{"id":55,"date":"2026-06-11T08:14:49","date_gmt":"2026-06-11T08:14:49","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/11\/revil-gandcrab-bka-enttarnt-2026\/"},"modified":"2026-06-11T08:14:49","modified_gmt":"2026-06-11T08:14:49","slug":"revil-gandcrab-bka-enttarnt-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/11\/revil-gandcrab-bka-enttarnt-2026\/","title":{"rendered":"REvil enttarnt: 130 Angriffe, 35 Mio \u20ac Schaden [2026]"},"content":{"rendered":"\n

Jahrelang war er nur ein K\u00fcrzel im Darknet: UNKN<\/strong>. Hinter diesem Handle steuerte einer der einflussreichsten Ransomware-Akteure der Welt zwei Erpresser-Dynastien, GandCrab und REvil, die Krankenh\u00e4user, Mittelst\u00e4ndler und Konzerne lahmlegten. Im April 2026 gab das deutsche Bundeskriminalamt (BKA) dem Phantom ein Gesicht und einen Namen. Die Beh\u00f6rde identifizierte zwei russische Staatsangeh\u00f6rige als mutma\u00dfliche K\u00f6pfe der Operationen und verband sie mit mindestens 130 Angriffen allein in Deutschland<\/strong>. F\u00fcr die deutsche Sicherheitsbeh\u00f6rde ist es einer der gr\u00f6\u00dften Schl\u00e4ge gegen die Ransomware-Szene seit Jahren. F\u00fcr die betroffene Wirtschaft ist es eine Erinnerung an ein Gesch\u00e4ftsmodell, das den deutschen Unternehmen laut Bitkom dreistellige Milliardenbetr\u00e4ge pro Jahr kostet.<\/p>\n\n\n\n

Diese Analyse ordnet den Fall ein: Wer wurde enttarnt, wie viel Geld floss, was bedeutet die Entlarvung f\u00fcr die Bedrohungslage in Deutschland und im DACH-Raum, und warum sich am eigentlichen Risiko trotz des Ermittlungserfolgs wenig \u00e4ndert. Stand der Daten: 11. Juni 2026.<\/p>\n\n\n\n

REvil enttarnt: Was das BKA im April 2026 enth\u00fcllte<\/h2>\n\n\n\n

Am 5. und 6. April 2026 ver\u00f6ffentlichten das BKA und internationale Medien die Identit\u00e4ten zweier mutma\u00dflicher Schl\u00fcsselfiguren des GandCrab- und REvil-\u00d6kosystems. Die Beh\u00f6rde nennt Daniil Maximowitsch Schtschukin<\/strong>, einen 31-j\u00e4hrigen russischen Staatsb\u00fcrger, als Mann hinter dem Pseudonym UNKN<\/strong> beziehungsweise UNKNOWN. Berichten zufolge nutzte er zus\u00e4tzlich die Aliase Oneiilk2, Oneillk2, Oneillk22 und schlicht GandCrab. Als zweiten Verd\u00e4chtigen identifizierte das BKA Anatoli Sergejewitsch Krawtschuk<\/strong>, 43 Jahre alt, ebenfalls russischer Staatsb\u00fcrger und mutma\u00dflicher Entwickler der REvil-Schadsoftware.<\/p>\n\n\n\n

Das BKA beschreibt den Tatzeitraum mit den Worten, der Hauptverd\u00e4chtige habe \u201emindestens seit Anfang 2019 bis mindestens Juli 2021″ als Anf\u00fchrer einer der weltweit gr\u00f6\u00dften Ransomware-Gruppen gehandelt. Die Ermittler werfen den beiden M\u00e4nnern organisierte und gewerbsm\u00e4\u00dfige Erpressung mit Schadsoftware vor, gerichtet gegen Unternehmen, \u00f6ffentliche Einrichtungen und weitere Organisationen. Beide werden international zur Fahndung ausgeschrieben. Wichtig f\u00fcr die Einordnung: Es handelt sich um Identifizierungen und Fahndungsma\u00dfnahmen, nicht um Verurteilungen. Beide Verd\u00e4chtige halten sich nach Erkenntnissen der Beh\u00f6rden in Russland auf, das eigene Staatsb\u00fcrger nicht ausliefert.<\/p>\n\n\n\n

