Die Route ist berechnet. Ziel 2030.
Maria Nestroi: Herzlich willkommen auf der Road to 2030, dem Podcast zu Technologie und Gesellschaft von Dell Technologies. Unser heutiger Gast ist Carsten Meywirth, er leitet die Abteilung Cybercrime im Bundeskriminalamt. Herzlich willkommen Carsten! #00:00:27.9#
Carsten Meywirth: Hallo zusammen! #00:00:28.9#
Maria Nestroi: Ich bin Maria und werde euch heute als Proviant-Beauftragte und Co-Host des Trips mit leckeren Content-Snacks versorgen. Seid ihr bereit? Dann Anschnallen nicht vergessen!
Auf dem Fahrersitz sitzt heute wieder mein Kollege Stefan Schmugge. Hallo Stefan! Geht’s dir gut? #00:00:47.3#
Stefan Schmugge: Grüß dich, Maria! Mir geht’s prima und ich freue mich sehr auf unsere heutige Diskussion mit Carsten Meywirth zu unserem Thema Cyberkriminalität. Ich habe so ein bisschen das Gefühl, dass wir dort anfangen, wo wir in Staffel 1 Folge 1 mit Linus Neumann aufgehört haben, nur einfach aus einer anderen Perspektive. Herzlich willkommen, Carsten! Sitzt du bequem, bist du startklar, fühlst du dich wohl? #00:01:13.7#
Carsten Meywirth: Hallo zusammen! Ich bin startklar. Speed on! #00:01:17.0#
Stefan Schmugge: Los geht’s! Bevor wir starten, fände ich es klasse, wenn du vielleicht unseren Zuhörerinnen und Zuhörern noch ein kleines bisschen etwas über dich persönlich verraten würdest. #00:01:27.6#
Carsten Meywirth: Über mich persönlich, ich bin 55 Jahre alt und lebe im Rhein-Main-Gebiet und schaue sehr gern Fußball, habe einen Lieblingsverein, den FC Bayern, wo ich auch Mitglied bin, und fiebere ständig mit den Roten. Und ansonsten reise ich natürlich sehr gerne, wann immer sich die Gelegenheit bietet. Und ich bin, glaube ich, ein recht kommunikativer Mensch mit allem, was dazugehört. #00:01:59.8#
Stefan Schmugge: Klasse! Ich habe sogar gelesen, dass du, was das Thema Zugehörigkeit zu deinem Arbeitgeber angeht, schon fast ein alter Hase bist, du bist nämlich seit 1987 schon beim Bundeskriminalamt, allerdings in verschiedenen Jobs unterwegs, oder? #00:02:17.0#
Carsten Meywirth: Ja, ist richtig. Ich habe sogar schon ein bisschen früher angefangen, 1984 bei der Schutzpolizei in Niedersachsen nach dem Abitur, und seit 1987 beim BKA. Habe mir alle Verwendungen dort, alle Ausbildungsmöglichkeiten gegönnt, Ausbildung zum gehobenen Dienst gemacht, dann sehr viel operativ gearbeitet, im Auswertungsbereich gearbeitet, organisierte Kriminalität, Terrorismusbekämpfung. Dann auf die Hochschule der Deutschen Polizei gegangen 2000 bis 2002, dort die Ausbildung für den höheren Dienst gemacht, und auch dann wieder in verschiedenen Verwendungen, im Bereich der Rauschgiftbekämpfung. Und dann bin ich irgendwann mal im Bereich der Informationstechnik gelandet, habe dort ein Fallbearbeitungssystem als Projekt im Bundeskriminalamt eingeführt. Bin dann quasi in die IT Governance eingestiegen, habe also so den Stab des IT Direktors im BKA geleitet fünf Jahre lang. Und fand mich dann gut vorbereitet für die Übernahme der Gruppe Cybercrime im Bundeskriminalamt. Damals war Cybercrime noch eine Gruppe in der Abteilung „Schwere und organisierte Kriminalität“. Das habe ich drei Jahre gemacht. Und dann habe ich mal wieder was ganz anderes gemacht, das ist typisch für das BKA im Rahmen der Personalentwicklung, ich bin dann in die Abteilung „Zentrale Verwaltung“ gegangen, habe so mich dem Personalaufwuchs des BKA gestellt und daran gearbeitet, dass wir ein Standortkonzept haben und dass wir den neuen Personalzuwachs auch entsprechend unterbringen können. Und nach dieser Zeit habe ich mich dann erfolgreich auf die neue Abteilung Cybercrime im BKA beworben. #00:04:04.4#
Maria Nestroi: Auf jeden Fall ein beeindruckender Werdegang, Carsten. Was mich jetzt interessiert: Was macht deine Abteilung genau? Wie sieht deine Arbeit in der Abteilung Cybercrime beim Bundeskriminalamt aus? #00:04:15.8#
Carsten Meywirth: Nun, wir sind eine von 11 Abteilungen im BKA, wenn ihr so wollt, einer von 11 Geschäftsbereichen im Bundeskriminalamt. Wir sind als Bundeskriminalamt und damit auch als Abteilung Cybercrime Zentralstelle der Deutschen Polizei für die Cybercrime-Bekämpfung in Deutschland. Das heißt, wir unterstützen die Bundesländer bei ihrer Arbeit, wir analysieren die Cybercrime-Lage und wir koordinieren den internationalen Informationsaustausch in dieser Funktion. Wir sind neben dieser Zentralstellenfunktion auch Ermittlungsbehörde. Das heißt, wir haben einen sehr, sehr starken operativen Bereich, führen eigene Ermittlungsverfahren in der Abteilung. Nach den gesetzlichen Bestimmungen des Bundeskriminalamtsgesetz sind wir dort tätig im Bereich der Angriffe auf Bundesbehörden und auf kritische Infrastrukturen. Wir ermitteln allerdings auch im Darknet, dort, wo illegale Güter gehandelt werden. Wir haben insgesamt eine lange Erfahrung im Bereich der Cybercrime-Bekämpfung. Wenn ich mal so ein bisschen zurückblicken darf, vor 15 Jahren war das Cybercrime-Team im BKA wirklich ein kleines Team, eine Handvoll Kolleginnen und Kollegen. Das Ganze ist aufgewachsen über ein Referat zu einer Gruppe und dann ab 1.4.2020 zu einer Abteilung im BKA geworden. Wir ermitteln bei Angriffen, wie ich es erwähnt habe, auf kritische Infrastrukturen und Bundesbehörden, und da beispielsweise, wenn DDoS-Attacken geschehen oder Ransomware verteilt wird. #00:05:58.7#
