#24: "Cybercrime hat Hochkonjunktur!"

Lisa Fröhlich: Lisa Fröhlich Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich, bin Unternehmenssprecherin bei Link11 und euer Podcast House. Ich freue mich sehr, dass ihr alle wieder dabei seid und mit mir in die Tiefen des Kaninchenbaus Cybersecurity steigt. Auf meinen heutigen Gast Carsten Meywirth freue ich mich besonders. Zum ersten Mal persönlich erlebt habe ich ihn auf der BKA-Konferenz C3 im Mai 2024. Ja, Carsten Meywirth kann auf tatsächlich beeindruckende 40 Jahre im Polizeidienst zurückblicken und nach einem klassischen Einstieg hat er maßgeblich den Aufbau der Cybercrime Abteilung im BKA vorangetrieben und verantwortet. Wir wollen heute über das Thema Cybercrime im Allgemeinen sprechen und ein bisschen tiefer in die eine oder andere erfolgreiche Operation reinschauen. Doch bevor wir starten, Herr Meywirth, vielen Dank, dass Sie sich heute Zeit nehmen und mein Gast sind. Stellen Sie sich doch bitte kurz unseren Hörerinnen und Hörern vor und vielleicht beantworten Sie uns die Frage, wie war Ihr Weg in das Thema Cybercrime?

CM: CM Ja, hallo Frau Fröhlich. Einen wunderschönen guten Tag. Freue mich, hier heute dabei zu sein in dem Podcast. Ich leite die Abteilung Cybercrime im Bundeskriminalamt. Sie haben recht, ich blicke auf 40 Jahre zurück. Ich habe Dienstjubiläum gehabt am 1.10. diesen Jahres. Ich habe in der Schutzpolizei ganz normal als Rookie angefangen, ganz unten. Und bin dann später in die Kriminalpolizei zum Bundeskriminalamt gewechselt. Und habe mich da zunächst mal viele Jahre in den Themenfeldern Terrorismusbekämpfung und Bekämpfung der organisierten Kriminalität engagiert. Und bin dann im Jahre 2005 in die Abteilung Informationstechnik des Bundeskriminalamtes gekommen. Ich dort zwei operative Projekte geleitet. Einmal die Einführung eines Fallbearbeitungssystems. Und einmal die Infrastruktur für unsere Telekommunikationsüberwachung aufgebaut. Und habe dann auch den Stab unseres IT-Direktors geleitet. Das waren insgesamt acht Jahre. Und damit habe ich mich als Polizist und dann auch so ein bisschen als ITler gut vorbereitet gefühlt für die Bekämpfung der Cybercrime. Wir haben 2013.

Lisa Fröhlich: Lisa Fröhlich Mhm.

CM: CM aus einem Referat eine ganze Gruppe gemacht in einer Abteilung, in der Abteilung Schwere und organisierte Kriminalität. das habe ich dann drei Jahre gemacht. gab dann wieder eine Unterbrechung in einer anderen Abteilung. Und 2020 haben wir uns im Bundeskriminalamt entschieden, aus dieser Gruppe eine Abteilung zu machen, diesen Themenbereich noch mal aufzuwerten. Und seit 2020 sind wir eine von elf Abteilungen im Bundeskriminalamt, eine von vier Ermittlungsabteilungen. Wir bekämpfen schwere organisierte Kriminalität, Staatsschutzdelikte, Terrorismusbekämpfung und Cybercrime ist dann die vierte Ermittlungsabteilung im Bundeskriminalamt. Und ja, ich finde das immer noch wahnsinnig spannend. Ich bin neugieriger Mensch und ich mag Neues sehr gern.

Lisa Fröhlich: Lisa Fröhlich Mhm.

CM: CM mag nicht so sehr gern die ausgedrehten Pfade und dieser Arbeitsbereich, der gibt mir das einfach jeden Tag und ich bin nach wie vor sehr glücklich, diese Arbeit tun zu dürfen.

