Verfahren eingestellt : Warum Cyberangriffe selten aufgeklärt werden
Stand:
Beim Hackerangriff auf die Südwestfalen IT 2023 wurden tausende Computer in vielen Rathäusern lahmgelegt. Nichts ging mehr in vielen Behörden. Trotz umfangreicher Ermittlungen hat die zuständige Schwerpunktstaatsanwaltschaft keine Hoffnung mehr, noch an die Täter zu kommen. Was macht das Ganze in solchen Fällen so schwierig? Wir haben mit einem der Ermittler gesprochen.
Seit 2018 ist Christoph Hebbecker Staatsanwalt bei der Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen in Köln. Hier wurde auch versucht herauszubekommen, wer hinter dem Hackerangriff vor zweieinhalb Jahren auf die Südwestfalen IT steckte. Für diesen Job brauche man schon eine gewisse "Frustrationstoleranz", sagt Hebbecker. Denn trotz des fast 50-köpfigen Teams gelinge es häufig nicht, die Täter zu fassen.
Die Kriminalität verlagere sich immer mehr aus der analogen Welt in die digitale Welt, meint der Kölner Staatsanwalt. Deswegen gehe es den Ermittlern natürlich einerseits darum, die Taten aufzuklären. Ihnen ist aber auch wichtig, vor den Risiken zu warnen, damit es den Tätern möglichst schwer gemacht wird, mit ihren Hackerangriffen Erfolg zu haben.
An welcher Stelle waren die Ermittler im Fall der Südwestfalen-IT an dem Punkt, an dem sie nicht mehr weitergekommen sind und das Verfahren deshalb eingestellt wurde?
Staatsanwalt Christoph Hebbecker
Christoph Hebbecker: Es gibt Konstellationen, in denen wir nicht nur aufklären können, was technisch tatsächlich stattgefunden hat, sondern auch in der Lage sind, konkrete Beschuldigte zu identifizieren. Zur Wahrheit gehört aber auch, dass es gerade bei diesen Ransomware-Angriffen regelmäßig vorkommt, dass wir am Ende des Tages zwar technisch nachvollziehen können, was stattgefunden hat, aber eben nicht in der Lage sind, eine konkrete Person für diesen konkreten Angriff verantwortlich zu machen. Und so war es dann auch hier.
Wie war das für Sie und die Ermittler, als das Ermittlungsverfahren eingestellt werden musste?
Hebbecker: Sie können sich vorstellen, das ist für Strafverfolger sicherlich nicht der optimale Ausgang eines solchen Ermittlungsverfahrens. Aber gerade bei solchen Verfahren, die technisch auch sehr anspruchsvoll sind, kommt es regelmäßig vor, dass wir am Ende keinen konkreten Beschuldigten identifizieren können.
Bei Ransomware-Angriffen werden die Daten auf Computern durch Schadprogramme verschlüsselt - oft, um Lösegeld zu erpressen. Was macht es so schwer, den Kriminellen auf die Spur zu kommen?
Hebbecker: Wenn man insgesamt auf die Identifizierungsquote bei den Ransomware-Verfahren schaut, stellt man fest, es ist eher die Regel, dass wir keinen konkret Beschuldigten identifizieren können. Und es kommt noch seltener vor, dass wir tatsächlich in der Lage sind, diese Beschuldigten in Deutschland, möglicherweise sogar hier in Köln, vor ein Gericht zu stellen. Das hat insbesondere damit zu tun, dass wir hier oftmals mit sehr professionell agierenden Tätern konfrontiert sind. Diese Täter gehen oft arbeitsteilig vor und wissen sehr genau, was sie da tun und was sie tun müssen, um ihre Identität zu schützen.
Gibt es noch weitere Herausforderungen?
Hebbecker: Wir stehen regelmäßig vor der Herausforderung, dass es bei diesen Verfahren internationale, sprich grenzüberschreitende Bezüge gibt. Das heißt, dass bestimmte Beweise in anderen Staaten erhoben werden müssen. Da gibt es Staaten, die kooperieren sehr gut mit uns und dann gibt es eben auch Staaten, in denen das in manchen Bereichen nicht so gut funktioniert. Dort können wir nicht selber nach Beweisen suchen, sondern sind auf die internationale Rechtshilfe angewiesen. Und wenn wir auf diesem Wege keine neuen Erkenntnisse erlangen können, kommen wir auch hier mit unseren Ermittlungen nicht weiter.
