David Thommen

Herr von Planta, zunehmend viele Firmen werden Opfer von Attacken aus dem Internet: Die Dateien auf den eigenen Firmencomputern werden verschlüsselt und man bekommt nur wieder Zugriff, wenn man Lösegeld bezahlt. Womit haben wir es hier zu tun?
Philippe von Planta: Wir sprechen in diesen Fällen von «Ransomware», wobei «Ransom» im Englischen für Lösegeld steht. Gemeint ist also, dass Firmen mit einer Verschlüsselungssoftware attackiert werden.

Wie stellt sich der Schaden für attackierte Firmen dar?
Der Schaden ist vielfältig. Der erste ist sicher, dass eine Firma zunächst nicht arbeiten kann und dadurch die Produktion leidet, woraus sich ein finanzieller Schaden ergibt. Auf Aufträge, Bestellungen, Lohnzahlungen und alles weitere kann nicht mehr zugegriffen werden, was in den Firmen für grösste Schwierigkeiten sorgt. Zudem besteht das Risiko, dass die IT-Systeme von Geschäftspartnern oder Kunden ebenfalls infiziert werden. Die kriminellen Gruppen, die hier am Werk sind, nutzen je nach dem bestehende elektronische Kontakte, um in die IT-Systeme weiterer Firmen einzudringen.

Womit genau ist man konfrontiert, wenn ein solcher Angriff gestartet wird?
Das typische Bild ist, dass die Mitarbeiter einer Firma am Montagmorgen das Computersystem hochfahren und dann feststellen, dass die Dateien plötzlich kryptische Namen tragen und sich nicht mehr öffnen lassen. Meist hat es nur noch genau eine Datei, die man lesen kann. Wenn man sie öffnet, wird einem beschieden, dass eine Tätergruppe das System übernommen hat und es nur gegen die Zahlung einer Geldsumme wieder freigibt, beziehungsweise entschlüsselt. Meist gibt es dort einen Link ins Darknet, wo weitere Instruktionen gegeben werden. Unter anderem, wie hoch die Geldforderung ist und wie bezahlt werden soll.

Wer ist in der Regel von solchen Erpressungsattacken betroffen?
Es kann jedes Unternehmen treffen, von der Anwaltskanzlei über den metallverarbeitenden Betrieb bis zur Gemeindeverwaltung. Ein Muster, welche Art von Betrieben oder welche Branchen angegriffen werden, lässt sich nicht erkennen. Vor einem Jahr waren es vorwiegend noch grössere Firmen, mittlerweile kann es jedes KMU treffen.

Werden diese Firmen gezielt ausgewählt, oder wirft da jemand im Internet ein grosses Netz aus und schaut, wer darin hängen bleibt?
Nach unserer Erkenntnis sind zahlreiche Gruppen am Werk, die zuweilen in losen Verbünden zusammenarbeiten. In der Regel wird zuerst mit präparierten Phishingmails ein «Grobangriff» auf zahlreiche Firmen gestartet. Zum Beispiel wird ab einer Swisscom-Adresse mitgeteilt, dass man angeblich seine Telefonrechnung doppelt bezahlt habe. Klickt eine Mitarbeiterin oder ein Mitarbeiter auf das angehängte Dokument, wird unbemerkt eine Software installiert, die den Tätern Erkenntnisse über das verwendete IT-System sowie Einblicke in die Dateien der Firma ermöglicht. Die Gruppierungen entscheiden in der Folge, ob sich ein Angriff auf die Firma überhaupt lohnt.

Man wird also zuerst einmal ausspioniert?
Absolut. Es handelt sich um eine mehrstufige Vorgehensweise. Es ist wie bei einem «klassischen» Einbruch: Zuerst schleichen die Einbrecher ums Haus – in diesem Fall um den Server –, schauen dann, wie man am besten einbrechen kann und was es allenfalls zu holen gibt.

Von wie vielen Fällen sprechen wir im Kanton Baselland?
Zu aktuellen Zahlen geben wir keine Auskunft. Im Vorjahr hatten wir rund 15 solche Verfahren am Laufen. Die Tendenz ist in diesem Jahr klar zunehmend. Die ganze Cyber-Kriminalität, die weit mehr als nur «Ransomware»-Fälle umfasst, nimmt exponentiell zu. In der Schweiz gehen wir von einer Verdoppelung der Fallzahlen alle zwei Jahre aus.

