Vielen Dank für Ihre Registrierung. Sie haben jetzt den Aktivierungslink für Ihr Benutzerkonto per E-Mail erhalten.

Vielen Dank für Ihre Anmeldung.

Ihr Konto ist aktiviert. Wir wünschen Ihnen viel Lesevergnügen.

Vielen Dank für Ihre Bestellung. Wir wünschen Ihnen viel Lesevergnügen.

INTERNET: Den Cyberkriminellen auf der Spur

Seit Juli beschäftigt die Zuger Polizei einen Cyberermittler. Andreas Eugster versucht nach Angriffen im Netz die Kriminellen ausfindig zu machen – und kann nach wenigen Monaten bereits Erfolge vorweisen.
Christopher Gilb
Andreas Eugster ist seit knapp einem Jahr als Cyberbeauftragter der Zuger Polizei im Einsatz und ermittelt in den dunklen Seiten des Internets. (Bild: Stefan Kaiser (Zug, 3. April 2017))

Andreas Eugster ist seit knapp einem Jahr als Cyberbeauftragter der Zuger Polizei im Einsatz und ermittelt in den dunklen Seiten des Internets. (Bild: Stefan Kaiser (Zug, 3. April 2017))

Christopher Gilb

christopher.gilb@zugerzeitung.ch

Plötzlich geht gar nichts mehr, alle Daten des Systems sind blockiert. Ein Verschlüsselungstrojaner treibt sein Unwesen. Der Geschädigte wird aufgefordert, in einer Internetwährung eine gewisse Summe zu überweisen, um sich freizukaufen. Für solche Fälle hat die Zuger Polizei seit Juli 2016 einen eigenen Cyberermittler. Wer den 33-jährigen Andreas Eugster kennen lernt, fühlt sich an den netten Jungen von nebenan erinnert. Er hat ein einladendes Lächeln, sanfte Gesichtszüge und eine angenehm ruhige Stimme. Diese hilft ihm, die komplexe Welt, in der er Polizeiarbeit verrichtet, allgemein verständlich zu erklären. Dafür hat er viele Vergleiche zur analogen Welt parat: «Eine Strasse lässt sich für einen Zeitraum sperren, das Internet können wir aber nicht einfach abschalten, auch wenn daraus zeitweise, bildlich gesprochen, Pfeile geschossen werden.»

Ein grosser Teil von Andreas Eugsters Arbeit ist aber nicht die Abwehr von Angriffen, sondern die Präventionsarbeit: «Es geht dabei um die Frage, wie man sich möglichst gut schützen kann. Das beginnt schon mit dem richtigen Passwortschutz, ebenso sind das System an sich und gerade der Virenschutz auf dem PC aktuell zu halten, um Sicherheitslücken zu schliessen. Wer in die Ferien geht, schliesst zuvor ja auch alle Fenster und Türen und gibt den Schlüssel niemand Fremdem.» Bei der Präventionsarbeit gehe es auch darum, die Bevölkerung darauf hinzuweisen, sich nicht naiv im Internet zu bewegen, gerade bei der Nutzung der Neuen Medien. «Personen verschicken Nacktfotos, mit denen sie dann erpresst werden können, oder sie lassen sich von falschen Gewinnnachrichten, Anrufen oder Angeboten auf Plattformen ködern und werden dann bestohlen.»

Manchmal ist der Angriff noch in vollem Gange

Falls ein Angriff dann doch zu Stande kommt, sei es wichtig, schnell zu reagieren. «Deshalb verbringe ich auch viel Zeit draussen, um die Kollegen auf den Dienststellen für das Thema zu sensibilisieren, damit sie wissen, um was es geht, wenn sich ein Geschädigter meldet.» Dieser müsse erst einmal durch gezielte Fragen aus der Reserve gelockt werden, um herauszufinden, was genau passiert sei. Aus dieser Information würden dann die Sofortmassnahmen abgeleitet werden. Denn möglicherweise sei der Angriff noch in vollem Gange. «Falls dies der Fall ist, passiert das gleiche, wie wenn wir analog beispielsweise zu einer Schlägerei ausrücken. Wir versuchen, die Situation zu de­eskalieren.» In der virtuellen Welt bedeutet dies, die betroffenen Verbindungen zu kappen.» Dann herrsche Ruhe, und man könne sich in einem nächsten Schritt dem Scherbenhaufen annehmen und versuchen, die Spuren zu sichern. «Viele Geschädigte denken leider, wir könnten ihnen gleich auch noch den ganzen PC reparieren. Das können wir nicht. Denn wir kennen nicht ihr ganzes System, das gerade bei Firmen oft sehr komplex ist.» Den Schreiner, der nach einem Einbruch die Türe repariert, müsste man ja auch selbst rufen und bezahlen und genauso verhalte es sich mit der IT-Bude nach dem Cyberangriff. Mit den gefundenen Spuren versucht Eugster dann, den oder die Täter ausfindig zu machen. «Durch meine Ausbildung weiss ich, wie das Haus in dem eingebrochen wurde, also der Computer, aufgebaut ist und kann deshalb die Tat schneller rekonstruieren» (siehe Box).

