Bei der Reutlinger Polizei laufen die Ermittlungen gegen die Organisation Hive zentral zusammen. Die Gruppe erpresste weltweit Firmen – Beamte aus Esslingen haben die Hacker jetzt gehackt.
Es kommt nicht alle Tage vor, dass eine deutsche Polizeidienststelle Lob von einem der höchsten Polizisten weltweit erhält. Das ist am Donnerstag geschehen. Der Direktor des amerikanischen FBI, Christopher Wray, dankte dem Polizeipräsidium Reutlingen – was in seiner Aussprache „Ruuuuuutlingen“ hieß. Das Lob hat dem PP Reutlingen die Arbeit seiner Kriminalinspektion fünf, der Cyberforensik, eingebracht. Knapp 30 Ermittelnde sitzen an den Standorten Esslingen und Tübingen, und sie haben einen ganz großen Schlag gegen eine internationale Cybercrime-Gruppierung angeführt. Kurz gefasst: Die Esslinger Kripo hat eine internationale Hacker-Bande gehackt.
Die ersten Spuren der Organisation entdeckt die Kripo in Esslingen
Bei der Esslinger Kripo stach zum ersten Mal jemand im wahrsten Sinne des Wortes in einen Bienenhaufen. Hive heißt die Organisation im Darknet, einem verborgenen Teil des Internets, die in Esslingen entdeckt wurde. Weltweit soll sie mit einer Schadsoftware Firmen lahmgelegt und erpresst haben. Ransomware heißt das, womit sie auf die Rechner gehen – eine Software, designt um Ransom, also Lösegeld, zu erpressen.
„Die Firma, die uns eingeschaltet hat, hat das einzig Richtige gemacht“, sagt die Sprecherin der Polizei in Reutlingen, Andrea Kopp. Das Unternehmen habe, als seine Daten blockiert waren, nicht auf die Erpressung reagiert, sondern die Polizei verständigt. Deren Forensikabteilung habe damit nicht nur beim Durchforsten der Daten zum ersten Mal weltweit die Existenz von Hive im Darknet entdeckt. „Sie konnten auch im Zuge der Ermittlungen die Daten wieder entschlüsseln“, sagt Andrea Kopp.
Die Arbeit der Kriminalinspektion fünf sei ein „wahnsinnig spannendes Feld – und es ist unheimlich toll, wie begeistert die Leute bei der Arbeit sind“, lobt sie die Kolleginnen und Kollegen. Als am Donnerstag die Pressekonferenz des amerikanischen Department of Justice weltweit im Netz läuft, bei der sich auch der US-Justizminister Merrick Garland zu Wort meldet, wird auch in Reutlingen gerade viel Englisch gesprochen: „Es sind noch Kolleginnen und Kollegen aus den USA bei uns, die am Freitag abreisen“, berichtet Kopp. Ob die Ermittelnden aus Deutschland und Amerika gemeinsam zu amerikanischer Ortszeit in den frühen Morgenstunden live mitverfolgten, wie die Server von Hive in Kalifornien durch die Ermittlungsbehörden lahmgelegt wurden, das bleibt jedoch geheim.
Was die Polizei und die Staatsanwaltschaft verraten, ist, dass von den weltweit mehr als 1500 Cyberangriffen mehr als 70 allein in Deutschland verübt wurden, drei davon in Baden-Württemberg. Davon war wiederum einer der Fall, durch den die Ermittelnden weltweit zum ersten Mal auf Hive aufmerksam geworden waren.
Wo die Hinterleute sitzen, dazu wird noch nichts verraten, denn die Ermittlungen dazu laufen noch. Nur so viel lassen die Behörden erkennen: Der Sperrbildschirm, mit dem den Tatpersonen signalisiert wird, dass ihr Netzwerk lahmgelegt wurde, enthält Hinweise in russischer Sprache – für den Fall, dass auch dort Hinterleute sitzen könnten. Ob das tatsächlich der Fall sei, bestätigt oder dementiert zum aktuellen Zeitpunkt natürlich noch niemand. „Das ist alles Bestandteil der Ermittlungsarbeit“ , heißt es dazu nur von der Staatsanwaltschaft Stuttgart
Die Ermittlungsarbeit läuft und wird es auch noch einige Zeit lang tun. Denn es ist ein Mammutfall. Nicht nur die mindestens 70 Fälle in der Bundesrepublik gilt es zu klären. Mehr als 1300 waren es weltweit. Wobei die Gruppierung auch riskierte, das Menschenleben in Gefahr gerieten. So berichtet der amerikanische Justizminister Merrick Garland von Krankenhäusern, deren Daten gekapert worden seien. „Und das inmitten der Coronapandemie“, fügt er hinzu. Eines im mittleren Westen der USA sei nicht mehr in der Lage gewesen, neue Patienten aufzunehmen. Bei der Behandlung der Personen, die bereits im Krankenhaus lagen, habe man nur die Papierakten als Stütze der Behandlungen zur Verfügung gehabt.
Die Gefahr eines Cyberangriffs auf Firmen lauere immer und überall. „Es ist eigentlich nicht die Frage, ob es passiert, sondern wann“, sagt die Polizeisprecherin Andrea Kopp. Und wiederholt die zentrale Botschaft der Polizei an Betroffene: „Nicht bezahlen – erst die Polizei alarmieren. Der Fall hat ja gezeigt, dass wir auch bei der Wiederherstellung der Daten helfen können.“
Die Ermittlungen zu allen Fällen in Deutschland liefen nach der Entdeckung von Hive zentral bei den Esslinger Cybercrime-Experten. Welche Firmen und Branchen betroffen waren, das kommentierten die Behörden am Donnerstag noch nicht, auch wenn schon einzelne Firmennamen kursierten. Auch ob in Deutschland wie in den USA ebenfalls kritische Infrastruktur betroffen war, wurde nicht verraten.