Jahrelang war er nur ein Kürzel im Darknet: UNKN. Hinter diesem Handle steuerte einer der einflussreichsten Ransomware-Akteure der Welt zwei Erpresser-Dynastien, GandCrab und REvil, die Krankenhäuser, Mittelständler und Konzerne lahmlegten. Im April 2026 gab das deutsche Bundeskriminalamt (BKA) dem Phantom ein Gesicht und einen Namen. Die Behörde identifizierte zwei russische Staatsangehörige als mutmaßliche Köpfe der Operationen und verband sie mit mindestens 130 Angriffen allein in Deutschland. Für die deutsche Sicherheitsbehörde ist es einer der größten Schläge gegen die Ransomware-Szene seit Jahren. Für die betroffene Wirtschaft ist es eine Erinnerung an ein Geschäftsmodell, das den deutschen Unternehmen laut Bitkom dreistellige Milliardenbeträge pro Jahr kostet.
Diese Analyse ordnet den Fall ein: Wer wurde enttarnt, wie viel Geld floss, was bedeutet die Entlarvung für die Bedrohungslage in Deutschland und im DACH-Raum, und warum sich am eigentlichen Risiko trotz des Ermittlungserfolgs wenig ändert. Stand der Daten: 11. Juni 2026.
REvil enttarnt: Was das BKA im April 2026 enthüllte
Am 5. und 6. April 2026 veröffentlichten das BKA und internationale Medien die Identitäten zweier mutmaßlicher Schlüsselfiguren des GandCrab- und REvil-Ökosystems. Die Behörde nennt Daniil Maximowitsch Schtschukin, einen 31-jährigen russischen Staatsbürger, als Mann hinter dem Pseudonym UNKN beziehungsweise UNKNOWN. Berichten zufolge nutzte er zusätzlich die Aliase Oneiilk2, Oneillk2, Oneillk22 und schlicht GandCrab. Als zweiten Verdächtigen identifizierte das BKA Anatoli Sergejewitsch Krawtschuk, 43 Jahre alt, ebenfalls russischer Staatsbürger und mutmaßlicher Entwickler der REvil-Schadsoftware.
Das BKA beschreibt den Tatzeitraum mit den Worten, der Hauptverdächtige habe „mindestens seit Anfang 2019 bis mindestens Juli 2021″ als Anführer einer der weltweit größten Ransomware-Gruppen gehandelt. Die Ermittler werfen den beiden Männern organisierte und gewerbsmäßige Erpressung mit Schadsoftware vor, gerichtet gegen Unternehmen, öffentliche Einrichtungen und weitere Organisationen. Beide werden international zur Fahndung ausgeschrieben. Wichtig für die Einordnung: Es handelt sich um Identifizierungen und Fahndungsmaßnahmen, nicht um Verurteilungen. Beide Verdächtige halten sich nach Erkenntnissen der Behörden in Russland auf, das eigene Staatsbürger nicht ausliefert.
Genau dieser Punkt erklärt, warum die Veröffentlichung der Klarnamen überhaupt eine Strategie ist. Wenn eine Festnahme praktisch unmöglich bleibt, wird die Enttarnung selbst zur Waffe. Wer einmal mit Klarnamen, Foto und Aliasen öffentlich verknüpft ist, verliert die Anonymität, die das gesamte Ransomware-Geschäft erst trägt. Reisen in Staaten mit Auslieferungsabkommen werden zum Risiko, alte Pseudonyme verbrennen, und Partner im kriminellen Untergrund wenden sich ab. Das BKA folgt damit demselben Muster, das US-Behörden seit Jahren gegen russische Cyberkriminelle einsetzen: Wenn man die Leute nicht greifen kann, nimmt man ihnen die Tarnung.
