Interview: LKA München rüstet gegen Cybercrime auf

Cybercrime ist auch in Deutschland auf dem Vormarsch und stellt die Ermittlungsbehörden hierzulande vor neue Herausforderungen. Im Interview mit kartensicherheit.de gibt Artur Neuerburg, Erster Kriminalhauptkommissar und Leiter Ermittlungen Cybercrime im  Dezernat Cybercrime beim Bayerischen Landeskriminalamt in München, einen Blick hinter die Kulissen und erklärt, wie sich das LKA auf die neuen Bedrohungen einstellt.

kartensicherheit.de: Herr Neuerburg, wie stellt sich die Lage im Bereich Cybercrime momentan für das LKA München dar? Welche Entwicklungen rund um Zahlungskartenkriminalität beobachten Sie?
Artur Neuerburg: Je umfassender sich die Gesellschaft in der digitalen Welt bewegt, desto mehr Tatgelegenheiten ergeben sich für Cyberkriminelle. Cyber-Angriffe finden täglich statt und werden zunehmend professioneller und zielgerichteter durchgeführt. Die Werkzeuge, die solche Angriffe ermöglichen, stehen einer immer größer werdenden Anzahl von Angreifern, die aus der Anonymität des globalen Cyber-Raums heraus agieren, zur Verfügung. Nach Schätzungen des BSI (Bundesamt für die Sicherheit in der Informationstechnik, Anm. der Redaktion) haben die PC-basierenden Schadprogrammvarianten inzwischen die 250 Millionen-Marke überstiegen; in Deutschland erfolgen monatlich rund eine Million Infektionen durch Malwareprogramme. Diebstähle digitaler Identitäten, also Benutzerdaten und Passwörter für alle Arten von Nutzer-Accounts, wie beispielsweise im Bereich der elektronischen Kommunikation, des E-Commerce und dem E-Government, sind für Täter sehr attraktiv. Deutschland ist aufgrund seines hohen Entwicklungsstands ein besonders lohnendes Ziel für Cyberkriminelle. Nach einschlägigen Erhebungen ist im letzten Jahr nahezu jedes dritte kleine und mittelständische Unternehmen und jedes fünfte Großunternehmen von einem IT-Sicherheitsvorfall betroffen gewesen.

Im Deliktsbereich der Zahlungskartenkriminalität entwickelt sich der Kurs inzwischen weg vom traditionellen „Skimming“ hin zu IT-basierten Attacken. Neben dem rückläufigen Trend beim Skimmen von Kartendaten und PIN ist auch die Manipulation von POS-Terminals (Point of Sale) derzeit für uns kein besonderer Schwerpunkt.Ein wesentlicher Grund für diese Entwicklung ist die Umstellung bei der Abrechnung von Transaktionen mit Debitkarten im SEPA-Raum von Magnetstreifen- auf Chip-Technologie. Die Täter sind somit gezwungen, den Einsatz ihrer noch auf Magnetstreifenbasis funktionierenden „white-platsics“ außerhalb des SEPA-Raums zu verlagern, also in sogenannte „Nicht-Chip-Länder“. Zusätzlich setzen viele Kreditinstitute auf „Magnetstripe-Controlling“. D.h., die Magnetstreifen werden nur auf Initiative der Kunden durch die Kreditinstitute für die Nutzung in „Nicht-Chip-Ländern“ aktiviert, vorgegebene Limits werden seitens der Bank in Abstimmung mit dem Kunden reduziert, und die Einsatzmöglichkeiten werden nach einer Risikobewertung der einzelnen Länder bzw. nach geographischen Gesichtspunkten (GEO-Blocking) minimiert. Die sicherheitstechnische Aufrüstung mit leistungsfähigen Anti-Skimming-Modulen an Geldausgabeautomaten und Türöffnersystemen bei Geldinstituten bewirkt ein Übriges.

Die Täter haben bereits auf diese Veränderungen reagiert. Dies zeigt sich bereits in Attacken von Geldausgabeautomaten mittels Malware (Schadsoftware), welche auf das Auszahlungsmodul am Automaten und ein Auscashen (sog. Jackpotting) direkt am Automaten abzielt. Bis auf zwei erfolgreiche Attacken sind uns bislang in Deutschland keine weiteren Fälle bekannt. Vergleichbare Malware-Attacken werden jedoch aus den USA, Kanada, Asien und einigen anderen europäischen Staaten gemeldet.

