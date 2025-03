Mit seinen Komplizen und einer Schadstoffsoftware soll ein mutmaßlicher Hacker Firmen und Einrichtungen in mehreren Bundesländern teils lahmgelegt haben, um Lösegeld in Millionenhöhe zu erpressen. Der gebürtige Ukrainer sitzt von Dienstag (9.00 Uhr) an wegen gewerbsmäßiger Erpressung und Computersabotage auf der Anklagebank des Stuttgarter Landgerichts. Der damals 44-Jährige war im vergangenen Sommer in der Slowakei festgenommen und ausgeliefert worden.

Nach früheren Angaben des Landeskriminalamts (LKA) Baden-Württemberg soll sich der angeklagte Mann im Frühjahr 2019 illegal Zugang zu den Computernetzwerken von 22 deutschen Unternehmen und Einrichtungen verschafft haben. Zu den Opfern zählten mehrere Hersteller von medizinischen Produkten und auch das Württembergische Staatstheater Stuttgart. Deren Daten verschlüsselte die Gruppe mit einer Schadsoftware («Ransomware»), sodass die Nutzer keinen Zugriff mehr auf ihre Daten hatten.

Schwerpunkt der Fälle in Baden-Württemberg

Allein diesen 22 Geschädigten soll durch die Datenverschlüsselung und den Systemausfall ein wirtschaftlicher Schaden von rund 2,3 Millionen Euro entstanden sein, teilte das Landgericht mit. Ein Schwerpunkt liegt nach früheren Angaben des Cybercrime-Zentrums Baden-Württemberg in Süddeutschland. Erpressungsversuche soll es aber auch in Bayern, Niedersachsen, Nordrhein-Westfalen, Schleswig-Holstein und im Saarland gegeben haben.

«In der Folge war beispielsweise die Produktion der angegriffenen Unternehmen unterbrochen, weil auf wichtige Konstruktionsdaten nicht zugegriffen werden konnte», hatten das Cybercrime-Zentrum und das LKA im vergangenen Oktober mitgeteilt. Allein den 22 Geschädigten sei durch die Datenverschlüsselung und den Systemausfall ein wirtschaftlicher Schaden von mehr als 2,4 Millionen Euro entstanden.

Zwei weitere Verdächtige bekannt

Ferner trug das LKA mehr als 80 Fälle aus Deutschland mit einem Gesamtschaden von knapp 33 Millionen Euro zusammen, die «GandCrab» oder der Nachfolgegruppierung «REvil» zuzuordnen sind. Noch größerer Schaden habe abgewendet werden können, weil das LKA mehr als 300 Firmen rechtzeitig gewarnt habe. «Bei mindestens 17 dieser Unternehmen hatte die Verschlüsselung der Daten unmittelbar bevorgestanden», teilte das LKA nach der Festnahme mit.

Bekannt sind demnach auch mindestens zwei weitere mutmaßliche Hauptakteure, die mit internationalen Haftbefehlen gesucht werden. Bei den Männern mit russischer Staatsangehörigkeit handele es sich um den mutmaßlichen Kopf der Gruppierungen sowie den mutmaßlichen Entwickler der Erpressungssoftware.

Die Ransomware «GandCrab» gehörte in den damaligen Jahren zur am häufigsten eingesetzten Erpresser-Software. «Der wirtschaftliche Schaden, der durch die Verschlüsselungsangriffe dieser Gruppierung weltweit entstanden ist, wird auf mehrere 100 Millionen Euro geschätzt», teilte das LKA weiter mit.

Milliardenschwerer Schaden durch Angriffe

Angriffe mit Ransomware zählen zu den schwerwiegendsten Bedrohungen für Unternehmen und die öffentliche Verwaltung. Bundesweit haben 2023 mehr als 800 Unternehmen und Institutionen Ransomware-Fälle angezeigt, wie es im Bundeslagebild des Bundeskriminalamtes heißt. Die explizit ausgewiesenen Schäden durch Erpressung mit gestohlenen oder verschlüsselten Daten belaufen sich demnach auf 16,1 Milliarden Euro.

Opfer von Cyberangriffen mit Erpressungssoftware sollen im Jahr 2023 weltweit erstmals mehr als umgerechnet eine Milliarde Euro an Lösegeld bezahlt haben - die Dunkelziffer ist aber hoch. Das geht aus dem «Crypto Crime Report 2024» der Analysefirma Chainalysis hervor.

Der Schaden, der mit dieser «Ransomware» angerichtet werde, sei noch viel höher. Der Bericht erfasst nur geleistete Lösegeldzahlungen, aber nicht die wirtschaftlichen Auswirkungen von Produktivitätsverlusten und Reparaturkosten im Zusammenhang mit Angriffen.

Hacker drohen mit Veröffentlichung

Bei einem «Ransomware»-Angriff werden in der Regel die Opfer zunächst von den Cyberkriminellen ausspioniert. Danach werden die IT-Systeme der Opfer verschlüsselt und eine Entschlüsselung erst gegen Zahlung eines Lösegeldes (engl. Ransom) in Aussicht gestellt. Immer öfter wird zusätzlich mit der Veröffentlichung von zuvor entwendeten Daten gedroht, um die Opfer zusätzlich unter Druck zu setzen.

Cyberkriminelle stellen ihre Lösegeld-Forderungen fast ausschließlich in Bitcoin, weil sie sich von der Kryptowährung eine weitgehende Anonymität versprechen.

Im Stuttgarter Prozess plant die 18. Große Strafkammer nach dem Auftakt noch mindestens zehn weitere Verhandlungstage.