Ihre Daten bekommen die angegriffenen Firmen erst wieder zurück, wenn sie Lösegeld bezahlen. Wie hoch ist die Forderung in der Regel?
Die Kriminellen gebärden sich als eine Art «Dienstleister». Sie bieten den Firmen eine angeblich massgeschneiderte Lösung an, damit diese sich aus ihren Schwierigkeiten befreien können. Die Lösegeldforderung ist meist so hoch, dass sie zwar weh tut, aber gerade noch bezahlt werden kann. Von kleinen Firmen werden vielleicht 20 000 Dollar verlangt, von grossen Firmen entsprechend mehr. Verlangt wird das Lösegeld immer in einer Kryptowährung, meist in Bitcoin, da der Weg dieses Geldes im Internet nicht oder nur schwer nachverfolgt werden kann.

Und wie wissen die Erpresser, wie viel eine Firma gerade noch zu zahlen bereit ist?
Die Erstinfektion eines Firmen-Netzwerkes findet häufig schon zwei oder drei Monate vor der Verschlüsselung der Daten und der damit verbundenen Lösegeldforderung statt. Während dieser Zeit bewegt sich die Täterschaft im Computersystem der Firmen und hält Ausschau nach Umsatzzahlen, Jahresberichten, eventuell wird sogar eine Versicherungspolice gefunden, die Auskunft darüber gibt, wie hoch eine Firma gegen Cybercrime versichert ist. Es wird alles ganz genau erkundet, da wird ganze Arbeit geleistet. Die Täterschaft will die Firmen nicht komplett ruinieren, sondern einfach so viel Geld wie möglich erpressen. Diese Gruppen wollen Millionen einnehmen, und das ist mit Cybercrime einfacher und weniger gefährlich als ein Banküberfall.

Gibt es hiesige Firmen, die Lösegeld bezahlen?
Es ist davon auszugehen. Aber das erfahren Polizei und Staatsanwaltschaft natürlich nicht. Deshalb kann ich auch keine Angaben über die Dunkelziffer machen. Ich gehe aber davon aus, dass diese recht gross ist.

Macht man sich strafbar, wenn man einem Erpresser Lösegeld bezahlt?
Nein. Es gibt auch keine Anzeigepflicht, wobei eine Meldepflicht in der Schweiz bezüglich Cyberangriffen nun diskutiert wird. In Deutschland beispielsweise sind Opfer solcher Nötigungsfälle zur Meldung verpflichtet.

Was passiert, wenn man nicht zahlt?
So oder so kommt es zu einem Datenabfluss. Möglicherweise bieten die Hacker interessante Firmendaten im Darknet zum Verkauf an oder Daten werden quasi aus Rache veröffentlicht. Wer aufmerksam die Medien verfolgt, wird immer mitbekommen, dass wieder irgendwo Passwörter, Nutzerdaten und Ähnliches veröffentlicht worden sind. Ein untrügliches Zeichen für «Ransomware».

Würden Sie in jedem Fall empfehlen, kein Lösegeld zu zahlen?
Ganz klar. Lösegeld sollte man grundsätzlich niemals zahlen, denn wer einmal zahlt, wird immer wieder erpresst werden. Es zirkulieren Listen mit Namen von Firmen, bei denen offensichtlich leicht etwas zu holen ist. Kommt hinzu: Wer Lösegeld zahlt, hilft mit, dass solche kriminellen Gruppen noch stärker werden und noch grösseren Schaden anrichten können. Es gibt daher nur eines: Unternehmen müssen sich vorbereiten, bevor sie Opfer eines Angriffs werden. Nur so können sie den Schaden in Grenzen halten. Die Cybercrime-Abwehr beginnt lange vor dem Tag X, an dem man vor Computern mit verschlüsselten Dateien sitzt.

