So kämpft die Kapo gegen Cybercrime

Früher verschafften sich Bankräuber mit der Pistole Zutritt zur Bank – heute hacken sie Computersysteme: Wie die Zürcher Internetpolizisten digitalisierte Verbrechen auflösen.

Daniel Nussbaumer, Co-Chef der Abteilung Cybercrime der Kantonspolizei. Foto: Urs Jaudas

Daniel Nussbaumer, Co-Chef der Abteilung Cybercrime der Kantonspolizei. Foto: Urs Jaudas

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Herr Müller weiss nicht mehr weiter. Sein Rechner startet nicht mehr. Auch keiner seiner Computer in der Firma. Es erscheint eine Aufforderung auf dem Bildschirm, Geld zu zahlen. Ansonsten würden seine Daten gelöscht und der Zugang zu den Computern bleibe ihm verwehrt. Herr Müller geht zur Polizei und erstattet Anzeige. Dort wird entschieden, welche Abteilung den Fall behandelt. In der Fachsprache wird die Attacke als «CryptoLocker» bezeichnet – ein Verschlüsselungstrojaner.

Im Kanton Zürich ist das eine typische Aufgabe für die auf digitalisierte Verbrechen spezialisierte Abteilung Cybercrime der Kantonspolizei. Co-Leiter Daniel Nussbaumer ist 39-jährig, Jurist und hat seine Karriere bei der Staatsanwaltschaft begonnen. Er trägt Anzug mit Krawatte und sein Haar kurz. Sein Büro ist aufgeräumt, fast klinisch weiss. Auffällig ist lediglich der riesige, leicht gebogene Bildschirm auf dem Pult.

Wie wird konkret bestimmt, ob ein Fall von seiner Abteilung bearbeitet wird? Nussbaumer hält kurz inne und überlegt, um dann mit wohlformulierten Sätzen zu antworten: «Wir schauen uns die Fälle an, und entscheiden uns je nach Schwierigkeitsgrad und Ausmass, ob diese zu den Cyber-Ermittlungen zählen oder nicht.» Die Anzeigen würden gesammelt und analysiert. Wenn es zu Häufungen komme und neue Phänomene ausgemacht werden könnten, würde es für das seit 2013 bestehende Kompetenzzentrum interessant.

2016 schloss es 109 Untersuchungen ab, es kam zu 4 Anklagen und 27 Strafbefehlen. Kürzlich hat der Regierungsrat entschieden, mehr in die Digitalisierung der Strafverfolgung zu investieren. Zusätzlich zu den bisherigen 12 Stellen wurden weitere 20 genehmigt. Dazu gehören Informatiker, Staatsanwälte, Polizisten und Verwaltungsassistenten.

Auch im Internet gehts um Geld

Bei einem Grossteil der Delikte geht es um Geld. «Wenn es nicht um eine ideologische Sache geht, möchte sich immer eine Person unrechtmässig bereichern», sagt Nussbaumer. Es ist nicht überraschend, dass das erste schweizerische Kompetenzzentrum im Wirtschaftskanton Zürich angesiedelt ist. Die Spezialeinheit hat ihren Sitz im Hauptquartier der Kantonspolizei Zürich an der Kasernenstrasse. Die Büroräumlichkeiten im zweiten Stock mögen so gar nicht ins Bild passen, das die in die Jahre gekommene alte Polizeikaserne mit ihrer Backsteinfassade von aussen vermittelt. Weite, helle Gänge verbinden die grosszügigen, aber spärlich eingerichteten Büros. Die meisten Mitarbeiter sind zivil gekleidet. Einziger Hinweis auf das spezielle Aufgabengebiet: Im Matrix-Stil laufen grüne Zahlen über die Bildschirme.

Und was zeichnet einen digitalen Polizisten im Kompetenzzentrum aus? Laut Nussbaumer sind die Unterschiede zwischen digitalen und analogen Ansprüchen klein. «Sie müssen sicher internetaffin sein, aber ihre Hauptaufgabe ist noch immer die Spurensuche», sagt Nussbaumer. Der Unterschied zum konventionellen Polizisten: Die Spurensuche findet im Internet statt. Mit Fragen wie: Wem gehört die Website, wem die registrierte IP-Adresse? Eine weitere Eigenheit ist die Zusammenarbeit mit IT-Spezialisten. Zum Team gehören auch zivile Mitarbeiter mit einer Informatikausbildung. Etwa Netzwerk-, Daten- oder Rechenzentrenspezialisten. Sie sind dafür zuständig, die vielen Daten, welche die Polizisten aus den Beweisstücken erhalten haben, zu analysieren – Informatiker auf Spurensuche sozusagen. Die Kapo ist noch auf der Suche nach zusätzlichen Mitarbeitern. «Wir haben die genauen Stellenprofile noch nicht erarbeitet, aber die Informatiker sollten sich gegenseitig ergänzen», sagt Nussbaumer. Er macht sich keine Sorgen, dass der IT-Riese Google der Kapo alle Spezialisten wegnimmt – obwohl die Firma kürzlich den Sitz in Zürich stark vergrössert hat. Die Anforderungen seien da doch sehr unterschiedlich.

