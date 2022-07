Verbrechen Cybercrime-Ermittler bei der Luzerner Polizei über seine spektakulärsten Fälle: «Oft sind Firmen so verzweifelt, dass sie Lösegeld zahlen» Sein Auftrag sei nicht, Firmen zu retten, sondern Täter zu fassen, sagt Thomas Bader, IT-Ermittler bei der Luzerner Polizei. Die Aufklärung von Cyberangriffen wie etwa jener zu Jahresbeginn gegen die Papierfabrik in Perlen werde aber immer schwieriger. Interview: Gregory Remez Jetzt kommentieren 16.07.2022, 05.00 Uhr

Cybercrime auf der Spur: Thomas Bader, 46, in der Kommandozentrale der Luzerner Polizei am Hallwilerweg. Bild: Nadja Schärli (Luzern, 12. Juli 2022)

Ohne Badge kommt man nicht weit in der Kommandozentrale der Luzerner Polizei. Wer sich nicht ausweisen kann, werde schon mal zu Boden gerissen, sagt der beim Gespräch mit Thomas Bader ebenfalls anwesende Sprecher der Luzerner Polizei, Urs Wigger, mit einem Augenzwinkern. In der Zentrale sei das kürzlich tatsächlich passiert.

IT-Ermittler Bader ist in der 2020 gegründeten Kripo-Abteilung DCIS (Digital Crime and Investigation Support) dagegen eher fürs Filigrane zuständig: die «Suche der Nadel im Heuhaufen der Daten», wie er selbst sagt. Das werde immer schwieriger – denn die andere Seite schlafe nicht, sondern rüste auf.

Wann haben Sie das letzte Mal ihre Passwörter geändert?

Thomas Bader: Ich habe eine Notiz im Kalender, die mich daran erinnert, meine Passwörter regelmässig zu prüfen. Deshalb habe ich just letzte Woche eines geändert. Noch wichtiger aber als die regelmässige Änderung ist es, nicht überall dasselbe zu nutzen. Vor allem beim E-Mail sollte man ein eigenständiges, starkes Passwort setzen. Denn über das Mail werden nicht nur alle anderen Passwörter verwaltet, man gibt dort auch noch sehr viel Privates preis. Zudem sollte, wo immer möglich, unbedingt die zweistufige Authentifizierung genutzt werden.

Wie steht es um das Instant-Messaging? Gerade Whatsapp ist als Datenschleuder bekannt. Nutzen sie dieses privat?

Ja, ich nutze Whatsapp genauso wie Facebook und Instagram. Jobbedingt muss ich mich mit allen Plattformen auskennen. Wer konsequent sein will, müsste aber alle drei Accounts löschen. Ich achte bei den Privatsphäre-Einstellungen darauf, möglichst wenig Daten preiszugeben. Bei Whatsapp muss man beispielsweise wissen, dass sich die App stündlich mit den gespeicherten Kontakten synchronisiert. Weil viele über meine Kontaktdaten verfügen, wäre es für mich ohnehin schwierig, der Datenkrake Whatsapp zu entkommen. Es ist halt ein Kompromiss, den ich bereitwillig eingehe.

Vom Autolackierer zum Cybercrime-Spezialisten Thomas Bader, IT-Ermittler Aufgewachsen im Baselbiet, machte Thomas Bader zunächst eine Lehre zum Autolackierer. Mit 25 Jahren orientierte er sich dann neu und ging zur Luzerner Stadtpolizei. Dort zeichnete er sich früh durch bestechende Computerkenntnisse aus, wechselte 2010 zur Kripo und begann dort, erste Cybercrime-Ermittlungen zu initiieren. Ab 2017 professionalisierte sich der Bereich zunehmend, in dieser Zeit machte Bader diverse Weiterbildungen. 2020 wurde innerhalb der Kripo die Fachgruppe DCIS (Digital Crime and Investigation Support) gegründet. «Seither ist Internetkriminalität mein täglich Brot», sagte der heute 46-jährige Wahlluzerner.

Wie muss man sich die Arbeit als Cybercrime- Ermittler vorstellen? Wie sieht ein gewöhnlicher Arbeitstag von Ihnen aus?

Der ist eigentlich ziemlich langweilig. (lacht) Da hänge ich vor allem am Telefon und stehe in Kontakt mit verschiedenen Stellen, um Abklärungen zu tätigen. Viel Energie fliesst dabei in die Präventionsarbeit.

Und an einem ungewöhnlichen Tag?

Wenn beispielsweise ein neuer Hackerangriff auf ein Unternehmen gemeldet wird, müssen wir alles stehen und liegen lassen. Der Zeitfaktor ist entscheidend, denn wir haben es mit flüchtigen Daten zu tun. Daher gilt es, diese so schnell wie möglich zu sichern. Ich oder jemand vom Team rückt dann meist mit einem IT-Forensiker aus, um sich die Sache vor Ort anzugucken: Gibt es überhaupt noch Daten, die man retten könnte? Wie war das Vorgehen? Wo das Einfallstor? Danach ist vieles Massendatenbearbeitung. Da braucht es Fachleute, die etwa die ellenlangen Logfiles lesen können, um die Nadel im Heuhaufen der Daten zu finden.