Lisa Fröhlich: Lisa Fröhlich Ja, also das merkt man Ihnen auch an. Das kann ich zumindest bestätigen, wie ich sie erlebt habe auf der BKA-Konferenz. Also hochspannend und Cybercrime hat ja tatsächlich Hochkonjunktur. Man kann es nicht anders sagen. Das ist im Grunde, wer die Zeitung oder wer das Internet oder wer sozusagen Online-Nachrichten aufmacht, hat ja quasi fast jeden Tag irgendeine Nachricht. Hier werden Daten geklaut, da wird eine Ransomware installiert. Hier gibt es DDoS-Angriffe, die Art und Weise ja auch, was alles unter diesen Bereich Cybercrime fällt, das ist ja auch super vielfältig. Also das ist ja nicht mit einem klassischen Verbrechen, sage ich mal, vergleichbar. Und ich hatte mit Jana Ringwald, der Oberstaatsanwältin, ja auch schon einen Podcast und sie sagte auch, na ja, analoge Verbrechen gibt es eigentlich gar nicht mehr. Also im Grunde hat ja alles irgendwie mit dem Thema Cyber zu tun und selbst wenn irgendwelche, sag ich jetzt mal, Deals über das Handy oder Telegram-Chats abgewickelt werden, dann hat das ja auch schon quasi einen deutlich digitaleren Touch als jetzt tatsächlich irgendwie die Überwachung einer Telefonzelle vor bestimmten Häusern oder sozusagen Funkzellen etc. pp. Damit sich die Hörerinnen und Hörer auch bisschen mehr darunter vorstellen können, weil wie ich gesagt habe, Cybercrime ist ein sehr, sehr weites Feld. Was sind denn aus Ihrer Sicht aktuell die größten Bedrohungen in dem Bereich für Unternehmen und gegebenenfalls auch Privatpersonen?

CM: CM Ja, wir sehen als größte Bedrohung im Augenblick die Cyberangriffe mittels Ransomware, die sich gegen Behörden richten, aber hauptsächlich auch gegen Wirtschaftsunternehmen. Die Täter kompromittieren die Systeme und verschlüsseln die Systeme und fordern dann ein Lösegeld von dem Opfer, die Systeme wieder entschlüsseln zu können. Aber sie haben

Lisa Fröhlich: Lisa Fröhlich Also noch mal zu dieser Ransomware. Also es gibt ja verschiedene Ransomware-Gruppen, die da draußen ja aktiv sind und sozusagen das, was ich mittlerweile ja mitbekomme oder das, was ich recherchiere, diese Ransomware-Gruppen oder überhaupt diese professionell organisierten Hacker-Gruppen, die, sag ich jetzt mal, klassisch finanziell motiviert sind. Also das ist ja irgendwie auch eigentlich eine Form von organisierter Kriminalität, nur mit anderen Voraussetzungen bzw. anderen Herangehensweisen. wenn wir uns von den analogen Verbrechen verabschieden, dann ist das, denke ich, gerade bei der Turbodigitalisierung, die Corona so mit sich gebracht hat, gibt es ja auch genügend Angriffsflächen für diese Gruppen. Die arbeiten ja schon sehr organisiert und sind meines Erachtens aufgestellt wie gute mittelständische deutsche Unternehmen. Also da gibt es einen CEO, da gibt es einen Finanzchef, gibt es eine Kunden-Service-Abteilung. Wie ist es denn sozusagen, wie weit können Sie denn da einen Blick drauf werfen? Also offenbaren sich diese Strukturen oder kriegen die Unternehmen das mit oder gibt es auch solche Fälle, wo eben Ransomware ein Thema für Unternehmen ist, wo man das rechtzeitig noch abwenden kann und wenn ja, wie muss das denn vonstatten gehen? Also gibt es denn da so klassische Muster, die Sie da sehen in dem Bereich Ransomware oder ist da immer wieder alles neu?

CM: CM Nun, es gibt immer wieder neue Trends, wie die Täter vorgehen. Aber im Prinzip ist das Vorgehen sehr standardisiert. Sie haben recht, diese Tätergruppierungen, die haben teilweise über 100 Leute, die so ähnlich organisiert sind, wie Sie es gerade geschildert haben, ein mittelständisches oder auch schon etwas größeres Unternehmen. Und die gehen halt so vor, dass sie Phishing Mails versenden oder aber ganz einfach auch sogenannte Dropper-Dienste, wie wir das nennen, anmieten. Das sind schon bereits Schadcodes, die sich auf kompromittierten Systemen befinden, riesige Botnetze, die andere Täter vorhalten und die diese Zugänge dann an diese Ransomware-Gruppierungen vermieten. ja, dadurch kommen die Täter auf diese Systeme, können ihren Schadcode

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mmh.

CM: CM dann auch auf die Systeme platzieren und erkunden die Systeme dann erstmal, wie ist das Unternehmen hier aufgestellt, was muss ich hier verschlüsseln. Wie ist das Unternehmen finanziell ausgestattet? Welches Lösegeld kann ich verlangen? Die Bepreisung findet statt, wie die Bepreisung beispielsweise eines Porsche 911 in Deutschland, immer an der Schmerzgrenze, was das Opfer gerade bereit ist zu zahlen. Weil es natürlich keine Betriebsunterbrechung haben möchte. Und dann ist es so, dass die Täter dann

Lisa Fröhlich: Lisa Fröhlich Das ist zu zahlen.

