Krypto e.V.

Google will den umstritten Street View-Dienst seines Geodatenservices Google-Maps noch 2009 auch in Deutschland zur Verfügung stellen. Wie Peter Fleischer, Datenschutzbeauftragter der deutschen Google-Niederlassung, dem Nachrichtenmagazin Focus verrät, habe sich das Unternehmen in einer Sitzung mit heimischen Datenschützern dazu bereit erklärt, “spezielle Datenschutz-Tools” zu entwickeln. Ohne dieses Zugeständnis hätten beide Seiten vermutlich noch längere Zeit nicht zu einer Einigung gefunden. “Jetzt, da weitestgehend Einigkeit mit den Datenschützern besteht, hoffen wir, dass der Service noch in diesem Jahr starten kann”, kündigt Fleischer an.

“Einen genauen Starttermin für Deutschland gibt es derzeit noch nicht. Wir hoffen aber, Street View hierzulande noch in diesem Kalenderjahr verfügbar zu machen”, bestätigt Google-Sprecher Kay Oberbeck auf Nachfrage. Die aktuelle Einigung mit den deutschen Datenschützern sei als erfolgreicher Abschluss der intensiven Verhandlungsgespräche der vergangenen Monate zu sehen. “Unser Anliegen war es von Anfang an, dass unser Produkt die Interessen aller Beteiligten widerspiegelt. Dass wir die Bedenken der deutschen Datenschützer ausräumen konnten, ist in dieser Hinsicht ein wichtiger Schritt nach vorne”, betont Oberbeck. Was genau unter den “speziellen Datenschutz-Tools” zu verstehen sei, die Google entwickeln werde, um etwaige datenschutzrechtliche Probleme aus dem Weg zu räumen, könne der Google-Sprecher zum jetzigen Zeitpunkt aber noch nicht öffentlich erläutern.

Auch im Nachbarland Österreich sei das Street-View-Kamerateam von Google bereits seit einiger Zeit im Einsatz. “Die Entwicklung in Deutschland und Österreich ist aber völlig unabhängig voneinander zu sehen. Während wir in der Bundesrepublik schon 2008 mit Fotoaufnahmen begonnen haben, sind wir in Österreich erst in diesem Jahr gestartet”, schildert Oberbeck. Das Street-View-Projekt sei aber bereits ordnungsgemäß bei der zuständigen Datenschutzkommission in der Alpenrepublik eingereicht worden. “Letzter Stand ist, dass Google den Antrag für Street View zwar gestellt, aber noch keine Genehmigung dafür bekommen hat”, stellt Hans Zeger, Obmann der Arge Daten klar. Seiner Auffassung nach würden die Aufnahmeaktivitäten der Google-Kamerateams deshalb eigentlich bislang ohne entsprechende Rechtsgrundlage erfolgen.

“Die datenschutzrechtlichen Bestimmungen sind aber nur eine Hälfte des Problems von Google. Die zweite Hälfte ergibt sich aus den spezifischen Regelungen zum Schutz der Privatsphäre, die es in Österreich gibt”, erklärt Zeger. Dem Experten zufolge werde vom Internetkonzern übersehen, dass die diesbezüglichen Richtlinien schon bei der Datensammlung, also beim Anfertigen der Fotoaufnahmen, verletzt würden. “Schon das Filmen einer Haustüre kann als Eindringen in die persönliche Privatsphäre gewertet werden und als solches einen Verstoß gegen die geltenden Bestimmungen darstellen. Wenn es korrekt zugehen soll, müsste die Datenschutzkommission von Google eine Garantie verlangen, dass derartige Aufnahmen nicht gemacht werden. Das Nachbessern und Unkenntlichmachen im Nachhinein ist in diesem Zusammenhang nicht ausreichend”, so Zeger abschließend.

Google hat am Donnerstag das Sicherheits-Update 1.0.154.5 für den Browser Chrome veröffentlicht. Roi Saltzman von der IBM Rational Application Security Research Group hat bereits am 8. April auf gravierende Sicherheitslücken hingewiesen. Die Mängel des Browsers haben domainübergreifende Scripting-Attacken ermöglicht. “Angreifer haben eine falsche Verarbeitung der URI chromehtml: gezielt ausgenützt, wenn der Aufruf mit dem Internet Explorer erfolgte”, sagte Mark Larson, Google Chrome Program Manager.

