Ransomware-Gruppierungen verschaffen sich durch Phishing-E-Mails, infizierte Anhänge, kompromittierte Websites oder Software-Sicherheitslücken unrechtmässig Zugang in ein IT-System. Anschliessend sorgen sie für eigene umfassende Berechtigungen im System und verschlüsseln dann die Daten im gesamten Netzwerk. In der Folge verlangen die Angreifer eine Lösegeldzahlung in Form von Kryptowährungen wie dem Bitcoin für die Entschlüsselung der Daten.

Angriffe mit gravierenden Folgen

Ransomware-Angriffe können ganze IT-Systeme lahmlegen, hohe Kosten verursachen und den Betrieb über Wochen hinweg beeinträchtigen. Während früher vor allem Privatpersonen betroffen waren, geraten heute verstärkt Unternehmen und staatliche Institutionen ins Visier. Die Folgen reichen von finanziellen Einbussen und Datenverlusten bis hin zu Reputationsschäden. Im Extremfall können solche Angriffe zur Insolvenz von Unternehmen führen oder durch den Ausfall kritischer staatlicher Infrastrukturen sogar Menschenleben gefährden.

Das Kompetenzzentrum Cybercrime von Staatsanwaltschaft und Kantonspolizei ist im Kanton Zürich für die Strafverfolgung im Bereich von Ransomware-Angriffen zuständig. In den vergangenen Jahren konnten sich die Cyberspezialistinnen und -spezialisten grosses Know-how aneignen sowie die nationale und internationale Kooperation vorantreiben. Dies ist der Schlüssel zum Erfolg, denn das Geschäft mit Ransomware ist heute eine stark arbeitsteilige, internationale organisierte Kriminalität, die vor Landes- und Kantonsgrenzen keinen Halt macht.

Landesweites Sammelverfahren

Wie diese nationale und internationale Zusammenarbeit funktioniert, zeigt sich exemplarisch am landesweiten Sammelverfahren der Zürcher Strafverfolgungsbehörden im Zusammenhang mit der Schadsoftware LockBit. Die LockBit-Ransomware gehörte in den vergangenen Jahren zu den am häufigsten eingesetzten Ransomware-Varianten. Es wird angenommen, dass von LockBit-Angriffen weltweit über 2’500 geschädigte Unternehmen und Institutionen betroffen sind. Das vom Kanton Zürich geführte landesweite Sammelverfahren umfasst insgesamt 75 Geschädigte aus diversen Kantonen mit einem Gesamtschaden von über 7 Millionen Franken.

Eine internationale Taskforce mit Beteiligung der Zürcher Strafverfolgungsbehörden (Staatsanwaltschaft II, Kantonspolizei Zürich, Stadtpolizei Zürich) führte Mitte Februar 2024 Aktionen gegen die Cyberkriminellen bzw. deren Infrastruktur durch. Dabei gelang es den Zürcher Strafverfolgungsbehörden, sieben Server der international agierenden Täterschaft stillzulegen sowie über 10’000 von der Täterschaft genutzte Benutzerkonten zu deaktivieren. Zudem wurde im Juli 2024 im US-Gliedstaat New Jersey ein kanadisch-russischer Doppelbürger verurteilt, der sich auch schuldig bekannte, an LockBit- Attacken auf Schweizer Geschädigte beteiligt gewesen zu sein. Dass dem Täter auch Delikte zum Nachteil von Schweizer Geschädigten zur Last gelegt werden konnten, ist unter anderem der internationalen Kooperation, etwa in Form von Rechtshilfeersuchen, zu verdanken.

Auch wenn die Strafverfolgung Erfolge im ressourcenintensiven Kampf gegen Cyberkriminelle verbucht, so bleibt die Bedrohung doch allgegenwärtig. Unternehmen und Institutionen tun gut daran, selbst in die IT-Sicherheit zu investieren, um nicht zum nächsten Opfer zu werden.