München/Bamberg. Cyberkriminelle verursachen allein in Deutschland jährlich Schäden in Milliardenhöhe. Eine wichtige Rolle spielt dabei Ransomware. Die Täter nutzen technische oder menschliche Schwachstellen, dringen in die IT-Netzwerke der Geschädigten ein, verschlüsseln und entwenden Daten und legen so meist ganze Systeme lahm. Für die Entschlüsselung und Rückgabe der Daten wird dann ein Lösegeld gefordert - oftmals Beträge im sechs- oder siebenstelligen Bereich. Die Geschädigten sind in der Regel Unternehmen, aber auch Gesundheitseinrichtungen wie Krankenhäuser und Apotheken oder Behörden.

Nach intensiven Ermittlungen der bei der Generalstaatsanwaltschaft Bamberg angesiedelten Zentralstelle Cybercrime Bayern (ZCB) und des Dezernats 54, Cybercrime, des Bayerischen Landeskriminalamtes (BLKA) gelang nun ein erneuter Schlag gegen eine international agierende Ransomware-Gruppierung.

Die ZCB und das BLKA beschlagnahmten bereits im August letzten Jahres (siehe Pressemitteilung 12/2024) zusammen mit dem FBI allein 17 Server in Deutschland. Die Server wurden vom Netz genommen und die Ermittlungen auf weitere Tatverdächtige ausgeweitet.

Im Zuge dieser umfangreichen Ermittlungen gelang es nun zusammen mit zahlreichen internationalen Partnern, Mitglieder der kriminellen Gruppierung „8Base“ zu identifizieren. Diese Gruppierung nutzte die Ransomware namens „Phobos“ und agierte weltweit als höchst professionelle kriminelle Organisation. In Deutschland fanden 365 Phobos-Angriffe statt. Bei „8Base“ handelt es sich um den größten Affiliate dieser Ransomware. Mindestens 30 Fälle können direkt der Gruppierung „8Base“ zugeordnet werden.

In enger Zusammenarbeit mit dem FBI, der Schweizer Bundesanwaltschaft und der Bundespolizei fedpol (Schweiz) und weiteren internationalen Strafverfolgungsbehörden konnten vier „führende Köpfe“ von „8Base“ nun identifiziert und auf Betreiben des FBI und der Schweizer Behörden in Thailand festgenommen werden.

Den Spezialisten des BLKA gelang es im Zuge der Ermittlungen insgesamt 240 Firmen aus 30 Ländern vor einer Verschlüsselung zu warnen. Darunter befanden sich etwa 55 US-amerikanische, 35 französische, 25 japanische, aber auch 18 deutsche Firmen.

Aufgrund der globalen kriminellen Aktivitäten dieser Gruppierung war es unerlässlich, die Ermittlungen in enger Zusammenarbeit mit dem FBI und vielen weiteren internationalen Sicherheitsbehörden abzustimmen.

Am Sonntag wurde die genutzte IT-Infrastruktur der "8Base"-Gruppierung beschlagnahmt und vom Bayerischen Landeskriminalamt vom Netz genommen. Zuvor wurde durch das Amtsgericht Bamberg die Beschlagnahme von insgesamt 115 Servern angeordnet. Weitere 15 Server wurden auf Anordnung der Zentralstelle Cybercrime Bayern beschlagnahmt. Im Zuge des Vollzugs wurden ca. 25 Server aufgefunden und abgeschaltet, die noch aktiv durch die Gruppierung verwendet wurden.

Norbert Radmacher, Präsident des Bayerischen Landeskriminalamtes betont:

„Die international eng abgestimmten Ermittlungen führten erneut zu einem bedeutenden Schlag gegen Cyberkriminelle. Die Zerschlagung der genutzten IT-Infrastruktur und die erfolgten Festnahmen sind ein wesentlicher Beitrag zur Sicherheit im Cyberraum. Äußerst erfreulich ist, dass durch das Bayerische Landeskriminalamt weltweit deutlich über einhundert Geschädigte vor einer Verschlüsselung ihrer Daten bewahrt werden konnten. Bei einem statistisch durchschnittlichen Schaden von etwa fünf Millionen Euro im Falle eines erfolgreichen Ransomware-Angriffs ergibt sich hier eine rechnerisch unglaubliche Summe von weit mehr als einer halben Milliarde Euro.“

Christine Schäl, Oberstaatsanwältin und Leiterin der Taskforce Cyberangriffe bei der ZCB erklärt:

„Ransomware ist eine besonders perfide Form von Kriminalität, die erhebliche Schäden für Bürger, Unternehmen und das Gemeinwesen verursacht. International operierenden Banden kann nur mit internationaler Kooperation und technischer Expertise begegnet werden. Gemeinsam mit unseren Partnern ist es uns gelungen, einen wichtigen Teil der globalen Ransomware-Industrie empfindlich zu treffen. Auf diesem Ermittlungserfolg werden wir aufbauen.“