zurück zum Artikel

Digitale Straftaten wird es immer geben und mit Verhaftungen allein wird man ihrer nicht Herr, sagt Kanadas Cybercrime-Coordinator. Er setzt auf Teamgeist.

"Es gibt viele Fehleinschätzungen dessen, was die Polizei im Kampf gegen Cybercrime tun kann, oder wie sie dabei vorgeht", bedauert Chris Lynam im Gespräch mit heise online im Rahmen der 35. FIRST Conference 2023 in Montréal. Das sei mit ein Grund für die geringen Anzeigenquoten und enorm hohen Dunkelziffern bei digitalen Straftaten. Lynam ist Generaldirektor des kanadischen National Cybercrime Coordination Centre (NC3), einer Abteilung der Königlich-Kanadischen Berittenen Bundespolizei RCMP, sowie Leiter des Canadian Anti-Fraud Centre. "Es besteht die Angst, dass nach der Anzeige eines Hacks die Polizei alle Daten beschlagnahmt und den gehackten Betrieb stilllegt", berichtet Lynam. "So arbeiten wir aber nicht."

FIRST steht hier für Forum of Incident Response and Security Teams. Die Organisation bringt IT-Sicherheitsteams und Incident-Response-Einrichtungen aller Länder zusammen. Ihr gehören Computer Emergency Response Teams (CERT) von über 600 Firmen, Behörden, Universitäten und anderen Einrichtungen aus hundert Ländern aller besiedelten Kontinente an. Die 35. FIRST Conference fand vergangene Woche in Montréal, Kanada, statt, und Lynam hielt den Schlussvortrag.

Die Polizei weiß, was du letzten Sommer getan hast

Sein Credo: "Wir werden Cybercrime nicht durch Verhaftungen abstellen." Notwendig sei ein "ganzheitlicher Ansatz". Dazu gehört neben Bewusstseinsbildung und Vorbeugung, junge Leute möglichst davon abzuhalten, IT-kriminell zu werden. Das geht beispielsweise so: Anfang April nehmen Polizeibehörden im Rahmen der Aktion Cookie Monster [1] in mehreren Ländern gleichzeitig 119 Personen fest; sie sollen sich am Untergrund-Marktplatz Genesis Market beteiligt haben, wo insbesondere gestohlene Zugangsdaten für fremde Konten gehandelt wurden. In Kanada lässt Lynam seine Kollegen 79 Mal ausrücken.

"Aber nur neun davon waren Verhaftungen und Hausdurchsuchungen", verrät er im Gespräch mit heise online. "Der Rest waren Unterhaltungen. 'Hey, wir wissen, dass du auf Genesis warst.'" Lynams Hoffnung ist, dass sich die kleinen Fische in Zukunft in saubereren Gewässern herumtreiben, wissend, dass sie jetzt beobachtet werden und Glück haben, nicht im Knast zu sitzen. Diese Gespräche führen nicht nerdige Cybercops aus Kanadas Hauptstadt Ottawa, sondern Beamte der jeweils lokalen Polizeistation. Der unmittelbare Kontakt vor Ort sei wichtig, betont der Chef der kanadischen Cybercrime-Abteilung.

Opfer lehnen Hilfe oft ab

Dabei vermittelt er den Eindruck, dass die Gespräche mit digitalen Kleinkriminellen bisweilen erfolgreicher verlaufen als Kontaktaufnahmen mit Opfern: "Wir erhalten oft Hinweise von internationalen Partnern (auf gerade laufende Angriffe), dann kontaktieren wir die Opfer in Kanada. Aber die glauben oft, dass wir die Betrüger sind. Denn vielleicht wissen sie noch gar nicht, dass sie gehackt wurden."

Ein solches Beispiel sei die Hive-Ransomware, die Mitte 2021 aufgetaucht ist. Mehr als 1.500 Firmen in mehr als 80 Ländern wurden damit um mehr als 100 Millionen US-Dollar erpresst; in Deutschland war beispielsweise Media-Markt-Saturn von dem Ransomware-Angriff mit Hive betroffen [2]. Im Juli 2022 gelang es dem FBI, die IT-Infrastruktur der Hive-Gruppe zu übernehmen [3] und die Schlüssel für die Entschlüsselung der als Geiseln genommenen Daten herunterzuladen.