Das Profil von „UNKN”: Vom Foren-Nutzer zum Ransomware-Boss
Das Handle UNKN tauchte erstmals rund um den Start von GandCrab 2018 in einschlägigen russischsprachigen Untergrundforen auf. Der Akteur dahinter trat dort als Rekrutierer und Sprecher auf, der Partner für ein Affiliate-Programm suchte. Sicherheitsjournalist Brian Krebs, der den Fall auf KrebsOnSecurity ausführlich dokumentierte, zeichnet nach, wie sich aus diesen Foren-Spuren über Jahre ein Netz aus wiederverwendeten Nutzernamen, E-Mail-Adressen und Krypto-Wallets ergab, das die Ermittler schließlich zu einer realen Person führte. Der oft zitierte Leitsatz der Szene, niemals Ziele in Russland oder der Gemeinschaft Unabhängiger Staaten anzugreifen, war fester Bestandteil der GandCrab-Regeln und bot zugleich einen Ansatzpunkt für die Attribution.
Die Rollenverteilung zwischen den beiden Verdächtigen ist aufschlussreich. Schtschukin gilt als der unternehmerische Kopf, der das Affiliate-Modell organisierte, verhandelte und das öffentliche Gesicht der Marke gab. Krawtschuk dagegen wird die technische Seite zugeschrieben, also die Entwicklung und Pflege des Verschlüsselungscodes. Diese Arbeitsteilung ist typisch für moderne Ransomware-Operationen, in denen Betrieb, Entwicklung, Verhandlung und Geldwäsche auf spezialisierte Rollen verteilt sind. Eine einzelne Festnahme legt eine solche Struktur nie vollständig still, weil das Wissen verteilt und der Code längst kopiert ist.
130 Angriffe, 25 Zahlungen: Die Bilanz für Deutschland
Die deutschlandbezogenen Ermittlungen zeichnen ein präzises Bild des Schadens. Von mindestens 130 dokumentierten Angriffen führten 25 Fälle zu einer tatsächlichen Lösegeldzahlung. Diese 25 Opfer überwiesen zusammen rund 1,9 Millionen Euro, was etwa 2,2 Millionen US-Dollar entspricht. Der gesamtwirtschaftliche Schaden allein aus den deutschen Vorfällen liegt nach Angaben der Ermittler bei mehr als 35 Millionen Euro, in einer detaillierten Aufstellung bei 35,4 Millionen Euro beziehungsweise 40,8 Millionen US-Dollar. Die Lücke zwischen 1,9 Millionen Euro gezahltem Lösegeld und 35 Millionen Euro Gesamtschaden zeigt die wahre Kostenstruktur von Ransomware: Betriebsausfall, Wiederherstellung, Forensik, Rechtsberatung und Reputationsschaden übersteigen das eigentliche Lösegeld um ein Vielfaches.
| Kennzahl zum Fall REvil/GandCrab in Deutschland | Wert |
|---|---|
| Mutmaßlicher Tatzeitraum | Anfang 2019 bis mind. Juli 2021 |
| Identifizierte Hauptverdächtige | 2 (Schtschukin, 31; Krawtschuk, 43) |
| Dokumentierte Angriffe in Deutschland | mind. 130 |
| Fälle mit Lösegeldzahlung | 25 |
| Gezahltes Lösegeld (direkt) | ca. 1,9 Mio. € (ca. 2,2 Mio. $) |
| Gesamtwirtschaftlicher Schaden (DE) | über 35,4 Mio. € (ca. 40,8 Mio. $) |
| Behaupteter globaler GandCrab-Umsatz (bis Mai 2019) | über 2 Mrd. $ |
| Status | Internationale Fahndung, keine Verurteilung |
Diese 130 Fälle sind nur die in Deutschland zur Anzeige gebrachten Vorfälle. Die globale Dimension ist um Größenordnungen höher. Die GandCrab-Betreiber selbst behaupteten im Mai 2019, vor der angekündigten Abschaltung des Dienstes mehr als zwei Milliarden US-Dollar eingenommen zu haben. Solche Selbstangaben sind mit Vorsicht zu behandeln, weil sie auch der Selbstvermarktung dienten. Doch selbst ein Bruchteil dieser Summe macht GandCrab und seinen Nachfolger REvil zu einem der lukrativsten kriminellen Cyber-Unternehmen der Geschichte.
