Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) haben am Dienstag im Rahmen einer international konzertierten Aktion mit Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA die Infrastruktur der Schadsoftware Emotet mit Unterstützung von Europol und Eurojust übernommen und zerschlagen.
Justizministerin Eva Kühne-Hörmann äußerte sich sehr erfreut über den beachtlichen Ermittlungserfolg: „Straftaten, die über das Internet begangen werden, gehören für die Strafverfolgungsbehörden zu den größten Herausforderungen unserer Zeit. Die technischen Möglichkeiten der Cyberkriminellen verbessern sich in rasender Geschwindigkeit. Dadurch steigt das Risiko der Bürgerinnen und Bürger, Opfer von Cyberdelikten zu werden. Hinzu kommt, dass das Internet keine Landesgrenzen kennt, das Recht jedoch schon. Ich bin froh, dass wir in Hessen mit der ZIT eine schlagkräftige Ermittlungseinheit haben, die über das notwendige Können und die Netzwerke verfügt, um diese Taten aufzuklären. Der bedeutende Ermittlungserfolg belegt erneut, dass die ZIT Deutschlands Vorreiter bei der Bekämpfung von Cybercrime ist.“
Nicht das erste Erfolgserlebnis für die hessischen Ermittler
„Bereits bei den erfolgreichen Ermittlungen gegen die Darknetplattform ‚Wall Street Market‘ und das Kinderpornografieportal ‚Elysium‘ haben unsere hessischen Ermittler ihr außerordentliches Können unter Beweis gestellt. Spätestens nach dieser Woche muss allen Cyberkriminellen klar sein, dass ihre Taten nicht ungesühnt bleiben. Den Staatsanwältinnen und Staatsanwälten der ZIT spreche ich großes Lob und höchste Anerkennung aus“, so Eva Kühne-Hörmann.
Sie wies in diesem Zusammenhang auch auf bestehende Schutzlücken im Strafgesetzbuch hin: „Trotz des Erfolges ist in diesem Bereich der Cyberdelikte ein Nachsteuern des Bundesgesetzgebers erforderlich. Derzeit ist beispielsweise ein strafbares Ausspähen von Daten nur dann gegeben, wenn die Täter bestehende und wirksame technische Sicherungen auf den angegriffenen Computern überwinden. Spähen sie hingegen Daten auf bereits durch Schadsoftware wie Emotet infizierten und damit ungeschützten IT-Systemen aus, ist dies für sich genommen derzeit nicht strafbar.“
Dazu ergänzte die Justizministerin: „Was wir für einen wirkungsvollen strafrechtlichen Schutz der Vertraulichkeit und Integrität von IT-Systemen brauchen, ist eine Strafnorm, die ohne zusätzliche Hürden den unbefugten Gebrauch solcher Systeme bestraft. Um die bestehenden strafrechtlichen Schutzlücken zu schließen, hat der Bundesrat bereits vor geraumer Zeit den hessischen Gesetzentwurf zur Strafbarkeit der heimlichen Infiltration von IT-Systemen, also des digitalen Hausfriedensbruchs, beschlossen. Eine Umsetzung der hessischen Initiative durch das innerhalb der Bundesregierung zuständige Bundesjustizministerium ist jedoch bislang nicht erfolgt.“
Zum Hintergrund
Emotet galt als derzeit gefährlichste Schadsoftware weltweit und hat auch in Deutschland neben Computern zehntausender Privatpersonen eine hohe Anzahl von IT-Systemen von Unternehmen, Behörden und Institutionen infiziert, wie beispielsweise die des Klinikums Fürth, des Kammergerichts Berlin, der Bundesanstalt für Immobilienaufgaben (BImA) oder der Stadt Frankfurt am Main. Auch die Universität Gießen war betroffen. Emotet besaß als sogenannter „Downloader“ die Funktion, unbemerkt ein Opfersystem zu infizieren und weitere Schadsoftware nachzuladen, etwa zur Manipulation des Online-Bankings, zum Ausspähen von gespeicherten Passwörtern oder zur Verschlüsselung des Systems für Erpressungen. Die Nutzung dieses durch die Täter geschaffenen „Botnetzes“ wurde zusammen mit der Nachladefunktion von beliebiger Schadsoftware in der „Underground Economy“ gegen Entgelt angeboten. Deshalb kann das kriminelle Geschäftsmodell von Emotet als „Malware-as-a-Service“ bezeichnet werden. Es bot weiteren Kriminellen die Grundlage für zielgerichtete Cyber-Angriffe. Alleine in Deutschland ist durch Infektionen mit der Malware Emotet oder durch nachgeladene Schadsoftware ein Schaden in Höhe von mindestens 14,5 Millionen Euro verursacht worden.