Nach Zerschlagung des Hacker-Netzwerks „Hive“: Bedrohungslage in Potsdam bleibt hoch

Allein in Deutschland sind 70 Unternehmen, Behörden und Institutionen betroffen, darunter die Stadt Potsdam. Das Hacker-Netzwerk „Hive“ hat weltweit mit Cyberattacken Milliardensummen ergaunert. Laut FBI gehen insgesamt 1500 Attacken auf das Konto der Hacker. Wie vergangenen Donnerstag bekannt wurde, führt auch der Angriff auf die Server der Potsdamer Stadtverwaltung zu „Hive“. Das FBI hatte gemeinsam mit dem US-amerikanischen Justizministerium, Europol, dem BKA und der Polizei in Baden-Württemberg zu „Hive“ ermittelt und das Netzwerk zerschlagen können.

Die Stadt Potsdam hatte Ende Dezember Hinweise von den Ermittlern aus Baden-Württemberg zu einem bevorstehenden Angriff erhalten und vorsorglich die Internetverbindung der Verwaltung gekappt. Als die Online-Verbindungen vergangene Woche wieder hochgefahren werden sollten, wurde „eine hohe Anzahl automatisierter Kommunikationsversuche aus dem internen Netz an externe Server“ festgestellt. Das war der Hinweis auf eine implementierte Schadsoftware. Das Hochfahren wurde abgebrochen. Die Stadt ist weiterhin offline.

„Wir ermitteln seit dem Frühjahr 2022“, sagt Lutz Jaksche vom Polizeipräsidium Reutlingen. Die Polizei in Baden-Württemberg sei mit Cyberspezialisten und beim Thema Ramsonware-Angriffe – also dem Einsatz von Erpressungssoftware - gut aufgestellt, arbeite eng mit US- und EU-Behörden zusammen. Auch „Hive“ ist global vernetzt. Es gehöre zu den weltweit führenden Hackernetzwerken, sagt Jaksche. Die Zerschlagung sei ein „besonders großer Erfolg“. Allerdings ist völlig unklar, wie viele Hinterleute zu „Hive“ gehören. Zu Festnahmen sei es noch nicht gekommen, erklärte der Präsidiumssprecher.

Die Ermittler hätten es geschafft, auf die Server-Infrastruktur der Cyber-Kriminellen zu gelangen. Dabei seien auch die Entschlüsselungscodes gefunden worden, mit denen gehackte Firmen und Behörden wieder an ihre Daten gelangen. Deshalb sollten sich betroffene Firmen unbedingt bei der Polizei melden, sagt Jaksche. Viele Firmen hielten Hackerattacken geheim, weil sie einen Imageschaden befürchteten.

Keine Erkenntnisse zu den Hinterleuten des Angriffs

Die Hacker gelangen beispielsweise über angeklickte E-Mail-Anhänge in die IT-Infrastruktur, in der dann eine Schadsoftware installiert wird. Diese suche nach kritischen Daten. „Wenn sie genug Erpressungsmaterial haben, verschlüsselt sich alles“, erklärt der Polizeisprecher. Gegen die Zahlung von Lösegeld werden die Entschlüsselungscodes mitgeteilt. „Das lief sehr erfolgreich“, sagt Jaksche. So soll weltweit eine unbekannte Milliardensumme an „Hive“ geflossen sein. In Potsdam soll das IT-Netzwerk selbstständig abgeschaltet worden sein, bevor „Hive“ die Daten verschlüsselte.

Dennoch ist der Schaden auch in Potsdam hoch, weil Bürger:innen mehr Aufwand und Kosten beispielsweise bei der Beantragung von Ausweispapieren haben oder weil Fahrzeuge nicht angemeldet werden können. An dieser Situation wird sich durch die „Hive“-Zerschlagung nichts ändern. Es sei jedenfalls nicht davon auszugehen, dass die Stadt dadurch schneller wieder online gehe und ihre IT-Dienste hochfahre, sagte Stadtsprecher Markus Klier. Derartige Netzwerke würden aus einer unüberschaubaren Anzahl dezentraler Akteure bestehen. Die Gefahr ist demnach noch nicht gebannt. „Nach täglichen Rücksprachen mit den Sicherheitsbehörden wird die Bedrohungslage für die Landeshauptstadt unverändert hoch eingeschätzt“, sagte Klier.

Hackernetzwerke wie „Hive“ arbeiten wie Dienstleister, die Kriminellen über das Darknet eine Benutzeroberfläche für Cyberangriffe zur Verfügung stellen, erklärt Lutz Jaksche. Bezahlt wird mit Kryptowährungen. Eine Lösegeldforderung an die Stadt Potsdam hat des den Angaben nach noch nicht gegeben. Ziel der Ermittler ist es Jaschke zufolge, an die Hinterleute der Attacken zu gelangen. Zu möglichen Auftraggebern für den Hackerangriff auf die Stadt Potsdam gebe es „weder Erkenntnisse noch Vermutungen unsererseits“, erklärte Stadtsprecher Markus Klier.