Am gestrigen Montag (17.01.2022), ist es den Ermittlern der Polizeidirektion Hannover und der Staatsanwaltschaft Verden gelungen, mehrere Server, von denen cyberkriminelle Gruppierungen agieren, vom Netz zu nehmen (sog. „Takedown“). Bei der groß angelegten Operation wirkten weltweit verschiedene Strafverfolgungsbehörden mit.

Über zwei Jahre akribische Ermittlungsarbeit sowie die Vernetzung von zehn Ländern und zwölf internationaler Strafverfolgungsbehörden verhindern Schäden in Millionenhöhe: Der Ausgangspunkt für diesen erfolgreichen Schlag war ausgerechnet der Cyberangriff auf die Stadtverwaltung Neustadt am Rübenberge im August 2019. Zuständig für die Ermittlungen waren die Fachinspektion für Straftaten aus dem Bereich Cybercrime der Polizeidirektion Hannover in Zusammenarbeit mit der für ebenfalls diesen Phänomenbereich zuständigen Staatsanwaltschaft Verden. Das Netzwerk, von dem die Angriffe aus koordiniert wurden, wurde ausfindig gemacht und am gestrigen Montag vom Netz genommen. Dass dieser im Fachjargon genannte „Takedown“ möglich war, ist insbesondere der länderübergreifenden Vernetzung und Zusammenarbeit verschiedener Strafverfolgungsbehörden auf nationaler und internationaler Ebene zu verdanken.

Der Niedersächsische Minister für Inneres und Sport, Boris Pistorius, sagt: „Der Takedown dieses Netzwerkes, über das tausende Cyberkriminelle ihre Kommunikation und Pläne ausgetauscht haben, ist ein großartiger Erfolg für alle Beteiligten, insbesondere für die Beamtinnen und Beamte der Polizeidirektion Hannover. Das zeigt erneut, dass wir als Sicherheitsbehörden dazu in der Lage sind, schwerkriminellen Cyber-Netzwerken das Handwerk zu legen und tausende Straftaten im Cyberraum aufzudecken und aufzuklären. Das schärfste Schwert gegen international agierende Verbrecher ist ein gemeinsames und eng abgestimmtes Vorgehen. Damit zeigen wir den Kriminellen, dass der Staat Mittel und Ressourcen zur Verfügung hat, wirksam dagegen vorzugehen. Ich bedanke mich ganz besonders bei allen an dieser Aktion beteiligten Stellen, insbesondere natürlich bei den zuständigen Beamtinnen und Beamten der PD Hannover, mit denen ich auch schon persönlich über ihre hervorragende Arbeit sprechen konnte und mich persönlich bei ihnen bedankt habe.“

Für die Justiz äußert sich Justizministerin Barbara Havliza zu dem Ermittlungserfolg: „Cyberangriffe auf Krankenhäuser oder Verwaltungen sind eine reale Bedrohung für uns alle. Ist die Schadsoftware erstmal im System, sind die Folgen oft katastrophal. Die Lösegeldforderungen gehen in die Millionen, der Verlust sensibler Daten kann einen riesigen Schaden verursachen. Die kriminelle Energie hinter diesen Taten ist groß und maximal skrupellos! Umso mehr freut es mich, dass die Staatsanwaltschaft Verden und die Polizeidirektion Hannover mehrere Server vom Netz nehmen konnten, die von Cyberkriminellen genutzt wurden. Unsere Ermittler agieren hochprofessionell, gut vernetzt und international. Ich danke allen Beteiligten bei Polizei und Justiz für die gute Arbeit! Mit dem Takedown zeigen wir: Wir lassen es nicht zu, dass in den dunklen Ecken des Netzes rechtsfreie Räume entstehen.“

Minister Pistorius, der auch Mitglied im Kontrollgremium von Europol ist, fügt hinzu, dass „diese Aktion ohne die herausragende Unterstützung von Europol in dieser Form nicht möglich gewesen wäre. Ein weiterer Ausbau der Kompetenzen und Mittel für Europol halte ich für zwingend. Täter agieren längst höchst dynamisch und grenzüberschreitend. Die Antwort kann nur eine starke europäische Behörde im Netzwerk der europäischen Sicherheitsbehörden sein.“

