Prof. Dr. Woúter Stol war gestern bei uns am Department zu Gast mit einem Vortrag über Cybersafety. Er ist Professor an Open University of The Netherlands sowie an der NHL University of Applied Sciences Leeuwarden, wo er den den Lehrstuhl zu Cyber Safety innehat und die dortige Forschungsgruppe leitet. Er promovierte in Soziologie, war früher Polizeioffizier und ist auch heute noch Professor an der niederländischen Polizeiakademie.
Herr Stol ist auf Initiative des Zentrum für Interaktive Medien eingeladen worden, indem Frau Nicola Oudejans ihre niederländischen Kontakte erfolgreich genutzt hat. Woúter Stol hat diesen Impulsvortrag im Rahmen des Univ.-Lehrgangs MSc Online Media Marketing 3 gehalten. Der gestrige Besuch ist jedoch keine "Eintagsfliege" gewesen, sondern basiert bereits auf vielen Kooperationsgesprächen, die das Zentrum für Interaktive Medien unter Leitung von Dr. Klaus-Jürgen Heinrich bereits geführt hat. Ziel dabei ist es, dass das Studium zu Cyber Safety nach einem bereits erfolgreich implementierten niederländische Bachelor mit einem Masterprogramm an der Donau-Universität Krems fortgeführt werden kann. Aber selbstverständlich wird der von uns geplante Master auch offen für "Quereinsteiger" sein. Voraussichtlicher Start wird Sommer oder Herbst 2014 sein.
Ein Experiment – Live direkt für das Weblog mitschreiben
Dieser Artikel ist ein Experiment, weil ich ihn simultan zum Vortrag gleich direkt über mein iPad eintippe. Erst später (heute früh) habe ich diesen Beitrag durchgesehen und mit obiger Einleitung und den Gedanken zum Experiment (ganz unten) ergänzt. Alles was nun kommt bis zur letzten Überschrift, wurde direkt während des Vortrags getippt und nur einmal kurz nach Tippfehlern und Link-Verknüpfungen durchgesehen und korrigiert. Insbesondere bitte ich zu entschuldigen, dass ich in der Schnelle des Tippens häufig englische Begriffe nicht übersetzt habe.
Meine Aufzeichnungen sind selbstverständlich keine autorisierte Transkription oder Übersetzung des Vortrags. Ich habe – alleine schon aus zeitlichen Gründen beim Mitschreiben – gewisse Schwerpunkte gesetzt und natürlich auch meine eigenen Worte verwendet. Der Artikel stellt – wie alles auf "Gedankensplitter" – meine persönliche Sichtweise dar.
Zum Vortrag waren auch einige Studierende und Gäste online zugeschaltet. Der Vortrag sollte in den nächsten Tagen auch als Video eingesehen werden können. Zu Beginn gab es allerdings einige Probleme mit der Internetverbindung, worauf Prof. Stol ironisch zu mir meinte: "Das ist sehr passend für einen Cyber Safety-Vortrag: Wir haben die sicherste Verbindung, nämlich keine!" ;-). Mit der technischen Unterstützung des E-Learning Centers (Danke an Herrn Gerhard Schwed!) konnten wir mit 10 Minuten Verspätung beginnen. Es gab allerdings weiterhin kleinere Übertragungs- und Aufnahmeprobleme. So ist z.B. zeitweilig der Ton für die Internetgäste ausgefallen, die dann leider nur die Folien ohne Ton gesehen haben.
Cybersafety: Regulation des Verhaltens
Prof. Stol ist Soziologe und sieht sich daher das Problem von Cybersafety vor allem von der gesellschaftspolitischen Seite her an. "Safety" bezeichnet allgemein mehr die humane Seite eines Sicherheitsproblem, "Security" hingegen fokussiert auf die technischen/technologischen Aspekte.
Zu Beginn versucht Herr Stol die Bedeutung von Cybersafety hervorzuheben indem er eine kritische Bemerkung zum Bewusstseins von Cybercrimes macht. Insgesamt ist das Bewusstsein dazu noch zu gering ausgeprägt. Beispielsweise ist die Polizei sich der steigenden Bedeutung von Cybersafety nicht bewusst, weil in der Statistik die entsprechenden Verbrechen nur einen geringen Prozentsatz ausmachen. Tatsache jedoch ist, dass Cybercrimes oft gar nicht bemerkt werden oder aber die betroffenen Personen (aber auch Organisationen oder Firmen, wie Banken) davon peinlich berührt sind und daher diese Verbrechen nicht melden.