Stefan Schmugge: Vielleicht können wir ein kleines bisschen Begriffssortierung und Standortbestimmung machen. Ich frage mich nämlich: Was fällt alles unter den Oberbegriff Cyberkriminalität? Und was mich natürlich auch interessieren würde: In eurer täglichen Arbeit, was genau tut ihr da regelmäßig? Was genau tust du und was tun deine Mitarbeiter? #00:06:20.0#
Carsten Meywirth: Das ist in der Tat so, Cyberkriminalität ist ein schillernder Begriff, steht für vieles. Wir in der Polizei unterscheiden zwischen der Cybercrime im engeren Sinne und der Cybercrime im weiteren Sinne. Unter der Cybercrime im engeren Sinne verstehen wir die Straftaten, die sich gegen IT-Systeme, Netze und technische Infrastrukturen richten und wo die Täter komplett in ihrer Tatausführung digital vorgehen. Ein Bereich, der das Ganze sehr gut zusammenfasst, den bezeichnen wir als Crime as a Service. Das heißt, es hat sich im Clearnet, also in dem freizugänglichen Bereich des Internets, quasi eine kriminelle Dienstleistungsindustrie gebildet, wo sich die Täter in verschiedenen Marktsegmenten spezialisiert haben. Das heißt, du findest in diesem Bereich spezialisierte Täter, die Schadsoftware herstellen. Es gibt Täter, die dann dafür sorgen, dass diese Schadsoftware nicht von den gängigen Virenschutzprogrammen entdeckt wird. Du kannst prüfen, ob das auch wirklich sicher ist. Du kannst dir bei einem kriminellen Dienstleister entsprechende Serverstrukturen, Infrastrukturen anmieten und all diese Dinge. Das heißt, hier gibt’s eine riesige Industrie, die den Einzelnen unterstützt im Rahmen der Arbeitsteilung bei seiner Straftatenbegehung. Das ist die Cybercrime im engeren Sinne. Davon unterscheiden wir die Cybercrime im weiteren Sinne. Hierunter fassen wir solche Straftaten, bei denen die Täter es nicht abzielen auf IT-Systeme oder technische Infrastrukturen, sondern wo die Täter das Internet als Mittel, als Medium nutzen, um ihre Straftaten vorzubereiten oder zu begehen. Beispielsweise, um Rauschgift zu verkaufen, über Handelsplattformen im Darknet, also dem nicht freizugänglichen Teil des Internets. Oder aber kinderpornografisches Material zu handeln oder illegale Waffen zu verkaufen oder Urkunden, gefälschte zu verkaufen. Das ist der Bereich des Darknets, wo im Wesentlichen dann Cybercrime im weiteren Sinne als Straftaten ausgeführt werden. Wir in der Abteilung Cybercrime im Bundeskriminalamt sind in beiden Feldern aktiv. Von der Priorität her bekämpfen wir natürlich Straftaten der Cybercrime im engeren Sinne, da, wo digitale Ermittlungen erforderlich sind. Hierfür brauchst du speziell ausgebildete Beamte und Analysten, Techniker, da die Tatausführung komplett digital stattfindet unter Nutzung von technischen Infrastrukturen, die meistens global verteilt sind. Hier werden Straftaten begangen, wie beispielsweise der DDoS-Attacken auf Online-Präsenzen von Wirtschaftsunternehmen. Sehr kritische Angelegenheit für diese Unternehmen, wenn diese Infrastrukturen ausfallen. Oder aber auch Ransomware-Angriffe, das heißt, hier wird Schadcode verteilt, hier werden Unternehmen beispielsweise angegriffen, Rechnersysteme, ganze Netzwerke verschlüsselt. Und dann erpressen die Täter bei diesen Unternehmen wie so eine Art Lösegeld, damit diese Systeme wieder freigeschaltet werden, oder die Daten, die die Täter im Rahmen dieser Aktion erlangen, nicht von den Tätern veröffentlicht werden. #00:09:50.5#
Maria Nestroi: Stefan, Carsten, zum Einstieg hätte ich da auch direkt ein paar Zahlen. Laut einer Bitkom-Studie wurden 70 % aller Unternehmen durch digitale Angriffe geschädigt. Im Vergleich 2017 waren es noch 43 %. Carsten, da würde ich dich direkt mal fragen: Wer ist denn für Cyberkriminelle ein besonderes Ziel und warum? #00:10:11.1#
Carsten Meywirth: Im Prinzip kann jeder Opfer einer Straftat werden, beispielsweise bei breitangelegtem Spamming von Phishing-Mails mit maliziösen Anhängen, die werden sehr breit verteilt. Dazu werden einfach Mail-Adressen genutzt, die sich die Täter erschlossen haben. Aber es können auch gezielte Angriffe stattfinden auf bestimmte Unternehmen, auf bestimmte Personen, und insofern ist dieses Opferspektrum schwierig einzukreisen. #00:10:48.0#
