"Gehen Sie davon aus, dass Sie irgendwann einmal dran sind"

Mit Cyberkriminellen verhandeln und Lösegeld zahlen? Die Polizei einschalten? Jana Ringwald ist Cyberstaatsanwältin bei der Generalstaatsanwaltschaft Frankfurt am Main. Im Interview erklärt sie, was Ermittlungsbehörden wirklich tun und wie sie helfen, wenn Unternehmen attackiert werden.

Frau in dunkler Tiefgarage, Kopf gesenkt, der Blick aufs Smartphone gerichtet. Kommt jetzt gleich der Täter um die Ecke? Die Headline lässt das vermuten: "Unternehmen haben Gründe, bei einem Cyberangriff nicht die Polizei zu rufen." Obwohl Jana Ringwald das keinem Firmenchef empfiehlt. Die Cyberstaatsanwältin rät vielmehr, auf den Notfall vorbereitet zu sein und mit Ermittlungsbehörden zu kooperieren. Was sie nicht interessiert: Managerhaftung, Verstöße gegen Datenschutz und andere Regularien oder ob Firmen gegen ihren Rat dann doch lieber Lösegeld zahlen.

Wir schlagen die Doppelseite des Bechtle-Magazins "resu/ts – IT vorausgedacht" auf Seite 31/32 auf und stellen als reines Online-Magazin bedauernd fest: Die Emotion dieses großflächigen schummrig-düsteren Tiefgaragenbildes kann nur ein Printmedium transportieren! Gratulation an das Corporate Communications Team von Bechtle für dieses gelungene Layout und das sehr informative Interview mit Cyberstaatsanwältin Jana Ringwald, das wir mit freundlicher Genehmigung von Bechtle für unsere Leser veröffentlichen dürfen.

Es tauchen Fragen auf, die sich alle Firmen stellen, stellen müssen. Cyberangriffe sind traurige Realität, ebenso leider auch die Tatsache, dass nicht alle Unternehmen einen Notfallplan haben. IT-Dienstleister müssen noch viel mehr Aufklärungsarbeit leisten. So wie es die Cyberstaatsanwältin bei der Generalstaatsanwaltschaft Frankfurt am Main jeden Tag tut.

Frau Ringwald, angenommen, mein Unternehmen wird von Cyberkriminellen erpresst. Soll ich dann die Polizei rufen?

Jana Ringwald: Ja, das empfehle ich. Sie müssen aber nicht. Ich weiß, dass viele Unternehmen die Polizei und Staatsanwaltschaft bei so etwas lieber raushalten. Und sie haben ihre Gründe. Darum wäre ich froh, wenn wir über diese Gründe einmal sprechen könnten. Sollen wir?

Gern. Bei einer Cyberattacke habe ich ja eh schon genug Probleme am Hals. Bekomme ich womöglich zusätzlichen Ärger, wenn die Polizei anrückt?

Ringwald: (lacht) Die Ermittlungsbehörden rücken nicht an, mit Blaulicht oder so. Wir kommen einfach vorbei, oft reicht es auch remote. Datenträger konfiszieren wir meist auch nicht. Es ist so: Wir wollen gar nicht lange stören und suchen sofort das gezielte Gespräch mit den Technikern. Uns interessieren nur ganz wenige Daten, die zu den Tätern führen könnten: Login-Daten, E-Mail-Adressen und andere Kommunikationsdaten. Solche Daten müssen Sie
in diesem Moment ohnehin dokumentieren – für Ihre Cybersicherheitsfirma oder für die Versicherung. Es geht alles schnell und geräuschlos.

Nächste Seite: "Ich sag es jetzt einmal hart: Ihr Unternehmen interessiert uns überhaupt nicht!" …

Aber wenn die Polizei meine Daten hat, stellt sie vielleicht fest, dass ich mit meinen Kundenkonten sorglos umgegangen bin, gegen den Datenschutz verstoße oder mit meiner Steuer was nicht stimmt!

Ringwald: Es hilft wahrscheinlich, wenn Sie verstehen, wie wir ticken. Ich sag es jetzt einmal hart: Ihr Unternehmen interessiert uns überhaupt nicht! Wir wollen die Täter. Das sind oft internationale, professionelle Betriebe. Ihr attackiertes Unternehmen ist für uns nur ein Spurenträger zu den Tätern; ein weiteres Puzzlestück, vielleicht schon das dreizehnte in diesem Monat. Aber Ihr Unternehmen oder gar Ihre Steuererklärung sind uns herzlich egal. Sie haben keinen juristischen Ärger zu befürchten.

