Cyberkriminalität im Kanton St.Gallen: So verfolgen Polizei und Staatsanwaltschaft Kriminelle im virtuellen Raum

Cyberkriminalität verfolgt der Kanton St.Gallen mit einer speziellen Einheit aus Polizei und Staatsanwaltschaft. Ein Beispiel aus ihrem Alltag.

Noemi Heule
Drucken
Die Opfer sind in der Ostschweiz, die Täter könnten überall sein: Cyberkriminalität stellt die Polizei vor neue Herausforderungen.

Die Opfer sind in der Ostschweiz, die Täter könnten überall sein: Cyberkriminalität stellt die Polizei vor neue Herausforderungen.

Bild: Silas Stein/Keystone

Wenn Hacker in Firmennetzwerke eindringen, bleibt das in der Regel ausserhalb von Fabrikhallen und Bürogebäuden unbemerkt. Keine zerbrochenen Fenster, kein Sachschaden. Und dennoch kann der Schaden in der Firmenkasse riesig sein. Weil sie zusätzlich einen Rufschaden befürchten, halten viele Unternehmen den Angriff unter Verschluss, in der Vergangenheit etwa die Thurgauer Firmen Nüssli oder Aebi Schmidt von Stadler-Patron Peter Spuhler. So lange, bis sie nichts mehr zu verlieren haben. Wie die konkursite Firma Swiss Windows aus Mörschwil, die nach eigenen Angaben auch wegen eines Cyberangriffs in finanzielle Schieflage geriet.

Martin Reut, Polizeilicher Leiter Kompetenzzentrum Cybercrime der Kantonspolizei St.Gallen.

Martin Reut, Polizeilicher Leiter Kompetenzzentrum Cybercrime der Kantonspolizei St.Gallen.

Bild: Hanspeter Schiess

Einige Firmen schalten nicht einmal die Polizei ein, wenn Hacker ihre Rechner mit Schadprogrammen angreifen. Sie befürchten, dass sich dadurch die Rückkehr zur Normalität verzögert. Tun sie es doch, kommen in St.Gallen Spezialisten der Kantonspolizei zum Einsatz. Seit 2018 hat der Kanton ein sogenanntes Kompetenzzentrum Cybercrime. Staatsanwalt und Ermittler arbeiten Hand in Hand, Büro an Büro, um die virtuellen Spuren bis ins Darknet und in der realen Welt bis ins Ausland zu verfolgen, weil sich Hacker weder an Kantons- noch an Landesgrenzen halten

Daniel Burgermeister, Cyber-Staatsanwalt.

Daniel Burgermeister, Cyber-Staatsanwalt.

Bild: Hanspeter Schiess

Aufgrund des Amtsgeheimnisses schildern die beiden Köpfe des Kompetenzzentrums, Martin Reut (Leiter Polizei) und Daniel Burgermeister (Staatsanwalt), ihre Arbeit anhand eines anonymisierten Falls, der sich so im vergangenen Jahr im Kanton St.Gallen abgespielt hat und nun auch zu Schulungszwecken dient.

Die Hacker greifen an

Als der Geschäftsführer die der Firma Apparatebau AG (Name geändert) eines Morgens seinen Computer startet, ploppt statt des Anmeldefensters eine Fehlermeldung auf: «Zugriff verweigert». Ergänzt von einem rudimentären Erpresserschreiben. Alle Dateien auf den Datenträgern seien verschlüsselt worden, heisst es. Die Entschlüsselungssoftware sei exklusiv über die Erpresser erhältlich. Um an die Software zu gelangen, soll die Firma die Hacker kontaktieren. Die beigezogenen IT-Spezialisten bestätigen die Befürchtung; sämtliche Server sind verschlüsselt. Dies bekommt nicht nur die Administration zu spüren, sondern auch die Produktion; alle Maschinen stehen still.

