Ganoven-Jagd im weltweiten Netz
Die Entwicklung der Kantonspolizei St.Gallen ist ein Abbild der Zunahme von Cybercrime-Fällen. Die Harddisk eines Laptops auslesen, die Daten auf einem Handy oder einem USB-Stick analysieren, das sind Tätigkeiten, die in der normalen Forensik längst Standard sind. Auch Ermittlungen in der digitalen Welt sind für Angehörige der Kantonspolizei St.Gallen nicht Neues. Allerdings werden diese Fälle stetig mehr und vor allem komplexer. Seit wenigen Jahren werden deshalb die Kompetenzen in diesem Bereich gebündelt und gezielt ausgebaut. Martin Reut erhielt 2018 den Auftrag, einen Fachdienst aufzubauen, heute ist er Polizeilicher Leiter des Kompetenzzentrums Cybercrime und Leiter der Abteilung IT-Forensik & Cybercrime.
«Das Ganze ist auch für die Täter hochkomplex, denn viele Firmen sind gut geschützt.»
Cyber-Delikte sind Alltag im ganzen Korps
Die ersten beiden Ermittler, die 2019 dazu stiessen, kamen aus dem Wirtschaftsbereich. «Die brachten schon ein gewisses Know-how mit, weil Fälle von Cyberkriminalität ja oft Wirtschaftsdelikte sind», sagt Martin Reut. Heute umfasst das Team 16 Personen, aufgeteilt in die Fachbereiche Technik und Ermittlung. Zusammen mit der Staatsanwaltschaft bildet dieses Team das Kompetenzzentrum Cybercrime. «Wir haben eine Staatsanwältin und einen Staatsanwalt, die explizit für diese Delikte zuständig sind,» erklärt Martin Reut, «sie arbeiten Büro an Büro in unseren Räumlichkeiten.»
Die 16 Fachspezialisten und Polizisten sind nicht die einzigen, die Cyber-Delikte verfolgen, das gehört mittlerweile zum Alltag des ganzen Korps. Das Kompetenzzentrum Cybercrime schult und unterstützt die Kollegen an der Front. «Wir können nicht erwarten, dass sie das gleiche Wissen haben wie wir, aber sie sind meistens diejenigen, die den ersten Kontakt mit einem Geschädigten haben», sagt Martin Reut. Alle Polizisten müssten sie in der Lage sein, die richten Angaben entgegenzunehmen, «dann haben wir eine gute Basis für eine Ermittlung.» Wenn die Leute an der Front gut ausgebildet seien, würden sie den Spezialisten viel Arbeit abnehmen. «Je weniger Unterstützung sie brauchen und kleinere Delikte selbst verfolgen, desto mehr können wir uns auf die hochkomplexen Fälle konzentrieren.»
Verschiedene Phänomene
Komplexe Fälle sind vor allem raffinierte Angriffe gegen Firmen, unter dem Begriff Cybercrime werden aber auch viele Delikte gegen Private erfasst. Damian Broger, Leiter IT-Ermittlung & Datenanalyse im Kompetenzzentrum Cybercrime, spricht von verschiedenen Phänomenen. Die Wirtschaft sei aktuell vor allem von Angriffen mit Ransomware betroffen: «Jemand dringt in ein Firmennetzwerk ein, verschlüsselt Daten und versucht, die Firma zu erpressen.»
Oftmals kommt es dabei auch zu einem sogenannten Data Leaking. Das heisst, dass vor der Verschlüsselung der Firmendaten diese durch die Täterschaft kopiert und anschliessend im Darknet zum Verkauf angeboten werden. Eine Firma wird also gleich doppelt erpresst.
Falsche E-Banking-Seite
Ein weiteres Phänomen ist Cybersquatting, das Nachahmen einer echten Website, für die auch eine zum Verwechseln ähnliche Domain-Adresse verwendet wird. «Statt www.kapo.sg.ch schreiben sie das ohne Punkt www.kaposg.ch», erläutert Broger. Auf diese Weise könnte man etwa das E-Banking-Portal einer Bank nachbauen, um an die Login-Daten zu gelangen. Banken und andere Dienstleister versuchen, hier Gegensteuer zu geben, indem sie solche irreführenden Domains ebenfalls auf sich selber registrieren. Sehr raffinierte Betrüger sorgen auch noch dafür, dass die falsche Seite ein hohes Google-Ranking hat, weil viele Benutzer auch bekannte Seiten über die Suchmaschine ansteuern.
