Nach dem in der vergangenen Woche bekannt gewordenen Schlag gegen ein internationales Netzwerk von Hackern hat das Landeskriminalamt (LKA) Nordrhein-Westfalen weitere Einzelheiten genannt. Das "hochprofessionelle" und international agierende Netzwerk, das sich "DoppelSpider" oder "DoppelPaymer" nennt, habe mindestens 601 Unternehmen, Institutionen oder Privatmenschen geschädigt, berichteten LKA-Vertreter am Montag vor Journalisten in Düsseldorf. Allein in Deutschland seien es 37 Geschädigte, dabei gebe aber es ein "sehr, sehr großes" Dunkelfeld.

Das LKA leitete die Ermittlungen und arbeitete mit der US-Bundespolizei FBI, Europol und der Polizei in den Niederlanden und der Ukraine zusammen. Die Vorwürfe lauten auf gewerbsmäßige, digitale Erpressung und Computersabotage. Eine "Schattenökonomie, die sich nach Angebot und Nachfrage richtet", nannte der Leiter des Dezernats Cybercrime, Dirk Kunze, die Hackergruppe.

Sie sei schon 2010 entstanden und habe mit einer Erpressungssoftware in der Gamingszene begonnen. Später seien Bankkunden geschädigt worden. Einen ersten großen Angriff habe es im Jahr 2017 auf das britische Gesundheitssystem gegeben.

In Deutschland soll das Netzwerk 2021 unter anderem die Universitätsklinik Düsseldorf, die Funke-Mediengruppe und den Landkreis Anhalt-Bitterfeld in Sachsen-Anhalt attackiert haben, der daraufhin den Katastrophenfall ausrief - ein "Fall, der in der deutschen Geschichte seinesgleichen sucht", wie Kunze formulierte.

Die Hacker sollen sich digitalen Zugang zu den Rechnern der betroffenen Unternehmen verschafft haben, dort Daten abgegriffen und anschließend mit deren missbräuchlicher Nutzung gedroht haben. So seien weltweit teils bis zu zweistellige Millionenbeträge erpresst worden, teilte das LKA mit. Das Netzwerk soll auch der Geldwäsche in Kryptowährungen dienen.

Bei den Ermittlungen seien elf Menschen - Männer und Frauen - identifiziert worden, die unterschiedliche Beträge zu Taten geleistet hätten, hieß es weiter. Am 28. Februar wurden in Deutschland und der Ukraine Gebäude durchsucht, mutmaßliche Beteiligte vernommen und Beweismaterial beschlagnahmt.

Es gebe auch drei Haftbefehle, sagte Kunze. Diese hätten aber nicht vollstreckt werden können, weil sich die Verdächtigen nicht im Zugriffsgebiet der europäischen Justizbehörden aufhielten. Ein 41 Jahre alter Russe und ein 31 Jahre alter Mann mit Bezügen nach Russland, dessen Nationalität unbekannt ist, sollen sich an mehreren Taten beteiligt haben.

Bei den Cyberattacken auf deutsche Unternehmen sollen sie eine wesentliche Rolle gespielt haben. Auf den 41-Jährigen ist Kunze zufolge von den USA ein Kopfgeld von fünf Millionen Dollar ausgesetzt.

Außerdem gibt es einen Haftbefehl gegen eine 36 Jahre alte Russin, die als Administratorin für das Netzwerk gearbeitet haben soll. Sie soll auch E-Mails mit bösartiger Software im Anhang versendet haben, um so Systeme mit Verschlüsselungssoftware zu infizieren. Nach den dreien wird nun weltweit gefahndet. Die übrigen Verdächtigen sollen in der Ukraine, in Deutschland, Russland oder Moldau leben.

Angriffe auf kritische Infrastruktur gefährdeten Menschenleben, sagte LKA-Leiter Ingo Wünsch. Das Netzwerk habe vorrangig profitorientiert gehandelt. Wünsch forderte, dass IT-Sicherheit Teil jeder Unternehmensphilosophie sein müsse.

smb/cfm