Landeskriminalamt Oberösterreich
Spezialteam gegen Cybercrime
Ein Schwerpunkt der Kriminaldienstreform ist die Bekämpfung der Cybercrime. In den neu entstehenden IT-Organisationseinheiten in den Landeskriminalämtern soll ein Fokus auf IT-Forensik, Cyber-Ermittlungen und Fortbildung gelegt werden. Im LKA Oberösterreich wurde eine Cybercrime-Einheit als Pilot eingerichtet.
Die Stoßrichtung der sich in Umsetzung befindlichen Kriminaldienstreform des Bundesministeriums für Inneres war eine Anpassung der Organisation, der Technik, der Prozesse und des Personaleinsatzes an die Herausforderungen im Zusammenhang mit der Digitalisierung. Im Landeskriminalamt Oberösterreich wird seit 2022 ein neuer Ansatz erprobt.
Cybercrime als Teilaspekt der Digitalisierung fordert die Strafverfolgungsbehörden, insbesondere die ermittelnde Kriminalpolizei. Diese stetige Veränderung der Umwelt erfordert Anpassungen auf unterschiedlichen Ebenen bei den Strafverfolgungsbehörden. Die personellen Herausforderungen in diesem Bereich sind dabei vielschichtig. Einerseits wird mehr Personal zur Bekämpfung des „Phänomens“ benötigt, andererseits müssen die Polizistinnen und Polizisten je nach Einsatzgebiet über ausreichende Kompetenzen im Bereich der Informations- und Kommunikationstechnologie (IKT) verfügen, um ihre Aufgaben erfüllen zu können. Da in Österreich neun von zehn Cybercrime-Anzeigen bei den Polizeiinspektionen (PI) entgegengenommen und bearbeitet werden, ist eine gewisse IKT-Grundkompetenz für jeden kriminalpolizeilich tätigen Bediensteten erforderlich. Dies soll in erster Linie durch neue Aus- und Fortbildungspläne sowie durch das „Cybercrime-Training-Center“ (CCTC) sichergestellt werden. Die systematische und flächendeckende Erweiterung der Basiskompetenzen ist jedoch nur ein Teil von vielen weiteren notwendigen Anpassungsschritten, die ineinandergreifen müssen, um ihre optimale Wirkung zu entfalten.
Hohe Dunkelziffer.
Obwohl die Kriminalitätsrate im langfristigen Vergleich rückläufig ist, weist der Bereich Cybercrime steigende Zahlen auf. Dabei ist zu beachten, dass die polizeiliche Anzeigestatistik nur die Straftaten des Strafgesetzbuches und der strafrechtlichen Nebengesetze erfasst, die von der Polizei registriert und an die Justizbehörden weitergeleitet werden. Nicht erfasst wird das hohe Dunkelfeld im Cyberraum, d. h. jene Straftaten, die der Polizei nicht bekannt werden.
Dynamik der digitalen Delikte.
Straftaten mit IKT-Bezug sind dynamischen Veränderungen unterworfen, die den Entwicklungen in der Informationstechnologie folgen. Zudem verschwimmt die Abgrenzung zwischen Cybercrime und „klassischen“ Delikten (Offline-Delikten) zunehmend, da auch klassische Delikte häufig Cyber-Elemente enthalten. Bisher gut funktionierende organisatorische Zuständigkeitsregelungen werden daher vermehrt in Frage gestellt. Erschwerend kommt hinzu, dass es keine international einheitliche Definition von Cybercrime gibt, auf die sich Zuständigkeitsregelungen stützen. In Österreich gibt es jedoch seit vielen Jahren ein verbindliches Kategoriensystem für die polizeiliche Einteilung in Cybercrime im engeren Sinn (IKT ist Angriffsziel) und Cybercrime im weiteren Sinn (IKT ist Tatmittel).
