Düsseldorf. Nach einem Schlag gegen ein weltweit agierendes Hacker-Netzwerk, das auch in NRW zugeschlagen hatte, hat das LKA Fahndungsfotos veröffentlicht.
Nach dem in der vergangenen Woche bekannt gewordenen Schlag gegen ein internationales Netzwerk von Hackern hat das Landeskriminalamt (LKA) Nordrhein-Westfalen weitere Einzelheiten genannt. Das „hochprofessionelle“ und international agierende Netzwerk habe mindestens 601 Unternehmen, Institutionen oder Privatmenschen geschädigt, berichteten LKA-Vertreter am Montag vor Journalisten in Düsseldorf. Allein in Deutschland seien es 37 Geschädigte, dabei gebe aber es ein „sehr, sehr großes“ Dunkelfeld. Die eigens eingerichtete Ermittlungskommission (EK) „Parker“ konnte nun die mutmaßlichen Drahtzieher sowie weitere Mitglieder identifizieren
Die Vorwürfe lauten auf gewerbsmäßige, digitale Erpressung und Computersabotage. Mit einer Schadsoftware, sogenannter Ransomware, verschafften sich die Täter digitalen Zugang zu den Rechnern der betroffenen Unternehmen und Einrichtungen, griffen Daten ab und drohten anschließend mit der missbräuchlichen Nutzung, falls die Opfer nicht hohe Geldbeträge zahlen. So sollen weltweit teils bis zu zweistellige Millionenbeträge erpresst worden sein.
Hacker-Gruppe entstand schon 2010
Das LKA leitete die Ermittlungen und arbeitete mit der US-Bundespolizei FBI, Europol und der Polizei in den Niederlanden und der Ukraine zusammen. Eine „Schattenökonomie, die sich nach Angebot und Nachfrage richtet“, nannte der Leiter des Dezernats Cybercrime, Dirk Kunze, die Hackergruppe. So gebe es Stellen-Ausschreibungen und Headhunter für Hacker. Sogenannte Access-Broker handelten mit unsicheren Stellen in Firmen-Netzwerken. Hacker-Angriffe würden auch als kriminelle Dienste an Dritte vermittelt. Das Ganze werde über Geldwäsche-Netzwerke mit Kryptowährungen abgewickelt.
Die Hacker-Gruppe, die sich auch „Indrik Spider“ oder „Doppel Spider“ nennt, sei schon 2010 entstanden und habe mit einer Erpressungssoftware in der Gamingszene begonnen. Später seien Bankkunden geschädigt worden. Einen ersten großen Angriff habe es im Jahr 2017 auf das britische Gesundheitssystem gegeben.
Netzwerk sollte auch Geldwäsche dienen
In Deutschland soll das Netzwerk 2020 unter anderem die Universitätsklinik Düsseldorf, die Funke-Mediengruppe und den Landkreis Anhalt-Bitterfeld in Sachsen-Anhalt attackiert haben, der daraufhin den Katastrophenfall ausrief - ein „Fall, der in der deutschen Geschichte seinesgleichen sucht“, wie Kunze formulierte. Das Netzwerk soll auch der Geldwäsche in Kryptowährungen dienen.
Bei den Ermittlungen seien elf Menschen - Männer und Frauen - identifiziert worden, die unterschiedliche Beträge zu Taten geleistet hätten, hieß es weiter. Am 28. Februar wurden in Deutschland und der Ukraine Gebäude durchsucht, mutmaßliche Beteiligte vernommen und Beweismaterial beschlagnahmt.
USA setzt fünf Millionen Dollar Kopfgeld aus
Es gebe auch drei Haftbefehle, sagte Kunze. Diese hätten aber nicht vollstreckt werden können, weil sich die Verdächtigen nicht im Zugriffsgebiet der europäischen Justizbehörden aufhielten. Ein 41 Jahre alter Russe und ein 32 Jahre alter Mann, dessen Nationalität unbekannt sind, sollen sich an mehreren Taten beteiligt haben. Auf den 41-Jährigen ist Kunze zufolge von den USA ein Kopfgeld von fünf Millionen Dollar ausgesetzt.
