Niederbayern. Der Name kommt nicht von ungefähr. Das „Quick-Reaction-Team“ der Kriminalpolizei Passau handelte schnell. Und konnte wohl deshalb den Schaden in Grenzen halten. Mitte Januar wurde ein Unternehmen aus Röhrnbach Opfer eines digitalen Angriffes. Zum Einsatz bei dieser sog. Cyberattacke kamen die IT-Experten der Kripo, die das „Quick-Reaction-Team“ formen. Doch was macht diese Sondereinheit der Kripo genau? Wir haben bei Polizeikommissarin Kathrin Hiller, Sprecherin der Polizei Niederbayern, nachgefragt…
Was genau ist das Quick-Reaction-Team?
Der Begriff bezeichnet ein Einsatzteam der Kriminalpolizei, das insbesondere nach schwerwiegenden Cyberangriffen in Betrieben direkt vor Ort eingesetzt wird. Derartige Teams stehen seit 1. Juli 2021 bei jeder Kriminalpolizeidienststelle in Bayern bereit. Ein solcher Angriff liegt beispielsweise vor, wenn die IT-Systeme eines klein- oder mittelständischen Betriebs unbemerkt von Hackern infiltriert werden und die darauf befindlichen Daten für erpresserische Zwecke ausgespäht oder unbrauchbar gemacht werden.
Welche Aufgaben übernimmt das Quick-Reaction-Team genau?
Gerade bei solchen herausragenden Fällen von Cybercrime ist es wichtig, schnellstmöglich einen qualifizierten ersten Angriff der kriminalpolizeilichen Sachbearbeitung zu starten, hierbei am Einsatzort digitale Spuren zu sichern und den angegriffenen Betrieb beratend zur Seite zu stehen. Das Quick-Reaction-Team kümmert sich um diese Aufgaben.
Voraussetzung: „Abgeschlossenes Studium mit IT-Bezug“
Wie setzt sich das Team zusammen?
Quick-Reaction-Teams bestehen aus spezialisierten IT-Ermittlern und Spezialisten für die forensische Sicherung von digitalen Spuren. Beide Kompetenzgruppen existieren bereits seit mehreren Jahren bei den Kriminalpolizeidienststellen und erfüllen im täglichen Dienstbetrieb ein umfangreiches Aufgabenportfolio im Bereich der Bekämpfung von Cybercrime-Delikten und der Sicherung und Bereitstellung digitaler Spuren. Das konzeptionierte Zusammenführen von Mitarbeitern aus beiden Bereichen für Quick-Reaction-Einsätze folgt aus dem Bedarf, dass in den genannten Fällen die kombinierte Fachexpertise aus beiden Ressorts besondere Bedeutung hat.
Ist man als Teammitglied „normaler“ Polizist, der sich dann IT-Kenntnisse aneignet? Oder ist auch der andere Weg möglich, also ein IT-Experte, der aufgrund seines Wissens Teil des Teams wird?
IT-Ermittler sind in der Regel Polizeivollzugsbeamte, die im Rahmen einer Sonderlaufbahn des technischen Kriminaldienstes eingestellt und ausgebildet wurden. Für diese Gruppe wird als Einstellungsvoraussetzung ein abgeschlossenes Studium mit Informatikbezug gefordert. IT-forensische Spurensicherer sind überwiegend Mitarbeiter, die eine Ausbildung zum Fachinformatiker abgeschlossen haben und sich als Angestellte bei der Polizei beworben haben. Beide Gruppen werden dauerhaft und regelmäßig durch Fortbildungsmaßnahmen für ihre Tätigkeitsfelder weitergebildet.
„Mangel an Interessenten nicht feststellbar“
Gestaltet sich die Akquise für Teammitglieder schwierig?
Die beiden Kompetenzgruppen wurden personell in den vergangenen Jahren gestärkt und ausgebaut. Bei der beispielhaften Kriminalpolizeiinspektion Passau sind derzeit alle Stellen besetzt. Sofern sich Mitarbeiter in diesem Bereich beruflich verändern wollen oder zusätzliches Personal akquiriert werden soll, werden entsprechende Ausschreibungen veröffentlicht. Ein Mangel an Interessenten war für diese Tätigkeitsfelder zuletzt nicht feststellbar.
Wie gestaltet sich ein Einsatz? Ist der Zeitdruck ähnlich groß wie bei einem herkömmlichen Einsatz?
Wenn ein Betrieb einen Cyberangriff auf die eigenen IT-Systeme feststellt und dies der Polizei mitteilt, wird das Quick-Reaction-Team aufgerufen. Dieses nimmt zunächst telefonisch Kontakt mit dem Verantwortlichen der Firma auf und klärt im Detail ab, welche Informationen dort bereits vorliegen. Im Anschluss wird die Firma aufgesucht, um vor Ort Beweise zur Tat zu sichern, Zeugenaussagen zu erheben und eine Betreuung hinsichtlich des weiteren Verhaltens anzubieten.
Auch die IT-Experten haben Zeitdruck
Zum Thema Zeitdruck ist festzustellen, dass bei Cybercrime-Delikten der zeitnahen Abarbeitung von digitalen Spuren generell große Bedeutung zukommt, da diese „flüchtig“ sind und nach einer gewissen Dauer nicht mehr weiterverfolgt werden können. Somit ist auch bei Einsätzen des Quick-Reaction-Teams unmittelbare Aktivität insbesondere dann unverzichtbar, wenn erst wenige Stunden oder einzelne Tage vergangen sind.
Auch bei länger zurückliegenden Tathandlungen wird eine möglichst schnelle Abarbeitung der Spurenlage durchgeführt. Jedoch reduzieren sich bei länger zurückliegenden Tathandlungen die Chancen, erfolgversprechende Ermittlungsansätze zu finden. Das schnelle Handeln ist dann oft ohne Mehrwert.
Wie können sich Unternehmen generell schützen?
Prävention ist der beste Schutz gegen gezielte Angriffe, die IT-Systeme beschädigen und Daten verschlüsseln können. Wir raten Unternehmen daher, sich vor gezielten Cyberangriffen im Vorfeld zu schützen und ständige Überprüfungen und Aktualisierungen der IT-Sicherheitsmaßnahmen über entsprechende Fachkräfte oder Dienstleister zu veranlassen. Hierbei sollte hohe Priorität auf Datenbackup-Strategien gelegt werden, welche die gesicherten Daten zuverlässig vom Produktivsystem trennen. Nur durch das verlässliche Bereithalten von unangreifbaren Datensicherungen können Unternehmen im Fall eines digitalen Angriffs unangenehme und oft aufwändige Folgen, die im schlimmsten Fall die Firmenexistenz bedrohen können, verhindern.
Vielen Dank für die Beantwortung der Fragen.
die Fragen stellte: Helmut Weigerstorfer