Die kriminellen Hacker von Lockbit sind nach wenigen Tagen zurück. Der Schlag der Polizei war trotzdem ein wichtiger Erfolg
Der Kampf gegen Cyberkriminelle ist schwierig. Doch die Ermittler machen Fortschritte. Die Hintermänner können sich nicht in Sicherheit wiegen.
Die Hacker waren nur wenige Tage lang weg. Am Montag vor einer Woche führen die Strafverfolgungsbehörden ihre koordinierte Aktion gegen die kriminelle Ransomware-Gruppe Lockbit durch. Bereits am Samstag war die Bande wieder zurück mit einer Website im Darknet. Darauf finden sich wieder Opfer, die erpresst werden. Und trotzdem: Die international koordinierte Aktion der Behörden war ein großer Erfolg.
Der Kampf gegen Cyberkriminelle ist schwierig, kein Zweifel. Das zeigt den Fall von Lockbit. Die Gruppe ist seit 2019 aktiv und gilt mit über 2000 Opfern als die bedeutendste Bande, welche ihre Opfer mittels Verschlüsselungssoftware angreift und erpresst. Es dauerte Jahre, bis den Strafverfolgungsbehörden nun ein Schlag gegen Lockbit gelang.
Langwierig sind die Ermittlungen, weil die Täter international agieren. Sie verwenden Server oder Onlinedienste, die über den ganzen Globus verteilt sind. Um die Spuren eines Angriffs zurückzuverfolgen, bedarf es eines raschen Austauschs zwischen den Strafverfolgungsbehörden der betroffenen Länder.
Ermittler fragen Russland gar nicht mehr an
Erschwerend kommt hinzu, dass sich die Hintermänner der Ransomware-Banden meist in Russland aufhalten. Die internationale Rechtshilfe mit Russland funktioniert jedoch seit vielen Jahren schlecht bis gar nicht. Zahlreiche europäische Länder verzichten daher gar auf Rechtshilfeversuche. Dass Kriminelle in Russland auf westliches Ersuchen hin verhaftet werden, ist ausgeschlossen.
Doch der Kampf gegen Cyberkriminelle ist deshalb nicht aussichtslos. Der Schlag gegen Lockbit ist ein Erfolg – auch wenn die Bande nicht zerschlagen werden konnte. Das war auch nicht das Ziel der Aktion. Im Fokus steht offensichtlich der Zugriff auf die Infrastruktur der Gruppe, das heisst Server, E-Mail-Adressen oder andere Kommunikationsdienste. Und das ist ein wichtiger Schritt.
Kriminelle Banden sind im Internet auf ein internationales Ökosystem von Dienstleistern angewiesen. Dazu gehören etwa Marktplätze im Darknet oder Mixer zur Verschleierung der Geldflüsse in Kryptowährungen. Die Strafverfolgungsbehörden haben in den vergangenen Jahren mehrere Aktionen gegen solche Onlinedienste durchgeführt. Dabei dürften sie neue Erkenntnisse für weitere Ermittlungen gewonnen haben.
Dass die Ermittler nun Zugriff auf mehrere Server von Lockbit hatten, ist ein gutes Zeichen. Dort dürften sie Informationen über den Täter oder zumindest weiterführende Spuren gefunden haben. Es ist daher gut möglich, dass es in den nächsten Monaten zu weiteren Haftungen von Mitgliedern der Lockbit-Gruppe kommt.
Die Kriminellen können sich nicht sicher fühlen
Bereits bei der koordinierten Polizeiaktion vergangene Woche wurden drei Personen festgenommen. Zwar handelt es sich bei den Verhafteten offenbar nicht um Mitglieder der Kerngruppe, sondern um Helfer. Doch diese sogenannten „Affiliates“, die nicht unbedingt aus Russland heraus agieren, führen die Cyberangriffe gegen die Opfer aus. Ihre Verhaftung ist ein starkes Signal: Die „Affiliates“ sind nicht sicher vor einem Zugriff der Polizei.
Gut möglich, dass sich auch andere Helfer von Lockbit nun unsicher fühlen – und in Zukunft nicht mehr mit der Bande zusammenarbeiten. Ohne „Affiliates“ funktioniert das bisherige Geschäftsmodell von Lockbit nicht mehr.
Der Kampf gegen Cyberkriminelle ist vergleichbar mit dem Vorgehen gegen die Mafia. Die Ermittler müssen bei den kleinen Fischen anfangen und sich nach oben hocharbeiten. Dazu braucht es Geduld, genügend Ressourcen bei den Strafverfolgungsbehörden und eine enge internationale Zusammenarbeit.
Die Aktion gegen Lockbit zeigt, dass die Ermittler näher an die Hintermänner kommen. Denn das Ziel muss immer noch sein, irgendwann die Köpfe der Banden zu verhaften. Das wird zwar nicht in Russland sein – aber vielleicht, wenn sie mit den erbeuteten Millionen Luxusferien in der Türkei machen oder mit dem Lamborghini durch Dubai fahren.