Staatsanwaltschaft für Cyberkriminalität: „Alle suchen denselben Täter und wissen es nicht“

Erst griff der Trojaner Emotet das Kammergericht an, dann die Humboldt-Uni. Gewöhnlich folgt die Erpressung. Thomas Linke, Leiter der Abteilung IT-OK bei der Staatsanwaltschaft, hat täglich damit zu tun – und mit den vielen anderen Erscheinungsformen der Organisierten Kriminalität im Internet. Ein Interview über das Vorgehen der Täter, Sex-Erpressungen und kriminelle Arbeitsteilung.

Herr Linke, wie hat sich die Organisierte Kriminalität im Internet entwickelt?
Allgemein ist festzustellen, dass sich der Trend zur Professionalisierung weiter verfestigt hat. Die Täter sind auf praktisch allen Deliktsfeldern tätig, die mit Computern begangen werden können. Verfestigt hat sich auch der Trend zu einer kriminellen Arbeitsteilung. Einen Schwerpunkt bilden weiter und gerade auch aktuell Verschlüsselungstrojaner, insbesondere derzeit „Emotet“. Dieser erlangte in Berlin erst gerade jüngst traurige Berühmtheit durch die Berichterstattung zum Angriff auf das Kammergericht.

Welche Fälle sind bei Ihnen die häufigsten?
Die zahlenmäßig größte Rolle spielen weiterhin versuchte unvollendete Erpressungen über das Internet. Am verbreitetsten sind zwei Phänomene: Zum einen werden Benutzern heimlich und getarnt Schadprogramme untergeschoben, sogenannte Malware, welche die Daten auf dem Gerät verschlüsseln, wobei nachträglich Geld für die Mitteilung des für die Entschlüsselung nötigen Passworts verlangt wird.

Neben dem großangelegten Versand tausender E-Mails mit mehr oder minder sinnvollen Standardtexten geschieht dies inzwischen zunehmend sehr gezielt, das heißt die Täter übermitteln Texte und Anhänge mit Dateibezeichnungen, die zum Tätigkeitsfeld des Opfers passen oder in denen die Täter auf Stellenausschreibungen oder Verkaufsangebote Bezug nehmen.

Besonders besorgniserregend ist dabei, dass teils Malware verwendet wird, die aus den Adressbüchern übernommener Computer E-Mail-Adressen ausliest und an diese - scheinbar vom übernommenen Computer aus - Schadsoftware sendet. Die Empfänger können so nicht auf den ersten Blick erkennen, dass ihnen ein fremder E-Mail geschickt hat. Das gilt zum Beispiel auch für „Emotet“.

Die zweite weitverbreitete Masche sind E-Mails, die wahllos an eine Vielzahl von Internetnutzern geschickt werden und in denen die Täter behaupten, sie hätten den Rechner des Opfers nebst Videokamera übernommen und den Nutzer beim Pornokonsum beobachtet oder gefilmt. Man werde die so heimlich hergestellten Aufzeichnungen veröffentlichen, sofern nicht ein bestimmter Betrag gezahlt werde.

In jüngster Zeit ist es schwieriger geworden, schädliche Software automatisch und rechtzeitig als solche zu erkennen, weil die Programme so gestrickt sind, dass schädigende Teile, die von Virenscannern erkannt werden könnten, nicht gleich in die Software eingebaut sind, sondern erst von so genannten „Command and Control Servern“ nachgeladen werden.

Und wenn man zahlt, kriegt man den Schlüssel?
In den Fällen der Verschlüsselungstrojaner erhalten die Opfer das zur Entschlüsselung erforderliche Passwort in seltenen Fällen nach Bezahlung des geforderten Betrages auch tatsächlich.

Polizei und Staatsanwaltschaft raten für gewöhnlich davon ab, die Forderungen der Erpresser zu erfüllen. Große Firmen, aber auch Anwaltskanzleien, Arztpraxen, Handwerker leisten teils aber auch hohe Zahlungen, weil ein Datenverlust schlicht existenzbedrohend oder existenzvernichtend wäre.

