Cyberkriminalität zählt zu einem der größten Risiken für die deutsche Wirtschaft. Leider werden nach wie vor die wenigsten Fälle zur Anzeige gebracht. Dabei würde dies positiv zur Aufklärungsrate der Cybervorfälle beitragen. Die Polizei ist auf die Mithilfe der Unternehmen angewiesen, um Hackern das Handwerk legen zu können.
Im Gespräch mit Peter Vahrenhorst, Kriminalhauptkommissar beim Landeskriminalamt in Nordrhein-Westfalen. In dieser Funktion ist er außerdem für die Prävention Cybercrime zuständig.
Wie schätzen Sie die aktuelle Bedrohung durch Cyberkriminalität für deutsche Unternehmen ein?
Es gibt kein klassisches Notensystem von 1 bis 6, welches man zur Bewertung heranziehen kann. Die Wirtschaft ist sehr unterschiedlich aufgestellt. Es gibt viele große Player, die über eine eigene IT-Abteilung verfügen und dadurch schon recht gut aufgestellt sind. Darüber hinaus gibt es viele kleine, mittelständische Unternehmen, die für die deutsche Wirtschaft natürlich immens wichtig sind, aber ein wenig Probleme machen. Diese Unternehmen fokussieren sich auf ihr Kerngeschäft und müssen sich zusätzlich noch um IT-Aufgaben kümmern. In etlichen Unternehmen funktioniert dies dennoch sehr gut, bei anderen allerdings fehlen diese IT-Kompetenzen. Somit ist ein Clustering fast unmöglich, da die Verhältnisse doch sehr unterschiedlich sind. Es ist quasi wie in einem Gemischtwarenladen. Einige Mittelständler sind schon sehr gut aufgestellt, bei anderen muss definitiv noch etwas getan werden.
Gibt es eine Tendenz welche Industriezweige oder Unternehmen besonders betroffen sind?
Ich würde keine Branche explizit nennen. Es kann sicher vorkommen, dass sich Angriffe auf einen Industriezweig häufen. Dennoch sollte man sich als Unternehmen nie zurücklehnen und darauf zählen, dass man nicht in das Raster passt. Gerade der jüngste Angriff auf die Uniklinik in Düsseldorf ist ein gutes Beispiel dafür. Originär galt der Angriff der Universität, und aufgrund der Namensgleichheit attackierten die Hacker das Krankenhaus. Unternehmen sollten sich somit nicht darauf verlassen, dass andere Branchen betroffen sind. Das wäre eine falsche Sicherheit.
Lassen sich saisonale Schwankungen erkennen? Gibt es bei Cybercrime eine Sommerpause?
Nein, Cybercrime ist kein Saisongeschäft. Es gab eine Art “Coronapause”, wenn man sich die Verbreitung der Emotet-Schadsoftware anschaut. Hier wurde die Coronazeit allerdings vor allem dafür genutzt, um die Systeme zu verbessern und gestärkt wieder an den Start zu gehen. Auf der anderen Seite gab es aber Cyberkriminelle, die genau diese Coronazeit oder die Homeoffice-Phase ausgenutzt haben. Es gibt eine Bandbreite an Tätern, die vollkommen unterschiedlich agieren. Wenn die einen Pause machen, machen die anderen weiter. Eine “Sommerpause” oder eine Phase, in der Stillstand herrscht, bemerken wir nicht.
Wie hat sich generell die Lage in den letzten Jahren verändert? Gibt es einen Anstieg an Wirtschaftsverbrechen durch Hacker, oder verringert sich die Anzahl?
Das ist eine schwierige Frage, da wir als Polizei natürlich nur das bewerten können, das uns auch angezeigt wird. Es existiert ein großes Dunkelfeld. Das Anzeigeverhalten der betroffenen Parteien spiegelt nicht die Realität wider. Betrachten wir also nur die Anzeigen, die tatsächlich gemeldet werden, sind wir nicht nah genug an der tatsächlichen Lage. Es gibt viele Unternehmen, die Gründe haben – oder die meinen Gründe zu haben – warum sie nicht zur Polizei gehen. Das kann man befürworten oder nicht, aber die Anzahl an Anzeigen entspricht nicht der Realität, sodass man andere Faktoren betrachten muss, um diese Frage zu beantworten.