Beteiligt an der Operation waren die europäische Polizeibehörde Europol und die europäische Justizbehörde Eurojust. Diese stellten den Kontakt zu Ermittlern aus den Niederlanden, Kanada, der Tschechischen Republik, Frankreich, Ungarn, Lettland, der Ukraine, dem UK und den USA her. Die Federführung hatten dabei die Ermittler aus Hannover inne. Logistische und technische Unterstützung wurde dabei von Europol, z. B. in Form der nötigen Infrastruktur für den Austausch der beteiligten Länder, bereitgestellt. Finanzielle Förderung erhielt die Ermittlungsgruppe über die Plattform EMPACT (European Multidisciplinary Platform Against Criminal Threats), die als Instrument für die Bekämpfung der organisierten und schweren Kriminalität auf europäischer und internationaler Ebene dient. Eingebunden in die Operation waren auch europäische Gerichte, die die jeweiligen Beschlüsse für alle ergriffenen Maßnahmen erließen.

Es wurden alle 15 Standorte der Server ermittelt. Diese Server gehörten zu einem Internetdienstleister, der seinen Kunden sogenanntes VPN (englisch für Virtual Private Network) zur Verfügung stellt.

Ein VPN gewährleistet den Nutzenden geschützte und anonyme Kommunikation, sowie den ebenso abgesicherten Zugang zum Internet. Dabei wird der Datenverkehr über Server an anderen Standorten als denen der genutzten Endgeräte verschlüsselt und weitergeleitet. Der hier betroffene Dienstleister bot seinen Kunden auch Double VPN an. Die Onlineaktivitäten werden dabei nicht nur hinter einem, sondern gleich zwei Servern versteckt. Der Datenverkehr wird vom Endgerät auf einen entfernten VPN-Server geschickt. Von dort wiederum auf einen anderen VPN-Server mit anderem Standort. Anschließend gelangt man mit dem Endgerät an das gewünschte Ziel im Internet. Diese Dienste werden von vielen Anbietern weltweit bereitgestellt und auch für legale Zwecke genutzt, um sich vor jeglicher Nachverfolgung zu schützen (wie z. B. von im Ausland tätigen Journalisten als Schutz vor dem Zugriff eines Regimes, über das sie berichten). Seit diesem Montag aber sehen alle Nutzenden des betroffenen Dienstleisters nun anstelle der gewohnten Oberfläche einen sog. „Splashscreen“ – ein Text der mit dem Satz „This domain has been seized“ eingeleitet wird und die behördlichen Ermittlungen skizziert (siehe Anhang).

Bei der im hier vorliegenden Fall über die Server verschickte Schadsoftware handelt es sich um die Schadsoftware „Ryuk“ (zur Funktionsweise siehe Anhang dieser Meldung). „Ryuk“ wird international durch kriminelle Vereinigungen genutzt, um Behörden, Firmen und Einrichtungen zu attackieren und von diesen, Lösegeld zu erpressen, damit deren digitale Infrastruktur wieder nutzbar wird. Bei einem Angriff mit dieser Schadsoftware verursachen die Täter immer wieder Schäden in Millionenhöhe. Über die nun abgeschalteten Server vernetzten sich etliche kriminelle Gruppierungen, bauten organisierte Strukturen auf und begingen Attacken auf Krankenhäuser, Universitäten und Unternehmen auch mit diverser anderer Ransomware als nur „Ryuk“.

„Ein wichtiger Aspekt dieser Maßnahme besteht auch darin, zu zeigen, dass diese Dienste nicht sicher sind, wenn der Dienstanbieter rechtswidrige Handlungen unterstützt und keine Informationen über rechtliche Ersuchen der Strafverfolgungsbehörden übermittelt. Diese Operation zeigt das Ergebnis einer wirksamen Zusammenarbeit der internationalen Strafverfolgungsbehörden, die es ermöglichen, ein weltweites Netzwerk zu schließen und solche Dienste zu zerstören“, äußert sich der Präsident der Polizeidirektion Hannover, Volker Kluwe, zur erfolgreichen Operation.

Die Zusammenarbeit der verschiedenen Behörden in diesem Verfahren hat nicht nur dazu beigetragen, die von den Servern ausgehenden kriminellen Aktivitäten zu unterbinden, sondern auch das funktionierende Netzwerk der internationalen Strafverfolgungsbehörden weiter zu verdichten und Ansätze für weitere Ermittlungsverfahren im Bereich Cybercrime zu erlangen.

Quelle: Niedersächsisches Ministeriums für Inneres und Sport, Pressemitteilung vom 18. Januar 2022