Wie wehrt man sich gegen hochprofessionelle Cyberkriminelle? Ein Gespräch mit Fred-Mario Silberbach, Leitender Kriminaldirektor beim BKA
Unternehmen aller Branchen sehen sich heute mit einer kriminellen Industrie konfrontiert, die hochvernetzt, arbeitsteilig und international operiert. Gleichzeitig bleibt ein Großteil der Angriffe im Verborgenen, da viele Vorfälle nicht gemeldet werden. Dabei hätte dies erhebliche Vorteile – und die Furcht vor Nachteilen ist in aller Regel unbegründet. GIT SICHERHEIT sprach darüber mit Fred-Mario Silberbach, Leitender Kriminaldirektor beim Bundeskriminalamt, BKA.

GIT SICHERHEIT: Herr Silberbach, Sie haben kürzlich einen ziemlich beeindruckenden Vortrag beim BSKI, dem Bundesverband für den Schutz Kritischer Infrastrukturen, gehalten. Ich habe mitgenommen, dass die Bekämpfung der Cyber-Kriminalität zwar ständige und erhebliche Anstrengung erfordert – diese aber letztlich durchaus erfolgreich ist. Bevor wir tiefer einsteigen – wie besorgt bzw. wie zuversichtlich sind Sie, was das Thema betrifft?
Fred-Mario Silberbach: Die Lage ist ernst, aber nicht aussichtslos. Richtig ist, dass Cybersicherheit eine wichtige Gemeinschaftsaufgabe ist, zu der wir alle in unserem eigenen Interesse dauerhaft beitragen sollten. Dazu gehört für mich auch, dass wir die Wehrhaftigkeit unseres Rechtsstaates und unserer Gesellschaft angesichts der steigenden Bedrohungen weiter stärken müssen und uns nicht auf Erfolgen ausruhen dürfen.
Schauen wir mal auf die Zahlen: Die Charts sehen ja auf den ersten Blick aus, wie man es sich eher bei Börsenkursen wünscht – nur dass wir 2024 eben von einem Gesamtschaden von 266,6 Milliarden Euro sprechen. Wie setzen sich die Schäden im Wesentlichen zusammen?
Fred-Mario Silberbach: Diese Zahl ist das Ergebnis einer jährlich durchgeführten Studie des Digitalverbands Bitkom – und stellt einen neuen Rekordwert dar. Die zugrundeliegende Erhebung ist ein guter Indikator für die aktuelle Gefährdungslage. Für uns besonders relevant sind die Schäden durch Cyberattacken, die im vergangenen Jahr auf 178,6 Milliarden Euro angestiegen sind. Das entspricht einem Plus von 30,4 Milliarden Euro im Vergleich zu 2023 und zeigt: Cybercrime ist und bleibt eine große Bedrohung. Auch durch die zunehmende Professionalisierung der cyberkriminellen Akteure, die zur Entwicklung einer regelrechten kriminellen Industrie geführt hat.
Wirtschaftsunternehmen werden heute offenbar erheblich stärker attackiert, als noch 2017. Und – das zeigt der Vergleich der Zahlen zwischen „betroffen“ und „vermutlich betroffen“, wenn ich das richtig verstehe. Wie steht es um die Anzeigequote?
Fred-Mario Silberbach: Die Anzeigenquote ist leider sehr gering. Verschiedene Studien kommen zu dem Ergebnis, dass etwa neun von zehn Cyberdelikten nicht angezeigt werden. Wir müssen also von einem großen Dunkelfeld von rund 90 Prozent ausgehen. So vielschichtig die Ursachen dafür sein mögen – wichtig ist vor allem, dass Cyberangriffe stets auch der Polizei angezeigt werden. Das geschieht leider nicht automatisch und wir können nur Straftaten verfolgen, die uns auch bekannt geworden sind. Damit die Polizeibehörden für Unternehmen und Organisationen in Fällen von Cybercrime auch besser und schneller erreicht werden können, haben alle Landeskriminalämter und auch wir im BKA je eine Zentrale Ansprechstelle Cybercrime eingerichtet. Die Kontaktdaten und weitere Informationen zu den Aufgaben und Angeboten der Zentralen Ansprechstellen Cybercrime finden sich unter www.polizei.de.