Das hat mehr als 300 Opfer gerettet, von denen die Täter insgesamt weitere 130 Millionen Dollar haben wollten. Außerdem haben den Angaben vom Januar zufolge über 1.000 frühere Opfer ebenfalls von der Polizei die Schlüssel erhalten, um Daten entschlüsseln zu können. Als die RCMP mit den vom FBI erhaltenen Schlüsseln Betroffenen in Kanada helfen möchte, stoßen die Polizisten auf Gegenwehr. Die Opfer vermuten hinter dem echten Hilfsangebot eine weitere Finte.

Lynam empfiehlt Unternehmen und anderen Einrichtungen grundsätzlich, sich auf Hacks vorzubereiten. Dazu gehöre, schon im Voraus festzustellen, wen man bei der örtlichen Polizei im Falle des Falles kontaktieren muss. Ebenfalls dazu gehöre, darauf vorbereitet zu sein, von der Polizei kontaktiert zu werden. Wer seinen Ansprechpartner bei der Behörde schon kennt, könne dann leicht rückfragen, ob die Kontaktaufnahme echt ist.

Aufruf zu Teamarbeit

"Malware ist Malware, egal, von wem sie kommt", ist ein häufiges Credo in CERT-Kreisen. Und weil nicht nur Verbrecherbanden, sondern auch Geheimdienste und Polizeibehörden immer wieder versuchen, Sicherheitslücken auszunutzen, bringen White-Hat-Hacker staatlichen Akteuren eine gesunde Portion Misstrauen entgegen. Also warum tritt jemand wie Chris Lynam auf Veranstaltungen wie der FIRST Conference 2023 auf?

"IT-Straftaten werden nie ganz verschwinden", erklärt Lynam im Gespräch mit heise online. Die Aufgabe sei, die Auswirkungen von Hacks so gering wie möglich zu halten. Und das werde nur mit Teamgeist gelingen. "Es muss mehr sein als die Polizei. Die Privatwirtschaft, die CERTs" – alle müssten zusammenarbeiten. Und: "Dieses Team muss besser sein als die Kriminellen." Daher sucht er das direkte Gespräch mit CERTs, die in Montréal zahlreich versammelt waren.

Job-Drehtür als Vorteil

Bei der Teamarbeit helfe auch das oft gescholtene Drehtürprinzip: "Nirgendwo auf der Welt kann die Polizei IT-Experten wettbewerbsfähige Gehälter zahlen", gesteht der oberste IT-Polizist Kanadas ein. Seine Mitarbeiter beim National Cybercrime Coordination Centre könnten in der Privatwirtschaft mehr verdienen: "Wir versuchen, Menschen zu finden, die durch die Mission motiviert sind, die die Leidenschaft haben, Kanadiern zu helfen." Und wenn die nach ein paar Jahren dann doch in die Privatwirtschaft wechseln, sei das kein Problem, sondern im Gegenteil von großem Vorteil.

"Wir stellen sie ein für ein paar Jahre, dann wechseln sie in die Privatwirtschaft für ein paar Jahre, dann kommen sie wieder zurück … Und der private Sektor sollte das genauso machen. So bekommt man Mitarbeiter mit unterschiedlichen Fähigkeiten und unterschiedlichen Erfahrungsschätzen." Diese Drehtür helfe dabei, den sektorübergreifenden Teamgeist aufzubauen. Außerdem reduziere sie Missverständnisse über Polizeiarbeit im digitalen Zeitalter, was nicht zuletzt mehr Anzeigen zeitige. Und erst die Anzeigen geben der Polizei überhaupt die Chance, das digitale Verbrechen zu bekämpfen.