[Lokale Mobilität ist immer wieder Themen in unseren Leute-Newslettern aus den Berliner Bezirken. Hier gibt's die Newsletter für alle zwölf Bezirke kostenlos: leute.tagesspiegel.de]

Und die Variante mit den Sex-Erpressungen?
Den Opfern wird eine anonyme Adresse für die Zahlung benannt, was übrigens bei den Verschlüsselungsfällen ebenso ist, und man wird zur Überweisung aufgefordert. Die Anzahl derer, die auf diese Forderung hereinfallen, ist allerdings deutlich geringer als bei den Verschlüsselungstrojanern, schon weil diese E-Mails immer ins Blaue an beliebige Empfänger versandt werden und die meisten ganz genau wissen, dass sie gar keine Webcam am Computer haben oder keine Pornoseiten angeschaut haben. Es gibt dann viele Anzeigen, aber meist nur wegen versuchter Erpressung.

Wie bezahlt man?
In den Erpressungsfällen werden die Opfer stets zur Zahlung in Kryptowährungen aufgefordert. Die größte Rolle spielt hierbei noch immer der Bitcoin. Es gewinnen aber auch andere Kryptowährungen an Bedeutung, zum Beispiel Etherium, Monero, Ripple. Es entstehen auch laufend neue Kryptowährungen, wir können da nur staunen!

Wie sieht kriminelle Arbeitsteilung aus?

© imago/Michael Weber

Sie sprachen von krimineller Arbeitsteilung. Wie sieht die aus?
Das Stichwort hierzu lautet „crime as a service“. Der Begriff fasst die Arbeitsteilung der Täter untereinander zusammen. Das wird am besten an einem Beispiel klar. Werfen wir einfach mal einen Blick auf die oben genannten Erpressungsfälle mit Verschlüsselungstrojanern: Um diese Taten zu begehen, braucht es jemanden, der die Software programmiert.

Nach unseren Erkenntnissen führt die Spur der Programmierer meist irgendwo nach Osteuropa, wobei wir in Berlin noch keinen solchen Täter identifizieren konnten. Als nächstes braucht der Erpresser ein Netzwerk übernommener Computer, um die Schadsoftware unter die Leute, also an potentielle Opfer, zu verteilen, denn der Kriminelle kann ja schlecht von zu Hause aus handeln, weil das Entdeckungsrisiko zu hoch wäre und die Rechenleistung beziehungsweise die Internetverbindung nicht ausreicht.

Deswegen werden – wiederum mit Schadsoftware – durch Täter, die die Programmierer der Verschlüsselungssoftware nicht kennen, in großer Zahl fremde Computer im Internet übernommen und zusammengeschaltet. Wir nennen solche Verbände an gekaperten Computern Botnetze. Diese Botnetze werden dann zur Begehung von Straftaten an andere vermietet. Schließlich braucht unser Erpresser noch eine Bankverbindung, um die erpressten Bitcoin irgendwann einlösen zu können.

Hierzu wird entweder eine weitere Person als Finanzagent eingeschaltet oder man kauft ein auf falsche Personalien eingerichtetes Bankkonto, einen sogenannten Bankdrop. Wer also im Internet mit Verschlüsselungstrojanern auf kriminelle Weise Geld erwirtschaftet, sucht einschlägige Boards im Internet auf und bedient sich der „Services“ des Programmierers, eines Botnetz-Betreibers und eines Finanzagenten/Bankdrop-Verkäufers.

Der Täter der Erpressung setzt dann nur noch seine eigene Bitcoin-Wallet in das Erpresserschreiben ein. Die Darstellung ist an dieser Stelle etwas verkürzt, reicht aber um das Prinzip aufzuzeigen. Ähnlich geschieht es auch mit allen anderen denkbaren Delikten.

Was ist ein Finanzagent?
Finanzagenten sind Leute, die entweder ihr ganz normales Konto Tätern für Geldeingänge zur Verfügung stellen oder im Auftrag von Tätern neue Konten zur Buchung krimineller Gelder einrichten. Ein Finanzagent kommt überall dort ins Spiel, wo am Ende einer Straftat Geld auf ein Konto fließen muss und der Täter nicht im Besitz eines Bankdrops ist. Das kann ganz bewusst, zum Beispiel im Austausch gegen einen Anteil an der Beute geschehen. Häufig werden Menschen aber auch durch unterschiedliche Methoden der Täuschung zu Finanzagenten gemacht. Relativ neu ist die Masche, Menschen ganz unbewusst zur Eröffnung von Konten zu bewegen.

