«Diabl0» gehört zu jenen, die es erwischt hat. Der knapp 30-jährige marokkanische Hacker Farid Essebar sitzt in der Schweiz im Gefängnis. Zusammen mit zwei Kollegen hatte er mithilfe von gefälschten E-Mails und Websites die Daten von mindestens 133'600 Kreditkartenbesitzern aus der ganzen Welt ergaunert, mehrere Millionen Franken soll er erbeutet haben. «Phishing» nennt sich das. Auch auf Schweizer Konten verschafften sich die drei Zugriff. Die thailändische Polizei verhaftete sie 2014 und 2015 in Bangkok und lieferte sie an die Schweiz aus. Alle drei haben Geständnisse abgelegt und befinden sich im vorzeitigen Strafvollzug. Die Bundesanwaltschaft (BA) vermeldete diese Woche: «Erste ­Anklage wegen weltweiten ‹Phishings›.» Der Fall sei ein «Pilotverfahren».

So weit, so gut. Nur: «Diabl0» ist die Ausnahme unter den Black Hats, den Schwarzhüten, wie Hacker mit kriminellen Zielen genannt werden. Die meisten kommen davon. Das Bild, das sich nach einer Reihe von Gesprächen mit Fachleuten ergibt, ist ernüchternd: Bei der BA stauen sich inzwischen über 400 nicht aufgearbeitete Phishing-Strafanzeigen. Nur um «Diabl0» und einen zweiten Pilotfall kümmert sich die BA intensiver. Für mehr fehlen Ressourcen. «Die meisten dieser Fälle werden sich nie lösen lassen», sagt ein spezialisierter Ermittler, der anonym bleiben will. «Die Spuren sind nach einer Woche verwischt.»

Spezialisten springen ab

In Zürich läuft der Aufbau des ersten Schweizer Cybercrime-Kompetenz­zentrums. Nach knapp drei Jahren ist erst die Hälfte der ursprünglich angekündigten Stellen besetzt. Mehrere Spezialisten sind wieder abgesprungen. Man nehme sich allen eingehenden Anzeigen an, so eine Sprecherin der Staatsanwaltschaft. Es sei aber eine Triage nötig; Haftfälle und Fälle mit geheimer Überwachung genössen den Vorzug – «die übrigen Fälle werden im Rahmen der verbleibenden Möglichkeiten bearbeitet». Es brauche mehr Personal, um «wirklich komplexere Verfahren» in Angriff nehmen zu können, schreibt der Regierungsrat in einer Zwischenbilanz.

Bei der Berner Justiz sind seit 2015 320 Cyber-Strafanzeigen eingegangen. Ein «Grossteil» könne wegen Ressourcenmangels nicht bearbeitet werden, sagt Staatsanwalt Peter Herren: «Wir konzentrieren uns auf die wichtigen Fälle, bei denen wir Erfolgschancen haben.»

Wenige Techniker auf Chefstufe

Ursache der Blockade ist eine Mischung aus Kompetenzgerangel, fehlendem Fachwissen auf Chefstufe sowie Geld- und Personalmangel. Es beginnt bei der Frage, wer für die Jagd auf Cyber-Kriminelle eigentlich zuständig ist. Das Bundesstrafgericht hat 2011 und 2012 entschieden, dass sich die BA um Phishing-Fälle zu kümmern hat. Es gibt aber zahlreiche Phänomene, bei denen ungeklärt ist, wer zuständig sein soll.

Bereits vor zwei Jahren hat Bundesanwalt Michael Lauber dazu eine Arbeitsgruppe einberufen. Mit am Tisch sassen Fedpol-Chefin Nicoletta della Valle, ebenso Polizeikommandanten und Chef-Staatsanwälte. Ein Ermittler sagt dazu: «In dieser Runde fanden Sie vor allem Juristen, kaum Techniker.» Als die Sprache auf einzelne Delikte wie Phishing kam, mussten einige der obersten Strafverfolger eingestehen: Sie verstanden schlicht nicht, wovon gesprochen wurde.

Die Gruppe musste also zuerst klären, was unter «Cyber-Kriminalität» überhaupt zu verstehen ist – und verlor Zeit. Heute liegen 26 Arbeitsblätter vor, welche Begriffe wie «Botnet», «Spyware» oder «Ransomware» erläutern und kategorisieren. Die Bundesanwaltschaft hat sich provisorisch bereit erklärt, sich um drei Phänomene zu kümmern:

Phishing-Aktionen wie jene des marokkanischen Hackers «Diabl0»;

E-Banking-Trojaner, also Schadprogramme, die auf Rechnern von arglosen Bankkunden Zugangsdaten absaugen;

Trick-Anrufe. Kriminelle geben etwa vor, für eine Bank zu arbeiten, und fordern zur Herausgabe des Passworts auf. Fällt jemand darauf herein, loggen sie sich sogleich ein und leeren das Konto.