Ein wichtiges Argument über die Veränderung des Verhaltens besteht darin, dass wir nicht mehr – á la George Orwell – eine zentrale Überwachung benötigen. Das Motto "Big brother is watching you" ist aus gesellschaftlicher Perspektive nicht mehr richtig, weil wir einerseits alle Informationen freiwillig hergeben (z.B. auf Facebook) oder uns selbst bereits ständig beobachten und kontrollieren (über Social Media, wie z.B. mit und über Twitter).
Terchnologie hat nach Stol ganz generell diesen disziplinierenden, kontrollierenden und ambivalenten Charakter, der sich vor allem gegen die NutzerInnen selbst wendet. Eine wesentliche Pointe seines Argumentation für mich ist, dass die Hauptgefahr nicht darin besteht, dass wir durch Technologie andere kontrollieren, sondern umgekehrt, dass wir durch die Nutzung der Technologie selbst kontrolliert werden! – Konsequente – vielleicht etwas zynische – Schlussfolgerung daraus: "Hand over technology to others!"
Wenn das nicht möglich ist, dann braucht es handlungsanleitende Theorien und Regeln, die das Verhalten in einer Weise steuern, dass sie eine gewisse Sicherheit garantieren. Prof. Stol formuliert diese Regeln nicht aus, sondern gibt nur allgemeine Hinweise, wie sie aufgebaut sein müssen: z.B. verständlich, explizit, direkt und sofort umsetzbar.
Cybercrime – was ist das?
Cybercrime ist ein sehr allgemeines Konzept. Der Hinweis, dass es jedes Verbrechen umfasst, wo Technologie eine Rolle spielt, ist nutzlos. Heutzutage gibt es praktisch keine Verbrechen mehr, die nicht (auch) eine technische/technologische Komponente haben. Wir können zwischen drei Bereiche von Cybercrimes unterscheiden:
- Verbrechen, die sich gegen die Technologie selbst wenden: Hacken, Spam etc.
- Verbrechen, die sich gegen Personen wenden: Mobbing, Stalking etc.
- Verbrechen, denen es um Geld geht: Kreditkartenbetrug, Phishing etc.
Die drei am häufigsten begannen Cyber Verbrechen sind in der Reihenfolge: e-Fraud, Mobbing/Stalking, Identity Threat.
Natürlich darf bei diesem Thema Überwachung auch nicht ein Hinweis auf Michel Foucault fehlen: In Überwachen und Strafen zeigt Foucault auf, dass die Strafe der körperlichen Züchtigung, die sozusagen von außen wirkt, zunehmend durch gesellschaftliche Verhältnisse so verändert wird, dass es immer mehr um die innere Kontrolle und Beeinflussung geht. Foucaults Analysen zur „Mikrophysik der Macht“ sind gerade mit der Entwicklung der Computertechnologie ganz besonders aktuell geworden. Gerade die Möglichkeit ständig kontrolliert und überwacht zu werden (vgl. die tausenden Videokameras, die unseren Alltag in den Städten prägen) hat als eine der Folgen, dass unser Verhalten davon (unbewusst) beeinflusst wird. Es ist wie beim Panoptikum, wo bereits die Möglichkeit gesehen zu werden, das Verhalten der Gefangenen beeinflusst und prägt. (Siehe auch meinen älteren Beitrag zu Panoptikum, Oligoptikum und Panorama in meiner Internet-Vorlesung Gemeinsam Latour lesen – gll-09.) Unter diesem Aspekt sind Cybercrimes auch der Ausdruck eines gesamt-gesellschaftlichen Disziplinierungssystems, das ökonomische und politische Rahmenbedingungen voraussetzt.
Convention on Cybercrime (CCC) definiert daher nicht nur mit einem kurzen Absatz, was darunter zu verstehen ist, sondern beschreibt all die möglichen Fälle eines illegalen Verhaltens. Wesentlich dabei ist (a) die Absicht, (b) etwas unbefugt (c) zum Nachteil anderer zu tun.
Zahlen, Fakten und Beispiele
Nach einer Pause werden von Herrn Stol viele Beispiele gebracht, wie solche Verbrechen aussehen können und welche Sicherheitsmaßnahmen getroffen werden können.
- Technische Maßnahmen, wie z.B. Sicherheitssoftware, immer aktuelle Software mit allen Patches installiert
- Maßnahmen zur Nutzung des Internets: Vorsichtig sein, beim Öffnen von Mails und Webseiten, immer schauen auf welcher Webseite man sich befindet und keine Passwörter auf unverlangte Aufforderungen bekanntgeben,
- Organisatorische Maßnahmen: Kundendaten sichern, einen Notfallplan ausarbeiten und festlegen
Cyber-Kriminalität ist meistens ein unorganisiertes Verbrechen, häufig ein "geringfügiges" alltäglichen Verbrechen: Herunterladen von Kinderpornos, Hass-Mails schreiben etc.