Die Aufklärungsquote ist gar nicht übel – sie liegt bei Cybercrime immerhin bei fast einem Drittel. Wird das von den Betroffenen nach Ihrer Wahrnehmung unterschätzt? Und was setzen Sie dem entgegen?
Fred-Mario Silberbach: Unserer Erfahrung nach bestehen bei den Unternehmen oftmals immer noch Vorbehalte, Cybercrime-Delikte zur Anzeige zu bringen. Da spielt zum einen die Angst vor einem Reputationsverlust eine große Rolle, zum anderen jedoch auch die Befürchtung, dass wir dann die Unternehmens-IT weitgehend beschlagnahmen. Beide Sorgen sind jedoch unbegründet: Zur Anzeige gebrachte Straftaten behandeln wir selbstverständlich vertraulich. Und wir wissen, wie wichtig die Wiederherstellung der Arbeitsfähigkeit für die Unternehmen ist. In der Regel genügt es, uns bestimmte Daten zukommen zu lassen.
Hier spielt der Zeitfaktor eine wichtige Rolle – wenn wir schnell hinzugezogen werden und relevante Spuren sichern können, haben wir häufig konkrete Ermittlungsansätze. Wenn wir von einem Fall hingegen gar nichts erfahren, können wir auch keine Ermittlungen beginnen. Zudem zeigt unsere Erfahrung: Unternehmen, die bereits bei laufenden Ransomware-Angriffen die Polizei einschalten, zahlen in der Regel weniger Lösegeld. Darüber hinaus ist die Aufklärungsquote angesichts des großen Dunkelfeldes im Bereich Cybercrime sicher zu relativieren.
Nun liegt die Aufklärungsquote bei der PKS (also einem gewichtigen Teil der der Polizei bekannt gewordenen rechtwidrigen Straftaten bzw. Versuchen) aber deutlich höher, nämlich bei 58% (2024). Das dürfte hauptsächlich daran liegen, dass die Untergrundwirtschaft der Cyber-Kriminellen zunehmend professionalisiert und die Angriffe komplexer werden?
Fred-Mario Silberbach: Richtig ist, dass sich die Underground Economy erheblich professionalisiert hat. Das fußt auf mehreren Ebenen und relevanten Entwicklungen: Erstens dem allgemeinen Megatrend der Digitalisierung. Zweitens hat die Covid-Pandemie durch die plötzliche Remote-Anbindung zahlreicher Arbeitsplätze für einen rasanten Aufwuchs an Tatgelegenheiten gesorgt und so die Entwicklungen beschleunigt. Drittens haben sich geopolitische Konflikte auf den digitalen Raum ausgeweitet. Viertens profitieren auch Kriminelle von den neuen Möglichkeiten rund um das Thema Künstliche Intelligenz. Das macht die Lage und den Ausblick sehr ernst. Wir haben es heute mit einer hochprofessionellen, vernetzten kriminellen Industrie zu tun. Das stereotype Bild eines einzelnen Hackers im Hoodie ist eine romantisierte Darstellung.
Von den bekannten Akteuren haben Sie beispielsweis NoName, Sandworm und Anonymous genannt. Das sind politisch motivierte Hacker?
Fred-Mario Silberbach: Politisch motivierte cyberkriminelle Akteure verfolgen sehr unterschiedliche Ziele und sind unterschiedlich straff organisiert. Anonymous dürfte von den genannten Gruppierungen wohl die mit dem geringsten Organisationsgrad sein. Auch die bevorzugten modi operandi unterscheiden sich. Aber eine politische Motivation hinter den Kampagnen kann wohl als kleinster gemeinsamer Nenner unterstellt werden. Insgesamt beobachten wir eine Zunahme von Cyber-Angriffen mit politischem Hintergrund, insbesondere seit dem Beginn des russischen Angriffskrieges auf die Ukraine 2022 und dem Überfall der Hamas auf Israel. Die Täterschaft der hacktivistischen Szene lässt sich daher primär in zwei Lager einordnen: pro-russisch oder anti-israelisch.
