Staatsanwaltschaft für Cyberkriminalität : „Alle suchen denselben Täter und wissen es nicht“

Thomas Linke jagt Cyberkriminelle. Die sind ihm jedoch meist voraus. Vorratsdaten würden helfen – und weniger Förderalismus.

Oberstaatsanwalt Thomas Linke, Abteilungsleiter IT-OK.
Oberstaatsanwalt Thomas Linke, Abteilungsleiter IT-OK.Foto: Stefan Weger

Erst griff der Trojaner Emotet das Kammergericht an, dann die Humboldt-Uni. Gewöhnlich folgt die Erpressung. Thomas Linke, Leiter der Abteilung IT-OK bei der Staatsanwaltschaft, hat täglich damit zu tun – und mit den vielen anderen Erscheinungsformen der Organisierten Kriminalität im Internet. Ein Interview über das Vorgehen der Täter, Sex-Erpressungen und kriminelle Arbeitsteilung.

Herr Linke, wie hat sich die Organisierte Kriminalität im Internet entwickelt?
Allgemein ist festzustellen, dass sich der Trend zur Professionalisierung weiter verfestigt hat. Die Täter sind auf praktisch allen Deliktsfeldern tätig, die mit Computern begangen werden können. Verfestigt hat sich auch der Trend zu einer kriminellen Arbeitsteilung. Einen Schwerpunkt bilden weiter und gerade auch aktuell Verschlüsselungstrojaner, insbesondere derzeit „Emotet“. Dieser erlangte in Berlin erst gerade jüngst traurige Berühmtheit durch die Berichterstattung zum Angriff auf das Kammergericht.


Welche Fälle sind bei Ihnen die häufigsten?
Die zahlenmäßig größte Rolle spielen weiterhin versuchte unvollendete Erpressungen über das Internet. Am verbreitetsten sind zwei Phänomene: Zum einen werden Benutzern heimlich und getarnt Schadprogramme untergeschoben, sogenannte Malware, welche die Daten auf dem Gerät verschlüsseln, wobei nachträglich Geld für die Mitteilung des für die Entschlüsselung nötigen Passworts verlangt wird.

Neben dem großangelegten Versand tausender E-Mails mit mehr oder minder sinnvollen Standardtexten geschieht dies inzwischen zunehmend sehr gezielt, das heißt die Täter übermitteln Texte und Anhänge mit Dateibezeichnungen, die zum Tätigkeitsfeld des Opfers passen oder in denen die Täter auf Stellenausschreibungen oder Verkaufsangebote Bezug nehmen.

Besonders besorgniserregend ist dabei, dass teils Malware verwendet wird, die aus den Adressbüchern übernommener Computer E-Mail-Adressen ausliest und an diese - scheinbar vom übernommenen Computer aus - Schadsoftware sendet. Die Empfänger können so nicht auf den ersten Blick erkennen, dass ihnen ein fremder E-Mail geschickt hat. Das gilt zum Beispiel auch für „Emotet“.

Die zweite weitverbreitete Masche sind E-Mails, die wahllos an eine Vielzahl von Internetnutzern geschickt werden und in denen die Täter behaupten, sie hätten den Rechner des Opfers nebst Videokamera übernommen und den Nutzer beim Pornokonsum beobachtet oder gefilmt. Man werde die so heimlich hergestellten Aufzeichnungen veröffentlichen, sofern nicht ein bestimmter Betrag gezahlt werde.

In jüngster Zeit ist es schwieriger geworden, schädliche Software automatisch und rechtzeitig als solche zu erkennen, weil die Programme so gestrickt sind, dass schädigende Teile, die von Virenscannern erkannt werden könnten, nicht gleich in die Software eingebaut sind, sondern erst von so genannten „Command and Control Servern“ nachgeladen werden.


Und wenn man zahlt, kriegt man den Schlüssel?
In den Fällen der Verschlüsselungstrojaner erhalten die Opfer das zur Entschlüsselung erforderliche Passwort in seltenen Fällen nach Bezahlung des geforderten Betrages auch tatsächlich.

Polizei und Staatsanwaltschaft raten für gewöhnlich davon ab, die Forderungen der Erpresser zu erfüllen. Große Firmen, aber auch Anwaltskanzleien, Arztpraxen, Handwerker leisten teils aber auch hohe Zahlungen, weil ein Datenverlust schlicht existenzbedrohend oder existenzvernichtend wäre.

[Lokale Mobilität ist immer wieder Themen in unseren Leute-Newslettern aus den Berliner Bezirken. Hier gibt's die Newsletter für alle zwölf Bezirke kostenlos: leute.tagesspiegel.de]


Und die Variante mit den Sex-Erpressungen?
Den Opfern wird eine anonyme Adresse für die Zahlung benannt, was übrigens bei den Verschlüsselungsfällen ebenso ist, und man wird zur Überweisung aufgefordert. Die Anzahl derer, die auf diese Forderung hereinfallen, ist allerdings deutlich geringer als bei den Verschlüsselungstrojanern, schon weil diese E-Mails immer ins Blaue an beliebige Empfänger versandt werden und die meisten ganz genau wissen, dass sie gar keine Webcam am Computer haben oder keine Pornoseiten angeschaut haben. Es gibt dann viele Anzeigen, aber meist nur wegen versuchter Erpressung.

Wie bezahlt man?
In den Erpressungsfällen werden die Opfer stets zur Zahlung in Kryptowährungen aufgefordert. Die größte Rolle spielt hierbei noch immer der Bitcoin. Es gewinnen aber auch andere Kryptowährungen an Bedeutung, zum Beispiel Etherium, Monero, Ripple. Es entstehen auch laufend neue Kryptowährungen, wir können da nur staunen!

Mehr lesen? Jetzt E-Paper gratis testen!

3 Kommentare

Neuester Kommentar