweitert und angepasst werde und sich deshalb nicht zur klaren Begrenzung der Maßnahmen auf schwerwiegende Straftaten eigne. Diese Kritik hatte auch die GFF geäußert.

Technische Ausgestaltung unklar

Der Gesetzentwurf lege außerdem „völlig unzureichend“ dar, wie die Überwachungsmaßnahme technisch vonstattengehen soll. Einerseits sollen die die im Rahmen des biometrischen Abgleichs erhobenen und verarbeiteten Daten nach dessen Durchführung „unverzüglich” gelöscht werden, auf der anderen Seite bleibe der Gesetzentwurf schuldig, wie die Sache technisch funktionieren soll.

Klar ist: Für einen biometrischen Abgleich braucht es eine Datenbank, die mit einem gesuchten Bild verglichen werden muss. Bisherige Systeme von privaten Firmen zur Gesichtssuche im Internet wie beispielsweise PimEyes funktionieren so, dass sie meist illegal alle möglichen Gesichtsbilder aus dem Internet sammeln, auswerten und die biometrischen Merkmale sowie die Fundstellen und Metadaten und Zusatzinformationen dieser Bilder in einer Datenbank hinterlegen. Suche ich nun nach einem Gesicht, werden die biometrischen Merkmale dieses Gesichts mit den in der Datenbank hinterlegten Daten abgeglichen – und die jeweiligen Ergebnisse ausgespuckt.

Bundesregierung will biometrische Fotofahndung im Netz

Ein durch AlgorithmWatch beauftragtes Gutachten hat festgestellt, dass ein biometrischer Abgleich zwischen Bildern gesuchter Personen und im Internet verfügbaren Fotos ohne Verwendung einer Datenbank nicht sinnvoll umsetzbar ist. Für die NGO ist damit klar, dass das Vorhaben verboten ist, weil die KI-Verordnung der EU eine mittels Künstlicher Intelligenz erstellte Gesichterdatenbank verbieten würde.

Ein Gutachten der Wissenschaftlichen Dienste des Deutschen Bundestages kommt allerdings zu einem leicht anderen Schluss. Demnach verbiete die KI-Verordnung nicht den Aufbau einer Datenbank, sondern nur das „ungezielte Auslesen von Gesichtsbildern mittels KI […], da es die Privatsphäre und den Datenschutz der Betroffenen erheblich beeinträchtigt und das Gefühl ständiger Überwachung erzeugt“.

Das in der KI-Verordnung festgelegte Verbot gelte demnach nur dann, wenn die Strafverfolgungsbehörden die Datenbanken mit Hilfe von KI-Systemen erstellen. Werden dafür keine solchen Systeme verwendet, greife die Verordnung nicht. Genau dieses Schlupfloch könnte die Bundesregierung nutzen wollen, sie lässt aber offen, wie das technisch funktionieren soll.

Auslagerung an Private als Schlupfloch?

AlgorithmWatch kritisiert, dass der Gesetzentwurf eine Art Auslagerungsbefugnis enthalte, für den Fall, dass Polizei- und Strafverfolgungsbehörden den Abgleich technisch nicht selbst durchführen können. Sie erlaubt ausdrücklich eine Übermittlung von Daten zum Zweck eines biometrischen Abgleichs an öffentliche Stellen und private Anbieter sowohl im Inland als auch im Ausland sowie innerhalb wie außerhalb der Europäischen Union.

Auch das könnte ein Schlupfloch sein. Die NGO sagt dazu: „Eine Erlaubnis für solch eine Auslagerung des biometrischen Abgleichs ins (Nicht-EU-)Ausland führt sämtliche durch die Gesetzestexte eingeführten Beschränkungen ad absurdum.“ Damit würde  der in den Gesetzentwürfen beschriebene Vorgang des Löschens aller verarbeiteten Daten nach jeder einzelnen Suchanfrage zur theoretischen Fassade, heißt es in der Stellungnahme. „Aus diesem Grund, so die Vermutung, wird auf die Übermittlung von Daten an Dritte verwiesen, welche den Abgleich im Auftrag deutscher Behörden durchführen würden. Ins Spiel kommen könnten dann solche Anbieter wie PimEyes oder Clearview AI.

Der Staat dürfe aber, so die Stellungnahme, selbst keine rechtswidrigen Angebote Dritter nutzen. „Ein Delegieren der Umsetzung ins Ausland stellt entsprechend keine europa- und grundrechtskonforme Lösung dar.“ Dazu komme, dass derart  schwerwiegende Grundrechtseingriffe nicht an private Unternehmen oder öffentliche Stellen in Drittstaaten ausgelagert werden dürften.

