Kolumne : Das Lagebild der Vorbehalte

Die Lage. Einer der polizeilichsten Begriffe überhaupt. In die – oder sogar vor die – Lage zu kommen, ist das Ziel. Zum Lagebild gehören aber nicht nur aktuelle Erkenntnisse und Entwicklungen zu einem Kriminalitätsphänomen und die Ergebnisse der Strafverfolgungsaktivitäten. Zum Lagebild gehört auch die Wahrnehmung all dessen von außen.

Es ist hinreichend bekannt, dass von Cyberangriffen betroffene Unternehmen, die keinen KRITIS-Status besitzen, nur in einem Bruchteil der Fälle Strafanzeige erstatten. Man kann nur darüber spekulieren, wie viele Angriffe nicht zur Kenntnis der Strafverfolgungsbehörden gelangen und was es mit unserem Sicherheitsverständnis in Deutschland anstellen würde, wenn sie es täten.

Eines jedoch wissen wir sicher: Die Vorstellung der kleinen, mittelständischen und Großunternehmen, was genau passiert, wenn Polizei und Staatsanwaltschaft nach einem Cyberangriff tätig werden, ist bestenfalls harmlos. Im schlimmsten Falle ist sie desaströs.

Als Cyberstaatsanwältin stehe ich für einen Apparat, der eine Menge Macht und ebenso viel Verantwortung ausstrahlt. Aber langt das für die Erfüllung unserer Aufgaben? Ich meine nicht.

Würden Polizei und Justiz PR-Agenturen beschäftigen, hätten die jede Menge zu tun. Wen man auch fragt – seien es betroffene Unternehmen, deren Rechtsanwälte, seien es Vertreter der Cybersicherheitsindustrie oder solche der Versicherungsgesellschaften – die Gründe, weswegen man sich von diesen Behörden lieber fernhalten sollte, erscheinen zahlreich. Und sie bilden ein Kompendium der Zurückhaltung: Das Lagebild der Vorbehalte.

Verlust der Hardware?

Es ist eine weit verbreitete Ansicht, dass die Polizei nach einem Cyberangriff Hardware des Unternehmens mitnimmt und ungern bis spät zurückbringt. Zumindest aber, dass sie in einer Phase, die Unternehmer ausnahmslos als nicht enden wollenden Alptraum beschreiben, die Abläufe stört. In solch einer Situation will man sich niemanden ins Unternehmen holen, der die chaotischen Anfangszustände noch erschwert.

Aber entspricht dieses Bild der Realität? Den Tätern eines Cyberangriffs auf die Schliche zu kommen erfordert Spuren, und diese Spuren liegen bei den Opfern. Es sind Spuren in Daten. Und Daten sind eine Herausforderung für Polizei und Justiz. Sie bieten aber auch Vorteile.

Polizeikräfte müssen nicht in jedem Fall beim Unternehmen aktiv werden. Vielfach können relevante Daten ausgehändigt werden: „remote“. Nur in Einzelfällen wird eine Datensicherung vor Ort durch die Polizei erforderlich sein, dazu müssen aber keine Polizeibusse vorfahren. Vielmehr muss geklärt werden, welche Techniker des Unternehmens mit den Technikern der Polizei sprechen können. Auf dieser Ebene lassen sich sehr schnell Lösungen finden.

Wird der Angegriffene zum Angreifer?

Sich einem Cyberangriff ausgesetzt zu sehen, kann in der akuten Phase eigentlich nur von einer Flanke getoppt werden: dem Vorwurf, man sei selbst ein Täter. Unternehmen fürchten nicht unbedingt, dass Frau Staatsanwältin, wenn bereits im Hause, auch einmal nach den Steuerunterlagen schaut, was im Zweifel einen Fall der unzulässigen Ausforschung darstellen würde. Die Sorge, selbst strafverfolgt zu werden, betrifft vielmehr den Angriff selbst.

Ransomware-Angriffe sind längst im Bereich der Double Extortion angekommen, was nichts anderes bedeutet als das technisch Naheliegende: Die Täter haben Zugriff auf personenbezogene Daten, verschlüsseln sie und – um ihrer Geldforderung gehörig Nachdruck zu verleihen – leaken sie auf einem Onion-Server, der in einem Drittland liegt.

Da mag die Frage aufkommen, ob das Unternehmen die abhanden gekommenen sensiblen, oftmals Kundendaten, überhaupt haben durfte. Und wenn ja: ob es gut genug auf sie aufgepasst hat. Denn das dürfen Kunden erwarten. Es stellt sich aber auch die Frage, ob ein solcher Verdacht – wenn überhaupt indiziert – in der sogenannten Incident Response Phase zu klären ist. Wohl kaum.

Selbst wenn Sicherheitskriterien nicht ausreichend eingehalten sein sollten, haben bei der Aufklärung eines Cyberangriffs in der frühen Phase zwei Aspekte Vorrang: die Rücksicht auf ein Unternehmen, das seine Handlungsfähigkeit und Produktivität wiedererlangen muss und die schonende Sicherung von Spuren, die den Angriff aufklären können.

Polizei und Justiz sind auf den Sachverhalt fokussiert, bei dem das Unternehmen geschädigt wurde. Je früher der Kontakt hergestellt ist, desto mehr Einfluss hat das Unternehmen auf die Art der Datenübergabe – eine Durchsuchung gegen den Willen des Dritten wird damit obsolet. Und im Übrigen auch unzulässig.

