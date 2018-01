2018-01-09 20:02:00.0

Cyberkriminalität Diese Dillinger Polizisten jagen Verbrecher im Netz

Darknet und DDos-Attacken: Stefan Hungbaurs Abteilung für Cyberkriminalität in Dillingen gibt es erst seit März 2017. Dort arbeiten Polizisten mit Informatikstudium. Von Jakob Stadler

Stefan Hungbaur, Leiter des Kommissariats für Cyberkriminalität in Dillingen, sagt: „Man verbindet es immer mit Straftaten.“ Er spricht über das Darknet, den Bereich des Internets, der für viele ein Mysterium ist. Vor allem, wenn es um Waffen, Drogen, Kinderpornografie geht, macht das „dunkle Netz“ Schlagzeilen. Aber: „Ein Großteil des Internets findet im Darknet statt“, sagt der Polizist. Bei Weitem nicht nur Kriminelles. In Ländern, die das Internet überwachen, stehe es für Freiheit, sei eine Möglichkeit für Journalisten, ohne Zensur zu arbeiten. Hungbaur ist es wichtig, auch den anderen Blickwinkel zu haben. Die Vorratsdatenspeicherung etwa würde seine Ermittlungen deutlich erleichtern – die Bedenken von Datenschützern kann er dennoch verstehen.

Vernetzt mit Cybercrime-Kollegen in ganz Europa

Es klopft. Zwei Kollegen aus Donauwörth kommen in den Raum, sie wollen mit Hungbaur sprechen. Es geht um einen „Fake-Shop“, erzählen sie, ein aktueller Fall im Nachbarlandkreis. Ein „Fake Shop“ ist eine Internetseite, die aussieht wie ein Onlineshop. „Das Einzige was funktioniert, ist die Bezahlung“, erklärt Hungbaur. – die Waren erhält der Kunde nie. So eine Internetseite fliegt zwar schnell auf, doch das Geld ist dann oft schon im Ausland. Hungbaur vereinbart einen Termin, die Kollegen gehen wieder.

Solche Besprechung gibt es immer wieder, die Polizisten überlegen sich gemeinsam, wie sie vorgehen. Nicht nur mit Kollegen in der Region arbeitet Hungbaur zusammen. Wenn er etwa mehr über einen Virus erfahren will, hilft ein Programm von Europol. Dort loggt er sich ein, um etwa einen Virus in eine Datenbank zu laden. Wenn ein Kollege in Portugal schon einmal das gleiche Problem hatte, findet Hungbaur einen Treffer.

Cybercrime-Polizisten müssen den Wandel der Gesellschaft mitmachen

„Ich sage immer, es ist ein Kreativjob“, sagt Hungbaur. Denn das Vorgehen der Täter ändert sich ständig – Cybercrime-Polizisten müssen aufpassen, dass sie da hinterherkommen und flexibel sein, sagt Hungbaur. „Man muss sich ständig auf dem Laufenden halten. Und den Wandel der Gesellschaft mitmachen.“

Der 52-Jährige ist seit 33 Jahren bei der Polizei. Nach Jahren auf Streife wurde er 2009 Sachbearbeiter für Vermögens- und Eigentumsdelikte. Als eine Betrugsserie über T-Online bei seiner Inspektion einging, gab es noch kein Cybercrime-Kommissariat – deshalb landet der Fall bei ihm. Seit März 2017 gibt es das neue Kommissariat, das er aktuell leitet. Seitdem ist bei komplizierteren Straftaten im Netz klar, dass Hungbauer und seine Kollegen gefordert sind.

Wenn er über seine Arbeit spricht, merkt man, dass Hungbaur in der digitalen Welt zu Hause ist. Er spricht von „Hashwerten“, die man von einem Virus bilden kann, vom „Bitcoin-Mining,“ das zwar nicht illegal ist, für das aber in jüngerer Vergangenheit auch „Bot-Netze“ eingesetzt würden – das sind Netzwerke aus gekaperten Computern und mit dem Internet verbundenen Geräten. Dass er sich in diesem Bereich derart auskennt, kommt „zu großen Teilen durch privates Interesse“. Mit einfachen Programmiersprachen hat er in der Schulzeit begonnen.