Genau dieser Punkt erkl\u00e4rt, warum die Ver\u00f6ffentlichung der Klarnamen \u00fcberhaupt eine Strategie ist. Wenn eine Festnahme praktisch unm\u00f6glich bleibt, wird die Enttarnung selbst zur Waffe. Wer einmal mit Klarnamen, Foto und Aliasen \u00f6ffentlich verkn\u00fcpft ist, verliert die Anonymit\u00e4t, die das gesamte Ransomware-Gesch\u00e4ft erst tr\u00e4gt. Reisen in Staaten mit Auslieferungsabkommen werden zum Risiko, alte Pseudonyme verbrennen, und Partner im kriminellen Untergrund wenden sich ab. Das BKA folgt damit demselben Muster, das US-Beh\u00f6rden seit Jahren gegen russische Cyberkriminelle einsetzen: Wenn man die Leute nicht greifen kann, nimmt man ihnen die Tarnung.<\/p>\n\n\n\n

Das Profil von \u201eUNKN”: Vom Foren-Nutzer zum Ransomware-Boss<\/h2>\n\n\n\n

Das Handle UNKN tauchte erstmals rund um den Start von GandCrab 2018 in einschl\u00e4gigen russischsprachigen Untergrundforen auf. Der Akteur dahinter trat dort als Rekrutierer und Sprecher auf, der Partner f\u00fcr ein Affiliate-Programm suchte. Sicherheitsjournalist Brian Krebs, der den Fall auf KrebsOnSecurity ausf\u00fchrlich dokumentierte, zeichnet nach, wie sich aus diesen Foren-Spuren \u00fcber Jahre ein Netz aus wiederverwendeten Nutzernamen, E-Mail-Adressen und Krypto-Wallets ergab, das die Ermittler schlie\u00dflich zu einer realen Person f\u00fchrte. Der oft zitierte Leitsatz der Szene, niemals Ziele in Russland oder der Gemeinschaft Unabh\u00e4ngiger Staaten anzugreifen, war fester Bestandteil der GandCrab-Regeln und bot zugleich einen Ansatzpunkt f\u00fcr die Attribution.<\/p>\n\n\n\n

Die Rollenverteilung zwischen den beiden Verd\u00e4chtigen ist aufschlussreich. Schtschukin gilt als der unternehmerische Kopf, der das Affiliate-Modell organisierte, verhandelte und das \u00f6ffentliche Gesicht der Marke gab. Krawtschuk dagegen wird die technische Seite zugeschrieben, also die Entwicklung und Pflege des Verschl\u00fcsselungscodes. Diese Arbeitsteilung ist typisch f\u00fcr moderne Ransomware-Operationen, in denen Betrieb, Entwicklung, Verhandlung und Geldw\u00e4sche auf spezialisierte Rollen verteilt sind. Eine einzelne Festnahme legt eine solche Struktur nie vollst\u00e4ndig still, weil das Wissen verteilt und der Code l\u00e4ngst kopiert ist.<\/p>\n\n\n\n

