Cybersicherheit | Cyberkriminalität | Angriffsvektoren
Cyberkriminalität zählt zu einem der größten Risiken für die deutsche Wirtschaft. Leider werden nach wie vor die wenigsten Fälle zur Anzeige gebracht. Dabei würde dies positiv zur Aufklärungsrate der Cybervorfälle beitragen. Die Polizei ist auf die Mithilfe der Unternehmen angewiesen, um Hackern das Handwerk legen zu können.
Im Gespräch mit Peter Vahrenhorst, Kriminalhauptkommissar beim Landeskriminalamt in Nordrhein-Westfalen. In dieser Funktion ist er außerdem für die Prävention Cybercrime zuständig.
Wie schätzen Sie die aktuelle Bedrohung durch Cyberkriminalität für deutsche Unternehmen ein?
Es gibt kein klassisches Notensystem von 1 bis 6, welches man zur Bewertung heranziehen kann. Die Wirtschaft ist sehr unterschiedlich aufgestellt. Es gibt viele große Player, die über eine eigene IT-Abteilung verfügen und dadurch schon recht gut aufgestellt sind. Darüber hinaus gibt es viele kleine, mittelständische Unternehmen, die für die deutsche Wirtschaft natürlich immens wichtig sind, aber ein wenig Probleme machen. Diese Unternehmen fokussieren sich auf ihr Kerngeschäft und müssen sich zusätzlich noch um IT-Aufgaben kümmern. In etlichen Unternehmen funktioniert dies dennoch sehr gut, bei anderen allerdings fehlen diese IT-Kompetenzen. Somit ist ein Clustering fast unmöglich, da die Verhältnisse doch sehr unterschiedlich sind. Es ist quasi wie in einem Gemischtwarenladen. Einige Mittelständler sind schon sehr gut aufgestellt, bei anderen muss definitiv noch etwas getan werden.
Gibt es eine Tendenz welche Industriezweige oder Unternehmen besonders betroffen sind?
Ich würde keine Branche explizit nennen. Es kann sicher vorkommen, dass sich Angriffe auf einen Industriezweig häufen. Dennoch sollte man sich als Unternehmen nie zurücklehnen und darauf zählen, dass man nicht in das Raster passt. Gerade der jüngste Angriff auf die Uniklinik in Düsseldorf ist ein gutes Beispiel dafür. Originär galt der Angriff der Universität, und aufgrund der Namensgleichheit attackierten die Hacker das Krankenhaus. Unternehmen sollten sich somit nicht darauf verlassen, dass andere Branchen betroffen sind. Das wäre eine falsche Sicherheit.
Lassen sich saisonale Schwankungen erkennen? Gibt es bei Cybercrime eine Sommerpause?
Nein, Cybercrime ist kein Saisongeschäft. Es gab eine Art “Coronapause”, wenn man sich die Verbreitung der Emotet-Schadsoftware anschaut. Hier wurde die Coronazeit allerdings vor allem dafür genutzt, um die Systeme zu verbessern und gestärkt wieder an den Start zu gehen. Auf der anderen Seite gab es aber Cyberkriminelle, die genau diese Coronazeit oder die Homeoffice-Phase ausgenutzt haben. Es gibt eine Bandbreite an Tätern, die vollkommen unterschiedlich agieren. Wenn die einen Pause machen, machen die anderen weiter. Eine “Sommerpause” oder eine Phase, in der Stillstand herrscht, bemerken wir nicht.
Wie hat sich generell die Lage in den letzten Jahren verändert? Gibt es einen Anstieg an Wirtschaftsverbrechen durch Hacker, oder verringert sich die Anzahl?
Das ist eine schwierige Frage, da wir als Polizei natürlich nur das bewerten können, das uns auch angezeigt wird. Es existiert ein großes Dunkelfeld. Das Anzeigeverhalten der betroffenen Parteien spiegelt nicht die Realität wider. Betrachten wir also nur die Anzeigen, die tatsächlich gemeldet werden, sind wir nicht nah genug an der tatsächlichen Lage. Es gibt viele Unternehmen, die Gründe haben – oder die meinen Gründe zu haben – warum sie nicht zur Polizei gehen. Das kann man befürworten oder nicht, aber die Anzahl an Anzeigen entspricht nicht der Realität, sodass man andere Faktoren betrachten muss, um diese Frage zu beantworten.
