Cyber­crime: Inter­view mit Ober­staats­an­walt Mar­kus Hart­mann

„Lei­der ver­su­chen die Unter­neh­men noch zu häu­fig, die Pro­bleme selbst zu lösen“

Rund um die Uhr steht die Zentral- und Ansprechstelle Cybercrime in Nordrhein-Westfalen bereit. Wurde ein Unternehmen Opfer einer Cyberattacke, kommen Spezialisten, um Beweise zu sichern und den Angriff einzudämmen. Viele Firmen melden sich aber zu spät. Doch ein rascher Anruf bei den Ermittlern lohnt sich, sagt Oberstaatsanwalt Markus Hartmann. Auch wenn nicht alle Täter ermittelt werden.

Herr Hartmann, wenn Unternehmen heute eine Cyberstraftat bei der Polizei melden, ist das dann mehr Großstadtrevier oder mehr CSI?
Markus Hartmann: Wenn sie ein bisschen vom Hollywood-Glamour abziehen, sind die einzelnen Polizeibehörden schon ganz nah bei CSI. Die Kriminalisten sichern Beweise, werten Rechner aus, schauen sich forensisch die Festplatten an, ob es Spuren gibt, wie der Täter auf das Gerät gekommen ist und was er da gemacht hat.

Welche Arbeit kommt dann auf einen Staatsanwalt noch zu?
Hartmann: Wir sind für die juristische Begleitung zuständig, verfassen etwa die Anklage und beantragen Beschlüsse vor Gericht. Aber auch wir haben Kollegen mit technischer Expertise. Wenn Sie den Einsatz eines bestimmten Ermittlungsinstruments beantragen wollen, dann müssen Sie verstehen, was die Polizei tun will, um es rechtlich beurteilen zu können.

Was passiert genau, wenn bei Ihnen einen Anzeige à la „der Bildschirm ist blau“ eingeht?
Hartmann: Meistens ist die Anzeige schon deutlich detaillierter. Die IT-Abteilung des Unternehmens hat zumeist schon festgestellt, dass sie kompromittiert worden ist und dass zum Beispiel Daten abgeflossen sind. Bei uns wird dann sofort ein Team für die Ermittlungen eingerichtet. Das besteht aus Staatsanwälten für den juristischen Teil und aus der erforderlichen Anzahl von Polizeibeamten und Informatikern, die in den Ermittlungskommissionen bei den Landeskriminalämtern sitzen. Dann besprechen wir möglichst schnell vor Ort mit dem Unternehmen, wie wir die Beweise am besten und schonend sichern und auch den Angriff eindämmen und abwehren können. Wir haben eine Rund-um-die-Uhr-Bereitschaft eingerichtet. Das gilt übrigens auch für die Polizeibehörden.

Nehmen Unternehmen die Gefahr aus dem Netz immer noch auf die leichte Schulter?
Hartmann: Die kleinen und mittleren Unternehmen sind eine große Baustelle. Dort gibt es zumeist keine spezialisierte IT-Abteilung, das macht teilweise der örtliche Computerhändler. Es fehlen grundsätzliche Sicherheitsmechanismen. Viele Unternehmer denken auch, bei ihnen sei nichts zu holen. Wenn ein Mittelständler aber zwei Monate mit seinen Auftraggebern nicht abgerechnet hat und eine Ransomware zuschlägt, die Daten vernichtet, dann kann das Unternehmen vor der Insolvenz stehen. Kleine Unternehmen müssen erkennen, dass Cybercrime auch für sie existenzbedrohend sein kann.

Wie oft finden Sie tatsächlich den Fingerabdruck der Täter?
Hartmann: Ich kann mich an kaum einen Fall erinnern, in  dem wir nicht den Tathergang klären konnten.

Und wie oft finden Sie dann auch tatsächlich den Täter zum Finger?
Hartmann: Das ist ausgesprochen schwer, wenn sie die Maßstäbe der Strafprozessordnung anlegen. Ein Beispiel: Wenn bei einem Angriff eine IP-Adresse aus China stammt, ist nicht klar, ob das ein chinesischer Angreifer oder ein russischer Angreifer ist, der so tun will, als wäre er ein Chinese. Wir müssen so viele Indizien wie möglich zusammentragen. Das ist mühselig, aber wir haben es schon häufiger zu Verhaftungen und Verurteilungen gebracht. In diesem Geschäft muss man aber auch verlieren können. Es gibt Fälle, wo wir über die Aufklärung des Tathergangs nicht hinauskommen.

Wie hoch ist denn die Erfolgsquote bei der Verfolgung von Cybercrime?

Hartmann: Das Lagebild 2017 des Landeskriminalamtes Nordrhein-Westfalen verzeichnet im Kernbereich der Cyberdelikte eine Aufklärungsquote von 35,8 Prozent. Eine eigene Statistik der Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen wird derzeit nicht erhoben.

Warum sollten Unternehmen denn Hackerangriffe anzeigen, wenn die Wahrscheinlichkeit, den Täter dingfest zu machen, relativ gering ist?
Hartmann: Viele Unternehmen bekommen zwar mit, dass sie gehackt worden sind, aber der genaue Hergang und welche Daten abgeflossen sind bleibt unklar. Das können wir im Ermittlungsverfahren aufklären. In der letzten Zeit waren wir zum Beispiel auch recht erfolgreich dabei, Gelder zurückzuholen, wenn Anzeigen rechtzeitig gestellt wurden. Wir können abgeflossene Gelder lokalisieren, sie einfrieren und Vermögen für Unternehmen sichern. Und selbst wenn wir nicht direkt erfolgreich sind, trägt eine Anzeige dazu bei, das Dunkelfeld zu erhellen. Wir wissen besser, wie die Täter agieren und können im nächsten Fall besser ermitteln. Und wir können die Erkenntnisse an andere Unternehmen weitergeben, damit diese sich besser auf die Angriffe vorbereiten können.

Werden immer mehr Cyber-Straftaten angezeigt?
Hartmann: Leider schmoren die Unternehmen noch zu häufig im eigenen Saft und versuchen, die Probleme selbst zu lösen. Der Klassiker ist: Das Unternehmen erkennt am Montag, dass es ein IT-Problem hat. Es versucht Dienstag und Mittwoch, das Problem selber zu lösen. Donnerstag kommt dann die externe IT-Firma. Und erst am Freitag erstattet jemand Anzeige. Dann ist es für uns sehr schwierig noch Spuren zu sichern, weil über die Tage weiter mit den Rechnern gearbeitet wurde. Ich würde mir wünschen, dass die Strafverfolgungsbehörden öfter und schneller beteiligt werden.

Die Unternehmen fürchten vielleicht, dass der Staatsanwalt gleich die Server mitnimmt, um Beweise zu sichern.
Hartmann: Die Bedenken kann ich sehr gut verstehen, aber sie stimmen nicht. Wir rupfen nicht die Server aus den Rechenzentren raus, um sie dann erst zwei Jahre später wiederzubringen, sondern versuchen gemeinsam mit der IT des Unternehmens, die Spuren so schonend wie möglich zu sichern. Wir kommen wegen eines konkreten Anfangsverdachts und sind nicht der Spion im Unternehmen, der nach nicht gezahlten Steuern sucht. Wir versuchen, die konkrete Tat aufzuklären. Für Unternehmen ist es ungewöhnlich und beängstigend, die Staatsanwaltschaft im eigenen Haus zu haben. Die Belange des Unternehmens spielen für uns aber eine große Rolle.

Interview: Henning Engelage

Zur Startseite
Auch inter­essant