Ein Mann sitzt vor drei Bildschirmen mit Text.
Zahlreiche Einrichtungen und Unternehmen sollten erpresst werden: Vom Angriff auf die Funke Mediengruppe waren auch mehrere Thüringer Tageszeitungen betroffen. (Symbolbild) Bildrechte: picture alliance/dpa/dpa-Zentralbild | Annette Riedl

Verbindung nach Russland Cyberangriff auf Anhalt-Bitterfeld: Hacker identifiziert

07. März 2023, 11:43 Uhr

Die Hacker-Gruppe "Double-Spider" soll in Deutschland mindestens 37 Institutionen angegriffen haben, darunter die Kreisverwaltung von Anhalt-Bitterfeld, das Uni-Klinikum Düsseldorf sowie die Funke Mediengruppe. Davon waren auch Thüringer Tageszeitungen betroffen. Die internationalen Ermittlungen gegen die Cyberkriminellen starteten 2021 von Nordrhein-Westfalen aus. Die Täter sollen aus Russland, Moldawien, der Ukraine und auch aus Deutschland kommen.

Ermittler in Nordrhein-Westfalen haben die mutmaßlichen Drahtzieher eines internationalen Netzwerks von Cyberkriminellen identifiziert. Sie sollen für mehrere Hackerangriffe verantwortlich sein, darunter die Cyberattacke auf den Landkreis Anhalt-Bitterfeld, der deshalb den Katastrophenfall ausrufen musste. Gegen drei Verdächtige seien Haftbefehle erlassen worden, berichteten Ermittler von Landeskriminalamt und Staatsanwaltschaft am Montag in Düsseldorf.

Tageszeitungen in Thüringen betroffen

Den Verdächtigen werden mehr als 600 Angriffe auf Institutionen weltweit angelastet. In Deutschland habe die Gruppe mindestens 37 Institutionen angegriffen und geschädigt. Neben der Kreisverwaltung Anhalt-Bitterfeld waren darunter auch das Uni-Klinikum Düsseldorf sowie die Funke Mediengruppe. Von einer Dunkelziffer sei auszugehen, weil es immer noch Unternehmen gebe, die Lösegeld zahlten, ohne die Polizei einzuschalten.

Vom Angriff auf die Funke Mediengruppe waren auch mehrere Thüringer Tageszeitungen betroffen: Die Thüringer Allgemeine, Thüringische Landeszeitung und Ostthüringer Zeitung waren aufgrund des Angriffs im Dezember 2021 jeweils ohne Lokalteil erschienen. Hacker hatten Daten der Mediengruppe verschlüsselt und dafür Lösegeld verlangt.

FBI setzt fünf Millionen Dollar Belohnung auf 41-jährigen Russen aus

Einer der Tatverdächtigen, ein 41-jähriger Russe, werde auch vom FBI gesucht. Die US-Behörde hat fünf Millionen US-Dollar Belohnung auf ihn ausgesetzt. Die kriminelle Gruppierung namens "Double-Spider" oder "Grief" habe Bezüge nach Russland. Es gebe jedoch keine Hinweise auf staatliche Akteure hinter den Machenschaften. Den Verdächtigen sei es um Lösegeld in Millionenhöhe gegangen.

Gleichwohl: "Wir sehen bei einzelnen Personen dieser Tätergruppe auch Bezüge und Verbindungen zum russischen Inlandsgeheimdienst FSB und der paramilitärischen Söldnertruppe Wagner", sagte NRW-Innenminister Herbert Reul (CDU). Auch wenn die Taten der persönlichen Bereicherung dienten, liege die Vermutung nahe, dass sie mindestens staatlich geduldet würden. Zudem sei nicht auszuschließen, dass die abgeschöpften Daten und Gelder auch für staatliche Zwecke genutzt werden.

Die drei Verdächtigen Igor T., Irina Z. und Igor G. werden nun weltweit gesucht. Sie stünden auf der Europol-Fahndungsliste "Europe's most wanted". "Die Angriffe auf die kritische Infrastruktur sind ein Spiel auf Leben und Tod", sagte ein Europol-Sprecher in Düsseldorf.

Verdächtige auch in Deutschland

Neben den drei genannten Verdächtigen werde noch gegen acht weitere im Alter von 38 bis 40 Jahren aus Deutschland, Russland, Moldawien und der Ukraine ermittelt. Gesucht werden sie wegen besonders schwerer Erpressung und Computer-Sabotage. Es sei gelungen, konkreten Personen konkrete Taten nachzuweisen, sagte Oberstaatsanwalt Markus Hartmann.

2021 seien in Nordrhein-Westfalen die internationalen Ermittlungen gegen die Gruppe übernommen worden, hieß es am Montag. Trotz des Krieges habe die Polizei in der Ukraine die Ermittlungen tatkräftig unterstützt, berichteten die Ermittler. Dabei sei eine Schatten-Ökonomie ans Licht gekommen. So gebe es Stellenausschreibungen und Headhunter für Hacker. Sogenannte Access-Broker handelten mit unsicheren Stellen in Firmen-Netzwerken. Das Ganze werde über Geldwäsche-Netzwerke mit Kryptowährungen abgewickelt. Nach MDR-Informationen hat es mehrere Hausdurchsuchungen in Deutschland und der Ukraine gegeben.

Schülerinnen und Schüler nehmen im Klassenzimmer einer 9. Klasse der Gemeinschaftsschule Leutenbach am Geografieunterricht mit Hilfe von Laptops und Tablets teil.
Bildrechte: picture alliance/dpa | Marijan Murat

dpa/MDR (Daniel Salpius)

Dieses Thema im Programm: MDR SACHSEN-ANHALT – Das Radio wie wir | 06. März 2023 | 14:00 Uhr

24 Kommentare

DER Beobachter am 07.03.2023

Alle Anrainer-Staaten ermitteln. Die einschlägige Szene fragt nach ihrem pseudopatriotisch-antideutsch-prorussischen Statements nicht nach den Ermittlungen Dänemarks, Schwedens, Polens und Norwegens. Nun sind es ausgerechnet unsere Ermittlungsbehörden, die einen Durchbruch erzielten. Zwar ist der russischen Regierung keine Beteiligung nachweislich, ebenso aber genau nicht den Amerikanern. Es gibt Spuren, die nach Russland und die Ukraine verweisen, aber bei diesen kann es sich auch um gelegte FalseFlag-Aktionen handeln... Und nun?

DER Beobachter am 07.03.2023

Wobei die Strukturen bzw. Beziehungen zur russischen Regierung durchaus interessant würden. Nicht alle russischen "Internetkriminellen" sind Fans dieser (z.B. dezidiert nicht der Telegramgründer), andererseits versicherte Putin sich seiner Oligarchen durchaus nicht nur über Privilegien und der bekannten seltsamen Todesfälle, sondern auch übers Milliardenschröpfen. Wer die Schwachpunkte der Datensicherheit von politischen und wissenschaftlichen Institutionen wie auch nur simplen Gemeinden oder Hochschulen angreift ohne mehr oder weniger offene finanzielle Erpressungen/Gewinnchancen, hat wohl eher ein politisches Motiv...

MDR-Team am 07.03.2023

Es handelt sich um Tatverdächtige. Ob es sich tatsächlich um Kriminelle und Straftäter handelt, ist von der Justiz noch zu klären.
Liebe Grüße aus der MDR.de-Redaktion

Mehr aus Deutschland

Taylor Swift 4 min
Bildrechte: IMAGO/AAP