Die Verarbeitung von JavaScript im Internet Explorer haben dazu geführt, dass Chrome mit zwei Tabs geöffnet und der eingebettete Schadcode in einem der beiden Tabs ausgeführt wird. Dies ermöglichte aufgrund einer weiteren Schwachstelle, von Experten als Universal Cross Site Scripting (UXSS) bezeichnet, den Zugriff auf andere Domains. “Eine Cross-Site-Request-Forgery (CSRF) ist eine domain-übergreifende Aufruf-Manipulation. Cross-Site-Scripting erlaubt es Cyberkriminellen, Daten in einer Webanwendung ohne Berechtigung zu verändern”, sagt Candid Wüest, Virenforscher von Symantec.

“Angreifer benötigen jedoch immer einen berechtigten Benutzer von Webanwendungen. Mit dem Einsatz von Skripten oder auf dem Wege von Social Engineering wird aus dem Webbrowser des Opfers ohne dessen Wissen eine HTTP-Anfrage an die Webanwendung gerichtet”, erklärt Wüest. Browser der neuesten Generation würden zwar mehr Security-Features aufweisen, Cross-Side-Scripting könne jedoch nur über eine vollständige Trennung von Websessions in den Griff bekommen werden, meint Wüest. Wenn Nutzer neben der Abwicklung ihrer Internetbanking-Geschäfte noch zahlreiche andere Websites besuchen, könne ein CSRF-basierter Angriff nicht ausgeschlossen werden.

Datenklau ist in vielen Fällen auf die Ausführung eines in Webseiten oder Dateien eingebetteten Schadcodes zurückzuführen, wobei es sich zumeist um JavaScript-Programme handelt. “Eine Deaktivierung von JavaScript im Browser schützt nur bedingt. Gefahren wie Drive-by-Downloads können auf diese Weise jedoch wirksam eingedämmt werden”, so Wüest weiter. Die Infizierung seriöser Webseiten mit schadbringendem Code ist ein weiteres Problem. Potentieller Schaden kann nicht mehr nur durch den Aufruf von dubiosen Sites angerichtet werden. Eine verstärkte Nutzung von Webdiensten ist allgemein feststellbar. Online-Backups und Textverarbeitung über Webdienste liegen voll im Trend, bergen aber auch neue Gefahren für Nutzer in sich, heißt es bei Symantec.

Das Recherchieren im Internet vor einem Produktkauf ist bei den Konsumenten mittlerweile bereits zum Alltag geworden. Hauptanlaufstelle für preis- und qualitätsbewusste Shopper sind dabei vor allem Blogs und solche Webseiten, die sich auf die Veröffentlichung von Benutzer-Meinungen zu bestimmten Produkten spezialisiert haben. Wie das Beispiel der USA zeigt, hat dieser Trend aber auch ein neues Problem entstehen lassen. So setzt inzwischen eine zunehmende Zahl von Unternehmen auf bezahlte Blogger, die per Auftragsarbeit bestimmte Produkte mit einer besonders positiven Meinung bewerten und diese dann auf einschlägigen Seiten im Web veröffentlichen. Einem aktuellen Bericht des Wall Street Journals zufolge hat diese Praxis in den Vereinigten Staaten inzwischen ein derartiges Ausmaß erreicht, dass die “Blogoshäre” um ihre Reputation bangt und die Federal Trade Commission (FTC) laut über die Einführung eigener Richtlinien nachdenkt, die Missbrauchsversuche verhindern sollen.

“Das Internet ist das Medium Nummer eins für Kaufentscheide. Was die Informationsmöglichkeit für Verbraucher betrifft, bietet das Netz einen enormen Vorteil. Insbesondere im Web 2.0 findet ein ungemein intensiver Austausch von Nutzer-Meinungen zu Produkten und Dienstleistungen statt”, stellt Markus Hübner, Geschäftsführer der Brand Management Agentur Brandflow fest. Dass sich Konsumenten zunehmend im Netz schlau machen, bevor sie sich für ein bestimmtes Angebot entscheiden, liege vor allem an der unglaublichen Fülle und Authentizität der dort zu findenden Testberichte. “Im Moment herrscht in dieser Hinsicht noch große Glaubwürdigkeit im Web. Wie am Beispiel USA ersichtlich wird, nimmt die Gefahr, dass diese Glaubwürdigkeit verwässert wird, aber bereits heute deutlich zu”, meint Hübner.