Wie kann man denn ein Konto eröffnen, ohne dass man es merkt?
Das geschieht unter Verwendung von Identifizierungsdiensten im Internet. In der Regel wird den Betroffenen dabei vorgetäuscht, sie müssten sich für ein Arbeitsverhältnis oder einen Werkvertrag online über einen Videochat legitimieren. Tatsächlich erfolgt die Legitimation zur Eröffnung eines Kontos, was den Betroffenen verborgen bleibt.

Die Zugangsdaten zum Konto behalten die Täter, und schon verfügen sie über einen neuen Bankdrop. Das ist eines der besten Beispiele dafür, in welchem Maße sich in den letzten fünf Jahren die Cyber-Kriminalität professionalisiert hat. Entsteht eine neue Dienstleistungsform, ein neues Zahlungsverfahren, rückt das sofort in das Blickfeld Krimineller.

Der einsame Mann am Rechner, dem die weit entfernt lebende Russin etwas Zuwendung gibt und der dann für sie ein Konto eröffnet?
Sie sprechen damit den Klassiker des leichtfertig handelnden Finanzagenten an. Diesen gibt es noch immer. Meist wird er für seine „Bemühungen“ noch nicht mal entlohnt, hat aber eine Menge Scherereien mit den Behörden.

© dpa / Lino Mirgeler

Der „Drop“ ist praktisch die Abwurfstelle für das kriminell gehandelte Gut, früher waren auch Packstationen beliebt als Drop. Was ist daraus geworden?
Die Fälle scheinen bei uns im Moment ausgestorben. Packstationen spielen derzeit kaum noch eine Rolle. Früher waren die leicht zu hacken. Aktuell sind sie besser abgesichert. In der Praxis werden jetzt mehr Warenagenten eingesetzt, was sich natürlich auch wieder von heute auf morgen ändern könnte.

Was sind denn nun wieder Warenagenten?
Salopp gesagt ist ein Warenagent ein Finanzagent für Gegenstände, in der Regel also für bestellte Waren. Bei Warenkreditbetrug stehen die Täter ja vor dem Problem, die Auslieferung der Ware sicherzustellen, ohne die eigene Identität und Adresse zu offenbaren. Deswegen schalten sie Dritte zur Entgegennahme oder Abholung der Ware ein. Diese Personen nehmen die Waren dann an der Tür entgegen oder holen sie ab. Auch Warenagenten handeln teils gut- und teils bösgläubig.

Welche Probleme sind unlösbar?

© Stefan Weger

Welche Probleme sind unlösbar?
Es gibt aktuell hauptsächlich vier Probleme, die weder vom Gesetzgeber in Deutschland noch von den Staatsanwaltschaften oder der Polizei gelöst werden können: Das eine ist ein rein technisches Problem, nämlich die Möglichkeit zur wirksamen Verschlüsselung von Kommunikation und Datensammlungen. Es ist heute ohne weiteres möglich, Computer und Speichermedien so zu verschlüsseln, dass in mindestens 95 Prozent der Fälle eine Entschlüsselung durch die Ermittlungsbehörden nicht möglich ist.

Obwohl wir bei Durchsuchungen inzwischen sehr beherzt, nachdrücklich und schnell zugreifen – mehr will ich an dieser Stelle nicht sagen – ereignen sich immer wieder Fälle, in denen dem Täter beim Zugriff der Ermittler die Verschlüsselung noch gelingt und der dann kalt lächelnd daneben steht.

Eine weitere technische Schwierigkeit ist die Möglichkeit, Daten in der Cloud oder auf leicht zu versteckenden den kleinen Speicherkarten abzulegen. Man kann eine Menge beweisrelevanter Daten oder Zugangsdaten für Bitcoin-Wallets auf einem Chip speichern, der so klein ist wie ein Fingernagel, und den dann verstecken. Auch deswegen sind Durchsuchungen viel schwieriger geworden.