Statistiken aus den Niederlanden zeigen, dass Cyber-Kriminalität seit 2012 bereits höher als Fahrrad-Diebstahl (dem häufigsten Verbrechen früher). Schon 2010/2011 war die Chance einem Cyber-Diebstahl (e-theft, id-theft) zum Opfer zu fallen bereits doppelt so hoch, wie dem Diebstahl einer Geldbörse durch Taschendiebe ausgesetzt zu sein.
In der Rangliste von Verbrechen, die von jungen Leuten begangen werden, steht virtueller Diebstahl (15,3%) gefolgt von Cyberbullying (9,4%), Kaufen ohne zu zahlen (3,9%). Verkaufen aber nichts liefern (2,6%). Im Schnitt werden Cybercrimes von im Durchschnitt um 6 Jahre jüngeren Leuten begangen, als dies bei offline Verbrechen der Fall ist.
Cybercrimes haben auch eine starke internationale Komponente: Hacking (23,4%) und E-Betrug (14.5%) kennen keine nationale Grenzen Es gibt zwar auch "lokale" Cyber-Kriminalität aber das Phänomen ist international zu sehen und auch von der Polizei international anzugehen. Dazu sind entsprechende internationale Kooperationen aufzubauen.
Statistische Studien zeigen vier Risikofaktoren:
- jung sein (ist aber nichts Spezielles, gilt auch z.B. für Unfälle)
- ein aktiver Internet-Benutzer zu sein (es ist ein Irrtum zu glauben, dass größere Kompetenz hilft: je mehr man sich im Internet bewegt, desto eher – statistisch gesehen – ist die Chance gegeben einem Internet-Verbrechen zum Opfer zu fallen
- persönliche Informationen routinemäßig ins Internet stellen
- einen impulsiven Charakter haben
(Problematische) Maßnahmen und (beängstigende) "Sicherheit"
Cybercrime ist alltäglich, begangen von "normalen" Leuten; die Gegenmaßnahmen der Polizei hingegen erfordern hohe Spezialisierung und technische Expertise. Dieses gesellschaftlich Ungleichgewicht ist ein Problem: einerseits weil die "normale" Polizeiwachstube keine Ahnung hat, wie hier vorzugehen ist und andererseits weil die (wenigen) Spezialisten der Polizei der Menge und der Schnelligkeit dieser Verbrechen nicht gewachsen sind.
Die Maßnahmen der Polizei sind selbst sehr bedenklich. So werden z.B. "stealth sms" (stille SMS) verwendet. Die Nachricht wird nicht am Display angezeigt und erzeugt auch kein akustisches Signal. Trotzdem fallen aber beim Mobilfunkanbieter Verbindungsdaten an, die ausgewertet werden können und den Standort erfassen lassen. Die Haltung der Polizei zur Nutzung solcher Techniken ist sehr pragmatisch: Alles was nicht verboten ist, ist erlaubt! Es wäre wichtig hier generelle ein Umdenken – auch auf gesetzlicher Ebene – anzuregen: Man könnte/sollte nämlich die Logik umdrehen: Alles was nicht ausdrücklich erlaubt ist, ist verboten!
Beängstigend ist es auch, dass eine Überwachung (zur Sicherheit der Kunden) in Echtzeit erfolgt. Eine Kundin hat z.B. eine finanzielle Transaktion in Österreich gemacht, dann gab es plötzlich kurze Zeit später ein Ansuchen um eine finanzielle Transaktion in den USA, die dann aber – nach einer entsprechenden Auswertung in Echtzeit – als Betrugsversuch klassifiziert und verhindert wurde. –– Aber was, wenn die frühere (österreichische) Transaktion der eigentliche Betrugsversuch war? Kein Problem: Die Bank hat allgemeine Daten zum Karteninhaber: Beruf, Wohnort, etc., die sofort, dh. unmittelbar und in "real time" ausgewertet werden. Also doch: Big brother is watching you!
Ein weiteres Problem ist die Macht, die der Polizei mit dem Recht des Filtern von Internetadressen eingeräumt wird. Abgesehen davon, dass das ständige Warten von Black Lists (schwarzen Listen) extrem aufwändig ist, besteht immer die Tendenz zu einem Über-reagieren (also lieber mehr als weniger als "schwarze" Schafe führen). Sowohl Effektivität und Effizienz dieser Maßnahme muss insgesamt kritisch gesehen werden.
