Nach zwei Drahtziehern der Cyber-Attacke 2019 auf die Staatstheater Stuttgart wird nun öffentlich gefahndet. Über das Lösegeld für die Erpresser redet man nicht so gern.
Lösegeld? Damit der Kartenkauf bei den Stuttgarter Staatstheatern wieder reibungslos funktionieren konnte? Gerne schweigt man über diesen außergewöhnlichen Stuttgarter Erpressungsfall im März 2019. Doch jetzt, sieben Jahre nach der Cyber-Attacke, gehen die Ermittler wieder in die Offensive – sie haben nach dem inzwischen verurteilten Angreifer nun auch zwei Drahtzieher identifiziert. Die halten sich mutmaßlich irgendwo in Russland auf – und nach ihnen wird international gefahndet.
Zwei russische Verdächtige sollen als Cyberkriminelle mit Schadprogrammen und dunkel-digitaler Lösegeldlogistik sowie gewissenlosen „Partnern“ an den Computern nicht nur die Stuttgarter Staatstheater, sondern 130 Unternehmen und Institutionen in Deutschland angegriffen haben – mit hohem betriebswirtschaftlichen Schaden, insgesamt etwa 35 Millionen Euro. Außerdem sollen dabei 1,8 Millionen Euro Lösegeld kassiert worden sein. Nicht nur das Bundeskriminalamt fahndet: Die 31 und 43 Jahre alten russischen Männer stehen auf der Top-Fahndungliste der Europäischen Union.
Die Freude beim Intendanten der Staatstheater Stuttgart ist groß
In der Stuttgarter Kulturinstitution ist die Freude über den neuesten Stand der Ermittlungen groß. Anfang dieses Jahres hatte das Landgericht einen 46-jährigen Ukrainer als Cyber-Angreifer und Erpresser zu sieben Jahren Haft verurteilt. Dass seine mutmaßlichen Hintermänner ebenfalls identifiziert werden konnten, sieht Marc-Oliver Hendriks, der Geschäftsführende Intendant der Staatstheater, als „Konsequenz einer exzellenten Arbeit“ des Landeskriminalamtes. „Man kann die Behörden gar nicht genug loben für diese Fahndungserfolge“, sagt er, „die Leute vom LKA sind sensationell.“ Von Beginn an hätten die Staatstheater eng mit ihnen zusammengearbeitet.
Zu den damaligen Lösegeldforderungen will sich Marc-Oliver Hendriks nicht äußern und wiederholt, was bereits in den Verhandlungen vor dem Landesgericht ausgesagt worden sei: „Die Staatstheater haben nichts bezahlt.“ Die in den Medien kursierende Schadenssumme von einer Million, so Hendriks, sei „schlicht zu hoch“. Schadensersatzforderungen gegenüber den Cyber-Kriminellen hatten die Theater geltend gemacht, da sie nach der Attacke Hardware austauschen mussten. „Wir mussten alte Rechner, die weit über den Abschreibungshorizont hinaus benutzt worden waren, durch teure neue ersetzen“, sagt Hendriks. Ob die Täter dafür wirtschaftlich dingfest gemacht werden könnten, hält er für fraglich.
Das Rätsel um die Lösegeldsumme für das Staatstheater Stuttgart
Keinen Hehl aus dieser Schadenssumme hat das Ministerium für Wissenschaft, Forschung und Kunst gemacht. Auf insgesamt 260.341 Euro Schaden hat Ministerin Petra Olschowski (Grüne) die unmittelbaren Aufwendungen der Staatstheater auf Landtags-Anfrage der FDP/DVP bereits im Oktober 2024 beziffert.
Und Lösegeld wurde auch gezahlt – tatsächlich nicht von den Staatstheatern selbst, jedoch auf dem Umweg über einen externen IT-Dienstleister. Da lässt sich eins und eins zusammenzählen: Für solche Alarmfälle gibt es die CSBW, die Cybersicherheitsagentur Baden-Württemberg. Die berät und hilft. Nach Informationen unserer Zeitung wurden umgerechnet 14.899 Euro an die Cyber-Erpresser gezahlt.
Unter anderem zahlten auch zwei Unternehmen aus dem Landkreis Ravensburg – aus den Branchen Medizintechnik und Maschinenbau. Dabei flossen 13.333 beziehungsweise 14.411 Euro. Kein Geheimnis: Zu den Anfangszeiten des ersten GandCrab-Schadprogramms begnügten sich die Erpresser mit 15.000 US-Dollar. Heute wäre das ein Schnäppchen. Dabei ist das Geld auch gut angelegt. Die Generalstaatsanwaltschaft Karlsruhe erklärte bereits 2024 in der Landtagsanfrage: „Wird Lösegeld bezahlt, können sich daraus allerdings weitere Ermittlungsansätze ergeben.“ Stichwort auf Neudeutsch: „Follow the Money.“
Intendant: Staatstheater Stuttgart sind sicher aufgestellt
Bei der Cyber-Attacke 2019, betont Hendriks, seien die Staatstheater sehr sicher aufgestellt gewesen. Möglich sei der Angriff nur gewesen, da sich die Täter über den Host-Zugang eines IT-Dienstleisters einen Zugang verschaffen konnten. Mit diesem Dienstleister hätten die Staatstheater für den entstandenen Schaden bereits einen Vergleich gefunden.
Nach den ersten Ermittlungserfolgen 2024 hatte Marc-Oliver Hendriks die Reaktion seines Hauses auf den Vorfall so skizziert: „Die Staatstheater haben den Cyberangriff 2019 sehr schnell bemerkt und konnten ihn weitgehend eindämmen. Der Kartenverkauf war am stärksten betroffen. Durch das rasche Umstellen der digitalen auf analoge Prozesse konnten wir aber fast ohne Unterbrechung für unser Publikum erreichbar bleiben.“ Er betonte schon damals, dass der Angriff über einen externen Dienstleister erfolgt sei. „In der Folge haben wir die Anforderungen an Cyber-Sicherheitsauflagen bei Dienstleistern weiter erhöht.“ Dieses Risiko-Einfalltor sei heute geschlossen, betont Hendriks auch jetzt.