Deutschen Ermittlungsbehörden ist ein bedeutender Durchbruch im Kampf gegen internationale Cyberkriminalität gelungen. Das bei der Generalstaatsanwaltschaft Karlsruhe angesiedelte Cybercrime-Zentrum Baden-Württemberg (CCZ) und das Landeskriminalamt Baden-Württemberg haben nach jahrelangen Ermittlungen zwei mutmaßliche Schlüsselfiguren hinter den berüchtigten Ransomware-Gruppen GandCrab und REvil identifiziert. Gegen beide wurden internationale Haftbefehle erlassen.
Angriffe auf über 130 Ziele in Deutschland
Den Beschuldigten wird vorgeworfen, zwischen 2019 und 2021 maßgeblich an Cyberangriffen auf mindestens 130 Unternehmen und öffentliche Einrichtungen in Deutschland beteiligt gewesen zu sein. In 25 Fällen zahlten die Opfer Lösegeld – insgesamt rund 1,8 Millionen Euro. Die höchste Einzelforderung lag bei über 650.000 Euro.
Die tatsächlichen Schäden gehen jedoch weit über die Lösegeldsummen hinaus: Allein in Deutschland beläuft sich der wirtschaftliche Schaden auf rund 35 Millionen Euro. Ein besonders schwer betroffener Betrieb in Baden-Württemberg erlitt Verluste in Höhe von etwa 9 Millionen Euro. Weltweit wird der Schaden auf mehrere hundert Millionen Euro geschätzt.
Angriff auf Staatstheater Stuttgart als Teil der Serie
Zu den mutmaßlichen Taten zählt auch der Cyberangriff auf die Württembergische Staatstheater Stuttgart im Jahr 2019. Dieser Fall gilt als eines der prominentesten Beispiele für die Angriffsserie der Gruppierungen.
Bereits Anfang 2026 war ein beteiligter Täter – ein sogenannter „Affiliate“ – vom Landgericht Stuttgart zu sieben Jahren Haft verurteilt worden.
Hochprofessionelles Geschäftsmodell im Darknet
Die Gruppen operierten nach dem Prinzip „Ransomware-as-a-Service“. Dabei stellten die Hintermänner die Schadsoftware und Infrastruktur bereit, während Partner – sogenannte Affiliates – gezielt IT-Systeme von Unternehmen infiltrierten.
Neben der Verschlüsselung von Daten setzten insbesondere die Täter von REvil auf sogenannte „Double Extortion“: Sensible Daten wurden zusätzlich gestohlen und mit Veröffentlichung gedroht, um den Druck auf die Opfer zu erhöhen.
Dem mutmaßlichen Kopf der Organisation wird vorgeworfen, die Schadsoftware aktiv vermarktet, neue Täter rekrutiert und die Lösegeldzahlungen – meist über Kryptowährungen – organisiert zu haben. Der zweite Beschuldigte soll die technische Infrastruktur, einschließlich der Darknet-Plattformen, entwickelt und betrieben haben.
Internationale Ermittlungen führen zum Durchbruch
Der Fahndungserfolg basiert auf der Auswertung großer Datenmengen, insbesondere von Kryptowährungstransaktionen, sowie enger Zusammenarbeit mit internationalen Partnerbehörden in Europa und Nordamerika.
Diese koordinierte Ermittlungsarbeit ermöglichte es, die Strukturen der Gruppierungen offenzulegen und die mutmaßlichen Drahtzieher zu identifizieren.
Festnahmen noch ausstehend
Die Beschuldigten befinden sich weiterhin auf freiem Fuß. Ihre Festnahme soll nun im Rahmen international abgestimmter Maßnahmen erfolgen. Details dazu halten die Behörden aus ermittlungstaktischen Gründen zurück. Der Fall zeigt die zunehmende Professionalisierung der Cyberkriminalität – aber auch, dass internationale Zusammenarbeit Erfolge bringt. Sollte die Festnahme der Hauptverdächtigen gelingen, wäre dies ein bedeutender Schlag gegen die globale Ransomware-Szene.
