Digitale Kriminalität Online-Betrüger aus Indien erbeuten in der Schweiz ein Vermögen – doch die Strafverfolger sind machtlos

Die Verteidiger: Ermittler der Firma Microsoft bei der Arbeit. Sie unterstützen die Behörden im Kampf gegen Kriminelle, die sich als Microsoft-Angestellte ausgeben. Bild: Microsoft

Auf dem Computerbildschirm erscheint plötzlich eine Fehlermeldung. Das System sei beschädigt und deshalb gesperrt, heisst es darin. Für die Entsperrung müsse man sich auf einer angegebenen Telefonnummer melden.

Wer die Nummer wählt, wird mit einer freundlichen Stimme verbunden. Sie bietet ihre Hilfe an. Sie könne das Problem über einen Fernzugriff auf den Computer lösen, was aber eine Servicegebühr von mehreren hundert Franken koste. In der Verzweiflung willigen viele Betroffene ein. Sie hoffen, so ihre Abschlussarbeit, ihr Familienalbum oder andere wichtige Daten zu retten.

Die Gefahr ist aber nur vorgespielt. Das System ist weder beschädigt noch gesperrt. Der einzige Fehler ist die Fehlermeldung an sich.

Die Betrugsmasche heisst «Microsoft Support Scam». Kriminelle geben sich dabei als Angestellte von Microsoft aus und bringen ihre Opfer dazu, ihnen Geldbeträge zu schicken, persönliche Daten zu verraten oder einen Fernzugriff auf ihr System zu gewähren. Der Betrug beginnt auf unterschiedliche Arten: mit Fakeanrufen, Spammails oder Pop-up-Meldungen.

Das Vorgehen ist professionell. Die Telefonnummern sind so programmiert, dass auf dem Display des Opfers tatsächlich der Name «Microsoft» erscheint. Das Geld wird meistens über Onlinegeschenkkarten transferiert, wodurch die Spuren verwischt werden. Die Telefonisten sind psychologisch geschult und schaffen es, auch erfahrene Online-Nutzer zu täuschen.

Die Naivität von Digital Natives

Eine Untersuchung von Microsoft zeigt, dass die Mehrheit der Betroffenen zwischen 18 und 37 Jahre alt ist. Also gerade jene Nutzer, die sich eigentlich am besten mit der Technologie auskennen sollten, werden am häufigsten getäuscht. Das liegt daran, dass diese Generation ein riskanteres Surfverhalten hat und dadurch am häufigsten auf infizierten Websites landet. Hinzu kommt ein zu grosses Vertrauen in das eigene Gerät, das die Fehlermeldung anzeigt, und in grosse Namen wie Microsoft. Senioren fallen hingegen am häufigsten herein, wenn der Betrugsversuch mit einem unerwarteten Telefonanruf beginnt.

Die Kriminellen machen ihr Geld über die Masse an automatisierten Betrugsversuchen. Das Geschäft rentiert, wenn ein kleiner Prozentsatz hereinfällt. Im weltweiten Durchschnitt verlieren sechs Prozent der Leute Geld, die mit dem Trick konfrontiert sind. In der Schweiz sind es sogar neun Prozent. Das ist ein internationaler Spitzenplatz.

Die Bundeskriminalpolizei hat eine schweizweite Fallübersicht der vergangenen Jahre erstellt. Sie dokumentiert 400 Fälle mit einer Gesamtdeliktsumme von fast einer Million Franken. Die Ermittler vermuten, dass hinter vielen Fällen die gleichen Täter stecken. Ihre IP-Adressen sind in Indien registriert, viele von der gleichen Firma.

Oft funktioniert das Geschäft so: Unternehmen in der indischen Hauptstadt Neu-Delhi betreiben in ihrem Hauptgebäude ein legales Callcenter, zum Beispiel für ein Reisebüro mit schlechten Geschäftszahlen. Auf einer unscheinbaren Etage oder in einem Nebengebäude liegt ein illegales Callcenter, von wo aus die Betrüger mit ihren Opfern aus der ganzen Welt in Kontakt treten.