Social Engineering gewinnt an Bedeutung

Seine Arbeit spielt sich aber längst nicht nur am PC ab. Da Eugster ausgebildeter Polizist ist, kann er die Täter auch festnehmen. Bevor er nach Zug kam, arbeitete er während längerer Zeit im Kompetenzzentrum Cybercrime Zürich. Zu der Zeit sorgte der sogenannte ETH-Hacker für nationale Schlagzeilen. Diesem konnte das Handwerk gelegt werden. Es könne aber gut sein, dass er sich bei einer Ermittlung stundenlang im Internet bewegen müsse, um Pseudonyme oder E-Mail-Adressen zu verfolgen oder anonym auf einem Portal zu recherchieren. Regelmässig würde er mit Stellen von anderen Kantonen zusammenarbeiten. «Die Internetkriminellen machen nicht an den Kantonsgrenzen Halt.» Es sei aber längst nicht so, dass die Verbrecher allesamt im Ausland sitzen würden. «Heute sind die meisten Systeme so gut geschützt oder auch die Spamfilter so intelligent justiert, dass es schwierig ist, ohne Hilfe digital einzudringen. Deshalb gewinnt das Social Engineering – also die soziale Manipulation – für Internetkriminelle an Bedeutung. «In letzter Zeit verzeichnete die Zuger Polizei beispielsweise vermehrt Fälle mit Finanzagenten sogenannten Money Mules. Hierbei werden lokale Personen angeworben, die ihr Schweizer Bankkonto für illegale Überweisungen zur Verfügung stellen. Diese Personen haben eine Wohnadresse in der Schweiz und machen einen vertrauten Eindruck.» Was die Internetkriminellen für ihre Zwecke nutzen würden.

Datenmengen werden immer grösser

Konkrete Zahlen zur Cyberkriminalität im Kanton Zug gebe es derzeit noch nicht. Gerade in Zug seien die Betroffenen nicht selten Firmen. «Es ist deshalb erfreulich, dass gerade die grossen Unternehmen über eigene IT-Abteilungen verfügen, mit denen ich dann effizient zusammenarbeiten kann.» Ein Problem, das im Bereich der Cyberermittlung noch gelöst werden müsse, seien die Datenmengen. «Einerseits müssen die grossen Datenmengen, die wir durchsuchen, nach strafrechtlicher Relevanz beurteilt werden, und andererseits werden sie aufgrund der technischen Entwicklung immer grösser. Und hatte Eugster auch in seiner Zeit in Zug schon Ermittlungserfolge? «Aus unseren Ermittlungen resultierten schon einige Festnahmen.»

Hinweis

Morgen führt die Zuger Polizei den Anlass «Fit fürs Netz?» durch. Dieser findet von 18.30 bis 20.30 Uhr an der Aa 4 in Zug statt. Anmeldungen werden bis Montagmittag auf 041 728 41 14 entgegengenommen.

«Viele Geschädigte denken leider, wir könnten ihnen noch den ganzen PC reparieren. Das können wir nicht.» Andreas Eugster, Cyberermittler bei der Zuger Polizei (Bild: Stefan Kaiser (Zuger Zeitung) (Zuger Zeitung))

«Viele Geschädigte denken leider, wir könnten ihnen noch den ganzen PC reparieren. Das können wir nicht.» Andreas Eugster, Cyberermittler bei der Zuger Polizei (Bild: Stefan Kaiser (Zuger Zeitung) (Zuger Zeitung))

Merkliste

Hier speichern Sie interessante Artikel, um sie später zu lesen.

  • Legen Sie Ihr persönliches Archiv an.
  • Finden Sie gespeicherte Artikel schnell und einfach.
  • Lesen Sie Ihre Artikel auf allen Geräten.