Bislang hätten sich die Verbraucher zur Unterstützung bei Kaufentscheidungen vor allem an spezielle Fachmagazine gewandt. “Im Gegensatz zum Internet haben Produktreviews in Magazinen oft das Problem, dass sie nicht als vollkommen objektiv angesehen werden. Bei Nutzer-generiertem Content ist die Gefahr, dass sich ein Autor eines Testberichts vom Hersteller kaufen lässt, nicht in dem Ausmaß gegeben”, erklärt Markus Hübner. Mit der Vorstellung, dass das Internet ein geschützter Bereich der Authentizität sei, könne es aber bereits in einigen wenigen Jahren vorbei sein. “Die Unternehmen versuchen immer stärker, diese Glaubwürdigkeitsbarriere zu durchbrechen und Meinungen, die online verbreitet werden, bewusst zu manipulieren”, betont Hübner.

Dass die FTC angesichts des wuchernden Missbrauchs der Blogger-Glaubwürdigkeit nun in den USA die Einführung eigener Richtlinien plane, sei sicherlich ein prinzipiell richtiger Ansatz. “Die Unternehmen und PR-Agenturen brauchen klar definierte Spielregeln dafür, welches Vorgehen in diesem Zusammenhang erlaubt ist. Auch für den Fall eines nachweislichen Verstoßes muss festgelegt sein, welche Strafe der Übeltäter zu erwarten hat”, fordert Hübner. Vorstellbar wäre etwa eine Art Punktesystem, das etwaige Vergehen abgestuft sanktioniert. “Unternehmen und Agenturen müssen sich aber in jedem Fall darüber im Klaren sein, dass die Entdeckung einer bewusst gefälschten Blogmeldung einen enormen Imageschaden für die betroffenen Marken oder Produkte nach sich ziehen kann”, so Hübner abschließend.

Das Security-Unternehmen Finjan hat eines der größten aktiven Botnetze der Welt entdeckt. Rund 1,9 Mio. Computer in den USA, Großbritannien und anderen Ländern seien bereits durch Übergriffe von Cyber-Kriminellen zu ferngesteuerten “Zombie-PCs” geworden, teilte die US-Firma im Rahmen der RSA Security-Konferenz mit, die dieser Tage in San Francisco über die Bühne geht. Ein Großteil der kompromittierten Rechner gehöre dabei zu Regierungsbehörden, von denen 77 rund um den Globus betroffen seien. Laut Angaben Finjans hätten Nachforschungen ergeben, dass das Botnetz bereits seit Februar von einer Gruppe aus der Ukraine betrieben wird, die aus sechs Personen besteht. “Die Cyber-Gang kann auf den infizierten Computern aus der Ferne so gut wie alles mögliche anstellen”, heißt es in einem Blogposting auf der Finjan-Homepage.

“Botnetze sind bereits seit einigen Jahren ein weit verbreitetes Phänomen”, erklärt Security-Experte Christoph Hardy. Vor allem aufgrund der Möglichkeit, in relativ kurzer Zeit massenweise Spam-Mails verschicken zu können, seien solche Netzwerke bei Hackern äußerst beliebt. “Ein weiterer Grund für die zunehmende Beliebtheit bei Cyber-Kriminellen ist der Umstand, dass sich mit Botnetzen heute bereits sehr gut Geld verdienen lässt. Mittlerweile ist in diesem Bereich ein richtiges Geschäftsmodell entstanden”, ergänzt Hardy. Dies zeigt sich auch am aktuellen Beispiel. Wie Yuval Ben-Itzhak, Chief Technology Officer bei Finjan, auf Basis derzeitiger Schwarzmarktpreise vorrechnet, könnten die Betreiber bis zu 190.000 US-Dollar pro Tag mit ihrem Botnetze verdienen.

