Lukas Wunderlin leitet die Cybercrime-Fachstelle der Baselbieter Polizei

Die Psychiatrie Baselland wurde dieses Jahr Opfer von Cyberkriminellen. Jedes Jahr werden zahlreiche weitere Institutionen und Firmen angegriffen und erpresst. Ein grosser Teil von ihnen bezahlt, ohne den Cybercrime-Ermittler Lukas Wunderlin zu rufen.

Christian Horisberger

Die Psychiatrie Baselland wurde im Oktober Ziel eines Cyberangriffs. Dies dürfte aber längst nicht der einzige des vergangenen Jahres gewesen sein. Herr Wunderlin, wie streng war dieses Jahr für Ihre Cybercrime-Abteilung?
Lukas Wunderlin: Dieses Jahr war es, was Angriffe mit Verschlüsselungstrojanern angeht, eher ruhig. Die Anzahl Cyberdelikte insgesamt ist in den vergangenen Jahren stetig angestiegen bis auf 1100 im Jahr 2022. Bei rund 80 Prozent der Fälle handelte es sich um Betrugs- und Phishingdelikte auf einer digitalen Plattform und bei 20 Prozent um grössere Fälle von Cyberkriminalität, deren sich unsere Abteilung vorrangig annimmt. Wir gehen allerdings davon aus, dass weit mehr als die Hälfte aller Cyberkriminalfälle nicht gemeldet werden.

Warum nicht?
Es dürfte die Befürchtung geben, dass Informationen zu einem Angriff nach aussen dringen könnten, wenn man die Polizei im Haus hat. Und viele Betroffene möchten einen Reputationsschaden verhindern. Manche Firmen verfügen über eine Cyberversicherung, die unter Umständen sagt, man solle zahlen. Hinzu kommt, dass wir zur Wiederherstellung der Daten einer Firma ja nichts beitragen können.

Sondern?
Als Strafverfolger reparieren wir nichts, sondern analysieren, was passiert ist, bringen dies mit anderen Fällen zusammen und gleichen unsere Erkenntnisse international ab. Das Ziel dabei ist immer, die Täterschaft ergreifen zu können.

Was lässt sich zum Stand der Ermittlung zum Angriff auf die Psychiatrie sagen?
Zu laufenden Verfahren äussere ich mich nicht.

Wenn ein staatliches Unternehmen wie die Psychiatrie von einem Cyberangriff betroffen ist, hat dann Ihre Cybercrime-Abteilung versagt?
So kann man das nicht sagen. Die IT-Sicherheit kantonaler Einrichtungen liegt bei der zentralen Informatik. Mit deren Sicherheitsbeauftragten sind wir in engem Austausch über mögliche Gefahren. Wir machen aber keine Betriebs-IT, sondern sind primär in der Strafverfolgung tätig.

Ab welcher Grösse muss sich ein Unternehmen Sorgen machen, von Cyberkriminellen ins Visier genommen zu werden?
Wir hören von KMU oft, sie seien zu klein oder zu uninteressant für Cyberattacken. Unsere Erfahrung zeigt aber: Es kann von der Ein- oder Zwei-Mann-Bude bis zum Grossunternehmen alle und jeden treffen. Davon auszugehen, dass es einen nie trifft, ist blauäugig. Es ist weniger die Frage, ob, sondern wann man ein Cybercrime-Opfer wird. Daher ist es angebracht, sich in jederlei Hinsicht darauf vorzubereiten.

Wie läuft ein Cyberangriff ab?
Meist laufen solche Angriffe in mehreren Phasen ab: Über eine Schwachstelle oder mit einem Schadprogramm verschaffen sich Kriminelle einen Zugang zum System. Sind sie drin, ergattern sie nach und nach Privilegien wie beispielsweise einen Administrator-Account und breiten sich im Unternehmensnetzwerk aus. Sobald genügend Privilegien und ein Bild von der Hardware vorhanden sind, erfolgt am Tag X die Verschlüsselung, verbunden mit der Erpressung.

Damit kann das Opfer nicht mehr auf seine Daten zugreifen. Werden Firmendaten nicht auch gestohlen?
Beides ist üblich: Zuerst werden Daten abgezogen, und die Verschlüsselung folgt als finaler Akt. Das erhöht die Bereitschaft der Geschädigten zu bezahlen, sofern sie über keine Backups verfügen.

Dann geht es nicht darum, gestohlene Daten zu verwerten, sondern um Erpressung?
Sowohl als auch. Zugangsdaten, etwa zu Konti, können für Kriminelle durchaus interessant sein, aber das wäre ein Nebeneffekt.