Zahlreiche Organisationseinheiten des Bundesministeriums für Inneres sind in unterschiedlicher Zuständigkeit mit der Bearbeitung und Bekämpfung von Cybercrime befasst. Auf der Ebene der Landespolizeidirektionen ist das Landeskriminalamt (LKA) die zentrale Drehscheibe für kriminalpolizeiliche Ermittlungen. Quantitativ sind vor allem die Kriminalreferate und in besonderem Maße die Polizeiinspektionen mit der Führung von Ermittlungen befasst. Eine stärkere zentrale Bearbeitung komplexer Cybercrime-Sachverhalte ist sinnvoll und anzustreben, stößt aber an Grenzen der Ressourcen in den Fachdienststellen. Vor diesem Hintergrund wird deutlich, dass die Polizeibediensteten vor Ort neben einer effektiven Fortbildung durch einen organisatorisch verankerten Prozess unterstützt werden müssen.
Spezialisierung erforderlich.
Erfahrungen, Berichte und wissenschaftliche Arbeiten zeigen, dass viele Polizeibehörden – wie auch andere Behörden – im europäischen Raum und darüber hinaus eine Erweiterung ihrer digitalen Kompetenzen benötigen, um ihre Aufgaben adäquat erfüllen zu können. Wenn in Fachzeitschriften berichtet wird, dass Ermittler aus Unwissenheit Erpressungs-E-Mails ausdrucken, anstatt die Header-Daten der Original-E-Mails zu lesen, wird das Problem deutlich. Die „junge“ Polizeigeneration, die aus der Grundausbildung hervorgeht, besteht zwar in weiten Teilen aus „Digital Natives“, aber keinen „Digital Investigators“. Die nachrückende Generation der Anwender wird die Herausforderung nicht von sich aus lösen können.
Zudem sind Ermittlungen im Internet oder Darknet herausfordernd, da gängige Ermittlungsmethoden wie Telekommunikationsüberwachung, Sicherstellung von Servern oder Datenerhebung bei Verwendung von Anonymisierungssoftware wie dem Tor-Browser kaum möglich sind.
Auch für die Nachverfolgung von Kryptowährungen sowie die sichere Übertragung von Kryptowährungen auf eine behördliche Wallet im Falle einer Beschlagnahmung werden Spezialkenntnisse benötigt. Derartige Ermittlungen erfordern einen erheblichen personellen und finanziellen Aufwand, technisch gut ausgestattete und ausgebildete Ermittlerinnen und Ermittler sowie eine spezialisierte Herangehensweise mit unmittelbarer Unterstützung durch Expertinnen und Experten.
Die neue Cybercrime-Einheit.
Der Pilot „Cybercrime-Ermittlungen“ (CC-E) wird im Assistenzbereich 6 – IT-Beweissicherung geführt und ist Teil des durch die Kriminaldienstreform entstehenden „Referats Cybercrime“. Das Konzept zu Cybercrime-Ermittlungen wurde ab Anfang 2021 unter Einbindung von Experten aus verschiedenen Fachbereichen des Landeskriminalamtes entwickelt und in mehreren Gesprächsrunden mit Vertretern der Bezirks- und Stadtpolizeikommanden auf seine Praxistauglichkeit überprüft. Die Konzepte wurden in den Prozess der Kriminaldienstreform eingebracht und von der dortigen Expertengruppe geprüft, bewertet, übernommen, verfeinert und ergänzt. Mit dem Beschluss zur Umsetzung des Reformpaketes wurde mit gleichzeitiger Zuführung von Ressourcen ein Rollout des Piloten für alle Landeskriminalämter beauftragt.
„Die Umsetzung des ursprünglich oberösterreichischen Projektes stellte für das kleine interdisziplinäre Team zu Beginn eine enorme Herausforderung dar, konnte sich aber durch laufende Evaluierungen und Anpassungen innerhalb kürzester Zeit als wichtige Anlaufstelle für die Polizeiinspektionen im Bereich Cybercrime etablieren“, stellt Teamleiter Bezirksinspektor Mario Schütt fest.
Kompetenzerweiterung und neue Prozessabläufe.