Von GandCrab zu REvil: Geschichte einer Ransomware-Dynastie
GandCrab startete Anfang 2018 und etablierte rasch das Modell Ransomware-as-a-Service in seiner heute bekannten Form. Statt selbst anzugreifen, vermietete die Kerngruppe ihre Schadsoftware an Partner, sogenannte Affiliates, und kassierte einen Anteil von typischerweise 30 bis 40 Prozent jeder Lösegeldzahlung. Im Mai 2019 verkündeten die Betreiber überraschend den Ruhestand. Kurz darauf erschien REvil, auch als Sodinokibi bekannt, das sich in Code, Infrastruktur und Personal als direkter Nachfolger erwies. Sicherheitsforscher dokumentierten zahlreiche technische Überschneidungen, die einen Neustart unter neuem Namen nahelegen.
REvil professionalisierte das Modell weiter. Die Gruppe führte die doppelte Erpressung in den Mainstream: Daten wurden nicht nur verschlüsselt, sondern vorher gestohlen, um mit ihrer Veröffentlichung zu drohen. Wer ein gutes Backup hatte, konnte trotzdem erpresst werden. REvil betrieb eine eigene Leak-Seite, versteigerte Daten und etablierte eine Pressestrategie, die Angriffe gezielt öffentlichkeitswirksam inszenierte. Zu den prominenten Opfern zählten der Fleischkonzern JBS, der 2021 elf Millionen US-Dollar zahlte, sowie der Elektronikhersteller Acer, von dem ein Rekordlösegeld von 50 Millionen US-Dollar gefordert wurde.
Die Geschichte zeigt ein zentrales Problem der Strafverfolgung: Ransomware-Marken sind austauschbar. GandCrab wurde zu REvil, REvil-Splitter flossen später in andere Gruppen. Die Personen und das Know-how bleiben, während Namen kommen und gehen. Genau deshalb richtet sich die BKA-Strategie gegen die Menschen hinter den Marken, nicht gegen die Marke selbst.
Der Kaseya-Angriff: Wie REvil 1.500 Unternehmen auf einmal traf
Der Höhepunkt und zugleich der Anfang vom Ende von REvil war der Angriff auf den IT-Dienstleister Kaseya im Juli 2021. REvil nutzte eine Schwachstelle in der Fernwartungssoftware VSA aus und schleuste über diesen einen Einstiegspunkt Schadsoftware in die Netzwerke von Managed-Service-Providern und deren Kunden ein. Das Ergebnis war eine Lieferkettenattacke mit Hebelwirkung: Über einen einzigen Vorfall waren mehr als 1.500 nachgelagerte Organisationen betroffen. Die Gruppe forderte zwischenzeitlich 70 Millionen US-Dollar für einen universellen Entschlüsselungsschlüssel.
Der Kaseya-Angriff überschritt eine politische Schwelle. Kurz nach dem Vorfall geriet REvil unter massiven internationalen Druck und ging im Juli 2021 offline. Die Lieferkettendimension machte deutlich, warum Angriffe auf zentrale Dienstleister so gefährlich sind. Wer einen Knotenpunkt kompromittiert, erreicht hunderte oder tausende Ziele gleichzeitig. Diese Logik prägt bis heute die Sicherheitsdebatte und ist einer der Gründe, warum die EU mit der NIS2-Richtlinie und dem Cyber Resilience Act die Verantwortung entlang der Lieferkette verschärft.
Ransomware-as-a-Service: Das Geschäftsmodell hinter den Zahlen
Um zu verstehen, warum die Enttarnung zweier Personen die Bedrohung nicht beendet, muss man das Geschäftsmodell verstehen. Ransomware-as-a-Service, kurz RaaS, funktioniert wie ein Franchise. Eine Kerngruppe entwickelt die Schadsoftware, betreibt die Infrastruktur und stellt Verhandlungsportale bereit. Affiliates mieten dieses Paket, dringen in Netzwerke ein und teilen die Beute. Diese Arbeitsteilung senkt die Einstiegshürde dramatisch. Ein Angreifer braucht keine tiefe Programmierkenntnis mehr, sondern nur Zugang und kriminelle Energie.
