Ihr Browser ist veraltet. Bitte aktualisieren Sie Ihren Browser auf die neueste Version, oder wechseln Sie auf einen anderen Browser wie ChromeSafariFirefox oder Edge um Sicherheitslücken zu vermeiden und eine bestmögliche Performance zu gewährleisten.

Zum Hauptinhalt springen
Schweiz
Abonnieren

Digitale Forensikerinnen
Sie verhandeln mit Hackern: «Können wir uns auf 10’000 Dollar einigen?»

Die Zahl der Cyberangriffe in der Schweiz nimmt stark zu. Tabea Nordieker und Melanie Kubli räumen nach einer Hackerattacke auf – und treten in Kontakt mit den Tätern.

Jacqueline Büchi
Tabea Nordieker und Melanie Kubli arbeiten bei der Cybersecurity-Firma Oneconsult als digitale Forensikerinnen. Im Bild ist zudem die grüne Schrift eines Chats mit der Hackergruppe Akira zu sehen.
Melanie Kubli (l.) und Tabea Nordieker wissen, was nach einer Cyberattacke zu tun ist.
Foto: Urs Jaudas. Collage: Michael Treuthardt
Jetzt abonnieren und von der Vorlesefunktion profitieren.
Abo abschliessenLogin
BotTalk
In Kürze:
  • Wenn eine Firma gehackt wird, beginnt die Arbeit von digitalen Forensikerinnen.
  • Tabea Nordieker und Melanie Kubli zeigen, wie sie mit den Erpessern verhandeln.
  • Viele Hackergruppen sind professionell organisiert und präsentieren im Darknet ihre Beute.

Der Fingerabdruck-Scanner leuchtet grün, als sich Tabea Nordieker Zutritt zum «Labor» verschafft. Hier, in diesem unscheinbaren Raum in einem Bürogebäude in Zürich-Brunau, lagern Laptops und Smartphones in Schliessfächern. Es ist wichtig, dass sie niemand benutzt, während die Analyse läuft. Keine Spur darf verloren gehen.

Nordieker, 31 Jahre alt, und ihre Kollegin Melanie Kubli, fünf Jahre jünger, sind digitale Forensikerinnen. Von ihrer Arbeit bekommt die Öffentlichkeit meist nichts mit. Sie werden aktiv, wenn in einem Unternehmen plötzlich nichts mehr geht. Wenn der Verdacht aufkommt: Da sind Hacker im Spiel. 

«Der Klassiker ist, dass der erste Angestellte am Montagmorgen ins Büro kommt, kein Computer mehr funktioniert und alle Dateien verschlüsselt sind», sagt Nordieker. Stresslevel: hoch. Die Forensikerin spricht von einer Chaosphase: «Jeder im Haus beginnt zu rennen und niemand weiss, wo anfangen.» 

In dieser Phase sind Betriebe auf Spezialistinnen wie Nordieker und Kubli angewiesen. Die beiden arbeiten für das Zürcher Cybersecurity-Unternehmen Oneconsult. Werden sie gerufen, machen sie einen Notfallplan: Sie versuchen eine Ausbreitung des Cyberangriffs zu verhindern. Sie ermitteln, welche Systeme betroffen sind. Sie suchen das Sicherheitsleck, vor Ort beim Kunden oder im «Labor».

Und sie nehmen, wenn nötig, Kontakt mit den Hackern auf. 

Digitale Forensikerin Tabea Nordieker in einem Büro, konzentriert auf ihre Arbeit an Sicherheitslecks und Kommunikation mit Erpressern.
Tabea Nordieker arbeitete früher bei der Polizei.
Foto: Urs Jaudas

Perfide Ransomware

59’034 Straftaten im digitalen Raum verzeichnete die Kriminalstatistik des Bundes letztes Jahr – mehr als doppelt so viele wie noch 2020. Darunter fallen Phishing-Attacken, der Missbrauch von Online-Zahlungssystemen oder das Eindringen in ein Datenverarbeitungssystem mit fremden Zugangsdaten.

Besonders gefürchtet sind sogenannte Ransomware-Angriffe: Dabei schleusen Hacker ein Schadprogramm in die Systeme einer Firma. Sie stehlen Daten, verschlüsseln sie und erpressen die Firma damit. Um zu verhindern, dass die Daten veröffentlicht werden oder gesperrt bleiben, muss ein Lösegeld gezahlt werden – auf Englisch: «ransom».

Für Schlagzeilen sorgten in den letzten Jahren entsprechende Angriffe auf die Medienhäuser CH Media und NZZ oder auf den Vergleichsdienst Comparis. Im Sommer 2023 gelang es der Hackergruppe «Play» gar, hochsensible Daten des Bundes zu erbeuten, die von der Firma Xplain verarbeitet wurden.

Melanie Kubli sagt: «Wenn Firmen erpresst werden, empfehlen wir in der Regel, nicht zu zahlen.» Und Tabea Nordieker ergänzt: «Einer der Wege, Hackerbanden zu bekämpfen, ist, ihnen den Geldhahn zuzudrehen.» Doch das ist oft einfacher gesagt als getan. Manchmal sind die Daten für Firmen so wertvoll oder eine Veröffentlichung wäre so imageschädigend, dass das Unternehmen die geforderten Summen zahlt.

Feilschen um das Lösegeld

An ihren Bildschirmen zeigen Nordieker und Kubli, wie die Kommunikation mit den Hackern üblicherweise abläuft. Oft finden die Verhandlungen im Darknet statt, einem verborgenen Bereich des Internets. «Die Hacker präsentieren ihre Forderungen sehr nüchtern», erzählt Nordieker. Manche Gruppierungen gäben sich betont serviceorientiert.

Sie zeigt einen Chat mit der berüchtigten Hackergruppe Akira, die vergangenes Jahr laut Bundesamt für Cybersicherheit für mehrere grosse Ransomware-Attacken in der Schweiz verantwortlich war. Auf dem Bildschirm leuchtet eine grüne Schrift auf schwarzem Grund, die Konversation ist in Englisch gehalten.

Cyber-Spezialistin: Hallo, wir sind offen für Verhandlungen. Was fordern Sie?

Hackergruppe Akira: Hallo. Sie haben den Akira-Support-Chat erreicht. Im Moment bereiten wir die Liste mit den Daten vor, die wir von Ihrem Netzwerk genommen haben. Sie müssen wissen, dass ein Deal mit uns der beste Weg ist, um die Sache schnell und günstig zu erledigen. (...) Haben Sie die Erlaubnis, im Namen Ihrer Organisation mit uns zu verhandeln? Sobald wir Ihre Antwort haben, liefern wir Ihnen alle Details.

Cyber-Spezialistin: Ja, ich habe die Erlaubnis, für die Firma zu verhandeln. Wir warten auf Ihre Forderung.

Hackergruppe Akira: (...) Nach Ihrer Zahlung werden Sie die Entschlüsselungswerkzeuge für Ihre Systeme erhalten und eine Anleitung dazu. Wenn Sie in diesem Prozess irgendwelche Probleme erfahren sollten, unterstützen wir Sie. Sie erhalten auch einen Sicherheitsreport, der aufzeigt, wie wir in Ihr Netzwerk eindringen konnten. (...) Wir werden nach der Zahlung keine weiteren Geldforderungen mehr stellen und wir werden Sie auch nicht mehr angreifen. Der Preis beträgt 135’000 Dollar. (...)

Cyber-Spezialistin: Wir haben Ihre Forderung diskutiert. Für uns sind die Daten jedoch höchstens 10’000 Dollar wert. Können wir uns auf 10’000 Dollar einigen?

Nordieker erklärt: «Wenn wir in die Verhandlungen einsteigen, heisst das noch lange nicht, dass die Firma am Ende zahlt.» Manchmal gehe es primär darum, Zeit zu gewinnen, damit sich das betroffene Unternehmen eine Kommunikationsstrategie zurechtlegen kann. Oder darum, mehr über die gestohlenen Daten zu erfahren.

Bildschirm mit einem Chat-Fenster, in dem die digitale Forensikerin Tabea Nordieker mit Erpressern der Gruppe Akira nach einem Hack verhandelt. Text zeigt Verhandlungen über gestohlene Daten. (URS JAUDAS/TAGES-ANZEIGER)
Die Verhandlungen mit der Hackergruppe Akira finden im Darknet statt.
Foto: Urs Jaudas

Aufgrund der erbeuteten Daten wüssten die Hacker häufig, wie es um die Finanzen einer Firma stehe. Die geforderten Beträge lägen in der Regel in der Grössenordnung von zehn Prozent des Jahresumsatzes. Nur eine Minderheit der Firmen bezahle am Ende. Fast immer sei der Preis zudem Verhandlungssache. «Die erste Summe, die die Erpresser nennen, ist selten die finale.»

Fake-Mitarbeiter entlarvt

Neben Ransomware-Angriffen gehören gehackte Mailkonten zum Alltag der beiden Spezialistinnen, ebenso wie DDos-Attacken. Bei Letzteren bombardieren die Angreifer einen Server gezielt mit Anfragen, bis dieser zusammenbricht. Solche Angriffe kämen in Wellen, erzählt Nordieker. «Besonders häufig sind sie vor politischen und wirtschaftlichen Grossereignissen wie dem WEF in Davos.»