Sollte ein Unternehmen, das Opfer eines Cyberangriffs geworden ist, in jedem Fall die Polizei informieren?
Wir empfehlen Unternehmen, jeden Vorfall dieser Art zur Anzeige zu bringen. Unternehmen nehmen letztlich nur den eigenen Fall wahr. Vermeintlich geht es aber einer Reihe von anderen Unternehmen genauso. Der Einzelne sieht das nicht, für uns ergeben sich allerdings wichtige Tatzusammenhänge. Ein Beispiel zur Veranschaulichung: Vor einigen Tagen wurde eine E-Mail an ein Unternehmen versendet, in der angedroht wurde, dass eine Brandvorrichtung in dem Firmengebäude installiert wurde und diese nicht gezündet wird, wenn ein Betrag X in Bitcoins gezahlt wird. Diese Mail haben allerdings etliche andere Unternehmen ebenfalls bekommen. Es wurden Gebäude geräumt und nach Brandvorrichtungen gesucht – es war aber nichts zu finden. Das Untersuchen der E-Mails hat dann gezeigt, dass in allen E-Mails die gleiche Wallet hinterlegt wurde. Der Täter hätte nicht ermitteln können, welches Unternehmen den Betrag gezahlt hat. Im Einzelnen hätte diese Erkenntnis nicht gewonnen werden können. Dadurch, dass verschiedene Unternehmen den Vorfall gemeldet haben, konnte allerdings festgestellt werden, dass die Mail substanzlos ist. Aus diesen Gründen empfehlen wir Unternehmen, sich mit allen Vorfällen an die Polizei zu wenden.
Wähle ich dazu ganz klassisch die 110?
Es hat sich gezeigt, dass die klassische 110 nicht der richtige Weg für Wirtschaftsunternehmen ist, um die Polizei zu informieren. Die Wachdienst-Beamten machen alle einen guten Job, aber sie sind keine Cybercrime-Experten. In NRW gibt es seit 2011 eine 24/7-Hotline. Unter Verwendung der Nummer 0211 / 939 4040 können sich Unternehmen an die Polizei wenden und Ihren Cybernotfall melden. Spezialisten melden sich dann zurück und stimmen die notwendigen Maßnahmen ab.
Wie geht die Polizei bei der Ermittlung vor? Wird der Tatort wie bei einem anderen Verbrechen genau untersucht?
Das ist sicher fallabhängig. Es gibt Sachverhalte, bei denen wir nicht zwingend vor Ort sein müssen. Bekommt ein Unternehmen beispielsweise eine Erpresser-Mail, müssen wir nicht vor Ort sein. Wenn sich ein Unternehmen beispielsweise aber, wie es bei der Uniklinik Düsseldorf der Fall war, ein Verschlüsselungsprogramm einfängt, sind wir vor Ort und unterstützen das Unternehmen mit unserem Knowhow, damit sich der Schaden in Grenzen hält. Das ist ein wesentlicher Teil unserer Polizeiarbeit. Wie wir vorgehen, entscheiden wir allerdings nicht im Alleingang, sondern immer in Absprache mit der geschädigten Partei.
Arbeiten Sie dabei eng mit den IT-Dienstleistern und IT-Forensiker zusammen oder bringen Sie Ihre eigenen Experten mit?
Wir verfügen über eigene Experten. In den meisten Fällen ist aber bereits ein IT-Dienstleister involviert. Wir arbeiten dann zusammen in einem Team, auch wenn der jeweilige Anspruch variiert. In den Spezialistenkreisen kennt man sich aber, man weß über die Fähigkeiten der Anderen. Somit ist es eine gute Zusammenarbeit.