Das heisst?
Das bedeutet Prävention. Alle Mitarbeiterinnen und Mitarbeiter einer Firma müssen viel kritischer werden. Alle sollten sich voll bewusst sein, dass Dokumente in E-Mails das erste Einfallstor für Kriminelle sind. Man sollte nie unüberlegt ein Attachment öffnen, auch nicht von Absendern, die man kennt. Man muss sich bewusst sein, dass die Täterschaft clever ist. Es werden beispielsweise Mails abgefangen und retourniert, die man selber geschrieben hat und auf die man eine Antwort erwartet. Besonders verdächtig wird es immer dann, wenn Zeitdruck aufgesetzt wird. Also wenn beispielsweise verlangt wird, man solle rasch auf einen Vorschlag im Attachment antworten. Zweitens muss die Fehlerkultur in einer Firma gefördert werden: Mitarbeiterinnen oder Mitarbeiter, die unsorgfältigerweise ein verdächtiges Dokument geöffnet haben, sollen zum Chef gehen und von ihrem Verdacht berichten können – ohne Angst haben zu müssen, dass ihnen daraus ein Strick gedreht wird. Damit erfährt die IT-Abteilung, dass es einen möglichen Angriff gibt. So lassen sich hoffentlich noch viele Daten retten.

Ein Virenscanner hilft nicht?
Natürlich sollten Updates immer konsequent gemacht werden. Das ist das A und O. Allerdings können Virenscanner nur nach bekannter Schadsoftware suchen. Kommt etwas Neues, versagen sie leider. Das machen sich die Hacker-Banden zunutze.

Das heisst: Jede Mail mit Anhang ist prinzipiell verdächtig?
Prinzipiell ja. Wenn man auch nur etwas unsicher ist, sollte man lieber kurz das Telefon in die Hand nehmen und beim Absender nachfragen, ob tatsächlich er es war, der die E-Mail verschickt hat. Heute ist es noch so, dass solche Mails häufig in Englisch oder schlechtem Deutsch verschickt werden. Doch die im Internet vorhandene Übersetzungssoftware wird laufend perfektioniert.

Was sollten Firmen sonst noch vorkehren?
Sie sollten vorbereitet sein. Handbücher oder Checklisten für den Fall der Fälle sollten bereits vorliegen, auch ein Konzept darüber, wie über den Fall informiert wird. So sollten Geschäftspartner und Kunden umgehend über den Vorfall ins Bild gesetzt werden. In jeder Firma hängen Anweisungen, was bei einem Brandfall zu tun ist. Bei der Bereitschaft, sich auf einen Cyberangriff vorzubereiten, hapert es hingegen bei vielen Betrieben noch. Auch Übungen kann man machen, dafür gibt es spezialisierte Firmen.

Wie sieht es mit der Datensicherung aus?
Back-ups werden in den meisten Firmen ja laufend gemacht. Wie wir festgestellt haben, macht sich die Täterschaft häufig gleich als erstes kundig, wie und wo die Daten gesichert werden. Das Problem ist: Sind die Daten infiziert, sind es auch die Back-ups. Dann nützen sie nichts mehr, da auch diese verschlüsselt werden. Es müssen daher zwingend vom Computersystem getrennte Sicherungsdateien gemacht werden, je mehr, desto besser. Ich würde mindestens eine wöchentliche externe Datensicherung empfehlen und das Speichermedium jeweils sofort wieder vom Netz nehmen. Aber jede Firma muss selber entscheiden, wie viele Tage mit Datenverlust sie verkraftet.

Sollten die Daten bereits verschlüsselt sein: Gibt es Möglichkeiten, die Schadsoftware auszutricksen?
Kaum. Man weiss ja nicht, mit welcher Software man es zu tun hat.

Wer steckt hinter diesen Angriffen?
Es sind international tätige Gruppierungen, ganz sicher nicht Kriminelle, die aus der Schweiz heraus agieren. Was wir wissen: Es gibt staatliche Cybereinheiten, die den Geheimdiensten zugeordnet werden können, private Gruppen, die von Staaten unterstützt werden, und Gruppierungen, die wir der «normalen» Kriminalität zuordnen. Bei uns dürften vor allem Letztere am Werk sein. Nicht auszuschliessen ist allerdings, dass auch diese Gruppen von einzelnen Staaten gefördert werden, die ein gewisses Interesse daran haben, dass unsere Wirtschaft «geplagt» wird. Auffällig war beispielsweise, dass es schon grosse Cyberattacken gab, die auf Computern mit kyrillischer Tastatur keinen Schaden angerichtet haben. Da kann man sich seine Sache denken.

