Angriff auf Wirtschaftsunternehmen – Sicht einer Cyberstaatsanwältin
Von Oberstaatsanwältin Jana Ringwald, Frankfurt am Main
Die Autorin ist Oberstaatsanwältin bei der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt am Main; sie leitet dort das Team Cybercrime und war in der Vergangenheit an zahlreichen international beachteten Takedowns von Darknet-Marktplätzen und Plattformen der Underground Economy beteiligt.
Cyberangriffe auf Unternehmen sind längst Alltag in der Wirtschaft. Es vergeht kein Tag, es vergeht keine Stunde und Minute, in denen Kommunikationswege in Firmeninfrastrukturen nicht unterwandert, ausgespäht und kompromittiert werden. Die Folge: Erpressung, Lösegeld, Kontrollverlust. Das Problem in der Strafverfolgung: Nur wenige Betroffene wollen im Ernstfall mit den staatlichen Ermittlungsbehörden zusammenarbeiten. Nur kein Aufruhr, nur keine Schlagzeilen, nur keine Polizisten auf dem Firmengelände. Verständlich, aber nicht unproblematisch. Eine erfolgreiche Cybercrime-Bekämpfung erfordert mehr als nur den gesetzlichen Auftrag. Es braucht die Kooperation der Menschen. Auf beiden Seiten.
Cybercrime macht uns alle gleich: Krisensitzung
Wieder wurde ein Unternehmen aus dem Cyberraum angegriffen, wieder ist der Ernstfall eingetreten, wieder erleben wir die Klassiker solcher Attacken, die unerbittlich über das Land rollen.
Doch werden wir besser? Sind deutsche Unternehmen gut geschützt? Machen wir bei Polizei und Justiz unsere Arbeit gut genug?
Der größte anzunehmende Unfall hat sich in das Digitale verlagert. Unternehmen, Institute, Krankenhäuser und die öffentliche Verwaltung sind zur Zielscheibe von Cyberangriffen geworden. Die Option des vorbeigereichten Kelches kann als eine naive Annahme eingeordnet werden. Die Schäden reichen vom aufwändigen Hochfahren eines gut aufgesetzten Back-Ends bis zum Ausfall von Gebäudeleitsystemen, von der Detektion eines Fernzugriffs ohne weitere Auswirkungen bis zur Außerkraftsetzung der medizinischen Notfallversorgung eines Kreiskrankenhauses.
Von Cyberangriffen ist der Schraubenweltmeister ebenso betroffen wir das High-Tech-Unternehmen. Selbst Bäckereien und Campingplätze wurden schon angegriffen. Die Täter spielen das „Numbers‘ Game“: Wo Geld zu holen ist, kann man gut angreifen. Man kann nicht unwichtig genug sein für einen Cyberangriff.
Man kann also sagen: Cybercrime macht uns alle gleich.
Aber verhalten wir uns auch so?
Kann die Polizei uns überhaupt helfen?
In Vorbereitung eines Cybersicherheitspanels, geleitet durch eine internationale Großkanzlei, befand ich mich im Jahr 2022 in einer Video-Schalte. Der moderierende Rechtsanwalt fragte in Erwartung eines noch fehlenden Teilnehmers den Vertreter eines Energiegroßkonzerns: „Hatten Sie eigentlich schon Cyberangriffe in diesem Jahr?“
Die Antwort: „Wir erleben sie jeden einzelnen Tag.“
Selten sah ich gesellschaftliche Vorstellung einerseits und tatsächliche Lage andererseits so präzise einander gegenübergestellt.
Es ist hinreichend bekannt, dass von Cyberangriffen betroffene Unternehmen nur in einem Bruchteil der Fälle Strafanzeige erstatten. Es lässt sich darüber spekulieren, wie viele Angriffe nicht zur Kenntnis der Strafverfolgungsbehörden gelangen und was es mit dem Sicherheitsverständnis in Deutschland anstellen würde, wenn sie es täten.
Eines jedoch ist gewiss: Die Vorstellung vieler Unternehmensführer, was genau passiert, wenn Polizei und Staatsanwaltschaft nach einem Cyberangriff tätig werden, ist bestenfalls harmlos. Im schlimmsten Falle ist sie desaströs.
