Die Hacker legten das Ticketing des Staatstheaters mehrere Tage lang lahm. Foto: dpa/Nicolas Armer (Symbolbild)

Dem Landeskriminalamt und dem baden-württembergischen Cybercrime-Zentrum ist offenbar ein großer Schlag gegen eine international agierende Hackergruppe gelungen. Diese hatte bereits von sechs der 22 betroffenen Unternehmen Lösegeld kassiert.

Eine Karte für die Oper oder das Ballett? Diese besorgt man sich heutzutage bequem im Internet. Im Frühjahr 2019 mussten die Staatstheater Stuttgart jedoch für fünf Tage auf den analogen Kartenverkauf umstellen, weil das digitale Ticketing außer Betrieb war. Viel mehr noch, es wurde mutwillig blockiert, und zwar wohl von der international agierenden Hackergruppierung „Gandcrab“. Sie soll damals in insgesamt 22 Unternehmen ihre Schadsoftware eingeschleust haben, um diese zu erpressen. Nun wurde den Cyber-Kriminellen nach „beharrlichen, mehrjährigen internationalen Ermittlungen“ offenbar das Handwerk gelegt, wie das Landeskriminalamt (LKA) mitteilte.

Die Beamten aus der Taubenheimstraße in Bad Cannstatt haben dazu nicht nur mit dem im Januar 2024 von der Generalstaatsanwaltschaft Karlsruhe eingerichteten Cybercrime-Zentrum und dem Bundeskriminalamt eng zusammengearbeitet, sondern auch mit zahlreichen Experten in Europa, unter anderem mit Europol. Selbst das FBI in Dallas und Las Vegas sowie der US-Secret-Service in Atlanta waren involviert.

Weltweiter Schaden von 100 Millionen Euro

Die Spur führte die Ermittler nach Bratislava, meldet das LKA. Dort konnten Beamte der slowakischen Kriminalpolizei im Juni 2024 einen 44 Jahre alten Ukrainer festnehmen. Er steht unter dringendem Verdacht, der Gruppierung „Gandcrab“ anzugehören, die mit der illegalen Verschlüsselung von Daten Geld von ihren Opfern erpresst hat. Der wirtschaftliche Schaden, der durch diese Angriffe weltweit entstanden ist, wird auf mehrere 100 Millionen Euro geschätzt. Bei der Durchsuchung mehrerer Objekte nach der Festnahme des Mannes in der Slowakei wurden zahlreiche digitale Beweismittel sichergestellt. Der Tatverdächtige wurde am 27. September nach Deutschland ausgeliefert und befindet sich seitdem in Untersuchungshaft. Im Zuge dieser Ermittlungen wurde offenbar weiterer Schaden in Millionenhöhe abgewendet. Mehr als 300 Unternehmen konnte das LKA noch rechtzeitig warnen. So konnten Angriffe verhindert werden. Bei mindestens 17 dieser Unternehmen hatte die Verschlüsselung der Daten unmittelbar bevorgestanden.

Dem 44-Jährigen werden gewerbsmäßige Erpressung und Computersabotage vorgeworfen. So steht er im Verdacht, im Frühjahr 2019 die Daten von 22 deutschen Unternehmen und Einrichtungen mit einer Schadsoftware verschlüsselt zu haben, um in der Folge Lösegeld für die Entschlüsselung – offenbar jeweils rund 15 000 US-Dollar in digitalen Währungen – zu fordern. Neben den Staatstheatern gehörten mehrere Hersteller medizinischer Produkte zu den Betroffenen dieser Serie. Der Mann soll sich hierzu über das Internet illegalen Zugang in die Netzwerke verschafft und anschließend die sogenannte Ransomware aufgespielt haben. In der Folge sei beispielsweise die Produktion der angegriffenen Unternehmen unterbrochen gewesen, weil auf wichtige Daten nicht zugegriffen werden konnte. Durch den Systemausfall sei ein wirtschaftlicher Schaden von insgesamt mehr als 2,4 Millionen Euro entstanden. „Insgesamt sind sechs der 22 Unternehmen, darunter auch die Staatstheater, auf die Forderungen der Erpresser eingegangen“, sagt Mirko Heim, der Sprecher der Generalstaatsanwaltschaft in Karlsruhe. Grundsätzlich rät er davon ab, Lösegeld zu zahlen. „Zumal die Summen heute deutlich höher sind.“ Mehr Details zu den Zahlungen hat er nicht preisgegeben, es ist aber durchaus denkbar, dass sie damals in Absprache mit den Behörden erfolgten, schließlich bieten sie einen guten Ermittlungsansatz. Dafür spricht auch, dass ein Sprecher der Staatstheater betont, dass man von Beginn an engstens mit ihnen zusammengearbeitet hat.

