Dem bei der Generalstaatsanwaltschaft Karlsruhe eingerichteten Cybercrime-Zentrum Baden-Württemberg (CCZ) und dem Landeskriminalamt Baden-Württemberg ist ein bedeutender Schlag gegen internationale Cyberkriminalität gelungen. Den Ermittlern zufolge konnten der mutmaßliche Kopf der Ransomware-Gruppierungen „GandCrab“ und „REvil“ sowie der mutmaßliche Programmierer der eingesetzten Schadsoftware identifiziert werden. Gegen beide Beschuldigte wurden Haftbefehle erwirkt.
Die beiden Gesuchten stehen unter anderem im dringenden Verdacht, für den Cyberangriff auf die Württembergischen Staatstheater Stuttgart im Jahr 2019 mitverantwortlich zu sein. Die Ransomware-Gruppe „GandCrab“ war nach bisherigen Erkenntnissen in den Jahren 2018 und 2019 aktiv. Mehrere Mitglieder dieser Gruppierung sollen noch im Jahr 2019 die Nachfolgegruppe „REvil“, auch „Sodinokibi“ genannt, gegründet und ihre Attacken bis mindestens Juli 2021 fortgesetzt haben.
Nach Angaben der Ermittler wird den beiden Beschuldigten in den Haftbefehlen zur Last gelegt, zwischen 2019 und 2021 an Angriffen auf insgesamt 130 Unternehmen und Einrichtungen in Deutschland beteiligt gewesen zu sein. In 25 Fällen soll Lösegeld gezahlt worden sein. Der Gesamtlösegeldschaden beläuft sich demnach auf rund 1,8 Millionen Euro, wobei die höchste einzelne Forderung bei 658.000 Euro lag.
Die wirtschaftlichen Folgen der Angriffe waren erheblich. In Deutschland sollen die Attacken einen Gesamtschaden von rund 35 Millionen Euro verursacht haben. Allein einem Unternehmen aus Baden-Württemberg entstand laut den Ermittlungen ein Schaden von rund 9 Millionen Euro. Weltweit gehen die Behörden von Schäden in Höhe von mehreren hundert Millionen Euro aus.
Bei GandCrab und REvil handelte es sich um ein professionell organisiertes Ransomware-as-a-Service-Modell. Dabei drangen sogenannte Affiliates in die IT-Netzwerke von Unternehmen und öffentlichen Einrichtungen ein, verschlüsselten die Systeme und exfiltrierten im Fall von REvil zusätzlich sensible Daten. Anschließend forderten die Täter hohe Summen für die Entschlüsselung und die Nichtveröffentlichung der gestohlenen Daten.
Dem mutmaßlichen Kopf der Gruppierungen wird vorgeworfen, die Produkte „GandCrab“ und „REvil“ beworben, neue Affiliates angeworben und die Abwicklung der Lösegeldtransaktionen organisiert zu haben. Der mutmaßliche Programmierer soll die im Darknet genutzte Plattform zur Organisation und Verwaltung der Erpressungen sowie die eingesetzte Schadsoftware entwickelt und fortlaufend weiterentwickelt haben.
Die Ermittlungen basieren laut den Behörden auf der akribischen Auswertung zahlreicher Datensätze, darunter auch Kryptowährungstransaktionen. Zudem stand das Cybercrime-Zentrum in engem Austausch mit Partnerbehörden in Europa und Nordamerika. Auf dieser Grundlage konnten die beiden mutmaßlichen Hauptverantwortlichen identifiziert sowie nationale und europäische Haftbefehle erwirkt werden.
Bereits am 30. Januar 2026 hatte das Cybercrime-Zentrum Baden-Württemberg einen weiteren Ermittlungserfolg erzielt. Damals wurde der mutmaßliche Affiliate-Erpresser der Württembergischen Staatstheater sowie von weiteren 21 deutschen Unternehmen durch das Landgericht Stuttgart zu einer Gesamtfreiheitsstrafe von sieben Jahren verurteilt.
Die nun geplanten Maßnahmen zur Festnahme der beiden Beschuldigten werden laut den Ermittlungsbehörden international eng koordiniert.