Abhilfe für das DNS-Filterproblem könnte sein, dass NGOs diese Arbeit übernehmen. Jeder kann sich dann – so er/sie das möchte – dann solch einen Filter anschaffen und einsetzen. Gefiltert wird dann aber nicht zentral von behördlicher Seite aus, sondern bleibt in der Hand und Kontrolle von uns NutzerInnen. Filter können dann auch nicht generell als präventive Maßnahme von staatlicher Seite zum Einsatz kommen.
Schlussfolgerung
- Es kann noch Jahrzehnte dauern, bis die Gesellschaft geeignete Maßnahmen für diese Verbrechen gefunden hat, die mit der Entwicklung der Technologie verbunden sind und sich auch dementsprechend immer verändern.
- Besonderes Augenmerk muss auf die Alltäglichkeit und die häufige technische Einfachheit dieses Phänomens gelenkt werden.
- Die Polizei muss sich besser wappnen. Sowohl technisch, aber auch vor allem in der Zusammenarbeit mit anderen Organisationen. Hierbei ist darauf zu achten, dass dieses "Aufrüsten" nicht die Rechte der Zivilgesellschaft einschränkt.
- Weil Cyber Verbrechen zunehmen und von einer überdurchschnittlich jungen Leuten begangen werden, muss mit einer statistisch relevanten Zunahme von Jugendkriminalität gerechnet werden.
- Die bisherigen Maßnahmen – wie Überwachung und Profiling, sowie auch das Filtern durch schwarze Listen – ist aus gesellschaftlicher Demokratiesicht höchst problematisch und muss entschieden hinterfragt werden.
Noch zwei Literaturhinweise:
-
Leukfeldt, Rutger; Stol, Wouter (Hrsg.) (2012): Cyber Safety. Den Haag: Eleven International Publishing. — ISBN: 949094775X
-
Stol, Wouter; Jansen, Jurjen (Hrsg.) (2013): Cybercrime and the Police. Den Haag: Eleven International Publishing. — ISBN: 9462360693
Live mitschreiben: Erste Gedanken zum Experiment
Auch nach diesem Experiment weiß ich noch nicht so recht, ob diese Art einen Weblog-Beitrag zu schreiben – also direkt und live für das Internet zu schreiben – zweckmäßig ist. Mehrere Aspekte sind dabei nämlich zu beachten:
- Für mich: Es ist ziemlich fordernd und stressig. Ich kann zwar 10-Finger Maschinschreiben, aber es erfordert eine extrem hohe Konzentration immer das Wesentlich zu erfassen und gleich geordnet einzutippen. Häufig bin ich zeitlich leicht im Hintertreffen und habe auch 2-3x ein Argument kognitiv nicht erfasst, weil ich gerade busy einen Tippfehler ausgebessert oder eine Überschrift eingefügt habe.
- Für andere: Ist die Information nicht zu chaotisch, unsortiert, zu wenig verdaut für LeserInnen? Während des Vortrags kann ich noch keine Gewichtungen vornehmen, weiß ich ja noch nicht worauf ein Argument hinausläuft, welche Wertigkeit es innerhalb des gesamten Vortrages hat. Außerdem kann ich nicht nachdenken und Hintergrund-Infos geben. (Das ließe sich aber ev. später nach reichen.)
- Notwendig? Dieser Artikel hier ist ja selbst überhaupt nicht zeitkritisch. Warum also nicht "locker" mitschreiben und danach die Notizen ausführlich (und zeitraubend) überarbeiten? -- Das Problem: Mir fehlt einfach die Zeit dazu: heute beispielsweise habe ich bereits wieder Lehrveranstaltung und bin daher wieder mit ganz anderen Themen und Problemen befasst.
- Alternativen? Die offensichtliche Alternative (Audio- bzw. Videoaufnahme) ist nicht generell immer umzusetzen. Einerseits gibt es nicht immer die (technische) Möglichkeit und Expertise dazu, andererseits ist auch Audio- und Video-Informationen nicht immer gleichermaßen gut zugänglich wie Text: Nach Text kann gesucht werden, Text kann schnell gescannt werden, z.b. indem nur die Absätze nach einer bestimmten – interessant erscheinenden – Überschrift gelesen werden. Ein Editieren eines stundenlangen Vortrags, wo der Video in Abschnitte unterteilt wird und direkt auf diese Teile zugegriffen werden kann, ist ebenfalls wiederum sehr aufwändig.
Daher meine Frage an LeserInnen dieses Beitrags? Sind solche Artikel, die aus einer unmittelbaren – und wenig redigierten – Mitschrift entstehen, brauchbar?