Geben Sie den betroffenen Parteien im Anschluss Tipps wie man sich zukünftig vor einen Cyberangriff schützen kann oder übersteigt dies Ihren Zuständigkeitsbereich?
Prävention gehört zum Portfolio der Polizei. Dabei übernehmen wir keine technische Prävention, das heißt: Wir geben keine Ratschläge, welche Häkchen oder Filter gesetzt werden müssen. Allerdings unterstützen wir Unternehmen bei der Prozessabstimmung. Prozesse spielen bei der Digitalisierung eine wesentliche Rolle und sind dadurch wichtiger Bestandteil der Prävention. Wir beraten Unternehmen vor allem dahingehend, dass sie im Cybernotfall richtig und schnell reagieren können. Das ist auf alle Fälle ein präventiver Bereich, den wir als Polizei abdecken. Im besten Fall kommen wir, bevor ein Cyberangriff stattfindet, aber natürlich unterstützen wir auch nach dem Notfall, sodass man besser vorbereitet ist, sollte es zu einem zweiten Vorfall kommen.
Unternehmen können sich somit an die Polizei wenden, um sich über Cyberrisiken und Cyberschutz informieren zu lassen?
Ja, wir bieten das an. Aber man muss natürlich die Größenordnung beachten: In Nordrhein-Westfalen gibt es ungefähr 860.000 Unternehmen. Wir sind nicht so aufgestellt, dass wir jedes Unternehmen beraten können. Wir versuchen aber Plattformen zu nutzen, um eine Vielzahl an Unternehmen zu erreichen.
Was sind die gegenwärtigen Aufklärungchancen?
Es wäre fatal, wenn ich sage, wir haben gar keine Chancen. Das wäre auch falsch. Aber auch hier gilt, dass wir uns nur auf das beziehen können, was auch angezeigt wird. Laut der jüngst veröffentlichten Kriminalstatistik 2019* liegen wir mit einer Aufklärungsquote von 26 Prozent im Bereich Cybercrime über den allgemeinen Durchschnitt und damit in einem guten Bereich.
Hacker hinterlassen demnach durchaus Spuren im Netz, die man verfolgen kann?
Hacker machen Fehler und sind nicht immer so sorgfältig in dem, was sie tun. Diese Fehler finden wir, und das bietet gute Ansätze, um sie letztlich zu stellen. In den meisten Fällen geht es Hackern um Geld – das ist eine weitere Spur, der man folgen kann, um Cyberkriminelle zu finden. Dies sind Ansätze, denen wir nachgehen, wie bei jeder anderen Ermittlungsarbeit auch. Polizeiarbeit ist Sisyphusarbeit, bei der man einzelne Punkte verbindet um letztlich beim Täter zu landen. Nur arbeitet man im Bereich Cybercrime nicht mit physischen, sondern mit digitalen Spuren.
Gibt es eine internationale Zusammenarbeit, um Cyberkriminelle aufzuspüren?
Im Einzelfall arbeiten wir auch mit anderen Ländern zusammen. Es gibt eine europäische Dienststelle, es gibt andere Bereiche internationaler Zusammenarbeit. Wir sind gelegentlich auch mit eigenen Ermittlern im Ausland unterwegs und kooperieren mit den örtlichen Kollegen, um einen Täter festzunehmen. Außerdem sind ausländische Kollegen hier vor Ort, mit denen wir zusammenarbeiten. Die Art und der Umfang der Zusammenarbeit ist allerdings von Land zu Land unterschiedlich. Bei einigen klappt es besser, bei anderen weniger gut. Aufgrund der Digitalisierung ist es zur Normalität geworden, dass man über die eigenen Grenzen blicken muss.
Kann man Aussagen dazu tätigen, ob aus einem bestimmten Land Hacker verstärkt agieren?
Nein, es gibt keinen Schwerpunkt. Es gibt gute Hacker in Russland, es gibt gute Hacker in Israel, in Südamerika, und natürlich auch in Deutschland. Es lässt sich also keine verallgemeinernde Aussage darüber tätigen, von welchem Land Hackerangriffe vor allem ausgehen. Auch hier gilt: Täter sind international unterwegs.
