ST-Montagsinterview

Hacker: „Die Täter wollen fast immer Lösegeld“ - und keiner ist sicher

Markus Hartmann leitet die Schwerpunkt-Staatsanwaltschaft ZAC NRW in Köln.
+
Markus Hartmann leitet die Schwerpunkt-Staatsanwaltschaft ZAC NRW in Köln.

Staatsanwalt Markus Hartmann spricht im ST-Montagsinterview darüber, wie die Spezial-Staatsanwälte Cyberkriminalität bekämpfen - Hackerangriff bis Kinderpornografie. Und er sagt, warum niemand das Thema unterschätzen sollte.

Von Kristin Dowe

Herr Hartmann, kürzlich ist die Bergische Universität Wuppertal Opfer eines Hackerangriffs geworden. Was können Sie als zuständige Schwerpunkt-Staatsanwaltschaft für Cyberkriminalität zum aktuellen Stand der Ermittlungen sagen?

Markus Hartmann: Derzeit müssen wir noch sehr zurückhaltend sein, da es sich um ein laufendes Verfahren handelt. Fakt ist, dass es Implikationen für die Infrastruktur der Bergischen Universität gegeben hat.

Zu den Hintergründen und insbesondere zu einer möglichen Urheberschaft des Angriffs sowie zur Zuordnung zu möglichen Tätergruppierungen dauern die Ermittlungen noch mit großer Intensität an. Aus ermittlungstaktischen Gründen kann und möchte ich mich deshalb derzeit nicht zu Detailfragen bezüglich des Falls äußern.

Die Bergische Universität wurde im Nachgang für ihre gute Reaktion auf den Vorfall gelobt. Worin bestand diese?

Hartmann: Aus juristischer Sicht kann ich sagen, dass wir frühzeitig in die Ermittlungen eingebunden wurden. Geschwindigkeit ist ein wesentlicher Faktor, da Spuren im Internet immer zeitkritisch sind.

Wenn man zu spät kommt, hat man nicht – wie im analogen Leben – möglicherweise nur eine schlechte Spur, sondern im Regelfall gar keine Spur mehr. Deshalb begrüßen wir es, wenn frühzeitig Strafanzeige erstattet wird.

Zur konkreten Vorgehensweise der Universität müssten wir wieder sehr dezidiert in den Ermittlungsstand eintreten, deshalb bitte ich auch da um Geduld in Bezug auf Detailinformationen.

Auch diverse Solinger Firmen waren in der Vergangenheit schon virtuellen Angriffsversuchen ausgesetzt. Wie können Unternehmen und öffentliche Einrichtungen sich am besten schützen?

Hartmann: Der wichtigste Punkt aus unserer Sicht ist das Bewusstsein von Infrastrukturen für die eigene Angreifbarkeit – egal, ob sie unternehmerischen Ursprungs oder in der öffentlichen Hand sind.

Wir erleben allzu oft, dass Betreiber von Infrastrukturen glauben, dass sie zu klein oder unbedeutend seien, um Opfer eines Hackerangriffs zu werden. Gerade im Bereich des Mittelstands ist diese Haltung verbreitet. Auf Basis der Ermittlungsverfahren, die wir hier führen, stellen wir aber immer wieder fest: Was gehackt werden kann, wird auch gehackt.

Insofern ist die Frage nicht, ob man Opfer einer cyberkriminellen Handlung wird, sondern ausschließlich wann – und ob man es mitbekommt. Sicherheit ist kein Zustand, sondern vielmehr ein Prozess. Die Idee, dass man sicher ist, wenn man sich einen Virenscanner oder eine Firewall zulegt, ist weit verbreitet, aber grundfalsch.

Man muss dauerhaft die eigene Angreifbarkeit überprüfen, Schwachstellen finden und beseitigen und erst dann kann man tatsächlich ein gutes Sicherheitsniveau erreichen. Es ist ein wenig wie beim Einbruchsdiebstahl: Ich kann mein Schloss ertüchtigen und meine Fenster absichern. Natürlich kann der Täter immer noch Zutritt erlangen, wenn er noch stärkere Einbruchsmittel benutzt. Im Ergebnis geht er aber einfach weiter zum nächsten Opfer, das schlechter gesichert ist.

So ist es auch im digitalen Bereich: Man muss ein adäquates Niveau an Sicherheit erreichen, damit es für die Täter unattraktiv wird, die eigene Infrastruktur zu kompromittieren.

Welche Motive verfolgen die Täter nach Ihrer Erfahrung mit solchen Hackerangriffen?

Hartmann: Die Angreifer sind, von sehr wenigen Ausnahmen einmal abgesehen, finanziell motiviert. Die Lösegelderpressung ist der primäre Ansatz, um an Geld zu kommen.

