Bei einem Ransomware-Angriff verschafft sich die T\u00e4terschaft Zugang zum IT-Netzwerk eines Unternehmens. Dies geschieht in der Regel \u00fcber Phishing-Mails, infizierte Anh\u00e4nge oder Sicherheitsl\u00fccken in der Software. Anschliessend verschl\u00fcsselt die T\u00e4terschaft mit Schadsoftware s\u00e4mtliche Daten auf den Servern des betroffenen Unternehmens, sodass diese nicht mehr zug\u00e4nglich sind. In der Folge f\u00e4llt das gesamte IT-System aus. Das f\u00fchrt zu teils langwierigen Betriebsunterbr\u00fcchen mit finanziellen Einbussen, Reputationssch\u00e4den und hohen Kosten f\u00fcr die Wiederherstellung der Infrastruktur. Besonders gravierend sind Angriffe auf Spit\u00e4ler und andere kritische Infrastrukturen, weil sie auch Menschenleben gef\u00e4hrden k\u00f6nnen.<\/p>\n
F\u00fcr die Entschl\u00fcsselung der Daten verlangt die T\u00e4terschaft L\u00f6segeld in Kryptow\u00e4hrungen wie beispielsweise Bitcoin. Die H\u00f6he der L\u00f6segeldforderungen variiert von einigen Tausend bis zu mehreren Millionen Franken \u2013 je nach T\u00e4ter und betroffenem Unternehmen. Teilweise droht die T\u00e4terschaft zudem, die gestohlenen Daten zu ver\u00f6ffentlichen oder zu verkaufen, falls die Unternehmen das L\u00f6segeld nicht bezahlen \u2013 ein Vorgehen, das als Double Extortion bezeichnet wird.<\/p>\n
Die hinter Ransomware-Angriffen stehenden T\u00e4tergruppierungen sind in der Regel arbeitsteilig organisiert und haben unterschiedliche Aufgaben und Zust\u00e4ndigkeiten. Sie agieren international und sind technisch hochversiert. Sie nutzen VPN-Dienste, versteckte Netzwerke, verschl\u00fcsselte Kommunikation und Kryptow\u00e4hrungen, um ihre Identit\u00e4t und ihren Standort zu verschleiern. Dabei greifen sie gezielt Unternehmen und Institutionen mit Sicherheitsl\u00fccken in den IT-Systemen an \u2013 unabh\u00e4ngig von Land, Branche oder Gr\u00f6sse. Das f\u00fchrt dazu, dass ein und dieselbe Gruppierung f\u00fcr eine Vielzahl von Angriffen in verschiedenen L\u00e4ndern verantwortlich ist. Diese bedient sich Servern, Kommunikationsdiensten und Kryptow\u00e4hrungsb\u00f6rsen, die ebenfalls \u00fcber verschiedene Staaten verteilt sind.<\/p>\n
Um die T\u00e4ter zu identifizieren und Beweise zu sichern, sind Daten und Informationen aus unterschiedlichen L\u00e4ndern und Rechtsordnungen notwendig. Da Schweizer Beh\u00f6rden im Ausland keine Ermittlungen durchf\u00fchren d\u00fcrfen, m\u00fcssen sie auf den internationalen Rechtshilfeweg zur\u00fcckgreifen. Dieser ist oft zu langwierig, da entscheidende Daten wie Logfiles nach einer gewissen Zeit automatisch \u00fcberschrieben oder gel\u00f6scht werden. Deshalb ist eine enge und funktionierende internationale Zusammenarbeit sowohl auf polizeilicher als auch auf justizieller Ebene unverzichtbar \u2013 etwa durch die Bildung internationaler Taskforces und Joint-Investigation-Teams. Nur so k\u00f6nnen Informationen und Beweismittel rasch gesichert und zeitgleiche Verhaftungen und Durchsuchungen in verschiedenen L\u00e4ndern koordiniert und durchgef\u00fchrt werden.<\/p>\n
Ransomware-Strafverfahren sind besonders komplex. Sie erfordern, dass regelm\u00e4ssig umfangreiche Datenbest\u00e4nde gesichert, analysiert und dokumentiert werden. Die eingesetzte Schadsoftware muss technisch analysiert werden, um ihre Funktionsweise herauszufinden \u2013 sogenanntes Reverse Engineering. Zudem m\u00fcssen komplexe \u00dcberwachungsmassnahmen sowie Analysen von Kryptow\u00e4hrungstransaktionen durchgef\u00fchrt werden. Die erfolgreiche Verfolgung von Ransomware-Angriffen setzt daher neben einer funktionierenden internationalen Kooperation auch gen\u00fcgend Fachpersonal bei den Strafverfolgungsbeh\u00f6rden voraus. Ebenso wichtig ist eine enge interdisziplin\u00e4re Zusammenarbeit zwischen Staatsanwaltschaft, Ermittlern und IT-Forensikerinnen.<\/p>\n
Im Kanton Z\u00fcrich ist die Staatsanwaltschaft II f\u00fcr die Verfolgung von Ransomware-F\u00e4llen zust\u00e4ndig. Seit 2019 f\u00fchrt sie in enger Zusammenarbeit mit der Kantonspolizei Z\u00fcrich erfolgreich diverse Sammelverfahren gegen internationale T\u00e4tergruppen: Alle Schweizer F\u00e4lle, die dieselbe Gruppierung betreffen, werden in einem Verfahren zusammengef\u00fchrt.<\/p>\n
Eine dieser Ermittlungen richtete sich gegen eine Gruppierung, die mit den Schadprogrammen LockerGoga, Megacortex und Nefilim weltweit \u00fcber 1800 Unternehmen in 71 L\u00e4ndern angegriffen haben soll. Der Schaden bel\u00e4uft sich global auf mehrere Hundert Millionen Franken. Im Oktober 2021 gelang es, im Rahmen einer international koordinierten Aktion[1]<\/a> insgesamt zw\u00f6lf mutmassliche Mitglieder dieser Gruppierung zu verhaften \u2013 darunter auch ein in der Schweiz wohnhafter Ukrainer. Die Staatsanwaltschaft II des Kantons Z\u00fcrich hat das Strafverfahren gegen ihn Ende Juli 2025 mit der Anklageerhebung beim Bezirksgericht Z\u00fcrich abgeschlossen. Dem Mann wird vorgeworfen, massgeblich an der Entwicklung der genannten Schadsoftwares beteiligt gewesen zu sein und von der Schweiz aus an Ransomware-Angriffen auf knapp ein Dutzend Unternehmen im In- und Ausland mitgewirkt zu haben.<\/p>\n Auch wenn den Strafverfolgungsbeh\u00f6rden immer wieder wichtige Erfolge im Kampf gegen Cyberkriminelle gelingen, bleibt die Bedrohung durch Ransomware bestehen. Unternehmen und Institutionen sollten daher in ihre IT-Sicherheit investieren und ihre Mitarbeitenden sensibilisieren \u2013 insbesondere f\u00fcr das Erkennen verd\u00e4chtiger Dateianh\u00e4nge und Links in E-Mails. Kommt es dennoch zu einem Angriff, gilt: kein L\u00f6segeld bezahlen, sondern sofort Anzeige bei der Polizei erstatten.<\/p>\n