„Also, wenn ich nicht muss, dann lasse ich das mit der Strafanzeige lieber, sage ich Ihnen ganz ehrlich.“
Ein Unternehmer brachte mit dieser Aussage auf den Punkt, was viele denken und praktizieren: Die Polizei kann mir nicht helfen, schlimmstenfalls habe ich am Ende noch mehr Probleme als ohnehin schon.
Das Spiel von Räuber und Gendarm hat sich verändert
Jeder kann nachlesen, was eine Erpressung ist. Jeder kann die Strafprozessordnung (StPO) durchblättern und versuchen, sich einen Reim darauf zu machen, was eine Telekommunikationsüberwachung nach § 100a StPO im digitalen Zeitalter bedeuten könnte. Oder was heute damit gemeint sein könnte, dass nach § 94 StPO Gegenstände, die als Beweismittel für die Untersuchung von Bedeutung sein können, in Verwahrung zu nehmen oder in anderer Weise sicherzustellen sind. Das Instrumentarium meines Berufs ist viele Jahrzehnte alt. Aber der Gesetzgeber war und ist kein Cyberexperte.
Wenn sich ein Machtapparat eines Instrumentenkastens bedient, der nicht mehr in diese Zeit zu passen scheint, entstehen Fragen. Wie arbeiten Polizei und Justiz heute? An der Realität vorbei oder am Zahn der Zeit? Wie gehen sie vor, wenn die IT-Infrastruktur eines Unternehmens von unbekannten Tätern angegriffen wird?
Selbst ich wusste das nicht, als ich bereits Staatsanwältin war, aber noch in der analogen Welt ermittelte. Woher sollen solche Kenntnisse betroffene Unternehmen und ihre Firmenlenker haben?
Staatlichen Behörden wird das Recht eingeräumt, sich zurückzuziehen. Jeder erkennt an, dass eine Staatsanwältin nicht auspacken kann. Es wäre witzlos und gefährlich dies zu tun. Doch was bei einer Gewalttat und im Kampf gegen den Drogenhandel noch nachvollziehbar erscheint, zeigt sich dann, wenn ein großes Unternehmen aus dem Cyberraum angegriffen wurde, das womöglich kritische Infrastruktur bereitstellt oder eine große Zahl Menschen beschäftigt, als ernstzunehmendes Problem bei der Verfolgung von Straftaten.
Ermittlungsbehörden dürfen schweigen, über vieles müssen sie sogar schweigen. Doch wenn sie es tun, bekommen sie gleichzeitig ein gewaltiges Problem: das Misstrauen der Menschen, die sie beschützen wollen und sollen. Und dieses Misstrauen behindert ihre Arbeit.
Ein gordischer Knoten?
Das Lagebild der Vorbehalte
Würden Polizei und Justiz PR-Agenturen beschäftigen, hätten sie alle Hände voll zu tun. Wen man auch fragt – seien es betroffene Unternehmen, deren Rechtsanwälte, seien es Vertreter der Cyber-Sicherheitsindustrie oder solche der Versicherungsgesellschaften – die angeführten Gründe, weswegen man sich von diesen Behörden sicherheitshalber fernhalten sollte, erscheinen zahlreich. Sie bilden ein Kompendium der gebotenen Zurückhaltung.
Ich nenne es: Das Lagebild der Vorbehalte.
„Was passiert, wenn die Polizei vorbeischaut, um Beweise zu sammeln?“ „Wird mein Fall direkt an die Presse weitergegeben?“ „Darf ich überhaupt noch etwas selbst entscheiden, wenn die Polizei im Haus ist?“ „Die Polizei hilft mir doch nicht! Mache ich mich strafbar, wenn ich Lösegeld zahle?“ „Und ist mein Unternehmen am Ende im Fokus der Ermittlungen?“ „Was sagen meine Kunden dazu?“
Die bohrenden Fragen sind zahlreich. Berührungsängste gleich mit dazu.
Es ist eine weit verbreitete Ansicht, dass Ermittlungsbehörden, wenn sie vorbeischauen, viel mitnehmen und es ungern oder jedenfalls spät wieder zurückbringen. Zumindest jedoch, dass sie in einer Phase, die Unternehmerinnen und Unternehmer ausnahmslos als nicht enden wollenden Alptraum beschreiben, empfindliche Abläufe stören könnten.
