Zum Inhalt springen

G DATA / Cybersicherheit in Zahlen 2024

Von einem Dresdner Altbau aus wird ein so stiller wie effektiver Kampf geführt: Die Polizisten im Cybercrime Competence Center Sachsen gehen gegen international verflochtene Banden von Online-Kriminellen vor. Ihre stärksten Waffen heißen Zusammenarbeit und Vertrauen. 



Das Bild zeigt drei Fotos, die auf einem dunklen Hintergrund angeordnet sind. Die Fotos zeigen eine Maschine, die Leiterplatten bearbeitet. Die Maschine ist hell erleuchtet und mit vielen Kabeln und elektronischen Bauteilen ausgestattet. Im Vordergrund sind rote Netzwerkkabel zu sehen. Der Text auf dem Bild lautet: "Die Trickdot-Gruppe arbeitet organisiert, hierarchisch gegliedert."

Die Mobilfunkforensik arbeitet im Großraum, manchmal mit robusten Methoden: Hier werden Chips aus Handys geschraubt und – wenn es sein muss – mittels Bohrer oder Hitze von der Platine gelöst.  / Fotos: iStock

Allein schon das Wort ruft Bilder im kollektiven Gedächtnis hervor: „Cyberkriminalität“ scheint auf ewig mit abgedunkelten Räumen in kühlen Glasbauten verbunden zu sein. Über riesige Monitorwände laufen dort endlose Datenreihen aus Nullen und Einsen durch, selbstverständlich in Grün auf Schwarz. Nur: Mit dem Alltag im Cybercrime Competence Center (SN4C) des Landeskriminalamts Sachsen am Stadtrand von Dresden haben diese so eindrücklichen wie schlichten Vorstellungen rein gar nichts zu tun. Zwar türmt sich auch in den Räumen des SN4C modernste IT-Technik, doch ansonsten ist die Welt der Cyberkriminalität und deren Bekämpfung deutlich komplexer. Mit federnden Schritten läuft Henrik Hohenlohe über den weiten Flur eines Dresdner Altbaus. Seit 2016 ist der 46-jährige Kriminaloberrat Leiter des SN4C, der größten Organisationseinheit in der Abteilung 3 des sächsischen Landeskriminalamtes (LKA). Hohenlohe hat beste Laune: Seine Leute waren gerade wichtiger Bestandteil eines internationalen Coups. Europol nennt den Erfolg in einer Pressemeldung „die größte jemals durchgeführte Operation gegen Bot-Netze“ und einen „Schlag gegen das Ökosystem von Dropper-Malware“. Dropper wie IcedID, SystemBC, Pikabot, Smokeloader und Bumblebee wären lahmgelegt, mehr als 2000 Domains unter Kontrolle gebracht und weltweit mehr als hundert Server abgeschaltet oder gestört worden, unter anderem in Großbritannien, Kanada, Bulgarien, den USA und der Ukraine. Nach 16 Durchsuchungen in mehreren Ländern konnten vier Personen festgenommen werden, drei in der Ukraine, eine in Armenien. Klangvoller Name der gelungenen Operation: „Endgame“.

Sieben auf einen Streich

Später veröffentlicht das Bundeskriminalamt (BKA) in Wiesbaden die Namen und Gesichter von acht weiteren Beschuldigten, die nun auf der „Europe’s Most Wanted“-Liste von Europol stehen. Sieben Tatverdächtige, heißt es auf der Seite des BKA, stehen „im Verdacht, Mitglied der Trickbot-Gruppierung (...) gewesen zu sein. Diese Gruppierung ist seit mindestens 2016 aktiv und verwendete verschiedene Schadsoftware-Varianten (...), um Computersysteme zu infizieren, sensible Daten zu stehlen und in vielen Fällen sogenannte Ransomware nachzuladen, mit welcher die Systeme verschlüsselt und ein Lösegeld, zahlbar in Kryptowährungen, zur Entschlüsselung verlangt werden konnte.“ Nach den Ermittlungen des Bundeskriminalamtes hatte die mindestens seit 2016 aktive „Trickbot-Gruppe“, wie sie sich selbst nannte, mehr als hundert Mitglieder und „arbeitet organisiert, hierarchisch gegliedert“ sowie „projekt- und gewinnorientiert“. Die Gruppierung sei verantwortlich für die Infektion von „mehreren Hunderttausend Systemen in Deutschland und weltweit“, darunter Behörden, Krankenhäuser, Unternehmen und auch Privatpersonen. Dropper sind unerkannte Einfallstore zu Computern oder ganzen Systemen, weshalb sie oft auch als Trojanische Pferde bezeichnet werden. Die Dropper selbst richten meist keinen Schaden an. Sie werden oft durch Mails ungewollt installiert und von der Virensoftware nicht als Problem erkannt, ganz einfach, weil es keine Viren sind. Jedoch kann über sie Schadsoftware „nachgeladen“ werden. Schaltet man also die Dropper aus, indem man die dazugehörigen Botnetze angreift, nimmt man Cyberkriminellen eines ihrer wichtigsten Werkzeuge.