Lisa Fröhlich: Lisa Fröhlich Mhm.

CM: CM meistens an einem Freitag, wenn alle Mitarbeiter nach Hause gehen, im Unternehmen keiner mehr ist, auf den Knopf drücken und die Systeme verschlüsselt werden. Das geschieht mit immer größerer Effektivität. Und wenn die Mitarbeiter dann zurückkommen, sehen sie nichts mehr, weil die Bildschirme schwarz sind. Es ist dann vielleicht eine Ransom-Note zu finden, ein Hinweis darüber, wie man mit den Tätern Kontakt aufnehmen kann. Und dann spricht man quasi mit den Geschäftsbereichen dieser Ransomware-Gruppierung, mit den Verhandlern, die dann Kontakt mit dem Unternehmen haben. Und dann wird vielleicht über die Lösegeldsumme verhandelt. Und wir empfehlen natürlich in jedem Fall nicht

Lisa Fröhlich: Lisa Fröhlich Mmh.

CM: CM Selbst mit diesen Straftätern zu verhandeln, sind keine seriösen Geschäftspartner und wir empfehlen natürlich auch keinesfalls Lösegeld zu zahlen. Das wäre immer ein Invest in einen kriminellen Bereich. Es gibt Statistiken, die belegen, dass die Täter zu 40 Prozent auch zu den Unternehmen wieder zurückkommen, die Lösegeld gezahlt haben.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, ja.

Lisa Fröhlich: Lisa Fröhlich Also, die Sicherheitsanbieter sehen ja auch, also wie gesagt, wir arbeiten im Bereich DDoS-Schutz unter anderem und wir sehen auch oder wir haben auch schon gesehen, dass Täter tatsächlich DDoS-Angriffe als Ablenkungsmanöver genutzt haben, sozusagen bestimmte Schadcodes in das System zu infiltrieren, weil natürlich ist ja der Klassiker ein DDoS-Angriff, dann funktioniert vielleicht meine Webseite nicht oder bestimmte Systeme werden lahmgelegt, dann beschäftigt sich natürlich die gesamte IT erstmal mit diesem Thema und guckt erstmal, dass das wieder funktioniert und das zum Laufen gebracht wird. wir hatten tatsächlich auch schon den Fall, dass wir einen Kunden darauf hingewiesen haben, so, das ist eben sehr verdächtig gewesen, was da passiert ist. Schaut doch bitte nochmal genauer in eure Systeme rein und in der Tat ...kann dann durchaus auch was in diesen Systemen gefunden werden. das ist was, was ich sehr beeindruckend finde, dass diese Gruppierungen oder überhaupt Cyberkriminelle, dass die so eine, ja, ein Potpourri eigentlich an bestimmten Vorgehensweisen haben und wie Sie schon sagten, die sind alle sehr professionell, die sind gut organisiert und die picken sich natürlich auch die Unternehmen raus, vielleicht wo sie sich den größten Erfolg versprechen und ich...sage immer, wenn ich darüber nachdenke, naja, warum gelingen immer noch DDoS-Angriffe? meine, DDoS ist quasi gefühlt so alt wie das Internet selbst. Das gehört für mich, ist das einer der Dinosaurier unter den Cyber-Angriffen und trotzdem funktioniert das immer noch. Und wenn ich mich sozusagen in so einen Hacking-Mind versetze, was ich natürlich nicht kann als studierte Germanistin, bin ich wirklich weit davon entfernt, sozusagen die technischen Skills zu haben, aber die kann ich über YouTube und das Internet ganz leicht mir aneignen, dann würde ich doch erstmal bei den Unternehmen versuchen, an der Basis zu rütteln. Also wenn man das irgendwie ins analoge Verbrechen übertragen würde, dann gehe ich ja als Einbrecher auch nicht los und versuche mich an der dreifach gepanzerten Tür, sondern ich würde erstmal rund ums Haus suchen und gucken, ob irgendwo ein Fenster aufsteht, wo es mir vielleicht leichter fällt und sozusagen am Ende des Tages ich mir auch den größeren Erfolg verspreche, an mein Ziel zu kommen. Und im Grunde haben ja ganz viele Cyberkriminelle, mal abgesehen von den politisch motivierten Angreifergruppen, die es natürlich jetzt auch seit dem Ukraine-Krieg verstärkt auf dem Plan hat, sozusagen, die haben ja alle finanzielle Motive, die wollen ja alle was verdienen. Und wie hat sich das in den letzten Jahren verändert? Sind da für Sie als Ermittlungsbehörde neue Herausforderungen entstanden oder ist das was, was vor zehn oder fünf Jahren genauso war wie jetzt? Wo sehen Sie da die Unterschiede?

