Herr Walder, seltsame E-Mails von unbekannten Absendern gehören zum Büroalltag. Oft handelt es sich um Hacker-Angriffe. Wer macht so etwas – und warum?
Stephan Walder: Es gibt drei Kategorien: zum einen die politisch motivierten Hacker; dann zumeist jugendliche Hacker, die aus Übermut versuchen, Passwortschranken zu überwinden. Die grosse Mehrheit sind jedoch Leute, die Geld verdienen wollen. Diese Täter verstehen Cybercrime als Geschäftsmodell. Dabei kann man Geld erlangen, indem man betrügt. Meistens versenden die Täter Mails mit täuschendem Inhalt und verleiten Empfänger, Geld zu überweisen.

Wer sind die Täter?
Alle möglichen Leute: Inländer, Ausländer, Junge, Ältere, Männer, Frauen, alle sozialen Schichten und Bildungsniveaus. Den stereotypen Cyberkriminellen gibt es nicht.

Als Bürolist ist man instruiert, solche E-Mails zu löschen. Wie kommen die Strafverfolger an die Täter heran?
Wir sammeln alle Spuren. Das können ganz kleine elektronische Spuren sein, Indizien, die sich dann zu einer Indizienkette verdichten. Irgendwann kommt man auf die Spur, welcher Anschluss dahinter steckt, und schliesslich, zum Teil mit Zwangsmassnahmen, Observationen oder verdeckten Ermittlungen, zur Täterschaft.

Bleibt der Grossteil der Cyberkriminalität im Dunkeln, weil die Leute die E-Mails löschen und vergessen?
Es gibt natürlich trotzdem Spuren, auch wenn eine E-Mail gelöscht ist. Aber Sie haben recht: Die Dunkelziffer ist riesig. Nicht jeder erstattet Anzeige. Das ist ein Problem, denn anders als die Strasse gehört das Internet nicht dem Staat. Es ist ein ausschliesslich privates Gebilde. Eine Strasse kann man sperren. Im Internet nur schon etwas zu blockieren, ist beinahe unmöglich. Also müssen wir mit denen verhandeln, denen das Internet gehört: mit privatwirtschaftlichen Unternehmen. So erfahren wir von Vorfällen, die die betroffenen Firmen, beispielsweise Banken und Versicherungen, nicht an die grosse Glocke hängen.

Von wie vielen Fällen reden wir?
Unsere Staatsanwaltschafts-Abteilung im Kompetenzzentrum Cybercrime hat momentan 196 Geschäfte. Wie viele Cybercrime-Fälle es jährlich schweizweit gibt, lässt sich nicht sagen. Es existiert kein nationales Lagebild. Das müssten wir dringend haben. Was es gibt, ist die nationale Koordinationsstelle zur Bekämpfung der Internetkriminalität (Kobik), die auf Bürgermeldungen beruht. Da redet man von 11 000 bis 13 000 Fällen jährlich.

Laut der Kantonalzürcher Kriminalstatistik 2016 nahm der Anteil gemeldeter Erpressungen zuletzt um 64 Prozent zu, wobei die Zunahme grossteils auf Internet-Nutzung beruhte.
Das ist ein Phänomen, das uns wohl nicht mehr loslässt. Und es wird noch schlimmer. Die Zürcher Regierung hat das erkannt und daher Anfang Jahr eine Personalaufstockung um 20 Prozent für das Projekt Cybercrime bei der Kantonspolizei und Staatsanwaltschaft bewilligt.

Zurück zu den seltsamen E-Mails: Soll man deswegen Anzeige erstatten?
Ja. Diese E-Mails sind aber nur die Spitze des Eisbergs. Sie stellen kleine Einzelfälle mit zumeist geringen Schäden dar. Die Täterschaft spekuliert darauf, dass die Betroffenen nichts machen. Zusammengenommen ergeben sich so aber immense Deliktsummen. Wir müssen diese Fälle sammeln. Eigentlich müsste man sie gesamtschweizerisch sammeln.

Genügt das? Cybercrime hält sich ja nicht an Landesgrenzen.
Richtig. Nur weil ein Schaden in der Schweiz angerichtet ist, heisst das nicht, dass der Täter auch hier ist. Wir versuchen, mit Rechtshilfe weltweit an Beweise zu kommen. Das ist aufwendig und bei Ländern wie beispielsweise China, Russland oder Benin sehr schwierig. Die Rechtshilfemechanismen funktionieren zu wenig gut.

Wo sind die Hotspots der Cyberkriminalität?
Zurzeit haben wir einen Schwerpunkt mit Heiratsschwindel- und Inseratebetrugsfällen aus Benin. Es kann aber sein, dass dort lediglich ein grosser Server steht und alles umleitet.

