Bei den Angriffen verschafften sich die Täter in der Regel digitalen Zugang zu den Rechnern der betroffenen Unternehmen, griffen Daten ab oder verschlüsselten sie und verknüpften deren Herausgabe mit hohen Geldforderungen. So wurden weltweit teils bis zu zweistellige Millionenbeträge erpresst. Das UKD musste zeitweise seine Notfallversorgung einstellen, die Behörden in Anhalt-Bitterfeld lösten den Katastrophenfall aus. „Es handelte sich also nicht um rein digitale Delikte, sondern die Taten hatten fühlbare Auswirkungen“, sagte Hartmann. Entsprechend drohen den Tätern mit Freiheitsentzug nicht unter einem Jahr hohe Strafen. Wo sich die Verdächtigen aufhalten, ist nicht bekannt, ihnen soll aber durch die international laufende Fahndung erschwert werden, irgendwo ein angenehmes Leben zu führen.

An den Ermittlungen beteiligt waren Europol, die US-Behörde FBI, die niederländische und die ukrainische Polizei. In der Ukraine und in NRW wurden in der vergangenen Woche auch mehrere Objekte untersucht. Aber nicht nur die internationale Zusammenarbeit gestaltete die Untersuchung anspruchsvoll, allen Verdächtigen mussten laut Hartmann auch konkrete Taten zugeordnet werden. Zudem verstünden es die kriminellen Netzwerke, in diesem Fall die Gruppierung „DoppelSpider“ oder „DoppelPaymer“, ihre Taten gut zu verschleiern und hielten sich außerhalb juristischer Räume auf, sagte Jan Op Gen Oorth von Europol. „Jedes Netzwerk macht aber früher oder später Fehler“, erklärte Op Gen Orth weiter, „und ein Fehler reicht.“

Cyberangriffe auf Infrastrukturen von Unternehmen und Behörden haben sich seit 2017 zu einem weltweiten Geschäft entwickelt. Laut Kunze würden die kriminellen Netzwerke sogar Stellen für Hacker ausschreiben, mit Gehaltsangaben, Urlaubstagen und unter Vorlage von Arbeitsproben. Zudem würden Schadsoftware oder Erpressungsprogramme verkauft, also für andere Netzwerke als Dienstleistung angeboten. „Wir sprechen hier von einer Schattenökonomie“, sagte Kunze. Den Geschädigten entstehen durch die Attacken oft hohe Kosten, manche Firmen würden an den Rand ihrer Existenz gebracht.

LKA-Chef Ingo Wünsch wies daher daraufhin, dass es für Unternehmen und Behörden elementar wichtig sei, ihre digitale Infrastruktur genausogut zu schützen wie das Betriebsgelände. „IT-Sicherheit muss Chefsache sein“, sagte Wünsch. Um sich Zugang zu verschaffen, nutzten die Kriminellen alles, was technisch möglich sei, von infizierten E-Mails über gefälschte Internetseiten bis zum Scannen von Schwachstellen. Auch solche Zugänge würden weiterverkauft. „Diese Kriminellen gefährden Menschenleben und die wirtschaftliche Stabilität“, sagte Wünsch. Der Schlüssel für den Erfolg sei die internationale Zusammenarbeit.

Wichtig sei es für betroffene Firmen, bei einem Erpressungsversuch niemals zu bezahlen, erklärte Op Gen Orth. Damit finanziere man nur weitere kriminelle Machenschaften und lande womöglich auf einer Liste für erneute Angriffe, zudem sei den Erpressern nie zu trauen. Mit der Fahndung wolle man die Täter aus der Anonymität holen. Bei den drei Gesuchten handelt es sich um Igor Olegovich Turashev, auf dessen Ergreifung eine Belohnung von fünf Millionen US-Dollar ausgeschrieben ist, Irina Zemlianikina und Igor Garshin. Russischsprachige Gruppierungen seien stark vertreten in diesem Markt, sagte Hartmann. „Uns ist klar, dass man ein solches Netzwerk nicht durch die Verhaftung einzelner Personen zerschlagen kann“, sagte der Oberstaatsanwalt, „wir zeigen aber, dass wir die Täter nicht davonkommen lassen wollen.“