Cyberkriminelle erpressen Unternehmen, aber die Ermittler sind ihnen auf den Versen. (Symbolbild) Foto: dpa/Julian Stratenschulte

Eine Hackergruppe erpresst im großen Stil Unternehmen und Organisationen, bis die Ermittler zuschlagen und das Netzwerk zerschlagen - mit ganz entscheidender Unterstützung aus Baden-Württemberg.

Nach dem erfolgreichen Schlag gegen ein international agierendes Netzwerk von Cyberkriminellen und Erpressern steht nun die Suche der Hintermänner im Fokus. Die Identifizierung der Täter sei Gegenstand der Ermittlungen, sagte ein Sprecher der Staatsanwaltschaft Stuttgart am Freitag. Festnahmen habe es bisher noch keine gegeben. Es werde auch geprüft, ob es in dem Fall Verbindungen nach Russland gebe. Seit dem Frühjahr 2022 bearbeitet eine Ermittlungsgruppe den Komplex. Ihr gehören aktuell sieben Spezialisten an.

Die Polizei ging davon aus, dass sie noch länger mit den Recherchen beschäftigt ist. „Es sind keine Ermittlungen, die in zwei bis drei Monaten abgeschlossen sind.“

Der Präsident des Polizeipräsidiums Reutlingen, Udo Vogel, rief Unternehmen dazu auf, keine ungeschützte Firmensoftware zu verwenden. Vogel sagte der Deutschen Presse-Agentur: „Für so eine Gruppe ist der Standort unerheblich.“ Da gehe es nur darum, wo könne man angreifen, wo könne man Schaden hervorrufen, wo könne man Geld erpressen. Da sei jede Firma und letztlich auch jede Sparte recht. Allein bei der Zentralen Ansprechstelle Cybercrime beim Landeskriminalamt (LKA) gehen jährlich Hunderte Hinweise auf mögliche Cyberattacken auf Unternehmen und Behörden ein, die Dunkelziffer ist riesig.

Angst vor Angriffen auf Krankenhäuser

„Ganz extrem ist es, wenn Krankenhäuser angegriffen werden, wenn Menschenleben auf dem Spiel stehen, weil die Infrastruktur einer Klinik zerstört oder beeinträchtigt wird“, sagte Vogel. US-Behörden berichteten am Donnerstag auch von einem Fall aus den USA, wo eine Klinik nach einer Attacke keine neuen Patienten mehr aufnehmen konnte und keinen Zugriff mehr auf die elektronischen Patientendaten hatte. Anfang des vergangenen Jahres war auch der Klinikverbund „Medizin Campus Bodensee“ Ziel einer Cyberattacke geworden. Dabei waren hauptsächlich die IT-Systeme des Klinikums Friedrichshafen und der Klinik Tettnang betroffen. Die Patientenversorgung war damals aber gewährleistet.

Nach damaligen Angaben des Innenministeriums ist das Gesundheitswesen ein interessantes Ziel für Cyberkriminelle, da das Erpressungspotenzial dort aus deren Sicht aufgrund der vorhandenen sensiblen Daten und IT-Infrastrukturen hoch sei.

Diese Angriffe auf Computersysteme mit Verschlüsselungstrojanern (Ransomware) gelten seit Jahren als die gravierendste Bedrohung der Cybersicherheit. Dabei blockiert eingeschleuste Schadsoftware die Unternehmen oder legt ihre Infrastruktur lahm. Geschädigte können so nicht mehr auf ihre Daten zugreifen. Die Täter verlangen Lösegeld (englisch „ransom“) für die Entschlüsselung, das ist ein besonders einträgliches Geschäft. Abgerechnet wird oft in der Digitalwährung Bitcoin.

„Wir haben aber gezeigt, dass man nicht machtlos ist und dass man sehr wohl im Internet recherchieren, fahnden und Verbrecher dingfest machen kann“, sagte Polizeipräsident Vogel weiter. „Man kann ihnen auf diesem Weg sogar Infrastruktur wegnehmen.“

Hacker agieren international

Vogels Polizeipräsidium war beteiligt an den Ermittlungen gegen die bis dahin unbekannte, international agierende Hacker-Gruppe, die in den vergangenen anderthalb Jahren weltweit für mehr als 1500 schwere Cyberangriffe gegen Unternehmen und Organisationen verantwortlich gewesen sein soll. Mehr als 70 Angriffe richteten sich nach Angaben der Staatsanwaltschaft Stuttgart gegen Einrichtungen in Deutschland, darunter drei aus Baden-Württemberg. Der verursachte Schaden bei den betroffenen Unternehmen und öffentlichen Institutionen soll nach Schätzungen der Ermittler „in die Milliarden gehen“.

Bei dem Netzwerk handelt es sich nach Angaben der Behörden um die Gruppe „Hive Ransomware“, die nicht nur wichtige Daten der Opfer verschlüssele, sondern auch Erpressungstools entwickelt habe, um mit einer Veröffentlichung von sensiblen Daten Druck auf das Opfer auszuüben. Das Netzwerk hat demnach in den vergangenen Jahren mehr als 100 Millionen US-Dollar (rund 92 Millionen Euro) an Lösegeldzahlungen erbeutet.

Cyberspezialisten in Esslingen war es im vergangenen Jahr gelungen, in die IT-Infrastruktur der Täter einzudringen. Die Spezialisten hätten dann die Spur zu dem bis dahin nicht bekannten Netzwerk zurückzuverfolgen können und schließlich den entscheidenden Hinweis geben können. Im Zuge der Ermittlungen seien Server beschlagnahmt und die Dienste des Netzwerks unzugänglich gemacht worden.