Die Angreifer traten unter ihrem Kürzel „Vice Society“ (Vizegesellschaft) auf. Im Oktober 2021 legten die Cyber-Kriminellen durch einen Erpressungstrojaner (Ransome-Ware-Attacke) die IT-Strukturen der Stadt Witten lahm. Die Bürgerdienste funktionierten nicht. Wichtige Daten wurden verschlüsselt. Eine so genannte „Ransome-Note“ übermittelte eine Lösegeldforderung. Geld gegen Zugang zu den Accounts. Zudem saugte die Bande zahlreiche persönliche Bürgerdaten ab, um diese im Darknet zu veröffentlichen.

Nach der ersten digitalen Attacke auf NRW-Kommunen fürchtet die Zentral- und Ansprechstelle Cybercrime (ZAC) NRW mit Sitz bei der Staatsanwaltschaft Köln, dass Städte und Gemeinde „als taugliches Erpressungs- und Angriffsziel zunehmend in den Fokus der Täter geraten“.

Die Vice Society-Kriminellen agieren vor allem auch in Übersee. Im vergangenen Jahr knackte die Gruppe in Los Angeles das IT-System des zweitgrößten Schulbezirks der USA.

Schaden von 203 Milliarden im Jahr

Online-Erpresser sind weltweit auf dem Vormarsch. Das Schadprogramm der international operierenden Online-Bande Lockbit „2.0“ griff in Deutschland insbesondere Anwaltskanzleien, Steuerberaterbüros, Versorgungsunternehmen sowie kommunale Verwaltungseinheiten an. Bundesweit zählten die Cyber-Fahnder mindestens 100 Fälle.

Längst geraten Unternehmen ins Zielfeld krimineller Hacker. Der deutschen Wirtschaft entsteht ein jährlicher Schaden von rund 203 Milliarden Euro durch Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage. Das sind Ergebnisse einer Studie, die der Digitalverband Bitkom Ende August 2022 veröffentlichte. Praktisch jede der 1000 befragten Firmen in Deutschland ist betroffen. „Dabei sind die Angriffe aus Russland und China zuletzt sprunghaft angestiegen“, heißt es. 43 Prozent der Unternehmen seien demnach von China aus attackiert worden. Gut ein Drittel durch russische IT-Täter.

Das Thema Ransomware-Erpressung bei NRW-Unternehmen stand am Freitag im Mittelpunkt des Cyber-Kongresses, den das Polizeipräsidium Münster und die örtliche Industrie- und Handelskammer mit hochkarätigen Experten veranstaltete. Zum Auftakt machte NRW-Innenminister Herbert Reul auf die Gefahren durch die digitale Unterwelt aufmerksam. Dabei legte er sein Augenmerk vor allem auf staatliche Wirtschaftsspionage. Insbesondere hob er auf Angriffe durch „Russland, China, Nordkorea und vielen anderen Staaten“ ab. Allein Nordkoreas Hacker hätten Reuls Angaben zufolge 2022 vermutlich 1,2 Milliarden Dollar erbeutet. „Geld, das wohl ins Atomprogramm des Landes fließt“, erklärte Reul. „Zur Wahrheit gehört auch, dass wir dies nicht wirklich immer wissen. Denn wir können viel weniger Hacker überführen als mir lieb ist. Hacker sind global unterwegs. Vielfach greifen sie weltweit Opfer an, die über dieselbe IT mit derselben Schwachstelle verfügen. Das ist gewissermaßen Hacker-Fließbandarbeit.“

Der Chef der Cybercrime-Abteilung im Landeskriminalamt, Hans-Josef Lemper, nannte für NRW besorgniserregende Zahlen: Allein an Rhein und Ruhr wurden knapp 614.000 Unternehmen angegriffen. Der Schaden beläuft sich in NRW allein im vergangenen Jahr auf 47,7 Milliarden Euro. Zwischen 2020 und Oktober 2021 stieg die Lösegeldforderung um 800 Millionen auf 1,7 Milliarden Euro.

Der Leitende Oberstaatsanwalt Markus Hartmann, Chef der ZAC, geht von einer „dramatischen Bedrohungslage“ aus. „Die Täter haben sich maximal professionalisiert, beinahe wöchentlich erreichen uns eine Handvoll neuer Fälle“, sagte der Referent vor dem Kongress im Gespräch mit dem „Kölner Stadt-Anzeiger“. Die Angriffe erfolgten quer durch alle Branchen. Leider sei die IT-Sicherheit gerade unter mittelständischen Firmen aber auch bei manchen Konzernen immer noch mangelhaft.

Server des Essenslieferanten Apetito blockiert

Wie groß die Gefahr ist, bekam der Essensgroßlieferant Apetito AG mit Sitz im westfälischen Rheine am 25. Juni 2022 zu spüren. In dem Fall blockierten die Cyber-Kriminellen den Server sowie den Back-Up-Server mittels Ransomware-Attacke. Die Ermittler vermuten, dass die Erpressergruppe Hive dahinterstecken könnte.

Bei ihrem Coup sollen die digitalen Täter auch Firmendaten abgeschöpft haben. Zugleich forderten die Angreifer den Catering-Konzern auf, sich im Darknet zu melden und über ein Lösegeld zu verhandeln. Andernfalls, so die Drohung, würden die gestohlenen Daten veröffentlicht und die Blockade der IT-Systeme weiterlaufen. „Inzwischen versuchen die Täter oft auch mit den gestohlenen Daten, die Kunden der Opfer anzugehen, um dann über diese Bande Druck auf das Unternehmen auszuüben, damit gezahlt wird“, berichtete Cyber-Fahnder Hartmann. In allen Fällen rät die ZAC davon ab, auf den Erpressungsversuch einzugehen. „Wer zahlt, betreibt das Geschäft der Täter und füttert einen kriminellen Markt“, so Hartmann.

Das Zahlen von Lösegeld ist unter Umständen sogar strafbar

Leider sei es aber häufig so, dass viele betroffene Firmen den Strafverfolgern nicht mitteilten, ob sie Lösegeld bezahlt hätten, so der Leitende Oberstaatsanwalt: „In dem Bereich besteht immer noch ein großes Dunkelfeld von Unternehmen, die sich nicht bei uns melden, wenn sie attackiert werden. Dabei sei es ein großer Fehler auf die professionelle Hilfe der Strafverfolger zu verzichten. Inzwischen verfüge die Polizei über spezielle Teams, die online mit den Erpressern verhandelten.

Vor dem Hintergrund machte der Cyber-Experte auf ein strafrechtliches Problem aufmerksam. Geben Firmen der Lösegeldforderung nach, geraten sie wegen einer möglichen Unterstützung einer kriminellen Vereinigung selbst ins Visier. Seine Behörde habe es in solchen Fällen zwar stets abgelehnt, ein Ermittlungsverfahren einzuleiten. „Aber hier bewegen wir uns in einer rechtlichen Grauzone.“ Hartmann schlägt eine Gesetzesänderung vor. „Andernfalls wird es weiterhin Unternehmen geben, die sich nicht bei uns melden, weil sie fürchten, dass gegen sie ermittelt wird, wenn sie eine Lösegeldzahlung in Betracht ziehen.“