Außerdem gibt es einen Haftbefehl gegen eine Russin, die als Administratorin für das Netzwerk gearbeitet haben soll. Die übrigen Verdächtigen sollen in der Ukraine, in Deutschland, Russland oder Moldau leben.
LKA: „Firmen müssen ihre digitalen Tore sichern“
Angriffe auf kritische Infrastruktur gefährdeten Menschenleben, sagte LKA-Leiter Ingo Wünsch. Das Netzwerk habe vorrangig profitorientiert gehandelt. Wünsch forderte, dass IT-Sicherheit Teil jeder Unternehmensphilosophie sein müsse.
„Solche Cyber-Verbrecher machen auch vor Unikliniken nicht halt“, sagte LKA-Chef Wünsch. „Die Firmen müssen ihre digitalen Tore sichern.“ So bestand im Fall des Düsseldorfer Uniklinikums der Verdacht, die Hacker könnten für den Tod eines Patienten verantwortlich sein. Dies hatte sich letztlich aber nicht bestätigt.
Die kriminelle Gruppierung habe Bezüge nach Russland, es gebe aber keine Hinweise auf staatliche Akteure hinter den Machenschaften. Den Verdächtigen sei es um Lösegeld in Millionenhöhe gegangen, so die Ermittler. „Wir sehen bei einzelnen Personen dieser Tätergruppe auch Bezüge und Verbindungen zum russischen Inlandsgeheimdienst FSB und der paramilitärischen Söldnertruppe Wagner“, sagte dagegen NRW-Innenminister Herbert Reul (CDU). Auch wenn die Taten der persönlichen Bereicherung dienten, liege die Vermutung nahe, dass sie mindestens staatlich geduldet wurden. Zudem sei nicht auszuschließen, dass die abgeschöpften Daten und Gelder auch für staatliche Zwecke genutzt werden.
Nach drei Verdächtigen wird weltweit gesucht
Mit Haftbefehlen suchen die Strafverfolgungsbehörden nun weltweit nach den drei Verdächtigen. Wo sie sich aufhalten könnten, ist unklar. Die Verdächtigen stehen auch auf der Fahndungsliste von „Europe’s Most Wanted“, der meistgesuchten Verbrecher des Kontinents. Die internationale Fahndung werde es den Verdächtigen nun erschweren, ihr Geld etwa in Paris, London oder Mailand auszugeben, so die Ermittler:
- lgor Olegovich Turashev (41) steht im Verdacht, eine wesentliche Rolle, bei Cyberattacken auf deutsche Unternehmen gespielt zu haben. Der Gesuchte fungierte als Administrator der für die Angriffe genutzten IT-Infrastruktur und Malware.
- Irina Zemlianikina (36) zeichnet nach derzeitigen Ermittlungen ebenfalls mitverantwortlich für mehreren Cyberattacken auf deutsche Unternehmen. Sie administrierte insbesondere die genutzten Chat- und Leakingseiten, die für die Kommunikation der Täter mit ihren Opfern und zur Veröffentlichung gestohlener Daten dienten. Sie versendete auch E-Mails mit Malware im Anhang, um so Systeme mit Verschlüsselungssoftware zu infizieren.
- Igor Garshin (alternativ: Garschin) (32) steht im Verdacht, durch Ausspähen, Infiltrieren sowie die finale Verschlüsselung von Daten, einer der Hauptverantwortlichen für die Cyber-Angriffe nicht zuletzt auch auf deutsche Unternehmen zu sein.
- Hinweise nimmt jede Polizeidienststelle entgegen.
Update 7.3.2023: Bei den Ermittlern sind erste Hinweise auf die Gesuchten eingegangen. Ein entscheidender Tipp sei allerdings noch nicht dabei gewesen, teilte eine Sprecherin des Landeskriminalamts NRW am Dienstag in Düsseldorf mit.
(dpa/afp/red)
Mehr Artikel aus dieser Rubrik gibt's hier: Landespolitik