Cybercrime:Die Polizei, Dein Freund und Hacker

Cybercrime: Die IT-Experten des LKA lesen Daten von beschlagnahmten Festplatten.

Die IT-Experten des LKA lesen Daten von beschlagnahmten Festplatten.

(Foto: Robert Haas)

Experten des Landeskriminalamts helfen Einrichtungen wie Krankenhäusern und Energieversorgern für den Ernstfall einer Cyber-Attacke zu trainieren. Ein Service, den es nicht für jedermann gibt.

Von Julian Hans

Ein Blick in das Büro von Mario Huber genügt, um sich davon zu überzeugen, dass der Chef von Dezernat 54 ein sehr ordentlicher Mensch ist: Hinter dem blitzblanken Schreibtisch ein Whiteboard, dass seinen Namen wirklich verdient, die Wände kahl. Läge da nicht eine reife Birne in der Obstschale, könnte man glauben, bei den Cybercops des bayerischen Landeskriminalamts machten die Maschinen die Arbeit allein.

Aber wenn man Huber ausdrücklich bittet, kann er zusammen mit seinen Kollegen auch ein gewaltiges Chaos anrichten: Dann fällt plötzlich in einem ganzen Betrieb die EDV aus, Festplatten werden verschlüsselt, die Geschäftsleitung bekommt einen Erpresserbrief mit einer hohen Geldforderung, genervte Kunden stornieren Aufträge und zu allem Überfluss rufen auch noch die Medien an: "Wir haben gehört, bei Ihnen gibt's Probleme. Was ist da los?". Das geht Schlag auf Schlag und die Firma muss zeigen, ob sie dem Stresstest gewachsen ist.

Das Chaos ist ein besonderer Service des LKA: Mit solchen Krisenstabsübungen können Unternehmen und Behörden den Ernstfall testen - einen Hackerangriff oder eine Infizierung mit Schadprogrammen. Den Service gibt es auch nicht für Jedermann, betont Huber, die Cyber-Experten vom LKA sollen vor allem Einrichtungen helfen, die zur "kritischen Infrastruktur" gezählt werden, also etwa großen Krankenhäusern, Behörden oder Elektrizitätswerken, die ganze Städte mit Energie versorgen. Unternehmen zahlen für so eine Übung an private Dienstleister leicht 10 000 Euro und mehr. Doch für Einrichtungen, die für den Erhalt der öffentlichen Ordnung unverzichtbar sind, gibt es diese Übung vom LKA gratis.

Cybercrime: Die Festplatten in der Kiste stammen aus einer Behörde. Sie wurden sicher gelöscht, bevor sie entsorgt werden.

Die Festplatten in der Kiste stammen aus einer Behörde. Sie wurden sicher gelöscht, bevor sie entsorgt werden.

(Foto: Robert Haas)

Auf den Ernstfall warten die Polizisten nicht erst, den hat es in jüngster Zeit gleich mehrfach gegeben. Im vergangenen November musste die Kreisklinik in Fürstenfeldbruck ihre Notaufnahme schließen, weil ein Virus die IT befallen hatte. Ähnlich erging es im Juni dieses Jahres einem privaten Krankenhaus in Ingolstadt, nachdem Hacker die Computer lahmgelegt hatten. Und im Dezember erpressten unbekannte Hacker den Münchner Maschinenbauer Krauss Maffei. Tagelang ging nichts mehr bei dem Unternehmen, das Anlagen für die Produktion und Verarbeitung von Kunststoffen in die ganze Welt liefert.

"München ist für die IT-Branche das Zentrum in Deutschland", sagt Huber. Deshalb ist es naheliegend, dass auch in der Kriminalitätsbekämpfung in diesem Feld viele Einrichtungen hier ihren Sitz haben. 2018 wurden 37 000 Cybercrime-Straftaten in Bayern angezeigt. "Wir schätzen das Dunkelfeld auf etwa 85 Prozent", sagt Huber. Bei einem großen Teil handelt es sich um mehr oder weniger gewöhnliche Straftaten, bei denen das Internet nur Tatmittel ist. Klassisches Beispiel ist der Ebay-Betrug, bei dem die bestellte Ware nach Zahlung nicht geliefert wird. Seit 2017 sitzen in jeder Polizeiinspektion in Bayern Beamte, die nur solche Fälle bearbeiten.