Die Einheit „Cybercrime-Ermittlungen“ gilt innerhalb der oberösterreichischen Kriminalpolizei als „Keimzelle“ hinsichtlich einer in die Breite wirkenden Kompetenzerhöhung für Ermittlungen im Internet und versteht sich als spezialisierte Ansprechstelle für die Bezirks- und Landesebene. Dazu wurden neue Prozessabläufe zur Bekämpfung von Cybercrime sowie zur flächendeckenden Unterstützung der Bezirke eingeführt. Derzeit wird das Projekt aus den bestehenden Ressourcen des Landeskriminalamtes im Rahmen der derzeit erlassmäßig vorgegebenen Strukturen abgewickelt, weshalb die volle geplante Leistungsfähigkeit und breitere Zuständigkeit noch nicht gegeben ist.
Dennoch sind die bisherigen Rückmeldungen, Bewertungen und sichtbaren Erfolge vielversprechend. Eine Befragung ergab, dass bereits nach einem Jahr Betrieb vier von fünf Polizistinnen und Polizisten mit Cybercrime-Ermittlungen in Berührung gekommen waren. Mehr als 90 Prozent gaben an, sehr gute oder gute Erfahrungen gemacht zu haben. „Wir haben in den letzten zweieinhalb Jahren viel gelernt und gerade im ersten Jahr die Prozesse fast monatlich angepasst. Dabei war uns vor allem das Feedback aus den Bezirken sehr wichtig, da wir sie als Hauptadressaten unserer Bemühungen sehen“, berichtet Chefinspektor Günter Fabian, Leiter des Assistenzbereichs 6 – IT-Beweissicherung.
Die Einführung eines neuen Datenmanagements durch die Initiative von Cybercrime-Ermittlungen mit der Einrichtung der Registerkarte „Cybercrime“ in der polizeilichen Softwareanwendung eröffnet neue Möglichkeiten. Eine erste Evaluierung hinsichtlich der Akzeptanz hat ergeben, dass 9 von 10 Bediensteten der Polizeiinspektionen der Landespolizeidirektion Oberösterreich die Registerkarte und die damit einhergehenden Unterstützungsmöglichkeiten sehr positiv bewerten. Die hierdurch möglichen Ermittlungsempfehlungen von Cybercrime-Ermittlungen beziehen sich auf nahezu alle Delikte von Cybercrime, während die Zuständigkeit für die Bearbeitung bzw. Fachaufsicht auf definierte Phänomene von Cybercrime beschränkt ist.
Die Zuständigkeit wurde in der Dienstanweisung des Landeskriminalamtes in einer demonstrativen Aufzählung an Cybercrime-Delikte geknüpft, die einer besonderen Bearbeitung bedürfen oder die aufgrund ihrer Ausprägung als Massenphänomen die bestehende Organisationsstruktur überfordern. Mit den durch die Kriminaldienstreform umzusetzenden organisatorischen Änderungen, die auch eine spürbare Aufstockung der Ressourcen für diesen wachsenden Kriminalitätsbereich in Aussicht stellen, ist auch eine Weiterentwicklung der Zuständigkeitsregelungen zu erwarten. „Wir setzen auf eine rasche Umsetzung in den anderen Landeskriminalämtern, um auch Anschlussfähigkeit herzustellen und eine stärkere Front gegen Cyber-Kriminelle bilden zu können. In Vorbereitung darauf waren bereits Kollegen aus mehreren Landeskriminalämtern für einige Monate bei uns, um die vorgesehenen Prozesse und Lessons Learned weiterzugeben“, sagt Günter Fabian.
Unterstützung auf breiter Ebene.
Der größte Mehrwert des laufenden Pilotbetriebs sind die von Cybercrime-Ermittlungen individuell für jeden Sachbearbeiter erstellten schriftlichen Ermittlungsempfehlungen. 2023 wurden 4.200 auf den jeweils konkreten Ermittlungsfall bezogenen Empfehlungen an die Polizeiinspektionen übermittelt. „Damit wird höchste Ermittlungskompetenz bis in die entlegenste Polizeiinspektion projiziert. Darüber hinaus wollen wir in Zukunft deutlich stärker in die operative Ermittlungsarbeit bei komplizierten und komplexen Cybercrime-Delikten einsteigen. Dazu bedarf es der nächsten Umsetzungsschritte der Kriminaldienstreform, um das Ermittlungsteam modern und breit aufzustellen“, sagt Teamleiter Mario Schütt.