Zukünftig werden wir im sich verändernden Deliktsbereich der Zahlungskartenkriminalität unser Augenmerk nicht nur auf Cyber-Attacken auf Geldausgabeautomaten, sondern auch auf die Entwicklungen im Bereich der Chipkartenzahlungen und der NFC-Technik (Near Field Communication) legen. Hierzu sind ein enger nationaler und internationaler Austausch zwischen den Ermittlungsbehörden sowie eine Kooperation aller am Kartengeschäft beteiligten Institute und Kartenorganisationen, deren Dachverbände, den Terminal- und Chipherstellern und der EURO Kartensysteme GmbH notwendig.


Welche Bedrohungsszenarien sind besonders im Kommen?
Die digitale Underground Economy stellt zwischenzeitlich komplette kriminelle Infrastrukturen zur Verfügung. Die Angebote reichen von der Bereitstellung von Botnetzen für kriminelle Aktivitäten bis zu eigens programmierten Malware-Suiten mit Keyloggern, Spyware oder Steuerungsprogrammen für Webcams. Auffällig sind derzeit sogenannte DDoS-Angriffe (Distributed Denial of Servive) zur Attackierung von Servern, die unter der Anfragelast zusammenbrechen, komplette Bereiche lahmlegen oder empfindlich stören können. Des Weiteren stellen wir vermehrt sog. Ransomware-Angriffe fest, durch die zum Teil ganze Datenlaufwerke mit den darin gespeicherten Dokumenten nach einer Infektion mit einem Trojaner oder durch einen sog. Drive-by-Exploit (der automatisierten Ausnutzung von Sicherheitslücken auf einem PC) verschlüsselt werden. Zur vorgeblichen Freischaltung erpressen die Täter zunehmend die Zahlung von Bitcoins über einen Anonymisierungsdienst. Tatsächlich werden jedoch auch danach in aller Regel keine Codes zum Entschlüsseln der Daten an die Geschädigten übermittelt.

Zwischenzeitlich ist fast jedes Delikt mittels PC und Internet zu begehen. Besondere Sorgen bereiten uns die Entwicklungen in den Darknet-Marketplaces, über die Rauschgift, Waffen, Falschgeld und andere illegale Dienste und Produkte angeboten werden.


Wie stellt sich das LKA auf diese Bedrohungen ein – inhaltlich, strukturell, personell?
Hier ist ein ganzheitlicher Ansatz gefragt. Im Bayerischen Landeskriminalamt hat man sich daher entschieden, im Jahr 2014 ein eigenes Dezernat Cybercrime aus der Taufe zu heben. Diese neue Organisationseinheit passt sowohl organisatorisch in die Polizeilandschaft Bayerns als auch in das nationale und internationale Ensemble der Cybercrime-Bekämpfung. Das Dezernat gliedert sich in die Sachgebiete „Zentralstelle Cybercrime“, „Ermittlungen Cybercrime“ und „Netzwerkfahndung“.

In der „Zentralstelle Cybercrime“ steht die Zentrale Ansprechstelle Cybercrime (ZAC) als kompetenter Ansprechpartner innerhalb der Polizei, aber auch für den Bürger, für Unternehmen und Behörden zur Verfügung. Hier finden auch die strategische Lageauswertung, Forschungsbeteiligungen, Aus- und Fortbildungsmaßnahmen und spezifische Präventionsarbeit statt. Zur Verhaltensanalyse von Schadsoftware wurde eigens ein Cyber-Labor eingerichtet. Eigene Arbeitsbereiche für ermittlungsunterstützende und -initiierende Analysen sowie forensische Sicherungen und Auswertungen digitaler Spuren stehen hier für dezernatsinterne Ermittlungen zur Verfügung.

Das Sachgebiet „Ermittlungen Cybercrime“ mit seinen drei Ermittlungskommissionen besteht aus sogenannten „Mixed Teams“. Hier arbeiten kriminalpolizeiliche Ermittler mit diplomierten Informatikern, die im Rahmen einer in Bayern neu geschaffenen polizeilichen Sonderlaufbahn zu Internet- und Computerkriminalisten (sog. Cybercops) ausgebildet wurden, zusammen. Diese heterogene Struktur ist im Bereich der Cybercrime Ermittlungen zwingend. Hier werden herausragende Cybercrimeverfahren, die sich hinsichtlich der Komplexität oder technischem Ermittlungsaufwand abheben und besonderes Spezialwissen erfordern, bearbeitet. Außerdem werden Ermittlungsverfahren der Zahlungskartenkriminalität mit originärer Zuständigkeit in Bayern geführt.