Sehr häufig werden auch im Vorfeld solcher Lösegelderpressungen Daten in den betroffenen Einrichtungen gestohlen. Dann stellen diese Daten entweder selbst einen Gegenwert dar und können verkauft werden, oder es wird mit deren möglicher Veröffentlichung eine zweite Erpressungsschiene aufgemacht. Weitere Motive sind im Bereich der Wirtschaftsspionage und dem Erlangen von Geschäftsgeheimnissen angesiedelt. Die Möglichkeiten sind für die Täter vielfältig.

Haben solche Angriffe im Zuge des Krieges in der Ukraine zugenommen?

Hartmann: Auf Basis unserer Ermittlungsverfahren können wir dazu keine valide Aussage treffen. Grundsätzlich können wir sagen, dass jedes weltpolitische Ereignis immer auch Auswirkungen auf die Cyber-Sicherheitslage hat.

Auf Basis unserer Aktenlage sind aber keine signifikanten Auswirkungen im Zusammenhang mit dem Krieg in der Ukraine zu beobachten. Das bedeutet nicht, dass es diese nicht gibt. Als Staatsanwaltschaft erfahren wir ja immer nur die Fälle, die auch angezeigt werden, es gibt sicherlich auch ein großes Dunkelfeld.

Wie schwierig gestalten sich die Ermittlungen bei Fällen wie dem der Bergischen Universität?

Hartmann: Die Schwierigkeiten sind ganz unterschiedlicher Natur. Zum einen sind sie sehr stark von den technischen Gegebenheiten abhängig. In diesem Feld arbeiten wir sehr eng mit den Kollegen der Spezialdienstellen der Polizei und teilweise auch mit privaten Personen als Sachverständige oder Institutionen zusammen, die für die betroffenen Unternehmen als Sicherheitsdienstleister tätig sind.

Wenn Angreifer hochprofessionell in ein Netzwerk eindringen, ist es schon sehr schwierig, die Spuren so sauber zu sichern, um nachvollziehen zu können, wie der Angriff stattgefunden hat und wie der Angreifer überhaupt ins Netz gekommen ist.

Die Technikfrage ist auch aus juristischer Sicht ausgesprochen komplex, weil diese Sachverhalte so gut wie nie ausschließlich in Deutschland spielen, sondern wir fast immer einen internationalen Zusammenhang haben.

Die Täter sind weltweit vernetzt. Dann müssen wir auch im internationalen Kontext ermitteln, was – mit Blick auf die zeitliche Komponente – schon eine Herausforderung ist. Hinzu kommt, dass die Rechtshilfe nicht in jedem Land so reibungslos funktioniert wie etwa mit Großbritannien oder Frankreich.

Die Zentral- und Ansprechstelle Cybercrime (ZAC) NRW gibt es seit 2016. Welche Möglichkeiten haben Sie, die andere Staatsanwaltschaften nicht haben?

Hartmann: Wir arbeiten hier mit knapp 50 Staatsanwältinnen und Staatsanwälten, die sich mit allen Erscheinungsformen digitaler Kriminalität beschäftigen. Da hat das Land NRW tatsächlich eine große und leistungsfähige Infrastruktur geschaffen, die jenseits des normalen Tagesbetriebs einer Staatsanwaltschaft diese Phänomene gezielt aufgreifen kann.

Wir haben mehrere Kolleginnen und Kollegen, die sich ausschließlich auf die Ermittlungen im Bereich Lösegelderpressungen und Ransomware sowie Angriffe auf kritische Infrastrukturen konzentrieren. Wegen der hohen Spezialisierung ist das Maß an Fachkunde, das ich erwerben kann, größer, als wenn ich ein relativ breites Portfolio in meinem Zuständigkeitsbereich habe.

Weiterhin haben wir sehr gute Verflechtungen mit nationalen und internationalen Strafverfolgungsbehörden. Dieses Netzwerk ist sehr hilfreich. Zudem sind wir bei der ZAC NRW für alle mit unseren Verfahren zusammenhängenden Sachverhalte der Rechtshilfe zuständig. Wir unterhalten genauso enge Kontakte mit den amerikanischen Kollegen vom FBI oder anderen Sicherheitsbehörden. Auch mit der britischen National Crime Agency pflegen wir im Rahmen von internationalen Ermittlungen enge Kontakte. Diese gebündelten Kompetenzen und die organisatorischen Möglichkeiten sind klare Stärken einer solchen Zentralstelle.

Welche Formen von Cyberkriminalität beschäftigen Sie abseits von Hackerangriffen noch?