Sollte ein Unternehmen, das Opfer eines Cyberangriffs geworden ist, in jedem Fall die Polizei informieren?
Wir empfehlen Unternehmen, jeden Vorfall dieser Art zur Anzeige zu bringen. Unternehmen nehmen letztlich nur den eigenen Fall wahr. Vermeintlich geht es aber einer Reihe von anderen Unternehmen genauso. Der Einzelne sieht das nicht, für uns ergeben sich allerdings wichtige Tatzusammenhänge. Ein Beispiel zur Veranschaulichung: Vor einigen Tagen wurde eine E-Mail an ein Unternehmen versendet, in der angedroht wurde, dass eine Brandvorrichtung in dem Firmengebäude installiert wurde und diese nicht gezündet wird, wenn ein Betrag X in Bitcoins gezahlt wird. Diese Mail haben allerdings etliche andere Unternehmen ebenfalls bekommen. Es wurden Gebäude geräumt und nach Brandvorrichtungen gesucht – es war aber nichts zu finden. Das Untersuchen der E-Mails hat dann gezeigt, dass in allen E-Mails die gleiche Wallet hinterlegt wurde. Der Täter hätte nicht ermitteln können, welches Unternehmen den Betrag gezahlt hat. Im Einzelnen hätte diese Erkenntnis nicht gewonnen werden können. Dadurch, dass verschiedene Unternehmen den Vorfall gemeldet haben, konnte allerdings festgestellt werden, dass die Mail substanzlos ist. Aus diesen Gründen empfehlen wir Unternehmen, sich mit allen Vorfällen an die Polizei zu wenden.
Wähle ich dazu ganz klassisch die 110?
Es hat sich gezeigt, dass die klassische 110 nicht der richtige Weg für Wirtschaftsunternehmen ist, um die Polizei zu informieren. Die Wachdienst-Beamten machen alle einen guten Job, aber sie sind keine Cybercrime-Experten. In NRW gibt es seit 2011 eine 24/7-Hotline. Unter Verwendung der Nummer 0211 / 939 4040 können sich Unternehmen an die Polizei wenden und Ihren Cybernotfall melden. Spezialisten melden sich dann zurück und stimmen die notwendigen Maßnahmen ab.
Wie geht die Polizei bei der Ermittlung vor? Wird der Tatort wie bei einem anderen Verbrechen genau untersucht?
Das ist sicher fallabhängig. Es gibt Sachverhalte, bei denen wir nicht zwingend vor Ort sein müssen. Bekommt ein Unternehmen beispielsweise eine Erpresser-Mail, müssen wir nicht vor Ort sein. Wenn sich ein Unternehmen beispielsweise aber, wie es bei der Uniklinik Düsseldorf der Fall war, ein Verschlüsselungsprogramm einfängt, sind wir vor Ort und unterstützen das Unternehmen mit unserem Knowhow, damit sich der Schaden in Grenzen hält. Das ist ein wesentlicher Teil unserer Polizeiarbeit. Wie wir vorgehen, entscheiden wir allerdings nicht im Alleingang, sondern immer in Absprache mit der geschädigten Partei.
Arbeiten Sie dabei eng mit den IT-Dienstleistern und IT-Forensiker zusammen oder bringen Sie Ihre eigenen Experten mit?
Wir verfügen über eigene Experten. In den meisten Fällen ist aber bereits ein IT-Dienstleister involviert. Wir arbeiten dann zusammen in einem Team, auch wenn der jeweilige Anspruch variiert. In den Spezialistenkreisen kennt man sich aber, man weß über die Fähigkeiten der Anderen. Somit ist es eine gute Zusammenarbeit.
Geben Sie den betroffenen Parteien im Anschluss Tipps wie man sich zukünftig vor einen Cyberangriff schützen kann oder übersteigt dies Ihren Zuständigkeitsbereich?
Prävention gehört zum Portfolio der Polizei. Dabei übernehmen wir keine technische Prävention, das heißt: Wir geben keine Ratschläge, welche Häkchen oder Filter gesetzt werden müssen. Allerdings unterstützen wir Unternehmen bei der Prozessabstimmung. Prozesse spielen bei der Digitalisierung eine wesentliche Rolle und sind dadurch wichtiger Bestandteil der Prävention. Wir beraten Unternehmen vor allem dahingehend, dass sie im Cybernotfall richtig und schnell reagieren können. Das ist auf alle Fälle ein präventiver Bereich, den wir als Polizei abdecken. Im besten Fall kommen wir, bevor ein Cyberangriff stattfindet, aber natürlich unterstützen wir auch nach dem Notfall, sodass man besser vorbereitet ist, sollte es zu einem zweiten Vorfall kommen.