In der „Netzwerkfahndung“ werden Recherchen in allen Bereichen des Internets durchgeführt. Der Arbeitsbereich „Soziale Netzwerken“ bündelt das für dieses Aufgabenfeld notwendige Fachwissen und stellt es der gesamten Bayer. Polizei zur Verfügung. Die Ansprechstelle Kinderpornografie übernimmt die Koordination von Ermittlungsverfahren mit kinder- und jugendpornografischen Sachverhalten und in Fällen des sexuellen Missbrauchs von Kindern.

Darüber hinaus wurden bei den Kriminalpolizeidienststellen der Bayerischen Polizei in der Fläche sogenannte Arbeitsbereiche Cybercrime geschaffen. In Nürnberg existiert nun sogar ein eigenes Kommissariat Cybercrime und beim Polizeipräsidium München wurde ebenfalls ein Dezernat Cybercrime gebildet. Zusammen mit diesen Dienststellen sind in Bayern sehr gute Voraussetzungen geschaffen worden, um Cybercrime wirksamer bekämpfen zu können.

Wie gestaltet sich zum Beispiel Ihr Arbeitsalltag oder der Ihrer Kollegen?
Cybercrime-Ermittlungsverfahren haben auf Grund der Tatausführung und verwendeten Technologien nahezu immer internationale Bezüge. Komplexe und langwierige Verfahren erfordern innovative Ideen bei der Tataufklärung und ein gutes Netzwerk innerhalb und außerhalb der Polizei. Wir benötigen stets aktuelle Informationen aus den Lage- und Meldediensten sowie aus den technisch geprägten Bereichen der IT-Forensik und der Analyse. Da ist permanente Kommunikation und der Wille zur Zusammenarbeit im Team gefragt.

Orientieren Sie sich bei Ihrer Arbeit auch an ausländischen Ermittlungsbehörden? Mit welchen internationalen Organisationen arbeiten Sie zusammen? Wer fungiert hier beispielsweise als Ideengeber?
Neue Ideen und Innovationen sind immer willkommen und werden auch dringend in diesem „Schmelztiegel“ der Cybercrime benötigt. Letztendlich trägt jeder Einzelne, jede Behörde, jede Forschungseinrichtung und jedes Unternehmen, welche in diesem Thema engagiert sind und unabhängig davon, ob national oder international verortet, mit dem jeweils speziellen Wissen und Know-how zum Ganzen bei. Um im Bereich der Cybercrimebekämpfung zukunftsorientiert voran zu kommen, ist es letztendlich egal, woher die Idee ursprünglich stammt.

Ermittlungen im Bereich des Cyberspace sind wie kein anderer Deliktsbereich international geprägt. In Bruchteilen von Sekunden werden Daten rund um den Globus geschickt, bei strafrechtlichem Hintergrund können gleichzeitig verschiedenste Rechtssysteme auf der ganzen Welt tangiert sein. Daher ist der internationalen Zusammenarbeit natürlich ein hoher Stellenwert beizumessen. Wichtige Kooperationspartner sind für uns neben dem Bundeskriminalamt in Wiesbaden als Zentralstelle in Deutschland das European Cybercrime Centre (EC3) bei Europol, der Global Complex für Innovation bei INTERPOL sowie das Cybercrimedepartment des FBI und US Secret Service zu nennen.

Zeichnen sich bereits Erfolge ab?
Nach eineinhalb Jahren hat sich das Dezernat Cybercrime im Bayerischen Landeskriminalamt zu einer gut funktionierenden und schlagkräftigen Einheit entwickelt. Wir stellen fest, dass wir die richtigen Parameter und Disziplinen zusammengeformt haben, um zukunftsorientiert und erfolgreich agieren zu können.

Immer mehr Unternehmen und Bürger wenden sich inzwischen vertrauensvoll direkt an uns und an die Fachdienststellen für Cybercrime bei den bayerischen Kriminalpolizeidienststellen. Dies ist für uns ein erster Erfolg unserer Arbeit.

Herr Neuerburg, wir bedanken uns für das Gespräch.