Ransomware-Banden setzen auf KI und das Darknet, um kritische Infrastruktur zu treffen. Warum die Ermittler in Koblenz nicht nur auf Strafanzeigen reagieren, sondern proaktiv auf Spurensuche gehen.
Im Kampf gegen Computerkriminalität sind im vergangenen Jahr deutlich weniger Ermittlungsverfahren an der Landeszentralstelle Cybercrime (LZC) bei der Generalstaatsanwaltschaft Koblenz bearbeitet worden. Während im Jahr 2023 noch 2.439 Ermittlungsverfahren gegen bekannte Beschuldigte abgeschlossen wurden, waren es im Jahr 2024 rund 1.650 und im Jahr 2025 dagegen nur 371, wie der Leiter der LZC, Oberstaatsanwalt Jörg Angerer, der Deutschen Presse-Agentur mitteilte.
Weniger Verfahren - warum?
Die Gesamtzahl der bearbeiteten Verfahren dürfte jedoch deutlich höher sein, da auch «häufig» Verfahren gegen unbekannte Täter geführt werden, wie Angerer weiter sagte. «Die deutlichen Unterschiede in den Eingangszahlen resultieren daraus, dass nach Abschluss eines größeren Verfahrenskomplexes üblicherweise eine große Zahl von Folgeverfahren anfallen, die abgearbeitet werden müssen», erklärte Angerer. Gibt es in einem Jahr keinen größeren Komplex, ist die Zahl der Verfahren demnach insgesamt geringer.
Zudem war die Stelle 2025 nicht voll besetzt und konnte daher weniger Verfahren bearbeiten, wie Angerer ausführte.
In der LZC sei man bei Cyber-Attacken nur in Verfahren mit besonderer Bedeutung befasst: Das sei etwa dann der Fall, wenn Unternehmen oder Behörden betroffen seien, die zu den «kritischen Infrastrukturen» (Kritis) gehörten und so als besonders schützenswert gelten würden. Zu «Kritis» zählen beispielsweise Krankenhäuser oder Energieunternehmen.
Ransomware-Angriffe
Bei den Verfahren handele es sich vor allem um Ransomware-Attacken. Bei einem Ransomware-Angriff («ransom», Englisch für Lösegeld) verschlüsseln die Täter die Daten ihrer Opfer und versuchen, ein Lösegeld zu erpressen. Häufig drohen die Hacker auch mit der Veröffentlichung von vertraulichen Daten im Netz, die zuvor bei dem Angriff erbeutet wurden.
Angerer zufolge veröffentlichen Ransomware-Gruppierungen erfolgreich durchgeführte Angriffe oft im Internet auf eigenen Leak-Portalen, also ihren Enthüllungsseiten. «Auf diesen Portalen bieten sie auch die erlangten Daten zum Verkauf an oder veröffentlichen diese», sagte der Experte. Diese Blogs seien meist im Darknet zu finden.
Herausforderungen in der Strafverfolgung von Cybercrime-Delikten seien die Auswertung von Massendaten, die zunehmende Verschlüsselung von Kommunikation und die Verwendung von KI durch die Täter, so Angerer. Das erfordere mehr Zeit und mehr Personal. «Die Auswertung der sichergestellten Daten wird in naher Zukunft ohne KI-Unterstützung nicht mehr möglich sein», sagte der LZC-Leiter.
Kriminelle Akteure
Staatliche und terroristische Angriffe fallen nicht in die Zuständigkeit der LZC. Doch die Trennung sei nicht immer leicht, sagte Angerer. «Da kriminelle, staatliche und terroristische Cyber-Angriffe jedoch im Wesentlichen identisch ablaufen, ist häufig nicht klar erkennbar, wer hinter dem jeweiligen Angriff steht», sagte er. Noch schwieriger wird es demnach, da einige Akteure sowohl kriminell aktiv sind, als auch eine gewisse Nähe zu bestimmten Staaten aufweisen. «Überschneidungen in der Motivation sind daher nicht unüblich», sagte der Experte.
Ein wesentlicher Unterschied zu lokalen Staatsanwaltschaften: Die LZC agiert in der Regel nicht reaktiv, sondern proaktiv. Was bedeutet, dass sie nicht nur auf Strafanzeigen reagiert, sondern aktiv geeignete Ziele wie etwa kriminelle Foren sucht und Verfahren gegen die Betreiber einleitet, wie Angerer ausführte. Grund sei, dass derartige Foren meist nicht angezeigt würden, weil es keine Geschädigten gebe.
© dpa-infocom, dpa:260418-930-960452/1
Copyright 2026, dpa (www.dpa.de). Alle Rechte vorbehalten