Früher verschafften sich Bankräuber mit Pistole und Sturmmaske Zutritt zur Bank – heute hacken sie sich in Computersysteme und versuchen so, an Geld zu kommen. Das Verbrechen wird digitalisiert. Diese Veränderung macht die Polizei mit. «Heute gibt es fast keine Delikte mehr, die nicht ein modernes Kommunikationsmittel beinhalten», sagt Nussbaumer. Die Fallzahl der digitalen Ermittlungen bei der Kapo Zürich bewege sich im vierstelligen Bereich. Darum wurde die interne Weiterbildung «Polizeiliche Ausbildung für Computer-Ermittlungen» (Pace) gestartet; bis Ende des Jahres sollen 500 Polizisten auf den neuesten Stand gebracht werden.

Und was ist mit der Anzeige von Herrn Müller? Dieser fiktive Fall sei eine häufige Aufgabe für die Internetpolizisten. «Wir empfehlen, nicht auf die Erpressung einzugehen», sagt Nussbaumer. Das Geld fliesse sonst zu den Akteuren, die es in weitere Software investieren – und damit Internetpolizisten das Leben noch schwerer machen. Es ist wie im Doping im Sport: Die Polizei muss ständig auf neue Vorgehensweisen reagieren. In diesem Fall sei es besonders prekär, denn wahrscheinlich werde Herr Müller seine Daten ohnehin nicht wieder bekommen. «Für Firmen ist es deshalb wichtig, ein gutes Back-up zu haben und einen guten Schutz gegen aussen.»

Erstellt: 03.03.2017, 23:25 Uhr

Artikel zum Thema

Neu ermitteln 34 Beamte online

Um die Internetkriminalität zu bekämpfen, bewilligt der Zürcher Regierungsrat 20 zusätzliche Stellen. Um alle Fälle zu bearbeiten, reicht auch das nicht aus. Mehr...

Verbrecher, die niemand verfolgt

Seit Jahren streiten Bund und Kantone, wer sich um digitale Kriminalität kümmern soll. Die Folge: Die meisten Hacker und Internetbetrüger entwischen. Mehr...

Glossar

Beispiele für Cybercrime

Malware: Oberbegriff für Schad­programme.

Trojaner: Ein Programm, das als nützliche Anwendung getarnt wird – in Wahrheit aber im Hintergrund einen anderen, vor dem Nutzer verborgenen Zweck erfüllt. Ein Beispiel: E-Banking-Trojaner, welche die Zugangsdaten zum Bankkonto ausspionieren.

Spyware: «Spähsoftware» – Programme, die unbemerkt Informationen über das Verhalten des Nutzers sammeln.

Ransomware (etwa CryptoLocker): ­«Ransom» heisst übersetzt «Lösegeld». Es handelt sich um Erpressungstrojaner, welche die Daten auf einem Zielrechner verschlüsseln. Der Versender fordert Geld, bevor er dem Nutzer den Zugriff auf die Daten – ­angeblich – wieder ermöglicht.

Phishing: Der Versuch, mithilfe betrü­gerischer E-Mails, Websites oder anderer ­Nachrichten an sensitive Informationen zu gelangen. Oft werden dabei Zugangsdaten, aber auch Kreditkartendetails erbeutet.

DDos-Angriff: Ausgeschrieben «Distributed Denial of Service». Beim Angriff wird ein Rechner oder Internetzugang mit Anfragen überflutet. Das Ziel soll unter der Flut zusammenbrechen und seine Dienste nicht mehr anbieten können. Oft werden auch hier Lösegeldforderungen gestellt. (hwe)

Das Ressort Zürich auf Twitter

Das Zürich-Team der Redaktion versorgt Sie hier mit Nachrichten aus Stadt und Kanton.

Etwas gesehen, etwas geschehen?

Leser-Reporter

Haben Sie etwas Aussergewöhnliches gesehen, fotografiert oder gefilmt? Ist Ihnen etwas bekannt, das die Leserinnen und Leser von Tagesanzeiger.ch/Newsnet wissen sollten? Senden Sie uns Ihr Bild, Ihr Video, Ihre Information per MMS an 4488 (CHF 0.70 pro MMS).
Die Publikation eines exklusiven Leserreporter-Inhalts mit hohem Nachrichtenwert honoriert die Redaktion mit 50 Franken. Mehr...

Paid Post

Mit CallDoc clever und flexibel versichert

Lassen Sie sich rund um die Uhr medizinisch beraten – und sparen Sie dabei! Profitieren Sie vom Prämienrabatt der Grundversicherung. Jetzt Offerte anfordern.

Kommentare

Die Welt in Bildern

Herbstlich gefärbte Weinberge: Winzer arbeiten in Weinstadt, im deutschen Baden-Württemberg. (17. Oktober 2019)
(Bild: Christoph Schmidt/DPA) Mehr...