Stefan Schmugge: Vielleicht haben wir für unsere Zuhörerinnen und Zuhörer ein paar klassische Beispiele am Start. Carsten, was zählt denn, aus deiner Sicht, als größte Bedrohung aktuell für klassische Unternehmen? #00:11:02.3#
Carsten Meywirth: Für ein Unternehmen, das ist ganz klar, die Täter zielen ab auf Unternehmen in der deutschen Wirtschaft aufgrund ihrer Zahlungskraft. Ein Trend ist, dass diese Täter auf höherwertige Ziele aus sind, das heißt da, wo sie Gewinnmaximierung erreichen, wo sie sehr viel Lösegeld erpressen können. Und da ist natürlich ganz klar im Vordergrund bei den Unternehmen, die angewiesen sind in ihrem Tätigwerden auf Online-Präsenzen, da sind diese Unternehmen natürlich durch DDoS-Attacken gefährdet. Aber ganz allgemein natürlich auch durch Ransomware-Angriffe. Das muss man sich vorstellen, heutzutage hält ein Unternehmen alle Daten digital, und wenn dann es ein Täter schafft, in das Netz des Unternehmens einzudringen, alle Daten zu verschlüsseln, vorher vielleicht auch wesentliche Daten abzugreifen, diese zum Verkauf anbieten können im Internet, das muss man sich aus Sicht des Unternehmens vorstellen, ist natürlich schon ein schwerer Schlag. Und hierfür fordern die Täter dann Lösegeld. Wenn es sich dann noch um Unternehmen handelt, die kritische Infrastrukturen betreiben, das heißt also Versorgungsunternehmen, dann haben wir natürlich gleich noch mal einen viel weiteren Bedrohungskreis, weil dann natürlich auch jeder Bürger betroffen ist durch Einschränkungen, was also beispielsweise die Strom- oder die Wasserversorgung oder ähnliches anbelangt. Wir sehen im Augenblick uns konfrontiert mit einer ganz großen Angriffswelle, der sogenannten Emotet-Schadsoftware. Wir haben dazu als Bundeskriminalamt rechtzeitig im Juli gewarnt, bevor die neue große Welle der Verteilung der Schadsoftware losging. Emotet ist eine der gefährlichsten Malwares, die es im Augenblick weltweit gibt. Wenn es den Tätern gelingt, ein Unternehmen zu infizieren, die Netzwerke, dann lesen Sie zuerst das Mail-System aus, sie beschaffen sich weitere Informationen, um weitere Angriffe zu starten. Sie sind in der Lage, weiteren Schadcode nachzuschieben nach einer ersten Infektion. Das ist ein Schadcode, der beispielsweise dann das Online-Banking angreift. Und sie gehen dann in einer dritten Iteration ganz häufig dazu über, Ransomware zu verteilen und die Netzwerke des Unternehmens zu verschlüsseln. Und dann treten sie mit entsprechenden Lösegeldforderungen an das Unternehmen heran. #00:13:40.5#
Stefan Schmugge: Jetzt würde mich brennend interessieren, ob du schon selber mal in der Opferrolle gewesen bist eines Angriffs von Cyberkriminalität und was du dann genau getan hast? So vielleicht auch als Ratgeber für denjenigen, der selber mal in so einer Situation steckt. #00:13:55.7#
Carsten Meywirth: Was ich schon festgestellt habe, ist, dass ich natürlich auch E-Mails bekomme, die nicht so ganz zu dem passen, was ich sonst an E-Mail-Verkehr habe. Und ich bin Gott sei Dank bisher sehr aufmerksam gewesen und habe solche E-Mails natürlich sofort gelöscht. Also man bekommt beispielsweise sehr häufig E-Mails unter dem Narrativ „Ebay, Ihre Rechnung ist zu beanstanden“ und dann hängt ein Dokument dran, das man natürlich auf keinen Fall öffnen darf. Das heißt, man muss bei den Mails, die man bekommt, insbesondere dort, wo Anhänge dran sind, sich genau überlegen: Stimmt das mit dem überein, was ich gerade tue? Passt das in den Kontext? Habe ich dort gerade eine Aktion laufen, habe ich da was bestellt? Und ähnliches. Das muss man abprüfen, man muss ein gewisses kritisches Bewusstsein haben, wenn man in seinen Mail-Account reinguckt. Ich habe die bisher immer dann natürlich rausgelöscht. Insofern lohnt es sich, wenn man da eine gewisse Awareness hat, einerseits wie die Täter vorgehen und andererseits, was passt in die Kommunikation rein, die ich persönlich oder aber auch im dienstlichen Mail-Account führe. #00:15:11.2#