Wie gross ist die Cybercrime-Abteilung der Luzerner Polizei?

Seit der Gründung des DCIS Anfang 2020 sind wir inzwischen 16 Personen, die sich Vollzeit der digitalen Kriminalität widmen. Kürzlich wurde zudem eine weitere Stelle gesprochen. In der Zentralschweiz sind wir damit die grösste derartige Fachgruppe. Jene in Zürich, Bern oder der Waadt sind aber noch um einiges grösser.

Die Zahl der Cyberattacken auf Unternehmen in der Schweiz nimmt zu. Zu Beginn des Jahres wurde etwa die CPH-Gruppe in Perlen angegriffen, die Papierproduktion stand mehrere Tage still. Wie gehen Sie in einem solchen Fall vor?

Grossunternehmen beauftragen im Angriffsfall in der Regel externe Firmen mit der Datenauswertung. Im Fall der CPH war dies ebenfalls so. Trotz der grossen Tragweite war dies für uns daher paradoxerweise kein spektakulärer Fall, weil er nur wenige Ressourcen gebunden hat. Die Knochenarbeit der Nadelsuche übernahm die externe Firma. Die CPH gab uns dann deren Bericht weiter, während wir mit den ständig reinkommenden Informationen die Ermittlungen aufnahmen. Hierbei gilt es zu bedenken: Unser Auftrag ist nicht, die Firma zu retten, sondern die Täter zu fassen.

Wenn das so ist, wieso sollte man in solchen Fällen überhaupt die Polizei involvieren?

Wenn nichts gemeldet wird, passiert auch nichts. Die Erfahrung zeigt, dass viele Straftaten im Cyberbereich zusammenhängen und Gemeinsamkeiten aufweisen. Jede Anzeige kann daher den entscheidenden Hinweis zu einer Täterschaft liefern – und so künftige Angriffe verhindern. Zudem stehen wir vor allem in der Anfangsphase beratend und unterstützend zur Seite.

Welche Gemeinsamkeiten weisen Cyberangriffe denn auf?

Es gibt tatsächlich erkennbare Muster, die Rückschlüsse auf die Täterschaft zulassen. Viele Angreifer haben eine Handschrift. Da können wir relativ schnell zuordnen: Ah, die sitzen in Indien, Pakistan, den USA, Russland, Ukraine, Nigeria.

Stellen Sie eine Zunahme von Cyberangriffen aus Russland fest?

Von denen gab es früher schon nicht wenige. In den letzten Jahren hat insbesondere die Zahl der Ransomware-Attacken aus Osteuropa stark zugenommen. Manche davon wiesen zuletzt häufiger einen zusätzlichen Link auf, über den sich russische Unternehmen von der Lösegeldforderung ausnehmen können.

Nimmt die digitale Kriminalität im Kanton Luzern zu?

Zuletzt nur minim, von 1148 Straftaten 2020 auf 1157 Straftaten 2021. Deren Aufklärung wird aber schwieriger, weil die Täter international agieren, professioneller vorgehen und über immer mehr finanzielle Ressourcen verfügen. Wir gehen davon aus, dass die Zahlen für das laufende Jahr deutlich höher sein werden.

Wie gehen die Täter heute vor? Gibt es neue Maschen?

Von den genannten Straftaten sind die meisten Maschen eher altbekannt, aber perfektioniert. Etwa Kleinanzeigen- oder «Nigeria Connection»-Betrügereien, bei denen Millionenbeträge von angeblich herrenlosen Konten, aus Lottogewinnen oder Erbschaften versprochen werden. Die Zahl der Ransomware-Attacken, also Lösegeldforderungen nach Datenverschlüsselungen, nimmt aber eindeutig zu. Öfter geht diesen heute Industriespionage voraus. Dann wird versucht, die Firma mit Hilfe von «Social Engineering» an einem wunden Punkt zu treffen, indem sich etwa die Angreifer in einem günstigen Moment in die firmeninterne Kommunikation schalten. Ein beliebtes Einfallstor ist heute auch die Plattform LinkedIn, über die es einfach ist, mit einem Unternehmen ungezwungen in Kontakt zu treten.

Was war ihr spektakulärster Fall?

Dazu kann ich mich nicht im Detail äussern. Aber die herausfordernden Fälle sind für uns meist eher die vermeintlich kleineren, die nicht die grosse öffentliche Aufmerksamkeit erhalten. Etwa ein KMU oder Einzelunternehmen, das schlecht auf Cyberangriffe vorbereitet war. Da fliessen schon mal Tränen, es geht um Existenzen. In solchen Fällen sind die Betroffenen dann häufig so verzweifelt, dass sie auch bereit sind, das Lösegeld zu zahlen.

Wird oft gezahlt?

Ja, davon gehen wir aus. Immerhin kriegen die Betroffenen dann ihre Daten zurück. Mir ist kein Fall bekannt, bei dem die Täter nach einer Lösegeldzahlung die Daten zurückbehalten haben. Aber klar: Wir raten dringend von Zahlungen ab.

Mal ganz ehrlich: Lohnt sich Cybercrime?

Ja, offensichtlich. (lacht) Die Frage ist nur, wie viele Ressourcen die Angreifer in einen Coup zu stecken bereit sind.