Die Schweiz initiierte eine europäische Ermittlungsaktion

Wenn Opfer in der Schweiz Strafanzeige einreichten, geschah bisher nichts. Die Polizei legte den Fall jeweils unbearbeitet im Archiv ab oder die Staatsanwaltschaft stellte das Verfahren ein.

Angesichts der immer grösser werdenden Schadenssumme hat sich inzwischen aber die Bundesanwaltschaft eingeschaltet. Sie lancierte ein Pilotverfahren, in dem sie alle rechtlichen Möglichkeiten ausschöpfte.

Die Schweiz initiierte eine Sitzung der europäischen Polizeibehörde Europol. Diese ergab, dass die Strafverfolgungsbehörden von Deutschland und der Niederlande mit den gleichen Betrügern konfrontiert sind und etwas dagegen unternehmen wollen. Die Bundesanwaltschaft ging mit diesen Staatsanwaltschaften eine Kooperation ein.

Die drei Länder reichten gleichzeitig inhaltlich abgestimmte Rechtshilfeersuchen bei der indischen Regierung ein. Sie hofften, mit dem internationalen Druck an die Täter hinter den indischen IP-Adressen zu kommen. Die Ermittler warteten ein halbes Jahr. Doch die indische Regierung schickte ihnen nicht einmal eine Antwort.

Die Bundesanwaltschaft unternahm einen letzten Versuch. Sie schickte ihr Ermittlungsdossier nach Indien mit der Bitte, dass die indischen Behörden selber aktiv werden sollten. Die Republik von Indien schickte eine Eingangsbestätigung nach Bern. Doch eine Antwort folgte auch diesmal nicht.

Die Bundesanwaltschaft sieht ihr Scheitern als Erfolg

Das Pilotverfahren ist deshalb gescheitert. Die Einstellungsverfügung der Bundesanwaltschaft liegt dieser Zeitung vor. Die Bundesanwaltschaft zieht dennoch ein positives Fazit: Künftige Fälle könnten nun «ressourcenschonender und effektiver» bearbeitet werden. Mit anderen Worten: Da nun offiziell bekannt ist, dass Ermittlungen nichts bringen, kann die Polizei künftige Strafanzeigen noch schneller als bisher im Archiv verschwinden lassen.

Es ist ein typisches Problem bei der Bekämpfung von digitaler Kriminalität. Die Aufklärungsraten sind miserabel. Die Mehrheit der angezeigten Täter kann nicht ermittelt werden, wie die Kriminalitätsstatistik zeigt. Von allen angezeigten Fällen von Cyberbetrug, wozu «Microsoft Support Scam» zählt, können 38 Prozent aufgeklärt werden. Die schlechtesten Karten hat, wer Opfer von «Ransomware» wird, wenn das System also mit einer Schadsoftware infiziert ist und Lösegeld verlangt wird, um den Zugang zurückzuerhalten. Lediglich 1,8 Prozent dieser Fälle konnten in der Schweiz im vergangenen Jahr aufgeklärt werden.

Die kantonal und national organisierten Strafverfolgungsbehörden sind in den meisten Fällen machtlos gegen international organisierte Onlinebetrüger. Wie das gescheiterte Pilotverfahren zeigt, arbeiten die Schweizer Ermittler mit einer stumpfen Waffe. Ein Rechtshilfegesuch bringt bei einem Staat wie Indien nichts. Die dortige Regierung hat grössere Probleme. Mit dem Onlinebetrug haben immerhin einige tausend junge IT-Leute ein regelmässiges Einkommen.

Ein britischer Hacker erreicht mehr als alle Staatsanwälte

Die indische Polizei wird erst aktiv, wenn der Druck gross ist. Dafür braucht es mehr als ein Rechtshilfeersuchen aus Bern. Es braucht zum Beispiel einen britischen Hacker. Er tritt unter dem Pseudonym Jim Browning auf, weil er sich mit seinen Methoden selbst strafbar machen könnte. Er hat den Betrügern aus Indien eine Falle gestellt.