Daten, die in der Cloud gespeichert sind, saugen wir in der Mehrzahl der Fälle bei Durchsuchungen gleich mit ab. Das setzt aber voraus, dass wir von der Existenz von Cloud-Speichern erst mal Kenntnis bekommen. Steht der Cloud-Speicher im Ausland, können sich je nach Standort noch rechtliche Probleme ergeben.

Das führt zum dritten nicht lösbaren Problem, nämlich der Rechtshilfe und den unterschiedlichen Rechtsordnungen auf dem Globus.

Das vierte Problem, was zumindest auf nationaler Ebene nicht lösbar sein wird, ist die Existenz von Kryptowährungen. Diese gewährleisten recht weitgehend einen nur schwer bis gar nicht kontrollierbaren Zahlungsverkehr, was sich natürlich auch Kriminelle zunutze machen.

Was ist mit klassischeren Straftaten, etwa an Geldautomaten?
In Berlin hatten wir in letzter Zeit einige so genannte Jackpotting-Fälle. Auf dem Gebiet konnten in Berlin auch gute Ermittlungserfolge erzielt werden. Beim Jackpotting werden Geldausgabeautomaten durch Umprogrammieren angegriffen. Man verbindet dafür einen Computer über von außen zugängliche Schnittstellen des Geldautomaten und greift mit Software auf die Steuerung zu.

Dem Automaten wird dann ein Befehl ähnlich „Gib mir all Dein Geld“ geschickt. Der Automat öffnet dann die Klappe und spuckt die Scheine aus. Das geht bei einigen älteren Geldautomaten. Es gibt herumziehende Banden aus dem osteuropäischen Raum, die diese Möglichkeit gezielt nutzen. Natürlich funktioniert das nur bei schlecht gesicherten Geldausgabeautomaten.

Wie kriegen Sie die denn?
Wir haben einige erwischt. Im Detail möchte ich aber nicht verraten, wie. Soviel kann aber gesagt werden: Es handelt sich um klassische Ermittlungsmethoden zur Verfolgung organisierter Kriminalität.

Wie hat sich das Darknet entwickelt?
Das Darknet im eigentlich technischen Sinne spielt eine noch größere Rolle als noch vor drei oder vier Jahren. Das ist auf den durch die zahlreichen Veröffentlichungen gesteigerten Bekanntheitsgrad und die inzwischen noch leichtere Zugänglichkeit zurückzuführen. Im Volksmund versteht man unter „Darknet“ ja jegliche „dunkle“ oder zwielichtige Seite des Internets, also auch kriminelle Seiten, welche man über Google finden kann.

Aber technisch betrachtet ist das Darknet ein abgeschotteter Bereich des Internets, den man hauptsächlich mit Tor-Netzwerk gleichsetzen kann. Daten werden verschlüsselt über mindestens drei verschiedene, wechselnde Stationen geleitet und man hat eigene Internetadressen für bestimmte Seiten. Da ist die Rückverfolgung schwierig bis gar nicht möglich. Viel hat sich dorthin verlagert.

Machen Sie noch Scheinankäufe?
Scheinankäufe und Scheinzustellungen sind weiterhin ein wichtiges Mittel, um Täter zu identifizieren. Nur so kann man Versandwege und Zustellungsort erkennen. Das geht meist einher mit Observationen. Man kann auch Zahlungswege verfolgen. Häufig ergeben sich auch Anhalte, weil sich Straftäter bisweilen gegenseitig bei den Ermittlungsbehörden anschwärzen.

Das kommt mit zunehmender Kommerzialisierung der Computerkriminalität häufiger als früher vor. Viele Täter werden auch einfach zu gierig und machen nach 1000 gelungenen Taten mal einen Fehler, und da kriegen wir sie dann - zum Beispiel wenn einmal versehentlich vergessen wird, die IP-Adresse zu verbergen und das während der kurzen Zeitspanne passiert, in welcher uns ausnahmsweise Vorratsdaten zur Verfügung stehen können.

Wie viel Mitarbeitende haben Sie aktuell in Ihrer Abteilung?
Unsere Abteilung besteht derzeit aus drei Staatsanwältinnen und einem Staatsanwalt, drei Damen auf der Geschäftsstelle und mir, dem Abteilungsleiter.