130 Angriffe, 25 Zahlungen: Die Bilanz f\u00fcr Deutschland<\/h2>\n\n\n\n

Die deutschlandbezogenen Ermittlungen zeichnen ein pr\u00e4zises Bild des Schadens. Von mindestens 130 dokumentierten Angriffen f\u00fchrten 25 F\u00e4lle zu einer tats\u00e4chlichen L\u00f6segeldzahlung. Diese 25 Opfer \u00fcberwiesen zusammen rund 1,9 Millionen Euro<\/strong>, was etwa 2,2 Millionen US-Dollar entspricht. Der gesamtwirtschaftliche Schaden allein aus den deutschen Vorf\u00e4llen liegt nach Angaben der Ermittler bei mehr als 35 Millionen Euro<\/strong>, in einer detaillierten Aufstellung bei 35,4 Millionen Euro beziehungsweise 40,8 Millionen US-Dollar. Die L\u00fccke zwischen 1,9 Millionen Euro gezahltem L\u00f6segeld und 35 Millionen Euro Gesamtschaden zeigt die wahre Kostenstruktur von Ransomware: Betriebsausfall, Wiederherstellung, Forensik, Rechtsberatung und Reputationsschaden \u00fcbersteigen das eigentliche L\u00f6segeld um ein Vielfaches.<\/p>\n\n\n\n

Kennzahl zum Fall REvil\/GandCrab in Deutschland<\/th>Wert<\/th><\/tr><\/thead>
Mutma\u00dflicher Tatzeitraum<\/td>Anfang 2019 bis mind. Juli 2021<\/td><\/tr>
Identifizierte Hauptverd\u00e4chtige<\/td>2 (Schtschukin, 31; Krawtschuk, 43)<\/td><\/tr>
Dokumentierte Angriffe in Deutschland<\/td>mind. 130<\/td><\/tr>
F\u00e4lle mit L\u00f6segeldzahlung<\/td>25<\/td><\/tr>
Gezahltes L\u00f6segeld (direkt)<\/td>ca. 1,9 Mio. \u20ac (ca. 2,2 Mio. $)<\/td><\/tr>
Gesamtwirtschaftlicher Schaden (DE)<\/td>\u00fcber 35,4 Mio. \u20ac (ca. 40,8 Mio. $)<\/td><\/tr>
Behaupteter globaler GandCrab-Umsatz (bis Mai 2019)<\/td>\u00fcber 2 Mrd. $<\/td><\/tr>
Status<\/td>Internationale Fahndung, keine Verurteilung<\/td><\/tr><\/tbody><\/table>
Quellen: BKA-bezogene Berichterstattung (Krebs, The Hacker News, Security Affairs, The Record), Stand April 2026.<\/figcaption><\/figure>\n\n\n\n

Diese 130 F\u00e4lle sind nur die in Deutschland zur Anzeige gebrachten Vorf\u00e4lle. Die globale Dimension ist um Gr\u00f6\u00dfenordnungen h\u00f6her. Die GandCrab-Betreiber selbst behaupteten im Mai 2019, vor der angek\u00fcndigten Abschaltung des Dienstes mehr als zwei Milliarden US-Dollar eingenommen zu haben. Solche Selbstangaben sind mit Vorsicht zu behandeln, weil sie auch der Selbstvermarktung dienten. Doch selbst ein Bruchteil dieser Summe macht GandCrab und seinen Nachfolger REvil zu einem der lukrativsten kriminellen Cyber-Unternehmen der Geschichte.<\/p>\n\n\n\n

Von GandCrab zu REvil: Geschichte einer Ransomware-Dynastie<\/h2>\n\n\n\n

GandCrab startete Anfang 2018 und etablierte rasch das Modell Ransomware-as-a-Service in seiner heute bekannten Form. Statt selbst anzugreifen, vermietete die Kerngruppe ihre Schadsoftware an Partner, sogenannte Affiliates, und kassierte einen Anteil von typischerweise 30 bis 40 Prozent jeder L\u00f6segeldzahlung. Im Mai 2019 verk\u00fcndeten die Betreiber \u00fcberraschend den Ruhestand. Kurz darauf erschien REvil, auch als Sodinokibi bekannt, das sich in Code, Infrastruktur und Personal als direkter Nachfolger erwies. Sicherheitsforscher dokumentierten zahlreiche technische \u00dcberschneidungen, die einen Neustart unter neuem Namen nahelegen.<\/p>\n\n\n\n

