Serie Cybersicherheit: Keine Angst vor der Polizei – Was Unternehmen nach einem Cyberangriff erwartet

Herr Wickenhäuser, wie unterscheidet sich die Aufgabenstellung des LKA von der anderer Behörden ?

Das Landeskriminalamt ist eine Strafverfolgungsbehörde. Unsere Aufgabe ist es, Täter in Zusammenarbeit mit der Staatsanwaltschaft zu identifizieren, zu überführen und vor Gericht zu bringen. Um die dafür notwendigen Erkenntnisse zu gewinnen, untersuchen wir beispielsweise Finanzströme im Umfeld der Cyberkriminalität, dringen tief in die Täterinfrastruktur ein und machen sie, wenn möglich, unbrauchbar.

Beim Stichwort Strafverfolgung wird es manchen Unternehmern mulmig, weil sie befürchten, sich bei falschem Umgang mit einer Cyberattacke selbst strafbar zu machen. Können Sie ihnen diese Sorge nehmen?

Ja. Von Cyberkriminalität betroffene Unternehmen sind Opfer, keine Täter – und so behandeln wir sie auch. Das gilt selbst dann, wenn ein Verantwortlicher in einer seltenen Konstellation möglicherweise gegen eine Rechtsvorschrift verstoßen haben sollte.

Risiken für Unternehmen bestehen durchaus, sie liegen jedoch weniger in unserem Verantwortungsbereich als im Datenschutz: Sind bei einem Cyberangriff personenbezogene Daten etwa von Kunden oder Beschäftigten betroffen, muss das Unternehmen dies unverzüglich dem Landesdatenschutzbeauftragten melden. Andernfalls drohen Bußgelder – aber nicht zwangsläufig eine strafrechtliche Verfolgung.

Wo beginnt die Arbeit des Landeskriminalamts bei einem Cyberangriff?

Dann, wenn ein Angriff durch Cyberkriminelle erfolgt ist und das betroffene Unternehmen Anzeige erstattet – etwa über die beim LKA eingerichtete Zentrale Ansprechstelle Cybercrime (ZAC), die rund um die Uhr erreichbar ist. Nach der Erstberatung durch die ZAC nimmt entweder das zuständige Polizeipräsidium oder das LKA selbst dann sehr schnell Kontakt zu den Verantwortlichen im Unternehmen auf, um die Lage sowie die erforderlichen Maßnahmen zur Schadensbegrenzung und Spurensicherung zu besprechen. Oftmals findet zunächst eine Online-Sitzung mit der Geschäftsführung, den IT- und Sicherheitsverantwortlichen sowie gegebenenfalls dem beauftragten IT-Dienstleister statt. Häufig sind wir auch direkt vor Ort.

Welche Sofortmaßnahmen sollte ein Unternehmen ergreifen, bevor es Experten oder die Polizei einschaltet, damit keine Spuren verloren gehen?

Gerade bei schweren Vorfällen wie Ransomware-Angriffen ist es entscheidend, dass wir die betroffenen Netzwerke, gegebenenfalls mithilfe forensischer Dienstleister, tiefgehend untersuchen können. Dafür müssen alle relevanten Systeme vom Netz genommen, gesichert und gespiegelt werden – möglichst auch die Arbeitsspeicher. Diese Schritte sind ohnehin für die Wiederherstellung der Systeme notwendig. Somit entsteht den Unternehmen kein zusätzlicher Aufwand.

Albert Wickenhäuser, Erster Kriminalhauptkommissar am Landeskriminalamt Baden-Württemberg, ist für die Verfolgung von Straftaten im Bereich Cybercrime zuständig.

Bei allen Schritten sind wir auf eine enge Zusammenarbeit mit den IT-Verantwortlichen angewiesen. Dabei ist uns wichtig, nicht im Weg zu stehen: Die Täterermittlung ist äußerst relevant, absoluten Vorrang hat jedoch, dass das Unternehmen schnell wieder handlungsfähig wird. Jede Minute Stillstand kostet Geld und kann die Existenz gefährden. Deshalb nehmen wir möglichst keine Computer oder Datenträger mit, sondern fertigen allenfalls Kopien an.

Sie haben es bereits erwähnt: Viele kleine und mittlere Unternehmen verfügen über keinen eigenen IT-Verantwortlichen und verlassen sich auf externe Dienstleister. Wie gehen Sie vor, wenn es ein solches Unternehmen trifft?