Davon sind die einfach wirtschaftlich interessierten Hacker – sprich Erpresser – abzugrenzen?
Fred-Mario Silberbach: Die Grenzen zwischen finanziell orientierten und politisch motivierten Akteuren verschwimmen zusehends. Klassischerweise sind Cyberkriminelle finanziell orientiert, sie setzen beispielsweise Ransomware ein, um Unternehmen bzw. Institutionen zu erpressen und Lösegelder zur eigenen wirtschaftlichen Bereicherung zu erlangen. Da sich die Underground Economy aber sehr spezialisiert hat und cyberkriminelle Dienstleistungen auf Darknet-Marktplätzen zum Verkauf angeboten werden, kann ein Anbieter rein finanziell motiviert sein, während sein Auftraggeber von politischen Motiven geleitet wird.
Zur Vorgehensweise dieser Cyberkriminellen: Es gibt eine richtige konzertierte Arbeitsteilung in verschiedenen Phasen des Angriffs – und das spiegelt sich in komplexen Organigrammen dieser Gruppierungen. Wie gut sind Ihre Einblicke in diese Strukturen?
Fred-Mario Silberbach: Wir beobachten in Teilen ein sehr strukturiertes und professionelles Vorgehen bis hin zu konzernartigen Organigrammen und Zuständigkeiten, das ist richtig. Öffentlich wurde das beispielsweise im Rahmen der sogenannten Conti-Leaks, aber auch abseits davon denkt man in Franchise-Systemen und wirbt um sogenannte Affiliates. Manche Dienstleistungen werden eingekauft, andere inhouse gefertigt – eben ganz wie in der Industrie.
Sie haben in den letzten Jahren sehr beachtliche Ermittlungserfolge gehabt. Sie zitieren sogar aus einem Untergrundforum, aus dem hervorgeht, dass das BKA als erfolgreiche Behörde wahrgenommen wird. Könnten Sie das eine oder andere Beispiel beschreiben, das Sie besonders wichtig finden?
Fred-Mario Silberbach: Zunächst ist eines besonders wichtig: Cybercrime ist eigentlich immer international. In keinem anderen Phänomenbereich werden Staats- und Zuständigkeitsgrenzen schneller überquert. Täter, Opfer und die sie verbindenden Infrastrukturen befinden sich häufig in anderen Ländern oder sind sogar über Kontinente verteilt. Das bedeutet vor allem: Eine gut funktionierende nationale und vor allem internationale Zusammenarbeit sind notwendige Voraussetzungen, um erfolgreich gegen die Cybercrime vorgehen zu können. Hier haben wir in den vergangenen Jahren mit unseren nationalen und internationalen Partnern viel gelernt und sehr viel vorangetrieben.
Das spiegelt sich in der Schlagzahl unserer – eigentlich immer internationalen – Ermittlungserfolge wider. Hatten wir anfangs etwa einen großen Takedown im Jahr, sind es inzwischen schon zahlreiche. Dabei ist unsere „Operation Endgame“ sicherlich besonders interessant, weil sie auf Dauer angelegt ist und darauf abzielt, die sogenannte Kill Chain frühzeitig zu unterbrechen. Im vergangenen Jahr haben wir erstmals sechs Dropper-Familien gleichzeitig mit unseren polizeilichen Maßnahmen adressiert und die Underground Economy damit um die wichtigsten Türöffner zu den Opfern gebracht. Das hat Wirkung gezeigt – und wir haben mehrmals nachgelegt, zuletzt in diesem Jahr.
Lassen Sie uns – soweit erlaubt – einen tieferen Blick in Ihren strategischen Werkzeugkasten beim BKA werfen. Können Sie einmal überschlägig darstellen, wie Sie beim BKA vorgehen?
Fred-Mario Silberbach: Unsere Strategie ist mehrdimensional. Zum einen verfolgen wir die Straftäter selbst, versuchen also die Akteure persönlich zu identifizieren, zu lokalisieren und zu verhaften. Weil sich jedoch Straftäter auch in Ländern aufhalten, deren Strafverfolgungsbehörden nicht oder nur unzureichend mit uns kooperieren, zielen wir auch darauf ab, die technischen Infrastrukturen zu beschlagnahmen bzw. deren weitere Nutzung zu unterbinden und damit unbrauchbar zu machen. Als Drittes verfolgen wir die kriminell erlangten Finanzmittel – häufig sind das Kryptowährungen – um den Tätern die Gelder für weitere Taten zu nehmen. Und viertens betreiben wir eine disruptive Kommunikation. Das bedeutet, dass wir der Underground Economy Hinweise geben, dass wir bereits vieles über die verschiedenen Akteure und ihr Umfeld herausgefunden haben. Das ergänzt unsere klassische Fahndungsmaßnahmen und führt zu Misstrauen in der Szene. Dieses Vorgehen schädigt die oftmals über Jahre mühsam aufgebaute und erfolgskritische Reputation der Cyberkriminellen.
Wie sehen Sie eigentlich den Status quo, was die Vorbereitung und Prävention gegen Cyberkriminalität seitens deutscher Unternehmen betrifft?
Fred-Mario Silberbach: Der Ernst der Lage unterstreicht: Cybersicherheit können wir nur gemeinsam herstellen. Wir beobachten da einige Bewegung, aber gerade bei kleinen und mittleren Unternehmen fehlt noch immer zu häufig die unternehmerische Aufmerksamkeit für die Risiken. Für uns ist klar: Eine Vogel-Strauß-Taktik auf Seite der potentiellen Opfer erhöht das Risiko schwerwiegender Cyberangriffe erheblich. Jedes Unternehmen hat sensible Daten und eine Reputation zu verlieren – daher ist jede Branche und jede Unternehmensgröße gefährdet. Zeitgemäße, professionelle Cybersicherheitsmaßnahmen sind heute unerlässlich.
Wir haben schon darüber gesprochen, dass Sie mit guten Gründen die Zusammenarbeit mit dem BKA bzw. den ZAC, den Zentralen Ansprechstellen Cybercrime empfehlen. Wie soll sich ein Unternehmen im Falle des Falles idealerweise verhalten?
Fred-Mario Silberbach: Es ist wichtig sich bewusst zu machen, dass wir alle Ziel von Cyberattacken werden können. Idealerweise sichert sich jedes Unternehmen so gut ab, dass kriminelle Akteure keine Sicherheitslücken ausnutzen können. Für den Fall von dennoch erfolgreichen Cyberangriffen sollte das Unternehmen einen Krisen- bzw. Notfallplan haben, den es Schritt für Schritt abarbeitet anstatt in Chaos zu verfallen und wichtige Maßnahmen dann zu übersehen. Darin steht dann zum Beispiel auch, dass zügig die Polizei hinzuzuziehen ist und wo die Backups liegen, um die Arbeitsfähigkeit schnellstmöglich wiederherzustellen.
Leider ist es aber nicht immer so einfach: Denn häufig befinden sich die Angreifer lange unbemerkt im System, kundschaften Informationen aus und exfiltrieren sensible Daten – ein Argument mehr für eine ordentliche Absicherung jedes Unternehmens im eigenen Interesse. Wichtig ist, sich intensiv zu informieren – z. B. über die „Handlungsempfehlungen für die Wirtschaft“ in Fällen von Cybercrime (www.bka.de/cybercrime) oder auch über eine Kontaktaufnahme mit der ZAC des jeweiligen Bundeslandes oder auch des BKA, um seine Ansprechpartner bei der jeweiligen ZAC-Dienststelle kennenzulernen. Vor allem rege ich an, sich bereits im Vorfeld möglicher Cyberangriffe mit den Experten der Polizei über die in einem Ernstfall wichtigen und notwendigen Maßnahmen auszutauschen.“
Hier finden Betroffene von Cyberangriffen Handlungsanleitungen und Ansprechpartner:
„Handlungsempfehlungen für die Wirtschaft“ in Fällen von Cybercrime
HandlungsempfehlungenZentrale Ansprechstellen Cybercrime der Polizeien für Wirtschaftsunternehmen (ZAC)
Ansprechstellen