Senioren warnen Senioren

Was nicht zur Teambildung gehört: Belohnungen für Mitglieder des organisierten digitalen Verbrechens, die die Seite wechseln. "Es gibt immer wieder Täter, die auspacken, aus verschiedenen Gründen. Aber wir zahlen keine Belohnungen dafür", stellt Lynam klar.

Apropos Geld: Den mit Abstand größten Schaden richtet in Kanada nicht Ransomware an, sondern Investitionsbetrug, wobei meistens Kryptowährungen eine Rolle spielt, kann der kanadische Betrugsbekämpfer berichten. Senioren sind eine bei Tätern besonders beliebte Zielgruppe.

Die RCMP versuche daher, Senioren anzusprechen, um sie zu warnen und Bewusstsein für aktuelle Betrugsmaschen zu schaffen. Dabei greift die Polizei, wenn möglich, auf die Hilfe freiwilliger Senioren zurück, die sogenannte Senior Support Unit [4]. Diese, weiß Lynam, hätten einen ungleich besseren Draht zu ihren Alterskollegen, als junge, IT-affine Polizeibeamte.

Erfolg durch internationale Zusammenarbeit

"Wir haben viel Erfolg mit großen, internationalen Zugriffen", versichert Lynam. Etwa alle sechs Monate gelinge es, gemeinsam mit Partnerbehörden in anderen Ländern eine große Bande von IKT-Straftätern auszuheben.

Doch das reicht dem Polizisten nicht: "Wir müssen das monatlich tun. Dazu brauchen wir aber mehr Ressourcen". Derzeit hat das kanadische National Cybercrime Coordination Centre 80 Mitarbeiter, davon ganz bewusst die Hälfte Frauen. Hinzu kommen Studenten und temporäre Mitarbeiter aus der Privatwirtschaft, die an einem Austauschprogramm teilnehmen.

Helfen würde bessere Zusammenarbeit von Ermittlern über Grenzen hinweg. Kooperationen gibt es seit Jahren, speziell über Interpol. Kanada und andere Länder möchte die Zusammenarbeit beschleunigen. Das Europaratsübereinkommen über Computerkriminalität [5] (Budapest Convention on Cybercrime) hat Kanada gleich zu Beginn 2001 ratifiziert, aber erst 2015 umgesetzt. Zum Vergleich: Deutschland setzte die Konvention 2009 um, Österreich und die Schweiz 2012, Liechtenstein 2016, die USA schon 2007. Irland und Südafrika, die 2001 respektive 2002 unterschrieben haben, sind bis heute säumig. Indien, Russland und Brasilien etwa beteiligen sich gar nicht.

Gegenwärtig sind Zusatzprotokolle zum Budapester Übereinkommen in Arbeit, wobei sich Lynam speziell von dem geplanten grenzüberschreitenden Quick Freeze Erfolge bei der Bekämpfung und Aufklärung von Straftaten erfolgt. In Zukunft sollen teilnehmende Polizeibehörden Netz- und Serverbetreiber in anderen teilnehmenden Ländern im Anlassfall rasch dazu verpflichten können, Daten zu sichern. Das verschafft den Ermittlern dann die notwendige Zeit, um über das internationale Rechtshilfeverfahren Zugriff auf diese Daten zu erhalten. Derzeit sind Daten nämlich oft nicht mehr vorhanden, wenn der Rechtsweg erfolgreich beschritten wurde.

(ds [6])

URL dieses Artikels:
https://www.heise.de/-9190869

Links in diesem Artikel:
[1] https://www.heise.de/news/Strafverfolgungsbehoerden-schliessen-kriminelle-Verkaufsplattform-Genesis-Market-8590237.html
[2] https://www.heise.de/news/Ransomware-Angriff-auf-Mediamarkt-und-Saturn-6260388.html
[3] https://www.heise.de/news/Cybercrime-Polizei-zerschlaegt-Ransomware-Gruppe-Hive-7472192.html
[4] https://twitter.com/canantifraud/status/1640408783728914432
[5] https://rm.coe.int/168008157a
[6] mailto:ds@heise.de

Copyright © 2023 Heise Medien