Im Januar haben Fahnder aus der Region Stuttgart und aus aller Welt die internationale Hackergruppe Hive auffliegen lassen. Seither werden die Köpfe hinter der Organisation gejagt. Jetzt ist der nächste Schlag gelungen – in der Ukraine.
Die Ukraine ist ein gefährliches Pflaster. Natürlich wegen des russischen Angriffs. Doch auch in anderer Hinsicht. Diese Erfahrung mussten in der jüngeren Vergangenheit offenbar mehrere Hundert Unternehmen weltweit machen, darunter 15 in Deutschland. Eine Hacker-Gruppierung soll aus dem Kriegsland heraus schwerste Cyberangriffe auf Firmen verübt haben, die oft deren Existenz bedroht haben.
Die Internet-Kriminellen drangen in die IT-Systeme der Unternehmen ein, verschlüsselten Daten und forderten Lösegeld für die Entschlüsselung. Auch zwei schwerwiegende Angriffe auf Ziele im Landkreis Esslingen und im Bodenseekreis sollen auf das Konto der Gruppe gehen. Sie soll zum im Januar aufgedeckten internationalen Kriminellen-Netzwerk Hive, Englisch für Bienenstock, gehören.
Zumindest die ukrainischen Beteiligten der Gruppe dürften jetzt aber nicht mehr durchs Netz schwirren. Am 21. November ist dort eine Vielzahl von Objekten durchsucht worden. Ein 32 Jahre alter Mann und vier mutmaßliche Komplizen wurden festgenommen. Der 32-Jährige soll eine führende Rolle in der Gruppierung gespielt haben. Bei einem der Beschuldigten konnte ein hoher sechsstelliger Betrag in Kryptowährung sichergestellt werden. Erste Analysen der Ermittler bestätigten offenbar, dass ein Teil dieser Summe aus Lösegeldzahlungen von angegriffenen Unternehmen stammt.
Bei den Razzien in der Ukraine waren auch fünf Ermittler aus Baden-Württemberg dabei – drei Cyberspezialisten der Esslinger Kriminalpolizei, der stellvertretende Kripo-Chef und ein Beamter des Landeskriminalamts. „Das Team hat mit dem Know-how aus den Hive-Ermittlungen direkt vor Ort speziell in Bezug auf die Zusammenhänge mit Hive unterstützt, insbesondere im Bereich der Datensicherung, der ersten Analyse und der IT-Forensik“, sagt eine Polizeisprecherin. Im Wege eines internationalen Rechtshilfeersuchens hatten die ukrainischen Justizbehörden die Staatsanwaltschaft Stuttgart und weitere Strafverfolgungsbehörden aus Europa und den USA um Unterstützung gebeten.
Krimineller Dienstleister für Hacker
Die Esslinger Ermittler, das Landeskriminalamt und die Stuttgarter Staatsanwaltschaft spielen in dem weltweiten Hive-Komplex eine große Rolle. Gemeinsam mit Kollegen aus ganz Europa und dem amerikanischen FBI haben sie das kriminelle Netzwerk ausgespäht, beobachtet und im Januar schließlich auffliegen lassen. Hive ist eine Gruppe, die im Darknet, dem verschlüsselten Teil des Internets, kriminell aktiv war. Die Esslinger Kripo stieß Anfang 2022 erstmals auf sie, weil eine Firma aus dem Landkreis Alarm schlug. Durch diesen Einstieg wurden die Esslinger zu Experten für ganz Deutschland in Sachen Hive.
Die Strukturen der kriminellen Organisation werden inzwischen immer deutlicher. Laut den Ermittlern soll Hive ein erfolgreiches Geschäftsmodell mit Erpressung entwickelt haben. Die für die Straftaten notwendige Infrastruktur und sonstige Dienste hat Hive gegen eine Gebühr in Höhe von 20 Prozent des späteren Erlöses zur Verfügung gestellt und auch die Lösegeldverhandlungen mit den erpressten Geschädigten geführt. Hacker-Gruppierungen wie die in der Ukraine konnten wiederum auf diese Dienste zurückgreifen und waren dafür zuständig, in die IT der Geschädigten einzudringen, sie auszuspionieren und Daten zu verschlüsseln.
Internationale Zusammenarbeit nötig
Im Januar hatten die Ermittler in einer internationalen Operation Daten und Accounts des Netzwerks Hive und seiner Nutzer gesichert sowie den Darknetauftritt lahmgelegt. Die Server sind beschlagnahmt worden. In der jetzigen Phase befassen sich die Sicherheitsbehörden vorwiegend damit, das Material auszuwerten und die beteiligten Personen zu finden. Eine Spur hat jetzt zu den Tatverdächtigen in der Ukraine geführt.
Den Festnahmen sollen weitere folgen. „Für die hochprofessionell, arbeitsteilig und konspirativ auftretenden Täter existieren bei ihrer Tatausführung keine Ländergrenzen. Der Bedrohung und dem Schaden für die Wirtschaft durch Cyberangriffe können die Ermittlungsbehörden nur im gemeinsamen Schulterschluss über Staats- und Unionsgrenzen hinweg wirksam begegnen“, sagt der Leitende Oberstaatsanwalt Joachim Dittrich. Die jetzigen Maßnahmen zeigten, dass der „vertrauensvolle und direkte Draht zwischen den Behörden der Schlüssel zum Erfolg der Aufklärung von Cybercrimestraftaten“ sei.