Zwischen Ohnmacht, Nebelfahrt und GAU
Ein von einem Cyberangriff betroffenes Unternehmen bewegt sich irgendwo zwischen kontrollierter Ohnmacht, diffuser Nebelfahrt und dem größten anzunehmenden Unfall. Die Kaskade solcher Auswirkungen verläuft oftmals in einer gaunerhaften Dramaturgie: Wie viele Systeme tatsächlich betroffen sind, wird oft erst über quälend lange Stunden zur Gewissheit. Welche Kundendaten die Täter erlangen konnten und im Darknet geleakt werden, offenbart sich nicht selten erst nach Tagen. Der Umstand, dass nicht einmal mehr Telefone funktionieren, wirft mitunter die Frage auf, ob man sich einfach nur ergeben soll.
In dieser Situation will man sich verständlicherweise niemanden ins Unternehmen holen, der die chaotischen Anfangszustände auch noch erschwert und im Weg herumsteht. Von Cyberangriffen betroffene Unternehmen haben ein anderes Problem als die Strafverfolgungsbehörden. Sie wollen den Angriff überstehen. Polizei und Justiz wollen Straftäter finden. Und beide habe nur eine kleine gemeinsame Schnittmenge: die Spuren der Täter, und sie liegen immer in den Daten.
Das, womit sich ein Unternehmen in ebenso großer Intensität wie bei seinen steuerlichen Pflichten zu beschäftigen hat, ist seine Cybersicherheit. Und schnell wird klar: Einen hundertprozentigen Schutz kann es nicht geben. Wer sein System an das Internet anschließt, wird angreifbar. Wer seine Mitarbeiter eigenständig E-Mails lesen und bearbeiten lässt, setzt sich der Gefahr aus, dass ein Link angeklickt wird, der das Tor zur Unterwelt der Underground Economy aufstößt.
„Keine Sorge, wir sind Profis. Nehmen Sie Kontakt zu uns auf, und wir erläutern Ihnen im Einzelnen, was sie tun müssen, damit ihre Infrastruktur wieder entschlüsselt wird.“
Der Zynismus einer Ransom-Note, dem Erpresserschreiben der Cyber-Angreifer, kann teuflische Züge annehmen. Einige Gruppierungen richten auf ihren Domains ganze Kundencenter ein, um die Mandantschaft umfassend zu betreuen. FAQs und Chat-Funktion zeigen, wie sicher sie sich ihrer Sache sind. Erpressungsforderungen in Millionenhöhe? Kein Grund, Stil und Form zu verlieren.
Ein von einem Cyberangriff betroffenes Unternehmen erlebt einen Alptraum. Nicht immer steht alles auf dem Spiel. Aber die Unabsehbarkeit des Schadens, gerade wenn Kundendaten abhandengekommen sein könnten, lähmt und lässt Unternehmer nicht mehr ruhig schlafen.
Wirtschaft und Behörden auf Abstand?
In dieser Situation ist es hilfreich, wenn keine weiteren Unbekannten hinzutreten. Und diese Unbekannten waren lange Polizei und Justiz. Die es von Gesetzes wegen nicht nötig haben, ihre Arbeit zu erklären. Im Gegensatz zu den Tätern, die kein Geheimnis aus ihrer Vorgehensweise machen und gerne bereit sind, zu erklären, wohin man die Bitcoin-Millionen überweisen kann, um eventuell wieder einen Vollzugriff auf die eigenen Systeme zu gewährleisten.
Wenn Behörden denen, die sie schützen wollen, nicht erklären, was sie tun, und für diese die Möglichkeit besteht, sich herauszuwinden, dann geschieht eines zwangsläufig: Besser mal keine Strafanzeige. Besser mal selbst zurechtkommen.
Polizeiwagen in der Hofeinfahrt sind das letzte, was eine Unternehmerin an Publicity braucht, während sie gerade um das Überleben ihrer Firma kämpft.
Den Tätern eines Cyberangriffs auf die Schliche zu kommen, erfordert brauchbare Spuren, und diese Spuren liegen bei den Opfern. Es sind Spuren in ihren Daten. Vielfach können relevante Daten aushändigt werden: „remote“. Es müssen keine Polizeibusse vorfahren.