Lieber die Infrastruktur lahmlegen

Genau darin sind Henrik Hohenlohe und sein Team ziemlich gut. „Wir verfolgen mittlerweile auch den sogenannten Infrastrukturansatz, weil er aus unserer Sicht effektiver ist“, erklärt Hohenlohe. „Neben dem täterbezogenen Ermittlungsansatz, der oft ein Stück weit einem Hase-und-Igel-Spiel zwischen den Strafverfolgungsbehörden und den Tätern gleicht, verfolgen wir damit das Ziel, die zugrunde liegende Infrastruktur der Täter lahmzulegen.“ Allein kann das sächsische Cybercrime Competence Center mit seinen rund 90 Mitarbeitenden gegen das digital organisierte Verbrechen jedoch nicht viel ausrichten. Erst im Verbund mit Ermittlungsbehörden anderer Bundesländer, dem BKA und internationalen Partnern wie etwa dem FBI kann eine Operation wie „Endgame“ gelingen. Hohenlohe eilt weiter über die Flure bis zu jenem Großraum, in dem die Mobilfunkforensik arbeitet. Hier werden Chips aus Handys geschraubt und – wenn es sein muss – mittels Bohrer oder Hitze von der Platine gelöst. Fast egal, wie sehr ein Handy zerstört oder verschlüsselt wurde, am Ende kommt das LKA fast immer an die Daten, erzählt Hohenlohe – mit ein wenig Stolz in der Stimme. Zurück in seinem schmucklosen Büro nimmt er an einem Resopaltisch Platz, darauf ein MacBook, ein paar Ordner mit Ermittlungsakten, Unterlagen zu „Business Intelligence“. An der Wand hängt eine Kinderzeichnung von einem Roboter in Rot und Blau, darunter steht „Viel Spaß im LKA“. Doch mit Spaß hat Hohenlohes Arbeit selten zu tun, viel zu massiv ist mittlerweile der Schaden, den Cyberkriminalität anrichtet. Sie ist eine mächtige Sparte des Organisierten Verbrechens. „Straftaten im Bereich Cybercrime liegen in Deutschland weiter auf einem hohen Niveau“ heißt es im letztjährigen „Bundeslagebild Cybercrime“ des BKA. Während die Zahl der ausschließlich in Deutschland verübten Verbrechen mit knapp 135000 in den vergangenen Jahren in etwa konstant geblieben ist, steigt die Zahl der vom Ausland aus in Deutschland verübten Cyberverbrechen seit ihrer Erfassung im Jahr 2020 Jahr für Jahr. 2023 waren es laut „Bundeslagebild Cybercrime“ 28 Prozent mehr Cyberverbrechen „im engeren Sinne“ aus dem Ausland. Den Gesamtschaden in 2023 schätzt der IT-Branchenverband Bitkom auf rund 148 Milliarden Euro. „So wie alles andere in unserer Gesellschaft digitalisiert sich auch die Kriminalität“, sagt Hohenlohe schulterzuckend. „Mittlerweile findet in den meisten Ermittlungsverfahren eine Auswertung digitaler Spuren statt.“ Die Grenzen zwischen analoger, sozusagen klassischer, und digitaler Kriminalität verwischen zunehmend. Wann eine Straftat ein ausgewiesenes Cyberverbrechen ist, lässt sich nicht mehr klar beantworten. Vielleicht schon, wenn für die Vorbereitung ein Smartphone benutzt wurde? Oder doch erst, wenn Datenbanken entwendet oder ganze IT-Systeme blockiert wurden? Für Hohenlohe ist das nur „eine akademische Frage“. Seine Abteilung kümmert sich sowieso um alle diese Fälle, ausnahmslos.

