Neustadt – Die internationalen Erfolge im Kampf gegen digitale Erpressung zeigen, wie wichtig Cybercrime-Ermittlungen sind. Cyberangriff auf die Stadtverwaltung Neustadt im August 2019 war Ausgangspunkt.
Einleitung zu den Ryuk-Ermittlungen
Der Cyberangriff auf die Stadtverwaltung Neustadt am Rübenberge im August 2019 stellte den Ausgangspunkt für ein bedeutendes Ermittlungsverfahren gegen internationale Ransomware-Kriminelle dar. Die Zentralstelle zur Bekämpfung von Cybercrime bei der Staatsanwaltschaft Verden sowie das Fachkommissariat Cybercrime des ZKD Hannover führten die Ermittlungen zu diesem Angriff. Inzwischen konnten durch die Zusammenarbeit internationaler Ermittlungsbehörden zentrale Akteure identifiziert und Fahndungsmaßnahmen eingeleitet werden.
Monatelange Einschränkungen für die Stadtverwaltung
Monatelang war die Stadtverwaltung Neustadt nur eingeschränkt arbeitsfähig, sämtliche digitale Abläufe lagen lahm. Die Täter forderten eine hohe Summe in Bitcoin und drohten andernfalls mit der Löschung sämtlicher Daten. Ermittlungen ergaben, dass sich die Angreifer über Wochen Zugriff auf die Systeme verschafft hatten. Backup-Systeme waren gezielt unbrauchbar gemacht worden.
Ermittlungen und internationale Zusammenarbeit
In den Folgejahren führten die Ermittlungen der Staatsanwaltschaft Verden und des ZKD Hannover zu einem zentralen deutschen Verfahren gegen die Tätergruppierung sowie zu umfassenden Erkenntnissen zur Struktur hinter der genutzten Schadsoftware „Ryuk“. Unterstützt durch Europol, Eurojust und internationale Partner identifizierten die Ermittler Teile der Tätergruppierung. Gegen sechs tatverdächtige Personen wurden internationale Haftbefehle wegen Bildung bzw. Unterstützung einer kriminellen Vereinigung im Ausland angeregt. Zwei von ihnen stehen in direktem Zusammenhang mit dem Angriff auf die Stadtverwaltung von Neustadt.
Geldwäsche und weitere Ermittlungen
Darüber hinaus ermittelte der ZKD Hannover fünf mutmaßliche Geldwäscher und regte die Fahndung nach diesen an. Diese sollen Kryptowährungsflüsse aus den digitalen Erpressungen verwaltet haben.
Schaden und Zielgruppen der Angreifer
Insgesamt wurden 170 deutsche Fälle der Gruppierung zwischen 2018 und 2021 bekannt. Der bislang dokumentierte Schaden beträgt 46 Millionen Euro, wobei die tatsächliche Summe vermutlich höher liegt. Ziel waren insbesondere Behörden, Krankenhäuser und größere Unternehmen. Auffällig ist, dass die Täter hochkoordiniert vorgegangen sind und verschiedene Schadprogramme wie Emotet, TrickBot und schließlich Ryuk genutzt haben, um Netzwerke auszuspähen, zu übernehmen und lahmzulegen.
Die Bedrohung durch Cyberkriminalität
Die Angreifer gelten als Teil des sogenannten „Wizard Spider“-Netzwerks, einer international agierenden, arbeitsteilig strukturierten Gruppierung, die unter anderem in Russland verortet wird. Der Ermittlungserfolg belegt, dass durch grenzüberschreitende Polizeiarbeit auch hochprofessionell organisierte Cyberkriminalität verfolgt werden kann.
Wichtige Hinweise zur IT-Sicherheit
Trotz der Ermittlungserfolge warnt die Polizeidirektion Hannover vor der weiterhin bestehenden Bedrohung für Behörden, Institutionen und Firmen durch Schadsoftware. Der Schutz vor Cyberangriffen ist heute eine zentrale Säule der öffentlichen und wirtschaftlichen Sicherheit. Die Polizei empfiehlt folgende Maßnahmen:
- Halten Sie Ihre Systeme aktuell
- Schulen Sie Ihre Mitarbeitenden regelmäßig zu IT-Sicherheit
- Führen Sie Backups regelmäßig und physisch getrennt durch
- Melden Sie Cyberangriffe sofort an Ihre örtliche Polizeidienststelle oder die Zentrale Ansprechstelle Cybercrime (ZAC)
NCN/aw – Internationale Erfolge im Kampf gegen digitale Erpressung