REvil professionalisierte das Modell weiter. Die Gruppe f\u00fchrte die doppelte Erpressung in den Mainstream: Daten wurden nicht nur verschl\u00fcsselt, sondern vorher gestohlen, um mit ihrer Ver\u00f6ffentlichung zu drohen. Wer ein gutes Backup hatte, konnte trotzdem erpresst werden. REvil betrieb eine eigene Leak-Seite, versteigerte Daten und etablierte eine Pressestrategie, die Angriffe gezielt \u00f6ffentlichkeitswirksam inszenierte. Zu den prominenten Opfern z\u00e4hlten der Fleischkonzern JBS, der 2021 elf Millionen US-Dollar zahlte, sowie der Elektronikhersteller Acer, von dem ein Rekordl\u00f6segeld von 50 Millionen US-Dollar gefordert wurde.<\/p>\n\n\n\n

Die Geschichte zeigt ein zentrales Problem der Strafverfolgung: Ransomware-Marken sind austauschbar. GandCrab wurde zu REvil, REvil-Splitter flossen sp\u00e4ter in andere Gruppen. Die Personen und das Know-how bleiben, w\u00e4hrend Namen kommen und gehen. Genau deshalb richtet sich die BKA-Strategie gegen die Menschen hinter den Marken, nicht gegen die Marke selbst.<\/p>\n\n\n\n

Der Kaseya-Angriff: Wie REvil 1.500 Unternehmen auf einmal traf<\/h2>\n\n\n\n

Der H\u00f6hepunkt und zugleich der Anfang vom Ende von REvil war der Angriff auf den IT-Dienstleister Kaseya im Juli 2021. REvil nutzte eine Schwachstelle in der Fernwartungssoftware VSA aus und schleuste \u00fcber diesen einen Einstiegspunkt Schadsoftware in die Netzwerke von Managed-Service-Providern und deren Kunden ein. Das Ergebnis war eine Lieferkettenattacke mit Hebelwirkung: \u00dcber einen einzigen Vorfall waren mehr als 1.500 nachgelagerte Organisationen<\/strong> betroffen. Die Gruppe forderte zwischenzeitlich 70 Millionen US-Dollar f\u00fcr einen universellen Entschl\u00fcsselungsschl\u00fcssel.<\/p>\n\n\n\n

Der Kaseya-Angriff \u00fcberschritt eine politische Schwelle. Kurz nach dem Vorfall geriet REvil unter massiven internationalen Druck und ging im Juli 2021 offline. Die Lieferkettendimension machte deutlich, warum Angriffe auf zentrale Dienstleister so gef\u00e4hrlich sind. Wer einen Knotenpunkt kompromittiert, erreicht hunderte oder tausende Ziele gleichzeitig. Diese Logik pr\u00e4gt bis heute die Sicherheitsdebatte und ist einer der Gr\u00fcnde, warum die EU mit der NIS2-Richtlinie und dem Cyber Resilience Act die Verantwortung entlang der Lieferkette versch\u00e4rft.<\/p>\n\n\n\n

Ransomware-as-a-Service: Das Gesch\u00e4ftsmodell hinter den Zahlen<\/h2>\n\n\n\n

Um zu verstehen, warum die Enttarnung zweier Personen die Bedrohung nicht beendet, muss man das Gesch\u00e4ftsmodell verstehen. Ransomware-as-a-Service, kurz RaaS, funktioniert wie ein Franchise. Eine Kerngruppe entwickelt die Schadsoftware, betreibt die Infrastruktur und stellt Verhandlungsportale bereit. Affiliates mieten dieses Paket, dringen in Netzwerke ein und teilen die Beute. Diese Arbeitsteilung senkt die Einstiegsh\u00fcrde dramatisch. Ein Angreifer braucht keine tiefe Programmierkenntnis mehr, sondern nur Zugang und kriminelle Energie.<\/p>\n\n\n\n