Ein Mann mittleren Alters mit Glatze und Brille steht lächelnd vor einer technischen Einrichtung. Er trägt einen grauen Blazer und ein helles Hemd. Im Hintergrund sind Server oder Computer zu sehen, was auf eine Büroumgebung hindeutet.

Kriminaloberrat Henrik Hohenlohe ist seit acht Jahren Cyberkrieger von Staats wegen – und so sieht er aus, wenn seinem Team gerade ein großer Fisch ins digitale Netz gegangen ist. 


Der täterbezogene Ermittlungsansatz gleicht oft einem Hase-und-Igel-Spiel.
Henrik Hohenlohe

Die Module des Verbrechens

Deutsche Ermittlungsbehörden unterscheiden offiziell dennoch zwischen Cyberkriminalität „im weiteren und im engeren Sinne“. Der Unterschied: Erstere fasst alle Straftaten zusammen, bei denen in irgendeiner Form Computer, das Internet oder Mobiltelefone für „herkömmliche Verbrechen“ wie Betrugsdelikte oder Kinderpornografie genutzt wurden, quasi Verbrechen mit IT. Hier leistet Hohenlohes Abteilung schlicht Ermittlungsunterstützung: Daten sichern, Handys oder Rechner aufschrauben, Mikrochips lösen und auslesen. Das andere, also die Cyberkriminalität im engeren Sinn, erklärt Hohenlohe, meint sämtliche Angriffe auf IT-Systeme und Datenbanken: Phishing, Hacking, Ransomware. Selbstverständlich habe man in Dresden die wichtigen Basiskompetenzen alle im Haus, sagt Hohenlohe. Mit der Zahl von rund 90 Mitarbeitenden sei es jedoch unmöglich, alle Bereiche und Fähigkeiten zu hundert Prozent abzudecken. Das sei mittlerweile aber auch gar nicht mehr notwendig. Die bundes- und europaweite Zusammenarbeit unter den Ermittlungsbehörden funktioniere heute so gut, dass man sich eng austausche und gegenseitig unterstütze. Letztlich verfolgen Ermittlungsbehörden überall auf der Welt immer dieselben Täter, die immer dieselben Straftaten begehen – oft erfolglos, weil die Verbrechen unübersichtlich und komplex sind. Die internationale Zusammenarbeit helfe, ein klareres Bild der Täter und ihrer Taten zu bekommen, erklärt Hohenlohe. Mit aufwendig konzertierten Operationen wie „Endgame“ ließen sich Strukturen von Cyberkriminellen zerstören und Täter vor Gericht bringen. Dafür steuert jede Cybercrime-Behörde ihre individuellen Kompetenzen bei. In Dresden zum Beispiel, sagt Hohenlohe, haben sie einen ausgewiesenen Experten für Kryptowährungen. Dessen Fähigkeiten frage auch schon mal das US-amerikanische FBI an. Insofern machten es die Ermittler nicht anders als die Verbrecher, sagt Hohenlohe: Man nutzt den Sachverstand anderer Experten zu eigenen Zwecken. „Heutzutage braucht man als Täter eigentlich keine tiefgreifenden Programmierkenntnisse mehr, schließlich gibt es das, was wir ‚Cybercrime as a Service‘ nennen.“ Kriminelle können längst alle Module eines Verbrechens, wie Hohenlohe sie nennt, zusammenstellen und in jedem Bereich – von den Phishing Mails über das Eindringen in die Datenbanken bis hin zum Wissen um Kryptowährungen zur Auszahlung des Lösegeldes – auf eine enorme Spezialisierung und Professionalisierung zurückgreifen. „Diese Infrastruktur ist international und anonym“, sagt Hohenlohe. Die verschiedenen Täter würden sich untereinander oft gar nicht mehr kennen. Um solche Netzwerke aufzutun und zu zerstören, bräuchten Strafverfolgungsbehörden ähnliche Strukturen. „Wir stellen diesen internationalen Systemen der Täter ein internationales System der Strafverfolgung gegenüber“, fasst Hohenlohe zusammen. Kriminaloberkommissarin Sabine Schütz arbeitet im LKA Sachsen für die sogenannte ZAC, die Zentrale Ansprechstelle Cybercrime. Auch wenn Schütz Informatik studierte, eine Zeit lang als Frontend-Entwicklerin und in der Suchmaschinenoptimierung gearbeitet hat – ihr Kindheitstraum war immer die Arbeit bei der Polizei, erzählt die 38-Jährige. Schütz hat acht Jahre im Ermittlungsdienst des sächsischen Cybercrime-Zentrums gearbeitet und ist heute die Frau, die sächsische Unternehmen im Idealfall anrufen, wenn sie ein Problem mit Hackern und/oder Erpressern haben. Wie so ein Angriff aussehen kann, erläutert sie in der Praxis regelmäßig. In ihrer Standardpräsentation mit dem Titel „Cybercrime – Phänomene und polizeiliche Handlungsfelder“ skizziert sie das Schreckensszenario einer typischen Cybererpressung. In der betroffenen Firma gehen Mails ein, in denen es zum Beispiel heißt: „Alle Ihre Dateien wurden verschlüsselt. Dies umfasst (ist aber nicht darauf beschränkt) Fotos, Dokumente und Tabellenkalkulationen.“ Es folgen eine Bitcoin-Adresse sowie die Erklärung, wie die Daten im Falle einer Zahlung wieder zu entschlüsseln seien. Mit mehr als zehn Prozent aller Anzeigen stehen solche Ransomware-Erpressungen in Sachsen auf Platz 3 der Cyberangriffe 2023. Dabei schätzen Experten das Dunkelfeld – also die Zahl der nicht angezeigten Straftaten – auf bis zu 91,5 Prozent. Anders gesagt: Nicht einmal zehn Prozent der Opfer von Phishing, Hacking und digitaler Erpressung zeigen die verübten Verbrechen an. Der Rest zahlt. Und schweigt.