Der Single-Point-of-Contact von Cybercrime-Ermittlungen für telefonische Abklärungsfragen wurde 2023 mehr als 5.300-mal in Anspruch genommen. Der dort eingerichtete und laufend aktualisierte Share-Point-Inhalt wird rege genutzt. 2023 wurde er 51.000-mal von Bediensteten aus ganz Österreich aufgerufen. Auf dieser Kommunikationsplattform werden unter anderem zahlreiche Handlungsanleitungen, Phänomenbeschreibungen sowie rechtliche und kriminologische Informationen oder ein Glossar zur Verfügung gestellt.
Ebenso werden Kontakte zu den Providern für die in den Bezirken neu ausgebildeten Cybercrime-Ermittler bereitgestellt, um schnelle qualitativ hochwertige Anfragen zu ermöglichen bzw. werden die Anfragen an ausgewählte Anbieter zentral bei Cybercrime-Ermittlungen durchgeführt. Das Zusammenlaufen aller Informationen bei der Piloteinheit führte zu den meisten Datenerhebungen bei den Internetprovidern in ganz Österreich.
„Die Einführung des neuen Datenmanagements und die von uns vorgenommene Klassifizierung der Delikte mit Cybercrime-Bezug ermöglicht uns auch einen phänomenologisch präzisen Überblick und erleichtert die Zusammenführung von gleichgelagerten Fällen“, erklärt der Gestalter der Registerkarte Bezirksinspektor Ing. Alexander Schirz.
Einführung und Ausbildung von Cybercrime-Ermittlern.
Gleichzeitig werden seit der Etablierung von Cybercrime-Ermittlungen neben den bestehenden IT-Forensikern (ITF) sogenannte Cybercrime-Ermittler (CCE) für die Bezirke durch mehrmonatige Zuteilungen in das Landeskriminalamt ausgebildet. Neben den IT-Forensikern, die zukünftig teils hauptamtlich in den neu geschaffenen Kriminalassistenzdienststellen (KAD) tätig sein werden, wurden in der Landespolizeidirektion Oberösterreich in den letzten zwei Jahren bereits 41 Cybercrime-Ermittler für die Bezirksebene ausgebildet.
„Ich finde es beeindruckend, wie hoch motiviert die auszubildenden Kolleginnen und Kollegen der Basisdienststelle mit uns in der Praxis lernen. Es ist eine Win-win-Situation, denn die Dienststellen bekommen kompetente Ansprechpartner vor Ort und wir erhalten persönlich bekannte Ansprechpartner in ganz Oberösterreich“, sagt Bezirksinspektorin Kristina Leitner vom Team Cybercrime-Ermittlungen im Landeskriminalamt. Zukünftig wird in ganz Österreich in jeder Polizeiinspektion, in der eine Kriminaldienstgruppe obligatorisch eingerichtet ist, zumindest ein Cybercrime-Ermittler verfügbar sein. Damit wird neben der IT-Forensik weiter die Cyber-Ermittlungskompetenz strukturell erhöht.
Sicherung des Vertrauens in die Polizei.
„Insgesamt zeigen die fortwährenden Bemühungen zur Bekämpfung der Cyber-Kriminalität positive Auswirkungen. Durch verstärkte internationale Zusammenarbeit und den Einsatz spezialisierter Cybercrime-Einheiten gelingt es, dem wachsenden Druck standzuhalten und Erfolge zu erzielen. Diese koordinierten Anstrengungen werden das hohe Vertrauen der Bevölkerung in die Arbeit der Polizei auch bei sich verändernden Umweltbedingungen erhalten“, sagt der oberösterreichische Landespolizeidirektor und stellvertretender Projektleiter der Reform zum Kriminaldienst Andreas Pilsl.
Alexander Riedler
Der Autor Alexander Riedler, Controller der Landespolizeidirektion OÖ, war bis Mitte 2023 als Oberstleutnant im Landeskriminalamt OÖ federführend für den Aufbau der Cyber-Einheit verantwortlich.
Öffentliche Sicherheit, Ausgabe 9-10/2024
Druckversion des Artikels (PDF 1,1 MB)