Aber wer weiß so etwas?
Es kann aber auch an unerwarteter Stelle ungemütlich werden für ein Unternehmen, das sich einem Cyberangriff ausgesetzt sieht. Wenn der Vorwurf im Raum steht, nicht ordentlich mit Kundendaten umgegangen zu sein. Nicht nur die Reputation steht auf dem Spiel, sondern auch staatliche Sanktionen.
Die Suche nach Schuldigen
Als ich auf einer Cybersicherheitsveranstaltung für die Automobilbranche an einer Diskussionsrunde teilnahm, offenbarte die Leiterin der Rechtsabteilung eines Unternehmens, was viele fürchten: „Sie können sich gar nicht vorstellen, wie sehr wir unter Beschuss standen. Wir waren angegriffen worden, aber die Vorwürfe richteten sich teilweise gegen mich und meine Kollegen persönlich.“
Die Suche nach Schuldigen, wie sie viele Unternehmen erleben. Sie macht eigentlich alles nur noch schlimmer. Weil jeder Angst vor dem Fehltritt bekommt. Und diese Angst lähmt, obwohl mutige Entscheidungen zu treffen sind.
Selbst wenn Sicherheitskriterien nicht ausreichend eingehalten sein sollten, haben bei der Aufklärung eines Cyberangriffs zunächst zwei Aspekte Vorrang: die Rücksicht auf ein Unternehmen, das seine Handlungsfähigkeit und Produktivität wiedererlangen muss, sowie die schonende Sicherung von Spuren, die den Angriff aufklären können. Wenn nicht ordentlich mit Kundendaten umgegangen wird, muss das überprüft werden. Aber wenn ein Unternehmen brachial angegriffen wurde, ist das nicht die erste zu klärende Frage. Nicht selten durfte auch ich das Datenschützern erläutern.
Der Umgang mit solchen Herausforderungen erfordert eine geländegängige, ergebnisoffene Kommunikation zwischen Behörden und Unternehmen, die so nicht im Gesetzbuch steht. Hierfür gibt es keine Anleitung. Die Strafprozessordnung gestattet aber einen geradezu ironischen Schachzug, der die Konsequenzen der bestehenden Abschottung zwischen Unternehmen und Behörden enthüllt: die Durchsuchung beim betroffenen Unternehmen gegen dessen Willen.
Nach § 103 StPO darf bei Dritten durchsucht werden, „wenn Tatsachen vorliegen, aus denen zu schließen ist, dass die gesuchte Person, Spur oder Sache sich in den zu durchsuchenden Räumen befindet“. Und das ist bei einem Cyberangriff die IT-Infrastruktur des betroffenen Unternehmens.
Wenn der Verdacht einer Erpressung vorliegt oder im Falle einer Computersabotage, die grundsätzlich das Strafantragserfordernis birgt, das öffentliche Interesse des Angriffs durch die Staatsanwaltschaft bejaht wird, braucht es keine Strafanzeige. Nach dem Amtsermittlungsgrundsatz ist die Staatsanwaltschaft, grundsätzlich verpflichtet, wegen aller verfolgbaren Straftaten einzuschreiten, sofern zureichende tatsächliche Anhaltspunkte vorliegen.
Ob die Betroffenen das eine gute Idee finden, spielt erst einmal keine Rolle.
Unsere Rechtsordnung gestattet es uns, Spuren einer Straftat zu suchen, die zum Nachteil eines Unternehmens geschah, das jedoch selbst kein Interesse hat, sie strafrechtlich verfolgt zu wissen. Ein Grund dafür ist, dass Unternehmen keinen direkten, spürbaren Vorteil haben, wenn die Polizei gut ermitteln kann. Die Möglichkeit der Durchsuchung „gegen den Willen“ muss es geben, weil die Auswirkungen von Cyberangriffen die Betroffenheit eines Einzelunternehmens weit überschreiten können. Und gleichzeitig ist diese Möglichkeit der Aufruf zu einem Umdenken. Gegen den Willen derer zu arbeiten, die eigentlich zu schützen sind, lässt das Vertrauen in staatliche Stellen schrumpfen und die Sinnfrage im Hinblick auf unser Tun aufkommen.
