Erpressung per Mausklick: Mutmaßlicher Hacker vor Gericht

Hackerangriffe

Erpressung per Mausklick: Mutmaßlicher Hacker vor Gericht

Mit Schadsoftware soll eine Hacker-Gruppe Computer von Kliniken, Unternehmen und sogar einem Theater sabotiert haben - dann erpresste sie die Opfer. Nun sitzt ein Verdächtiger auf der Anklagebank.

Wer auf Lösegeld aus ist, entführt schon lange keine Menschen mehr und verhandelt auch nicht mit der Polizei. Heutzutage werden Millionensummen über Software und Mausklicks erpresst - und das aus meist sicherer Entfernung. Das gilt nach Überzeugung der Ermittler auch für einen 45 Jahre alter Mann aus der Ukraine, der mit seinen Komplizen und einer Schadstoffsoftware Firmen und Einrichtungen in mehreren Bundesländern lahmgelegt haben soll.

Schweigend sitzt der Mann auf der Anklagebank des Stuttgarter Landgerichts, während ihm eine Dolmetscherin die lange Liste der Vorwürfe vorträgt. Erst ein Datum, dann den Firmennamen, die geforderte Summe in Bitcoin und schließlich die oft kostspieligen Folgen.

Laut Anklageschrift verschaffte sich der 45-Jährige als angeworbener Teil der Gruppierung "GandCrab" vor rund sechs Jahren illegal Zugang zu den Computernetzwerken von 22 deutschen Unternehmen und Einrichtungen. Zu den Opfern zählten mehrere Hersteller von medizinischen Produkten, Beraterfirmen - und sogar die Württembergischen Staatstheater in Stuttgart. Die Daten der Erpressungsopfer verschlüsselte die Gruppe mit einer Schadsoftware ("Ransomware").

Die Folge: Die Unternehmen konnten nicht mehr auf ihre Daten zugreifen. Etliche Firmen konnten keine Aufträge mehr annehmen, die Produktion lag teils tagelang still, Mitarbeitende mussten zu Hause bleiben. Die Staatstheater mussten für fünf Tage auf den analogen Kartenverkauf umstellen, weil das digitale Ticketing mutwillig blockiert wurde.

Schwerpunkt der Fälle in Baden-Württemberg

Allein diesen 22 Geschädigten soll durch die Datenverschlüsselung und den Systemausfall ein wirtschaftlicher Schaden von rund 2,3 Millionen Euro entstanden sein, eine Million Euro davon bei den Staatstheatern, wie die Staatsanwaltschaft zusammengerechnet hat. Ein Schwerpunkt der Hackerangriffe liegt in Süddeutschland. Erpressungsversuche soll es aber auch in Bayern, Niedersachsen, Nordrhein-Westfalen, Schleswig-Holstein und im Saarland gegeben haben.

Ferner trug das Landeskriminalamt (LKA) mehr als 80 Fälle aus Deutschland mit einem Gesamtschaden von knapp 33 Millionen Euro zusammen, die "GandCrab" oder der Nachfolgegruppierung "REvil" zuzuordnen sind. Noch größerer Schaden habe abgewendet werden können, weil das LKA mehr als 300 Firmen rechtzeitig gewarnt habe. "Bei mindestens 17 dieser Unternehmen hatte die Verschlüsselung der Daten unmittelbar bevorgestanden", teilte das LKA nach der Festnahme mit.

Zwei Hauptverdächtige bekannt

Bekannt sind demnach auch mindestens zwei weitere mutmaßliche Hauptakteure, die nach wie vor mit internationalen Haftbefehlen gesucht werden. Bei den Männern mit russischer Staatsangehörigkeit handele es sich um den mutmaßlichen Kopf der Gruppierungen sowie den mutmaßlichen Entwickler der Erpressungssoftware, teilte das LKA mit.

Die Ransomware "GandCrab" gehörte in den damaligen Jahren zur am häufigsten eingesetzten Erpresser-Software. "Der wirtschaftliche Schaden, der durch die Verschlüsselungsangriffe dieser Gruppierung weltweit entstanden ist, wird auf mehrere 100 Millionen Euro geschätzt", teilte das LKA weiter mit.

Hacker drohen mit Veröffentlichung

Bei einem "Ransomware"-Angriff werden in der Regel die Opfer zunächst von den Cyberkriminellen ausspioniert. Danach werden die IT-Systeme der Opfer verschlüsselt und eine Entschlüsselung erst gegen Zahlung eines Lösegelds (engl. Ransom) in Aussicht gestellt. Immer öfter wird zusätzlich mit der Veröffentlichung von zuvor entwendeten Daten gedroht, um die Opfer zusätzlich unter Druck zu setzen.

Cyberkriminelle stellen ihre Lösegeld-Forderungen fast ausschließlich in Bitcoin, weil sie sich von der Kryptowährung eine weitgehende Anonymität versprechen.

Milliardenschwerer Schaden durch Angriffe

Derartige Angriffe mit Ransomware zählen zu den schwerwiegendsten Bedrohungen für Unternehmen und die öffentliche Verwaltung. Bundesweit haben 2023 mehr als 800 Unternehmen und Institutionen Ransomware-Fälle angezeigt, wie es im Bundeslagebild des Bundeskriminalamtes heißt. Die explizit ausgewiesenen Schäden durch Erpressung mit gestohlenen oder verschlüsselten Daten belaufen sich demnach auf 16,1 Milliarden Euro.

Opfer von Cyberangriffen mit Erpressungssoftware sollen im Jahr 2023 weltweit erstmals mehr als umgerechnet eine Milliarde Euro an Lösegeld bezahlt haben - die Dunkelziffer ist aber hoch. Das geht aus dem "Crypto Crime Report 2024" der Analysefirma Chainalysis hervor.

Der Schaden, der mit dieser "Ransomware" angerichtet werde, sei noch viel höher. Der Bericht erfasst nur geleistete Lösegeldzahlungen, aber nicht die wirtschaftlichen Auswirkungen von Produktivitätsverlusten und Reparaturkosten im Zusammenhang mit Angriffen.