Zerschlagene Server, gestärkte Sicherheit – Wie die Polizei Unternehmen vor Ransomware-Bedrohungen schützt
29.07.2025
Stellen Sie sich vor…
Plötzlich sind zentrale Systeme im Unternehmen gesperrt – eine Nachricht erscheint: Alle wichtigen Daten wurden verschlüsselt. Um wieder Zugriff zu erhalten, fordern die Täter ein Lösegeld.
Dabei handelt es sich um einen typischen Ransomware-Angriff.
Was bedeutet Ransomware?
Ransomware ist eine Art von Schadsoftware (Malware), die darauf abzielt, den Zugriff auf wichtige Daten oder Systeme eines Unternehmens zu blockieren – meist durch Verschlüsselung. Die Täter fordern anschließend ein Lösegeld (engl. „ransom“), damit das Unternehmen wieder Zugriff auf seine Daten enthält.
Noch gefährlicher wird es, wenn die Täter zur „Double Extortion“ (Doppelte Erpressung) greifen. Die Angreifer verschlüsseln hierbei nicht nur die Daten, sondern stehlen sie zuvor auch. Das bedeutet, dass trotz vorhandener Backups eine Kopie der Daten in den Händen der Kriminellen bleibt. Mit dieser drohen sie, die gestohlenen Daten auf speziellen Leaking-Webseiten, sogenannte Shameblogs, im Darknet zu veröffentlichen oder weiterzuverkaufen, falls kein Lösegeld gezahlt wird.
Dies erzeugt bei Privatpersonen und Organisationen enormen Druck, da die Veröffentlichung sensibler Daten verheerende Folgen haben kann – von Reputationsschäden bis hin zu rechtlichen Konsequenzen.
Aus der Theorie zur Realität:
Das Landeskriminalamt Niedersachsen führt seit Oktober 2022 Ermittlungen wegen des Verdachts der Erpressung und Computersabotage, von der zahlreiche Unternehmen und Institutionen im gesamten Bundesgebiet betroffen sind.
Die Gruppierung gilt als russische Ransomware-Organisation und war anfangs unter dem Namen „Royal“ aktiv. Zum Jahreswechsel 2023/2024 verwendeten sie den Namen „BlackSuit“. Die Ermittlungen zeigen, dass die Gruppierung unter der Bezeichnung „Royal“ für 28 Fälle und unter „BlackSuit“ für elf Fälle im Bundesgebiet verantwortlich ist.
Des Weiteren gibt es zahlreiche internationale Fälle, insbesondere in den USA, weshalb wir uns regelmäßig mit ausländischen Behörden austauschen und gemeinsame Maßnahmen planen.
So drang die Ransomware-Gruppierung in Unternehmensnetzwerke ein:
Ein häufig genutztes Einfallstor bei unserer Ransomware-Gruppierung waren unsicher konfigurierte VPN-Zugänge. Die Täter verschafften sich Zugang, indem sie gestohlene Zugangsdaten verwendeten oder fehlerhafte Einstellungen ausnutzten. Besonders kritisch: In einigen Fällen war die Benutzerverwaltung (z.B. über LDAP) so eingerichtet, dass Benutzer automatisch sehr weitreichende Zugriffsrechte erhielten, teils sogar mehr, als eigentlich notwendig war. Dadurch konnten sich die Angreifer schnell im gesamten Netzwerk ausbreiten.
Nach dem Eindringen verschlüsselten die Täter gezielt Daten und erpressten Unternehmen mit der Drohung, sensible Informationen zu veröffentlichen. In mehreren Fällen kam es zur Lösegeldzahlung. Die Täter agierten dabei technisch versiert und organisiert.
Die Analyse dieser Angriffswege liefert uns nicht nur wichtige Erkenntnisse zur Vorgehensweise der Täter, sondern bildet auch die Grundlage für unsere polizeilichen Maßnahmen zur Bekämpfung ihrer Infrastruktur. Ziel ist es unter anderem, die hinter den Angriffen stehenden Server zu identifizieren und außer Betrieb zu setzen.
Zerschlagung der Täterinfrastruktur durch internationale Zusammenarbeit:
In einer langfristig geplanten und koordinierten Aktion ist es dem Landeskriminalamt Niedersachsen in Zusammenarbeit mit der „National Crime Agency“ aus dem Vereinigten Königreich, der US-Ermittlungsbehörde „Homeland Security Investigations“ und den Forensikern von Europol gelungen, die technische Infrastruktur der Ransomware-Gruppierung „Royal/BlackSuit“ stillzulegen.