Das klingt nicht nach viel.
Korrekt. Es sind zu wenige Leute da, zu viel bleibt liegen, dadurch entsteht teils mehr Arbeit als nötig. Das gilt besonders für Hauptverhandlungen, in denen teilweise versucht wird, von der Gegenseite Druck durch unnötige Verkomplizierung der Verfahren aufzubauen. Es kostet viel Kraft und zusätzlichen Einsatz, um dagegen anzukämpfen, was der Justiz allgemein und auch uns nicht immer ohne Nachteile für das Verfahren gelingt.

Wenn ich mich so umschaue: Ihr Büro ist neu möbliert. Ist die Technik-Ausstattung gut genug?
Ja, die Möblierung der Zimmer hat sich in den letzten Jahren fast überall im Haus verbessert. Auch der Computer ist ein anderer als noch vor vier Jahren. Natürlich sind uns die Kriminellen technisch immer voraus. Während das bei der Staatsanwaltschaft, wo der Computer im wesentlichen nur als Schreibwerkzeug, Datenbank und Informationsmittel genutzt wird, gerade noch zu verkraften ist, stellen veraltete, also zu langsame Systeme bei der Polizei ein echten Nachteil dar.

Neben der allgemeinen Finanznot ist das auch der Tatsache geschuldet, dass für den öffentlichen Dienst Beschaffungswege oft so lang und umständlich sind, dass sie mit der Entwicklung der Computertechnik gar nicht Schritt halten können. Nachteilig ist auch hier der in Deutschland bestehende Föderalismus. Oft müssen dieselben Softwarelizenzen für teure Spezialsoftware von den verschiedenen Polizeibehörden der Länder jeweils gesondert lizenziert werden, etwa Software zur Rückverfolgung von Zahlungen per Bitcoin. Während andere Bundesländer über derartige Programme verfügen, befindet sich Berlin derzeit in der Phase der Beschaffung.

„Es wird aber immer noch sinnlos doppelt ermittelt“

© Stefan Weger

Wenn Sie sich ein Ermittlerparadies bauen könnten, wie wäre das?
Paradiesische Zustände sähen so aus, dass unsere Abteilung ungefähr doppelt so stark wäre wie jetzt oder wir gar die Stärke und den Aufgabenkreis einer Zentralstelle zur Bearbeitung von Computerstrafsachen hätten, wie sie in anderen Bundesländern existieren.

Damit auch Berlin als Bundesland eines Tages vielleicht mal ähnliche Erfolge wie die in Deutschland führenden Dienststellen vorweisen kann, wäre es aber noch viel wichtiger, die hiesige Landespolizei mit mehr Personal und besseren Sachmitteln auszustatten. Berlin könnte zum Beispiel eine IT-lastige Durchsuchung wie kürzlich in dem Bunker in Traben-Trarbach, an der 650 Beamte beteiligt gewesen sein sollen, unterhalb der Schwelle des Terrorismus kaum stemmen.

Weiterhin wünschen wir uns eine vernünftige Rechtsgrundlage, um die Kommunikation im Internet wirksam überwachen zu können. Derzeit existieren keine wirksamen Rechtsgrundlagen für eine Vorratsdatenspeicherung. Auch wenn die Vorratsdatenspeicherung natürlich kein Allheilmittel gegen Straftaten echter Computerfreaks wäre, bedeutet das Fehlen solcher Daten gleichwohl, dass der direkte Weg zum Täter in allen Fällen verstellt ist und wir auf andere, stets aufwändigere Ermittlungsmaßnahmen angewiesen sind.

In der Politik und in der Öffentlichkeit wird hierzu ganz überwiegend vertreten, dass die auch nur vorübergehende Speicherung der Daten unbeteiligter Dritter nicht sicher oder nicht verhältnismäßig sei. Das kann man so natürlich formulieren, man muss sich aber darüber im Klaren sein, dass man die Verfolgung von Internet Straftaten damit sehr weitgehend vereitelt, zumindest aber erheblich erschwert.

Also, mehr Leute und Vorratsdaten.
Im Paradies von Cyber-Strafverfolgern gäbe es überdies auch keinen Föderalismus und eine Welt ohne die Erforderlichkeit von Rechtshilfe.

