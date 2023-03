Hacker-Gruppe enttarnt Cyberkriminelle mit Verbindung nach Russland? Stand: 06.03.2023 16:20 Uhr

NRW-Ermittler haben mit FBI und Europol eine Gruppe weltweit agierender Cyberkrimineller enttarnt. NRW-Innenminister Reul sieht "einen klaren Bezug" der Hacker-Gruppe zum russischen Inlandsgeheimdienst und zur Wagner-Gruppe.

Von Sabine Tenta

Am Montagvormittag informierten zunächst die Behörden, die zusammen die "Ermittlungsgruppe Parker" bilden, die Öffentlichkeit über einen Schlag gegen eine weltweit agierende Cyber-Bande und am frühen Nachmittag legte NRW-Innenminister Herbert Reul (CDU) nach: Er zeichnete Verbindungen zum russischen Inlandsgeheimdienst FSB und zur Söldner-Gruppe Wagner auf, die in der Ukraine die russischen Streitkräfte unterstützt.

Es geht um ein kriminelles Netzwerk, das Lösegeld in Millionenhöhe erpresst, das weltweit Unternehmen, Behörden und Teile der kritischen Infrastruktur geschädigt haben soll. Bekannt seien 601 Geschädigte, 37 von ihnen in Deutschland. Dazu gebe es wohl noch ein großes Dunkelfeld. Computersabotage wird den Verbrechern neben Erpressung vorgeworfen. Die Uni-Klinik Düsseldorf musste nach einem Angriff OPs verschieben und die Notaufnahme schließen, der Betrieb der Funke-Mediengruppe war massiv gestört und der Landkreis Anhalt-Bitterfeld musste nach einer Sabotage den Katastrophenfall ausrufen.

"Diese Menschen gegen die hier ermittelt wird, haben in den vergangenen Monaten massiven Schaden angerichtet und haben auch vor unseren Krankenhäusern und der Presse nicht Halt gemacht", fasste Reul den Schaden zusammen.

Durchsuchungen in Düsseldorf und der Ukraine

In einer gemeinsamen Ermittlungsarbeit unter Federführung der "Zentralen Ansprechstelle Cybercrime" NRW, kurz ZAC, haben Europol, das FBI sowie die niederländische und ukrainische Polizei ein Netzwerk identifiziert, dem diese Taten zur Last gelegt werden. Letzten Dienstag seien drei Objekte in Düsseldorf und drei in der Ukraine durchsucht worden, teilte Reul mit. Durchsuchungsbeschlüsse für vier weitere Beschuldigte seien per Rechtshilfeersuchen an die Russische Föderation und an Moldawien gerichtet worden.

Die Verbindungen zum FSB und der Wagner-Gruppe

Während sich der Leiter der ZAC NRW, Markus Hartmann, noch dezidiert zurückgehalten hatte, die enttarnte Gruppe als "russisches Hacker-Kollektiv" zu bezeichnen, da nicht alle Nationalitäten der Tatverdächtigen klar seien, geht NRW-Innenminister Reul deutlich weiter: "Wir sehen bei einzelnen Personen dieser Tätergruppe auch Beziehungen zum russischen Inlandsgeheimdienst FSB und der paramilitärischen Söldnergruppe Wagner." Das ergebe sich aus öffentlich zugänglichen Quellen.

Konkret sei das ein von der Wagner Gruppe ausgerichteter Hacker-Wettbewerb, an dem einer der Hauptverdächtigen teilgenommen habe. Bei einem anderen Beteiligten gebe es "familiäre Kontakte zu einem ehemaligen, hochrangigen Mitarbeiter des russischen Inlandsgeheimdienstes", so Reul.

Der CDU-Politiker zieht daraus den Schluss, es verdichteten sich die Hinweise auf "eine Auseinandersetzung, wo staatliche Institutionen eine Rolle spielen". Das sei "nicht brandneu, aber relativ klar jetzt mit Händen zu greifen".

Gruppe mit wechselnden Namen

Das Netzwerk, das nun enttarnt wurde, soll laut Ermittlern unter dem Namen "Indrik Spider", aber auch unter "Double Spider" beziehungsweise "Doppel Spider" agiert haben. Konkret habe man diverse Schadsoftware der Bande zuordnen und die Entwicklung der Angriffe nachvollziehen können.