Ein nicht gemeldeter Cyberangriff existiert nicht
Aber damit nicht genug, wenn alle denken: „Die Polizei anzurufen, bringt uns eh nichts“. Es ist die leidenschaftslose Kurzzusammenfassung des unternehmerischen Erwartungshorizonts. Anders formuliert: Die Polizei wird uns nicht retten. Und das stimmt.
Es ist weder das Mandat noch im Bereich des Möglichen, dass Polizeikräfte beim Wiederaufbau eines durch einen Cyberangriff in die Knie gegangenen Unternehmens helfen können, wenn man einmal von den vielfach und gerne in Anspruch genommenen polizeilichen Beratungsleistungen absieht, insbesondere in Fragen der Kommunikation mit den Cyber-Erpressern.
Nur eines muss jedem, der so denkt, klar sein: Ein nicht gemeldeter Cyberangriff existiert nicht. Er taucht in keiner Statistik auf. Er kann nicht als Grund für weitere Ressourcenbereitstellung herangezogen werden. Er kann niemanden beunruhigen. Jeder nicht gemeldete Cyberangriff erzeugt eine Sicherheit, die es so nicht gibt.
Wir alle haben ein Interesse zu erfahren, wie die Lage wirklich ist. Aber ohne verlässliche Daten über Anzahl und Arten von Cyberangriffen ist es unmöglich, Bedrohungen adäquat einzuschätzen und benötigte Ressourcen zu stellen.
Ohne das Vertrauen der Unternehmen, dass eine erfolgreiche Bekämpfung der Cybercrime möglich ist ohne sie, die Betroffenen, in ihrer Arbeit zu beeinträchtigen, ist es gleichfalls unmöglich, sie dazu zu bewegen, den Ermittlungsbehörden diese Daten zu geben und ihnen zu vertrauen.
Denn es droht weiteres Ungemach: Die Presseberichterstattung über den Angriff auf das eigene Unternehmen. Die Panik, Kunden zu verlieren, macht sich schnell breit.
Es ist ein Trend der zurückliegenden Jahre, dass Polizei und Justiz ernstzunehmende Schläge gegen die Cyberkriminalität hör- und sichtbar kundtun. Die Freude ist zu Recht groß, oftmals flankiert durch ein „Seizure Banner“, das den Erfolg im Bildschirmformat symbolisiert und auch ein Signal an die Gegnerschaft senden soll: Wir habe den Laden übernommen.
Wenn aber Polizei und Justiz nicht erläutern, wie ihre Presse- und Öffentlichkeitsarbeit im Übrigen aufgebaut ist, muss man sich die Zurückhaltung derjenigen Unternehmen gefallen lassen, die fürchten, eine solche Versorgung der Presse mit brandaktuellen Informationen erfolge auch postwendend nach ihrer Strafanzeige. Und damit zum Schaden des Unternehmens.
Das Gegenteil ist auch hier der Fall.
Verdeckte Ermittlungen, obwohl jeder vom Angriff weiß?
Cyberangriffe stellen eine besondere Form der verdeckten Ermittlungen dar. Der Angriff ist einer Vielzahl von Personen bekannt, aber wer die Täter sind, bleibt zunächst unklar. Das bedeutet, dass die Ermittlungen eine nicht unerhebliche Zeit „gegen Unbekannt“ geführt werden und Strafverfolgungsbehörden ein gesteigertes Interesse und im Übrigen auch die Pflicht haben, Stillschweigen über die unternommenen Ermittlungsschritte zu bewahren, obwohl sehr viele um den Angriff wissen.
Abermals. Wer soll um diese wichtige Unterscheidung wissen, wenn Behörden schweigen?
Was ein Cyberangriff konkret bedeutet, kann geübt werden, so beten es Cybersicherheitsunternehmen unermüdlich vor, beinahe wie ein Mantra. Aber Unternehmensführer brauchen in einer Angriffssituation Spielräume, Flexibilität im Handeln sowie die Möglichkeit eines Kurswechsels.
Was, wenn man diesen Handlungsspielraum verliert?