Eine Einigung über die Aufteilung der 26 Phänomene, die sich ohnehin wieder verändern werden, gibt es bis heute nicht. Und solange die Zuständigkeiten nicht geklärt sind, will die BA vier Spezialstellen zur Bekämpfung von Phishing, die sie 2013 beantragt hat, nicht vollständig besetzen, sagt Sprecher André Marty.

Ähnliche Überlegungen laufen im Kanton Zürich. Geplant war, in den Jahren 2013 bis 2015 32 Spezialisten für ein Kompetenzzentrum Cybercrime anzuheuern. Tatsächlich arbeiten dort heute nur zwei Staatsanwälte, eine Assistenzstaatsanwältin, zwei Sekretärinnen, neun Kantonspolizisten und zwei Stadtpolizisten. Total 16 Leute, also die Hälfte des Plans. Urs Grob, Sprecher der Sicherheitsdirektion, sagt: «Die ursprünglichen Ausbauziele sind nicht infrage gestellt.» Mit anderen Worten: Der Kanton ist im Verzug.

Weshalb will Grob nicht sagen. Stattdessen verweist er auf die Zwischenbilanz des Regierungsrats vom 18. November 2015. Dort heisst es, dass es «vertiefte Abklärungen» zur Frage brauche, wer für Internetverbrechen in Zukunft zuständig sei. Und: Es sei «aus sachlichen und finanziellen Gründen angezeigt, eine Zusammenarbeit mit anderen Kantonen und dem Bund anzustreben».

Es geht um Geld

Zürich will also die Last nicht allein tragen – es geht um Geld. Internet-Ermittlungen sind aufwendig, es eilt immer. Eine digitale Spur, die aus der Schweiz über Frankreich nach Bulgarien und Russland führt, erkaltet innert Tagen. Die Aufklärungsquote des Zürcher Cyber-Teams ist deshalb im Vergleich mit anderen Staatsanwaltschaften tief. 2015 wurden 64 Prozent abgeschlossene Fälle eingestellt, nur bei 3 Prozent kam es zu einer Anklage.

Die Zürcher Justizdirektorin Jacqueline Fehr (SP) ortet in der Schweiz Nachholbedarf: Es brauche ein bis zwei zusätzliche Cybercrime-Zentren, «davon eines in Zürich», sagt sie im aktuellen Jahresbericht der Zürcher Staatsanwaltschaften. Ähnlich äussert sich der Berner Generalstaatsanwalt Rolf Grädel, Präsident der Schweizerischen Staatsanwälte-Konferenz. Aus seiner Sicht macht es keinen Sinn, dass jeder Kanton in Eigen­regie teures Fachwissen aufbaut: «Es sollte regionale Cybercrime-Zentren geben, die Fälle auch für andere Kantone bearbeiten – gegen Entschädigung.»

Der nächste Versuch

Nächsten Freitag könnte sich etwas ändern. Dann wird sich die Arbeitsgruppe der Schweizer Chef-Strafverfolger nach 2014 und 2015 zum dritten Mal treffen, sich über die 26 Arbeitsblätter beugen und an einer gemeinsamen Strategie arbeiten. Ein Fachmann, der über die Traktanden der Sitzung informiert ist, sagt aber: «Rechnen Sie nicht damit, dass es schon zu Einigungen kommt.»

Selbst wenn sich die Parteien nach zweijähriger Debatte auf eine Lösung festlegen sollten, wird es Jahre dauern, bis neue Spezialisten angeworben sind – «der Markt ist völlig ausgetrocknet», sagt ein Ermittler. In der Privatwirtschaft bekomme ein IT-Techniker ab Universität einen sehr viel höheren Lohn als in der Verwaltung, wo man im Wesentlichen nach Dienstalter bezahlt werde. Dazu kommt der Gegensatz zwischen der schnellen IT-Kultur und dem behäbigen Staatsdienst: «Unternehmen diskutieren nicht jahrelang, bevor sie eine neue Abteilung aufbauen. Sie machen.» (Tages-Anzeiger)