Neben den Attacken in Deutschland soll auch der große Angriff auf den britischen National Health Service 2017 auf das Konto der Kriminellen gehen. Dabei hätten sie eine Ransomware namens "BitPaymer" genutzt, eine Erpressersoftware vom Typ Verschlüsselungstrojaner, so die Ermittler. Seit 2019 sei die Gruppierung vermehrt mit der Ransomware "DoppelPaymer" in Erscheinung getreten, die Bezeichnung sei ab 2021 die Bezeichnung in "PayOrGrief", im Januar 2022 wiederum in "Entropy" geändert worden.

Drei Verdächtige werden gesucht

11 Mitglieder seien konkret identifiziert worden. Acht von ihnen habe man bei Hausdurchsuchungen angetroffen, aber nicht festgenommen. Drei Verdächtige, zwei Männer und eine Frau, sind nun zur internationalen Fahndung ausgeschrieben. Sie seien auch auf der Liste der meistgesuchten Tatverdächtigen von Europol gesetzt worden.

Gegen den Hauptverdächtigen, den 41-jährigen Russen Igor Olegovich Turashev, gebe es 22 Tatvorwürfe. Er werde auch vom FBI gesucht, das fünf Millionen US-Dollar Belohnung auf ihn ausgesetzt habe. Turashev sei ebenso wie die gleichfalls gesuchte 36-jährige Russin Irina Zemlianikina administrativ für die Bande tätig gewesen. Die Nationalität des 42-jährigen Igor Garshin sei offen, er soll einer der Hauptverantwortlichen für die Angriffe in Deutschland sein.

Schadenssumme schwer zu beziffern

Eine konkrete Schadenssumme nannten die Ermittler nicht. Sie sei nur sehr schwer zu erfassen, da zu dem Schaden auch gehöre, mitunter die IT eines Unternehmens komplett neu aufzusetzen. Zudem drohe in der Zukunft durch gestohlene Daten weiterer Schaden.

Neuer Dienstleistungssektor Cybercrime

Jan Op Gen Oorth von Europol schilderte, durch die Ermittlungen in dem Tatkomplex habe man neue Einsichten in Strukturen erhalten, die er als "crime as a service" bezeichnete: Man müsse nicht mehr selbst die Expertise haben, sondern können sie quasi als Dienstleistung von Kriminellen kaufen. Die Schadsoftware Emotec könne man sich beispielsweise als Türöffner kaufen.

Europol warnte ebenso wie die deutschen Behörden Unternehmen eindringlich davor, auf Erpressungen einzugehen und Geld an die Verbrecher zu zahlen. Damit würden nicht nur die kriminellen Strukturen finanziert, sondern das Unternehmen lande auf einer sogenannten "White List" der zahlungswilligen Opfer. Das könne weitere Attacken nach sich ziehen.

Netzwerk nur schwer zu zerschlagen

Trotz des Ermittlungserfolgs dämpfte ZAC-Leiter Markus Hartmann die Erwartungen: Das Netzwerk lasse sich nicht durch Verhaftungen zerschlagen. Weil es ein finanziell sehr einträgliches Kriminalitätsfeld sei, würden schnell andere die Rollen der Verhafteten übernehmen.

Darum sei es wichtig, dass der Markt an Attraktivität verliere. Unternehmen müssten die IT-Sicherheit zur Chefsache machen und Daten genauso schützen wie Gebäude und Betriebsgelände, riet LKA-Chef Ingo Wünsch.

Die ZAC und ihre Arbeitsstrukturen

Seit 2016 ist die landesweite Zentrale Ansprechstelle Cybercrime aktiv, sie ist bei der Staatsanwaltschaft Köln angesiedelt. Ihr Betätigungsfeld sind "alle Straftaten, die sich gegen das Internet, Datennetze, IT-System bzw. deren Daten richten oder die mittels IT begangen werden", erklärt das NRW-Justizministerium. Die ZAC NRW habe sich als bundesweit größte Cybercrime-Einheit der Justiz etabliert. Andere Bundesländer haben ähnliche Spezialeinheiten. Seit 2020 ist bei der ZAC auch die "Task Force zur Bekämpfung des Kindesmissbrauchs und der Verbreitung von Kinderpornografie in digitalen Medien" angesiedelt.