Selbst Staatsanwälte machen während Corona Homeoffice. Dort erreichen wir Stephan Walder, Leiter des Cybercrime-Kompetenzzentrums des Kantons Zürich, per Video-Chat.
Herr Walder, Ihre Kollegen aus den anderen Staatsanwaltschaften stehen in manchen Nächten an Tatorten neben Leichen. Was ist das Pendant dazu als Cyber-Staatsanwalt?
Stephan Walder: Bildlich gesprochen lösen wir im Bereich Cybercrime grosse Puzzles. Den Rand haben Sie da jeweils relativ schnell beieinander, doch dann müssen Sie mit grösserem Aufwand die entscheidenden Teile finden, um das Puzzle fertigzustellen. Meistens hat der Täter irgendwo einen Fehler gemacht. Wenn wir diesen finden, kommen wir zum Erfolg.
Erzählen Sie von so einem Puzzle.
In einem Fall beobachteten wir, also die Polizei und die Staatsanwaltschaft, lange einen Drogenhändler im Darknet, dem versteckten Teil des Internets. Er hatte seine Aktivitäten diversifiziert und begonnen, auch noch gefälschte Dokumente zu verkaufen. Auf seinem Darknet-Profil hat er das Foto eines gefälschten amtlichen Stempels publiziert. Wir versuchten herauszufinden, woher er dieses Foto hatte.
Was würde Ihnen das bringen?
Wenn er das Foto selber gemacht hat, finden sich in dem Bild versteckte Informationen, sogenannte Metadaten. Etwa welche Kamera benutzt wurde. Der Täter hatte es aber heruntergeladen und wir fanden heraus, von wo. Und da war er nachlässig. Er lud das Bild nicht wie üblich über eine anonyme Internetverbindung oder einen verschlüsselten Browser herunter, sondern von einem ganz normalen Internetanschluss aus.
Dann hatten Sie ihn also.
Noch nicht. Denn er hatte das WLAN eines Nachbarhauses mit 25 Wohnungen benutzt. Er selbst sass im Haus vis-a-vis. In dem Netzwerk war er gut getarnt. Sein Router war eine Multimedia-Box. Wir mussten die von ihm benutzte EDV-Anlage zuerst aus den rund 50 anderen Geräten rausfiltern, die das WLAN ebenfalls benutzten. Das war ein erfolgsbringender Ansatz, der zeigt, wie dieses Puzzlespiel funktioniert. Man braucht dafür ein gutes Team und ein Quäntchen Glück, oder wie ich es wegen unseres grossen Aufwands nenne: Das Glück der Tüchtigen.
Wie ging der Fall aus?
Wir überwachten den Täter und warteten auf eine Drogenlieferung. Bei der Verhaftung wurden dann etwa drei Kilogramm Kokain sichergestellt.
Ihre Arbeit wird immer schwieriger, da die Täter mehr verschlüsselt kommunizieren. Populäre Apps wie Threema oder Telegram können Sie nicht mitlesen.
Ja, was für den Schutz der Privatsphäre sinnvoll ist, ist bei der Verbrechungsbekämpfung manchmal hinderlich. Wir müssen deshalb innerhalb des gesetzlichen Rahmens kreativ sein. Zum Beispiel haben wir schon Keylogger eingesetzt, also Programme, die heimlich aufzeichnen, was jemand tippt. Oder ein anderes Mal eine Art «Hackback».
«Hackback» steht dafür, dass Sicherheitsbehörden als Gegenschlag selbst einen Täter hacken. Was haben Sie getan?
Genauer gesagt war es ein «Backspam». In diesem Fall aus dem Jahr 2014 hat ein Angreifer ein Zürcher Unternehmen so stark mit Spam beschossen, dass dessen Netzwerk nicht mehr funktionierte und die Firma nicht mehr arbeiten konnte. Er forderte Lösegeld, dann höre er auf. Wir konnten zurückverfolgen, von wo aus die Angriffe kamen, und entschieden uns, mit denselben Mitteln seinen mutmasslich im Ausland liegenden Server lahmzulegen.
Hat das funktioniert?
Ja. Die Angriffe haben aufgehört. Wir haben dann später noch eine Nachricht von ihm bekommen, dass er schon wisse, dass wir das gewesen seien. Er war sehr sauer und drohte mit einem noch krasseren Angriff.
Der Kanton Zürich hat also jemanden im Ausland gehackt.
Die Zürcher Staatsanwaltschaft hat in enger Zusammenarbeit mit der Kantonspolizei Zürich und in Absprache mit dem betroffenen Unternehmen ihre rechtlichen Möglichkeiten zur Verbrechensbekämpfung genutzt. Der Anknüpfungspunkt war nicht der unbekannte Ort des Servers des Täters, sondern der Sitz des betroffenen Unternehmens in Zürich. Wir stellten uns auf den rechtlich kreativen, aber durchaus vertretbaren Standpunkt, dass dies Notwehrhilfe war. Es war das einzige Mittel, womit wir die andauernden Angriffe abwehren konnten. Das Unternehmen erlitt einen Schaden und wir setzten dasselbe Mittel wie der Täter ein.
Es ist das erste Mal, dass in der Schweiz ein Staatsanwalt einen solchen Gegenangriff offenlegt. Haben Sie das im Alleingang entschieden oder holten Sie die Genehmigung eines Gerichts?