Stefan Schmugge: Ja, das kann ich mir sehr gut vorstellen. Ich habe auch festgestellt, dass man speziell in diesem Privatanwender-Bereich gar nicht so sehr auf den klassischen „Einsamen Wolf“-Hacker bauen muss oder darf, der mich dann selber verschlüsseln will oder mir irgendwelches Böses will, sondern ich habe festgestellt, dass das teilweise sogar ganze Callcenter-Batterien sind. Ich erinnere mich an einen Fall bei meiner Schwägerin, die mich anrief und sagte: Stefan, ich weiß gar nicht, was ich machen soll, du bist doch Informatiker, vielleicht kannst du mir helfen? Microsoft ruft grad bei mir an und will meinen Virus löschen, der auf meinem bösen Rechner ist. Und dann habe ich ihr versucht zu erklären, dass sie bitte ganz schnell das Netzwerkkabel ziehen soll. Denn dieses Callcenter-Ding, was da ja kursiert, das geht wirklich so vor, dass Sie versuchen, Zugriff auf den Rechner zu bekommen, weil sie glauben, dass sie mit Microsoft und dem Namen eben einfach sehr schnell und einfach auf den Rechner kommen können, dann dort Schadsoftware installieren und dann eben genau diese Erpressungsversuche starten. Was kannst du dort vielleicht sogar unseren Zuhörerinnen und Zuhörern raten, in so einem Fall zu tun? Was genau tue ich, wenn ich nicht genau weiß, an wen ich mich wenden kann? #00:16:23.4#
Carsten Meywirth: Zunächst ist es mal so, dass man natürlich nicht eingeht auf das. Was du geschildert hast, dieses Beispiel, ist natürlich auch ein sehr beliebtes Narrativ, unter dem die Täter vorgehen. Ein anderes ist beispielsweise, dass Banken sich melden oder dass sich Täter melden vor dem Vorwand „Hier ist Ihre Bank und wir müssen eine Sicherheitsüberprüfung durchführen. Bitte geben Sie uns Ihre TANs dafür. Geben Sie die ein.“ Das sind alles Beispiele, wie die Täter vorgehen, um an Zugangsdaten von ihren Accounts zu kommen und weitere Straftaten begehen zu können. Hier darf man auf keinen Fall darauf eingehen. Man muss sich einfach dieser Situation bewusst sein, dass Banken niemals so auf einen zutreten werden und auch IT-Firmen wie beispielsweise Microsoft niemals im Geschäftsleben so agieren werden. #00:17:19.8#
Stefan Schmugge: Wie genau gehen wir denn jetzt mit dem Thema Bedrohung in dem Behördenumfeld um? Was genau tut ihr da, beziehungsweise wie sieht dort eure Strategie oder die Strategie der Behörden aus? #00:17:31.2#
Carsten Meywirth: Es ist zunächst mal so, dass für die IT-Sicherheit das BSI zuständig ist, das zuständige Bundesamt im Geschäftsbereich des BMI, das hier über erhebliche Expertise verfügt. Wir sind als Bundeskriminalamt bei der Strafverfolgung zuständig, bei Angriffen auf Behörden. Das, was wir dort sehen, sind natürlich Phishing-Angriffe, die stattfinden auf E-Mail-Accounts auch von Behördenmitarbeitern oder von Mitarbeitern aus Einrichtungen, die in den Geschäftsbereich des Bundes gehören. Und hier ist natürlich auch eine Gefährdung gegeben, wenn entsprechende Zugänge der Täter erreicht werden, dass dann die Netze oder die Systeme dieser Bundesbehörden oder Bundeseinrichtungen auch verschlüsselt werden. Und das hat natürlich erhebliche Auswirkungen auf die Sicherheit und den Bestand des Bundes. #00:18:35.7#
Maria Nestroi: So, ihr zwei. Ich glaube, es wird mal wieder Zeit für einen kleinen Snack. Der Strategiechef des Cybercrime Centers von Europol, Philipp Amann behauptete kürzlich: „Wenn Sie heute eine Serverattacke starten wollen, ist Google Ihr Freund. Es ist relativ einfach, die Werkzeuge zu mieten oder zu kaufen.“ Carsten, das deckt sich quasi mit dem, was du zuvor gesagt hast. Heißt das für uns, dass heute im Prinzip jeder zum Cyberangreifer werden könnte? #00:19:04.0#
Carsten Meywirth: Ja, das heißt es in der Tat. Ich hatte euch ja grad ein bisschen was erzählt über Crime as a Service, und das, was sich da im Clearnet abspielt, diese neuen Geschäftsbereiche, wie wir sie unterscheiden in dieser kriminellen Dienstleistungsindustrie, wo sich jeder im Prinzip seinen Schadcode kaufen kann, seine Dienstleistungen für DDoS-Attacken zusammenkaufen kann. Also es ist tatsächlich so, dass jeder heute Cyberstraftaten begehen kann. Es ist so, dass wir eine neue Generation von Tätern am Start sehen. Es sind Täter im Jugendalter oder als Heranwachsende, aber auch sehr professionelle Täter, die in der Lage sind, mehrere Serverinfrastrukturen zu bedienen und die ganz häufig als Ich-AGs agieren. #00:19:59.3#
Maria Nestroi: Ich könnte mir vorstellen, dass die Dunkelziffer da noch relativ groß wird. Kannst du dazu was sagen? #00:20:05.0#
Carsten Meywirth: Ja, das ist in der Tat so. Wir erfassen ja alle Straftaten in der polizeilichen Kriminalstatistik und da muss man sagen, dass das, was da an Straftaten erfasst wird, aus unserer Sicht nur einen Bruchteil dessen ist, was sich tatsächlich an Straftaten tatsächlich ereignet. Die Dunkelziffer ist sehr, sehr hoch. Das liegt vielleicht daran, dass Unternehmen Angst haben um Reputationsverlust, dann vielleicht entsprechende Angriffe nicht anzeigen, weil sie nicht wollen, dass das vielleicht später irgendwie mal bekannt werden könnte. Oder dass einfach jemand, der persönlich von einem Angriff betroffen ist, die Daten, seinen Account wiederherstellt und dann einfach keine Anzeige bei der Polizei erstattet, weil damit auch nicht verbunden ist, dass er vielleicht Versicherungsgelder bekommt, wie das bei Diebstählen oder anderen Delikten der Fall wäre. #00:21:04.4#
