Mit der kontinuierlichen Professionalisierung und dem stetigen Wachstum der Cyber- und der digitalen Kriminalität werden die Cyber-Ermittlungen beim Bund und den Kantonen zusehends gefordert. Ziel muss es nun sein, die Ressourcen in den Polizeikorps zu bündeln. Erfahren Sie in diesem Blog mehr über MINA, das sichere Netz-Zugangstool der CyOne Security am fiktiven Beispiel des Zentralschweizer Polizeikonkordats.

Um im Wettlauf gegen die Cyber-Kriminellen mit Ermittlungserfolgen zu bestehen, hat die Konferenz der Kantonalen Polizeikommandanten (KKPKS) im November 2018 das Netzwerk «NEDIK» ins Leben gerufen. Mit diesem Netzwerk soll eine unkomplizierte Bündelung der in den verschiedenen Polizeikorps vorhandenen Ressourcen und Know-hows in der Cyber-Kriminalität erreicht werden.

Der Lösungsansatz MINA (Multi Identity Network Access) unterstützt diese pragmatische und auf die föderalistische Eigenart ausgerichtete Idee und erweitert diese mit einer sicheren Plattform auch auf die operativen technischen Einsatzmittel. Durch den gewählten Architekturansatz können korpsübergreifend konsistente Arbeitsbenutzer- und Hardwareprofile zentral für die Cybercrime-Ermittler, die IT-Forensiker sowie den direkten Zugang für die Verfahrensleitung zur Verfügung gestellt werden.

Situation und Herausforderungen in der heutigen Cyber-Ermittlung

Egal ob im Netz recherchiert oder aufgeklärt wird: Für eine effektive Cyber-Ermittlung ist es wichtig, sich unauffällig und konsistent im Internet und innerhalb des Darknets bewegen zu können. Herausfordernd für die Ermittlungen ist dabei, dass die zur Verfügung gestellte Infrastruktur oftmals in einem Verwaltungsumfeld (Bund / Kanton) eingebettet ist. Jedes Polizeikorps muss somit mindestens über ein oder mehrere getarnte (ohne Bezug zur Polizei oder Verwaltung) Internetzugänge (Proxy-Sites) verfügen, da für die Ermittlungsarbeit im Netz nicht immer öffentliche Anonymisierungsnetze wie TOR oder I2P verwendet werden können. Oft sollen für die Ermittlungen ganz normale Internetbenutzer-Profile zur Anwendung kommen. Für die Forensikaufgaben sind hingegen gerichtsverwertbare Arbeitsinstrumente von zentraler Bedeutung. Für das Verfahren steht wiederum das Thema Unveränderbarkeit und Signierungen von digitalen Rohdaten im Vordergrund.

Die Lösung: ein sicheres korpsübergreifendes Netz-Zugangstool für Cyber-Ermittler

Stellvertretend für verschiedene denkbare Zusammenarbeitsmodelle kann anhand des Zentralschweizer Polizeikonkordats fiktiv aufgezeigt werden, wie das MINA-System die Anforderungen für eine moderne Cyber-Ermittlung zu erfüllen vermag. Das effiziente Zusammenspiel des MINA-Systems basiert auf folgenden Komponenten:

  1. Profile- und Hardware-Manager-Einheit im MINA-Back-End, welche für die Zusammenstellung und die Aufrechterhaltung von Tarnidentitäten verantwortlich ist. Zusätzlich wird die konsistente Hardware-Verwendung geregelt. Dies sowohl gegenüber den Ermittlern (intern) als auch gegenüber dem öffentlichen Netz (extern). Dabei stehen dem Anwender alle klassischen Client- und Server- sowie mobilen Smartphone-Betriebssysteme (inkl. konsistenter International Mobile Equipment Identity [IMEI]) zur Verfügung.
  2. Sichere Anbindung der existierenden Proxy-Sites (getarnte Internetzugänge) der Polizei. Um die Varianz zu erhöhen, können die verschiedenen Polizeikorps ihre Internetzugänge Ermittlern anderer Kantone zur Verfügung stellen (shared resources). Zudem kann MINA bei Bedarf entsprechende 4G- / 5GDaten-Gateways für den Zugang über ein Telekomprovidernetzwerk sowie Remote-WiFi-Clients für den Zugang über Public-Hotspots zur Verfügung stellen. Im Bedarfsfall können die verwendeten SIM-Karten zentral auf einem SIM-Server verwaltet werden.
  3. Sämtliche ermittlungsrelevanten Daten werden pro Fall und pro Kanton getrennt und chiffriert im MINA-Back-End abgelegt. Sie stehen dort nur dem ermittelnden Polizeikorps inkl. der allfällig beteiligten IT-Forensiker signiert zur Verfügung. Für gemeinsame Daten und Ermittlertools soll für alle involvierten Polizeikorps einen sicheren Zugang zu «Shared Data» geschaffen werden. Zum Beispiel können Daten wie Open Source Information und Ermittlungsansätze aus vorhergehenden Fällen gemeinsam gepflegt werden. Auch die Spezialkompetenzen anderer Kantone und deren Fachapplikationen wie als fiktives Beispiel ein Kryptowährungs-Tracking einer Kantonspolizei können im geregelten Zugriff für andere Korps freigegeben werden.
  4. Für den sicheren Datenimport in das interne Polizeinetz und die Staatsanwaltschaften steht eine entsprechende Datendiode (UDG) zur Verfügung –relevante Rohprodukte können importiert und damit die entsprechenden internen Berichte angereichert werden. So werden die verfahrensleitenden Organe direkt und effizient angebunden.
  5. Damit die Cyber-Ermittler und die IT-Forensiker die operative Arbeit im externen Netz und die Nach- und Aufbereitung im internen Netz an ihrem Arbeitsplatz ausführen können, terminiert MINA diese beiden Zonen auf einem einzigen Arbeitsgerät – dem 9400 Officebook basierend auf der CyOne SmartProtect Technology. Dieses verfügt über eine Hardware-Chiffrierung, einen eigenen unveränderbaren Mikrokernel und das CyOne SmartProtect-Betriebssystem, welches die notwendigen Betriebssysteme der beiden Zonen (externe operative Ermittlung und interne Administration) optimal virtualisiert. Damit ist das 9400 Officebook immun gegen jegliche Art von Cyber-Angriffen. Im Bedarfsfall kann dieser Arbeitsplatz auch mobil genutzt werden (z. B. im Ermittler-Einsatz vor Ort) oder Bundesbehörden können temporär respektive fallbezogen oder permanent eingebunden werden.