Die Folge ist eine resiliente, dezentrale Bedrohung. Wird eine Marke zerschlagen, wechseln die Affiliates einfach zur nächsten. Nach Erkenntnissen aus der Bitkom-Wirtschaftsschutzstudie ist Ransomware durchgehend die am häufigsten gemeldete Angriffsmethode mit relevantem Schaden. In der Bitkom-Erhebung 2024 berichteten 31 Prozent der betroffenen Unternehmen über Schäden durch Ransomware, gefolgt von DDoS-Attacken mit 18 Prozent. Diese Konstanz über Jahre zeigt: Das Modell ist kein Trend, sondern Infrastruktur.
Verschärft wird das Bild durch Künstliche Intelligenz. Branchenanalysen für den DACH-Raum berichten, dass eine deutliche Mehrheit der Sicherheitsverantwortlichen sich von KI-gestützten Angriffen überfordert fühlt. Automatisierte Phishing-Kampagnen, KI-generierte Schadcode-Varianten und Deepfake-gestützte Social-Engineering-Angriffe erhöhen Tempo und Volumen. Die Personen hinter REvil mögen enttarnt sein, doch das von ihnen mitgeprägte Modell skaliert heute schneller als je zuvor.
Was Ransomware Deutschland kostet: Die Bitkom-Bilanz
Der Fall REvil ist ein Mosaikstein in einer weit größeren Schadensbilanz. Der Digitalverband Bitkom beziffert in seiner Wirtschaftsschutzstudie den jährlichen Gesamtschaden der deutschen Wirtschaft durch Diebstahl, Spionage und Sabotage. Für das Erhebungsjahr 2025 nennt Bitkom einen Rekordwert von 289,2 Milliarden Euro. Davon entfallen rund 70 Prozent, also etwa 202,4 Milliarden Euro, auf Cyberangriffe im engeren Sinne. Im Jahr zuvor lag der Gesamtschaden bei 266,6 Milliarden Euro, der Cyberanteil bei 178,6 Milliarden Euro.
| Bitkom-Studie (Jahr) | Gesamtschaden | davon Cyberangriffe | betroffene Unternehmen |
|---|---|---|---|
| 2021 | 223 Mrd. € | k. A. | 88 % (2020–2021) |
| 2023 | 206 Mrd. € | k. A. | k. A. |
| 2024 | 266,6 Mrd. € | 178,6 Mrd. € | 81 % |
| 2025 | 289,2 Mrd. € | 202,4 Mrd. € (70 %) | 87 % |
Die Zahlen steigen seit Jahren. Lag der Gesamtschaden 2023 noch bei rund 206 Milliarden Euro, kletterte er innerhalb von zwei Erhebungen auf fast 290 Milliarden Euro. In der Studie 2025 gaben 87 Prozent der Unternehmen an, in den vergangenen zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen gewesen zu sein. Bei der Herkunft der Angriffe verweisen 46 Prozent der betroffenen Firmen auf Russland und China. Bitkom-Präsident Ralf Wintergerst ordnet die Lage als wirtschaftliche Daueraufgabe ein und betont, dass Cybersicherheit längst über die Wettbewerbsfähigkeit ganzer Branchen entscheide.
Diese makroökonomische Perspektive macht den Fall REvil greifbar. 35 Millionen Euro Schaden durch eine einzige Gruppe in Deutschland klingen nach viel und sind doch nur ein Tropfen im dreistelligen Milliardenmeer. Genau das ist die unbequeme Botschaft: Selbst spektakuläre Ermittlungserfolge bewegen die Gesamtbilanz kaum, solange das Geschäftsmodell intakt bleibt.
Der Hacktivismus-Faktor: NoName057(16) und Operation Eastwood
Ransomware ist nicht die einzige aus Russland gespeiste Bedrohung für Deutschland. Parallel zur finanziell motivierten Cyberkriminalität wächst der politisch motivierte Hacktivismus. Das prominenteste Beispiel ist die prorussische Gruppe NoName057(16), die mit DDoS-Angriffen Webseiten von Behörden, Banken und Unternehmen in den Unterstützerstaaten der Ukraine lahmlegt. Im Juli 2025 schlug eine internationale Allianz unter Führung von Europol und Eurojust in der Operation Eastwood zurück.