Stefan Schmugge: An dieser Stelle sei noch mal darauf hingewiesen, dass wir natürlich bewusst nicht ins Detail gehen, weil wir überhaupt keine Lust haben, den ein oder anderen Zuhörer zu einem kleinen Cyberkriminellen zu entwickeln. Deswegen ist es auch gut, dass zum Beispiel Zugänge wie Darknet und Clearnet und Co. gar nicht so richtig öffentlich sind. Von daher der Appell an euch alle: Bitte nicht nachmachen! Kommen wir mal zum Thema Gegenmaßnahmen und Bekämpfung dieser ganzen Geschichten, die wir gerade besprochen haben. In Deutschland ist ja die Strafverfolgung von Cyberkriminalität die Aufgabe der Polizei, vor allem der Landeskriminalämter und auf Bundesebene, des BKAs. Vielleicht, Carsten, kannst du uns an einem Fallbeispiel verdeutlichen aus der Praxis, wie das genau funktioniert und wie ihr da vorgeht. #00:21:56.9#
Carsten Meywirth: Aus aktuellen Fällen zu berichten ist aufgrund der Unschuldsvermutung und der noch offenen justiziellen Befassung immer relativ schwierig, versteht ihr, glaube ich. Ich mach das mal an einem abgeschlossenen Fall aus dem Herbst 2016. Damals waren eine Million Router der Deutschen Telekom betroffen. Die sind ausgefallen in Deutschland. Und was war der Hintergrund? Es gab da einen Unternehmer, Betreiber eines Telekommunikationsunternehmens in Liberia in Afrika, und der wollte sich ein bisschen mehr Marktmacht verschaffen und einen Konkurrenten schädigen, und hatte einen Bekannten, der auf Zypern wohnt, der ITler ist, dort auch legal gearbeitet hat, der aber über bestimmtes Know-how auch verfügt hat. Und den hat er gefragt, ob er nicht mal in der Lage wäre, den Geschäftswettbewerber von ihm zu schädigen. Dieser Mann in Zypern hat diesen Auftrag angenommen, hat sich dann ein Botnetz zurechtgelegt, hat also weltweit Router infiltriert, hat die in sein Botnetz integriert, und hat dann mit dem Botnetz DDoS-Attacken auf diesen Wettbewerber des Telekommunikationsbetreiber in Liberia gefahren. War damit nicht so besonders erfolgreich, aber was ein Nebeneffekt gewesen ist, er hat auch versucht, Router in Deutschland in dieses Botnetz zu integrieren. Das ist ihm nicht ganz gelungen, hat aber letztlich dazu geführt, dass diese Router sich abgeschaltet haben aufgrund der Angriffe. Das heißt, die haben sich einfach in einen nicht definierten Zustand begeben. Und damit war natürlich das Internet für die dahinterstehenden Kunden ausgefallen. Es kam zu einem großflächigen Ausfall, eine Million Router. Kann man sich in etwa vorstellen, dass das schon für ein bisschen Aufsehen erregt hat. Die Telekom hat dann Anzeige erstattet, wir haben zusammen in enger Kooperation mit der Telekom die Spuren gesichtet und die Spuren auch aufgenommen, und dann über unsere internationalen Partner, das Bundeskriminalamt verfügt über ein Netz von Verbindungsbeamten weltweit, wir haben über 70 Verbindungsbeamte in der ganzen Welt verteilt sitzen, haben dann über unsere internationalen Partner auch in der Cybercrime-Bekämpfung Kontakt aufgenommen, die Spuren verfolgt, sehr eng mit den Behörden auf Zypern zusammengearbeitet. Und hier beim Bundeskriminalamt ein Ermittlungsteam ins Leben gerufen, das bestanden hat aus Vollzugsbeamten, aus Cyberanalysten, aus speziellen Technikern, die sich dieser Sache angenommen haben. Und wir sind tatsächlich erfolgreich gewesen und konnten den Täter ermitteln. Er ist dann später in Großbritannien festgenommen worden mit internationalem Haftbefehl und vor ein deutsches Gericht gestellt worden. Also an dem Fall kann man exemplarisch sehen, wie wir arbeiten und wie das Gegenüber von uns auch arbeitet. Diese Täter sind international unterwegs, der Täter hat auf Zypern gewohnt, es ging um Angriffe auf ein Unternehmen in Afrika. Der Täter hat weltweit Infrastrukturen genutzt, die weltweit verteilt waren. Er ist dann in Großbritannien festgenommen worden und letztlich vor ein deutsches Gericht gestellt worden. Dieser Fall zeigt exemplarisch die Dimensionen der Cybercrime-Bekämpfung auf. #00:25:32.5#
Stefan Schmugge: Also man könnte schon fast sagen, Globalisierung à la Cybercrime par excellence. Da fällt mir eben mein Stichwort irgendwie wieder ein: Bitte nicht nachmachen! #00:25:44.8#
Maria Nestroi: So, ihr zwei. Ich habe hier noch eine vollgepackte Lunch-Box mit einem weiteren Snack für euch. Laut des aktuellen Human Factor Reports von Proofpoint setzen 99 % alle Cyberangriffe auf den Menschen als Schwachstelle. Das heißt, die Bedrohung erfordert eine menschliche Interaktion wie das Öffnen einer Datei oder das Klicken auf einen Link. Hatten wir ja vorhin auch schon besprochen. Carsten, du hattest das ja ausgeführt mit deiner E-Mail Inbox. Jetzt meine Frage dazu: Ist der Mensch durch Unachtsamkeit und mangelndes Sicherheitsverständnis die größte Schwachstelle der IT-Sicherheit. Wie siehst du das? #00:26:19.3#