Mit 1,9 infizierten Rechnern weise das von Finjan aufgespürte “Zombie-PC-Netzwerk” laut Security-Experte Hardy eine durchaus beachtliche Größe auf. Dass der Großteil der kompromittierten Computer zu Regierungsbehörden gehöre, sei hingegen keine große Überraschung. “Behörden, die unter anderem auch für die Sicherheit zuständig sind, sind generell ein besonders beliebtes Ziel für Cracker. Hinzu kommt das Problem, dass solche Institutionen dafür bekannt sind, eher zurückhaltend im Umgang mit Sicherheits-Patches zu sein. Das wissen die Cyber-Kriminellen natürlich und nutzen es schamlos aus”, erläutert Hardy. Auch die Herkunft der mutmaßlichen Übeltäter sei wenig überraschend. “Es ist ein bekanntes Problem, dass Cyber-Kriminalität in den Ländern der ehemaligen Sowjetunion sehr weit verbreitet ist. Die Betroffenen haben zum Teil eine sehr gute Ausbildung und werden von der Chance auf schnelles Geld angelockt”, erläutert Hardy.

Wie groß derzeit die Angst vor Botnetz-Attacken ist, hat erst kürzlich die Aufregung um Conficker gezeigt. Der erwartete Internet-Supergau ist aber bislang ausgeblieben. “Conficker ist ein klassisches Beispiel für eine moderne Malwareform, die auf verschiedene Aspekte setzt und ein neues Bedrohungs-Level für die IT-Infrastruktur in Unternehmen und privaten Haushalten entstehen lässt. Diese Bedrohung kann man mit einer einfachen Virenschutz-Software nicht mehr loswerden”, so Hardy abschließend.

Das Pentagon hat in den vergangenen sechs Monaten mehr als 100 Mio. US-Dollar für die Aufarbeitung von Schäden ausgegeben, die durch Cyber-Attacken aus dem Internet und damit zusammenhängende Netzwerkproblemen entstanden sind. Wie Kevin Chilton, Head of Strategic Commando beim US-Verteidigungsministerium, im Rahmen einer Cyberspace-Konferenz in Omaha erklärt, sei die Auswertung der durch Internetkriminelle verursachten Schäden noch nicht abgeschlossen. “Das Militär beginnt gerade erst damit, diese Kosten, die durch konstante tägliche Attacken gegen militärische Netzwerkinfrastruktur entstehen, nachzuvollziehen”, stellt Chilton laut CBS News klar. Unter der Bedrohung von Hacker-Übergriffen würden aber nicht nur das Pentagon, sondern alle Militärbasen im gesamten Land leiden. Um sich diesem Problem ernsthaft annehmen zu können, müsse die US-Regierung dringend stärker in den Schutz der Militärcomputer investieren, so die Forderung hochrangiger US-Militärs.

“Militärische Einrichtungen – insbesondere Regierungsbehörden wie das Pentagon – sind für Cyber-Kriminelle sehr attraktive Ziele. In puncto IT-Security sind sie daher prinzipiell einer höheren Gefahr ausgesetzt als andere Unternehmen”, stellt Martin Penzes, technischer Direktor des ESET-Vertriebspartners Sicontact fest. Die Bedrohung komme dabei nicht nur von privaten Hackern, sondern auch von solchen, die sich im Auftrag fremder Regierungen Zugang zu hochsensiblen Daten verschaffen wollen. “Je heikler die Daten, mit denen ein Unternehmen zu tun hat, desto besser sollte der Schutz für die IT-Infrastruktur sein. Das Pentagon hat in dieser Hinsicht sicher eine sehr strenge Sicherheits-Policy. Dennoch kommt es auch dort immer wieder vor, dass Cyber-Kriminelle eindringen und einigen Schaden anrichten können”, erläutert Penzes.

Dass die verantwortlichen US-Militärs angesichts der hohen Reparaturkosten für Cyber-Attacken nun mehr Geld für den Ausbau des Präventivschutzes fordern, sei laut Meinung des Security-Experten sicherlich gerechtfertigt. “Von einem logischen Standpunkt aus ist es natürlich wesentlich sinnvoller, bereits im Vorhinein für den bestmöglichen Schutz der eigenen IT-Infrastruktur zu sorgen, um so die Kosten für Aufräumarbeiten im Nachhinein zu reduzieren”, meint Penzes. Dazu würden sowohl technische Maßnahmen als auch die Schulung der Mitarbeiter bezüglich der entsprechenden Gefahren und Verhaltensregeln gehören. Denn auch der beste Anti-Virenschutz und die stärkste Firewall seien noch kein Garant für einen ausreichenden IT-Schutz. “Das schwächste Glied in der Sicherheitskette sind immer noch die User selbst”, betont Penzes.

