Ransomware: Erfolge und Herausforderungen im Kampf gegen Cyberkriminelle

Bei einem Ransomware-Angriff verschafft sich die Täterschaft Zugang zum IT-Netzwerk eines Unternehmens. Dies geschieht in der Regel über Phishing-Mails, infizierte Anhänge oder Sicherheitslücken in der Software. Anschliessend verschlüsselt die Täterschaft mit Schadsoftware sämtliche Daten auf den Servern des betroffenen Unternehmens, sodass diese nicht mehr zugänglich sind. In der Folge fällt das gesamte IT-System aus. Das führt zu teils langwierigen Betriebsunterbrüchen mit finanziellen Einbussen, Reputationsschäden und hohen Kosten für die Wiederherstellung der Infrastruktur. Besonders gravierend sind Angriffe auf Spitäler und andere kritische Infrastrukturen, weil sie auch Menschenleben gefährden können.

Für die Entschlüsselung der Daten verlangt die Täterschaft Lösegeld in Kryptowährungen wie beispielsweise Bitcoin. Die Höhe der Lösegeldforderungen variiert von einigen Tausend bis zu mehreren Millionen Franken – je nach Täter und betroffenem Unternehmen. Teilweise droht die Täterschaft zudem, die gestohlenen Daten zu veröffentlichen oder zu verkaufen, falls die Unternehmen das Lösegeld nicht bezahlen – ein Vorgehen, das als Double Extortion bezeichnet wird.

Internationale Zusammenarbeit ist entscheidend

Die hinter Ransomware-Angriffen stehenden Tätergruppierungen sind in der Regel arbeitsteilig organisiert und haben unterschiedliche Aufgaben und Zuständigkeiten. Sie agieren international und sind technisch hochversiert. Sie nutzen VPN-Dienste, versteckte Netzwerke, verschlüsselte Kommunikation und Kryptowährungen, um ihre Identität und ihren Standort zu verschleiern. Dabei greifen sie gezielt Unternehmen und Institutionen mit Sicherheitslücken in den IT-Systemen an – unabhängig von Land, Branche oder Grösse. Das führt dazu, dass ein und dieselbe Gruppierung für eine Vielzahl von Angriffen in verschiedenen Ländern verantwortlich ist. Diese bedient sich Servern, Kommunikationsdiensten und Kryptowährungsbörsen, die ebenfalls über verschiedene Staaten verteilt sind.

Um die Täter zu identifizieren und Beweise zu sichern, sind Daten und Informationen aus unterschiedlichen Ländern und Rechtsordnungen notwendig. Da Schweizer Behörden im Ausland keine Ermittlungen durchführen dürfen, müssen sie auf den internationalen Rechtshilfeweg zurückgreifen. Dieser ist oft zu langwierig, da entscheidende Daten wie Logfiles nach einer gewissen Zeit automatisch überschrieben oder gelöscht werden. Deshalb ist eine enge und funktionierende internationale Zusammenarbeit sowohl auf polizeilicher als auch auf justizieller Ebene unverzichtbar – etwa durch die Bildung internationaler Taskforces und Joint-Investigation-Teams. Nur so können Informationen und Beweismittel rasch gesichert und zeitgleiche Verhaftungen und Durchsuchungen in verschiedenen Ländern koordiniert und durchgeführt werden.

Ransomware-Strafverfahren sind besonders komplex. Sie erfordern, dass regelmässig umfangreiche Datenbestände gesichert, analysiert und dokumentiert werden. Die eingesetzte Schadsoftware muss technisch analysiert werden, um ihre Funktionsweise herauszufinden – sogenanntes Reverse Engineering. Zudem müssen komplexe Überwachungsmassnahmen sowie Analysen von Kryptowährungstransaktionen durchgeführt werden. Die erfolgreiche Verfolgung von Ransomware-Angriffen setzt daher neben einer funktionierenden internationalen Kooperation auch genügend Fachpersonal bei den Strafverfolgungsbehörden voraus. Ebenso wichtig ist eine enge interdisziplinäre Zusammenarbeit zwischen Staatsanwaltschaft, Ermittlern und IT-Forensikerinnen.

Landesweite Sammelverfahren durch den Kanton Zürich

Im Kanton Zürich ist die Staatsanwaltschaft II für die Verfolgung von Ransomware-Fällen zuständig. Seit 2019 führt sie in enger Zusammenarbeit mit der Kantonspolizei Zürich erfolgreich diverse Sammelverfahren gegen internationale Tätergruppen: Alle Schweizer Fälle, die dieselbe Gruppierung betreffen, werden in einem Verfahren zusammengeführt.

Eine dieser Ermittlungen richtete sich gegen eine Gruppierung, die mit den Schadprogrammen LockerGoga, Megacortex und Nefilim weltweit über 1800 Unternehmen in 71 Ländern angegriffen haben soll. Der Schaden beläuft sich global auf mehrere Hundert Millionen Franken. Im Oktober 2021 gelang es, im Rahmen einer international koordinierten Aktion[1] insgesamt zwölf mutmassliche Mitglieder dieser Gruppierung zu verhaften – darunter auch ein in der Schweiz wohnhafter Ukrainer. Die Staatsanwaltschaft II des Kantons Zürich hat das Strafverfahren gegen ihn Ende Juli 2025 mit der Anklageerhebung beim Bezirksgericht Zürich abgeschlossen. Dem Mann wird vorgeworfen, massgeblich an der Entwicklung der genannten Schadsoftwares beteiligt gewesen zu sein und von der Schweiz aus an Ransomware-Angriffen auf knapp ein Dutzend Unternehmen im In- und Ausland mitgewirkt zu haben.

Auch wenn den Strafverfolgungsbehörden immer wieder wichtige Erfolge im Kampf gegen Cyberkriminelle gelingen, bleibt die Bedrohung durch Ransomware bestehen. Unternehmen und Institutionen sollten daher in ihre IT-Sicherheit investieren und ihre Mitarbeitenden sensibilisieren – insbesondere für das Erkennen verdächtiger Dateianhänge und Links in E-Mails. Kommt es dennoch zu einem Angriff, gilt: kein Lösegeld bezahlen, sondern sofort Anzeige bei der Polizei erstatten.

1. Neben der Schweiz beteiligten sich auch Frankreich, die Niederlande, Norwegen, die Ukraine und die USA. []