Carsten Meywirth: Das ist ganz sicher so, ganz häufig ist der einzelne Mensch die Schwachstelle. Aber daneben natürlich auch oft nicht ausreichende Sicherheitsstandards. Hier kann man aber als einzelner oder aber auch als Unternehmen entsprechend ansetzen. #00:26:35.0#
Stefan Schmugge: Vielleicht noch als Anknüpfpunkt daran, Carsten. Jetzt haben wir auch nicht nur über Privatmenschen, sondern auch über Unternehmen gesprochen. Wie gut sind, deiner Meinung nach, eigentlich die klassischen Unternehmen gegen solche Cyberangriffe geschützt oder aufgestellt? #00:26:52.4#
Carsten Meywirth: Nach unserer Erfahrung, die großen Unternehmen stehen da sicher besser da. Die haben einfach mehr Ressourcen, in IT-Sicherheit zu investieren, entsprechende Awareness zu schaffen. Bei vielen kleinen und mittelständischen Unternehmen sieht‘s da schon anders aus. Da wird die Gefahr, unserer Erfahrung nach, nach wie vor unterschätzt. #00:27:13.3#
Stefan Schmugge: Was können solche Unternehmen, vielleicht sogar die kleinen und mittelständischen Unternehmen, die jetzt grad zuhören, denn wirklich genau tun? Was hättest du als persönliche Empfehlung, sich da besser aufzustellen und besser zu schützen? #00:27:25.3#
Carsten Meywirth: Es gibt natürlich im Wesentlichen die zwei ganz großen Bereiche Technik und der Faktor Mensch. Da muss angesetzt werden. Im Bereich der Technik vielfältige Möglichkeiten, natürlich die Updates, die Systeme immer auf dem neuesten Stand halten, entsprechendes Sicherheitsregime auch schaffen, das sind natürlich ganz wichtige Sachen. Sich auch vielleicht beraten lassen, entsprechende Expertise einholen. Und im Bereich Faktor Mensch, da muss ich natürlich eine entsprechende Awareness schaffen. Das heißt, ich muss Mitarbeiter, und insbesondere solche Mitarbeiter, die an kritischen Posten, Funktionen sitzen, Systemadministratoren und ähnliche, die muss ich natürlich speziell schulen. Da muss ich eine spezielle Awareness schaffen über das, was an Angriffen kommen kann, was jetzt gerade auch vielleicht aktuell gerade passiert, und das setzt natürlich einen gewissen Aufwand, was die Fortbildung dieser Mitarbeiter anbelangt, voraus. Wichtig ist es auch, sich einen Plan machen für den Eventualfall, dass ich dann was aus der Tasche ziehen kann und nicht dann erst das Denken anfange, was kann ich jetzt tun? Und vor allen Dingen eins dann natürlich, was auch in diesem Plan stehen muss für den Eventualfall, Anzeige erstatten bei der Polizei. #00:28:46.6#
Stefan Schmugge: Jeder Mensch weiß, wenn eine Straftat auf der Straße passiert, ruft er einfach die Polizei an. Jetzt frage ich mich: Wie genau kann ich als Opfer von so einem Cybercrime-Angriff genau mit so einer Situation umgehen? An wen wende ich mich und was ist die beste Variante, so eine Straftat zur Anzeige zu bringen? #00:29:06.0#
Carsten Meywirth: Für den Normalbürger gilt natürlich das, was sonst auch gilt, da ist die örtlich zuständige Polizeidienststelle sicherlich der richtige Ansprechpartner. Wenn ich jetzt in den Bereich von Behörden oder von kleinen oder auch großen Unternehmen komme, sollte ich mich natürlich schon vorher mal informiert haben. Wir haben in Deutschland ein Netz von zentralen Ansprechstellen Cybercrime. Die sind bei den Landeskriminalämtern in den Bundesländern angesiedelt, die haben eine bestimmte Erreichbarkeit und dort treffe ich auf jeden Fall direkt auf den richtigen kompetenten Ansprechpartner. Ich will auch noch mal zwei Sätze sagen, warum das so wichtig ist, Anzeige zu erstatten und auch die Polizei dort zu informieren. Wenn ich Angriffen ausgesetzt bin, dann haben die Täter meistens irgendeine Schwachstelle, irgendeine Lücke genutzt, um das Unternehmen oder den persönlichen Account zu infiltrieren, zu übernehmen. Diese Täter, selbst wenn ich die Sicherheit für das Unternehmen wiederhergestellt habe, die Systeme bereinigt habe, meine Arbeit wieder aufnehmen kann, diese Täter bestehen auf der anderen Seite weiter und die werden die nächste Schwachstelle nutzen, um dieses Unternehmen wieder anzugreifen. Und Sie können mir glauben, Schwachstellen, wenn Sie sich da ein bisschen informieren, die gibt es genug auf dem Markt, und da gibt’s eine lange Liste, die jeden Tag aktualisiert wird. #00:30:37.6#