Russland wird häufig im Zusammenhang mit Cyberkriminalität genannt. Aber auch China oder Nordkorea werden von westlichen Staaten direkt beschuldigt. Haben Sie ebenfalls solche Hinweise?
Ich habe keine Hinweise darauf, dass wir hier im Baselbiet schon mit solchen Gruppen konfrontiert waren. Aber es ist bekannt, dass es im Osten viele Mathematiker und helle Köpfe gibt … Im Fall des isolierten Staats Nordkorea halte ich es für wahrscheinlich, dass «Ransomware» zur Devisenbeschaffung dient.

Sie sind Staatsanwalt. Wie viele Täter haben Sie schon vor Gericht gestellt?
Im gesamten Bereich Cybercrime – dazu zählt zum Beispiel auch Anlagebetrug im Internet – haben wir eine Aufklärungsquote von hohen 30 Prozent. Schaut man die «Ransomware»-Fälle allerdings isoliert an, haben wir aktuell noch keine Verurteilung. Aber unsere Stelle bei der Staatsanwaltschaft gibt es erst seit einem Jahr und häufig werden Untersuchungen auch nicht von einem Kanton allein geführt. Wir arbeiten zudem mit den entsprechenden Stellen des Bundes zusammen.

Wie sieht es bei uns aus mit den «kritischen Infrastrukturen» wie Spitälern, Stromversorgern, Banken und auch der öffentlichen Verwaltungen? In Europa gab es Fälle, wo die Daten ganzer Spitäler verschlüsselt wurden, aber auch die Gemeindeverwaltung von Bubendorf war bekanntlich schon betroffen.
Für uns als Strafverfolgungsbehörde ist das schwierig zu beurteilen, aber ich gehe davon aus, dass bei solchen Betrieben der Schutz besonders hoch ist. Sie alle sind sich bewusst, dass sie potenzielle Angriffsobjekte sind. Hier werden auch häufig Übungen zusammen mit dem nationalen Cybersicherheitscenter des Bundes gemacht.

Wie viele Personen bekämpfen die Internetkriminalität im Baselbiet?
Bei der Polizei gibt es fünf bewilligte Planstellen für IT-Ermittler, wobei aktuell drei und erst ab Ende 2023 alle Stellen besetzt sind. Dazu gibt es in der IT-Forensik bei der Polizei bis dann insgesamt 12 Stellen. Dieses Team kann auch für Cybercrime-Ermittlungen beigezogen werden. Zusätzlich werden bis Ende 2023 zwei weitere Stellen für technische Überwachungen geschaffen. Aufseiten der Staatsanwaltschaft gibt es neben mir eine weitere spezialisierte Staatsanwältin und wir sind gerade daran, jemanden als spezialisierte/n Untersuchungsbeauftragte/n zu rekrutieren.

Zur Person

tho. Philippe von Planta (46) ist Baselbieter Staatsanwalt, tätig in der Hauptabteilung Betäubungsmittel und organisierte Kriminalität in Liestal. Innerhalb dieser Abteilung ist er der Leiter der Fachstelle Cybercrime. Er hat Jus studiert und ist Inhaber des Anwaltspatents. Vor neun Jahren hat er in die Strafverfolgung gewechselt.
«Ransomware»-Delikte waren zuletzt weltweit in den Schlagzeilen. Prominentes Opfer war beispielsweise die Betreiberin der grössten Benzin-Pipeline der USA. Die Firma zahlte offenbar 2,3 Millionen Dollar an die Erpresser, um wieder über die eigenen Anlagen verfügen zu können. In der Schweiz war zuletzt der Internet-Vergleichsdienst «Comparis» von einem solchen Hackerangriff betroffen. Auch hier soll Lösegeld geflossen sein. Die in den Medien kolportierte Summe von 400 000 US-Dollar wollte das Unternehmen nicht kommentieren.
Der Bereich Cybercrime ist ein weites Feld. Im Vorjahr gab es im Baselbiet 180 hängige Verfahren, die von der zuständigen Fachstelle bei der Staatsanwaltschaft geführt wurden. Unter anderem verzeichnet das Delikt «Online-Anlagebetrug» hohe Zuwachsraten. Laut Philippe von Planta werden die Opfer – häufig um das Pensionsalter herum – mit Hilfe glaubhafter Computersimulationen dazu animiert, angeblich besonders rentable Anlagen zu tätigen. Das Geld wird allerdings nicht in Wertpapiere oder Kryptowährungen investiert, sondern von den Tätern eingesackt.