Eine junge Frau mit blonden Haaren steht lächelnd vor einem Serverraum. Sie trägt ein kariertes Hemd und eine dunkle Hose. Unter ihr befinden sich mehrere Netzwerkkabel in verschiedenen Farben.

Sabine Schütz ist auf ZAC, also Ansprechpartnerin bei der Zentralen Ansprechstelle Cybercrime: Wenn sächsische Unternehmen einen Angriff auf ihre Systeme vermuten, rufen sie im Idealfall die Polizistin an.  / Fotos: iStock

Wenn Irrglaube teuer wird

Durchschnittlich 621858 US-Dollar – also insgesamt mehr als 1,1 Milliarden Euro – zahlten nach Angaben des BKA im vergangenen Jahr Unternehmen an solche Erpresser, um möglichst schnell wieder an ihre Daten oder in ihre Systeme zu kommen. Und auch, um nicht öffentlich bekennen zu müssen, wie schlecht sie ihre IT gesichert haben. Nach der unzureichenden Sicherung der Systeme machen Unternehmen hier gleich den zweiten Fehler, weiß Sabine Schütz. Doch sie weiß auch, dass es dafür nachvollziehbare Gründe gibt. In ihrer Präsentation vor Unternehmen listet sie die größten Vorurteile gegenüber ihrer Cybercrime-Abteilung auf. „Lösegeld zahlen vs. nicht zahlen?“ – das steht ganz oben auf ihrer Liste. „Die Entscheidung bleibt in Ihrer Hand! Die Polizei rät zum ‚nicht bezahlen‘“. Direkt darunter heißt es: „Die finden den Täter doch sowieso nicht!“ Und: „Die Polizei nimmt unsere Technik mit!“ Es sei genau dieser Irrglaube, der von Cybercrime betroffene Unternehmen davon abhalte, sich an die Polizei zu wenden, sagt Schütz. Auch Henrik Hohenlohe ordnet ein: „Es hält sich ja immer noch die Vorstellung, wir kommen mit einer Hundertschaft auf den Hof, nehmen die gesamte Rechentechnik mit, und das Unternehmen kann deshalb nicht mehr weiterarbeiten.“ Tatsächlich aber reiche für die Ermittlungen eine forensische Kopie, also ein Duplikat, bei dem Bit für Bit alle Dateien, Ordner, aber auch der nicht genutzte oder freigegebene Speicherplatz kopiert werden. Nur die Rechner von Tatverdächtigen würden beschlagnahmt. Dann beginnen die digitalen Ermittlungen. Logfile für Logfile, Datei für Datei suchen Hohenlohes Leute nach Spuren, die die Kriminellen hinterlassen haben könnten – ähnliche Strukturen und Codes in der Programmierung, Formulierungen in den Mails, ein bestimmtes Vorgehen im Digitalen und Finanziellen. So, erzählt Schütz, lasse sich trotz aller Abstraktheit des Digitalen doch ein recht konkretes Muster des jeweiligen Verbrechens herausarbeiten. Die Cyberermittlungen werden von den klassischen Instrumenten der Polizeiarbeit ergänzt: Befragungen, Verhöre, Fingerabdrücke. Bestimmte interne Informationen seien in Unternehmen nur beschränkten Personenkreisen zugänglich, sagt Schütz. Deshalb stellen sich die Fragen: Wer wusste was? Wer hat welche Informationen weitergegeben? Und wie und wo könnte schädliche Software ins System gelangt sein? Aus den Antworten füge sich dann ein Bild des Verbrechens. Im besten Fall könne man im Anschluss konkrete Verdächtige ausmachen.