So spektakulär ist das nicht, solche Überlegungen gehören zum Kerngeschäft. Ich habe das ad hoc entschieden. Ein solcher Entscheid liegt in der Kompetenz der Staatsanwaltschaft. Dafür war keine Genehmigung eines Gerichts erforderlich. Ich trug dann auch die Verantwortung dafür.
Wie lange konnten Sie sich das überlegen?
Etwa eine halbe Stunde.
Kurz, für so eine delikate Entscheidung.
Ja, das ist so. Wir tauschen uns im Team regelmässig über solche Fragen aus.
Es gibt in der Schweiz acht kantonale Cyber-Staatsanwaltschaften, Tendenz steigend. Wäre es nicht sinnvoller, ein grosses Cybercrime-Zentrum einzurichten für die ganze Schweiz?
Die Strafverfolgung ist in der Schweiz kantonal organisiert. Effektiv wäre ein nationales Zentrum vielleicht – andere Staaten, die anders aufgebaut sind, haben das. Bis wir aber die föderalen Strukturen umgebaut hätten, ginge das viel zu lange. Für solche strategischen Entscheide ist die Politik zuständig. Wir im Kompetenzzentrum Cybercrime konzentrieren unsere Energie darauf, unter den bestehenden Rahmenbedingungen den operativen Herausforderungen des Tagesgeschäfts angemessen zu begegnen.
Wie könnte man diese Herausforderungen leichter machen?
Entscheidend wäre beispielsweise, dass wir bei grossen Social-Media-Firmen wie Facebook Daten zur Identifikation der Täterschaft nicht mehr am Hauptsitz im Ausland anfragen müssten, sondern dies bei der Niederlassung in der Schweiz tun könnten.
Wie ist die Situation aktuell?
Wir müssen jedes Mal ein Rechtshilfeersuchen stellen. Google hat zwar eine Niederlassung hier in Zürich, aber wir müssen rechtshilfeweise am Hauptsitz in Kalifornien anfragen. Wenn das Ersuchen in sechs Monaten beantwortet wird, ist das schnell. Und wir bekommen die zur Klärung der Fälle notwendigen Angaben nicht immer. Dies führt leider zu vielen Verfahrenseinstellungen.
Passiert in diese Richtung etwas?
Ja, aber nicht mit der Geschwindigkeit, die ich mir als ungeduldiger Strafverfolger wünschen würde.
In wie viel Prozent der Fälle findet Ihre Abteilung eigentlich den Täter?
Im langjährigen Schnitt klagen wir in vier von zehn Fällen an oder erlassen einen Strafbefehl.
Wenn man die Dunkelziffer miteinrechnet, können Sie also nur einen ganz kleinen Teil der Straftaten aufklären. Heisst das, wir müssen schlicht damit leben, dass ein Grossteil der Straftaten im Internet einfach ungestraft bleibt?
Das ist heute leider so. Zwar ist das Internet kein rechtsfreier Raum, die Strafverfolgung ist aufgrund der Internationalität und der Anonymisierungsmöglichkeiten aber viel schwieriger. Es wäre naiv und illusorisch, sich das Ziel zu setzen, alle Straftaten im Internet aufzudecken. Unser Ziel ist es, Angriffsobjekte in der Schweiz für Täter etwas unattraktiver zu machen, als anderswo.
Aber: Es gibt immer mehr professionelle Hacker-Angriffe auf grosse Unternehmen in den letzten Jahren. Die meisten davon werden nicht aufgeklärt. Das sind schwere Straftaten. Würden die ganze Zeit Banken überfallen, hätten wir eine Staatskrise!
Banken werden nicht die ganze Zeit überfallen, weil sie sich seit Jahrhunderten selbst schützen. Da liegt nicht einfach Geld am Boden und ein Polizist steht davor. Vielmehr gibt es eine physische Sicherheitsinfrastruktur in der Bank. Wenn dann doch etwas passiert, kommt die Strafverfolgung zum Einsatz. Die Privatwirtschaft muss sich auch im virtuellen Raum primär selbst vor Cyberangriffen schützen.
Dennoch: Sie können die Verbrechen nicht eindämmen.
Die Frage ist: Was hat die Strafverfolgung überhaupt für einen Auftrag? Einerseits geht es darum, dass – wenn wir jemanden erwischen – die Strafe so hart ist, dass der Täter damit aufhört. Andererseits soll die Strafe auch andere abschrecken. Diese zwei Punkte müssen wir erreichen.
Diese haben Sie aber noch nicht erreicht, oder?
Ich sehe es nicht so pessimistisch. Denn mit Social Media haben wir noch einen anderen Hebel: Als wir einen Drogenhändler im Darknet festnahmen, erlangten wir auch Kontrolle über seine Accounts, liessen aber seine Angebote stehen. Die Angebotsbilder der Drogen ersetzten wir dann aber durch «beschlagnahmt durch Staatsanwaltschaft II, Zürich» auf Englisch. In den einschlägigen Foren hat das einen gewaltigen Aufruhr verursacht. Die Käufer von Drogen waren verunsichert. In den Kommunikationsdaten einer anderen Tätergruppe haben wir gesehen, dass sie keine Delikte mehr in der Schweiz verüben wollte, weil sie hier am ehesten erwischt würden.
Die Sicherheit bei Banken macht mir Sorgen. Ein technisch und fachlich versierter Mitarbeiter der Banken-IT könnte in den meisten Fällen Milliarden abzügeln (von den Daten ganz zu schweigen). Die Banken wirken dem zwar mit regelmässigen Hintergrundchecks der entsprechenden Mitarbeiter entgegen. Aber ob man damit alle schwarzen Schafe erwischt?