Programmierer der Schadsoftware geschnappt

Doch nicht nur der 44-jährige Tatverdächtige ging den Ermittlern ins Netz. Das LKA hat zudem zwei weitere mutmaßliche Hauptakteure von „Gandcrab“ sowie der Nachfolgegruppierung „Revil“ identifiziert. Bei den beiden mit internationalen Haftbefehlen gesuchten Männern mit russischer Staatsangehörigkeit handelt es sich offenbar um den Kopf der Gruppierungen sowie um den Entwickler der Schadsoftware. Das LKA hat über 80 Fälle aus Deutschland, welche den beiden Gruppen zuzuordnen sind, mit einem wirtschaftlichen Gesamtschaden von knapp 33 Millionen Euro zusammengeführt.

Es ist nicht der erste Schlag gegen die beiden Gruppierungen. Bereits zuvor sind nach Angaben des LKA mehrere mutmaßliche Mitglieder durch ausländische Behörden festgenommen worden. Eine der Festnahmen mündete zwischenzeitlich in die Verurteilung zu einer mehrjährigen Haftstrafe in den USA. Darüber hinaus habe man Teile der Infrastruktur der Cyber-Kriminellen lahmlegen und im Rahmen der internationalen Zusammenarbeit mehrere Entschlüsselungsprogramme entwickeln können.

Industriestandort Baden-Württemberg im Visier der Hacker

Baden-Württembergs Innenminister Thomas Strobl spricht von einem „bedeutenden Schlag gegen die international agierende Cybercrime-Szene“. Aus Sicht von Landesjustizministerin Marion Gentges ist es wichtig, dass „wir länderübergreifend und mit schlagkräftigen Ermittlungsmaßnahmen gegen diese Bedrohungen vorgehen. Es zeigt auch, dass wir in Baden-Württemberg als Industriestandort im Visier solcher Angriffe stehen“, teilt sie schriftlich mit. „Die Schäden für unsere Wirtschaft sind teilweise immens, und ohne das schnelle Handeln der beteiligten Stellen wären die Folgen für die betroffenen Unternehmen noch gravierender gewesen. Diese Ermittlungserfolge senden ein starkes Signal: Cyber-Kriminelle können sich nicht sicher fühlen.“

Auch Marc-Oliver Hendriks, der Geschäftsführende Intendant der Württembergischen Staatstheater Stuttgart, spricht von einem bedeutenden Ermittlungserfolg und gratuliert allen, die dazu beigetragen haben. „Die Staatstheater haben den Cyberangriff 2019 sehr schnell bemerkt und konnten ihn weitgehend eindämmen. Der Kartenverkauf war am stärksten betroffen. Durch das rasche Umstellen der digitalen auf analoge Prozesse konnten wir aber fast ohne Unterbrechung für unser Publikum erreichbar bleiben.“ Zugleich betont er, dass der Angriff damals über einen externen Dienstleister erfolgt sei. „In der Folge haben wir die Anforderungen an Cyber-Sicherheitsauflagen bei Dienstleistern weiter erhöht.“

Staatstheater haben Sicherheitsauflagen erhöht