CM: CM Die Täter sind auf jeden Fall professioneller geworden. Das kann man spätestens seit 2015 beobachten. hat sich eine sehr arbeitsteilig arbeitende, hochprofessionelle Underground Economy etabliert. Die Täter bieten sich selbst Dienstleistungen an. Kein Täter muss mehr von A bis Z eine Straftat selbst organisieren. Er kann sich seinen Schadcode einkaufen. Es gibt Crypto, die ihm entsprechende Services zur Verfügung stellen. Es gibt sogenannte Initial Access Broker. Leute, die nur Systeme kompromittieren, die machen damit aber nichts, sondern die verkaufen diese Zugänge einfach an andere Tätergruppierungen. Und das hat sich sehr professionell ausgestaltet. Wir nennen das Crime as a Service. Und wenn Sie sich das Themenfeld Ransomware angucken, früher war das so, sage Ihnen vielleicht auch noch was, der GVU-Trojaner, der Bürgern auf den Rechner gespielt wurde.

Lisa Fröhlich: Lisa Fröhlich Mmh.

CM: CM Das war dann keine Verschlüsselung von einzelnen Daten auf dem Rechner, sondern einfach nur die Sperrung des Bildschirms. Und da hat man ein kleines Lösegeld für gefordert. Und jetzt werden halt ganze Unternehmen verschlüsselt, ganze Netzwerke. Und da hat sich natürlich ganz enorm was entwickelt. Die Täter haben unterschiedliche Arten vorzugehen. Manchmal ist es so, dass die die Daten abziehen und noch nicht mal die Dateien verschlüsseln in dem Unternehmen, sondern die fordern halt einfach jetzt eine Lösegeldsumme für die abhanden gekommenen Daten und drohen damit, diese zu veröffentlichen, damit sie jeder einsehen kann, auch die Konkurrenz. Die erpressen die Kunden dieses Unternehmens damit noch, weil jedes Unternehmen auch über die Daten der Kunden verfügt. Und natürlich drohen sie auch dann, wenn sie verschlüsselt haben, damit das Unternehmen quasi

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm.

CM: CM auszuschließen, hohe Betriebsunterbrechungen in Kauf zu nehmen. Und Sie haben Recht, eine weitere Variante ist natürlich, über DLOS-Angriffe zu verschleiern, dass man an ganz anderen Ecke gerade einsteigt oder noch weiteren Druck auf das Unternehmen in so einer existenzbedrohenden Situation aufzubauen.

Lisa Fröhlich: Lisa Fröhlich Ja, das kommt ja auch oft hinterher. Also nach der Ransomware-Forderung kommt dann noch mal ein DDoS-Angriff, der Lösegeld-Forderung vielleicht den nötigen Nachdruck zu verleihen. Und das ist ja auch, Entschuldigung, das finde ich immer so bisschen schwierig. Ich natürlich, wenn ich kriminell motiviert bin, dann versuche ich natürlich mit minimalem Aufwand, das maximale Ergebnis zu erzielen. Und ich finde es erstaunlich, wie sehr sich das differenziert hat. Weil, man braucht im Grunde kein Universalgenie mehr zu sein, wie Sie gesagt haben, sondern man kann sich überall jede Dienstleistung, die ich mir als auf der Seite, auf der Sicherheitsseite ja auch kaufen kann für Unternehmen, meine Sicherheit zu erhöhen. Das können eben die Cyberkriminellen ja natürlich auch und es ist ja auch sehr effizient, arbeitsteilig zu agieren. Jetzt hat ja das Bundeskriminalamt, und wenn man ihnen auf LinkedIn folgt, sieht man das immer ganz gut. Oder wenn man die Medien verfolgt, die in den letzten Jahren wirklich eine Reihe erfolgreicher Einsätze gehabt, die im Grunde die Cyberkriminellen Szene nachhaltig erschüttert hat. Und da sind jetzt zum Beispiel die beiden Darknet-Marktplätze Nemesis oder Hydra-Marke zu nennen, wo einfach auch ganze Infrastrukturen abgeschaltet wurden und dann ... war natürlich ein weiterer großer Erfolg dieses Jahr, die Zerschlagung der Ransomware-Gruppe Lockbit. Und gerade hier hat sich da ja auch die internationale Zusammenarbeit ausgezahlt oder auch das kürzliche Stilllegen von den Plattformen Flight RSC und DeStat CC war ein wichtiger Schritt, sozusagen immer weiter die Cyberkriminalität zu bekämpfen. Ich möchte jetzt vor allen Dingen auch über die Operation Endgame mit Ihnen sprechen. Das ist auch eine sehr öffentlichkeitswirksame Operation oder ein großer Einsatz gewesen, wo Sie ja auch international mit KollegInnen vom FBI, Interpol, Europol etc. Papier zusammengearbeitet haben. Ja, können Sie uns ein bisschen was dazu erzählen, wie denn zum einen so eine internationale Kooperation und Zusammenarbeit aussieht, beispielsweise bei der Operation Endgame und ja, welche Herausforderungen dabei auch zu bewältigen sind. Weil ich kann mir vorstellen, natürlich Operationen, in der Cyberwelt stattfinden, sind ja alle dezentral. Daten sind dezentral, die sind überall, die fliegen in Anführungsstrichen durch den Orbit. da kommt es natürlich darauf an, wie gut die internationale Zusammenarbeit und eben auch Ermittlungsarbeit ist. Vielleicht können Sie uns da an dem konkreten Beispiel mal ein bisschen schildern, wie da der Alltag bei Ihnen aussieht.