Cybercrime: Warum die Täter so schwer zu fassen sind
Aktuelle Stunde . 12.05.2026. 37:18 Min.. UT. Verfügbar bis 12.05.2028. WDR. Von Sebastian Galle.
Das dürfte für die Ermittler oft frustrierend sein. Was würden sie sich denn wünschen, damit es besser läuft? Die Zusammenarbeit mit anderen Staaten lässt sich ja nicht einfach schnell verbessern.
Hebbecker: Ja, das wäre wohl ein wünschenswerter Punkt. Aber auch wenn Prävention nicht originär zu den Aufgaben einer Strafverfolgungsbehörde gehört, sehen wir in unserer Arbeit auch einen Beitrag zur Prävention. Deswegen sprechen wir auch öffentlich darüber und machen auf dieses Phänomen aufmerksam. Damit dieses Thema auch in den Köpfen potentiell Geschädigter stattfindet. Sprich, der beste Cyberangriff ist derjenige, der im Vorfeld abgewehrt werden kann. Man wird nicht jeden Angriff abwehren können, aber man kann die Chance, dass man Geschädigter eines solchen Angriffs wird, erheblich verringern, indem man sich gut vorbereitet. Indem die IT-Infrastruktur vernünftig aufgestellt und für den Fall der Fälle vorbereitet ist.
"Es ist nicht die Frage, ob, sondern wann man angegriffen wird." Christoph Hebbecker
Wie groß ist das Problem solcher Hackerangriffe denn inzwischen?
Hebbecker: Die Fallzahlen sind deutlich gestiegen. Denn natürlich ist es auch für Kriminelle ein attraktives Feld, wenn ich auf der einen Seite enorme Gewinnmargen habe und auf der anderen Seite ein geringes Risiko, tatsächlich entdeckt zu werden. Es vergeht eigentlich keine Woche, in der wir nicht neue Angriffe verzeichnen und neue Strafanzeigen bei uns eingehen. Vor einigen Jahren waren solche Angriffe noch etwas Besonderes. Mittlerweile hat man sich schon dran gewöhnt. Das sehen wir eben auch, wenn wir uns die Bereiche anschauen, die getroffen werden.
Wer ist denn vor allem die Zielgruppe?
Hebbecker: Es gibt nicht die eine klare Zielgruppe. Wir haben Anwaltskanzleien, natürlich Unternehmen beispielsweise aus der Automobilzulieferindustrie, Krankenhäuser, öffentliche Einrichtungen, Städte und Kommunen - das geht quer durch die Bank. Nach unserer Erfahrung ist es so, dass die Täter weniger gezielt bestimmte Bereiche angreifen, sondern gezielt nach Sicherheitslücken suchen, diese ausnutzen, Systeme infiltrieren und verschlüsseln. Im Regelfall erfolgt dann nachgelagert eine Lösegeldforderung.
Sie haben schon zu Beginn gesagt, dass die Aufklärungsquote eher gering ist.
Hebbecker: Ja, so offen muss man sein. Für uns ist es immer schon ein Erfolg und so definieren wir unsere Ermittlungsziele auch, wenn wir herausfinden können, wo die Sicherheitslücke war und welche Sicherheitslücken wir perspektivisch vielleicht schließen könnnen. Und manchmal ist es dann eben so, dass wir zwar wissen, wie die Beschuldigten aussehen, dass wir teils sogar wissen, wo sie sind, aber sie sind für uns eben nicht greifbar. Auch das gehört eben dazu. Dennoch halten wir es für extrem wichtig diese Verfahren zu führen und rufen dazu auf, Angriffe anzuzeigen und mit den Strafverfolgungsbehörden zusammenzuarbeiten.
Unsere Quelle:
- WDR-Interview mit Oberstaatsanwalt Dr. Christoph Hebbecker, Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW)
Sendung: WDR Fernsehen, Aktuelle Stunde, 12.05.2026, 18:45 Uhr