Zwischen dem 14. und 17. Juli 2025 störten die Ermittler eine Angriffsinfrastruktur von mehr als 100 Computersystemen weltweit und nahmen einen wesentlichen Teil der zentralen Server der Gruppe vom Netz. Es gab zwei Festnahmen, eine in Frankreich und eine in Spanien, sowie insgesamt sieben Haftbefehle. Deutschland allein erließ sechs Haftbefehle gegen Verdächtige, die sich in der Russischen Föderation aufhalten. Besonders aufschlussreich für die deutsche Bedrohungslage: Seit Beginn der Europol-Ermittlungen im November 2023 verzeichnete Deutschland 14 separate Angriffswellen gegen mehr als 250 Unternehmen und Institutionen. Insgesamt wird die Gruppe mit über 1.500 DDoS-Angriffen seit 2022 in Verbindung gebracht.
| Operation Eastwood (Juli 2025) | Wert |
|---|---|
| Zeitraum der Aktion | 14.–17. Juli 2025 |
| Koordination | Europol und Eurojust |
| Gestörte Computersysteme | über 100 weltweit |
| Festnahmen | 2 (Frankreich, Spanien) |
| Haftbefehle insgesamt | 7 |
| Haftbefehle aus Deutschland | 6 (Verdächtige in Russland) |
| Angriffswellen gegen Deutschland (seit Nov. 2023) | 14, über 250 Ziele |
| DDoS-Angriffe der Gruppe (seit 2022) | über 1.500 |
Die Parallelen zum REvil-Fall sind kein Zufall. In beiden Fällen sitzen die Hauptverdächtigen in Russland, in beiden Fällen setzen die deutschen und europäischen Behörden auf Haftbefehle und Enttarnung statt auf realistische Festnahmen, und in beiden Fällen bleibt die operative Schlagkraft der Gruppen nur vorübergehend gestört. Sicherheitsforscher von Imperva, die die Wirkung von Operation Eastwood untersuchten, stellten fest, dass NoName057(16) seine Aktivitäten nach kurzer Pause wieder hochfuhr. Infrastruktur lässt sich neu aufbauen, solange die Köpfe frei sind.
Marktauswirkungen: Cyberversicherung, Security-Budgets und Lieferketten
Für die deutsche Wirtschaft hat die anhaltende Ransomware-Welle handfeste finanzielle Folgen, weit über die Lösegelder hinaus. Drei Effekte sind besonders sichtbar. Erstens der Markt für Cyberversicherungen: Versicherer haben Prämien angehoben, Selbstbehalte erhöht und Mindeststandards verschärft. Wer keine Multi-Faktor-Authentifizierung, getestete Backups und Endpoint-Detection vorweisen kann, erhält schwerer oder teurer Schutz. Ransomware hat die Underwriting-Logik der gesamten Branche verändert.
Zweitens die Sicherheitsbudgets. Der deutsche Markt für IT-Sicherheit wächst laut Branchenanalysen zweistellig. Schätzungen sehen das Volumen des deutschen Cybersecurity-Marktes bei rund 11,8 Milliarden US-Dollar im Jahr 2024 mit einer prognostizierten jährlichen Wachstumsrate von gut acht Prozent in Richtung knapp 26 Milliarden US-Dollar bis Anfang der 2030er Jahre. Jeder spektakuläre Fall wie REvil treibt Vorstände dazu, Budgets freizugeben, die zuvor blockiert waren. Cybersicherheit ist von der IT-Abteilung in die Chefetage gewandert.
Drittens der regulatorische Druck. Mit der NIS2-Richtlinie und ihrer nationalen Umsetzung weitet sich der Kreis der verpflichteten Unternehmen massiv aus. Meldepflichten, Mindeststandards und persönliche Haftung der Geschäftsführung verändern das Kalkül. Für viele Mittelständler ist nicht mehr die Frage, ob sich Sicherheit lohnt, sondern wie sie die gesetzlichen Anforderungen überhaupt erfüllen. Der Fall REvil liefert dieser Debatte das konkrete Schreckensszenario, auf das sich Argumente stützen lassen.
