KAPITEL 1
EIN SCHUFT IST EIN SCHUFT IST EIN SCHUFT

Cybercrime ist die qualitativ beste Fortbildung für Ermittler und Strafverfolger. Die Cybertäter arbeiten gründlicher und konsequenter als alle anderen. Jede Eventualität muss mitgedacht werden. Von Anfang an. Wir lernen dadurch täglich, unsere Cyberresilienz zu stärken, indem wir den Worst Case mitdenken und uns das Schlimmste vorstellen. Der berühmte SolarWinds-Hack hielt uns lange in Atem. Perfide gut geplant und durchgeführt. Cyberkriminelle sind den Ermittlern oft einen Schritt voraus. In der Aufklärung schließen wir die Lücke. Was die modernen Schufte wieder antreibt, noch besser zu werden. Das ist digitaler Fortschritt auf höchstem Level. Wir sollten Cybercrime als Lernkultur begreifen.

Dezember 2020, wenige Tage vor Heiligabend

Das Erste, was ich abends von den Ermittlern erhielt, war ein Link. Er führte zu einer Publikation der Firma FireEye, einem US-amerikanischen Unternehmen, das Software zur Erkennung von Cyberangriffen entwickelt hatte.

»We have detected a global intrusion campaign«, waren die einleitenden Worte des Berichts. Unbekannten Tätern war es gelungen, eine sogenannte »Supply-Chain-Attacke« in einer Software der Firma SolarWinds durchzuführen.

Unternehmen nicht direkt, sondern über ihre digitale Lieferkette anzugreifen, ist ein Mittel, um mit nur einer Infiltration eine große Anzahl Betroffener zu erreichen. Ich hatte zuvor von dieser Art der Cyberattacke gelesen, einen Fall dazu jedoch noch nicht auf dem Tisch gehabt. Ein erschreckend schlichter, fast schon naheliegender Ansatz, um mit relativ wenig Aufwand großen Schaden anzurichten.

Der Arbeitstag war lange vorbei. Ich ließ mich in Sportklamotten auf die Couch fallen und las weiter.

Die unbekannten Täter hatten lange Zeit unerkannt in den sogenannten Build-Prozess einer Software eingegriffen, die Firmen und Behörden weltweit nutzen, um ihre Netzwerkperformance zu überwachen, ihre IP-Adressen zu managen und die firmeneigenen Lagersysteme zu monitoren. Sie bauten eine Art Hintertür in die Software ein, um einen empfohlenen Standardprozess auszunutzen. Entsprechend der Herstellerempfehlung nahmen Tausende Kunden von SolarWinds regelmäßige Updates der Software vor. Dank der eingebauten Hintertür erhielten die Täter mit jedem dieser Updates Zugriff auf die IT-Systeme der Nutzer der Software. Weltweit waren das rund 18 000.

Die Liste der prominenten Opfer des wohl spektakulärsten Hackingangriffs des Jahres 2020 war lang. Erst drehte sich vieles um das IT-Sicherheitsunternehmen FireEye, das über eines der kompromittierten Updates der SolarWinds-Software Orion selbst zum Opfer des Angriffs geworden war. Doch dann wurde publik, dass sich neben weiteren US-Behörden auch das US-amerikanische Finanzministerium und Teile des Pentagons die raffinierte Spionagesoftware eingefangen hatten. Selbst das US-Energieministerium mitsamt seiner untergeordneten National Nuclear Security Administration (NNSA) wurde als betroffen gemeldet. Die NNSA verwaltet das Atomwaffenarsenal der USA.

Kurz nach der Übersendung des Links baten mich die Ermittler um ein Gespräch per Videoschalte. Meine Ankündigung, so auszusehen wie eine, die gerade vom Joggen nach Hause kam, wurde gekontert mit der Bemerkung: »Wir haben uns auch nicht für dich schick gemacht, Jana.« Wenn Weihnachten auf dem Spiel steht, hilft vertrauter Galgenhumor. Zwei ebenso vertraute Gesichter erschienen auf dem Bildschirm, um mit Frau Staatsanwältin zu sprechen.

»Hast du den Bericht von FireEye gelesen?«

»Ja.«

»Gut. Hast du Fragen?«

Gute Cyberermittler preschen nicht vor, sondern achten darauf, dass die Juristin an Bord auch mitkommt auf der digitalen Nachtfahrt. An dieser Stelle hatte ich erst einmal keine Fragen.

»Nein.«

»Gut. Wir müssen davon ausgehen, dass auch jede Menge deutsche Kunden von SolarWinds die verseuchte Software nutzen und sich den Mist über das letzte Update eingefangen haben. Es könnten ein paar Hundert sein. Kann alles dabei sein. Firmen, Behörden, Institute. Orion nutzen echt viele.«

Orion?

So hieß die betroffene Software des Unternehmens SolarWinds, die weltweit von schätzungsweise 18 000 Abnehmern genutzt wurde, darunter Firmen und Institutionen aus der privaten Wirtschaft sowie Behörden. Die Schadsoftware, die die Täter gegen sie einsetzten, stellte sich der Weltöffentlichkeit mit dem Namen »Sunburst« vor.

Krieg der Sterne. Kosmisch digital.

»Wir wissen von konkreten deutschen Betroffenen. Aber wovon wir ausgehen müssen: Die meisten Firmen werden von ihrem Glück noch gar nichts wissen.«

Das Management von FireEye, das die eigene Betroffenheit zum Anlass nahm, die Welt über den SolarWinds-Hack zu informieren, hatte sich nicht nur dazu bekannt, selbst Opfer des Angriffs geworden zu sein. Die Unternehmensspitze hatte auch sinngemäß in Videostatements erklärt, dass sie den Angriff nur deswegen erkannt hätten, weil sie selbst in der Detektion von Cyberangriffen hoch spezialisiert waren.