Heiratsschwindel – was passiert dabei konkret?
Meistens bekommen gezielt Frauen eine E-Mail von einem angeblichen Manager einer Ölbohrplattform, der sich selbstständig machen will. Gemäss mitgeschickten Fotos sieht er sehr gut aus und sucht nebst der grossen Liebe auch noch einen Geldgeber zur Beteiligung an einer Ölbohrplattform. Er verspricht fantastische Gewinne und die grosse Liebe. Solche Konversationen werden über Monate aufgebaut. Ebenso geben Täter vor, Nato-Generäle zu sein, die sich mit einer hübschen jungen Frau in der Schweiz zur Ruhe setzen wollen.

Hmpf.
Sie lachen jetzt, wir eigentlich auch zu Beginn. Gemäss bundesgerichtlicher Rechtsprechung zur Opfermitverantwortung beim Betrug darf man sich nicht blindlings betrügen lassen. Die grundlegendsten Sicherheitsvorkehrungen muss das Opfer treffen. Der Arglist des Täters müssen zumutbare Vorsichtsmassnahmen entgegengehalten werden, sonst ist der Tatbestand des Betruges nicht erfüllt. Laut Schweizer Rechtsprechung darf man allerdings nicht allzu hohe Anforderungen an die Sicherheitsvorkehrungen stellen, wenn Liebe im Spiel ist. In der Schweiz gibt es zudem viele Leute, die finanziell in der Lage sind, auch grosse Geldsummen zu verschenken.

Und die steigen tatsächlich auf solche Angebote ein?
Ja, das gibt es oft. Hinzu kommen andere Betrugsformen, etwa über Geldanlagen oder Eurowechselangebote, bei denen man Falschgeld erhält, Bitcoin-Wechselgeschäfte, Paysafe-Cards, die nicht gedeckt sind. Vielfach stammen solche Angebote aus Osteuropa.

Ist das also ein weiterer Hotspot?
Ja. Es gibt Spuren aus einer Gegend in Rumänien, wo offenbar viele Cyberkriminelle sind, die Stadt Râmnicu Vâlcea hat den Übernamen «Hackerville». Hacker-Attacken kommen zudem oft aus Russland, Weissrussland und der Ukraine.

Auch staatliche Sicherheitsorgane hierzulande waren schon Opfer von Hacker-Attacken, Stichwort Staatstrojaner-Affäre. Kann der Staat mit den Hackern mithalten?
Nein. Wir hinken immer hinterher. Solange wir die rote Laterne noch sehen, ist das kein Problem. Wir sind ein freiheitlich-demokratischer Rechtsstaat. Da gibt es ein Spannungsfeld zwischen Sicherheit und Freiheit. Ich bin gegen einen totalen Überwachungsstaat. Die Möglichkeiten der Strafverfolgungsbehörden sind meines Erachtens zu Recht gesetzlich beschränkt. Die Täterschaften hingegen machen, was sie wollen, auch verbotene Sachen. Um sie zu ermitteln, dürfen wir nicht alles tun, sondern nur das, was rechtsstaatlich zulässig ist. Dadurch hinken wir zwangsweise etwas hintennach. Aber solange wir trotzdem in der Lage sind, auf rechtsstaatliche Art Beweise zu erheben und Täter zu fassen, ist das Gleichgewicht zwischen Freiheit und Sicherheit gewahrt.

Ist dieses Gleichgewicht derzeit gewahrt?
In der Schweiz steht es nicht schlecht darum. Punkto Überwachung reagiert man meiner Meinung nach allerdings übersensibel. Mit einer Herausgabe-Verfügung könnten wir über die letzten zehn Jahre Ihr Lohnkonto auswerten und hätten dadurch ein ziemlich detailliertes Bild über Ihr Privatleben. Ihr Telefon dürfen wir aber rückwirkend lediglich über ein halbes Jahr überwachen und sehen dabei nur, wo es war und welche Nummern Sie gewählt haben. Das ist viel weniger Information.

Welche Überwachungsmethoden würden Sie sich wünschen?
Wir müssen mit der technischen Entwicklung mithalten dürfen. Dass wir beispielsweise verschlüsselte SMS entschlüsseln dürfen, ist zwingend. Sonst haben wir in Zukunft keine Chance mehr. Künftig wird alles verschlüsselt sein.

Besteht nicht die Gefahr, dass solche Überwachungssoftware dann auch wieder von Kriminellen gehackt und missbraucht wird?
Mit dem gleichen Argument könnte man der Polizei die Dienstwaffe verbieten, aus Angst davor, dass diese im Gemenge entrissen werden könnte. Mit einer Pistole kann man Menschen töten. Mit Überwachungssoftware nicht. Daher wäre es unverhältnismässig, solche Software zu verbieten. Zumal sich der Straftatenkatalog, mit dem derartige Überwachungen zu rechtfertigen sind, auf schwere und schwerste Verbrechen beschränkt. Ausserdem braucht es dafür immer noch eine Genehmigung durch das Obergericht. Wenn wir diese Mittel nicht haben, sehen wir irgendwann die rote Laterne nicht mehr. Bundesbern ist daran, mit der Revision des Bundesgesetzes betreffend Überwachung des Post- und Fernmeldeverkehrs die Grundlagen dafür zu schaffen. Wenn das in Kraft ist, kann man solche Software beschaffen und einsetzen.