Die Zusammenarbeit mit externen IT-Dienstleistern kann für kleinere Unternehmen durchaus sinnvoll sein – allerdings nur, wenn es sich um einen wirklich kompetenten Partner handelt. Zu oft erleben wir jedoch, dass die Wahl auf „Peters Computerecke“ fällt, deren Server drei Generationen alt sind und die die IT-Systeme eines Unternehmens nicht professionell betreiben können. In vielen KMU ist die IT über Jahre gewachsen und nicht stringent gepflegt worden.

Man kann es nicht deutlich genug sagen: Heute kommt kein Unternehmen mehr an einer professionell aufgesetzten und gewarteten IT-Infrastruktur vorbei. Das kostet Geld, aber es ist unvermeidlich. Jeder Euro, den man bei der IT-Sicherheit einspart, verursacht später unweigerlich ein Vielfaches an Kosten – und kann im schlimmsten Fall das Aus für das Unternehmen bedeuten.

Welche technischen oder organisatorischen Mindestmaßnahmen empfehlen Sie KMU?

Der BSI-Grundschutz muss erfüllt sein – das ist das absolute Minimum. Konsequentes Patch-Management, eine aktuelle Firewall sowie regelmäßige, funktionierende Backups sind auch im kleinsten Unternehmen umsetzbar. Darauf zu verzichten ist, als würde man ohne Fallschirm aus dem Flugzeug springen.

Wie gehen Sie vor, um den Urhebern eines Cyberangriffs auf die Spur zu kommen?

Zu detailliert kann ich das nicht erläutern, da wir den Tätern sonst wertvolle Informationen liefern würden. Grundsätzlich lassen sich jedoch sogenannte Command-and-Control-Server als wichtige Ansatzpunkte nennen. Diese werden von den Tätern häufig unter falschem Namen angemietet, um von dort aus Cyberangriffe zu steuern. Je nach Ausgangslage haben wir Möglichkeiten, diese Server zu identifizieren und gegen sie vorzugehen. Auch durch ihre Kommunikation hinterlassen die Täter Spuren – etwa durch Phishing-Mails, mit denen Schadsoftware eingeschleust wird, oder durch die sogenannte Ransom Note, den digitalen Erpresserbrief mit der Lösegeldforderung.

Wie kommen Sie an die Urheber heran? Diese tarnen sich gut und agieren oft aus Staaten, die nicht ausliefern.

Zunächst ist es sinnvoll, Ermittlungen zu bündeln. Es führt nicht zum Erfolg, jede einzelne Tat isoliert zu verfolgen. In Deutschland konzentriert sich jede Dienststelle im Cybercrime-Bereich auf bestimmte international agierende Tätergruppierungen. So hat das LKA Baden-Württemberg beispielsweise die zentralen Ermittlungen gegen die Gruppen GandCrab und REvil geführt – letztere attackierten unter anderem das Staatstheater Stuttgart. Dabei konnten durchaus Erfolge erzielt werden. So ist es uns gelungen, in der Slowakei einen sogenannten Affiliate festzunehmen. Affiliates sind gewissermaßen die Franchisenehmer krimineller Organisationen und operieren besonders nah am Ziel.

Dieser Täter wurde vom Landgericht Stuttgart zu sieben Jahren Haft verurteilt (das Urteil ist noch nicht rechtskräftig). Ein weiterer Affiliate wurde mit unserer Unterstützung in den USA festgenommen und ebenfalls zu einer langjährigen Freiheitsstrafe verurteilt. Darüber hinaus konnten wir sowohl den Kopf als auch den Chefprogrammierer von GandCrab identifizieren, die wir in Russland vermuten und nach denen wir international fahnden.

Und dort bleiben sie unerreichbar?

Nicht zwangsläufig. Auch diese Täter wollen ihr erpresstes Geld ausgeben – etwa auf Auslandsreisen. Und es existieren internationale Haftbefehle. Hinzu kommt: Die Verantwortlichen schätzen es überhaupt nicht, wenn ihre Anonymität aufgehoben und ihre Namen öffentlich gemacht werden. Genau das tun westliche Strafverfolgungsbehörden zunehmend. Die Namen bedeutender Cyberkrimineller tauchen inzwischen auch auf Sanktionslisten der EU auf. Kurz gesagt: Die kriminelle Cyberszene agiert keineswegs risikofrei – und es lohnt sich für betroffene Unternehmen in jedem Fall, Anzeige zu erstatten.