Im Zuge des Ermittlungsverfahrens konnten mehrere zentrale Server lokalisiert und beschlagnahmt werden. Gleichzeitig konnten erhebliche Mengen an Daten gesichert werden, die nun zur Identifizierung der Täter und zur Aufklärung der Taten ausgewertet werden.
Auf den Servern befanden sich unter anderem Komponenten zur Steuerung der Schadsoftware, Kommunikationsplattformen der Täter sowie Leak-Seiten zur Veröffentlichung gestohlener Unternehmensdaten.
Durch die Abschaltung der Server wurde das Verbreiten der veröffentlichten Daten unterbunden.
Zusammenarbeit mit Unternehmen:
Dieser operative Erfolg zeigt deutlich: Cyberkriminalität wird durch die Polizei konsequent verfolgt, sowohl in internationaler Zusammenarbeit, als auch mit einem hohen Maß an technischer Expertise.
Neben der Strafverfolgung legen wir großen Wert auf Prävention, da die Anzahl der erfassten Cyberangriffe ein anhaltend hohes Bedrohungsniveau aufweist. Angesichts dieser Lage möchten wir Unternehmen frühzeitig für die Gefahren sensibilisieren und ihnen konkrete Handlungsempfehlungen an die Hand geben. Dazu zählen etwa Maßnahmen zur Absicherung von Fernzugängen, der Einsatz starker Authentifizierungsverfahren sowie eine schnelle Reaktion im Schadensfall. Dazu bieten wir auch Vorträge an, um die Mitarbeiter/innen in den Unternehmen zu schulen und geeignete Notfallpläne zu erstellen.
Schließlich ist unser Ziel neben der Identifizierung von Tätern, auch die aktive Unterstützung von Unternehmen, um weitere Schäden zu verhindern und auf mögliche Cyber-Sicherheitsvorfälle vorzubereiten.
Bringen Sie Cyberangriffe konsequent zur Anzeige und nehmen Sie frühzeitig Kontakt zu den zuständigen Polizeidienststellen oder der Zentralen Ansprechstelle Cybercrime in Ihrem Bundesland auf. Nur durch enge Zusammenarbeit lassen sich Strukturen der Cyberkriminalität wirksam durchbrechen.

Stellen Sie sich vor…
Plötzlich sind zentrale Systeme im Unternehmen gesperrt – eine Nachricht erscheint: Alle wichtigen Daten wurden verschlüsselt. Um wieder Zugriff zu erhalten, fordern die Täter ein Lösegeld.
Dabei handelt es sich um einen typischen Ransomware-Angriff.
Was bedeutet Ransomware?
Ransomware ist eine Art von Schadsoftware (Malware), die darauf abzielt, den Zugriff auf wichtige Daten oder Systeme eines Unternehmens zu blockieren – meist durch Verschlüsselung. Die Täter fordern anschließend ein Lösegeld (engl. „ransom“), damit das Unternehmen wieder Zugriff auf seine Daten enthält.
Noch gefährlicher wird es, wenn die Täter zur „Double Extortion“ (Doppelte Erpressung) greifen. Die Angreifer verschlüsseln hierbei nicht nur die Daten, sondern stehlen sie zuvor auch. Das bedeutet, dass trotz vorhandener Backups eine Kopie der Daten in den Händen der Kriminellen bleibt. Mit dieser drohen sie, die gestohlenen Daten auf speziellen Leaking-Webseiten, sogenannte Shameblogs, im Darknet zu veröffentlichen oder weiterzuverkaufen, falls kein Lösegeld gezahlt wird.
Dies erzeugt bei Privatpersonen und Organisationen enormen Druck, da die Veröffentlichung sensibler Daten verheerende Folgen haben kann – von Reputationsschäden bis hin zu rechtlichen Konsequenzen.
Aus der Theorie zur Realität:
Das Landeskriminalamt Niedersachsen führt seit Oktober 2022 Ermittlungen wegen des Verdachts der Erpressung und Computersabotage, von der zahlreiche Unternehmen und Institutionen im gesamten Bundesgebiet betroffen sind.
Die Gruppierung gilt als russische Ransomware-Organisation und war anfangs unter dem Namen „Royal“ aktiv. Zum Jahreswechsel 2023/2024 verwendeten sie den Namen „BlackSuit“. Die Ermittlungen zeigen, dass die Gruppierung unter der Bezeichnung „Royal“ für 28 Fälle und unter „BlackSuit“ für elf Fälle im Bundesgebiet verantwortlich ist.