Wie das US-Verteidigungsministerium wissen lässt, wird das ungeheuer große hausinterne Computernetzwerk des Pentagon täglich mehrere Mio. Mal von potenziellen Internet-Kriminellen gescannt und angegriffen. Strategic-Commando-Chef Chilton zufolge ist der Ursprung der Cyber-Angriffe dabei in der Regel sehr unterschiedlich: “Es ist wichtig, dass wir erkennen, dass die Übergriffe sowohl von weniger anspruchsvollen Quellen wie gelangweilten Teenagern als auch von sehr gut durchdachten nationalstaatlich initiierten Attacken und kriminellen Organisationen ausgehen können.” Die Motivation hierfür sei breit gefächert und reiche von Vandalismus bis zu Spionage.

Laut einer Studie halten in Deutschland mehr als die Hälfte aller mittelständischen Unternehmen Spionage und Informationsdiebstahl oder -verlust für die größten Risiken, denen sie ausgesetzt sind. Genau die Hälfte der Befragten hat außerdem angegeben, sich vor Hackerangriffen zu fürchten. Daher wollen auch fast 30 Prozent in den nächsten zwei Jahren in IT-Sicherheit investieren. Korruption sehen hingegen nur 29 Prozent als ein reales Risiko. Die Studie des Sicherheitsunternehmens Corporate Trust hat zusammen mit dem Handelsblatt erhoben, wie es um das Gefahrenbewusstsein der deutschen Unternehmen bestellt ist. Befragt wurden dafür Geschäftsführer, Vorstände, Sicherheitsverantwortliche sowie IT- und Personalleiter in mittelständischen Unternehmen aller Branchen.

Problematisch sei auch, dass viele Unternehmen nicht ausreichend über Wirtschaftskriminalität Bescheid wüssten, meint Jörg Ziercke, Präsident des Bundeskriminalamts. “Genau deshalb unterschätzen sie das Risiko, selbst Opfer von Wirtschaftskriminalität zu werden und investieren zu wenig in Präventionsmaßnahmen”, so Ziercke. Durch Wirtschaftskriminalität ist in Deutschland im Jahr 2007 ein Schaden von 4 Mrd. Euro entstanden. Die Dunkelziffer dürfte aber beträchtlich sein. Viele Unternehmen verschweigen, dass sie Opfer derartiger Delikte sind, um Imageschäden zu vermeiden. Zudem werden viele Fälle erst gar nicht aufgedeckt. Um in Zukunft besser gerüstet zu sein, wollen 53 Prozent ihre Mitarbeiter zum Thema Wirtschaftskriminalität schulen lassen.

Die Umfrage zeigt zudem, dass die Unternehmensgröße Einfluss darauf hat, wie hoch das Risiko ist, ein Opfer von Untreue, Unterschlagung, Betrug, Korruption oder Industriespionage zu werden. Mit dem größten Schaden haben hier größere Mittelständler zu kämpfen, die zwischen 50 und 250 Mio. Euro Umsatz machen. Großunternehmen und Kleinunternehmen sind hingegen weniger gefährdet. “Fast alle Konzerne haben die Sicherheitsabteilung als Schutzschild”, begründet Christian Schaaf, Chef der Sicherheitsberatung Corporate Trust, dieses Phänomen. Mittelständische Unternehmen seien hingegen meist nicht auf derartige Angriffe vorbereitet. Oft passiert Industriespionage aber auch einfach durch Leichtsinnigkeit der Mitarbeiter, die in der Öffentlichkeit bereitwillig über interne Angelegenheiten Auskunft geben.