Stimmen aus der Sicherheitsbranche
Das BKA selbst fasst den Vorwurf gegen den Hauptverdächtigen in der Fahndung knapp zusammen: Er habe „mindestens seit Anfang 2019 bis mindestens Juli 2021″ als Anführer einer der weltweit größten Ransomware-Gruppen GandCrab/REvil agiert und sei international wegen zahlreicher organisierter und gewerbsmäßiger Erpressungen gesucht. Diese nüchterne Formulierung markiert die Strategie der Behörde: maximale öffentliche Zuordnung bei vollem Bewusstsein, dass eine Festnahme in Russland unrealistisch bleibt.
Sicherheitsjournalist Brian Krebs, dessen Recherche auf KrebsOnSecurity die Enttarnung detailliert nachzeichnet, betont in seiner Analyse, dass der entscheidende Hebel die jahrelange Spurensuche in alten Foren und wiederverwendeten Identitäten war. Sein Befund: Der vermeintlich anonyme Untergrund vergisst nichts, und genau diese digitale Aktenlage holt Akteure Jahre später ein.
Auch die Bewertung von Europol zur Operation Eastwood spricht eine deutliche Sprache. Die Behörde beschreibt NoName057(16) als prorussisches Netzwerk, das zunächst die Ukraine und dann gezielt deren Unterstützerstaaten attackierte. Die Analysten von Imperva ergänzten in ihrer Auswertung, dass die Gruppe ihre Schlagkraft nach dem Schlag rasch teilweise wiederherstellte, was die strukturelle Schwäche reiner Infrastruktur-Takedowns belegt. Bitkom-Präsident Ralf Wintergerst wiederum verortet die gesamte Entwicklung in einem größeren geopolitischen Rahmen, in dem Wirtschaftsspionage und Cybersabotage zum festen Repertoire staatsnaher und krimineller Akteure gehören.
Historische Einordnung: Von Colonial Pipeline bis zur Enttarnung
Um die Bedeutung des BKA-Schlags zu verstehen, lohnt der Blick zurück. Das Jahr 2021 war der Wendepunkt der westlichen Ransomware-Politik. Im Mai 2021 legte die Gruppe DarkSide mit einem Angriff die Colonial Pipeline an der US-Ostküste lahm und löste Benzinengpässe aus. Im selben Sommer folgten der JBS-Angriff durch REvil und schließlich die Kaseya-Attacke. Diese Serie verwandelte Ransomware von einem IT-Problem in eine Frage der nationalen Sicherheit. Regierungen reagierten mit Sanktionen, internationalen Task-Forces und einer neuen Bereitschaft, Klarnamen zu veröffentlichen.
Seither hat sich ein Muster etabliert. US-Behörden enttarnten und sanktionierten Mitglieder von Conti, LockBit und Trickbot. Die internationale Operation Cronos zerschlug 2024 große Teile der LockBit-Infrastruktur. Der deutsche Beitrag mit der Identifizierung der GandCrab- und REvil-Köpfe reiht sich in diese Linie ein. Bemerkenswert ist, dass nun auch das BKA, das traditionell zurückhaltend mit öffentlicher Attribution umging, offensiv Namen nennt. Das signalisiert einen Strategiewechsel hin zu Abschreckung durch Sichtbarkeit.
Zugleich zeigt die Historie die Grenzen. Conti löste sich auf und lebte in Splittergruppen weiter. LockBit kehrte nach Operation Cronos in abgespeckter Form zurück. Solange die Täter in nicht-kooperierenden Staaten Schutz genießen, bleibt die Strafverfolgung ein Spiel auf Zeit. Der eigentliche Hebel liegt in der Resilienz der potenziellen Opfer.