Diese Frage stellen sich viele Unternehmen. Die Fragen, ob Lösegeld gezahlt werden sollte oder darf, ob Änderungen an der IT-Architektur vorgenommen werden können und ob mit den Tätern zu kommunizieren ist, muss da eigentlich immer die Polizei befragt werden?
Nein, das muss sie nicht.
Betroffene Unternehmen können von polizeilicher Erfahrung in Angriffssituationen enorm profitieren. Aber sie selbst müssen die Zügel in der Hand behalten. Auch wenn sie sich in einer Weise verhalten, zu der die polizeilichen Berater nicht raten würden.
Digitale Puzzleteilchen genügen nicht
Jedes angegriffene Unternehmen beherbergt Puzzleteilchen, die die Spuren zu Tätergruppierungen legen, deren Einflussbereich keine Landesgrenzen berücksichtigen muss. Damit ist das Opfer aus Sicht der Strafverfolgung ein Spurenlieferant. Nicht mehr und nicht weniger. Das Mandat von Polizei und Justiz – Cybercrime erfolgreich zu bekämpfen – können wir nicht ohne die Betroffenen erfüllen. Die Sorge der Unternehmen vor dem Einschreiten von Polizei und Justiz ist relevant – für die Cybersicherheitslage in Deutschland ebenso wie für den Erfolg von Ermittlungen. Und nicht selten vergiftet sie auch den Austausch zwischen Polizisten und Unternehmenslenkern. Schnell geht es darum, wer etwas falsch gemacht hat. Dabei haben wir alle den gleichen Gegner.
Ein strafprozessuales Denken, das seine Behäbigkeit nicht aufgibt, kann in der dynamischen Landschaft anhaltender Cyberangriffe nicht bestehen. Der Weg zum Idealfall einer Zusammenarbeit zwischen Polizei, Justiz und Unternehmen steht nicht und wird nie im Gesetz abgebildet sein.
Kurz: Auf diese Fortbildung brauchen wir nicht zu warten.
Sicherheits- und Strafverfolgungsbehörden müssen sich in einer Art und Weise auf Unternehmen und Industrie zubewegen, für die es bislang in Deutschland keine gelebte Kultur gibt, aber sehr wohl ein großes Potential. Bestehende Vorbehalte mögen im Einzelfall berechtigt sein oder nicht – sie müssen ausgeräumt werden. So ist es unsere ungeschriebene Aufgabe, Unternehmenslenker zu überzeugen, mit uns zusammenzuarbeiten.
Überzeugen können nur Personen, Behörden können es nicht. Wahrgenommen wird, wenn staatliches Handeln ein Gesicht bekommt. Denn es geht um weit mehr als verschlüsselte Systeme und Schäden in Millionenhöhe. Es geht um die Scham, angegriffen worden zu sein. Um die Angst, Kunden zu verlieren. Um das Schreckensszenario seinen Mitarbeitern erklären zu müssen, dass das Unternehmen in die Insolvenz geraten ist. Weil ein einziger auf einen E-Mail-Anhang geklickt hat.
Das Regelwerk der Strafprozessordnung genügt nicht mehr für die Erfüllung unserer Aufgaben bei Polizei und Justiz. Hohe Investitionen in die Cybersicherheit eines Unternehmens lösen ebenfalls nicht das gesamte Problem.
Es ist vertrauensvolle Kommunikation, die dies vermag. Es ist die Anerkennung beiderseitiger Bedürfnisse. Damit wir das Lagebild neu schreiben können.
Um unseren Newsletter zu abonnieren, geben Sie bitte Ihre E-Mail-Adresse ein und klicken auf absenden.
Die Kompaktmaschinenpistole MP7 im Gewehrkaliber 4.6mmx30 hat sich in den vergangenen 15 Jahren u. a. im Afghanistan-Einsatz bei verschiedenen Armeen sowie polizeilichen Spezialkrä[mehr erfahren]
Die Bedrohung durch den internationalen Terrorismus, aber auch Amokläufe und Gewaltkriminalität machen eine verbesserte Ausstattung der Polizistinnen und Polizisten notwendig. Neue[mehr erfahren]
Bei der Bestimmung der Atemalkoholkonzentration wird zwischen einem Vortest und einer gerichtsverwertbaren (Evidential-) Analyse unterschieden. Ein Vortest dient den Polizeibeamten[mehr erfahren]