Am Stuttgarter Landgericht wird derzeit ein Fall verhandelt, der unter Cyber-Kriminellen und jenen, die gegen sie ermitteln, für viel Aufsehen gesorgt hat. Auf der Anklagebank sitzt ein 45-jähriger Ukrainer. Er soll mit der kriminellen Hacker-Gruppe "REvil" zusammengearbeitet haben, mit deren Schadsoftware etliche Unternehmen und Einrichtungen angegriffen wurden. "Der wirtschaftliche Schaden, der durch die Verschlüsselungsangriffe dieser Gruppierung weltweit entstanden ist, wird auf mehr als 100 Millionen Euro geschätzt", hieß es vom Landeskriminalamt beim Prozessauftakt im März.
Das Vorgehen bei solchen "Verschlüsselungsangriffen": Die Cyber-Kriminellen spionieren ihre Opfer im digitalen Raum aus, um sich Zugang zu deren IT-Systemen zu verschaffen. Dann folgt der Angriff. Mithilfe einer Schadsoftware verschlüsseln sie die Daten der Opfer - diese sind dadurch arbeitsunfähig. Nur gegen die Zahlung eines Lösegelds, so das Versprechen, werden die Daten wieder entschlüsselt. Oft setzen die Kriminellen ihre Opfer zusätzlich unter Druck, indem sie mit der Veröffentlichung ihrer Daten drohen.
Angriff auf die Württembergischen Staatstheater
"REvil", in der Szene zuvor auch als "Grand Crab" bekannt, soll so allein in Deutschland Schäden in Höhe von 33 Millionen Euro verursacht haben. Der Schwerpunkt der Angriffe lag in Süddeutschland. Allein der in Stuttgart angeklagte Ukrainer soll für mindestens 22 Angriffe auf Unternehmen und Einrichtungen verantwortlich sein. In Baden-Württemberg am folgenschwersten war ein Angriff auf die Württembergischen Staatstheater in Stuttgart, allein dort betrug der Schaden laut Ermittlern eine Million Euro.
Hacker erpressen Firmen in Heilbronn und Neckarsulm Immer mehr Cyberangriffe: Firmen in Heilbronn rüsten auf
Angriffe von Hackern gehören für einige Unternehmen mittlerweile fast zum Alltag. Betriebe suchen deshalb häufiger Hilfe bei IT-Sicherheitsfirmen. Die Nachfrage steigt.
Weitere Schäden konnte das Landeskriminalamt eigenen Angaben zufolge abwenden, weil es mehr als 300 Firmen rechtzeitig gewarnt habe. "Bei mindestens 17 dieser Unternehmen hatte die Verschlüsselung der Daten unmittelbar bevorgestanden", so das baden-württembergische Landeskriminalamt, das bei den Ermittlungen in Deutschland federführend war. Im Sommer 2024 konnte der heute Angeklagte in der Slowakei ausfindig gemacht und festgenommen werden. Zwei weitere Hauptverdächtige seien weiterhin auf der Flucht: der mutmaßliche Kopf der Bande und der mutmaßliche Entwickler der Erpressungssoftware - beide russische Staatsangehörige.
Cybercrime-Industrie mit hochprofessionellen Akteuren
Lösegelderpressungen durch Cyber-Angriffe sind für Kriminelle ein lohnendes Geschäft. "Wir sprechen hier von einer Cybercrime-Industrie, mit hochprofessionellen Akteuren", sagt Carolin Krenz, die im Landeskriminalamt die Inspektion Cybercrime leitet. Sie beschreibt, dass die Kriminellen arbeitsteilig vorgehen: "Die haben einen Spezialisten, der macht nichts anderes, als die Schadsoftware zu entwickeln." Die Angriffe führten dann andere durch, so Krenz. Diese Hacker seien in den IT-Systemen von Unternehmen und Behörden "den ganzen Tag auf der Suche nach offenen Türen oder nach nicht gut gesicherten Fenstern, in die sie einbrechen können".
Wochenrückblick Stuttgart Digitale Spurensuche: Jagd auf Cyberkriminelle
Kriminelle begehen im Internet perfide Verbrechen. Dabei verwischen sie geschickt ihre Spuren. Trotzdem können Ermittler immer wieder Erfolge melden. Wie gehen sie vor?