Hartmann: Wir haben im operativen Teil der Zentralstelle einzelne Fachabteilungen, von denen sich zwei mit Cyberkriminalität im engeren Sinne befassen. Dazu zählen wir neben den schon erwähnten Angriffen auf kritische Infrastrukturen auch herausgehobene Verfahren der Internet- und Kommunikationskriminalität sowie die Bekämpfung von Drogen- und Waffenhandel im Netz.

Eine dritte Abteilung setzt sich mit digitaler Hasskriminalität auseinander, also allen Fragestellungen rund um Straftaten wie Volksverhetzung oder Beleidigung im Netz. Bei unserem Projekt „Verfolgen statt nur Löschen“ arbeiten wir mit einigen Medienhäusern in NRW, der Landesanstalt für Medien und dem Landeskriminalamt eng zusammen, um etwa Hass in den Kommentarspalten der Medien wirkungsvoll zu bekämpfen.

Eine vierte operative Abteilung beschäftigt sich mit der Verfolgung von Kindesmissbrauchs und Missbrauchsdarstellungen im Netz, wenn Sie etwa an die Missbrauchskomplexe von Bergisch Gladbach oder zuletzt auch Wermelskirchen denken. Zu guter Letzt gibt es unsere Zukunftsabteilung, wo wir junge Kolleginnen und Kollegen im Haus ausbilden, die ihren Berufseinstieg bei der Staatsanwaltschaft machen, um sie frühzeitig an die technischen Kompetenzen heranzuführen.

Die Fallzahlen beim Konsum von Kinderpornografie sind auch bei uns im Bergischen Städtedreieck während der Corona-Pandemie deutlich gestiegen. Welche Erfolge haben die Ermittler in diesem Feld zu verzeichnen?

Hartmann: Vielleicht ist dieser statistische Anstieg der Zahlen schon der Ausweis unseres größten Erfolgs. Ich glaube nicht, dass es tatsächlich mehr Fälle gibt, sondern dass wir in Nordrhein-Westfalen unsere Ermittlungsaktivitäten in diesem Bereich deutlich ausgeweitet haben und besser darin geworden sind, solche Fälle zu erkennen.

Nehmen Sie etwa das Verfahren Bergisch Gladbach: Dort ist es uns gemeinsam mit den Kolleginnen und Kollegen der Polizeidienststellen mit einem riesigen logistischen Aufwand gelungen, Hunderte von Spuren innerhalb von kürzester Zeit abzuarbeiten, so dass mittlerweile alle Haupttäter, die selbst Kinder missbraucht oder die Bilder des Missbrauchs im Internet geteilt und getauscht haben, umfänglich ermittelt und angeklagt werden konnten.
Dazu auch: Wermelskircher fand Opfer als Babysitter

Welche Strategie wenden Sie bei diesen Ermittlungen an?

Hartmann: Das Besondere ist, dass wir als ZAC NRW gemeinsam mit unseren polizeilichen Partnern bei jeder Missbrauchstat deren digitales Umfeld ausleuchten: Kommunikationspartner, Plattformen, auf denen die Täter sich angemeldet hatten, Messenger-Chats, in denen solche Bilder getauscht werden. Diese Fülle an Material wird ausgewertet, so dass wir uns von Tauschpartner zu Tauschpartner weiterhangeln und ganze Netze aufklären können.

Darüber hinaus werden alle eingehenden Meldungen in NRW von ausländischen Mitteilungspartnern und amerikanischen Institutionen bei der ZAC NRW und dem Landeskriminalamt NRW zentralisiert.

Wenn bei uns dann eine Meldung über einen in Rede stehenden Missbrauch eingeht, können wir innerhalb kürzester Zeit mit einem Durchsuchungsbeschluss oder einem Haftbefehl entsprechende Maßnahmen ergreifen, um Kinder aus einer Gefahrenlage befreien zu können. Und natürlich um Beweise so zu sichern, dass diese auch für eine Anklage reichen.

Zur Person: Markus Hartmann

Oberstaatsanwalt Markus Hartmann ist Leiter der Zentral- und Ansprechstelle Cybercrime (ZAC) NRW mit Sitz in Köln. 2016 als Schwerpunkt-Staatsanwaltschaft für Computerkriminalität ins Leben gerufen, ist die ZAC NRW bei der Staatsanwaltschaft Köln angesiedelt.

Das könnte Sie auch interessieren

Unsere News per Mail

Nach der Registrierung erhalten Sie eine E-Mail mit einem Bestätigungslink. Erst mit Anklicken dieses Links ist die Anmeldung abgeschlossen. Ihre Einwilligung zum Erhalt des Newsletters können Sie jederzeit über einen Link am Ende jeder E-Mail widerrufen.

Die mit Stern (*) markierten Felder sind Pflichtfelder.

Kommentare