Was Unternehmen in Deutschland jetzt tun sollten
Die praktische Lehre aus dem Fall ist unspektakulär, aber wirksam. Ransomware-Angriffe folgen meist demselben Ablauf: Erstzugang über Phishing, gestohlene Zugangsdaten oder ungepatchte Schwachstellen, dann seitliche Bewegung im Netzwerk, Diebstahl sensibler Daten und schließlich Verschlüsselung. An jeder dieser Stufen lässt sich der Angriff stoppen oder zumindest verlangsamen. Folgende Maßnahmen senken das Risiko am stärksten.
- Multi-Faktor-Authentifizierung für alle externen Zugänge, insbesondere VPN, Fernwartung und E-Mail. Gestohlene Passwörter allein dürfen keinen Zugang mehr ermöglichen.
- Getestete Offline-Backups nach dem 3-2-1-Prinzip. Ein Backup, das vom Angreifer mitverschlüsselt werden kann, ist kein Backup.
- Schnelles Patch-Management für internetexponierte Systeme. Der Kaseya-Fall begann mit einer Schwachstelle in Fernwartungssoftware.
- Netzwerksegmentierung, damit ein kompromittierter Rechner nicht das gesamte Unternehmen erreicht.
- Endpoint Detection and Response und ein geübter Incident-Response-Plan, damit Angriffe in der seitlichen Bewegungsphase auffallen.
- Mitarbeiterschulungen gegen Phishing, da der Erstzugang weiterhin am häufigsten über den Menschen erfolgt.
Hinzu kommt eine klare Haltung zur Lösegeldzahlung. Behörden raten konsequent davon ab, weil Zahlungen das Geschäftsmodell finanzieren und keine Garantie für eine vollständige Wiederherstellung bieten. Die 25 zahlenden deutschen Opfer im REvil-Fall sind ein Mahnmal: Ihr Geld floss direkt in eine Operation, die weiterzog und neue Ziele suchte.
Fünf Prognosen für die Ransomware-Bedrohung 2026 und 2027
Aus dem aktuellen Lagebild lassen sich mehrere Entwicklungen ableiten, die deutsche Unternehmen in den kommenden Monaten prägen werden.
- Enttarnung wird Standardtaktik. Das BKA wird dem Beispiel folgen und weitere Klarnamen veröffentlichen. Die öffentliche Attribution etabliert sich als bevorzugtes Mittel, wenn Auslieferung ausgeschlossen ist.
- KI beschleunigt Angriffe. Automatisiertes Phishing, KI-generierte Schadcode-Varianten und Deepfake-Anrufe erhöhen Volumen und Qualität der Angriffe spürbar, während die Verteidigerseite mit eigenen KI-Werkzeugen nachzieht.
- Der Schaden bleibt dreistellig. Der jährliche Bitkom-Gesamtschaden dürfte sich oberhalb der Marke von 250 Milliarden Euro halten, getrieben von Ransomware, Spionage und Sabotage.
- Hacktivismus und Kriminalität verschwimmen. Die Grenze zwischen finanziell motivierter Ransomware und politisch motivierten DDoS-Wellen wird unschärfer, da staatsnahe Akteure beide Werkzeuge nutzen.
- Regulierung erzwingt Mindeststandards. NIS2 und steigende Anforderungen der Cyberversicherer heben das Sicherheitsniveau im Mittelstand an, allerdings langsamer, als die Bedrohung wächst.
Fazit: Ein Gesicht für das Phantom, aber kein Ende der Gefahr
Die Enttarnung von Daniil Schtschukin und Anatoli Krawtschuk ist ein realer Ermittlungserfolg und ein wichtiges Signal. Sie zeigt, dass Anonymität im kriminellen Untergrund keine Ewigkeitsgarantie ist und dass deutsche Behörden bereit sind, offensiv Namen zu nennen. Zugleich offenbart der Fall die strukturellen Grenzen der Strafverfolgung. Solange die Verdächtigen in Russland sicher sind und das Ransomware-as-a-Service-Modell intakt bleibt, ersetzt kein einzelner Schlag die nüchterne Arbeit an der eigenen Resilienz. Für deutsche Unternehmen lautet die Botschaft daher doppelt: Die Behörden liefern, doch der wirksamste Schutz beginnt im eigenen Netzwerk.
