• Den insgesamt elf Verdächtigen werden mindestens 600 Angriffe weltweit angelastet.
• Das Hacker-Netzwerk hat Bezüge nach Russland.
• Trotz des Krieges hat auch die Ukraine die internationalen Ermittlungen unterstützt.

Ermittler in Nordrhein-Westfalen haben die mutmaßlichen Drahtzieher eines internationalen Netzwerks von Cyberkriminellen identifiziert. Sie sollen für mehrere Hackerangriffe verantwortlich sein, darunter die Cyberattacke auf den Landkreis Anhalt-Bitterfeld, der deshalb den Katastrophenfall ausrufen musste. Gegen drei Verdächtige seien Haftbefehle erlassen worden, berichteten Ermittler von Landeskriminalamt und Staatsanwaltschaft am Montag in Düsseldorf.

Den Verdächtigen werden mehr als 600 Angriffe auf Institutionen weltweit angelastet. In Deutschland habe die Gruppe mindestens 37 Institutionen angegriffen und geschädigt. Neben der Kreisverwaltung Anhalt-Bitterfeld waren darunter auch das Uni-Klinikum Düsseldorf sowie die Funke Mediengruppe. Von einer Dunkelziffer sei auszugehen, weil es immer noch Unternehmen gebe, die Lösegeld zahlten, ohne die Polizei einzuschalten.

Vom Angriff auf die Funke Mediengruppe waren auch mehrere Thüringer Tageszeitungen betroffen: Die Thüringer Allgemeine, Thüringische Landeszeitung und Ostthüringer Zeitung waren aufgrund des Angriffs im Dezember 2021 jeweils ohne Lokalteil erschienen. Hacker hatten Daten der Mediengruppe verschlüsselt und dafür Lösegeld verlangt.

Einer der Tatverdächtigen, ein 41-jähriger Russe, werde auch vom FBI gesucht. Die US-Behörde hat fünf Millionen US-Dollar Belohnung auf ihn ausgesetzt. Die kriminelle Gruppierung namens "Double-Spider" oder "Grief" habe Bezüge nach Russland. Es gebe jedoch keine Hinweise auf staatliche Akteure hinter den Machenschaften. Den Verdächtigen sei es um Lösegeld in Millionenhöhe gegangen.

Gleichwohl: "Wir sehen bei einzelnen Personen dieser Tätergruppe auch Bezüge und Verbindungen zum russischen Inlandsgeheimdienst FSB und der paramilitärischen Söldnertruppe Wagner", sagte NRW-Innenminister Herbert Reul (CDU). Auch wenn die Taten der persönlichen Bereicherung dienten, liege die Vermutung nahe, dass sie mindestens staatlich geduldet würden. Zudem sei nicht auszuschließen, dass die abgeschöpften Daten und Gelder auch für staatliche Zwecke genutzt werden.

Die drei Verdächtigen Igor T., Irina Z. und Igor G. werden nun weltweit gesucht. Sie stünden auf der Europol-Fahndungsliste "Europe's most wanted". "Die Angriffe auf die kritische Infrastruktur sind ein Spiel auf Leben und Tod", sagte ein Europol-Sprecher in Düsseldorf.

Neben den drei genannten Verdächtigen werde noch gegen acht weitere im Alter von 38 bis 40 Jahren aus Deutschland, Russland, Moldawien und der Ukraine ermittelt. Gesucht werden sie wegen besonders schwerer Erpressung und Computer-Sabotage. Es sei gelungen, konkreten Personen konkrete Taten nachzuweisen, sagte Oberstaatsanwalt Markus Hartmann.

2021 seien in Nordrhein-Westfalen die internationalen Ermittlungen gegen die Gruppe übernommen worden, hieß es am Montag. Trotz des Krieges habe die Polizei in der Ukraine die Ermittlungen tatkräftig unterstützt, berichteten die Ermittler. Dabei sei eine Schatten-Ökonomie ans Licht gekommen. So gebe es Stellenausschreibungen und Headhunter für Hacker. Sogenannte Access-Broker handelten mit unsicheren Stellen in Firmen-Netzwerken. Das Ganze werde über Geldwäsche-Netzwerke mit Kryptowährungen abgewickelt. Nach MDR-Informationen hat es mehrere Hausdurchsuchungen in Deutschland und der Ukraine gegeben.