Heißt das, die Polizei hilft mir gar nicht, wenn ich attackiert und erpresst werde?

Ringwald: Doch, natürlich! Aber nur, wenn Sie möchten. Typischerweise wollen die Täter Lösegeld von Ihnen und stellen ein Portal zur Verfügung, auf dem sie mit Ihnen kommunizieren, das heißt: drohen, verhandeln, unter Druck setzen. Wie gesagt, es sind oft Profis. Wir bei der Polizei und Staatsanwaltschaft aber auch. Wir kennen deren Spielchen und Bluffs.
Es ist nicht anders als bei Erpressungen in der 'echten' Welt: Wir beraten Sie, wie Sie mit den Tätern möglichst geschickt kommunizieren und nicht die Nerven verlieren. Wir helfen Ihnen gerne, die hochdynamische Lage besser einzuschätzen und nicht überstürzt zu handeln.

Wenn ich die Polizei im Haus hab – darf ich dann überhaupt noch Lösegeld zahlen?

Ringwald: Ja. Es gibt hierzulande eine große Verunsicherung, weil bekannt wurde, dass man sich in den USA durch eine Lösegeldzahlung unter Umständen strafbar macht, weil man dadurch eine kriminelle Vereinigung unterstützt. In Deutschland sind die Regeln klarer: Hier wird das nicht als aktive Beihilfehandlung gewertet, sondern als straffreie ernötigte Handlung. Sie dürfen also jederzeit das Lösegeld zahlen. Wir empfehlen jedoch klar: Zahlen Sie nicht!

Aber dann ist doch wenigstens der ganze Spuk vorbei!

Ringwald: Wirklich? Wer garantiert Ihnen das? Es gibt Fälle, da entschlüsseln die Täter die Daten nach der Zahlung trotzdem nicht. Entweder, weil es ihnen schlicht egal ist oder sie es nicht können. Wenn Unternehmen ihre Daten jedoch zurückerhalten, sind diese manchmal so beschädigt, dass ein kompletter Neuaufsatz schneller und billiger ist, als die Daten zu reparieren. Das Wichtigste aber ist: Die Täter denken sich: 'Wenn der einmal zahlt, zahlt er auch ein zweites oder drittes Mal.' Sie machen sich also zum Ziel.

Ich möchte aber betonen, dass ich niemanden verurteile, der lieber das Lösegeld zahlt. Ich kann es nachvollziehen, zum Beispiel, wenn es sich um relativ geringe Summen handelt oder wenn man sich sagt: 'Gut, dann tut es jetzt halt weh, aber hinterher baue ich mich besser auf.'

Erhöht sich die Gefahr, dass der Vorfall hinterher in der Presse steht, wenn Polizei und Staatsanwaltschaft involviert sind?

Ringwald: Wir haben kein Interesse an Öffentlichkeit. Für uns ist eine Cyberattacke ein verdecktes Verfahren gegen Unbekannt. Wir wollen nicht, dass unsere Ermittlungen öffentlich werden. Wenn die Presse Wind von der Sache bekommt und die Staatsanwaltschaft anfragt, bestätigen wir grundsätzlich nie etwas. Manchmal bekommen die Unternehmen die Flatter und gehen selbst an die Öffentlichkeit. Dann müssen wir natürlich bestätigen, dass wir in diesem Fall ermitteln.

Okay, jetzt mal ehrlich: Außer einer Beratung während der Attacke – was habe ich eigentlich davon, wenn Polizei und Staatsanwaltschaft ermitteln?

Ringwald: Unmittelbar erst einmal nichts, da bin ich offen. Aber wenn unsere Ermittlungen erfolgreich sind und wir eingreifen, senkt das merklich die Angriffslast auf alle Unternehmen für die nächste Zeit. Außerdem: Jeder nicht gemeldete Cyberangriff fehlt in den Statistiken. Als hätte es ihn nie gegeben. Die Ausmaße von Cybercrime sind heute massiv unterschätzt – unter anderem deswegen, weil viele Unternehmen das lieber mit sich selbst ausmachen.