Stefan Schmugge: Jetzt leben wir aktuell so ein bisschen in einer paradoxen Welt. Auf der einen Seite möchten wir gerne die Cyberkriminalität eindämmen, auf der anderen Seite kriegt diese Cyberkriminalität aber scheinbar durch Digitalisierung und Internet of Things immer mehr Rückenwind, weil alle Geräte miteinander vernetzt sind, immer mehr Optionen da sind, das Leben durch IT und durch Digitalisierung einfacher zu machen. Jetzt stelle ich mir wirklich so ein paar Szenarien vor wie, selbstfahrende Autos werden gehackt und ich sitze drin. Wir haben auch schon davon gehört, dass es schon Ransomware-Attacken über Kaffeemaschinen, die schon digital am Netz hängen, passiert sind. Carsten, wie realistisch sind solche Horrorszenarien und was tut ihr da in dem Bereich, um vielleicht genau das eine oder andere Beispiel zu unterbinden? #00:31:32.0#
Carsten Meywirth: Diese Szenarien sind gar nicht so unrealistisch. Die Angriffe auf Smart Things sind sehr gefährlich, wenn sie als Zugangsmöglichkeit für die Täter in ein privates Netzwerk dienen oder man damit konkrete Gefahren verursachen kann. Und wir alle wissen ja, dass das Internet of Things ständig größer wird, dass immer mehr Gegenstände des täglichen Gebrauchs über entsprechende Sendefunktionen verfügen, über das Internet erreichbar sind oder über ein privates Netzwerk. Insofern muss ich das in meine private Vorsorge mit einbeziehen. Ich bin der Auffassung, dass man hier sehr stark eine Awareness schaffen muss, dass man klarmachen muss, welche Risiken mit diesen Geräten verbunden sind. Und das gehört, aus meiner Sicht, ganz normal zu dem Betrieb von internetverbundenen Infrastrukturen dazu. #00:32:32.3#
Stefan Schmugge: Ein fast sehr schönes Schlusswort. Ich muss nämlich leider sagen, wir sind schon wieder fast am Ende unserer Fahrt angelangt, und an der nächsten Ecke muss ich dich dann heimlich rausschmeißen. Ich habe aber noch eine Frage kurz vor Abschluss, eine persönliche an dich nämlich, so ein bisschen gerichtet auf das Thema Nachwuchsförderung vielleicht von euch, aber auch Karriereplanung von dem einen oder anderen Hörer: Wie wird man eigentlich genau Cyberkriminalist? #00:33:02.7#
Carsten Meywirth: Da gibt’s verschiedene Möglichkeiten. Man kann das natürlich so werden, wie ich das auch geworden bin. Ich bin Vollzugsbeamter und habe mich diesem Thema gestellt und habe damit gearbeitet. Ich hatte euch vorhin schon erzählt, dass wir über eine lange Erfahrung verfügen, seit über 15 Jahren hier schon am Start sind. Und es gibt einige Kollegen, die sind von Anfang an von dieser Anfangszeit an dabei, und natürlich haben die eine entsprechende Kompetenz aufgebaut. Und neben ihrer vollzugspolizeilichen Kompetenz sich auch eine richtige Cyberkompetenz erarbeitet. Diese Vollzugsbeamten werden unterstützt durch Cyberanalysten, die IT-Fachkräfte sind, die wir extern gewinnen, einstellen, und die wir hier speziell bei uns schulen und die dann im Team sozusagen als Tandem-Schreibtisch, am Schreibtisch sitzen mit den Vollzugsbeamten, die Ermittlungsverfahren und die Auswerteverfahren führen. Und dann haben wir eine dritte Kategorie, die ist relativ neu, wir haben so eine spezielle Laufbahn für Cyberkriminalisten. Das sind solche Kolleginnen und Kollegen, die ein IT-Studium bereits gemacht haben, die dann zu uns kommen und in einer verkürzten Ausbildung zu Vollzugsbeamten werden. Das heißt, die vereinen dann sowohl die technische Kompetenz als auch das polizeiliche Spezialwissen. #00:34:39.3#
Maria Nestroi: Und Carsten, wenn ich jetzt an das Jahr 2030 denke, wo wird die Reise für dich selbst hingehen und wie wird deine Abteilung bis dahin arbeiten? Wir sind ja nun von Dell Technologies auch ein Technologie-Unternehmen, und mich würde speziell interessieren, ob ihr schon über neue Technologien zur Bekämpfung von Cyberkriminalität nachgedacht habt. #00:34:59.4#
Carsten Meywirth: Ja, na klar, auch wir müssen als Polizei neue Wege gehen in der Personalrekrutierung, um Spezialisten zu gewinnen und neue Technologien schnell und unbürokratisch einsetzen zu können. Das Potenzial von neuer Technologie, auch Künstliche Intelligenz, muss auch von uns genutzt werden. Für uns sind die Themen Kryptierung, Anonymisierung und Massendaten, das sind natürlich die Herausforderungen im Augenblick, die es gilt zu tacklen und wo wir selber weiter an Kompetenz gewinnen müssen. Mir ist allerdings auch noch mal wichtig zu sagen, wir verfügen hier im Bundeskriminalamt oder im behördlichen Bereich nicht über irgendeine Supertechnik, die wir einsetzen, um Cyberkriminelle zu fangen und denen die Straftaten nachzuweisen, sondern wir setzen hier die Technik ein, die auch alle anderen einsetzen. Und hier besteht weiterhin enormer Bedarf, mithalten zu können als Polizei mit der Gegenseite der Cyberkriminellen. #00:36:02.7#
Sie haben Ihr Ziel erreicht.