Auch die sogenannten Ransomware-Attacken sind im Grunde schlicht Erpressungsversuche, die über das Internet begangen werden: Ein Programm, das zum Beispiel per E-Mail an die Personalabteilung verschickt wurde ("Bewerbung im Anhang") infiziert die Computer, die Festplatten werden verschlüsselt. Den Code für die Entschlüsselung gibt es nur gegen Zahlung von Lösegeld.

Cybercrime: Die Experten schreiben Programme, mit denen ihre Kollegen Netzwerke durchkämmen.

Die Experten schreiben Programme, mit denen ihre Kollegen Netzwerke durchkämmen.

(Foto: Robert Haas)

"Die Qualität der Angriffe hat extrem zugenommen", sagt Huber. Früher hätten die Schadprogramme die fremden Computer sofort verschlüsselt. "Heute sind die Trojaner oft schon lange im System, bevor der Angriff startet. In der Zeit spähen die Eindringlinge das Unternehmen aus und passen ihre Forderungen dem an, was für das Opfer der Erpressung auf dem Spiel steht und was es zu leisten vermag".

Entschlüsseln können auch die Experten der Polizei die Rechner nicht. Trotzdem bitten sie die betroffenen Unternehmen, kein Lösegeld zu bezahlen, um das Geschäftsmodell der Erpresser nicht weiter zu fördern. "Aber ich kann es auch verstehen, wenn sie es trotzdem tun", sagt der Kriminaldirektor Huber. Etwa wenn einem Unternehmen mit jedem Tag, an dem die IT blockiert ist, Hunderttausende Euro an Umsatz verloren gingen.

Einen starken Komplizen haben die Straftäter, das ist die Scham. Wenn jemand eine Mail erhält, er sei beim Besuch einer Pornoseite beim Onanieren gefilmt worden, dann zahlen viele lieber, als das Risiko einzugehen, dass die Aufnahme veröffentlicht und an Bekannte und Kollegen verschickt wird. Dabei handelt es sich eigentlich immer um einen leeren Bluff, erklärt Huber: "Uns ist kein einziger Fall bekannt, wo so ein Film wirklich existierte".

Cybercrime: "Die Qualität der Angriffe hat extrem zugenommen", sagt der Dezernatsleiter Mario Huber.

"Die Qualität der Angriffe hat extrem zugenommen", sagt der Dezernatsleiter Mario Huber.

(Foto: Robert Haas)

Unternehmen wiederum fürchten einen Imageschaden, wenn sie Opfer eines Cyberangriffs wurden. Dann hat das Management die Wahl, ob es sich an die Polizei wendet oder an das Cyber-Abwehr-Zentrum des Verfassungsschutzes. Letzteres ist nicht an das Legalitätsprinzip gebunden. "Bei denen kann der Fall dann wirklich vertraulich bleiben", sagt Huber. Die Opfer müssen nicht davon ausgehen, dass die Anzeige in einen öffentlichen Strafprozess mündet. Umgekehrt verfügten die Polizei und das LKA über "das scharfe Schwert des Strafprozessrechts" - sie können Täter zur Verantwortung ziehen.

In der Regel werden auch Cyber-Straftaten von der örtlichen Polizeidienststelle bearbeitet. Erst wenn ein Fall überregionale Bedeutung hat, wird eventuell das LKA beauftragt. Die etwa 50 Beamten, die dort im Dezernat für Cybercrime arbeiten, sind meistens so ausgelastet, dass nur selten Zeit bleibt, um einfach mal ohne Anlass im Internet Streife zu gehen. Wenn Kollegen um Hilfe bitten, unterstützt das Dezernat sie bei ihren Ermittlungen mit ihrem Expertenwissen. Aber auch erst dann, wenn die ihre eigenen Möglichkeiten ausgeschöpft haben, erklärt Huber: "Wir machen keine Google-Abfragen für andere".

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: