Der Fingerabdruck-Scanner leuchtet grün, als sich Tabea Nordieker Zutritt zum «Labor» verschafft. In diesem unscheinbaren Raum in einem Bürogebäude in Zürich-Brunau lagern Laptops und Smartphones in Schließfächern. Es ist entscheidend, dass sie während der Analyse nicht genutzt werden, um keine digitalen Spuren zu verlieren.

Nordieker, 31 Jahre alt, und ihre Kollegin Melanie Kubli, fünf Jahre jünger, sind digitale Forensikerinnen, deren Arbeit im Schatten der Öffentlichkeit stattfindet. Sie werden aktiv, wenn ein Unternehmen plötzlich vor einem Stillstand steht und der Verdacht auf Hackerangriffe aufkommt.

„Ein klassisches Szenario ist, dass ein Mitarbeiter am Montagmorgen ins Büro kommt, die Computer nicht funktionieren und alle Dateien verschlüsselt sind“, erklärt Nordieker. Der Stresspegel ist hoch. „Es ist eine Chaosphase: Jeder im Gebäude beginnt zu rennen und niemand weiß, wo er anfangen soll.“

In dieser kritischen Phase sind Unternehmen auf Expertinnen wie Nordieker und Kubli angewiesen. Das Duo arbeitet für das Zürcher Cybersecurity-Unternehmen Oneconsult. Bei einem Notruf entwickeln sie einen Notfallplan und versuchen, die Ausbreitung des Cyberangriffs zu verhindern. Sie ermitteln, welche Systeme betroffen sind, und suchen aktiv nach den sicherheitsrelevanten Lücken, ob direkt beim Kunden oder im „Labor“.

Wenn nötig, treten sie sogar mit den Hackern in Kontakt.

Die Bedrohung durch Ransomware

Die Kriminalstatistik des Bundes verzeichnete im letzten Jahr mehr als 59.000 Straftaten im digitalen Raum, was mehr als einer Verdopplung im Vergleich zu 2020 entspricht. Besonders gefürchtet sind Ransomware-Angriffe, bei denen Hacker Schadsoftware in die Systeme eines Unternehmens schleusen, Daten stehlen, sie verschlüsseln und erpressen. Um die Veröffentlichung oder Sperrung der Daten zu verhindern, muss ein Lösegeld gezahlt werden – im Englischen gut bekannt als „ransom“.

In den letzten Jahren sorgten Ransomware-Angriffe auf große Medienhäuser wie CH Media und NZZ oder auf den Vergleichsdienst Comparis für Schlagzeilen. Im Sommer 2023 stahl die Hackergruppe „Play“ sogar hochsensible Daten des Bundes, die von der Firma Xplain verarbeitet wurden.

„Wenn Firmen erpresst werden, raten wir in der Regel, nicht zu zahlen“, warnt Melanie Kubli. Tabea Nordieker ergänzt: „Ein Weg, Hackerbanden zu bekämpfen, besteht darin, ihnen den Geldhahn zuzudrehen.“ Doch oft ist das leichter gesagt als getan. Manchmal sind die Daten für Firmen so wertvoll oder eine mögliche Veröffentlichung so schädlich für das Image, dass das Unternehmen die geforderten Summen zahlt.

Verhandlungen im Darknet

An ihren Bildschirmen zeigen Nordieker und Kubli, wie üblicherweise die Kommunikation mit Hackern abläuft. Oft finden diese Verhandlungen im Darknet statt, einem verborgenen Teil des Internets. „Die Hacker präsentieren ihre Forderungen sehr nüchtern“, erzählt Nordieker. Manche Gruppen geben sich sogar betont serviceorientiert.

Ein Blick auf den Chat mit der berüchtigten Hackergruppe Akira, verantwortlich für mehrere große Ransomware-Attacken in der Schweiz, zeigt die Professionalität der Angreifer. In der Kommunikation versprechen die Hacker, die entschlüsselnden Werkzeuge nach Zahlung des Lösegeldes zur Verfügung zu stellen und keine weiteren Geldforderungen zu stellen.

„Wenn wir in die Verhandlungen einsteigen, bedeutet das nicht zwangsläufig, dass die Firma letztendlich zahlt“, erklärt Nordieker. Oft beabsichtigt man, Zeit zu gewinnen, um eine Kommunikationsstrategie zu entwickeln oder mehr über die gestohlenen Daten zu erfahren. Interessanterweise fordern Hacker in der Regel Beträge, die etwa zehn Prozent des Jahresumsatzes eines Unternehmens ausmachen.

Ein dramatisches Beispiel für diese Taktik fand im Frühjahr 2023 statt, als ein sehr bekanntes Unternehmen Opfer eines Cyberangriffs wurde und die Verhandlungen sich über mehrere Wochen hinzogen.

Fake-Mitarbeiter entlarvt

Zusätzlich zu Ransomware-Angriffen beschäftigen sich Nordieker und Kubli häufig mit gehackten E-Mail-Konten und DDoS-Attacken, bei denen Server mit Anfragen bombardiert werden, bis sie zusammenbrechen. „Solche Angriffe kommen besonders vor politischen und wirtschaftlichen Großereignissen wie dem WEF in Davos“, sagt Nordieker.

Ein weiterer Fall, den Kubli kürzlich bearbeitet hat, betraf einen Fake-Mitarbeiter, der sich unter falscher Identität bei einem Unternehmen beworben hatte. Nach der Anstellung stahl er Daten, um das Unternehmen zu erpressen. „Ich hatte in einer Zeitung von dieser Masche gelesen. Es erforderte viel Detektivarbeit, um zu beweisen, dass es auch in unserem Fall so war“, berichtet sie.

Der Frauenanteil bei Oneconsult ist außergewöhnlich hoch, da die Informatik oft als Männerdomäne gilt. Nordieker erzählt, dass sie manchmal für eine Assistentin gehalten wird, was oft zu unangenehmen Momenten führt, wenn ihr Gesprächspartner merkt, dass sie die technischen Fragen selbst diskutieren kann. Die meisten Menschen seien jedoch positiv überrascht.

Der Countdown zur Cyber-Bedrohung

Um zu zeigen, wie professionell Hacker organisiert sind, gehen Nordieker und Kubli zurück ins Darknet, wo kriminelle Gruppen auflisten, welche Unternehmen kürzlich infiltriert wurden. Eines der Opfer war eine britische Treuhandfirma, die offenbar nicht auf die Geldforderungen reagiert hat. Ein Countdown zeigt an, dass die Frist zur Veröffentlichung abläuft.

Noch 3 Tage, 2 Stunden, 23 Minuten und 24 Sekunden bis zur Publikation der gestohlenen Daten. Wie werden die Verantwortlichen entscheiden? Cybersecurity-Experten wie Nordieker und Kubli sind entscheidend im immer komplexer werdenden Kampf gegen Cyberkriminalität – eine Herausforderung, die nur noch an Bedeutung gewinnen wird.