Er rief auf eine der Telefonnummern an, die in den fingierten Fehlermeldungen angegeben sind, und gewährte den Tätern Zugriff auf sein System. Dabei verfolgte er ihre Spur zurück und führte einen Gegenangriff aus. Er hackte sich in ihr System: in ihre Rechner und sogar in die damit verbundenen Überwachungskameras. So konnte er in ihr Callcenter schauen und den Alltag dieser kriminellen Organisationen dokumentieren. Es sieht aus wie in einem ganz normalen IT-Betrieb.

Der Gegenangriff eines Hackers: Er spionierte die Betrüger aus. Jim Browning

Ein Unterschied ist das Prozedere nach dem Eintritt. Die Angestellten geben ihre Handys ab, damit sie ihre Taten nicht dokumentieren und ihre Arbeitgeber später nicht damit erpressen können. Danach nehmen sie mit einem Headset Platz und einen Anruf nach dem anderen entgegen. Geduldig versuchen sie, ihren Opfern das Problem zu erklären und sie zu einer Geldüberweisung zu drängen.

Es sind vor allem Männer zwischen zwanzig und dreissig Jahren, die so ihr Geld verdienen. Pro Monat kommen sie auf umgerechnet einige hundert Franken, was in Indien weit reicht. Es ist ein gemütlicher Job. Das Risiko, gefasst zu werden, ist gering. Der Stress ebenfalls. Die Videoaufnahmen aus dem Callcenter zeigen, wie auf mehreren Bildschirmen das Computerspiel «Pac-Man» läuft, während die Betrüger mit ihren Opfern telefonieren. Erst wenn sie ein Programm ausführen oder eine Geldüberweisung starten, unterbrechen sie ihr Spiel.

Die Täter: Indische Onlinebetrüger bei der Arbeit. Ein Hacker spionierte sie durch ihre eigenen Überwachungskameras aus. Screenshot: Jim Browning

Der britische Hacker konnte das Gebäude lokalisieren, aus dem diese Männer ihr doppeltes Spiel betrieben, und liess es von einem Kollegen in Indien mit einer Drohne filmen. So ist eine Youtube-Serie entstanden, welche das Betrugssystem offenlegt.

Die BBC und Microsoft können etwas bewegen

Was den europäischen Strafverfolgungsbehörden nicht einmal in einer koordinierten Aktion gelingt, schafft ein Hacker im Alleingang. Mit seinen Youtube-Videos alleine hätte er jedoch noch nichts bewegt. Deshalb hat er sich bei der BBC-Sendung «Panorama» gemeldet. Eine Reporterin hat sein Material mit Recherchen vor Ort ergänzt und die Untätigkeit der indischen Justiz dokumentiert. Nach der Veröffentlichung ging es aber plötzlich schnell. Indische Strafverfolger führten eine Razzia durch und nahmen die Betrüger fest.

Die BBC dokumentiert das Geschäftsmodell indischer Betrüger. BBC

Mittlerweile führt das indische Central Bureau of Investigation Ermittlungen gegen sechs Firmen in Neu-Delhi und anderen Städten. Die Zwischenbilanz: 38 Callcenter wurden durchsucht und 90 Personen verhaftet. Diese Fälle gehen auf Anzeigen von Microsoft zurück.

Für den Konzern sind die Betrügereien unter seinem Namen zu einem Imageproblem geworden. Deshalb hat er eine eigene Ermittlungseinheit aufgebaut, welche die Strafverfolgungsbehörden unterstützt. Bisher konnten so vor allem Fälle mit Opfern in den USA, Kanada und Grossbritannien aufgeklärt werden. Die Schweiz ist auf diesem Gebiet noch Entwicklungsland.