Was heißt hier eigentlich Erfolg?

„Der Fokus der polizeilichen Ermittlung richtet sich zunächst auf den oder die Täter. Das ist sozusagen der erste Strang“, sagt Henrik Hohenlohe. „Der zweite Strang ist deren Infrastruktur, die es zu bekämpfen gilt. Als dritten Bekämpfungsstrang kann man aber auch den Vertrauensverlust bezeichnen, den Täter oder Tätergruppierungen in der Szene bei Erfolgen der Strafverfolgung erleiden. Im Optimalfall bringt man diese drei Komponenten zusammen, um das Phänomen in den Griff zu bekommen.“ Erfolge wie die Operation „Endgame“ seien vor allem auch so wichtig, weil sie Opfern von Cyberkriminalität signalisieren: Die Polizei ist nicht machtlos! Das Internet ist auch faktisch kein rechtsfreier Raum. Der Erfolg schafft im besten Fall Vertrauen. Und das Vertrauen sorgt, im besten Fall, für mehr Anzeigen und mehr Informationen – und damit wiederum für mehr Erfolge. Wobei sich die Frage aufdrängt: Was heißt eigentlich Erfolg? Wie bei allen Arten von Polizeiarbeit wird es auch im Bereich Cyberkriminalität nie möglich sein, ein Verbrechen für immer und vollkommen zu verhindern, räumt Experte Hohenlohe ein. Ja, manche Formen von Phishing hätten in den vergangenen Jahren deutlich abgenommen. Gleichzeitig aber seien andere Formen des massenhaften digitalen Betrugs in die Höhe geschossen. Die zukünftige Entwicklung der Cyberkriminalität zeichnet sich bereits deutlich ab. „Das große Thema ist sicherlich künstliche Intelligenz. Ganz einfach weil viele Scams damit automatisiert werden können und die Mails und ihre Gestaltung viel glaubhafter generiert werden können“, sagt Hohenlohe. Es ist bald kaum mehr damit zu rechnen, dass sich technisch weniger versierte Cyberkriminelle durch fragwürdige Formulierungen oder nachlässige Gestaltung in und von Spam-Mails verraten. Umso entscheidender ist und bleibt der Faktor Mensch. Aufmerksame Mitarbeiterinnen und Mitarbeiter bieten den wirksamsten Schutz vor Cyberkriminalität.

Das Bild zeigt ein Foto in einem weißen Bilderrahmen, das in eine braune Mappe eingebettet ist. Das Foto selbst zeigt eine Maschine, die über einem blauen Gegenstand auf einer metallischen Oberfläche fährt. Mehrere Kabel in verschiedenen Farben ragen aus dem unteren Bildrand. Ein Text auf der Mappe lautet: "Die Polizei holt keine Rechner ab. Sie zieht sich nur eine digitale Kopie."

Fotos: iStock


Dieser Text stammt aus unserer Redaktion Corporate Publishing.