Dabei, so die Ermittler, hätten sich sogenannte "Franchise"-Modelle entwickelt, wie in der legalen Wirtschaft. Heißt übertragen auf die Welt der Cyber-Kriminalität: Eine Gruppierung entwickelt die Schadsoftware und stellt sie dann anderen zur Verfügung - gegen eine Gebühr oder eine Beteiligung an den Lösegeldern. Die Angriffe führen diese "Partner" dann selbst aus. "Crime as a Service" nenne sich das: Kriminalität als Dienstleistung. Auch die Gruppe "REvil" soll so vorgegangen sein.
Auch Staaten haben Interesse an gehackten Daten
Nicht immer geht es den "Kunden" der Schadsoftware darum, Lösegelder zu erpressen: Auch staatliche Akteure haben Interesse daran, sich auf diese Weise Zugriff auf Daten zu verschaffen. "Das können ja durchaus auch sicherheitssensible Daten sein", betont Inspektionsleiterin Krenz.
Die Grenzen zwischen kriminellen Gruppierungen und staatlichen Akteuren verschwimmen immer mehr.
Die Cyber-Kriminellen agieren weltweit. Umso wichtiger ist es auch für die Ermittler, sich international zu vernetzen. Das betont auch Kriminalhauptkommissar Daniel Lorch, der in Esslingen für die Inspektion Cybercrime arbeitet. Hinter seinem Schreibtisch hängen die Wappen von Polizeieinheiten aus aller Welt, darunter auch ein Dankesschreiben des FBI - an Lorch persönlich.
Esslinger Ermittlungsgruppe kooperiert mit dem FBI
Lorch und seine Ermittlungsgruppe haben bei internationalen Ermittlungen gegen Cyber-Kriminelle schon mehrfach eine zentrale Rolle gespielt. 2023 gelang den Esslingern ihr bislang größter Coup: Gemeinsam mit dem FBI, Europol und Ermittlern aus 13 Nationen gelang es ihnen, die gefürchtete Hacker-Gruppe "Hive" zu zerschlagen.
Lorch berichtet von einem "Hive"-Angriff auf eine Klinik im brasilianischen Rio de Janeiro. Auch "lebenserhaltende Systeme, sprich Sauerstoffversorgung", seien von dem Angriff betroffen gewesen: "Da sind im OP Patienten verstorben", so Lorch. Auch in Baden-Württemberg gab es Angriffe durch "Hive", zum Beispiel auf den Medizin Campus Bodensee - zum Glück mit weniger dramatischen Folgen. Weltweit hat die Gruppe wohl Schäden in Milliardenhöhe verursacht.
Niedrige Aufklärungsquote im Bereich Cyberkriminalität
Trotz der Bemühungen von international anerkannten Ermittlern wie Lorch und seinen Mitarbeitern: Die Fallzahlen im Bereich Cybercrime steigen. Fast 15.000 Delikte waren es im vergangenen Jahr allein in Baden-Württemberg - ein neuer Höchststand. Der Schaden: fast 18 Millionen Euro. Die Aufklärungsquote lag bei knapp 36 Prozent. Dazu kommt das große Dunkelfeld: Viele betroffene Unternehmen bringen Angriffe gar nicht erst zur Anzeige, aus Angst um ihren Ruf.
Das Landeskriminalamt versucht, dem entgegenzuwirken, etwa mit seiner "Zentralen Ansprechstelle Cybercrime für Unternehmen und Behörden". Außerdem kümmert sich die ans Innenministerium angedockte "Cybersicherheitsagentur" um eine bessere Vorbeugung gegen Cyber-Angriffe. Doch angesichts der immer weiter steigenden Zahl an Cyber-Delikten drängt sich der Eindruck auf: Die Kriminellen sind den Ermittlern oft einen Schritt voraus.
Ermittler aus Baden-Württemberg brauchen langen Atem
Lorch sieht das anders: "Unsere Ermittlungserfolge haben eingeschlagen in der Szene", sagt er. "Crime as a Service", also Kriminalität als Dienstleistung, dieses Geschäftsmodell sei auf dem Rückzug, so sein Eindruck: "Das ist vielen zu heiß geworden."
Für die Ermittler ist die Jagd auf Cyber-Kriminelle oft ein langwieriges Unterfangen. "Man braucht Durchhaltevermögen und Biss", sagt Lorch. Das zeigt sich auch am Landgericht Stuttgart: Der Prozess gegen den Ukrainer, der mit der Schadsoftware der Gruppe "REvil" Angriffe ausgeführt haben soll, läuft schon seit März und ist noch lange nicht zu Ende: Erst Anfang 2026 wird mit einem Urteil gerechnet.
