Das Landeskriminalamt BW soll einen mutmaßlichen Drahtzieher hinter der Schadsoftware "REvil" ermittelt haben. Das Programm war auch auf Hackerangriffe auf Stuttgarter Unternehmen verantwortlich.

Bei dem Tatverdächtigen soll es sich um einen russischen Staatsbürger handeln, der derzeit in einer südrussischen Großstadt lebt. Er soll nach Ansicht der Ermittler "zweifelsfrei" der Kerngruppe von "REvil" und deren mutmaßlichem Vorgänger "Gandcrab" angehören. Das hat eine Recherche des Bayerischen Rundfunks (BR) und von "Zeit Online" ergeben. Die Reporter hätten Anhaltspunkte dafür gefunden, dass der Verdächtige Geld erhalten habe, das direkt aus Ransomware-Fällen stammen soll.

Auch das Staatstheater Stuttgart betroffen

In Deutschland seien mehrere mittelständische Unternehmen und auch Krankenhäuser davon betroffen gewesen. Im Frühjahr 2019 hatte ein Software-Entwickler in der Nähe von Stuttgart Anzeige erstattet. Die Hacker waren an die Zugangsdaten eines Mitarbeiters gekommen und konnten so in die Systeme einiger Kunden eindringen. Darunter auch das Staatstheater Stuttgart. Fünf Tage lang war dort der E-Mail-Verkehr lahmgelegt, statt Online-Tickets erhielten Zuschauer mit Kugelschreiber beschriebene Ersatzkarten. Um die Daten zu entschlüsseln, sollen die Staatstheater Medienberichten zufolge 15.000 Euro in einer Digitalwährung gezahlt haben. Laut den Recherchen von BR und "Zeit Online" sei im Anschluss auf diesen Angriff beim LKA Baden-Württemberg eine Ermittlungsgruppe gegründet worden.

Nach den Angriffen auf das Staatstheater Stuttgart hat das Landeskriminalamt Baden-Württemberg eine Ermittlungsgruppe gegründet. Das haben Recherchen vom Bayerischen Rundfunk und "Zeit Online" ergeben. dpa Bildfunk picture alliance/dpa | Daniel Naupold

Was ist "REvil" für eine Schadsoftware?

"REvil" gilt als eines der gefährlichsten Programme für "Ransomware"-Angriffe - also digitale Erpressung, die besonders in der Wirtschaft Schäden in Milliardenhöhe verursacht. Bei "Ransomware" - auch als Erpressungstrojaner bekannt - handelt es sich um eingeschleuste Software, die Computer und andere Systeme blockiert. Anschließend werden die Betreiber erpresst, damit die Systeme wieder freigeschaltet werden. In dem Begriff steckt das englische Wort für Lösegeld ("ransom").

Tatverdächtige aktuell in Russland

Weder die ermittelnden Behörden - das Bundeskriminalamt und das Landeskriminalamt Baden-Württemberg - noch die Staatsanwaltschaft Stuttgart wollten sich auf Nachfrage der Medien zu dem Vorfall äußern. Auch der Tatverdächtige habe nicht auf Anfragen reagiert. In den Online-Netzwerken habe sich der Mann als Händler von Kryptowährungen mit luxuriösem Lebensstil präsentiert, etwa mit teuren Sportwagen, Designerkleidung und Luxusreisen. Finanziert werde der luxuriöse Lebensstil mutmaßlich durch Erpressungsgeld - gezahlt von Unternehmen und Behörden, die Opfer von Hackerangriffen seien.

Eine Festnahme der deutschen Behörden nicht möglich

Solange sich der Tatverdächtige in Russland aufhält, könne er allerdings nicht von deutschen Strafverfolgern festgenommen werden. Denn deutsche Ermittlungsbehörden könnten ihn nur dann festnehmen, wenn er Russland verlässt und in ein Land reist, das nach Deutschland ausliefert. Eine Gelegenheit dafür hätte es nach Recherchen von BR und "Zeit Online" im vergangenen Jahr gegeben: Mit Freunden und seiner Ehefrau habe der Mann seinen Sommerurlaub an der türkischen Mittelmeerküste verbracht. Zu einem Auslieferungsantrag sei es jedoch nicht gekommen. Die Gründe sind unklar.