Es war ein Cyberangriff, den man als Betroffener nur mitbekam, wenn man selbst zu den Experten gehörte. Denn der blinde Passagier mit dem Namen »Sunburst« gab sich erst einmal nicht zu erkennen.

Ich scrollte den Artikel hinunter und beantwortete die ersten Fragen, die sich in einer solchen Situation immer wieder stellen: Sachverhalt verstanden. Zuständigkeit geklärt. Zusage für die Einleitung eines staatsanwaltlichen Ermittlungsverfahrens erteilt.

»Braucht ihr aktuell etwas von mir?«

Kopfschütteln auf dem Bildschirm.

»Wie es aussieht, heute nicht, aber wir müssen schauen, wie wir an die Geschädigten herankommen. Wenn wir die Betroffenheit in Deutschland geklärt haben, dürfte ein bisschen was auf dich zukommen, denn von denen allen brauchen wir Daten.«

Cybercrime-Fälle beginnen ganz unterschiedlich, aber bei allen erklingt ein äquivalenter Startschuss: die Suche nach Daten. Denn mit Erklärungen, menschlichen Erinnerungen und Papier können wir nicht allzu viel anfangen.

Die Strafprozessordnung sieht in § 94 vor, dass »Gegenstände, die als Beweismittel für die Untersuchung von Bedeutung sein können, in Verwahrung zu nehmen oder in anderer Weise sicherzustellen sind«. Und dazu gehören auch Daten. Nicht nur Tatmesser, Steuerunterlagen und Videoaufzeichnungen von Tankstellen.

Aber nur, weil die Durchsuchung von Firmenräumen richterlich angeordnet wurde, heißt das noch lange nicht, dass wir finden, wonach wir suchen.

Am Empfangstresen einer Firma mit einem Durchsuchungsbeschluss zu stehen, kann ein Triumphzug, aber auch der Beginn einer langen und unangenehmen, schlimmstenfalls erfolglosen Suche sein. Denn Daten werden nicht sortiert wie Aktenordner. Ein Durchsuchungsbeschluss ist nur ein stumpfes Schwert, wenn wir an der falschen Stelle selbst suchen müssen. Recht haben und Recht bekommen sind auch für uns Strafverfolger zwei unterschiedliche Paar Schuhe.

Wo genau welche Unternehmensdaten gespeichert sind, wissen in Unternehmen nur sehr wenige. Und genau diese Personen sind solche, mit denen wir am liebsten sofort sprechen. Wenn möglich, auch ohne Durchsuchungsbeschluss, sondern mit einem Besteck, das unser Gegenüber in die Lage versetzt, uns zu geben, was wir brauchen, ohne dass Dienstausweise gezückt werden müssten. Es ist die staatsanwaltliche Herausgabeanordnung nach § 95 der Strafprozessordnung: »Wer einen Gegenstand der vorbezeichneten Art in seinem Gewahrsam hat, ist verpflichtet, ihn auf Erfordern vorzulegen und auszuliefern.«

Wer diese Aufforderung von der Staatsanwaltschaft erhält, muss keine wartenden Polizeibeamten betreuen, sondern kann uns die Daten selbst heraussuchen und übermitteln. Und die deutschen Betroffenen der SolarWinds-Attacke wurden immer mehr.

Das Klischee, dass Polizeieinsätze kurz vor dem Wochenende starten oder sich Hackingangriffe zu Beginn der Ferien häufen, mag ein persönlicher Eindruck überarbeiteter Ermittlerinnen und Ermittler sein. Eine sachliche Erklärung dafür besteht gleichwohl. Kurz vor den freien Tagen erlahmen Prozesse, sind Entscheider nicht mehr so gut erreichbar wie an einem Dienstagmorgen im November. Solche Schwächen nehmen Täter gerne mit.

»Das war es dann erst mal, Jana. Wir schicken dir die Anregung zur Verfahrenseinleitung spätestens morgen zu und hoffen, dass wir alle Weihnachten feiern können.«

Ich winkte zwei vertrauten Gesichtern zu. Sie winkten zurück. Der Bildschirm verdunkelte sich.

Der Angriff auf die Orion-Software von SolarWinds funktionierte, weil Unternehmen genau das taten, was ihnen empfohlen worden war: regelmäßige Updates der erworbenen Software vorzunehmen. Unbeschadet von der Attacke blieben alle SolarWinds-Kunden, die das entweder vergessen oder für nicht so wichtig befunden hatten.

Dabei lautet die gebetsmühlenartige Empfehlung an alle Internetnutzer dieser Welt: Updates zur Sicherheit des eigenen Systems vornehmen. Rechtzeitig und regelmäßig.

Dieses Mantra hatten die Sunburst-Täter in zynischer Weise persifliert und gezeigt, dass kein Verhalten einen hundertprozentigen Schutz vor einem Hackingangriff etablieren kann.

Im Zuge von Cyberermittlungen bei einem Unternehmen, dessen Gebäudeleitsystem nach einem Hackingangriff nicht mehr funktionierte, durften wir in einem anderen Fall einmal erleben, dass größerer Schaden nur durch den Umstand verhindert werden konnte, dass die betroffene Institution ein so altes Computersystem betrieb, dass die Schadsoftware sich nicht zurechtfand und kein wirkliches...