Related Coverage
- Cyberangriff Deutschland: +124 % Attacken im DACH-Raum
- Cyberangriffe Deutschland: Die Bedrohungslage 2026
- Cyberangriff Dänemark: OpDenmark und 1,5 Mrd. Forderung
- Ivanti-Schwachstelle: CVSS 9.8 und die Folgen für die EU
- Data Breaches: Wie sie passieren und wie Sie sich schützen
- Online-Sicherheit erklärt: Der praktische Leitfaden
Häufig gestellte Fragen (FAQ)
Wer wurde vom BKA als Kopf von REvil und GandCrab identifiziert?
Das BKA nennt zwei russische Staatsbürger: Daniil Maximowitsch Schtschukin, 31, als Mann hinter dem Pseudonym UNKN, sowie Anatoli Sergejewitsch Krawtschuk, 43, als mutmaßlichen Entwickler der REvil-Schadsoftware. Beide werden seit April 2026 international zur Fahndung ausgeschrieben, halten sich aber in Russland auf.
Wie viel Schaden haben REvil und GandCrab in Deutschland verursacht?
In den deutschlandbezogenen Ermittlungen werden den Verdächtigen mindestens 130 Angriffe zugeschrieben. 25 Opfer zahlten zusammen rund 1,9 Millionen Euro Lösegeld. Der gesamtwirtschaftliche Schaden allein in Deutschland liegt bei mehr als 35,4 Millionen Euro.
Was ist Ransomware-as-a-Service?
Ransomware-as-a-Service ist ein Franchise-Modell der Cyberkriminalität. Eine Kerngruppe entwickelt die Schadsoftware und vermietet sie an Partner, die Angriffe durchführen und die Lösegelder teilen. Das Modell senkt die technische Einstiegshürde und macht die Bedrohung dezentral und schwer zu zerschlagen.
Warum wird REvil mit dem Kaseya-Angriff in Verbindung gebracht?
Im Juli 2021 nutzte REvil eine Schwachstelle in der Fernwartungssoftware von Kaseya aus. Über diese eine Lieferkettenattacke waren mehr als 1.500 nachgelagerte Organisationen betroffen. Es war einer der folgenreichsten Ransomware-Vorfälle überhaupt und beschleunigte das Ende der Gruppe.
Was war die Operation Eastwood?
Operation Eastwood war ein international koordinierter Schlag von Europol und Eurojust gegen die prorussische Hacktivisten-Gruppe NoName057(16) vom 14. bis 17. Juli 2025. Die Ermittler störten über 100 Computersysteme, nahmen zwei Personen fest und erließen sieben Haftbefehle, davon sechs aus Deutschland.
Was bedeutet die Enttarnung für deutsche Unternehmen?
Praktisch wenig am unmittelbaren Risiko, da die Täter in Russland sicher sind und das Geschäftsmodell weiterläuft. Der beste Schutz bleibt eigene Resilienz: Multi-Faktor-Authentifizierung, getestete Offline-Backups, schnelles Patchen, Netzwerksegmentierung und geübte Notfallpläne.
Sollten Unternehmen bei einem Ransomware-Angriff Lösegeld zahlen?
Behörden raten konsequent davon ab. Zahlungen finanzieren das kriminelle Geschäftsmodell, garantieren keine vollständige Datenwiederherstellung und machen das Unternehmen zum attraktiven Wiederholungsziel. Stattdessen sollten Betroffene Strafverfolgungsbehörden und das BSI einbinden.
Quellen und weiterführende Informationen
- KrebsOnSecurity: Germany Doxes „UNKN”, Head of REvil/GandCrab
- The Hacker News: BKA Identifies REvil Leaders Behind 130 German Attacks
- Security Affairs: BKA Unmasks Two REvil Operators
- The Record: German Police Unmask Suspects Linked to REvil/GandCrab
- Bitkom: Wirtschaftsschutzstudie / Economic Security 2025
- Bundesamt für Sicherheit in der Informationstechnik (BSI)
