Die österreichische Polizei durchsucht die Blockchain auf der Jagd nach Bitcoin-Erpressern
Kryptowährungen und die Blockchain beschäftigen derzeit nicht nur Startups, Spekulanten und Unternehmen, sondern auch die österreichische Polizei: Im C4 Cybercrime Competence Center des Bundeskriminalamts laufen die Ermittlungen in Bezug auf Erpressungen von Privatpersonen und Unternehmen mit Hilfe von Ransomware auf Hochtouren. Ziel ist, die Geldflüsse in Form von Bitcoins an die Adressen von Erpressern nachzuvollziehen. Diese versuchen mit Schadsoftware die Computer ihrer Opfer zu verschlüsseln und dann für die Entschlüsselung Bitcoin-Zahlungen fordern. In der Regel werden aktuell Bitcoins im Gegenwert von 300 Euro pro Computer verlangt, wenn der Geschädigte wieder Zugriff auf seine Daten haben will.
“Cybercrime-Tatbestände, bei denen Kryptowährungen für illegale Vermögenstransaktionen verwendet werden, steigen weiterhin an. Aus kriminalpolizeilicher Sicht wird es deshalb immer wichtiger, auch in diesem Bereich zweckdienliche Ermittlungsschritte setzen zu können”, sagt Oberstleutnant Wilhelm Seper vom Cybercrime Competence Center. Seine Ermittler sahen sich in diesem Jahr alleine mit knapp 1.000 Fällen konfrontiert, bei denen es um Erpressungsversuche mit Ransomware geht.
Der Schaden für Firmen kann dabei in die Millionen gehen, weil sie einerseits oft für die Entschlüsselung hunderter Computer zahlen müssen und andererseits einfach nicht arbeiten können, weil die PCs nicht funktionieren. Betroffen waren bis dato unter anderem drei internationale Firmen mit Niederlassungen in Wien. Die Erpressungs-Trojaner „WannaCry“ und „Petya“ haben dieses Jahr weltweit unzählige Computer infiziert.
Spuren auf der Blockchain
Die Blockchain, auf der Bitcoin basiert, ist öffentlich einsehbar und zeigt, welche Transaktionen zwischen welchen Adressen stattgefunden haben. “Es geht unter anderem darum, die im Zusammenhang mit den Geldflüssen vorhandenen Ermittlungsansätze bestmöglich zu nutzen“, sagt Seper. Die Erpresser würden oft folgendermaßen vorgehen: Sie haben ein Netz aus Bitcoin-Adressen, an die die Bitcoins ihrer Opfer fließen, und von dort wiederum wird das Kryptogeld an eine weitere Adresse geschickt.
In Netzwerk-Analysen versuchen die Ermittler, diese zentrale Adresse ausfindig zu machen. Dann ist aber oft Schluss. “Derzeit ist es sehr schwer, den Täter zu identifizieren, da die Verknüpfung zwischen einer Wallet und einem Täter nur sehr schwer nachzuweisen ist“, sagt Seper. Zumindest bestehe aber die Hoffnung, die Täter geografisch eingrenzen und dann in Zusammenarbeit mit Europol und Interpol jenen Fällen, wo sehr viel Geld zusammenfließt, weiter nachgehen zu können. Um die Ermittlungen ausweiten zu können, sucht das Cybercrime Competence Center aktuell einen Blockchain-Experten, der sein Know-how einbringen kann.
So anonym, wie viele glauben, ist Bitcoin oft gar nicht. Forscher zeigten kürzlich, dass Online-Shops, in denen man mit Bitcoin zahlen kann und die Cookies setzen (z.B. im Warenkorb für spätere personalisierte Werbung), auch Wallet-Adressen verarbeiten. Gepaart mit E-Mail-Adressen, Nutzernamen und Telefonnummern kann das zur Identifizierung des Nutzers führen.
„Nicht zahlen“
Die rund 1.000 Fälle, die 2017 dem BKA gemeldet waren, dürften nur die Spitze des Eisbergs sein, die Dunkelziffer soll laut Seper viel höher liegen. Viele Betroffene würden das geforderte Geld schnell zahlen, weil sie wieder an ihre Daten wollen. Strafbar ist es in Österreich nicht, den Erpressern Bitcoins zu schicken. Aber: „Wir empfehlen, nicht zu zahlen, da selbst bei erfolgter Zahlung der erpressten Summe von den Tätern nicht entschlüsselt wird“, sagt Seper. Besser sei, regelmäßig Back-ups zu machen und die Backup-Medien physisch von den Rechnern zu trennen, damit die Schad-Software nicht auf diese übergreifen kann.
Seper verweist auch auf die Webseite www.nomoreransom.org, die Betroffenen Hilfe anbietet. Dort werden manchmal Schlüssel und Software veröffentlicht, mit denen sich Computer wieder entschlüsseln lassen. Allerdings dauert es oft etwas länger, bis Lösungen angeboten werden können.
Anmerkung: Wir haben für diesen Artikel ein Symbolbild ausgesucht, da das Fotografieren im Cybercrime Competence Center nicht erlaubt war.