Die Zeiten, in denen organisierte Kriminalität (OK) als starr strukturierte Gruppierung agierte, gehört der Vergangenheit an. In ihrer Antwort auf eine Anfrage der AfD-Bundestagsfraktion zeichnet die Bundesregierung das Bild einer hochflexiblen, funktional organisierten kriminellen Ökonomie. Das Schlagwort lautet „Crime-as-a-Service“ (CaaS): Kriminelle Gruppen gehen dazu über, spezialisierte Dienste einzukaufen, um getrennte Teilprozesse ihrer Taten abzudecken.

Anstatt alle Kompetenzen im eigenen Haus zu bündeln, agieren moderne Täterstrukturen laut der Auskunft konspirativ, international vernetzt. Sie nutzten modernste Technologien sowie Messenger-Dienste, um sich regelmäßig neue, profitable Handlungsfelder zu erschließen.

Supermarkt der Schattenwirtschaft

Im Bereich der Cyberkriminalität ist dieses Modell zum Standard geworden. Dem federführenden Innenministerium zufolge ist CaaS ein elementarer Bestandteil dieses Sektors. In der digitalen Underground Economy werde ein Großteil der für Cyberattacken benötigten Komponenten als Dienstleistung angeboten. Das senke Eintrittshürden: Auch technisch weniger versierte Akteure würden in die Lage versetzt, komplexe Angriffe durchzuführen.

Prominentes Beispiel ist „Ransomware-as-a-Service“. Dabei vermarkten spezialisierte Entwickler ihre Schadsoftware und stellen sie „Affiliates“ gegen Gebühr oder eine Beteiligung am erpressten Lösegeld zur Verfügung.

Ein Faktor für Planung, Koordination und Verschleierung dieser Aktivitäten ist der Einsatz digitaler Kommunikations- und Infrastruktursysteme. Die Exekutive betont, dass diese strukturellen Entwicklungen systematisch erfasst und analysiert werden müssten, um eine wirksame strategische Bekämpfung zu ermöglichen.

Gewalt auf Bestellung: Perfides Outsourcing

Die Auslagerung von Tatbeiträgen beschränkt sich nicht auf die digitale Welt. Die Regierung berichtet von einer Zunahme von „Violence-as-a-Service“. Dabei werden teils schwerste Auftragstaten wie Drohungen unter Verwendung von Explosivstoffen, physische Gewalt oder sogar Tötungsdelikte über digitale Plattformen koordiniert.

Erschreckend sei vor allem die Rekrutierung, heißt es: Insbesondere Minderjährige und junge Erwachsene würden für diese Aufgaben angeworben. Schweden gilt als stark betroffen und hat ein vierstufiges Rekrutierungsmodell identifiziert, das vom Auftraggeber über Vermittler bis zum ausführenden Täter reicht.

Die Hintermänner nutzen gezielte Strategien zur Risikominimierung, um hochrangige Mitglieder der Netzwerke zu schützen und das Entdeckungsrisiko zu verringern. Zudem dient die Ansprache Jugendlicher der Kostenminimierung, da diese oft geringere Entlohnungen akzeptieren oder leichter manipuliert und ausgebeutet werden können. Zugleich ermöglichen die Kontaktnetzwerke dieser jungen Täter kriminellen Gruppen neue Zugänge zu Abnehmern etwa von Drogen und fördern die territoriale Verankerung. Die Trennung von Planung, Steuerung und operativer Durchführung erschwert die Zurechenbarkeit von Verantwortung.

Professionelle Geldwäsche und Identitätsbetrug

Daneben umfasst das Portfolio krimineller Dienstleister Angebote in den Bereichen Geldwäsche, Fälschungskriminalität oder die Bereitstellung technischer Infrastruktur wie verschlüsselter Messenger. Zwar waschen laut einer Europol-Studie noch immer 96 Prozent der untersuchten Netzwerke ihre Erträge selbst. Doch der Zugriff auf spezialisierte externe Dienstleister wird beliebter. Diese Profis nehmen inkriminierte Vermögenswerte an und zahlen dafür „sauberes“ Geld an ihre Kunden aus.

Ferner verwenden OK-Mitglieder verstärkt gefälschte oder gestohlene Identitätsdokumente, um unentdeckt zu bleiben und ihre Aktivitäten über lange Zeiträume fortzusetzen. Auch dafür werden teils externe Angebote genutzt, sofern die Gruppen diese Leistungen nicht selbst erbringen können. Das korrespondiert mit einem steigenden Gewaltpotenzial, was Konflikte zwischen rivalisierenden Gruppen vermehrt in den öffentlichen Raum trägt. Das Innenressort sieht in dieser schleichenden Unterwanderung von Staat und Gesellschaft durch OK-Strukturen ein erhebliches Gefahrenpotenzial.

Strategische Gegenmaßnahmen

Die Antwort der Sicherheitsbehörden besteht aus mehr internationaler Zusammenarbeit. Ziel bleibt die Zerschlagung krimineller Strukturen. Dabei soll sichergestellt werden, dass Gruppierungen in finanzieller Hinsicht nachhaltig getroffen werden. Der Missbrauch staatlicher und gewerblicher Strukturen wird der Strategie nach durch enge Kooperation verschiedener Institutionen verhindert. Die Regierung unterstreicht, dass eine Kombination repressiver und präventiver Ansätze nötig sei.