Die Folge ist eine resiliente, dezentrale Bedrohung. Wird eine Marke zerschlagen, wechseln die Affiliates einfach zur n\u00e4chsten. Nach Erkenntnissen aus der Bitkom-Wirtschaftsschutzstudie ist Ransomware durchgehend die am h\u00e4ufigsten gemeldete Angriffsmethode mit relevantem Schaden. In der Bitkom-Erhebung 2024 berichteten 31 Prozent der betroffenen Unternehmen \u00fcber Sch\u00e4den durch Ransomware, gefolgt von DDoS-Attacken mit 18 Prozent. Diese Konstanz \u00fcber Jahre zeigt: Das Modell ist kein Trend, sondern Infrastruktur.<\/p>\n\n\n\n

Versch\u00e4rft wird das Bild durch K\u00fcnstliche Intelligenz. Branchenanalysen f\u00fcr den DACH-Raum berichten, dass eine deutliche Mehrheit der Sicherheitsverantwortlichen sich von KI-gest\u00fctzten Angriffen \u00fcberfordert f\u00fchlt. Automatisierte Phishing-Kampagnen, KI-generierte Schadcode-Varianten und Deepfake-gest\u00fctzte Social-Engineering-Angriffe erh\u00f6hen Tempo und Volumen. Die Personen hinter REvil m\u00f6gen enttarnt sein, doch das von ihnen mitgepr\u00e4gte Modell skaliert heute schneller als je zuvor.<\/p>\n\n\n\n

Was Ransomware Deutschland kostet: Die Bitkom-Bilanz<\/h2>\n\n\n\n

Der Fall REvil ist ein Mosaikstein in einer weit gr\u00f6\u00dferen Schadensbilanz. Der Digitalverband Bitkom beziffert in seiner Wirtschaftsschutzstudie den j\u00e4hrlichen Gesamtschaden der deutschen Wirtschaft durch Diebstahl, Spionage und Sabotage. F\u00fcr das Erhebungsjahr 2025 nennt Bitkom einen Rekordwert von 289,2 Milliarden Euro<\/strong>. Davon entfallen rund 70 Prozent, also etwa 202,4 Milliarden Euro, auf Cyberangriffe im engeren Sinne. Im Jahr zuvor lag der Gesamtschaden bei 266,6 Milliarden Euro, der Cyberanteil bei 178,6 Milliarden Euro.<\/p>\n\n\n\n

Bitkom-Studie (Jahr)<\/th>Gesamtschaden<\/th>davon Cyberangriffe<\/th>betroffene Unternehmen<\/th><\/tr><\/thead>
2021<\/td>223 Mrd. \u20ac<\/td>k. A.<\/td>88 % (2020\u20132021)<\/td><\/tr>
2023<\/td>206 Mrd. \u20ac<\/td>k. A.<\/td>k. A.<\/td><\/tr>
2024<\/td>266,6 Mrd. \u20ac<\/td>178,6 Mrd. \u20ac<\/td>81 %<\/td><\/tr>
2025<\/td>289,2 Mrd. \u20ac<\/td>202,4 Mrd. \u20ac (70 %)<\/td>87 %<\/td><\/tr><\/tbody><\/table>
Quelle: Bitkom Wirtschaftsschutzstudie. Werte gerundet, Erhebungszeitr\u00e4ume jeweils die letzten zw\u00f6lf Monate.<\/figcaption><\/figure>\n\n\n\n

Die Zahlen steigen seit Jahren. Lag der Gesamtschaden 2023 noch bei rund 206 Milliarden Euro, kletterte er innerhalb von zwei Erhebungen auf fast 290 Milliarden Euro. In der Studie 2025 gaben 87 Prozent der Unternehmen an, in den vergangenen zw\u00f6lf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen gewesen zu sein. Bei der Herkunft der Angriffe verweisen 46 Prozent der betroffenen Firmen auf Russland und China. Bitkom-Pr\u00e4sident Ralf Wintergerst ordnet die Lage als wirtschaftliche Daueraufgabe ein und betont, dass Cybersicherheit l\u00e4ngst \u00fcber die Wettbewerbsf\u00e4higkeit ganzer Branchen entscheide.<\/p>\n\n\n\n

