BAMBERG (dpa/lby) — Früher wurden eher Privat­per­so­nen mit Ransom­wa­re abgezockt, heute nehmen sich Täter zuneh­mend auch große Unter­neh­men vor. Die Ermitt­ler sehen im Rennen mit den Betrü­gern noch eine Aufhol­jagd vor sich.

Hacker fahren beim Einsatz von Verschlüs­se­lungs­tro­ja­nern («Ransom­wa­re») nach Beobach­tun­gen von Ermitt­lern verstärkt Angrif­fe auf zahlungs­kräf­ti­ge Unter­neh­men. Die letzten Monate hätten sehr deutlich bewie­sen, «dass die Täter mit großen techni­schen Möglich­kei­ten auch vor großen Opfern nicht mehr zurück­schre­cken», sagte Thomas Goger von der Zentral­stel­le Cybercrime in Bamberg.

Die Masche habe sich in den vergan­ge­nen fünf, sechs Jahren zuneh­mend weg von Privat­leu­ten als Opfern verscho­ben: «Von “Wir treffen möglichst viele und kassie­ren jeweils 500 Dollar ab” hin zu “Uns reicht schon einer, bei dem wir 70 Millio­nen abkas­sie­ren können”».

Bei einem Ransom­wa­re-Angriff wird ohne das Wissen des Opfers Schad­soft­ware instal­liert, die Daten verschlüs­selt. Geschä­dig­te können so nicht mehr auf diese zugrei­fen. Die Täter verlan­gen Lösegeld (englisch «ransom») für die Entschlüsselung.

Man beobach­te, dass sich Täter ganz gezielt wirklich zahlungs­kräf­ti­ge Unter­neh­men suchten und sich Zeit nähmen, diese auszu­kund­schaf­ten, sagte Goger. So traf es in diesem Jahr etwa das Modehaus Hirmer und die Elektro­märk­te Media Markt und Saturn. In den Fällen führe die Zentral­stel­le Ermitt­lun­gen, sagte Goger.

Bei Ransom­wa­re handle es sich um organi­sier­te Krimi­na­li­tät. Viele Spuren führten nach Russland, auch in der Ukrai­ne habe es Festnah­men gegeben. Die Ermitt­lun­gen gestal­ten sich schwie­rig, 2021 wurde seitens der Zentral­stel­le in dem Bereich niemand festge­nom­men. «Wenn das ein 100-Meter-Lauf ist, dann sind wir gerade erst aus dem Start­block rausge­kom­men», sagte Goger. «Da hat man noch eine Aufhol­jagd vor sich.» Im Umgang mit Bitcoin — der Krypto­wäh­rung, die die Betrü­ger oft verwen­den — haben die Ermitt­ler zumin­dest keine Schwie­rig­kei­ten mehr. Das Verständ­nis und der «Werkzeug­kas­ten» der Behör­den sei viel besser gewor­den, sagte Goger.

Die Täter nutzten oft Schwach­stel­len in weit verbrei­te­ter Standard­soft­ware aus. «Teils ist man überrascht, welche Sicher­heits­lü­cken noch offen sind, die eigent­lich schon seit Jahren hätten geschlos­sen werden können», sagte er. Meistens sei das Einfalls­tor aber trotz­dem immer noch der Mitar­bei­ter, der unbedacht auf irgend­was klicke.