Stefan Schmugge: Vielen, vielen Dank, Carsten Meywirth, für diese tollen Einblicke hinter die Kulissen zum Thema Cyberkriminalität. Ich lass dich jetzt hier an der Ecke mal raus, muss aber als Filmfan noch mal betonen, dass mich das extrem an Star Wars erinnert hat. Ich komme noch mal zurück auf die Folge 1 Staffel 1, Linus Neumann, wenn das das Gespräch über die dunkle Seite der Macht war, dann war das hier heute ein Gespräch nicht nur mit den Jedis, sondern sogar mit dem Leiter der Jedis, also quasi mit Yoda. Es hat mir viel, viel Spaß gemacht. Ich sag noch mal vielen Dank und freue mich auf das nächste Gespräch. #00:36:51.7#
Carsten Meywirth: Sehr gerne. Und ich wünsche euch viel Erfolg bei eurer Reise in die Zukunft. #00:36:56.5#
Stefan Schmugge: Danke schön! Cyberkriminalität ist und bleibt eine der großen Herausforderungen unserer aktuellen Zeit, aber auch den kommenden Jahren. Ein toller Podcast mit Carsten Meywirth aus dem BKA, Abteilung Cybercrime. Ich habe eine Menge gelernt, nämlich: Wer von den Zuhörerinnen und Zuhörern aktuell ein IT-Hochschulstudium absolviert und danach nicht genau weiß, wo er hinsoll, ich glaube, diese Abteilung ist eine tolle Möglichkeit, um das gelernte Wissen in der Praxis anzuwenden. Das habe ich gelernt. Dann habe ich auch noch gelernt, dass es leider immer noch ein Kopf an Kopf Rennen gibt zwischen den Möglichkeiten, die ein Hacker auf die Straße bringt, und den Optionen, die wir selber anbieten durch die Digitalisierung, indem wir unterschiedlichste Devices miteinander vernetzen und unseren Alltag einfacher machen, öffnen wir natürlich immer wieder das eine oder andere Schlupfloch für solche Angriffe. Aber auch dort geht es darum, dass nicht nur die Abteilung Cybercrime sehr gut gewappnet ist, sondern es geht auch darum, dass wir uns selber ein bisschen mehr sensibilisieren müssen. Das heißt, der Faktor Mensch darf nicht außer Acht gelassen werden, wir müssen mehr aufpassen in Bezug auf Phishing, in Bezug auf Ransomware, in Bezug auf Dinge, die vielleicht nicht normal ablaufen, wie den klassischen Anruf von Microsoft, den wir erwähnt haben. Und uns vielleicht auch ein bisschen weiter und besser ausbilden in den Möglichkeiten, die solche Angriffe mit sich bringen. Ich sage, bis in zwei Wochen, verabschiede mich und wünsche euch noch eine tolle Zeit. #00:38:36.8#
Maria Nestroi: Damit sind wir heute schon wieder am Ende unseres Technologie-Dialogs. Vielen Dank noch mal an unseren heutigen Mitfahrer Carsten Meywirth für die spannenden Ein- und Ausblicke in die Zukunft. Wenn euch die Folge gefallen hat, würden wir uns sehr freuen, wenn ihr unseren Podcast auf Spotify, SoundCloud oder der Dell Technologies Mediathek abonnieren würdet. Und wenn ihr noch mehr Informationen zum Thema Cyberkriminalität haben möchtet, haben wir für euch in den Notizen noch ein paar mehr Informationen hinterlegt. Klickt euch gerne rein! In zwei Wochen heißt es dann wieder „die Route ist berechnet“ mit unserem Gast und Digitalisierungsexperten Thomas R. Köhler, mit dem wir über Automotive IT sprechen werden. Bis dahin! Und Anschnallen nicht vergessen! #00:39:20.2#
Carsten Meywirth
Leiter Abteilung Cybercrime, Bundeskriminalamt
Stefan Schmugge
Moderator, Dell Technologies
Maria Nestroi
Co-Moderatorin, Dell Technologies