Diese makro\u00f6konomische Perspektive macht den Fall REvil greifbar. 35 Millionen Euro Schaden durch eine einzige Gruppe in Deutschland klingen nach viel und sind doch nur ein Tropfen im dreistelligen Milliardenmeer. Genau das ist die unbequeme Botschaft: Selbst spektakul\u00e4re Ermittlungserfolge bewegen die Gesamtbilanz kaum, solange das Gesch\u00e4ftsmodell intakt bleibt.<\/p>\n\n\n\n

Der Hacktivismus-Faktor: NoName057(16) und Operation Eastwood<\/h2>\n\n\n\n

Ransomware ist nicht die einzige aus Russland gespeiste Bedrohung f\u00fcr Deutschland. Parallel zur finanziell motivierten Cyberkriminalit\u00e4t w\u00e4chst der politisch motivierte Hacktivismus. Das prominenteste Beispiel ist die prorussische Gruppe NoName057(16), die mit DDoS-Angriffen Webseiten von Beh\u00f6rden, Banken und Unternehmen in den Unterst\u00fctzerstaaten der Ukraine lahmlegt. Im Juli 2025 schlug eine internationale Allianz unter F\u00fchrung von Europol und Eurojust in der Operation Eastwood zur\u00fcck.<\/p>\n\n\n\n

Zwischen dem 14. und 17. Juli 2025 st\u00f6rten die Ermittler eine Angriffsinfrastruktur von mehr als 100 Computersystemen weltweit und nahmen einen wesentlichen Teil der zentralen Server der Gruppe vom Netz. Es gab zwei Festnahmen, eine in Frankreich und eine in Spanien, sowie insgesamt sieben Haftbefehle. Deutschland allein erlie\u00df sechs Haftbefehle gegen Verd\u00e4chtige, die sich in der Russischen F\u00f6deration aufhalten. Besonders aufschlussreich f\u00fcr die deutsche Bedrohungslage: Seit Beginn der Europol-Ermittlungen im November 2023 verzeichnete Deutschland 14 separate Angriffswellen gegen mehr als 250 Unternehmen und Institutionen. Insgesamt wird die Gruppe mit \u00fcber 1.500 DDoS-Angriffen seit 2022 in Verbindung gebracht.<\/p>\n\n\n\n

Operation Eastwood (Juli 2025)<\/th>Wert<\/th><\/tr><\/thead>
Zeitraum der Aktion<\/td>14.\u201317. Juli 2025<\/td><\/tr>
Koordination<\/td>Europol und Eurojust<\/td><\/tr>
Gest\u00f6rte Computersysteme<\/td>\u00fcber 100 weltweit<\/td><\/tr>
Festnahmen<\/td>2 (Frankreich, Spanien)<\/td><\/tr>
Haftbefehle insgesamt<\/td>7<\/td><\/tr>
Haftbefehle aus Deutschland<\/td>6 (Verd\u00e4chtige in Russland)<\/td><\/tr>
Angriffswellen gegen Deutschland (seit Nov. 2023)<\/td>14, \u00fcber 250 Ziele<\/td><\/tr>
DDoS-Angriffe der Gruppe (seit 2022)<\/td>\u00fcber 1.500<\/td><\/tr><\/tbody><\/table>
Quelle: Europol-bezogene Berichterstattung zu Operation Eastwood, Juli 2025.<\/figcaption><\/figure>\n\n\n\n

Die Parallelen zum REvil-Fall sind kein Zufall. In beiden F\u00e4llen sitzen die Hauptverd\u00e4chtigen in Russland, in beiden F\u00e4llen setzen die deutschen und europ\u00e4ischen Beh\u00f6rden auf Haftbefehle und Enttarnung statt auf realistische Festnahmen, und in beiden F\u00e4llen bleibt die operative Schlagkraft der Gruppen nur vor\u00fcbergehend gest\u00f6rt. Sicherheitsforscher von Imperva, die die Wirkung von Operation Eastwood untersuchten, stellten fest, dass NoName057(16) seine Aktivit\u00e4ten nach kurzer Pause wieder hochfuhr. Infrastruktur l\u00e4sst sich neu aufbauen, solange die K\u00f6pfe frei sind.<\/p>\n\n\n\n