Des Weiteren gibt es zahlreiche internationale Fälle, insbesondere in den USA, weshalb wir uns regelmäßig mit ausländischen Behörden austauschen und gemeinsame Maßnahmen planen.
So drang die Ransomware-Gruppierung in Unternehmensnetzwerke ein:
Ein häufig genutztes Einfallstor bei unserer Ransomware-Gruppierung waren unsicher konfigurierte VPN-Zugänge. Die Täter verschafften sich Zugang, indem sie gestohlene Zugangsdaten verwendeten oder fehlerhafte Einstellungen ausnutzten. Besonders kritisch: In einigen Fällen war die Benutzerverwaltung (z.B. über LDAP) so eingerichtet, dass Benutzer automatisch sehr weitreichende Zugriffsrechte erhielten, teils sogar mehr, als eigentlich notwendig war. Dadurch konnten sich die Angreifer schnell im gesamten Netzwerk ausbreiten.
Nach dem Eindringen verschlüsselten die Täter gezielt Daten und erpressten Unternehmen mit der Drohung, sensible Informationen zu veröffentlichen. In mehreren Fällen kam es zur Lösegeldzahlung. Die Täter agierten dabei technisch versiert und organisiert.
Die Analyse dieser Angriffswege liefert uns nicht nur wichtige Erkenntnisse zur Vorgehensweise der Täter, sondern bildet auch die Grundlage für unsere polizeilichen Maßnahmen zur Bekämpfung ihrer Infrastruktur. Ziel ist es unter anderem, die hinter den Angriffen stehenden Server zu identifizieren und außer Betrieb zu setzen.
Zerschlagung der Täterinfrastruktur durch internationale Zusammenarbeit:
In einer langfristig geplanten und koordinierten Aktion ist es dem Landeskriminalamt Niedersachsen in Zusammenarbeit mit der „National Crime Agency“ aus dem Vereinigten Königreich, der US-Ermittlungsbehörde „Homeland Security Investigations“ und den Forensikern von Europol gelungen, die technische Infrastruktur der Ransomware-Gruppierung „Royal/BlackSuit“ stillzulegen.
Im Zuge des Ermittlungsverfahrens konnten mehrere zentrale Server lokalisiert und beschlagnahmt werden. Gleichzeitig konnten erhebliche Mengen an Daten gesichert werden, die nun zur Identifizierung der Täter und zur Aufklärung der Taten ausgewertet werden.
Auf den Servern befanden sich unter anderem Komponenten zur Steuerung der Schadsoftware, Kommunikationsplattformen der Täter sowie Leak-Seiten zur Veröffentlichung gestohlener Unternehmensdaten.
Durch die Abschaltung der Server wurde das Verbreiten der veröffentlichten Daten unterbunden.
Zusammenarbeit mit Unternehmen:
Dieser operative Erfolg zeigt deutlich: Cyberkriminalität wird durch die Polizei konsequent verfolgt, sowohl in internationaler Zusammenarbeit, als auch mit einem hohen Maß an technischer Expertise.
Neben der Strafverfolgung legen wir großen Wert auf Prävention, da die Anzahl der erfassten Cyberangriffe ein anhaltend hohes Bedrohungsniveau aufweist. Angesichts dieser Lage möchten wir Unternehmen frühzeitig für die Gefahren sensibilisieren und ihnen konkrete Handlungsempfehlungen an die Hand geben. Dazu zählen etwa Maßnahmen zur Absicherung von Fernzugängen, der Einsatz starker Authentifizierungsverfahren sowie eine schnelle Reaktion im Schadensfall. Dazu bieten wir auch Vorträge an, um die Mitarbeiter/innen in den Unternehmen zu schulen und geeignete Notfallpläne zu erstellen.
Schließlich ist unser Ziel neben der Identifizierung von Tätern, auch die aktive Unterstützung von Unternehmen, um weitere Schäden zu verhindern und auf mögliche Cyber-Sicherheitsvorfälle vorzubereiten.
Bringen Sie Cyberangriffe konsequent zur Anzeige und nehmen Sie frühzeitig Kontakt zu den zuständigen Polizeidienststellen oder der Zentralen Ansprechstelle Cybercrime in Ihrem Bundesland auf. Nur durch enge Zusammenarbeit lassen sich Strukturen der Cyberkriminalität wirksam durchbrechen.
Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/84
Klicken Sie hier und abonnieren Sie unseren Newsletter.