Da Banken üblicherweise längst zu einer Zwei-Faktor-Authentifizierung übergegangen sind, müssten Angreifer gleichzeitig auch das Handy eines potenziellen Geschädigten mit einem Trojaner infizieren, um auch diesen Teil der Login-Daten zu erbeuten. Dies ist deutlich schwieriger für die Täterschaft. Daher versucht diese, auch teilweise mittels Social Engineering an die Codes des zweiten Faktors zu kommen. Alternativ kann die Täterschaft auch eine Malware auf dem Clientgerät des potenziellen Geschädigten installieren und einfach warten, bis die Credentials inklusive zweitem Faktor auf der legitimen E-Banking-Seite eingegeben wird. Danach wird die E-Banking-Sitzung beim Kunden unterbrochen und durch die Täterschaft übernommen.
Auch interessant
DDos-Attacken, Phishing, Hacking, Ransomware
Auch DDos-Attacken, die organisierte Überlastung einer Website durch unzählige Anfragen, treffen fast nur Unternehmen, grosse Organisationen oder staatliche Institutionen. Die Website einer Privatperson mit grossem Aufwand zu attackieren lohnt sich für Kriminelle nicht. Phishing ist gemäss Damian Broger sowohl in der Wirtschaftswelt als auch bei Privatpersonen anzutreffen und wird oft eingesetzt, um Zugangsdaten zu ergaunern, die dann für andere Tatbestände eingesetzt werden.
Der Kapo-Ermittler kennt aus seinem Alltag eine lange Reihe weiterer Varianten von Cybercrime-Attacken, das Problem sei, dass diese Phänomene oftmals miteinander kombiniert würden. «Das fängt an mit Phishing oder Hacking an, dann kommt es zu einer Erpressung mit Ransomware, und danach kann es noch zu einem Datenleaking kommen.»
Korrespondenz gefälscht
Immer wieder kommt es in Unternehmen zu Delikten der Kategorie CEO-Fraud. Dabei gibt sich die Täterschaft als CEO der Firma aus und weist die Finanzabteilung an, eine bestimmte Zahlung auszulösen. Bei der Variante BEC-Fraud schalten sich die Täter in die Korrespondenz einer echten Kundenbeziehung ein. Im Mailverkehr zwischen Auftragnehmer und Auftraggeber wechseln sie Zahlungsinformationen aus, was oft zu spät entdeckt wird, weil sich die Geschäftspartner kennen und sich vertrauen.
«Wenn man Zugang zum Netzwerk oder zumindest zu einem der Mailaccounts der Firma hat, kann man sich in Korrespondenz einklinken und E-Mails ändern oder selbst erstellen», erklärt Damian Broger. Das sei sehr aufwendig, unter Umständen aber auch sehr einträglich. Gerade im asiatischen Raum würden Angestellte oft noch Arbeiten am Feierabend von privaten Geräten aus erledigen, «auf diesen ist der Schutz nicht so hoch, da können Täter gut eindringen». Bei diesen Fällen ist der konkrete Tatort häufig nicht in der Schweiz, sondern im betreffenden asiatischen Land. «Juristisch sind wir dann gar nicht zuständig, aber oft erwartet eine geschädigte Firma in St.Gallen, dass wir trotzdem ermitteln.»
Wie oft eine Firma sich lieber über einen Angriff ausschweigt, ist unklar – das ist wirklich eine Dunkelziffer. Ein Tabu-Thema sei ein Cyber-Angriff aber längst nicht mehr, meint Martin Reut. «Die Wahrscheinlichkeit, dass man Opfer von Cyberkriminellen wird, auch wenn man ganz vieles in der Firma richtig gemacht hat, ist sehr gross.» Auch dann sei eine Vorbereitung sinnvoll, betont Damian Broger. Er kennt Firmen, die mustergültig aufgestellt und gut vorbereitet seien, «die haben solche Fälle auch schon durchgespielt». So weiss das Unternehmen, wer im Krisenfall für was zuständig ist und wer kurzfristige Entscheide fällt.
Etliche Firmen haben Verträge mit einem Cyber Security Response Team, mit externen Dienstleistern, die auf Malware-Angriffe spezialisiert sind. «Es ist eine Frage der Zeit, bis es einen trifft», sagt Broger. Deshalb sei ein Backup etwas vom Wichtigsten und etwas vom Einfachsten, das die Kapo empfehle: «Macht ein Backup und trennt es vom Netz!»