Unternehmen können sich somit an die Polizei wenden, um sich über Cyberrisiken und Cyberschutz informieren zu lassen?
Ja, wir bieten das an. Aber man muss natürlich die Größenordnung beachten: In Nordrhein-Westfalen gibt es ungefähr 860.000 Unternehmen. Wir sind nicht so aufgestellt, dass wir jedes Unternehmen beraten können. Wir versuchen aber Plattformen zu nutzen, um eine Vielzahl an Unternehmen zu erreichen.
Was sind die gegenwärtigen Aufklärungchancen?
Es wäre fatal, wenn ich sage, wir haben gar keine Chancen. Das wäre auch falsch. Aber auch hier gilt, dass wir uns nur auf das beziehen können, was auch angezeigt wird. Laut der jüngst veröffentlichten Kriminalstatistik 2019* liegen wir mit einer Aufklärungsquote von 26 Prozent im Bereich Cybercrime über den allgemeinen Durchschnitt und damit in einem guten Bereich.
*Diese Statistik bezieht sich auf das Bundesland Nordrhein-Westfalen
Hacker hinterlassen demnach durchaus Spuren im Netz, die man verfolgen kann?
Hacker machen Fehler und sind nicht immer so sorgfältig in dem, was sie tun. Diese Fehler finden wir, und das bietet gute Ansätze, um sie letztlich zu stellen. In den meisten Fällen geht es Hackern um Geld – das ist eine weitere Spur, der man folgen kann, um Cyberkriminelle zu finden. Dies sind Ansätze, denen wir nachgehen, wie bei jeder anderen Ermittlungsarbeit auch. Polizeiarbeit ist Sisyphusarbeit, bei der man einzelne Punkte verbindet um letztlich beim Täter zu landen. Nur arbeitet man im Bereich Cybercrime nicht mit physischen, sondern mit digitalen Spuren.
Gibt es eine internationale Zusammenarbeit, um Cyberkriminelle aufzuspüren?
Im Einzelfall arbeiten wir auch mit anderen Ländern zusammen. Es gibt eine europäische Dienststelle, es gibt andere Bereiche internationaler Zusammenarbeit. Wir sind gelegentlich auch mit eigenen Ermittlern im Ausland unterwegs und kooperieren mit den örtlichen Kollegen, um einen Täter festzunehmen. Außerdem sind ausländische Kollegen hier vor Ort, mit denen wir zusammenarbeiten. Die Art und der Umfang der Zusammenarbeit ist allerdings von Land zu Land unterschiedlich. Bei einigen klappt es besser, bei anderen weniger gut. Aufgrund der Digitalisierung ist es zur Normalität geworden, dass man über die eigenen Grenzen blicken muss.
Kann man Aussagen dazu tätigen, ob aus einem bestimmten Land Hacker verstärkt agieren?
Nein, es gibt keinen Schwerpunkt. Es gibt gute Hacker in Russland, es gibt gute Hacker in Israel, in Südamerika, und natürlich auch in Deutschland. Es lässt sich also keine verallgemeinernde Aussage darüber tätigen, von welchem Land Hackerangriffe vor allem ausgehen. Auch hier gilt: Täter sind international unterwegs.
Kann man einen Zeitraum nennen, in dem ein Cybervorfall durchschnittlich aufgeklärt wird?
Die Bandbreite ist groß, da gibt es keinen validen Durchschnitt, der gezogen werden kann. Man kann den Täter innerhalb einer Woche kriegen, oder man arbeitet drei Jahre an einem Tatkomplex und klärt ihn trotzdem nicht auf.
Zu guter Letzt – die Tatort-Frage: Ist eine digitale Spur irgendwann kalt?
Es gibt diese Aussage: “Nach 48 Stunden sind die Spuren kalt”. Das funktioniert generell nicht so. Die Realität der Polizeiarbeit sieht anders aus. Auch bei Morddelikten kommen längere Standzeiten durchaus vor, und der Täter wird letztlich dennoch gefasst.