Vortrag auf der Polizei-Informatik 2025

Zusammenfassung

Im Bundeslagebild Cybercrime 20231 des BKA wurde im Vergleich zum Vorjahr ein Rückgang der Cybercrime-Delikte festgestellt. Die Deliktsbereiche Ausspähen von Daten einschl. Vorbereitungshandlungen und Datenhehlerei (§ 202a-d StGB) umfassen mit über zehntausend Fällen weiterhin etwa 8% der Fälle im Phänomenbereich. Sensitive Daten werden stetig durch die Ausnutzung von IT-Sicherheitslücken in Unternehmen erlangt und erfahrungsgemäß entweder auf Pastebin-Seiten oder in nur Privilegierten zugänglichen Bereichen des Internets (z.B. Deep- und Darknet) verbreitet. Den durch diese Datenleaks Betroffenen können (wissentlich und unwissentlich) Schäden entstehen (finanziell, Reputation). Es fehlt u.a. an einer Möglichkeit, gefundene Datensätze anonym in einen Mechanismus zum Warnen Betroffener einbringen zu können. Meldungen von Datenleaks, gefundenen Datensätzen durch IT-Sicherheitsforschende (white hats) sowie Whistleblower können in strafrechtlichen Ermittlungen gegen diese bzw. in negierenden Aussagen der Unternehmen resultieren. Eine anonyme Eingabe erscheint nicht nur vor diesem Hintergrund vorzugswürdig. Ziel des BMBF-geförderten Forschungsprojektes DROPS2 ist es, Hinweisgebern eine anonyme Annahmestelle für Identitätsdatenleaks zu bieten, hinter der sich ein System befindet, das Unternehmen und anderen Anfragenden die Prüfung erlaubt, ob ihre Daten in solchen Leaks bekannt geworden sind. Dazu sollen frühzeitige Warnungen bei positivem Ergebnis der Analyse eine wirksame Verhinderung der rechtswidrigen Nutzung von abhandengekommenen Daten bewirken. Dem Hinweisgeber wird darüber hinaus ein Anreiz geschaffen, in dem transparent über den gemessenen wirksamen Nutzen der eingereichten Daten informiert wird. Eine schnelle und effektive Einbindung in einen Analyse- und Warnprozess dient gleichzeitig der Stärkung der Datensouveränität sowohl von Bürger:innen als auch von Unternehmen. Weiterhin stünde eine wirksame Umsetzung solcher Prozesse im Einklang mit dem Zweck des Hinweisgeberschutzgesetzes (nationale Umsetzung der Whistleblower-Richtlinie) sowie den Meldepflichten von IT-Sicherheitslücken im Entwurf des Cyber Resilience Act (CRA). Neben einer technischen Schnittstelle zur Entgegennahme von Daten, die personenbezogene Daten (PD) enthalten, sollen diese datensparsam sowie anonymisiert abgelegt und abgeglichen werden. Selbst bei einem kompromittierten System sollen Angreifer nichts über die verarbeiteten und gespeicherten PD lernen. Dafür werden die PD für jede Identität anonymisiert auf eine Weise abgelegt, die einen Identitätsabgleich erlaubt, ohne die Klartexte zu vergleichen. Die Extraktion von PD aus heterogenen Dokumentquellen wird durch punktuellen, aufgabenspezifischen Einsatz von KI Modellen augmentiert, die keine Kenntnis der Nutzdaten erhalten. Beispielhaft kann ein KI Modell eingesetzt werden, um die Position eines PD auf einem Ausweisdokument zu finden, ohne den Inhalt des PD zu verarbeiten. Die Hinweisgeber bekommen für einen Hinweis über einen Token die Möglichkeit den Verarbeitungsstand in Erfahrung zu bringen sowie ob der Hinweis bei Abgleichen bereits Treffer erzielt hat und also für Betroffene hilfreich geworden ist. Die Konstruktion des Datentreuhandmoduls ist innovativ und stärkt die Datensouveränität und indirekt die Anwendbarkeit der Betroffenenrechte aus DSGVO und DGA. Seitens der Unternehmen kann das Konzept wirkungsvolle Prozesse in Bezug auf bestehende Meldepflichten über Sicherheitsvorfälle etablieren. Die Aufdeckung einer Datenkompromittierung kann helfen, Sachverhalte zur Anzeige zu bringen. Insbesondere nach Taten wie Ransomwareangriffen können Betroffene prüfen, ob ihre Daten zusätzlich gestohlen und geleakt worden sind.