Marktauswirkungen: Cyberversicherung, Security-Budgets und Lieferketten<\/h2>\n\n\n\n

F\u00fcr die deutsche Wirtschaft hat die anhaltende Ransomware-Welle handfeste finanzielle Folgen, weit \u00fcber die L\u00f6segelder hinaus. Drei Effekte sind besonders sichtbar. Erstens der Markt f\u00fcr Cyberversicherungen: Versicherer haben Pr\u00e4mien angehoben, Selbstbehalte erh\u00f6ht und Mindeststandards versch\u00e4rft. Wer keine Multi-Faktor-Authentifizierung, getestete Backups und Endpoint-Detection vorweisen kann, erh\u00e4lt schwerer oder teurer Schutz. Ransomware hat die Underwriting-Logik der gesamten Branche ver\u00e4ndert.<\/p>\n\n\n\n

Zweitens die Sicherheitsbudgets. Der deutsche Markt f\u00fcr IT-Sicherheit w\u00e4chst laut Branchenanalysen zweistellig. Sch\u00e4tzungen sehen das Volumen des deutschen Cybersecurity-Marktes bei rund 11,8 Milliarden US-Dollar im Jahr 2024 mit einer prognostizierten j\u00e4hrlichen Wachstumsrate von gut acht Prozent in Richtung knapp 26 Milliarden US-Dollar bis Anfang der 2030er Jahre. Jeder spektakul\u00e4re Fall wie REvil treibt Vorst\u00e4nde dazu, Budgets freizugeben, die zuvor blockiert waren. Cybersicherheit ist von der IT-Abteilung in die Chefetage gewandert.<\/p>\n\n\n\n

Drittens der regulatorische Druck. Mit der NIS2-Richtlinie und ihrer nationalen Umsetzung weitet sich der Kreis der verpflichteten Unternehmen massiv aus. Meldepflichten, Mindeststandards und pers\u00f6nliche Haftung der Gesch\u00e4ftsf\u00fchrung ver\u00e4ndern das Kalk\u00fcl. F\u00fcr viele Mittelst\u00e4ndler ist nicht mehr die Frage, ob sich Sicherheit lohnt, sondern wie sie die gesetzlichen Anforderungen \u00fcberhaupt erf\u00fcllen. Der Fall REvil liefert dieser Debatte das konkrete Schreckensszenario, auf das sich Argumente st\u00fctzen lassen.<\/p>\n\n\n\n

Stimmen aus der Sicherheitsbranche<\/h2>\n\n\n\n

Das BKA selbst fasst den Vorwurf gegen den Hauptverd\u00e4chtigen in der Fahndung knapp zusammen: Er habe \u201emindestens seit Anfang 2019 bis mindestens Juli 2021″ als Anf\u00fchrer einer der weltweit gr\u00f6\u00dften Ransomware-Gruppen GandCrab\/REvil agiert und sei international wegen zahlreicher organisierter und gewerbsm\u00e4\u00dfiger Erpressungen gesucht. Diese n\u00fcchterne Formulierung markiert die Strategie der Beh\u00f6rde: maximale \u00f6ffentliche Zuordnung bei vollem Bewusstsein, dass eine Festnahme in Russland unrealistisch bleibt.<\/p>\n\n\n\n

Sicherheitsjournalist Brian Krebs, dessen Recherche auf KrebsOnSecurity die Enttarnung detailliert nachzeichnet, betont in seiner Analyse, dass der entscheidende Hebel die jahrelange Spurensuche in alten Foren und wiederverwendeten Identit\u00e4ten war. Sein Befund: Der vermeintlich anonyme Untergrund vergisst nichts, und genau diese digitale Aktenlage holt Akteure Jahre sp\u00e4ter ein.<\/p>\n\n\n\n