CM: CM Ja, beziehen sich auf die Operation Endgame, die weltweit größte Cyberoperation, die bisher stattgefunden hat, der Sicherheitsbehörden unter der Führung des BKA. Wir haben uns hier einen ganz bestimmten Teil der sogenannten Kill Chain vorgenommen. Die Kill Chain ist das, was die Täter an Infrastruktur benutzen müssen, überhaupt Ransomware-Angriffe durchzuführen. Und ein ganz wesentlicher Bestandteil dieser Kill-Chain sind sogenannte Dropper Dienste. Das heißt Dropper Dienste, die schon Systeme kompromittiert haben, die eine hohe Anzahl an kompromittierten Systemen, sogenannten Bots, vorhalten und die diese Bots dann vermieten.

Lisa Fröhlich: Lisa Fröhlich Mhm.

CM: CM Und Ransomware-Gruppierungen mieten sich diese Bots und schieben dann ihre Chartcode auf die Systeme drauf. Und wir haben mit dieser Aktion darauf abgezielt, diese Killchain zu unterbrechen. Haben uns ganz gezielt die größten Dropper vorgenommen. Wir hatten ja 2021 schon einen sehr aufsehenerregenden Erfolg gegen den damals größten Dropper-Dienst, die gefährlichste Chartsoftware weltweit, Emotet. Und haben festgestellt,

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm.

CM: CM Emotet ist nach zehn Monaten zurückgekommen, bzw. die Täter sind relativ schnell auf andere Dropperdienste ausgewichen. Und wir haben uns überlegt, dass wir jetzt einfach nicht nur uns einen Dropperdienst vornehmen, sondern gleich mehrere. Und wir haben uns die sechs größten Dropperdienste vorgenommen und haben so ein bisschen durch diese erfolgreiche Aktion natürlich den Ransomware-Gruppierungen den Hahn abgedreht, weil sie eine wichtige Infrastruktur zur Ausübung ihrer Taten nicht mehr

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

CM: CM zur Verfügung hat. Wie laufen solche Operationen ab? Das ist immer wieder das Gleiche. Wir stellen fest in Deutschland, dass wir eine hohe Anzahl von Straftaten haben, eine Gruppierung, viele Opfer. Wir führen ein Ermittlungsverfahren, das führen wir entweder in den Bundesländern, dort gibt es ebenfalls bei den Landeskriminalämtern, auch teilweise in der Fläche, spezialisierte Cybercrime-Dienststellen.

Lisa Fröhlich: Lisa Fröhlich Mhm.

CM: CM oder wir führen dieses Verfahren im Bundeskriminalamt. Und dann stellen wir regelmäßig fest, dass diese Tätergruppierungen nicht nur in Deutschland Straftaten verübt haben, sondern auch andere Ziele in anderen Ländern angegriffen haben. Wir haben international eine sehr gute Kooperation mit den Amerikanern, mit den Mitgliedstaaten der Europäischen Union, mit Europol. Und wir kommen regelmäßig dort mit unseren Partnern zusammen.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm.

CM: CM und besprechen die Lage, stellen fest, dass auch dort Ermittlungsverfahren gegen die gleichen Tätergruppierungen geführt werden und dann tun wir uns zusammen. Das heißt, wir schmieden eine Allianz. Die Ermittler aus den betroffenen Staaten treffen sich regelmäßig zu sogenannten Data Sprints, wie man das heute ganz modern formuliert. Diese Data Sprints, finden irgendwo in dieser westlichen Welt statt, in Amerika, in Washington, Los Angeles oder auch in Europa, in Den Haag, dem Sitz von Europol oder bei uns in Deutschland oder in Frankreich. Und dann tauschen wir uns aus. Das heißt, jeder legt das, was er weiß, was er an Erkenntnissen hat, zu dieser Tätergruppierung auf den Tisch. Wir führen diese Erkenntnisse zusammen. Das ist ein bisschen wie Puzzeln. Und dann legen wir uns gewisse Aufgaben zurecht. Der eine ist etwas näher dran an der Ermittlung der Täteridentität.

