Seit Jahren streiten Bund und Kantone, wer sich um digitale Kriminalität kümmern soll – jedoch ohne Ergebnis. In dieser Zeit kommen die Verbrecher ungestraft davon
In Zürich läuft der Aufbau des ersten Schweizer Cybercrime-Kompetenzzentrums. Nach knapp drei Jahren ist erst die Hälfte der ursprünglich angekündigten Stellen besetzt.
Mehrere Spezialisten sind wieder abgesprungen. Man nehme sich allen eingehenden Anzeigen an, so eine Sprecherin der Staatsanwaltschaft.
Es sei aber eine Triage nötig; Haftfälle und Fälle mit geheimer Überwachung genössen den Vorzug – «die übrigen Fälle werden im Rahmen der verbleibenden Möglichkeiten bearbeitet». Es brauche mehr Personal, um «wirklich komplexere Verfahren» in Angriff nehmen zu können, schreibt der Regierungsrat in einer Zwischenbilanz.
Bei der Berner Justiz sind seit 2015 320 Cyber-Strafanzeigen eingegangen. Ein «Grossteil» könne wegen Ressourcenmangels nicht bearbeitet werden, sagt Staatsanwalt Peter Herren: «Wir konzentrieren uns auf die wichtigen Fälle, bei denen wir Erfolgschancen haben.»
Fehlendes Fachwissen
Ursache der Blockade ist eine Mischung aus Kompetenzgerangel, fehlendem Fachwissen auf Chefstufe sowie Geld- und Personalmangel. Es beginnt bei der Frage, wer für die Jagd auf Cyber-Kriminelle eigentlich zuständig ist. Das Bundesstrafgericht hat 2011 und 2012 entschieden, dass sich die BA um Phishing-Fälle zu kümmern hat. Es gibt aber zahlreiche Phänomene, bei denen ungeklärt ist, wer zuständig sein soll. Bereits vor zwei Jahren hat Bundesanwalt Michael Lauber dazu eine Arbeitsgruppe einberufen. Mit am Tisch sassen Fedpol-Chefin Nicoletta della Valle, ebenso Polizeikommandanten und Chef-Staatsanwälte. Ein Ermittler sagt dazu: «In dieser Runde fanden Sie vor allem Juristen, kaum Techniker.» Als die Sprache auf einzelne Delikte wie Phishing kam, mussten einige der obersten Strafverfolger eingestehen: Sie verstanden schlicht nicht, wovon gesprochen wurde. Die Gruppe musste also zuerst klären, was unter «Cyber-Kriminalität» überhaupt zu verstehen ist – und verlor Zeit. Heute liegen 26 Arbeitsblätter vor, welche Begriffe wie «Botnet», «Spyware» oder «Ransomware» erläutern und kategorisieren. Die Bundesanwaltschaft hat sich provisorisch bereit erklärt, sich um drei Phänomene zu kümmern:
Phishing-Aktionen, das heisst mithilfe von falschen Websites und E-Mails an Bankdaten kommen.
E-Banking-Trojaner, also Schadprogramme, die auf Rechnern von arglosen Bankkunden Zugangsdaten absaugen;
Trick-Anrufe. Kriminelle geben etwa vor, für eine Bank zu arbeiten, und fordern zur Herausgabe des Passworts auf. Fällt jemand darauf herein, loggen sie sich sogleich ein und leeren das Konto.
Ein kleiner Teil der gesamten Phänomene
Eine Einigung über die Aufteilung der 26 Phänomene, die sich ohnehin wieder verändern werden, gibt es bis heute nicht. Und solange die Zuständigkeiten nicht geklärt sind, will die BA vier Spezialstellen zur Bekämpfung von Phishing, die sie 2013 beantragt hat, nicht vollständig besetzen, sagt Sprecher André Marty. Ähnliche Überlegungen laufen im Kanton Zürich. Geplant war, in den Jahren 2013 bis 2015 32 Spezialisten für ein Kompetenzzentrum Cybercrime anzuheuern. Tatsächlich arbeiten dort heute nur zwei Staatsanwälte, eine Assistenzstaatsanwältin, zwei Sekretärinnen, neun Kantonspolizisten und zwei Stadtpolizisten.
Total 16 Leute, also die Hälfte des Plans. Urs Grob, Sprecher der Sicherheitsdirektion, sagt: «Die ursprünglichen Ausbauziele sind nicht infrage gestellt.» Mit anderen Worten: Der Kanton ist im Verzug. Weshalb will Grob nicht sagen. Stattdessen verweist er auf die Zwischenbilanz des Regierungsrats vom 18. November 2015. Dort heisst es, dass es «vertiefte Abklärungen» zur Frage brauche, wer für Internetverbrechen in Zukunft zuständig sei. Und: Es sei «aus sachlichen und finanziellen Gründen angezeigt, eine Zusammenarbeit mit anderen Kantonen und dem Bund anzustreben».
Wie immer eine Geldfrage
Zürich will also die Last nicht allein tragen – es geht um Geld. Internet-Ermittlungen sind aufwendig, es eilt immer. Eine digitale Spur, die aus der Schweiz über Frankreich nach Bulgarien und Russland führt, erkaltet innert Tagen. Die Aufklärungsquote des Zürcher Cyber-Teams ist deshalb im Vergleich mit anderen Staatsanwaltschaften tief. 2015 wurden 64 Prozent abgeschlossene Fälle eingestellt, nur bei 3 Prozent kam es zu einer Anklage. Die Zürcher Justizdirektorin Jacqueline Fehr (SP) ortet in der Schweiz Nachholbedarf: Es brauche ein bis zwei zusätzliche Cybercrime-Zentren, «davon eines in Zürich», sagt sie im aktuellen Jahresbericht der Zürcher Staatsanwaltschaften. Ähnlich äussert sich der Berner Generalstaatsanwalt Rolf Grädel, Präsident der Schweizerischen Staatsanwälte-Konferenz. Aus seiner Sicht macht es keinen Sinn, dass jeder Kanton in Eigenregie teures Fachwissen aufbaut: «Es sollte regionale Cybercrime-Zentren geben, die Fälle auch für andere Kantone bearbeiten – gegen Entschädigung.»
Geplante Einigung
Nächsten Freitag könnte sich etwas ändern. Dann wird sich die Arbeitsgruppe der Schweizer Chef-Strafverfolger nach 2014 und 2015 zum dritten Mal treffen, sich über die 26 Arbeitsblätter beugen und an einer gemeinsamen Strategie arbeiten. Ein Fachmann, der über die Traktanden der Sitzung informiert ist, sagt aber: «Rechnen Sie nicht damit, dass es schon zu Einigungen kommt.» Selbst wenn sich die Parteien nach zweijähriger Debatte auf eine Lösung festlegen sollten, wird es Jahre dauern, bis neue Spezialisten angeworben sind – «der Markt ist völlig ausgetrocknet», sagt ein Ermittler. In der Privatwirtschaft bekomme ein IT-Techniker ab Universität einen sehr viel höheren Lohn als in der Verwaltung, wo man im Wesentlichen nach Dienstalter bezahlt werde. Dazu kommt der Gegensatz zwischen der schnellen IT-Kultur und dem behäbigen Staatsdienst: «Unternehmen diskutieren nicht jahrelang, bevor sie eine neue Abteilung aufbauen. Sie machen.»
[email protected]
Tijana Nikolic