Zwei Männer sollen Drahtzieher des Cyberangriffs auf die Staatstheater Stuttgart 2019 gewesen sein. Nach ihnen wird nun weltweit gefahndet.
Der Erpresser der Stuttgarter Staatstheater ist bereits zu sieben Jahren Haft verurteilt. Doch wer sind die Hintermänner, die es dem heute 46-Jährigen im März 2019 ermöglicht hatten, als Hacker die IT-Netzwerke von Kultureinrichtungen und vor allem Firmen lahm zu legen und Lösegeld zu erpressen? Nun stellt sich heraus: Es soll sich um zwei russische Staatsangehörige handeln. Sie stehen jetzt auf der Liste von Europas meistgesuchten Verbrechern.
Das Landeskriminalamt Baden-Württemberg und das Cybercrime-Zentrum bei der Generalstaatsanwaltschaft Karlsruhe haben mit einer weltweiten Öffentlichkeitsfahndung die Jagd auf Daniil S. (31) und Anatoly K. (43) eröffnet. Beide werden in Russland vermutet. Die Polizei hat Fotos der Männer veröffentlicht.
Es ist gewissermaßen Jahrestag: In der Nacht zum 28. März 2019 schlug bei den Staatstheatern ein Cyberangriff wie ein Blitz ein. Das IT-System fiel aus – und der Kartenverkauf musste manuell abgewickelt werden. Bis alles wieder normal lief, vergingen fünf Wochen. Der Angreifer hatte aber nicht bloß die Störung des Kulturbetriebs im Sinn – er wollte Geld. Und das neben den Staatstheatern vorwiegend von Unternehmen in Deutschland, die einen bestimmten IT-Dienstleister benutzten. Das Mitglied der Gruppierung GandCrab hatte speziell ausbaldowerte Lücken in den IT-Systemen ausgenutzt – und alles blockiert. Mit einer Lösegeldzahlung ließ er seine Opfer wieder aus seinen Klauen.
Wer dieser Angreifer war, steht für Ermittler und Justiz fest. Das Landgericht Stuttgart hat am 30. Januar dieses Jahres einen 46-jährigen Ukrainer wegen Erpressung und Computersabotage zu einer Haftstrafe von sieben Jahren verurteilt. Er soll 2019 die Daten von insgesamt 22 deutschen Unternehmen und Kultureinrichtungen mit einem Schadprogramm verschlüsselt und für die Freigabe ein Lösegeld verlangt haben. Sechs zahlten tatsächlich – unter anderem auch die Staatstheater Stuttgart. Allein für den Systemausfall und die Wiedereinrichtung der Systeme soll bei den 22 Opfern ein Schaden von 2,4 Millionen Euro entstanden sein. Das Urteil ist noch nicht rechtskräftig.
Doch war der Cybererpresser ein Einzeltäter? „Durchaus nicht“, sagt Oberstaatsanwalt Mirko Heim, Sprecher des Cybercrime-Zentrums Baden-Württemberg bei der Generalstaatsanwaltschaft Karlsruhe, „er hat sich der Dienste einer international tätigen Gruppierung bedient, die solche Schadprogramme anbietet.“ Gegen eine Art Lizenzgebühr von 25 Prozent der Beute. Das „Produkt“: Ein Schadprogramm plus Support und Service für die Abwicklung der Lösegeldzahlungen. Für den vom Landgericht verurteilten Ukrainer trotz dieser „Unkosten“ offenbar dennoch eine einträgliche Einnahmequelle. „Ohne Job dürfte er insgesamt fünf Millionen Euro verdient haben“, sagt Sprecher Heim. Im Zuge der Gerichtsverhandlungen konnten noch 560.000 Euro eingezogen werden.
Noch mehr dürften freilich die Hintermänner der Cybercrime-Bande umgesetzt haben. Ihre dunklen Geschäftsmodelle, anfänglich „GandCrab“, später „R-Evil“, dürften nach neuesten Erkenntnissen weltweit mehrere Hundert Millionen Euro Schaden angerichtet haben. Zwischen 2019 und 2021 sollen allein in Deutschland 130 Unternehmen angegriffen worden sein – mit einer Lösegeldsumme von 1,8 Millionen Euro. Die betriebswirtschaftlichen Schäden werden auf 35 Millionen Euro geschätzt.
Die beiden mutmaßlichen Drahtzieher sind schon länger identifiziert – nun aber gehen die Cybercrime-Ermittler bewusst in die Offensive – mit einer Öffentlichkeitsfahndung über das Bundeskriminalamt. Und darüber hinaus: „Die beiden Beschuldigten wurden auf die EU-Most-Wanted-Liste gesetzt, die meist gesuchten Tatverdächtigen in Europa“, sagt Oberstaatsanwalt Heim. Auf diese Liste kann jedes Land nur zwei Fahndungsfälle einstellen – eine zweifelhafte Prominenz des Duos.
Bei Daniil S. handelt es sich um einen 1994 geborenen russischen Staatsangehörigen, der laut Ermittlererkenntnissen Angreifer für die Schadprogramme angeworben und die Lösegeldtransaktionen organisiert haben soll. Der 1982 geborene russische Staatsangehörige Anatoly K. wird als Programmierer der Schadsoftware und Entwickler der Darknetseite zur Verwaltung der Erpressergeschäfte verdächtigt.
Auch wenn beide irgendwo in Russland vermutet werden – womöglich sind sie auch gelegentlich auf Reisen. Hinweise auf die Beschuldigten nehmen die Ermittler über das Mail-Postfach stuttgart.lka.hinweise@polizei.bwl.de entgegen.