Lisa Fröhlich: Lisa Fröhlich Mhm.

CM: CM Der andere ist etwas besser bei der Aufklärung der Infrastrukturen, die die Täter nutzen, ihre Taten durchzuführen. Die anderen sind etwas besser bei den Finanzermittlungen. Dann gibt es Hausaufgaben, dann fahren wir alle nach Hause. Dann ermitteln wir weiter. Irgendwann sind wir so weit, dass wir Täter identifiziert haben, dass wir die Infrastruktur gut aufgeklärt haben.

Lisa Fröhlich: Lisa Fröhlich Mhm.

CM: CM Und dann gehen wir gemeinsam in einer Allianz gegen diese Tätergruppierung vor. So haben wir das auch bei der Operation Endgame gemacht. Und so ist es uns gelungen, die sechs größten Dropperdienste vom Netz zu nehmen. Und das kann man zwar nicht so richtig belegen anhand von, wenn Sie so wollen, Beweisen, aber ich glaube, das Sommerloch der Cybercrime in diesem Jahr war wesentlich größer als in den vorangegangenen Jahren. Und ich glaube, wir haben da ein bisschen für Sicherheit gesorgt, weil den Tätern einfach wesentlich Infrastrukturen gefehlt haben und somit neue Kompromittierungen von Systemen, neue Erpressungsfälle nicht möglich gewesen sind.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ist ja im Grunde ein sehr schlaues Vorgehen, wenn die Täter sich arbeitsteiliger aufstellen, müssen diejenigen, die hinter ihnen her sind, sich auch gut arbeitsteilig aufstellen und entsprechend ihren Stärken agieren. Das macht total Sinn, dass das nicht eine Ermittlungsbehörde den ganzen Weg geht und versucht, die gesamte Kill Chain beispielsweise irgendwie lahmzulegen, sondern dass sie entschieden haben, okay, wir konzentrieren uns jetzt auf einen Teil, nämlich einen wichtigen Teil, die Infrastruktur, die die Täter nutzen, eben Unternehmen anzugreifen und wir machen das konzentriert. Und dann setzen wir uns zusammen und sammeln beispielsweise Fingerabdrücke und der eine hat den linken Teil des Daumens, der andere hat den rechten Teil und so, wie sie schon sagten, setzt sich das Puzzle ja zusammen. Und ich glaube, und dafür sprechen ja auch die vielen erfolgreichen Einsätze, die man ja auch sozusagen überall nachlesen kann, dass es nur international funktioniert. Weil diese Gruppen haben ja in dem Sinne kein Headquarter in XY, sondern dank des Internets können wir alle arbeiten weltweit. Es gibt die digitalen Normaden, die sozusagen vielleicht im Social Media Bereich oder als Influencer unterwegs sind. Und dann gibt es natürlich diejenigen mit krimineller Energie, die wahrscheinlich auch sich die schönsten Plätze dieser Welt aussuchen. Vermutlich in Ländern, die wenig Auslieferungsabkommen mit entsprechenden Ländern haben, würde ich mal behaupten. Also zumindest glaube ich, dass sich da vielleicht der ein oder andere kriminelle Hub verbirgt. Jetzt ist es, und das haben Sie ja gesagt, die Operation Endgame hat ja im Grunde dieses Jahr einen wirklich großen Meilenstein markiert. Sie haben gesagt, das Sommerloch zum Thema Cybercrime war größer als in den Jahren davor. Das demonstriert natürlich die Wirksamkeit vor allen Dingen solch global koordinierter Maßnahmen und zeigt, eben auch sowohl technische als auch finanzielle und organisatorische Strukturen krimineller Netzwerke gezielt angegriffen und zerschlagen werden können und dass es natürlich auch einen Impact hat und entsprechend die Sicherheit für Unternehmen mittelfristig, kurzfristig, am besten ja langfristig erhöht. ja, ich finde das wahnsinnig spannend. Mich würde jetzt mal so interessieren, wenn wir ein bisschen uns sozusagen das BKA vor Augen führen. Und Sie haben es ja geschildert, Sie haben mit unterschiedlichen Tätergruppierungen zu tun, Sie haben mit unterschiedlichen Bereichen zu tun, sei es jetzt Ransomware, Datendiebstahl, etc., pp. Und Sie haben gesagt, die Angreifer werden zunehmend professioneller nutzen, natürlich auch immer neue Tools mit Unterstützung von künstlicher Intelligenz. Die Phishing Mails werden immer perfider und immer perfekter. Wenn Sie jetzt so die neuen Herausforderungen, die da so auf uns zurollen, gerade im Hinblick auf künstliche Intelligenz beispielsweise, sich vor Augen führen. Und wie bereitet sich das BKA denn auf das, was da kommt vor? Kann man mit den Tätern Schritt halten oder ihnen sogar am Ende des Tages einen Schritt voraus sein? Wie sind da sozusagen die Erfahrungen? Was ist dafür nötig?

