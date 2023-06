"Es gibt viele Fehleinschätzungen dessen, was die Polizei im Kampf gegen Cybercrime tun kann, oder wie sie dabei vorgeht", bedauert Chris Lynam im Gespräch mit heise online im Rahmen der 35. FIRST Conference 2023 in Montréal. Das sei mit ein Grund für die geringen Anzeigenquoten und enorm hohen Dunkelziffern bei digitalen Straftaten. Lynam ist Generaldirektor des kanadischen National Cybercrime Coordination Centre (NC3), einer Abteilung der Königlich-Kanadischen Berittenen Bundespolizei RCMP, sowie Leiter des Canadian Anti-Fraud Centre. "Es besteht die Angst, dass nach der Anzeige eines Hacks die Polizei alle Daten beschlagnahmt und den gehackten Betrieb stilllegt", berichtet Lynam. "So arbeiten wir aber nicht."

FIRST steht hier für Forum of Incident Response and Security Teams. Die Organisation bringt IT-Sicherheitsteams und Incident-Response-Einrichtungen aller Länder zusammen. Ihr gehören Computer Emergency Response Teams (CERT) von über 600 Firmen, Behörden, Universitäten und anderen Einrichtungen aus hundert Ländern aller besiedelten Kontinente an. Die 35. FIRST Conference fand vergangene Woche in Montréal, Kanada, statt, und Lynam hielt den Schlussvortrag.

Die Polizei weiß, was du letzten Sommer getan hast

Sein Credo: "Wir werden Cybercrime nicht durch Verhaftungen abstellen." Notwendig sei ein "ganzheitlicher Ansatz". Dazu gehört, junge Leute möglichst davon abzuhalten, IT-kriminell zu werden. Das geht beispielsweise so: Anfang April nehmen Polizeibehörden im Rahmen der Aktion Cookie Monster in mehreren Ländern gleichzeitig 119 Personen fest; sie sollen sich am Untergrund-Marktplatz Genesis Market beteiligt haben, wo insbesondere gestohlene Zugangsdaten für fremde Konten gehandelt wurden. In Kanada lässt Lynam seine Kollegen 79 Mal ausrücken.

"Aber nur neun davon waren Verhaftungen und Hausdurchsuchungen", verrät er im Gespräch mit heise online. "Der Rest waren Unterhaltungen. 'Hey, wir wissen, dass du auf Genesis warst.'" Lynams Hoffnung ist, dass sich die kleinen Fische in Zukunft in saubereren Gewässern herumtreiben, wissend, dass sie jetzt beobachtet werden und Glück haben, nicht im Knast zu sitzen. Diese Gespräche führen nicht nerdige Cybercops aus Kanadas Hauptstadt Ottawa, sondern Beamte der jeweils lokalen Polizeistation. Der unmittelbare Kontakt vor Ort sei wichtig, betont der Chef der kanadischen Cybercrime-Abteilung.

Opfer lehnen Hilfe oft ab

Dabei vermittelt er den Eindruck, dass die Gespräche mit digitalen Kleinkriminellen bisweilen erfolgreicher verlaufen als Kontaktaufnahmen mit Opfern: "Wir erhalten oft Hinweise von internationalen Partnern (auf gerade laufende Angriffe), dann kontaktieren wir die Opfer in Kanada. Aber die glauben oft, dass wir die Betrüger sind. Denn vielleicht wissen sie noch gar nicht, dass sie gehackt wurden."

Ein solches Beispiel sei die Hive-Ransomware, die Mitte 2021 aufgetaucht ist. Mehr als 1.500 Firmen in mehr als 80 Ländern wurden damit um mehr als 100 Millionen US-Dollar erpresst; in Deutschland war beispielsweise Media-Markt-Saturn von dem Ransomware-Angriff mit Hive betroffen. Im Juli 2022 gelang es dem FBI, die IT-Infrastruktur der Hive-Gruppe zu übernehmen und die Schlüssel für die Entschlüsselung der als Geiseln genommenen Daten herunterzuladen.

Christopher Lynam bei seiner Schlussrede der 35. FIRST Conference 2023 in Montréal, Kanada. Lynam ist Generaldirektor des kanadischen National Cybercrime Coordination Centre und leitet das Canadian Anti-Fraud Centre. (Bild: FIRST)

Das hat mehr als 300 Opfer gerettet, von denen die Täter insgesamt weitere 130 Millionen Dollar haben wollten. Außerdem haben den Angaben vom Januar zufolge über 1.000 frühere Opfer ebenfalls von der Polizei die Schlüssel erhalten, um Daten entschlüsseln zu können. Als die RCMP mit den vom FBI erhaltenen Schlüsseln Betroffenen in Kanada helfen möchte, stoßen die Polizisten auf Gegenwehr. Die Opfer vermuten hinter dem echten Hilfsangebot eine weitere Finte.

Lynam empfiehlt Unternehmen und anderen Einrichtungen grundsätzlich, sich auf Hacks vorzubereiten. Dazu gehöre, schon im Voraus festzustellen, wen man bei der örtlichen Polizei im Falle des Falles kontaktieren muss. Ebenfalls dazu gehöre, darauf vorbereitet zu sein, von der Polizei kontaktiert zu werden. Wer seinen Ansprechpartner bei der Behörde schon kennt, könne dann leicht rückfragen, ob die Kontaktaufnahme echt ist.

Aufruf zu Teamarbeit

"Malware ist Malware, egal, von wem sie kommt", ist ein häufiges Credo in CERT-Kreisen. Und weil nicht nur Verbrecherbanden, sondern auch Geheimdienste und Polizeibehörden immer wieder versuchen, Sicherheitslücken auszunutzen, bringen White-Hat-Hacker staatlichen Akteuren eine gesunde Portion Misstrauen entgegen. Also warum tritt jemand wie Chris Lynam auf Veranstaltungen wie der FIRST Conference 2023 auf?

"IT-Straftaten werden nie ganz verschwinden", erklärt Lynam im Gespräch mit heise online. Die Aufgabe sei, die Auswirkungen von Hacks so gering wie möglich zu halten. Und das werde nur mit Teamgeist gelingen. "Es muss mehr sein als die Polizei. Die Privatwirtschaft, die CERTs" – alle müssten zusammenarbeiten. Und: "Dieses Team muss besser sein als die Kriminellen." Daher sucht er das direkte Gespräch mit CERTs, die in Montréal zahlreich versammelt waren.