Kann man einen Zeitraum nennen, in dem ein Cybervorfall durchschnittlich aufgeklärt wird?
Die Bandbreite ist groß, da gibt es keinen validen Durchschnitt, der gezogen werden kann. Man kann den Täter innerhalb einer Woche kriegen, oder man arbeitet drei Jahre an einem Tatkomplex und klärt ihn trotzdem nicht auf.
Zu guter Letzt – die Tatort-Frage: Ist eine digitale Spur irgendwann kalt?
Es gibt diese Aussage: “Nach 48 Stunden sind die Spuren kalt”. Das funktioniert generell nicht so. Die Realität der Polizeiarbeit sieht anders aus. Auch bei Morddelikten kommen längere Standzeiten durchaus vor, und der Täter wird letztlich dennoch gefasst.
Cyber security | Cyber crime | Attack vectors
Cybercrime is one of the biggest risks to the German economy. Unfortunately, very few cases are reported to the police. This would contribute positively to the clearance rate for cyber incidents. The police rely on the help of companies to put hackers out of action.
In conversation with Peter Vahrenhorst, Chief Inspector at the State Criminal Police Office in North Rhine-Westphalia. In this role, he is also responsible for cybercrime prevention.
How do you assess the current threat posed by cybercrime to German companies?
There is no classic grading system from 1 to 6 that can be used for assessment. The economy is very diverse. There are many large players that have their own IT departments and are therefore already quite well positioned. In addition, there are many small and medium-sized companies that are, of course, immensely important to the German economy, but cause a few problems. These companies focus on their core business and also have to deal with IT tasks. In many companies, this works very well, but others lack the necessary IT skills. This makes clustering almost impossible, as the circumstances vary greatly. It’s like a general store. Some medium-sized companies are already very well positioned, while others definitely need to do something.
Is there a trend towards certain industries or companies being particularly affected?
I wouldn’t name any specific industries. It’s certainly possible that attacks on one industry will become more frequent. Nevertheless, companies should never sit back and assume that they won’t be targeted. The recent attack on the University Hospital in Düsseldorf is a good example of this. The attack was originally aimed at the university, but the hackers attacked the hospital because of the similarity in names. Companies should therefore not rely on other industries being affected. That would be a false sense of security.
Are there any seasonal fluctuations? Is there a summer break for cybercrime?
No, cybercrime is not a seasonal business. There was a kind of ‘corona break’ if you look at the spread of the Emotet malware. However, the corona period was mainly used to improve systems and come back stronger. On the other hand, there were cybercriminals who took advantage of the corona period or the home office phase. There is a wide range of perpetrators who act in completely different ways. When some take a break, others carry on. We have not noticed a ‘summer break’ or a period of stagnation.
How has the situation changed in general in recent years? Is there an increase in economic crime by hackers, or is the number decreasing?
That’s a difficult question, because as the police, we can only assess what is reported to us. There is a large grey area. The reporting behaviour of the parties affected does not reflect reality. So if we only look at the reports that are actually filed, we are not close enough to the actual situation. There are many companies that have reasons – or think they have reasons – for not going to the police. You can agree with that or not, but the number of reports does not reflect reality, so other factors must be considered in order to answer this question.
Should a company that has been the victim of a cyber attack always inform the police?
We recommend that companies report every incident of this kind. Ultimately, companies are only aware of their own cases. However, it is likely that a number of other companies are in the same situation. Individuals do not see this, but for us, important connections emerge. Here is an example to illustrate this: A few days ago, an email was sent to a company threatening that a fire device had been installed in the company building and would not be detonated unless a certain amount of money was paid in Bitcoin. However, several other companies also received this email. Buildings were evacuated and searched for fire devices – but nothing was found. An investigation of the emails then revealed that the same wallet was used in all of them. The perpetrator would not have been able to determine which company paid the amount. This information could not have been obtained individually. However, because several companies reported the incident, it was determined that the email was unfounded. For these reasons, we recommend that companies report all incidents to the police.
Do I dial 110 as usual?