CM: CM Nun, brauchen in der Polizei, nicht nur im Bundeskriminalamt, der Polizei insgesamt brauchen wir Menschen, Ermittler, die eine hohe technische Kompetenz aufweisen. Das müssen wir ausbilden, weil sie am Anfang unseres Gesprächs zu Recht darauf verwiesen haben, dass in allen Kriminalitätsbereichen die analoge Art der Begehung zurückgeht und in allen Kriminalitätsbereichen die Täter digital vorgehen und der Verwendung von moderner Technik vorgehen. Und insofern brauchen wir moderne Ermittler, die technisch affin sind. Wir im Bundeskriminalamt in meiner Abteilung zur Cybercrime-Bekämpfung, wir setzen da einen hohen Schwerpunkt.

Lisa Fröhlich: Lisa Fröhlich Mmh.

CM: CM auf die Cyber-Kompetenz-Qualifizierung. Das ist zum einen etwas, wo ich mir extern natürlich ein entsprechendes Training besorgen kann. Wir bieten sehr viel Aus- Fortbildung an für die Kolleginnen und Kollegen aus der Abteilung. Wir haben allerdings auch einen Wissensschatz, den nur wir haben können, weil wir nun mal das Monopol auf Internet-Ermittlungen haben.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

CM: CM Das können wir uns leider nicht draußen vermitteln lassen, sondern das wissen nur wir. Insofern sorgen wir dafür, dass wir gut ausgebildete Polizeibeamte, Cyberanalysten haben. Das ist immer wieder gemischte Teams. Und wir müssen dieses Wissen von den erfahrenen Kollegen an die jungen Kollegen weitergeben.

Lisa Fröhlich: Lisa Fröhlich Mhm, mhm.

CM: CM Das ist sehr wichtig. Das wird in meiner Abteilung in einem speziellen Arbeitsbereich organisiert. Und darauf legen wir sehr viel Wert, weil ohne diese Cyberkompetenzen können sie in der Tat mit den Täter nicht mithalten. Aber ich glaube, wir haben in der Vergangenheit gezeigt durch die vielen erfolgreichen Operationen, die wir durchgeführt haben, dass wir in der Lage sind mitzuhalten und nicht nur das, sondern dass wir auch in der Lage sind, Täter zu ermitteln, ihre Identität zu ermitteln. Ganz häufig sitzen die Täter der schweren Straftaten in russischsprachigen Ländern. Die haben dann internationale Haftbefehle. Das Reisen ist nicht mehr so einfach, tut auch bisschen weh, auch wenn wir nicht an sie rankommen. ja, schaffen wir es natürlich auch immer wieder, ihre Infrastrukturen aufzuklären und diese Infrastrukturen vom Netz zu nehmen, quasi das Tatwerkzeug aus der Hand zu nehmen. Und auch das sorgt für Sicherheit in Deutschland und in der Welt.

Lisa Fröhlich: Lisa Fröhlich Hm, ja, verblich.

Lisa Fröhlich: Lisa Fröhlich Jetzt würde ich gerne nochmal zum Schluss unserer Podcast-Folge nochmal auf zwei Sachen eingehen. Zum einen, was können denn Unternehmen und gegebenenfalls auch Privatpersonen tun, sich besser gegen Cyberangriffe zu schützen? Gibt es da aus Ihrer Sicht ein Patent, das genutzt werden kann?

CM: CM Naja, es gibt zumindest die Tipps, die standardmäßig immer gegeben werden. wenn Sie Ihre Systeme gut updaten, wenn Sie sichere Passwörter verwenden, zwei Faktoren. Authentifizierung ist ganz wichtig. Dann sind Sie schon auf einem guten Weg und man muss immer so ein bisschen auch eine Erwernis haben. Immer auch so ein bisschen kritisch an Dinge rangehen, an Mails rangehen. Sind die authentisch gekommen, die von dem, von dem ich Sie erwarte oder sind es Täter, die aufgrund von künstlicher Intelligenz sind ausgezeichnete, echt wirkende Fischmails zu produzieren und zu versenden.