Die Frage nach dem Sinn

„Die Polizei anzurufen bringt uns nichts“ – eine leidenschaftslose Kurzzusammenfassung des unternehmerischen Erwartungshorizonts. Anders formuliert: die Polizei wird uns nicht retten.

Und das stimmt. Es ist weder das Mandat, noch im Bereich des Möglichen, dass Polizeikräfte beim Wiederaufbau helfen, mal abgesehen von den vielfach und gern in Anspruch genommenen polizeilichen Beratungsleistungen, insbesondere in Fragen der Täterkommunikation.

Nur eines muss jedem, der so denkt, klar sein: Ein nicht gemeldeter Cyberangriff existiert nicht. Er taucht in keiner Statistik auf. Er kann nicht als Grund für weitere Ressourcenbereitstellung herangezogen werden. Er kann niemanden beunruhigen.

Wir alle haben ein Interesse zu erfahren, wie die Lage wirklich ist. Aber ohne verlässliche Daten über Anzahl und Arten von Cyberangriffen ist es unmöglich, Bedrohungen adäquat einzuschätzen und benötigte Ressourcen zu stellen. Ohne das Vertrauen der Unternehmen jedoch, dass eine erfolgreiche Bekämpfung der Cybercrime möglich ist ohne sie zu beeinträchtigen, ist es gleichfalls unmöglich sie dazu zu bewegen, uns diese Daten zu geben.

Öffentlichkeitsarbeit im freien Fall?

Es ist ein Trend der zurückliegenden Jahre, dass Polizei und Justiz ernstzunehmende Schläge gegen die Cyberkriminalität hör- und sichtbar kundtun. Die Freude ist zu Recht groß, oftmals flankiert durch ein Seizure Banner, das den Erfolg im Bildschirmformat symbolisiert und auch ein Signal an die Gegnerschaft senden soll.

Wenn aber Polizei und Justiz nicht erläutern, wie ihre Presse- und Öffentlichkeitsarbeit im Übrigen aufgebaut ist, muss man sich die Zurückhaltung derjenigen Unternehmen gefallen lassen, die fürchten, eine solche Versorgung der Presse mit brandaktuellen Informationen erfolge auch postwendend nach Strafanzeige. Zum Schaden des Unternehmens.

Das Gegenteil ist der Fall. Cyberangriffe stellen eine besondere Form der verdeckten Ermittlungen dar. Der Angriff selbst ist einer Vielzahl von Personen bekannt, aber wer der Täter ist, bleibt zunächst unklar. Das bedeutet, dass die Ermittlungen eine nicht unerhebliche Zeit „gegen Unbekannt“ geführt werden und Strafverfolgungsbehörden ein gesteigertes Interesse und im Übrigen auch die Pflicht haben, Stillschweigen über die unternommenen Ermittlungsschritte zu bewahren.

Das Ende der Handlungsfreiheit?

Was ein Cyberangriff konkret bedeutet, kann geübt werden, so beten es Cybersicherheitsunternehmen unermüdlich, beinah Mantra-artig vor. Aber Unternehmensführer brauchen in einer Angriffssituation Spielräume, Flexibilität im Handeln sowie die Möglichkeit eines Kurswechsels.

Was, wenn man diesen Handlungsspielraum verliert? Diese Frage stellen sich viele Unternehmen, und sie macht das Quintett der Standard-Gründe Polizei und Justiz lieber nicht einzuschalten, komplett.

Die Fragen, ob Lösegeld gezahlt werden sollte oder darf, ob Änderungen an der IT-Architektur vorgenommen werden können und ob mit den Tätern zu kommunizieren ist – muss da immer die Polizei befragt werden? Muss sie nicht.

„Sie entscheiden – wir beraten“. So steht es im Handout „Es hat Sie erwischt“ des Bundeskriminalamts und der Zentralen Ansprechstellen Cybercrime (ZAC) der Landeskriminalämter, das kürzlich erschienen ist und mit dem Lagebild der Vorbehalte aufräumen soll. Betroffene Unternehmen können von polizeilicher Erfahrung in Angriffssituationen profitieren. Aber sie selbst behalten die Zügel in der Hand.

Unser Mandat – Cybercrime erfolgreich zu bekämpfen – können wir nicht ohne die Betroffenen erfüllen. Die Sorge der Unternehmen vor dem Einschreiten von Polizei und Justiz ist relevant – für die Cybersicherheitslage in Deutschland ebenso wie für den Erfolg von Ermittlungen.

Sicherheits- und Strafverfolgungsbehörden müssen sich in einer Art und Weise auf Unternehmen und Industrie zubewegen, wie es bislang in Deutschland keine gelebte Kultur darstellt, aber sehr wohl ein großes Potential. Bestehende Vorbehalte mögen im Einzelfall berechtigt sein oder nicht – wir müssen sie ausräumen und die Unternehmen überzeugen mit uns zusammen zu arbeiten.

Überzeugen können nur Personen, Behörden können es nicht. Wahrgenommen wird, wenn staatliches Handeln ein Gesicht bekommt. Eine Cyberstaatsanwältin darf nicht nur Macht und Verantwortung ausstrahlen. Mein Beruf muss für Vertrauen stehen. Damit wir das Lagebild neu schreiben können.

Jana Ringwald ist Oberstaatsanwältin bei der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt am Main. Sie leitet dort das Team Cybercrime im engeren Sinne sowie die Zentralstelle zur Verwertung virtueller Währungen der hessischen Justiz und vertritt aktuell den Bund im European Judicial Cybercrime Network (EJCN) bei Eurojust in Den Haag.

In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein.