Vergangene Woche meldete Europol einen Schlag gegen Cyberkriminalität: Die Behörden ist die Abschaltung des illegalen Marktplatzes „RaidForums“ gelungen. Dabei wurde die Infrastruktur des Forums beschlagnahmt. Der Administrator des Forums und zwei seiner Komplizen wurden laut Europol ebenfalls verhaftet. Ein Erfolg unter zunehmend schwierigen Bedingungen, denn Strafverfolgungsbehörden stehen vor großen Herausforderungen.
Eine davon ist die fehlende Berichterstattung an die Strafverfolgungsbehörden. Im Vereinigten Königreich wurden gerade einmal geschätzte 1,7 Prozent aller Betrugs- und Cyberkriminalitätsvorfälle zwischen September 2019 und September 2020 gemeldet, so ein Bericht von „Computer Weekly“. Während die Melderate für Ransomware-Angriffe wahrscheinlich höher ist, da eine Vertuschung manchmal nicht möglich ist – wie etwa im Falle der Attacke auf den Automobilzulieferer Eberspächer Group, bleibt die Dunkelziffer laut Europol’s 2021 IOCTA Bericht hoch. Die mangelnde Berichterstattung ist häufig darauf zurückzuführen, dass betroffene Organisationen vor allem finanzielle und Reputationsschäden begrenzen wollen und das Geschäft - so gut es geht – weiterlaufen lassen wollen. Mehrere europäische Strafverfolgungsbehörden geben deshalb an, von Ransomware-Fällen nur durch Berichte in lokalen Medien erfahren zu haben.
Ohne verlässliche Daten über die Anzahl und Arten von Cyberangriffen ist es für Strafverfolgungsbehörden schwierig, Bedrohungen einzuschätzen und die benötigten Ressourcen zu erhalten. Verlässliche Daten erlauben Strafverfolgungsbehörden dagegen, sich ein besseres Bild von der Situation zu machen.
In den USA verpflichtet ein erst vor kurzem verabschiedetes Gesetz Betreiber:innen von kritischer Infrastruktur signifikante Cyberangriffe behördlich zu melden. In Deutschland hängt die Meldepflicht dagegen vom Vorliegen personenbezogener Datenschutzverletzungen gemäß DSGVO ab, wodurch Ransomware-Angriffe nicht zwangsläufig meldepflichtig sind und vom Interpretationsspielraum abhängen.
Ressourcenmangel bei Strafverfolgungsbehörden
Neben bloßem Wissen über das Vorhandensein von Ransomware-Angriffen, fehlt es den Behörden zum Teil auch an den nötigen internen Fähigkeiten (beispielsweise Reverse Engineering), Technologien (beispielsweise Software zur Nachverfolgung von Krypto-Transaktionen) und Daten (beispielsweise Threat Intelligence). Mit der zunehmenden technologischen und organisatorischen Professionalisierung von Ransomware-Gruppen werden diese Faktoren immer wichtiger, stehen jedoch oft nur wenigen, gut ausgestatteten Behörden in ihrer Fülle bereit.
Selbst gut ausgestattete Behörden in Ländern wie den USA haben Mühe, alle Bedingungen für die erfolgreiche Verfolgung von Ransomware-Akteuren bereitzustellen. Am deutlichsten zeigt sich dies in der historischen Schwierigkeit des öffentlichen Sektors, im Wettbewerb mit dem Privatsektor Spezialist:innen zu rekrutieren, auszubilden und zu halten. Nationale Cybersicherheitsstrategien des Vereinigten Königreichs, der EU oder der USA versuchen dem entgegenzuwirken, indem sie die öffentliche Finanzierung erheblich erhöhen.
Internationalität von Cyberkriminalität
Eine der größten Herausforderungen liegt in der Natur von Cyberkriminalität: der Unabhängigkeit von nationalen Grenzen. Ransomware-Gruppen arbeiten mit Partner:innen auf der ganzen Welt zusammen - oft aus Ländern, die deren Aktivitäten entweder tolerieren oder sogar begünstigen. Um Ransomware erfolgreich zu bekämpfen, ist internationale Zusammenarbeit deshalb unabdingbar. Während internationale Organisationen wie Interpol oder Europol mit gutem Beispiel vorangehen, gibt es noch Raum für Verbesserungen bei der Definition von Prozessen.
Erfolgreiche Strafverfolgung ist besonders schwierig, wenn diplomatische Beziehungen zwischen den Ländern angespannt oder nicht vorhanden sind und es keine auf Gegenseitigkeit basierte Auslieferungs- und Anklageverfahren gibt.
Mehr und diversere Maßnahmen durch Strafverfolgung in 2021
Während 2021 Ransomware-Angriffe ein Rekordhoch erreichten und Ereignisse wie Colonial Pipeline das destruktive Potenzial zeigten, war es den Behörden trotz Herausforderungen möglich, erfolgreich gegen Ransomware-Gruppen vorzugehen. Basierend auf öffentlichen Informationen gab es im Jahr 2021 38 erfolgreiche Strafverfolgungsmaßnahmen, verglichen mit nur 4 im Jahr 2020. Die überwiegende Mehrheit der Maßnahmen richtete sich gegen die Ransomware-Gruppen selbst. Andere Maßnahmen zielten auf cyberkriminelle Dienstleistungsanbieter (z.B. Emotet) oder Krypto-Börsen (SUEX, General und Chatex) ab, die mit der Ermöglichung von Geldwäsche in Verbindung gebracht wurden. Zukünftige Ziele könnten auch Insider oder „Initial Access Brokers“ sein. Parallel zur deutlichen Zunahme der Maßnahmen sind die Einsätze auch hinsichtlich der eingesetzten Mittel vielfältiger geworden.
Zusammenarbeit auf unterschiedlichen Ebenen
Die Hälfte aller analysierten erfolgreichen Maßnahmen 2020 und 2021 waren das Ergebnis internationaler Zusammenarbeit von Strafverfolgungsbehörden. Die bekanntesten Kooperationen sind FVEY, Europol JCAT und Europol EC3. Behörden in den USA sind laut Daten in über 60 Prozent der bekannten Fälle involviert, was am hohen wirtschaftlichen Schaden liegen mag.
Jüngstes Beispiel ist der eingangs erwähnte Fall von Raid Forums: Der Schlag gegen die Plattform ist das Ergebnis der Operation Tourniquet, einer Strafverfolgungsmaßnahme, die von Europol koordiniert wurde, um unabhängige Ermittlungen der Vereinigten Staaten, des Vereinigten Königreichs, Schwedens, Portugals und Rumäniens zu unterstützen. Europol bezeichnete die Operation als „Höhepunkt einer einjährigen sorgfältigen Planung zwischen den beteiligten Strafverfolgungsbehörden zur Vorbereitung der Aktion“.
Wie sich die Ransomware-Situation weiterentwickelt, hängt maßgeblich vom Erfolg der Strafverfolgungsbehörden ab. Die ständige technologische und organisatorische Weiterentwicklung von Ransomware-Gruppen (wie Lapsus$) macht den Kampf nicht leicht. Vieles deutet allerdings darauf hin, dass dem Thema mehr Aufmerksamkeit geschenkt wird, zusehends bessere Daten und Ressourcen zur Verfügung stehen und international erfolgreich kooperiert wird. Kombiniert mit vielschichtigen, spezialisierten Methoden (z. B. Bildung von VAXU, eines Virtual Asset Exploitation Teams beim FBI) besteht die Hoffnung, schneller und effektiver auf Angriffe zu reagieren. Offen bleibt hingegen, wie Missverständnisse zwischen Opfern und Behörden weiter abgebaut werden können. Auch bleibt offen, wie sich unerwartete Ereignisse wie die Conti Leaks auf Ermittlungen mittelfristig auswirken.