DDos und Fake Shops: Die Delikte sind vielfältig

Neben Polizisten wie ihm, die den klassischen Einstieg hinter sich haben, arbeiten im Kommissariat 11 auch Computer- und Internetkriminalisten, die einen anderen Weg gegangen sind. Sie haben ein Informatikstudium abgeschlossen, erst danach eine einjährige Polizeiausbildung absolviert. Hier kommt die Spezialisierung also vor dem Grundsätzlichen. „Das ist ein massiver Gewinn“, sagt Hungbaur. Durch ihre Schulungen seien auch er und die anderen Mitarbeiter auf einem guten Level, doch die Informatik-Polizisten könnten eine andere Sichtweise einbringen.

Die Delikte, die im „K11“ einlaufen, sind vielseitig. Etwa wenn ein Krimineller das Passwort eines Nutzers herausfindet oder dessen Account hackt. Dann bestellt er darüber ein Paket an eine fremde Adresse, zahlt mit gestohlenen Kreditkartendaten. Am Tag der Lieferung – oft lässt sich der Zeitraum dafür sehr genau eingrenzen – wartet er dann vor dem Haus und tut so, als würde er herauskommen. „Ja, ich bin Herr Maier, haben Sie mein Paket?“ Die Polizisten versuchen dann, herauszufinden, wer hinter der Tat steckt. Die IP-Adresse, die einzigartige Nummer, die ein Gerät hinterlässt, wenn es online ist, lässt sich nicht so leicht fälschen. Doch ohne Vorratsdatenspeicherung endet die Spur häufig hier. Wer mit dieser Nummer unterwegs war, ist später nicht mehr nachvollziehbar.

Ein typischer Fall aus der jüngeren Vergangenheit war es, als sich ein Unternehmen an die Polizei wandte, nachdem sein Computersystem angegriffen wurde. Es handelte sich um eine „DDos-Attacke“, bei der so viele Anfragen eingehen, dass das System lahmgelegt wird. Der Schaden für die Firma, deren Mitarbeiter in dieser Zeit nicht arbeiten konnten, ging in die Zehntausenden. Die Polizisten sicherten die Daten der Server, sichteten diese und werteten sie aus. Gleichzeitig befragten sie die Angestellten. Es stellte sich heraus, dass ein ehemaliger Mitarbeiter, mit dem es Streit gab, hinter dem Angriff steckte – was die Daten auch belegten.

Auch im Digitalen dürfen Spuren nicht verunreinigt werden

Um in den Daten lesen zu können, braucht es Spezialisten. Zwei dieser Experten sitzen in einem Raum, der an ein Paradies für Gamer erinnert. Dort stehen acht Computer, in zwei Halbkreisen angeordnet – für zwei Mitarbeiter. Das sieht erst einmal verschwenderisch aus, hat aber einen Hintergrund: Bestimmte Daten müssen strikt getrennt werden. Zudem dürfen einige Inhalte nicht auf Rechnern gespeichert werden, die mit dem Internet verbunden sind.

Auf den Schreibtischen sind zudem mehrere Laptops verteilt. Sie sind mit Zetteln markiert und unten geöffnet. „Wir zerlegen die komplett, bauen die Festplatten aus und imagen sie“, sagt Bernd Fuhrmann, ein Polizist im Kapuzenpulli. Imagen? Sein Kollege Klaus Granzer ergänzt: „Ein Image ist eine Eins-zu-Eins-Kopie.“ Wie bei der Spurensicherung ist es wichtig, die Spuren nicht zu verunreinigen – die Beamten analysieren deshalb die Kopie. Bis ein Rechner auf dem Tisch der Polizisten landet, muss aber schon einiges passiert sein.

Mit ihren Analyseprogrammen machen sie sich dann über die Kopie der Daten her. Mit der Aktenlage sind sie nicht vertraut. Spurensicherung und Ermittler arbeiten getrennt, um nicht den Eindruck zu erwecken, dass ein Ermittlungsansatz die Auswertung beeinflusst. Der Ermittler bittet etwa darum, alle Videodateien der Festplatte zu erhalten. Die Polizisten finden auch Dateien, die bereits gelöscht wurden. Verschlüsselte Daten können entweder die Dillinger selbst entschlüsseln oder sie holen Hilfe vom Landeskriminalamt.