Allein bei den in Stuttgart angeklagten 22 Fällen entstand ein wirtschaftlicher Schaden von rund 2,3 Millionen Euro.(Symbolbild)

Monatelang saß der Mann auf der Anklagebank des nüchternen Stuttgarter Gerichtssaals. Schweigend verfolgte er, wie die Kammer über Cybererpressung und Lösegeld in Millionenhöhe beriet - und ohne Regung nahm er nun auch das Urteil zur Kenntnis. Wegen Computersabotage und Erpressung mit einer manipulierten Software hat das Landgericht den Mann zu einer Gefängnisstrafe von sieben Jahren verurteilt. Die Staatsanwaltschaft hatte sechs Monate mehr gefordert, die Verteidigung auf Freispruch plädiert.

Die Kammer sieht in dem 46-Jährigen ein wichtiges Mitglied der berüchtigten Hackergruppe »GandCrab«. Diese legte Firmen und Einrichtungen in mehreren Bundesländern lahm – aus sicherer Ferne und oft erfolgreich.

Was ist Ransomware und wie funktioniert ein solcher Angriff?

Bei Ransomware-Angriffen verschlüsseln Cyberkriminelle laut dem Bundesamt für Sicherheit in der Informationstechnik die Daten auf Servern und Computern ihrer Opfer mit hochkomplexer Schadsoftware. Eine Entschlüsselung wird nur gegen Zahlung eines Lösegelds (englisch: ransom) in Aussicht gestellt – meist in schwer nachverfolgbarem Bitcoin. Häufig drohen die Täter zusätzlich mit der Veröffentlichung sensibler gestohlener Daten auf sogenannten Leak-Sites im Darknet, um Druck zu erhöhen.

Was wird dem Mann in Stuttgart genau vorgeworfen?

Der Angeklagte musste sich wegen gewerbsmäßiger Cybererpressung verantworten. Als mutmaßliches Gruppenmitglied soll er die Netzwerke von 22 deutschen Unternehmen und öffentlichen Einrichtungen lahmgelegt haben – darunter Krankenhäuser, Kliniken und die Württembergischen Staatstheater in Stuttgart, die nach Überzeugung der Kammer auch Lösegeld überwiesen haben. Er wurde im Oktober 2024 in der Slowakei verhaftet und ausgeliefert.

Ein Schwerpunkt der vorgeworfenen Taten liegt nach Angaben des Cybercrime-Zentrums Baden-Württemberg in Süddeutschland. Erpressungsversuche soll es aber auch in Bayern, Niedersachsen, Nordrhein-Westfalen, Schleswig-Holstein und im Saarland gegeben haben.

Wer sind die bekannten Verdächtigen?

Ermittler lokalisieren die Täterkerne oft in Osteuropa und Asien, dort ist die Strafverfolgung schwerer. Im Stuttgarter Fall jagen Behörden zwei weitere Hauptverdächtige mit russischer Staatsangehörigkeit per internationalem Haftbefehl: den mutmaßlichen Kopf der Operation und den Schadsoftware-Entwickler. Solche Gruppen operieren transnational und nutzen VPNs sowie Proxys zur Anonymisierung.

Wer steckt hinter »GandCrab«?

»GandCrab« zählt zu den erfolgreichsten Ransomware-Familien seit 2018: Sie hat weltweit Millionen Daten verschlüsselt und Lösegeld in Kryptowährungen gefordert – die Entwickler prahlten öffentlich mit über zwei Milliarden US-Dollar Einnahmen. Berüchtigt war das Abo-Modell (Ransomware-as-a-Service): Die Gruppe vermietete die Software wie ein Streamingdienst an Kleinkriminelle in Hacker-Foren. Nachfolger wie »REvil« übernahmen das Geschäft und verursachten weitere Milliardenschäden, nachdem sich die Gruppe aufgelöst hatte.

Welchen Schaden haben die Angriffe verursacht?

Allein bei den 22 in Stuttgart angeklagten Fällen beläuft sich der wirtschaftliche Schaden auf rund 2,3 Millionen Euro – durch Ausfälle, Sanierungen und Produktionsstopps. Deutschlandweit schreiben Ermittler »GandCrab« und »REvil« über 80 Fälle mit einem Gesamtschaden von knapp 33 Millionen Euro zu. Globale Schätzungen des Bundeskriminalamts belaufen sich auf Milliarden.

Wird Lösegeld gezahlt?

Offizielle Statistiken fehlen am Cybercrime-Zentrum Baden-Württemberg bei der Karlsruher Generalstaatsanwaltschaft, doch eine bundesweite BKA-Erhebung zeigt: Rund 90 Prozent der Geschädigten zahlten nichts. Eine Bitkom-Studie vom Vorjahr nennt 70 Prozent. Im Stuttgarter Fall sollen 6 der 22 Betriebe gezahlt haben, um schnell wieder online zu gehen.

Um welche Summen geht es?

Bei über einem Drittel der Zahlungen lagen die Beträge laut BKA zwischen 100.000 und 500.000 Euro. In 16 Prozent der Fälle forderten Hacker noch höhere Summen – teils über eine Million Euro pro Opfer.

Wie groß ist die Bedrohung durch Ransomware in Deutschland?

Täglich melden Behörden zwei bis drei schwere Ransomware-Angriffe; Deutschland rangiert international laut BKA auf Platz vier der betroffenen Länder. Die Dunkelziffer sei enorm, da viele Fälle unentdeckt bleiben.

Warum melden Unternehmen Angriffe nicht?

Die betroffenen Unternehmen hätten zum Teil Sorge, einen solchen Angriff öffentlich zu machen und somit auch vor der Konkurrenz offenzulegen, heißt es im Cybercrime-Zentrum. Außerdem wollten sie schnell weiterarbeiten und fürchteten, dass Ermittlungen der Polizei dies eher verzögerten.

Sollten Opfer zahlen?

Das sei zwar eine unternehmerische Entscheidung, meint der Verband Unternehmer Baden-Württemberg. Zahlungen können aber strafbar sein (Unterstützung krimineller Vereinigungen) und sie laden zu Folgeattacken ein – Unternehmen werden so als »leichte Beute« markiert. Sie sollten sich stattdessen durch regelmäßige Software-Updates, Mitarbeiterschulungen gegen Phishing, Backups offline und Notfallpläne schützen. Beratung bieten die Zentrale Ansprechstelle Cybercrime (LKA), die Cybersicherheitsagentur Baden-Württemberg oder das BSI.