Auch die Bewertung von Europol zur Operation Eastwood spricht eine deutliche Sprache. Die Beh\u00f6rde beschreibt NoName057(16) als prorussisches Netzwerk, das zun\u00e4chst die Ukraine und dann gezielt deren Unterst\u00fctzerstaaten attackierte. Die Analysten von Imperva erg\u00e4nzten in ihrer Auswertung, dass die Gruppe ihre Schlagkraft nach dem Schlag rasch teilweise wiederherstellte, was die strukturelle Schw\u00e4che reiner Infrastruktur-Takedowns belegt. Bitkom-Pr\u00e4sident Ralf Wintergerst wiederum verortet die gesamte Entwicklung in einem gr\u00f6\u00dferen geopolitischen Rahmen, in dem Wirtschaftsspionage und Cybersabotage zum festen Repertoire staatsnaher und krimineller Akteure geh\u00f6ren.<\/p>\n\n\n\n

Historische Einordnung: Von Colonial Pipeline bis zur Enttarnung<\/h2>\n\n\n\n

Um die Bedeutung des BKA-Schlags zu verstehen, lohnt der Blick zur\u00fcck. Das Jahr 2021 war der Wendepunkt der westlichen Ransomware-Politik. Im Mai 2021 legte die Gruppe DarkSide mit einem Angriff die Colonial Pipeline an der US-Ostk\u00fcste lahm und l\u00f6ste Benzinengp\u00e4sse aus. Im selben Sommer folgten der JBS-Angriff durch REvil und schlie\u00dflich die Kaseya-Attacke. Diese Serie verwandelte Ransomware von einem IT-Problem in eine Frage der nationalen Sicherheit. Regierungen reagierten mit Sanktionen, internationalen Task-Forces und einer neuen Bereitschaft, Klarnamen zu ver\u00f6ffentlichen.<\/p>\n\n\n\n

Seither hat sich ein Muster etabliert. US-Beh\u00f6rden enttarnten und sanktionierten Mitglieder von Conti, LockBit und Trickbot. Die internationale Operation Cronos zerschlug 2024 gro\u00dfe Teile der LockBit-Infrastruktur. Der deutsche Beitrag mit der Identifizierung der GandCrab- und REvil-K\u00f6pfe reiht sich in diese Linie ein. Bemerkenswert ist, dass nun auch das BKA, das traditionell zur\u00fcckhaltend mit \u00f6ffentlicher Attribution umging, offensiv Namen nennt. Das signalisiert einen Strategiewechsel hin zu Abschreckung durch Sichtbarkeit.<\/p>\n\n\n\n

Zugleich zeigt die Historie die Grenzen. Conti l\u00f6ste sich auf und lebte in Splittergruppen weiter. LockBit kehrte nach Operation Cronos in abgespeckter Form zur\u00fcck. Solange die T\u00e4ter in nicht-kooperierenden Staaten Schutz genie\u00dfen, bleibt die Strafverfolgung ein Spiel auf Zeit. Der eigentliche Hebel liegt in der Resilienz der potenziellen Opfer.<\/p>\n\n\n\n

Was Unternehmen in Deutschland jetzt tun sollten<\/h2>\n\n\n\n

Die praktische Lehre aus dem Fall ist unspektakul\u00e4r, aber wirksam. Ransomware-Angriffe folgen meist demselben Ablauf: Erstzugang \u00fcber Phishing, gestohlene Zugangsdaten oder ungepatchte Schwachstellen, dann seitliche Bewegung im Netzwerk, Diebstahl sensibler Daten und schlie\u00dflich Verschl\u00fcsselung. An jeder dieser Stufen l\u00e4sst sich der Angriff stoppen oder zumindest verlangsamen. Folgende Ma\u00dfnahmen senken das Risiko am st\u00e4rksten.<\/p>\n\n\n\n