Gibt es andere zusätzliche Mittel, die Sie benötigen?
Ja. Die beste «Maschine», die es gibt, ist der Ermittler. Alles, was im Internet gelöscht wurde, ist ja doch noch in gewissen Datenbanken gespeichert. So lässt sich herausfinden, ob ein Profil, das heute einen anonymisierten Anschluss verwendet, früher mal einen nicht anonymisierten Anschluss verwendet hat. Es gibt alte Facebook-Accounts mit Fotos von Tätern, die diese auch vergessen haben. Wenn Ermittler so etwas finden, ist das ein gewaltiges Mittel. Und: Solange wir in der verschlüsselten Kommunikation keine Daten auswerten können, können wir trotzdem versuchen, mit der Täterschaft zu kommunizieren. Das nennt sich verdeckte Ermittlung oder verdeckte Fahndung. Daraus entstehen Daten, die auszuwerten sind. Zum Teil ist es uns auch schon gelungen, dadurch einen Täter zu einem vereinbarten Treffpunkt zu locken.

Anfang dieses Jahres hat der Zürcher Regierungsrat 20 zusätzliche Stellen bewilligt, mit denen Sie und die Polizei das seit 2013 tätige Kompetenzzentrum Cybercrime ausbauen. Können Sie bei der Personal-Rekrutierung mit grossen Firmen – Banken et cetera – mithalten?
Lohnmässig nicht. Ein Computersicherheits-Techniker verdient viel mehr in der Privatwirtschaft. Aber der Staat hat andere Anreize als das Lohngefüge, immerhin erfüllt man eine sehr interessante Aufgabe in einem äusserst dynamischen Umfeld und trägt zur Sicherheit des Staates bei. Überdies sind Arbeitsplatzsicherheit und Vereinbarkeit von Beruf und Familie durchaus auch wesentliche Faktoren.

Wo sehen Sie die grössten Gefahren, die der Gesellschaft punkto Cybercrime drohen?
Man ist zu unvorsichtig. Auf der Strasse würden Sie nie einem Unbekannten 20 000 Franken bar auf die Hand geben. Im Internet fallen die Hemmschwellen, wenn ich Ihnen vorgaukle, dass Sie dafür einen Ferrari bekommen. Ich sage immer: Wenn es zu schön ist, um wahr zu sein, ist es nicht wahr. Mit diesem Vorsatz nutze ich Social Media ebenso und bin ein begeisterter Internetauktionen-Ersteigerer.

Wie schützen Sie sich?
Durch Misstrauen. Den Ferrari für 20 000 Franken hätte ich auch gerne. Aber sehr wahrscheinlich wird er nicht geliefert, wenn ich ihn online irgendwo in England kaufe und eine völlig unbekannte Speditionsfirma ihn liefern soll. Es ist mir auch schon passiert, dass ich online eine Ferienwohnung in Italien angeschaut habe und dachte: Wow, so schön, direkt am Meer, Toskana. Dann begann ich zu googeln, recherchierte ein wenig, und fand keine Bewertung, dafür eine Immobilienverwaltung, zu der es diverse Kommentare gab, denen zufolge sie nicht existierte. Ein Klick zu viel – und wir wären dorthin gefahren, ohne etwas zu finden.

Fährt man bei der Ferienwohnungssuche sicherer, wenn man auf die grossen Anbieter zurückgreift?
Bei den grossen Portalen sollte es einen stutzig machen, wenn keine Bewertungen vorhanden sind. Wenn es viele Bewertungen gibt, können die allerdings auch gefälscht sein. Darum lohnt es sich, zusätzlich noch etwas zu googeln. Wenn Sie ein Auto kaufen, glauben Sie auch nicht alles aus der Werbung.

Mal abgesehen von Betrügereien: Wie gross ist die Gefahr, dass in der Schweiz grosse Infrastrukturen wie etwa Spitäler durch Hacker manipuliert werden?
Ich bin nicht Internet-Security-Spezialist. Aber es gibt nichts, das nicht gehackt werden kann. Letzten Sommer wurde in Deutschland ein Spital gehackt, sodass die Angreifer Injektionspumpen fernsteuern konnten. Das Problem ist: Auch in Unternehmen, die sehr vorsichtig sind, kann ein Produkt mit einer Schwachstelle vorhanden sein, durch die Hacker Zugriff auf das gesamte Netzwerk erlangen können.

Sind Schweizer Firmen sich der Gefahren bewusst?
Verschiedene Branchen haben ihr Lehrgeld bezahlt. Die Banken mussten ziemlich aufrüsten, sind aber heute gut aufgestellt. Sie haben auch die nötigen Mittel. Bei kleinen und mittleren Unternehmen fehlen diese Mittel oft. Sie sind angreifbarer.