Geld oder Daten: Ransomware ist die neue Geiselnahme.
16.05 Uhr, fedpol, Lausanne. Im Kommissariat Wirtschaftskriminalität 2 kommt über den SIENA-Kanal eine Meldung von Europol: Es gibt Hinweise, dass gegen eine international tätige IT-Firma in der Romandie ein Ransomware-Angriff bevorsteht. Perfid: Ransomware ist ein bösartiges Programm (sogenannte Malware), das einem Täter ermöglicht, auf einen Computer zu gelangen und alle Dateien darauf zu verschlüsseln. Dies bedeutet, dass niemand mehr auf die Dateien zugreifen kann – denn den Schlüssel hat nur der Täter. Um die Dateien wieder freizugeben, verlangt er ein Lösegeld (Ransom). Nicht selten kopieren die Täter die Daten, bevor sie sie verschlüsseln, und verkaufen sie im Darknet.
Eine kriminelle Verschlüsselung von Daten wäre nicht nur für die Firma selbst, sondern auch für ihre Kunden fatal. Der Cyberermittler im Dienst weiss: Ab jetzt tickt die Uhr.
16.10 Uhr, fedpol, Lausanne. Der Ermittler gibt die SIENA-Meldung an die zuständige Kantonspolizei weiter. Sieben Minuten später folgt die Antwort: Die Kollegen der Kapo sind gerade mit einem anderen dringenden Fall ausgelastet. Sie bitten fedpol um Unterstützung. Der Ermittler alarmiert den Pikettoffizier. Die Uhr tickt. fedpol übernimmt.
SIENA («Secure Information Exchange Network Application») ist ein von Europol entwickelter online-Kanal, der Mitgliedstaaten der Europäischen Union und assozierten Schengenstaaten ermöglicht, sicher und vertraulich Informationen über Cyberkriminalität auszutauschen. Der Kanal bietet verschiedene Funktionen, die den Benutzern ermöglichen, Fallinformationen zu teilen und gleichzeitig das Datenschutzniveau zu gewährleisten. Darüber hinaus kann SIENA verwendet werden, um technische Unterstützung bei internationalen Ermittlungsmassnahmen anzufordern.
16.27 Uhr, fedpol, Lausanne. Die Spur: Die Täter haben auf das Netzwerk der Firma zugegriffen. Dafür haben sie Zugangsdaten verwendet – eine lange Zahlen- und Zeichenfolge. Damit haben sie Spuren im Netzwerk der Firma hinterlassen. Bloss – wo? Die Ermittlungen beginnen.
16.45 Uhr, Romandie. Die Daten scheinen noch nicht verschlüsselt. Die Malware lauert aber irgendwo auf einem Server oder Computer der Firma. Lagebesprechung zwischen Ermittler und Informatikchef – der sitzt zum Glück in der Schweiz und fährt sofort die Notfallorganisation hoch. Sein Sicherheitschef arbeitet in London. Zeitverschiebung: minus eine Stunde – in London ist Tea Time. Der Tee muss warten. Die Uhr tickt.
17.22 Uhr (16.22 Uhr in London). Telefonkonferenz zwischen fedpol und dem Sicherheitschef der Firma: Die Notfallorganisation ist bereit, 100 Computer-Spezialistinnen und -Spezialisten stehen zur Verfügung, einige davon sitzen in Indien. Zeitverschiebung: plus viereinhalb Stunden – in Neu-Dehli ist es 21.52 Uhr. Ihre Aufgabe: Die Spuren der Zahlen- und Zeichenfolge, die die Täter hinterlassen haben, auf den Servern suchen. Eine lange Nacht kündigt sich an. Die Uhr tickt.
17.29 Uhr (16.29 Uhr in London). Der Cyberermittler spricht mit der Leiterin der Rechtsabteilung der Firma in London: Was sind die rechtlichen Möglichkeiten? Wird die Firma Anzeige machen? Wo? Wer ist zuständig? Die Leiterin der Rechtsabteilung beruft die Krisenzelle ein. Denn ein erfolgreicher Ransomwareangriff, eine Verschlüsselung der Daten, eine Lösegeldforderung, wäre genau das: Eine Krise.
17.59 Uhr, fedpol, Lausanne. Lagebesprechung im Kommissariat Wirtschaftskriminalität. Bis jetzt stand die sogenannte polizeiliche Gefahrenabwehr im Fokus: Alle Massnahmen – auch die der Polizei – hatten das Ziel, Schaden zu vermeiden. Nun geht es aber darum, die gerichtspolizeilichen Ermittlungen zu koordinieren. Die digitalen «Fingerabdrücke» der Täter müssen gesichert werden. Weil die Server an verschiedenen Standorten sind, muss das die Firma selber machen. Wird eine Malware gefunden, untersucht sie GovCERT, das «Computer Emergency Response Team (CERT)» im Nationalen Zentrum für Cybersicherheit (NCSC). Die Uhr tickt.
Das Nationale Zentrum für Cybersicherheit NSCS ist das Kompetenzzentrum des Bundes für Cyber-Sicherheit. Es nimmt Meldungen zu Cybervorfällen aus der Bevölkerung und der Wirtschaft entgegen, analysiert diese und gibt den Meldenden eine Einschätzung zum Vorfall mit Empfehlungen für das weitere Vorgehen. Es unterstützt die Kantonspolizeien und andere Bundesbehörden bei der Bewältigung von Cyber-Sicherheitsvorfällen. Das NSCS koordiniert die Zusammenarbeit und den Informationsaustausch und unterstützt bei der Analyse und Bekämpfung von Cyber-Sicherheitsvorfällen.
23.03 Uhr, Indien (18.33 Uhr in der Schweiz). Die IT-Spezialistinnen sind fündig geworden: Auf einem Server lauerte tatsächlich eine Malware – eine Hintertür, durch die die Täter dann die eigentliche Ransomware hätten einschleusen können. Die gute Nachricht: Soweit ist es noch nicht gekommen – die Ermittler und IT-Spezialisten waren schneller. Die Spezialisten haben den Server Schritt für Schritt vorsichtig vom Netzwerk isoliert und ihm schliesslich den Stecker gezogen. Die digitalen Spuren werden gesichert. In Indien, London und am Firmensitz in der Romandie atmen alle auf.
18.45 Uhr, fedpol, Lausanne. Auch der Cyberermittler ist zufrieden. Gefahrenabwehr gelungen. Effizienter Informationsaustausch, funktionierende Polizeikooperation und rasche Reaktion waren der Schlüssel gegen die drohende Verschlüsselung. Es sind die gleichen Faktoren, die auch für die nun folgenden Ermittlungen entscheidend sein werden.
Die Ermittlungen können beginnen – morgen. Heute tickt die Uhr nicht mehr so laut.