Nach dem Bericht eines Analysten über Google Docs, einem Online-Tool zum Teilen und gemeinsamen Bearbeiten von Dokumenten, wird derzeit eine Diskussion über die Sicherheit des Angebots geführt. Google hat öffentlich auf die vorgeworfenen Sicherheitslücken reagiert und versucht, die Benutzer der Kollaborationsplattform zu beruhigen, berichtet IDG New Service. Die im deutschen Sprachraum Google Text & Tabellen genannte Plattform wird dazu verwendet, um Dokumente hochzuladen und gemeinsam mit anderen zu bearbeiten. Dabei kann man außerdem den Entstehungsprozess eines Dokuments im Auge behalten, da man auch immer noch auf frühere Versionen zugreifen kann. Der Bericht des Analysten Ade Barkah von BlueWax, einer Beratung für Unternehmenssoftware, zeigt drei Schwachstellen auf, die es nicht autorisierten Personen ermöglichen, auf Informationen innerhalb von Google Docs zuzugreifen.

Eines der gefundenen Probleme betrifft die Möglichkeit, dass jemand, dem die Zugriffberechtigung für ein Dokument entzogen wurde, weiterhin auf dieses zugreifen kann, ohne dass der Autor des Dokuments davon erfährt. Genauere Informationen hat der Analyst dazu noch nicht veröffentlicht, um Google Zeit zu geben, das Problem zu beheben. Eine weitere Lücke betrifft Fotos und Grafiken, die in Dokumente eingebunden werden können. Diese erhalten ihre eigene URL, wodurch auch noch Zugriff auf sie besteht, wenn das eigentliche Dokument bereits gelöscht wurde. Eine Person, der einmal Zugang zum Dokument gewährt wurde, kann durch die bekannte Bild-URL daher auch nach Entzug der Zugriffsrechte direkt auf die Bilder zugreifen. Die letzte Schwachstelle betrifft Diagramme innerhalb eines Dokuments. Jemand, mit dem das Dokument geteilt wird, kann über eine Modifikation der Bild-URL alle vorherigen Versionen des Diagramms abrufen.

Zum Letzteren meint Google Docs Produktmanager Jonathan Rochelle dass es gewollt sei, dass die Revisionsgeschichte eines Dokuments auch für Externe mit Zugriffsrechten sichtbar sei. Das könne vermieden werden, indem das Dokument unter neuem Namen abgespeichert würde. Rochelle hat nur einen Tag nach der Veröffentlichung des Berichts in seinem offiziellen Blog zu den Vorwürfen Stellung genommen. Er beurteilt die gefundenen Schwachstellen darin nicht als kritisch. In seinem Eintrag gibt sich Rochelle jedoch trotzdem dankbar für den Bericht des Analysten: “Wir untersuchen alternative Design-Optionen, die möglicherweise diese Bedenken auflösen können. Wir möchten dem Forscher dafür danken, dass er seine Ergebnisse mit uns geteilt hat.” Auch Barkah ist auf Google gut zu sprechen: “Ich schätze das exzellente Feedback, das ich von Google Security bekomme. Ich werde meine neuersten Erkenntnisse weiterhin mit ihnen teilen und werde mehr dazu sagen können, sobald unsere Analyse komplett ist.” Derzeit untersuche Barkah gerade neue Details und weitere Szenarios.

Online-Kriminalität und der dadurch entstehende Schaden haben im Vorjahr ein neues Hoch erreicht. Wie das Internet Crime Complaint Center (IC3) der US-Regierung aufzeigt, hinterließen Cybercrime 2008 Verluste in Höhe von 265 Mio. Dollar. Der Statistik zufolge, in die auch Daten des FBI einfließen, wurden über 275.000 Beschwerden wegen Internetkriminalität erfasst, was einem Plus von 33 Prozent gegenüber 2007 entspricht. Als regelrechte Brutstätten des Online-Verbrechens erweisen sich dabei die USA und Großbritannien. Allein aus den Vereinigten Staaten gehen zwei Drittel der weltweit verübten Straftaten aus, wobei Kalifornien, New York und Florida die meisten Betrügereien aufweisen. Das Vereinigte Königreich folgt mit vergleichsweise bescheidenen elf Prozent auf Platz zwei. Angesichts der verschärften Wirtschaftskrise und der Auswirkungen der globalen Rezession befürchten die Experten in diesem Jahr einen weiteren Anstieg der Schadensmeldungen.

