Bericht zur Zusammenarbeit von CSIRTs und Strafverfolgungsbehörden

Die ENISA hat einen Bericht vorgelegt, in dem die Zusammenarbeit zwischen Computer Security Incident Response Teams (CSIRTs) und Strafverfolgungsbehörden (LEAs) untersucht werden – hierbei speziell die Interaktion mit der Justiz (Staatsanwälte und Richter).

In der Analyse geht es um den rechtlichen und organisatorischen Rahmen, den Rollen und Pflichten von CSIRTs, LEAs sowie der Justiz, ihren erforderlichen Kompetenzen sowie Synergien und potenziellen Interferenzen bei ihren Aktivitäten im Zusammenhang mit ihren Reaktionen auf Cybervorfälle bzw. der Bekämpfung von Cyberkriminalität. Man findet eine detaillierte und aktualisierte Analyse, die sich auf sechzehn EU/EWR-Mitgliedstaaten konzentriert – darunter auch Deutschland, was hier im Blog aufgegriffen wird.

Das ENISA-Fazit

Die gesammelten Daten zeigen aus Sicht des ENISA-Reports insbesondere folgende Erkenntnisse auf (dazu Seite 7 im Report):

  • Die Gemeinschaften bemühen sich, Interferenzen zu vermeiden und versuchen, wirksame Partnerschaften zu schaffen und ihre Synergien zu nutzen, um sich gegenseitig bei der Bekämpfung der Cyberkriminalität zu unterstützen; allerdings kann es bei der Bearbeitung von Vorfällen und der Untersuchung von Cyberkriminalität zu Interferenzen kommen.
  • Die größte Herausforderung, die die befragten Experten bei der Zusammenarbeit mit den anderen Gemeinschaften erfahren haben, scheint nach wie vor die Schwierigkeit zu sein, manchmal „dieselbe Sprache zu sprechen“, insbesondere zwischen den CSIRTs (technisch) und den Justizbehörden (rechtlich).
  • Es gibt Beispiele für gemeinsame Schulungsaktivitäten, an denen hauptsächlich zwei Gemeinschaften beteiligt sind (CSIRTs und LEAs oder LEAs und die Justiz, insbesondere Staatsanwälte) und, seltener, alle drei Gemeinschaften, insbesondere in Form von gemeinsamen Übungen. Solche Aktivitäten tragen dazu bei, das Wissen und die Kompetenzen, die für die Reaktion auf Cyberkriminalität erforderlich sind, insgesamt zu verbessern.
  • Auch wenn die COVID-19-Pandemie keine nennenswerten Auswirkungen auf die Zusammenarbeit und Interaktion zwischen den drei Gemeinschaften und ihre Funktionsfähigkeit hatte, könnte sich der Mangel an Vernetzungsmöglichkeiten, die durch persönliche Treffen gefördert werden, langfristig auf die Beziehungen zwischen den drei Gemeinschaften auswirken, die hauptsächlich auf Vertrauen und persönlichen Kontakten beruhen.

Bewertung der Arbeit in Deutschland

Interessant sind die Bewertungen der Arbeit in Deutschland:

So soll es mehrere Synergien zwischen den verschiedenen Behörden geben, wobei das Cyber-AZ hierbei eine wichtige Rolle spielt. Dem Report ist zu entnehmen, dass die verschiedenen Behörden, die Teil dieses Zentrums sind (BSI, BKA, BW-KdoCIR, BBK, BPOL, BfV, MAD und BND) „eine tägliche Interaktion und Koordination bei der Bearbeitung und Behandlung von Fällen“ haben sollen. Weiterhin arbeiten die beteiligten Behörden bei der „Erstellung von Lageberichten zusammen, um die verschiedenen Aspekte eines Vorfalls aus der Sicht und im Rahmen der Zuständigkeit jeder Behörde zu erfassen“.

Es wird in der Analyse berichtet, ess es „einen täglichen Informationsaustausch [zwischen CSIRTs und LE] für laufende Untersuchungen und im Rahmen der Analyse von Projekten und der Angabe von Präventionsmaßnahmen“ gibt. So kann das BSI beispielsweise „Daten und Informationen aus verdächtigen Systemen wiederherstellen“, die auch zur Unterstützung von Ermittlungen der LE verwendet und „vor Gericht als Zeugenaussagen von BSI-Experten vorgelegt werden“ können.

Für die Verfasser des Reports scheint es überraschend zu sein, dass CSIRT-Personal nicht dauerhaft den Strafverfolgungsbehörden zugewiesen werden kann sondern diese nach der deutschen Strafprozessordnung entweder die Rolle eines Zeugen oder eines Sachverständigen erhalten:

Die CSIRT-Gemeinschaft kann den Strafverfolgungsbehörden helfen, wenn ein qualifizierter technischer Experte benötigt wird. Selbst wenn die kontaktierten CSIRTs nicht über qualifizierte technische Experten in ihrem Team verfügen, können sie die Strafverfolgungsbehörden unterstützen, da sie über zahlreiche Verbindungen in der technischen Gemeinschaft verfügen. Darüber hinaus können die CSIRTs die Strafverfolgungsbehörden unterstützen, indem sie auf zivile Organisationen und Nichtregierungsorganisationen zugehen, da diese besser in der Lage sind, diese Aufgabe zu erfüllen.

Im Report, Seite 39, frei übersetzt

Weiterhin bleibt als Hauptspannungsfeld während einer Untersuchung die Frage, wie mit einem Vorfall umgegangen werden soll:

  • Die Staatsanwaltschaft ist bestrebt, ordnungsgemäße gerichtliche Beweise zu sammeln,
  • während die CSIRTs den Vorfall aufarbeiten und das Problem lösen wollen.

Aus der Sicht der Staatsanwaltschaft dauert das Sammeln von Beweisen viel länger als die CSIRTs es wünschen würden. In jedem größeren Fall wird üblicherweise darüber diskutiert, was getan werden kann, um Beweise zu sammeln und den Erfassungsprozess so schnell wie möglich abzuschließen, um mit der CSIRT-Aktivität zur Entsperrung des Systems fortzufahren, so der Report. Dies lässt sich auf jeden Incident übertragen, man ringt ständig um die richtige Priorisierung zwischen Fortbestand der produktiven Phase und korrekter forensischer Aufarbeitung.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.