Lisa Fröhlich: Lisa Fröhlich Ich glaube, das nimmt einfach zu. Also die Gespräche, die ich sozusagen da draußen führe und auch die Podcast-Folgen, die ich gemacht habe, ganz oft dreht es sich die Basics, die da eine große Rolle spielen, die Sicherheit zu erhöhen. Also ich weiß gar nicht, wer das gesagt hat. Kein Backup, kein Mitleid. Also das sind ja auch so die Klassiker.

CM: CM Ja.

Lisa Fröhlich: Lisa Fröhlich Wie gehe ich damit Und das sind ja auch so Dinge, jetzt könnten wir das Fachkräftemangel noch aufmachen, aber das würde hier an dieser Stelle zu weit führen. Aber es muss ja auch Ressourcen dafür geben, wenn ich nicht im Grunde automatisierte Lösungen im Einsatz habe, die das für mich erledigen, wenn ich keine menschlichen Ressourcen dafür habe und meine IT-Abteilung vielleicht nur zwei Personen beinhaltet und da keiner so richtig den Sicherheitshut aufhat. Das ist ja in vielen mittelständischen Betrieben immer noch sozusagen auch eine große Lücke, die da herrscht, dass das Thema Cybersicherheit ja weiter vordringt und aber auch so diese Themen IT und IT Security oft noch nicht so Hand in Hand gehen. Und da, glaube ich, gibt es einfach noch viel Bedarf, auch an Aufklärung. Deswegen freut es mich sehr, dass Sie heute mein Gast hier waren. Wenn Sie jetzt noch einen Ausblick wagen würden, also schauen wir mal noch zum Abschluss in die Glaskugel. Welche Entwicklungen im Bereich Cybercrime erwarten Sie in den nächsten Jahren und wie bereiten Sie sich darauf vor?

CM: CM Sie haben ein Themenfeld angesprochen, das ein wesentlicher Treiber ist, künstliche Intelligenz, die dazu führt, dass die Täter einfach schneller werden, noch schneller werden, noch besser werden, effektiver vorgehen können. Und es gibt sehr viel Geld zu verdienen mit Ransomware-Angriffen. Wenn die Täter dann noch aus sogenannten Safe Havens heraus agieren können, wo sie geschützt sind vor Strafverfolgungsmaßnahmen der westlichen Welt, dann prognostiziere ich einfach, dass diese Art der Kriminalität uns weiter sehr beschäftigen wird. was man auch festgestellt hat durch die kriegerischen Auseinandersetzungen, die wir in der Vergangenheit gesehen haben, der Krieg Russland gegen die Ukraine oder auch Israel gegen die Hamas, es hat ganz wesentlich auch zu einer Befeuerung der Cybercrime geführt. Insbesondere hacktivistische Aktivitäten sind hier.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm.

CM: CM auf den Plan getreten. Das beschäftigt uns auch sehr. Also insbesondere dann natürlich auch DEDOS-Angriffe von hacktivistischen Kollektiven. Und da ist einfach die Empfehlung für, gerade für Unternehmen, für Behörden, Kommunen auch nehmen sie auch schon vor einem Cyberangriff Kontakt mit ihrer zentralen Ansprechstelle Cybercrime in den Landeskriminalämtern oder beim Bundeskriminalamt auf. Wir beraten dort gerne und natürlich suchen Sie sich einen professionellen Tech-Dienstleister, der Ihre Systeme gut schützt und dann auch natürlich in der Lage ist im Fall der Fälle schnell zu helfen und die Betriebsunterbrechungen möglichst kurz zu halten.

Lisa Fröhlich: Lisa Fröhlich Vielen, vielen Dank, Herr Meywirth, für die Einblicke in das Thema Cybercrime und wie es bei Ihnen in der täglichen Arbeit so zugeht. Ich fand es total spannend und ich weiß, ich hätte noch 20 weitere Fragen, die ich natürlich so auf der vorderen Rille habe, aber ich hoffe, dass ich im kommenden Jahr wieder die BKA-Konferenz besuchen darf. Da lerne ich wieder ganz viel und über die neuesten Neuigkeiten. Und ich freue mich, wie gesagt, dass ich hiermit meine Jahresabschlussfolge von Follow The Right Rabbit bestreiten konnte und freue mich auf jeden Fall mit Ihnen hier unseren Hörerinnen und Hörern hoffentlich ein spannenden Einblick in das Thema Cybercrime gegeben zu haben. ja, vielen Dank und bis zum nächsten Mal. An dieser Stelle bleibt mir wie immer nur zu sagen, ihr da draußen passt auf euch auf. Ja, keep calm and get protected, ich dazu nur sagen und lasst es euch gut gehen. Vielen Dank. Bis dann. Tschüss.

CM: CM Vielen Dank.