Lokalisierung gelingt oft
Wenn nach einem Cyberangriff eine Anzeige erstattet wird und die Kapo Ermittlungen aufnimmt, werden wie in einem grossen Puzzle-Spiel alle verfügbaren Elemente zu einem Bild zusammengefügt. «Wir sind sehr darauf bedacht, dass wir auch alle digitale Adressierungselemente – von einer Telefonnummer über eine IP-Adresse bis zu einer Bitcoin-Adresse – gleich bei der Anzeigeerstattung vollständig erheben», sagt Damian Broger. «Das sind digitale Spuren wie ein Fingerabdruck oder eine DNS im analogen Bereich.» Mit diesen Spuren sei das Lokalisieren von Täterschaften technisch durchaus machbar, wie Martin Reut erläutert, «da gibt es gute Möglichkeiten. Auch wenn gewisse Gruppierungen versuchen, anonym zu bleiben, und ihre Herkunft verschleiern – es besteht immer eine Chance.»
Nach der Lokalisierung bleibt eine Ermittlung aber oft stecken. Mit vielen asiatischen und afrikanischen Ländern oder auch mit Russland bestehen keine bilateralen Verträge über Rechtshilfe. «In diesen Fällen können wir die Täter praktisch nicht belangen, das ist aussichtslos», sagt Reut. «Vielleicht haben wir sogar einen Namen, ein Foto. Aber aufgrund fehlender gesetzlicher Vereinbarungen mit dem betreffenden Land kommen wir nicht an diese Leute heran.»
Internationaler Haftbefehl
Wenn eine konkrete Person identifiziert wurde und es sich um eine sehr schwerwiegende Tat handelt, gibt es eine weitere Option: Die Staatsanwaltschaft, die in St.Gallen das Verfahren führt, kann einen internationalen Haftbefehl ausstellen, wie Martin Reut erklärt. «Wenn die Person dann in ein Land reist, mit dem die Schweiz ein Auslieferungsabkommen hat, würde sie dort zurückgehalten und eventuell ausgeliefert.» Manchmal liege es sogar im Interesse des Aufenthaltslandes eines Täters, auch ohne Abkommen eigene Abklärungen aufzunehmen.
Selbst Täter, die ihre Identität gut verschleiern und mit Kryptowährungen arbeiten, hinterlassen früher oder später Spuren. «Irgendwann will ich Bares, keine Bitcoins – die Motivation der Täter ist ja, Geld zu verdienen», sagt Reut. Der Eintausch gibt dann Hinweise, um die Täterschaft zu ermitteln.
«Die ganze Geschichte eines Bitcoins lässt sich öffentlich nachverfolgen», erläutert Damian Broger, «das Einzige, was man nicht sieht, ist der wirtschaftlich Berechtigte.» Das Kompetenzzentrum der Kapo hat zusätzliche Expertise in diesem Bereich, «wir können das vertieft analysieren, und wir haben spezialisierte Software, wir können einzelne Empfangsadressen beispielsweise einer bestimmten Kryptowährungsbank oder anderen Dienstleistern zuordnen».
Auch interessant
«Macht ein Backup und trennt es vom Netz!»
Weitere Taten präventiv stören
Wenn es den Ermittlungsbehörden nicht gelingt, an eine Täterschaft heranzukommen, dann können sie auch versuchen, den Tätern ihre Werkzeuge wegzunehmen. «Wir haben auch schon eine IBAN eines Bankaccounts einer Bank gemeldet und sie darauf aufmerksam gemacht, dass dieses Konto für Geldwäscherei genutzt wird», sagt Damian Broger.
Auch das ist aber nicht so einfach, wie es klingt. «Bei uns sind die gesetzlichen Grundlagen noch nicht so, dass wir solche Erkenntnisse automatisch mit Banken und anderen Firmen austauschen dürfen», sagt Broger. «Dieses Thema sollte politisch angegangen werden: Es gibt zwar Instrumente; die fehlenden rechtlichen Grundlagen verhindern manchmal aber, dass wir sie einsetzen können.»
Empfehlung: Nicht zahlen!
Würden sich alle Erpressungsopfer an die Empfehlungen der Behörden wie etwa dem Nationalen Zentrum für Cybersicherheit des Bundes (National Cyber Security Centre, NCSC; früher die Melde- und Analysestelle Informationssicherung, Melani) halten, dann gäbe es keine Bitcoins nachzuverfolgen. Die Ansage der Experten lautet immer: Nicht zahlen!
Wie viele Opfer trotzdem auf eine Erpressung eingehen, lässt sich nicht beziffern, wie Martin Reut sagt. «Unsere Empfehlung an Geschädigten ist aber immer, nicht zu zahlen.» Abgesehen davon, dass man keinerlei Garantie habe, dass nach dem Einsatz von Ransomware tatsächlich die Daten wieder entschlüsselt würden, sei die Erpressung das Business der Angreifer. «Wenn man zahlt, machen sie es gleich wieder», warnt Reut. «Vielleicht wird man alsbald wieder erpresst, und der Betrag wird höher.»