Internet-Kriminalität zeichnet sich dadurch aus, dass irgendwo auf der Welt ein Täter auf einen Knopf drückt und dadurch zahlreiche Menschen in Deutschland von Niebüll bis Traunstein zu Opfer von Straftaten machen kann. Die Folge ist, dass jeder Geschädigte bei seiner Polizeidienststelle vor Ort Anzeige erstattet, was wiederum bewirkt, dass sehr viele Ermittler in Deutschland denselben Täter suchen, ohne voneinander zu wissen.

Zwar ist der Daten- und Informationsaustausch besser geworden, es wird aber immer noch sinnlos doppelt ermittelt oder es werden Aspekte nicht erkannt, die sich aus der Zusammenschau auf einzelne Fälle und Geschädigte ergeben.

Und warum ist die Rechtshilfe ein Problem?
Das Rechtshilfeverfahren ist sehr aufwendig, kostet viel Zeit, und es fallen zum Beispiel auch Kosten für Übersetzungen an. Auch verhält es sich so, dass nicht alle Länder für alle Delikte Rechtshilfe leisten, weil bestimmte Taten im Ausland nicht strafbar sind oder weil Rechtshilfe erst ab einer bestimmten, im Einzelfall nicht erreichten Schadenshöhe geleistet wird.

Kürzlich hatten wir einen Fall, in dem ein deutscher Staatsbürger in Ungarn dort legale Waffen kaufte, und sie an deutsche Abnehmer versandte, wobei Einfuhr, Besitz und Verkauf dieser Art von Waffen in Deutschland verboten ist. Der Fall wies mehrere allgemeine strafrechtliche Probleme und spezielle Fragen der Rechtshilfe auf, die aber alle in unserem Sinne gelöst werden konnten, sodass der Täter schließlich verurteilt wurde.

Der Prüfungs- und Arbeitsaufwand war allerdings erheblich. Wenn Rechtshilfe scheitert, liegt das bei Vermögensdelikten meist am Unterschreiten einer Bagatellschwelle, bei Hasskriminalität an anderen Vorstellungen Ausland über die Reichweite von Meinungsfreiheit.

Was sind die größten Schwierigkeiten für Sie im Alltag?
Für alle Cyber-Dienststellen in Deutschland und ganz besonders für Berlin, stellt es eine besondere Schwierigkeit dar, kompetentes Personal in der erforderlichen Anzahl gewinnen zu können. Auf dem Gebiet braucht es ja die Kombination aus guten IT-Kenntnissen oder zumindest von Fortbildungsbereitschaft und Verständnis, gekoppelt mit hoher Ermittlungskompetenz bei Polizeibeamten, sowie überdurchschnittlichen Rechtskenntnissen oder Fortbildungsbereitschaft beim Justiz-Personal.

Egal ob es sich um Polizeibeamte, Staatsanwälte oder Richter handelt: Man muss in technischer und rechtlicher Hinsicht ständig am Ball bleiben, was viel Zeit kostet und was sich dann nicht unmittelbar in jeder Akte widerspiegelt. Aus diesem Grunde wird uns in der Abteilung auch mehr Freiraum zum Besuch von Tagungen im Bundesgebiet eingeräumt. Dienstreisen gehören in unserer Abteilung zum Tagesgeschäft.

Zur Bearbeitung unserer in Berlin angefallenen Verfahren fehlt es uns vor allem an Polizeibeamten. Diejenigen, die uns zur Verfügung stehen, machen im Rahmen der gegebenen Verhältnisse einen wirklich guten Job. Auch die Verteilung bestimmter Kriminalitätsphänomene in die verschiedenen Direktionen bringt Probleme mit sich. Unsere Möglichkeiten hinken insoweit denen anderer Bundesländer stark hinterher.

Das folgt auch daraus, dass der Arbeitsmarkt für ausgebildete IT-Fachkräfte überall deutlich bessere Verdienstmöglichkeiten und Perspektiven bietet, als der öffentliche Dienst ganz allgemein gewährleisten kann. Berlin ist darüber hinaus durch die im Vergleich zum Bund und zu anderen Bundesländern geringere Bezahlung und oft schlechteren Arbeitsbedingungen zusätzlich in der Defensive.