Auf europäischer Ebene koordiniert den Kampf die European Multidisciplinary Platform Against Criminal Threats (Empact). Im laufenden Zyklus bis 2029 liegt ein Schwerpunkt auf der Identifizierung und Zerschlagung der bedrohlichsten kriminellen Netzwerke sowie von Personen in Schlüsselfunktionen. Deutschland integriert Erkenntnisse aus dieser Einschätzung in die strategische Bewertung der OK, um dem Phänomen der Gewaltdelegation und neuen digitalen Geschäftsmodellen begegnen zu können. Empact soll so helfen, einschlägige Netzwerke dauerhaft zu brechen.

(nie)

Zum wiederholten Mal ist Rockstar Opfer eines Cyberangriffs geworden: Der Entwickler des von vielen sehnsüchtig erwarteten Spiels GTA6 bestätigte, dass es einen Angriff auf seine Systeme gab und Daten entwendet wurden. Die bekannte Cybercrime-Gruppe ShinyHunters richtete derweil auf ihrer Webseite ein Erpresserschreiben an Rockstar.

Rockstar bestätigte Kotaku, „dass im Zusammenhang mit einer Datenpanne bei einem Drittanbieter auf eine begrenzte Menge an unwesentlichen Unternehmensdaten zugegriffen wurde.“ Der Vorfall habe keine Auswirkungen auf das Unternehmen oder seine Spieler.

Zugriff auf Snowflake

Die Cybergang ShinyHunters erklärte auf ihrer Webseite, sie habe Rockstars Snowflake-Instanzen mithilfe des Drittanbieter-Tools AnoDot kompromittiert. An Rockstar richtete sie die Forderung, bis zum 14. April in Kontakt zu treten und Geld zu zahlen, damit die erbeuteten Daten nicht publik werden. Wieviel die Cyberkriminellen fordern oder welche Daten sie besitzen, sagten sie in dem öffentlichen Statement nicht.

Mit AnoDot können Unternehmen unter anderem ihre Cloud-Kosten überwachen, auch Rockstar tut das. Das KI-Tool soll anhand zahlreicher gesammelter Daten ungewöhnliche Veränderungen erkennen, welche sich negativ auf die Einnahmen des Unternehmens auswirken könnten. Und der Vorfall bei Rockstar Games ist möglicherweise die Folge eines Cyberangriffs auf AnoDot, ebenfalls ausgeführt von ShinyHunters.

Cybersicherheitsvorfall bei AnoDot

BleepingComputer berichtete diese Woche über Probleme, die zunächst bei diversen Cloud- und SaaS-Anbietern auftraten, in deren Software sich das Tool einbinden lässt – etwa auch bei Snowflake. Das Unternehmen konnte das Problem schnell auf AnoDot zurückführen, da sich Angreifer mit AnoDot-Zugangsdaten in die Snowflake-Systeme einloggten.

BleepingComputer erfuhr aus mehreren Quellen, unter anderem von Snowflake, dass es bei AnoDot einen Sicherheitsvorfall gegeben hat. AnoDot selbst informiert auf einer Supportseite darüber, dass derzeit weltweit Probleme beim Abrufen von Datenproben auftreten. AnoDot nahm seine Datenkollektoren für die Dienste Snowflake, S3 und Kinesis demnach bereits am 4. April offline. Die Datenkollektoren sind auch weiterhin offline (Stand: Sonntag, 12. April, 14:55 Uhr).

Derweil läuft die Frist von ShinyHunters für Rockstar Games weiter. Die Bande ist berüchtigt und hat bereits zahlreiche Cyberangriffe durchgeführt, unter anderem stahl sie dabei Millionen von Nutzerdaten beim Konzertkartenshop Ticketmaster und dem Auto-Verkaufsdienstleister Carguru. Dass ShinyHunters jetzt an die Öffentlichkeit geht, könnte dafür sprechen, dass sie durchaus etwas gegen Rockstar in der Hand haben.

Es ist nicht das erste Mal, dass Cyberkriminelle bei Rockstar Daten entwenden. Bei einem anderen Cyberangriff 2022 erbeutete die Cybercrime-Gruppe Lapsus$ Gameplay-Videos von GTA6 und stellte diese ins Netz. Später wurde bekannt, dass der Angriff von einem Teenager ausgeführt wurde, der sich von einem Hotelzimmer aus mit einem Smartphone, einem Amazon Fire TV Stick und einem Fernseher Zugang zu den Cloud-Diensten verschaffte. Für den Angriff auf Rockstar Games wurde er auch angeklagt und verurteilt, zu dem Zeitpunkt war er 18 Jahre alt.

(nen)