Das hat Budget-Folgen: Die Cyber-Ermittlungsbehörden werden schlechter ausgestattet, als es eigentlich sinnvoll wäre. Wenn Sie uns die Cyberattacke auf Ihr Unternehmen melden und ermitteln lassen, tragen Sie dazu bei, dass dieses Land insgesamt resilienter wird. Wir bieten im Gegenzug an, Sie weitgehend in Ruhe zu lassen. Ich finde, das ist ein fairer Trade-off.

Wenn Sie erfolgreich ermitteln – besteht dann Hoffnung, dass ich das Lösegeld zurückbekomme oder gar Schadensersatzansprüche geltend machen kann?

Ringwald: Das ist der Idealfall und tatsächlich kommt es vor. Wenn wir das für Sie hinkriegen, fühlen wir uns großartig. Aber machen Sie sich keine Hoffnungen, das wäre ein Lottogewinn. Die Strukturen in der Cyberkriminalität sind oftmals weit verzweigt und professionell organisiert. Es gibt Leute, die coden, andere kümmern sich nur um die Infrastruktur, wieder andere um die Geldtransfers. Die Geldströme – das sind immer Kryptowährungen, achtmal oder so gemixt und gewaschen.

Das bedeutet in der Praxis: Es ist in der Regel nicht mehr nachvollziehbar, woher welcher Betrag stammt und welcher Personenkreis genau Ihr Unternehmen angegriffen hat. Die kriminellen Organisationen sitzen zumeist ohnehin im Ausland und wir kommen nur schwer an die Täter. Unser Fokus liegt auf: abschalten, deren Infrastruktur lahmlegen.

Das heißt, das Lösegeld ist in jedem Fall futsch.

Ringwald: Das ist eine realistische Erwartung.

Nächste Seite: "Gehen Sie davon aus, dass Sie irgendwann einmal dran sind."

Wie groß ist die Gefahr, Opfer einer erfolgreichen Cyberattacke zu werden?

Ringwald: Ich sage jedem Unternehmen – vom kleinen Campingplatz über die Schraubenfabrik bis zum Hightech-Konzern: Gehen Sie davon aus, dass Sie irgendwann einmal dran sind. Deswegen ist es klug, vorbereitet zu sein.

Wie bereite ich mich am besten vor?

Ringwald: Neben den üblichen Dingen – Schutzsoftware, Back-ups, eine möglichst leicht wiederaufbaubare IT-Infrastruktur – ist es enorm hilfreich, regelmäßig den Notfall zu proben. Wie eine Brandschutzübung. Unternehmen sollten einen Angriff simulieren: Was passiert, wenn alle Systeme ausfallen? Wer darf entscheiden? Wie kommuniziert man intern, wie extern? Auch das Melden eines Angriffs bei der Polizei sollte vorher geklärt sein, damit im Ernstfall nicht lange diskutiert wird.

Wie melde ich denn einen Angriff überhaupt?

Ringwald: Theoretisch können Sie auch zur Wache um die Ecke laufen. Aber am besten wenden Sie sich direkt an die Zentrale Ansprechstelle Cybercrime, ZAC, die es in jedem deutschen Bundesland gibt. Dann sind Sie sofort bei den Profis. Ich empfehle, auch das vorzubereiten. Sie können dort einfach mal anrufen und Kontakt aufnehmen. Dann kennen Sie im Ernstfall Ihre Ansprechperson.

Ist Ihr Job nicht frustrierend? Vieles läuft ins Leere, die Kriminalität wächst immer nach und findet neue Wege …

Ringwald: Es ist genauso wie bei Taschendiebstahl oder Mord: Wenn man den Job macht mit dem Glauben, 'wir bekämpfen die Kriminalität, bis sie nicht mehr da ist', macht einen das unglücklich. Ich begreife meine Aufgabe aber anders: Wir streuen Sand ins Getriebe. Mein Kollege sagt immer: 'Wir zertrampeln denen den Rasen. Aber wir wissen, er wächst nach.' Ich finde das nicht frustrierend, ich finde das spannend. Verbrechen auszurotten ist unmöglich. Kriminalität ist ein normaler Teil jeder Gesellschaft. Das ist so.

Tipp: Auf der Bechtle-Webseite können Sie diesen Podcast hören: Jana Ringwald: „Wir nehmen nicht die ganze Hardware mit“

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden