Kriminalität: Wie Cybererpresser mit Schadsoftware ihre Opfer peinigen

Cyberangriffe mit Erpressersoftware treffen Unternehmen und Behörden weiterhin schwer. Wie sich die Fälle entwickeln, wie häufig Lösegeld gezahlt wird und was Ermittler im Südwesten über Täter wissen.

Gegen einen mutmaßlichen Cybererpresser läuft seit Monaten am Landgericht Stuttgart ein Prozess. Der Mann soll sich als Teil der Gruppierung "GandCrab" illegal Zugang zu den Computernetzwerken von 22 deutschen Unternehmen und Einrichtungen verschafft haben. Zu den Opfern zählen Hersteller von medizinischen Produkten, Beraterfirmen und die Württembergischen Staatstheater in Stuttgart. Die Daten der Erpressungsopfer verschlüsselte die Gruppe mit einer Schadsoftware, einer sogenannten Ransomware.

Der Fall ist bei weitem kein Einzelfall, wie unter anderem das Cybercrime-Zentrum Baden-Württemberg bei der Karlsruher Generalstaatsanwaltschaft und das Landesjustizministerium erklären. "Ransomware bleibt die prägende Bedrohung im Cyberraum und verursacht weiterhin erhebliche Schäden bei Unternehmen und Privatpersonen", heißt es beim Bundeskriminalamt (BKA). 

Ein Überblick:

Worum geht es?

Bei einem Ransomware-Angriff werden laut dem Bundesamt für Sicherheit in der Informationstechnik Daten auf einem IT-System verschlüsselt - und eine Entschlüsselung erst gegen Zahlung eines Lösegelds (engl.: ransom) in Aussicht gestellt. "Immer öfter wird zusätzlich mit der Veröffentlichung der zuvor entwendeten Daten gedroht, um das Opfer zusätzlich unter Druck zu setzen." Infolge eines solchen Angriffs komme die IT der Betroffenen zum Erliegen und sie könnten zum Beispiel Dienstleistungen nicht mehr anbieten.

Wie haben sich die Zahlen entwickelt?

Die Polizeiliche Kriminalstatistik in Baden-Württemberg weist für "Erpressung mit dem Tatmittel Internet und/oder IT-Geräte" einen Rückgang um 19 Prozent auf 499 Fälle im Jahr 2024 aus, wie Justizministerin Marion Gentges sagt. Dabei geht es allerdings nicht ausschließlich um Ransomware-Fälle. "Wir gehen auch davon aus, dass das Dunkelfeld groß ist", sagt die CDU-Politikerin. Viele Unternehmen zeigten die Vorfälle nicht an.

Der Verband Unternehmer Baden-Württemberg führt keine Statistik, geht aufgrund von internen Rückmeldungen aber davon aus, dass Phishing-Angriffe die mit großem Abstand häufigste Bedrohung darstellen. "Malware wie Ransomware, Viren und Trojaner folgen dann aber schon auf dem zweiten Platz", erklärt ein Sprecher in Stuttgart. "Allerdings kann natürlich der potenzielle Schaden gerade bei letzteren Attacken sehr groß sein."

Laut dem Bundeslagebild Cybercrime des BKA wurden im Jahr 2024 deutschlandweit 950 Angriffe mit Verschlüsselungstrojanern angezeigt - das war zwar ein Rückgang im Vergleich zu 2023 (1.018 Fälle). Aber: "Trotz dieser Erfolge bleibt die Gefahr durch Ransomware groß: Im internationalen Vergleich ist Deutschland weiterhin das am vierthäufigsten betroffenen Land", heißt es. Jeden Tag würden hierzulande zwei bis drei schwere Ransomware-Angriffe angezeigt.

Warum werden Angriffe nicht gemeldet? 

Die betroffenen Unternehmen hätten zum Teil Sorge, einen solchen Angriff öffentlich zu machen und somit auch vor der Konkurrenz offenzulegen, sagt Tomke Beddies als Leiterin des Cybercrime-Zentrums Baden-Württemberg. Außerdem wollten sie schnell weiterarbeiten und fürchteten, dass Ermittlungen der Polizei dies eher verzögerten. Dabei spiegelt diese den Angaben zufolge die Daten, so dass die Arbeit im Betrieb nicht viel Zeit koste.

Was passiert nach einer Attacke?

Nach einem Cyber-Angriff muss das System laut Beddies analysiert werden. Dann gehe es darum, Schwachstellen zu schließen. Liegen diese bei einem IT-Dienstleister, sei die Gefahr hoch, dass gleich mehrere Kunden betroffen seien.

Wird Lösegeld gezahlt?

Statistiken dazu und zu den gezahlten Summen in Baden-Württemberg gibt es laut dem Cybercrime Zentrum nicht. In dem Fall, in dem auch das Württembergische Staatstheater Stuttgart Opfer wurde, hätten 6 von 22 betroffenen Betrieben gezahlt.

Das BKA verweist auf eine bundesweite Fallerhebung, bei der rund 90 Prozent der Geschädigten angegeben hätten, kein Lösegeld gezahlt zu haben. Bei einer Studie des Branchenverbands Bitkom im vergangenen Jahr gaben indes nur 70 Prozent der befragten Unternehmen an, nicht gezahlt zu haben. Bei gut einem Drittel jener, die Lösegeld zahlten, lagen die Summen zwischen 100.000 und 500.000 Euro. In 16 Prozent der Fälle ging es um noch mehr Geld, teils über eine Million Euro.

Wie lauten die Empfehlungen?

"Das CCZ hält sich bei der Frage, ob Lösegeld gezahlt wird oder nicht, raus", sagt Beddies. "Unser Standpunkt ist: Das muss das Unternehmen entscheiden." Auch der Verband Unternehmer Baden-Württemberg sagt, letztlich sei es eine unternehmerische Entscheidung, "die in Abhängigkeit der akuten Notlage und dem Umfang des drohenden Schadens getroffen werden muss".

Der Verband spricht laut dem Sprecher keine eigene Empfehlung aus. Es gebe aber gute Gründe, kein Lösegeld zu zahlen. So könne die Zahlung an kriminelle Hacker unter Umständen strafrechtlich als Unterstützung einer kriminellen Vereinigung gewertet werden. Zudem würden Unternehmen, die für die Wiederfreigabe ihrer Systeme bezahlten, häufig innerhalb kurzer Zeit erneut Opfer eines Ransomware-Angriffs. "Gerade dort, wo Zahlungsbereitschaft auf mangelhaften Schutz trifft, steigt die Wahrscheinlichkeit."

Kann man sich Hilfe holen?

"Unternehmen sind oft überrascht, wie einfach sie von außen infiziert werden können", sagt Beddies. Beratung könnten sie etwa bei der Zentralen Ansprechstelle Cybercrime für Unternehmen und Behörden​ bekommen oder bei der Cybersicherheitsagentur Baden-Württemberg (CSBW).

Aus Sicht des Verbandes Unternehmer Baden-Württemberg sind Firmen gefordert, ausreichend für Prävention zu sorgen, indem sie ihre Software und ihre Systeme immer aktuell halten, ihre Mitarbeiter schulen und Notfallpläne bereithalten. "Aber auch von staatlich-behördlicher Seite kann noch mehr Unterstützung kommen", so der Sprecher. 

Meldewege sollten dringend vereinfacht und vereinheitlicht werden, heißt es. Allein in Baden-Württemberg gebe es mit LKA, Landesverfassungsschutz und der Cybersicherheitsagentur CSBW drei potenzielle Anlaufstellen, bei denen Angriffe gemeldet werden können. "Hilfreich wäre zudem, dass Investitionen in Cybersicherheit finanziell gefördert werden, entweder durch steuerliche Anreize oder durch Zuschüsse."

Was weiß man über die Täter?

Die sitzen laut Beddies oft in Osteuropa und Asien. In vielen Fällen gehe es vor allem um Geld, in manchen auch um Spionage. Gebe es Hinweise darauf, dass Cyberangriffe staatlich gelenkt seien, werde die Bundesanwaltschaft kontaktiert. "Zwei Verfahren hat der Generalbundesanwalt schon übernommen." 

Bei welchen Fällen ist das Cybercrime-Zentrum zuständig?

Vor allem bei jenen, bei denen große Unternehmen Opfer eines Angriffs geworden seien, erklärt Leiterin Beddies. Zudem führe die Behörde zwölf sogenannte zentrale Ermittlungen bundesweit. "Da sind wir nach zwei Jahren an der Spitze." Das nächste Bundesland leite nur sechs solcher Ermittlungen.