Gibt es Firmen oder Branchen, die bei Cyberkriminellen besonders beliebt sind?
Es sticht keine Branche heraus.

Wie hoch sind die Summen, die Erpresser fordern?
Der Betrag wird auf das Opfer massgeschneidert. Die Angreifer bewegen sich über längere Zeit auf dem System des Opfers und gewinnen dadurch Erkenntnisse über dessen finanzielle Situation. Verlangt wird ein Betrag, der gerade noch bezahlt werden kann.

Und was muss man bezahlen, um sich gegen Kriminelle im Netz zu schützen?
Das kann schon einiges kosten. Die meisten Betriebe sind nicht in der Lage, den Schutz gegen Cyberattacken aus der eigenen IT heraus zu gewährleisten und brauchen dafür deshalb externe Hilfe. Aber dieses Geld ist meines Erachtens gut investiert.

Wegen der erpressten Summe oder der Wiederherstellung des Systems?
Wegen beidem. Hinzu kommen die Kosten für den Schutz gegen künftige Angriffe. Nicht zu vergessen die wirtschaftlichen Folgen durch einen teilweisen oder vollständigen Betriebsausfall: Je nach Branche kann ein Unternehmen während Wochen gelähmt sein, womöglich mit existenziellen Folgen.

Gibt es Unternehmen, die so einen Angriff nicht überlebt haben?
Hierzu möchte ich nicht ins Detail gehen, damit keine Rückschlüsse auf Betroffene möglich sind. Fakt ist, dass ein Ransomware-Angriff die Existenz von Unternehmen gefährden kann.

Soll eine Firma zahlen, wenn sie erpresst wird?
Wir raten grundsätzlich davon ab. Denn eine Garantie, dass man von Kriminellen den Entschlüsselungskey zur Wiederherstellung seiner Daten erhält, gibt es nie. Ausserdem kann es sein, dass sich die Angreifer trotz Bezahlung des Lösegelds eine Hintertür offen lassen und eine weitere Erpressung starten. Wir haben jedoch Verständnis dafür, wenn eine Firma bezahlt, falls sie über kein Daten-Back-up verfügt. Dann hat sie ja fast keine andere Wahl.

Tun die Unternehmen zu wenig für ihre IT-Sicherheit?
Das kann man generell nicht sagen. Immer mehr Firmen, ob gross oder klein, haben entsprechende Schritte eingeleitet. Die Firmen werden dabei zum Teil von ihren Branchenverbänden unterstützt. Es hat sich schon einiges getan.

Ist dies allenfalls der Grund, weshalb es im vergangenen Jahr weniger schwere Fälle gab?
Über die Gründe können wir nur spekulieren. Inwiefern die Verbesserung der IT-Sicherheit dazu beigetragen hat, kann ich nicht sagen.

Gibt es Cyberkriminalität durch Staaten?
Nicht durch einen Staat direkt, aber Kriminelle geniessen Protektion durch den Staat. Denn ohne dass jemand ein Auge zudrückt, sind solche Aktivitäten nicht möglich.

Wie ist es um die internationale Rechtshilfe bestellt?
Im Grundsatz funktioniert sie. Die Auskunftsbereitschaft variiert aber stark. Es gibt Länder, von denen hat man auf ein Gesuch hin innert weniger Wochen eine Information, woanders kann das ein Jahr dauern, oder man hört gar nichts. Das erschwert uns die Arbeit, denn wir sind auf Rechtshilfe angewiesen.

Die Welt wird immer digitaler. Muss man davon ausgehen, dass sich die Kriminalität parallel dazu in den digitalen Raum verlagert?
Es gibt Studien, die von einer weiteren Zunahme der Cyberkriminalität bis 2028 ausgehen. Dann soll eine Plafonierung erreicht sein. Aber ob das so eintrifft, ist eine andere Frage.

Weshalb könnte eine Plafonierung eintreffen?
Die Sensibilisierung und das Bewusstsein wachsen: Software-Updates werden häufiger aufgespielt oder man verwendet nicht mehr für alle Anwendungen ein und dasselbe Passwort. Gleichzeitig wird es für Kriminelle immer schwieriger, neue Maschen zu entwickeln.

Gibt es einen 100-prozentigen Schutz gegen Cyberkriminalität?
Nein. Nicht, solange Menschen involviert sind. Bei Angriffen auf Firmen steht am Anfang häufig der Fehler eines Menschen – sei es, indem jemand ein Schadprogramm öffnet oder Zugangsdaten herausgibt. Wenn Privatpersonen im digitalen Umfeld zu Schaden kommen – in der Regel handelt es sich um Betrugsfälle –, stehen häufig Bequemlichkeit und Gier im Vordergrund. Die menschlichen Schwächen, die Kriminelle ausnützen, sind so alt wie die Menschheit selber, die Digitalisierung eröffnet lediglich neue Möglichkeiten.