It has been shown that dialling 110 is not the right way for commercial enterprises to inform the police. The security officers all do a good job, but they are not cybercrime experts. In North Rhine-Westphalia, there has been a 24/7 hotline since 2011. Companies can contact the police and report their cyber emergency by calling 0211 / 939 4040. Specialists will then get back to them and coordinate the necessary measures.
How does the police investigate? Is the crime scene examined in detail, as with any other crime?
That depends on the case. There are situations where we don’t necessarily have to be on site. For example, if a company receives a blackmail email, we don’t have to be there.
However, if a company, as was the case at Düsseldorf University Hospital, falls victim to encryption software, we go to the site and support the company with our expertise to limit the damage. This is an essential part of our police work. However, we do not decide how to proceed on our own, but always in consultation with the injured party.
Do you work closely with IT service providers and IT forensic experts, or do you bring in your own experts?
We have our own experts. In most cases, however, an IT service provider is already involved. We then work together as a team, even if the requirements vary. But the specialists know each other and are aware of each other’s capabilities. This makes for good cooperation.
Do you then give the affected parties tips on how to protect themselves against cyber attacks in the future, or does this go beyond your area of responsibility?
Prevention is part of the police’s portfolio. However, we do not provide technical prevention, which means we do not give advice on which checkboxes to tick or filters to set. However, we do support companies in coordinating their processes. Processes play an essential role in digitalisation and are therefore an important part of prevention.
We mainly advise companies on how to respond correctly and quickly in the event of a cyber emergency. This is definitely a preventive area that we cover as the police. Ideally, we arrive before a cyber attack takes place, but of course we also provide support after the emergency so that you are better prepared should a second incident occur.
So companies can contact the police to find out about cyber risks and cyber protection?
Yes, we offer that service. But of course you have to consider the scale: there are around 860,000 companies in North Rhine-Westphalia. We are not set up to advise every single one of them. However, we try to use platforms to reach a large number of companies.
What are the current chances of solving these crimes?
It would be fatal to say that we have no chance at all. That would also be wrong. But here, too, we can only refer to what is reported. According to the recently published 2019 crime statistics*, we are above the general average with a clearance rate of 26 per cent in the area of cybercrime, which is a good result.
So hackers do leave traces on the internet that can be traced?
Hackers make mistakes and are not always very careful in what they do. We find these mistakes, and that provides us with good leads to ultimately track them down. In most cases, hackers are after money – that’s another trail you can follow to find cybercriminals. These are approaches we pursue, as with any other investigative work. Police work is Sisyphean labour, connecting individual dots to ultimately land on the perpetrator. The only difference is that in cybercrime, you don’t work with physical clues, but with digital ones.
Is there international cooperation to track down cybercriminals?
In individual cases, we also work with other countries. There is a European agency, and there are other areas of international cooperation. We occasionally send our own investigators abroad and cooperate with local colleagues to arrest perpetrators. We also have foreign colleagues here who we work with. However, the nature and extent of cooperation varies from country to country. It works better in some countries than in others. Due to digitalisation, it has become normal to look beyond one’s own borders.
Is it possible to say whether hackers are increasingly active in a particular country?
No, there is no focal point. There are good hackers in Russia, there are good hackers in Israel, in South America, and of course in Germany. It is therefore not possible to make a general statement about which country hacker attacks mainly originate from. Here, too, the perpetrators operate internationally.
Can you give an average time frame for solving a cyber incident?
The range is wide, so there is no valid average that can be drawn. You can catch the perpetrator within a week, or you can work on a complex case for three years and still not solve it.
Last but not least, the crime scene question: do digital traces eventually go cold?
There is a saying that ‘traces go cold after 48 hours’. That’s not generally how it works. The reality of police work is different. Even in murder cases, there are often long periods of inactivity, and the perpetrator is ultimately caught anyway.
Kontaktieren Sie uns.
Unser Team ist für Sie da!
Telefon: +49 30 95 999 8080
E-Mail: info@perseus.de
© 2025 Perseus Technologies GmbH. All rights reserved