Über die Feiertage sei es hingegen häufig ruhig – auch Kriminelle machten einmal Pause.

Melanie Kubli erzählt, sie seien immer wieder mit neuen Maschen konfrontiert. Kürzlich habe sie es etwa mit einem Fake-Mitarbeiter zu tun gehabt: Ein Betrüger habe sich unter einer falschen Identität bei einem Unternehmen beworben, dort nach der Anstellung Daten gestohlen und die Firma damit erspresst. «Ich hatte in der Zeitung von dieser Masche gelesen. Es bedurfte einiger Detektivarbeit, um nachzuweisen, dass es auch in unserem Fall so war.»

Früher arbeitete sie für die Polizei

Knapp 100 Personen arbeiten für Oneconsult. Es handle sich um Menschen mit ganz unterschiedlichen Hintergründen, sagt Tabea Nordieker.

Sie selbst studierte in Lausanne forensische Wissenschaften und lernte in klassischer Polizeimanier Spuren zu sichern und auszuwerten. Im Master spezialisierte sie sich auf den digitalen Raum. Vor ihrer Zeit bei Oneconsult arbeitete sie bei der Polizei und wertete für die Ermittler Laptops und andere Endgeräte aus.

Melanie Kubli machte eine Lehre als Multimedia-Elektronikerin, bevor sie an der Hochschule Luzern Information & Cyber Security studierte. Andere im Team waren an der ETH oder haben einen klassischen Informatik-Hintergrund.

Aussergewöhnlich ist der hohe Frauenanteil bei Oneconsult – die Informatik gilt noch immer als klassische Männerdomäne. Nordieker sagt, das falle auch den Kunden auf. Es sei ihr schon passiert, dass ein Gesprächspartner sie für eine Assistentin gehalten habe – und unangenehm berührt gewesen sei, als er realisiert habe, dass er die technischen Fragen mit ihr besprechen konnte. Die meisten seien jedoch positiv überrascht.

Zum Beruf der beiden Spezialistinnen gehört es, diskret zu sein. Danach gefragt, ob viele Firmen elementare Cyber-Schutzmassnahmen vermissen lassen, huscht ein Grinsen über ihre Gesichter. Doch dann folgt eine diplomatische Antwort.

Grundsätzlich könne jede Firma Opfer eines Cyberangriffs werden, sagt Kubli. Mit guten Sicherheitsvorkehrungen lasse sich das Risiko für viele Angriffsarten aber erheblich senken. Diese seien eine Frage des Budgets und des technischen Know-how. «Gerade für kleinere Firmen ist manchmal nicht auf Anhieb ersichtlich, warum sich Ausgaben für die Cybersicherheit lohnen.» Vielen sei nicht bewusst, wie teuer ein mehrtägiger Betriebsausfall werden könne.

Der Countdown läuft

Um zu demonstrieren, wie professionell die Hacker aufgestellt sind, gehen die beiden Frauen noch einmal ins Darknet. Es gibt dort Übersichtsseiten, wo die kriminellen Gruppierungen fein säuberlich auflisten, welche Firmen sie zuletzt infiltriert haben.

Bildschirm mit Angaben darüber, welche Seiten von den Hackern infiltriert wurden.
Die gehackten Seiten sind im Darknet einsehbar. Wo bereits Daten veröffentlicht wurden, steht auf grünem Grund: «Published». Bei den anderen läuft ein Countdown.
Foto: Urs Jaudas

Unter den Opfern ist eine britische Treuhandfirma. Die Täter geben an, Finanzberichte, persönliche Informationen über Mitarbeitende  und Kunden gestohlen zu haben. Als Beweisstücke präsentieren sie zwei Passkopien. In der Übersicht leuchtet grün hinterlegt das Wort «published». Offenbar hat die Firma die Geldforderungen nicht erfüllt. Bei anderen läuft die Bedenkzeit noch, rot hinterlegt rattert ein Countdown.

Noch 3 Tage, 2 Stunden, 23 Minuten und 24 Sekunden bis zur Publikation. Wie die Verantwortlichen wohl entscheiden werden?

Jacqueline Büchi ist Leiterin des Ressorts Reportagen & Storytelling und Mitglied des Podcasts «Politbüro». Sie berichtet schwerpunktmässig über gesellschaftspolitische Themen.@j_buechi

Jetzt aktuell

Mehr

Die Redaktion empfiehlt

Mehr

Mehr aus dieser Kategorie

Mehr