Wer kennt es nicht: Auf einmal ploppt im virtuellen Postfach auf dem Handy oder Computer eine Mail auf, die einen auffordert, seine Zugangsdaten zu einem Shopping-Portal neu einzutippen oder vertrauliche Angaben einer Kreditkarte einzugeben. Betrugsversuche stehen im Internet an der Tagesordnung, Trickbetrüger werden von Tag zu Tag erfinderischer mit ihren Betrugsmaschen. Doch nicht nur Privatpersonen, sondern auch große Unternehmen sind nicht vor zwielichtigen Akteuren aus dem Netz gefeit, wie der Angriff auf Creos und Enovos wieder einmal gezeigt hat. Was aber versteckt sich genau hinter dem Begriff der Cyberkriminalität?
Cyberangriff auf Encevo
Die Encevo-Gruppe, zu der auch die Luxemburger Energieunternehmen Creos und Enovos gehören, ist in der Nacht vom 22. auf den 23. Juli Opfer einer Cyberattacke geworden. Das teilte das Unternehmen in einer Pressemitteilung am Montag mit. Der Zugang zu den Kundenportalen sei derzeit gestört, die Strom- und Gasversorgung aber zu keinem Zeitpunkt gefährdet. Auch der Notdienst sei weiterhin einsatzbereit.
Diese Frage für Luxemburg zu beantworten ist schwieriger als zunächst gedacht, denn: Den Strafbestand der Cyberkriminalität gibt es in Luxemburg nicht. „Im Strafgesetzbuch ist dieser Strafbestand nicht vorgesehen“, heißt es auch von der Pressestelle der Polizei auf eine entsprechende Tageblatt-Anfrage. Somit gebe es in der Hinsicht einen gewissen Interpretationsspielraum. „Cybercrime erstreckt sich von sogenannten Scams, bei denen Menschen Opfer einer Betrugsmasche werden, bis hin zu Erpressung im Falle eines gehackten Computers einer Privatperson oder großer Unternehmen.“ Für andere wiederum falle der Diebstahl des Smartphones bereits in die Kategorie Cybercrime. Genaue Statistiken zur Cyberkriminalität werden von der Polizei nicht geführt, weil die meisten diesbezüglichen Vergehen in anderen Kategorien aufgeschlüsselt werden, wie etwa Diebstahl oder Betrug. Zudem rechnet die Luxemburger Polizei damit, dass die Dunkelziffer um einiges höher liegt als die tatsächlich gemeldeten Straftaten.
Ein Umstand, der die Strafverfolgung natürlich nicht vereinfacht. „Die verschiedenen Phänomene werden durchaus ernst genommen und von einem Ermittlerteam innerhalb der Kriminalpolizei bearbeitet, das sich exklusiv mit solchen Fällen befasst“, sagt eine Sprecherin der Polizei. Da das Internet nicht an Landesgrenzen gebunden ist, ist eine grenzübergreifende Kooperation vonnöten. „In dem Kontext ist die Zusammenarbeit mit ausländischen Behörden besonders wichtig.“
Phishing an Nummer eins
Die jährliche Bilanz der Post zeigt, wie weit Cyberkriminalität in Luxemburg mittlerweile verbreitet ist. Cyber-Experten des Netzproviders haben letztes Jahr 720 Vorfälle registriert. Phishing – also das Beschaffen vertraulicher Informationen anhand von gefälschten Mails oder Webseiten – macht in Luxemburg laut Bericht mit 60 Prozent den Großteil der kriminellen Aktivitäten im Netz aus. An zweiter Stelle folgt mit 13 Prozent der Telefonbetrug, genannt Wangiri, bei dem das Opfer von einer ausländischen Nummer angerufen wird, bevor der Anruf getrennt wird. Ruft das Opfer die Nummer zurück, wird es mit einer Mehrwertnummer verbunden, das den arglosen Anrufer teuer zu stehen kommt.
Mit zehn Prozent stehen Scams an dritter Stelle. Ausgefeilte Attacken wie „Denial of Service“-Angriffe (DoS), die eine Webseite oder einen Dienst lahmlegen beziehungsweise kurzzeitig blockieren können, wurden in nur knapp fünf Prozent der Vorfälle festgestellt. Das Einschleusen von Schadsoftware, auch Malware genannt, ist ein vergleichsweise seltenes Delikt (2,22 Prozent).
Aufgrund des Ukraine-Krieges hatten Experten einen Anstieg an krimineller Cyberaktivität vorhergesagt. Eine Befürchtung, die sich zumindest im ersten Quartal dieses Jahres als nicht begründet erwiesen hat. 251 Vorfälle hat die Post im Januar, Februar und März festgestellt – und damit lediglich neun Vorfälle mehr als noch letztes Jahr im gleichen Zeitraum. Phishing-Versuche sind demnach auch 2022 die meist festgestellten Delikte im Netz.
Dass in Luxemburg eine gesetzliche Basis zum Umgang mit Cyberattacken fehlt, hat bereits zu Beginn des Ukraine-Krieges der Direktor des Luxemburger „Computer Emergency Response Team“ (GovCERT) kritisiert. Das Team um GovCERT-Direktor Paul Rhein soll staatliche Netzwerke und kritische Infrastruktur vor Angreifern schützen. „Eine offizielle Definition für den Begriff Cyberkrieg gibt es nicht“, sagte Rhein gegenüber dem Tageblatt. Die Grenze zwischen Cyberkriminalität und Cyberkrieg sei fließend. Regeln für Cyberattacken oder einen Cyberkrieg gibt es eigentlich keine. Zwar behandelt das Tallinn-Manual, eine juristische Studie darüber, wie sich internationales Recht auf den Cyberbereich auswirkt, das Problem. Das 2013 von einer Expertengruppe der NATO vorgestellte Papier ist jedoch nicht bindend.
Sie müssen angemeldet sein um kommentieren zu können