Wie hoch ist die Aufklärungsrate Ihrer Abteilung?
Bei Cyberangriffen auf Firmen liegt sie praktisch bei null. Aber wir kooperieren bei der Ermittlung national und international. Es geht darum, Daten auszutauschen und abzugleichen. Es werden durchaus Erfolge erzielt, doch diese finden keinen Eingang in die Statistik der Baselbieter Strafverfolgungsbehörden, sondern treten irgendwo anders in der Welt ein.

Das Szenario, dass ein Cybererpresser vor Baselbieter Strafrichtern steht, ist somit eher unrealistisch?
Ja, wenn auch nicht auszuschliessen. Man sollte sich bei der Cyberkriminalität von einem geografischen Denken lösen. Wir haben in der Schweiz Opfer, aber keine Täter, die von unserem Land aus operieren. Deshalb ist eine länderübergreifende Zusammenarbeit wichtig, um den Ermittlungsdruck hoch zu halten und die Täter – egal, wo in der Welt – zur Rechenschaft zu ziehen. n

Ist das für Sie als Ermittler nicht extrem unbefriedigend?
Doch, natürlich ist es das manchmal. Aber allen, die bei uns arbeiten, ist bewusst, wie es läuft. Sie wissen, dass nur mit Durchhaltevermögen und Fleiss etwas erreicht werden kann.

Wie gut sind die Programmierer der Cyberkriminellen?
Wer eine Ransomware programmiert, der muss etwas können. Wir kämpfen gegen hoch qualifizierte Leute an. Aber wir haben genauso gute Fachleute.

Weshalb ist es trotzdem so schwer, Cyberkriminelle zu überführen?
Sie müssen sich an keine Regeln halten. Wir schon. Alles, was unsere Ermittlungen im Ausland betrifft, geht über Rechtshilfe.

Wie erfolgreich ist die Polizei bei Betrugsfällen auf digitalen Plattformen?
Hier liegt unsere Aufklärungsrate bei über 30 Prozent. Ich spreche von Delikten wie Verkäufen auf Kleinanzeigeplattformen, bei denen im Voraus Geld kassiert und keine Ware geliefert wird. In solchen Fällen gibt es häufig einen lokalen Bezug oder man kann den Hebel beim Geld ansetzen, sofern ein Betrag auf ein Schweizer Konto überwiesen worden ist.

Wie kann man sich zum Beispiel gegen Betrüger auf einer Online-Kleinanzeigenplattform oder bei Onlineshops schützen?
Von etwas, das zu gut ist, um wahr zu sein, sollte man die Finger lassen. Die Opfer werden oft mit Schnäppchen getriggert. Meistens steht der Preis des feilgebotenen Produkts im krassen Missverhältnis zu dessen Marktwert: Kein normaler Mensch verkauft ein brandneues iPhone der jüngsten Generation für 200 Franken. Es ist auch nie verkehrt, sich die Web-Adresse eines Schnäppchen-Webshops genau anzuschauen. Ist diese nicht plausibel, dann ist Vorsicht geboten. Generell gilt: Persönliche und vertrauliche Daten oder Zugangsdaten sollten nie an Dritte herausgegeben werden.

20-köpfige Abteilung

ch. Lukas Wunderlin (44) aus Lupsingen ist seit dem 1. April 2023 Leiter der Abteilung Cybercrime der Baselbieter Polizei. Die 20-köpfige Fachstelle mit den Schwerpunkten IT-Forensik und IT-Ermittlung besteht je hälftig aus Personen mit Polizeihintergrund und mit Informatik-Ausbildung. Die Baselbieter Staatsanwaltschaft beschäftigt ihrerseits in einer Cybercrime-Fachstelle zwei Juristen.
Einen wesentlichen Teil der Arbeit im Bereich Cybercrime leistet die Sicherheitspolizei mit der Aufnahme von Betrugsfällen in der digitalen Welt sowie Abklärungs- und klassischer Ermittlungsarbeit. Die Abteilung Cybercrime befasst sich vorwiegend mit technisch komplexen sowie schweren Fällen wie beispielsweise dem Ransomware-Angriff auf die Psychiatrie. Zur Prävention veranstaltet die Abteilung Info-Anlässe für die Bevölkerung. Gegen Ende vergangenen Jahres fanden vier solche Veranstaltungen statt, Anfang dieses Jahres wird die Reihe fortgesetzt.