Die Firma muss zahlen

Um das System wieder zum Laufen zu bringen, forderten die Erpresser einen Geldbetrag in Bitcoin, versehen mit einer Bitcoin-Adresse für die Zahlung. Für die Firma stellt sich die Frage, ob sie auf die Forderung eingehen soll. Die Polizei rät davon ab, wie Martin Reut sagt. Auch wenn der Betrag übermittelt werde, sei keinesfalls gesichert, dass die Daten tatsächlich freigegeben werden. Die Malware sei im Darknet gegen Geld erhältlich, ob die Erpresser auch die nötige Entschlüsselungssoftware besässen, sei fraglich. Für viele Firmen ist zudem bereits die Kryptowährung Bitcoin ein Problem. Das Geld findet sich nicht einfach auf dem Firmenkonto, sondern muss zuerst im Internet eingetauscht werden. Die Zeit drängt, die Erpresser haben ihr Schreiben mit einem einen Countdown geschmückt: 24 Stunden. Laufen sie ungenutzt ab, erhöht sich die Forderung.

Startschuss für die Polizei

Die Firma alarmiert die Polizei, konkret das Kompetenzzentrum Cybercrime. Ihr Ausgangspunkt sind zwei Indizien, die Mail- und die Bitcoin-Adresse auf dem Erpresserschreiben. Da es sich um eine Gmail-Adresse handelt, fordert der Staatsanwalt bei Google im kalifornischen Mountain View Informationen über den Inhaber der Adresse an. «Status urgent», weil sich wegen der stillstehenden Maschinen ein hoher Schaden abzeichnet. Die Herausgabe dieser Daten ist freiwillig, die meisten Provider geben sie allerdings innert 45 Tagen heraus, wie Staatsanwalt Daniel Burgermeister sagt. So auch Google, wenige Tage später erhalten die Polizisten die Informationen des E-Mailkontos.

Die Spuren führen ins Ausland

Die Spracheinstellung ist russisch, auch die Telefonnummer führt nach Russland. Indizien auf die Herkunft des Täters, aber immer noch kein Täter. Die Spuren aus der Mailadresse enden damit in einer Sackgasse. Die Polizei verfolgt gleichzeitig den zweiten Weg: Sie analysiert die Bitcoin-Adresse aus dem Erpresserschreiben. Diese führt auf die Website bitcoin.de, den grössten deutschen Händler für die Kryptowährung Bitcoin.

Der Täter zeigt sein Gesicht

Die zweite Anfrage ist ein Treffer: Die Ermittler erhalten die persönlichen Angaben des Täters. Die Plattform verlangt neben einem Foto des Passes ein Selfie der Nutzer. Die Identifikation ist geglückt, der Täter demaskiert. Die Personalien werden mit Europol und Interpol abgeklärt sowie mit weiteren Strafverfolgungsbehörden abgeglichen, um Fälle mit identischem Täter zu finden. Staatsanwalt Daniel Burgermeister stellt ein Rechtshilfegesuch ans Herkunftsland, in diesem Fall Russland, um die Ermittlungen vor Ort anzustossen.

Das Nachspiel ist ungewiss

Für Polizei und Staatsanwaltschaft in St.Gallen ist der Fall vorerst abgeschlossen. Ob er allerdings jemals mit einem Richterspruch endet, ist unklar. Manche Fälle werden von den ausländischen Behörden nicht weiterverfolgt, andere Verdächtige werden Monate später doch noch verhört. Sicherheitshalber hat der Staatsanwalt einen internationalen Haftbefehl ausgestellt. «Viele Cyberkriminelle sind reisefreudig und können bei einer Grenzkontrolle gefasst werden», sagt Burgermeister. Die Rückmeldung aus Russland steht bisher aus. Auch wie der Fall für den betroffenen Konzern ausging, der den Verlust von Firmengeheimnissen befürchtete, wissen die Cyberpolizisten nicht, es ist nicht ihr Zuständigkeitsbereich.

Der Fall endet in der Ungewissheit, möglicherweise in einer weiteren Sackgasse. Die Arbeit der Cybercrime-Einheit ist getan, aber der Fall nicht abgeschlossen. Ein beinah alltäglicher Rückschlag für Daniel Burgermeister und Martin Reut, die so eng miteinander und mit ausländischen Behörden zusammenarbeiten und darauf angewiesen sind, dass der Austausch fruchtet. «Wir sind meist nicht die, welche die Handschellen anlegen», sagt Reut. Nicht alle können mit dieser Ernüchterung trotz erfolgreicher Arbeit umgehen. Deshalb mache man bereits bei der Rekrutierung darauf aufmerksam, dass viele Fälle mit einem Fragezeichen enden. «Man muss Schnauf haben.» Heute ermitteln, morgen verhaften, das sei nicht möglich, stattdessen gehören Wartezeiten dazu. Es ist das einzige, was sie nun tun können: warten.


Falsche Coronaopfer und betrogene Vereine

Dass sich Cyberkriminelle blitzschnell an Veränderungen anpassen, um sich neue Opfer zu suchen, zeigen die vergangenen Wochen. Sie verschicken Mails, die aussehen, als wären sie vom Bundesamt für Gesundheit oder geben vor, für Coronamassnahmen Geld zu sammeln. Um ebenso schnell auf die kriminellen Machenschaften im Netz zu reagieren, hat der Kanton St. Gallen 2018 das Kompetenzzentrum Cybercrime ins Leben gerufen und die räumliche Trennung von Strafverfolgungsbehörden und Ermittlern aufgehoben. Mittlerweile ist die Einheit auf zwei Staatsanwälte und 14 Polizisten gewachsen.

Eigenständige Ermittlungen, wie jene zum Hackangriff auf einen St. Galler Produktionsbetrieb, machen allerdings nur rund einen Viertel der Arbeit des Kompetenzzentrums aus. In 75 Prozent ihrer Arbeit unterstützen die Spezialisten andere Einheiten bei einfacheren Fällen, indem sie die Daten von Computer oder Smartphones auswerten oder jene auf internen Datenspeichern von Autos. «Heute denkt das Auto mit», sagt Martin Reut, Leiter der Polizeieinheit. In fast jedes Verbrechen sei zudem ein Smartphone involviert. Das Kompetenzzentrum unterstützt oder übernimmt Teilermittlungen, wenn etwa grosse Datenvolumen ausgewertet werden müssen. Und natürlich beschäftigen sie sich mit Delikten der immer länger werdenden Liste der Cyberkriminalität wie Phishing, Grooming, Sextortion, Romance-Scam oder CEO-Fraud. Letzteres sei auch in der Ostschweiz vermehrt anzutreffen. Neben CEOs und ihre Firmen werden häufig Vereine betrogen. Cyberkriminelle machen im Internet die Namen von Kassier und Vereinspräsident aus, um dann im Namen des Präsidenten eine angeblich dringende Zahlung auszulösen.

Die Arbeit des Staatsanwalts Daniel Burgermeister besteht zum grossen Teil darin, den Ermittlern rasch den nötigen Handlungsspielraum zu verschaffen, beispielsweise durch Rechtshilfegesuche an ausländische Behörden, oder wie im Falle des obigen Hackangriffs Anfragen an Provider im Ausland. Muss es besonders schnell gehen, veranlasst er einen sogenannten Preservation Request: Die angeforderten Daten werden solange eingefroren, bis die juristischen Formalitäten geklärt sind.

Auch die Zusammenarbeit innerhalb der Schweiz ist wichtig. In der Regel schlagen Cyberkriminelle nicht nur in einem Kanton zu, sondern greifen grossflächig an. Dort, wo die Täter zuerst auftauchten, übernimmt die Polizei den Lead in den Ermittlungen. Weil St. Gallen zu den Vorreitern im Bereich Cybercrime gehört, übernimmt das Kompetenzzentrum weitere Aufgaben. Der Kanton St. Gallen vertritt das Ostschweizer Polizeikonkordat (Ostpol) bei Nedik. Das Netzwerk für die Ermittlungsunterstützung in der digitalen Kriminalität soll den Austausch zwischen den Polizeikorps beschleunigen. (nh)