In diesem Beitrag berichtet Stefan Rothenbühler, Senior Cyber Security Analyst bei InfoGuard, über die Zusammenarbeit mit Behörden während einem Cyber-Vorfall und weshalb es sich lohnt, frühzeitig eine Strafanzeige zu erstatten.
Erste Hürde – die Strafanzeige
Bei vielen unserer Incident Response Einsätzen stellt sich relativ früh die Frage, ob eine Strafanzeige sinnvoll erscheint. Oft haben die Unternehmen dabei Folgendes zu bedenken: Was wird passieren, wenn ich Strafanzeige erstatte? Rufe ich damit Polizisten auf mein Firmengelände? Könnte dies einen Imageschaden geben? Werden die Ermittler bei mir auftauchen und meine Server mitnehmen? Welche rechtlichen Implikationen gehen aus einer Strafanzeige hervor? Und sind wir ehrlich: Wer von uns hat schon gerne mit der Polizei zu tun? Denn meistens geschieht dies in einem eher negativen Kontext: Ich werde im Strassenverkehr von der Polizei angehalten und kontrolliert oder ich bekomme eine Parkbusse, weil ich die Parkuhr nicht gestellt habe, während ich rasch etwas einkaufte. Jedoch kann ich aufgrund meiner Erfahrung in der Zusammenarbeit mit Ermittlungsbehörden klipp und klar sagen: Es hat sich bisher immer gelohnt, früh Strafanzeige einzureichen. Dies geschieht oft sehr unkompliziert auf einem Polizeiposten und ist innerhalb einer Stunde erledigt. Da InfoGuard regelmässig mit den Strafermittlern zusammenarbeitet, «kennt man sich» und tauscht sich auf sehr professioneller Ebene aus. Somit ist auch die Angst unbegründet, dass plötzlich Server beschlagnahmt werden. Die Behörden wissen um die Qualität der Arbeit unseres CSIRT und lassen uns die forensischen Tätigkeiten mit Rücksicht auf Geschäftsprozesse durchführen.
Vorteile bei einer Zusammenarbeit mit den Ermittlungsbehörden
Für die Polizei ist es mittlerweile schon fast «Alltag», dass bei einem Cyber-Vorfall Strafanzeige eingereicht wird. Daher können Sie Ihnen schon von Beginn an wertvolle Tipps geben, zu Fragen wie: Lohnt es sich, ein Erpressergeld zu verhandeln? Ist eine Anfrage für das Herausgeben der Daten zu einer IP Adresse nach Russland sinnvoll? Nach der Erstellung der Strafanzeige tauschen sich unsere Cyber-Analysten und die Ermittler – sofern es der Kunde wünscht – oft direkt untereinander aus. Dabei werden Abklärungen zur Angreifer-Identifikation und zum möglichem Vorgehen zur Strafverfolgung getroffen. IP-Adressen und Inhaber werden ausgetauscht oder take-down requests für Phishing Sites und gestohlene Daten ausgestellt. Von den Behörden erhalten wir oft wertvolle Informationen, welche uns enorm helfen, den Fall beim Kunden schneller abzuwickeln.
Daten gerade erst hochgeladen – wenige Stunden später sind sie wieder weg
In einem aktuellen Fall wurden die Daten eines grösseres Schweizer Unternehmen durch die Ransomware REvil verschlüsselt. Die Täter drohten zusätzlich, die entwendeten Daten auf einer bekannten File-Sharing-Plattform zu veröffentlichen. Durch die forensischen Untersuchungen wussten wir bereits vor der Veröffentlichung der Daten, wo diese liegen und baten die Polizei um Abklärung bzw. Meldung bei der File-Sharing-Plattform. Kurz nachdem die Daten veröffentlicht waren, verschwanden sie auch wieder. Denn die Polizei hatte bereits beim File-Sharing-Provider interveniert und diesen dazu veranlasst, den Benutzeraccount des Angreifers zu sperren.
Zusammenarbeit auf Bundesebene
Bei unseren Einsätzen kommunizieren wir auf Kundenwunsch nicht nur mit den kantonalen Behörden, sondern erstatten auch Meldung beim NCSC (https://www.ncsc.admin.ch). Dort fliessen Informationen zu jeglichen Fällen auf Schweizer Boden zusammen. So erhalten wir von den Bundesbehörden wertvolle Informationen zur Lösung eines Falls und können im Gegenzug auch wertvolle Informationen zum Schutz anderer Unternehmen teilen. Wie dies zum Beispiel im Sommer 2019 der Fall war, als wir an einem Fall arbeiteten, bei welchem Informationen mit MELANI ausgetauscht wurden: Durch die Meldung beim NCSC konnte eine weitere Firma identifiziert werden, welche vom gleichen Angreifer angegriffen wurde. Die dadurch erhaltenen Informationen ermöglichten es uns, den Angreifer schneller auf den Systemen zu identifizieren und schlussendlich auszusperren.
Was tun, damit es gar nicht erst so weit kommt?
Mit dem Incident Response Retainer von InfoGuard erhalten Sie die Dienstleistungen unserer Incident Responders im Fall der Fälle zu einem niedrigeren Stundensatz angeboten. Dazu werden auch Fragen zur Zusammenarbeit mit Behörden, Meldungen bezüglich GDPR und möglicher Pressekommunikation schon im Vorfeld geklärt. Somit sind Sie bestens für den Ernstfall gewappnet und können im Notfall auf ein erfahrenes Team der InfoGuard zurückgreifen.
