Nach dem erfolgreichen Schlag gegen ein international agierendes Netzwerk von Cyberkriminellen und Erpressern steht nun die Suche der Hintermänner im Fokus. Die Identifizierung der Täter sei Gegenstand der Ermittlungen, so ein Sprecher der Staatsanwaltschaft Stuttgart am Freitag. Festnahmen habe es bisher noch keine gegeben. Es werde auch geprüft, ob es in dem Fall Verbindungen nach Russland gebe.
Seit dem Frühjahr 2022 bearbeitet eine Ermittlungsgruppe den Komplex. Ihr gehören aktuell sieben Spezialisten an. Die Polizei geht davon aus, dass sie noch länger mit den Recherchen beschäftigt sein werde. Der Präsident des Polizeipräsidiums Reutlingen, Udo Vogel, rief Unternehmen dazu auf, keine ungeschützte Firmensoftware zu verwenden. "Für so eine Gruppe ist der Standort unerheblich", sagte er der Deutschen Presse-Agentur. Es gehe nur darum, wo man Schaden hervorrufen und Geld erpressen könne. Da sei jede Firma und letztlich auch jede Sparte recht.
Im SWR-Interview am Donnerstagabend hatte Vogel die Hintergründe der Ermittlungen erklärt und den Erfolg für die Polizei eingeordnet:
Cyberattacken in Baden-Württemberg: Hohe Dunkelziffer
Allein bei der Zentralen Ansprechstelle Cybercrime beim Landeskriminalamt (LKA) gehen jährlich Hunderte Hinweise auf mögliche Cyberattacken auf Unternehmen und Behörden ein, die Dunkelziffer ist riesig. "Ganz extrem ist es, wenn Krankenhäuser angegriffen werden, wenn Menschenleben auf dem Spiel stehen, weil die Infrastruktur einer Klinik zerstört oder beeinträchtigt wird", sagte Vogel. US-Behörden berichteten am Donnerstag auch von einem Fall aus den USA, wo eine Klinik nach einer Attacke keine neuen Patienten mehr aufnehmen konnte und keinen Zugriff mehr auf die elektronischen Patientendaten hatte.
Anfang des vergangenen Jahres war auch der Klinikverbund "Medizin Campus Bodensee" Ziel einer Cyberattacke geworden. Dabei waren hauptsächlich die IT-Systeme des Klinikums Friedrichshafen und der Klinik Tettnang (beides Bodenseekreis) betroffen. Die Patientenversorgung war damals aber gewährleistet. Nach damaligen Angaben des Innenministeriums ist das Gesundheitswesen ein interessantes Ziel für Cyberkriminelle, da das Erpressungspotenzial dort aus deren Sicht aufgrund der vorhandenen sensiblen Daten und IT-Infrastrukturen hoch sei.
Diese Angriffe auf Computersysteme mit Verschlüsselungstrojanern (Ransomware) gelten seit Jahren als die gravierendste Bedrohung der Cybersicherheit. Dabei blockiert eingeschleuste Schadsoftware die Unternehmen oder legt ihre Infrastruktur lahm. Geschädigte können so nicht mehr auf ihre Daten zugreifen. Die Täter verlangen Lösegeld (englisch "ransom") für die Entschlüsselung. Abgerechnet wird oft in der Digitalwährung Bitcoin. "Wir haben aber gezeigt, dass man nicht machtlos ist und dass man sehr wohl im Internet recherchieren, fahnden und Verbrecher dingfest machen kann", sagte Polizeipräsident Vogel weiter. "Man kann ihnen auf diesem Weg sogar Infrastruktur wegnehmen."
Weltweit agierende Hacker-Gruppe mit über 1.500 Angriffen
Vogels Polizeipräsidium war beteiligt an den Ermittlungen gegen die bis dahin unbekannte, international agierende Hacker-Gruppe. Diese soll in den vergangenen anderthalb Jahren weltweit für mehr als 1.500 schwere Cyberangriffe gegen Unternehmen und Organisationen verantwortlich gewesen sein. Mehr als 70 Angriffe richteten sich nach Angaben der Staatsanwaltschaft Stuttgart gegen Einrichtungen in Deutschland, darunter drei aus Baden-Württemberg. Der verursachte Schaden bei den betroffenen Unternehmen und öffentlichen Institutionen soll nach Schätzungen der Ermittler "in die Milliarden gehen".
Bei dem Netzwerk handelt es sich nach Angaben der Behörden um die Gruppe "Hive Ransomware", die nicht nur wichtige Daten der Opfer verschlüssele, sondern auch Erpressungstools entwickelt habe, um mit einer Veröffentlichung von sensiblen Daten Druck auf das Opfer auszuüben. Das Netzwerk hat demnach in den vergangenen Jahren mehr als 100 Millionen US-Dollar (rund 92 Millionen Euro) an Lösegeldzahlungen erbeutet. Cyberspezialisten in Esslingen war es im vergangenen Jahr gelungen, in die IT-Infrastruktur der Täter einzudringen.
Die Spezialisten hätten dann die Spur zu dem bis dahin nicht bekannten Netzwerk zurückzuverfolgen können und schließlich den entscheidenden Hinweis geben können. Im Zuge der Ermittlungen seien Server beschlagnahmt und die Dienste des Netzwerks unzugänglich gemacht worden.