Wenn man auf eine Erpressung eingeht und eine Zahlung macht, dann habe man im besten Fall die Daten wieder. «Aber die Sicherheitslücke, die den Tätern das Eindringen ermöglichte, besteht wahrscheinlich immer noch», gibt Damian Broger zu bedenken. Die Täter würden oft Wochen oder Monate, bevor man es merkt, in ein Netzwerk eindringen, «und da schauen sie sich ganz genau um». Mit einer Zahlung sei das Problem nicht erledigt, «die offenen Tore muss man auch wieder zumachen können».
Dienstleister im Darknet
Cyberkrimelle verfügen heute über ein grosses Know-how, wobei gerade bei komplexeren Angriffen selten Einzeltäter dahinterstehen. «Das Ganze ist auch für die Täter hochkomplex, denn viele Firmen sind heute gut geschützt. Und diesen Schutz umgeht man nicht so einfach», betont Martin Reut. Auch eine Person mit hohem IT-Wissen in einem bestimmten Bereich hätte das breit gefächerte Know-how nicht, um einen solchen Angriff von A bis Z durchzuführen. «Wenn jemand als Koordinator etwas geplant hat, dann kann er weitere Leute dazu nehmen, die spezifische Kenntnisse beisteuern.» Manchmal seien das Leute, die sich kennen, oft aber würde das fehlende Know-how mehr oder weniger anonym im Darknet eingekauft. «Wer einen Skripter braucht, der für eine Operation ein Tool schreibt, kann diesen Service gegen Dollar oder Bitcoins einkaufen», sagt Reut.
Eine Bande von Cyberkriminellen kann sich also ad hoc bilden und aus Personen aus verschiedensten Erdteilen bestehen. «Im Cyberbereich interessiert sich niemand für Grenzen», sagt Martin Reut. «Das macht es für uns zusätzlich schwierig, weil die Leute natürlich nicht mit ihren Klarnamen unterwegs sind.»
Vernetzte Ermittlungen
Diese globale Struktur hinter komplexen Angriffen mit Ransomware gegen Firmen macht es fast unmöglich, die Täter tatsächlich zur Rechenschaft zu ziehen. «Da sind wir realistisch», sagt Martin Reut, «die Quote tendiert gegen Null.»
Was die Behörden allerdings tun können: ebenfalls vernetzt zu arbeiten. Die Kapo St.Gallen arbeitet nicht nur im Verbund mit anderen Kantonen, sondern auch im Europolverbund mit anderen Ländern zusammen, etwa in der Joint Cybercrime Action Task Force (J-CAT), in der auch Länder ausserhalb Europas wie die USA, Australien, Kanada oder Brasilien zusammengeschlossen sind. «Hier können wir Daten zusammenführen und abgleichen», sagt Damian Broger. Wenn festgestellt wird, dass beispielsweise zehn Länder von den gleichen Angreifern betroffen sind, wird der Fall koordiniert. «Wir geben unser Puzzleteil da rein, dann wird aufgeteilt und bestimmt, wer welche Teilermittlung weiterführt.»
Kleine werden eher geschnappt
Manchmal gelingt ein Schlag gegen Helfershelfer solcher Banden in der Schweiz, denn gelegentlich werden Drittpersonen in der Schweiz eingesetzt, die hier ein Konto betreiben. So lässt sich umgehen, dass potenzielle Opfer direkt eine Auslandszahlung machen müssen. «Wenn ich jemanden betrügen will und eine Zahlung auf ein Konto in Nigeria verlange, reagiert ein Geschädigter viel sensibler, als wenn es eine Kontonummer in der Schweiz ist», erklärt Damian Broger. Diese Money Mules, Geldesel, genannten Helfer machen sich in der Schweiz der Geldwäscherei schuldig.
Bezogen auf die Gesamtsumme an Cyberdelikten ist die Aufklärungsquote deutlich höher, denn hier fallen viele Betrügereien kleinerer Fische in der Statistik an. Oft handelt es sich um Leute aus der Schweiz, die auf Online-Marktplätzen wie Ricardo oder Tutti Artikel anbieten, die es gar nicht gibt. «Man bringt Käufer dazu, eine Vorauszahlung zu machen, und das war's», sagt Martin Reut. «Wenn ein Täter 200 Franken kassiert und das zehn Mal macht, sind das leicht verdiente 2000 Franken.» Für die Spezialisten der Kapo sind das aber auch leicht ermittelbare Täter, wie Damian Broger darlegt: «Im Inland haben wir sehr gute Möglichkeiten, die Täterschaft zu identifizieren und der Strafverfolgung zuzuführen.»