Die häufigste von Usern beklagte Schadensursache ist nach Angaben des IC3 die nicht erfolgte Auslieferung von Waren nach Internetbestellungen. Darüber hinaus werden etwa Sicherheitslücken im Online-Banking für kriminelle Zwecke genutzt. Methoden wie Kreditkartenbetrug oder Betrügereien bei Online-Auktionen würden von den Nutzern trotz eindringlicher Warnungen zudem nach wie vor unterschätzt. So stellt etwa “Phishing” – der Versuch von Internetbetrügern, Nutzerdaten über gefälschte Websites zu erhalten – noch immer ein beliebtes Betrugsinstrument dar. Dabei seien Männer anfälliger für Cybercrime als Frauen, was auf unterschiedliche Kaufgewohnheiten im Internet zurückzuführen sei. Wie die Gesellschaft für Sozialforschung und statistische Analysen forsa aufzeigt, haben in Deutschland bereits über sieben Prozent oder mehr als vier Mio. Internetnutzer ab 14 Jahren einen finanziellen Schaden durch Computerviren, Attacken bei Online-Auktionen oder Online-Banking erlitten.

Die durchschnittliche Schadenshöhe durch Straftaten im Internet ist IC3 zufolge pro Betrugsopfer auf 931 Dollar geklettert. In den vergangenen Jahren haben sich zudem die Gesamtverluste kontinuierlich erhöht. So erweist sich etwa die Summe aus dem Jahr 2001 mit 18 Mio. Dollar gegenüber dem Vorjahresschaden als marginal. Experten zufolge könnten jedoch auch die nunmehr knapp 15-fach höheren Schäden nur die Spitze des Eisbergs aufzeigen. Die Dunkelziffer nicht gemeldeter Betrugsfälle im Cyberspace sei womöglich noch bedeutend höher. Bei den Behörden soll die Zahl der eingegangenen Beschwerden lediglich 15 Prozent der geschätzten tatsächlichen Online-Verbrechen ausmachen.

Im US-Bundesstaat Virginia mussten Spam-Jäger einen Rückschlag einstecken. Virginia hat eines der schärfsten Anti-Spam-Gesetze in den USA. Gerade diese Tatsache bereitet dem Gesetzgeber nun Probleme. Der Grund ist die in der Verfassung verankerte Redefreiheit, die der verurteilte Spammer Jeremy Jaynes eingeklagt hat. Der höchste Gerichtshof in Virginia hatte kritisiert, dass das Gesetz nicht zwischen kommerziellem Spam und religiös oder politisch motivierten Massenaussendungen unterschiedet. Somit sei die Redefreiheit eingeschränkt. Der Oberste Gerichtshof der USA hat nun eine Berufung des Bundestaates Virginia abgewiesen, was bedeutet, dass das Gesetz neu formuliert werden muss.

Virginias Anti-Spam-Gesetz verbietet die massenhafte Verbreitung von jeglichen nicht vom Empfänger gewünschten E-Mails. Hier sind auch Sendungen mit religiösem und politischem sowie anderem Inhalt eingeschlossen, der durch die Redefreiheit verfassungsmäßig geschützt ist. Auf Basis dieses Gesetzes wurde Jaynes 2004 verurteilt. Ihm wurde vorgeworfen, mit dem Versenden von Spam-E-Mails sowie dem Verkauf von nicht existenten Waren und Dienstleistungen über 24 Mio. Dollar erwirtschaftet zu haben. Bis zu zehn Mio. Spam-Nachrichten verschickte der Cyberkriminielle täglich, wie die Anklage ausführte. Verurteilt wurde er schließlich zu neun Jahren Haft.

Durch die aktuelle Entscheidung der obersten US-Richter kann das Gesetz in Virginia als ungültig bezeichnet werden. Der Spammer hat zwar keine politischen oder religiösen Nachrichten verschickt. Durch seine erfolgreiche Anfechtung des Urteils, verschwindet allerdings die Grundlage für seine Verurteilung. Das Gefängnis wird er dennoch nicht verlassen können, immerhin verbüßt er auch eine Haftstrafe, die auf Grundlage von Bundesgesetzen verhängt wurde. Denn auch wenn das scharfe Anti-Spam-Gesetz in Virginia nun nicht zum Tragen kommet, verbieten Bundesgesetze die massenhafte Verbreitung von unerwünschten kommerziellen Werbemails.