Der Trojaner Emotet galt bis zu seiner Stilllegung durch die Polizei im Januar 2021 als gefährlichste Schadsoftware weltweit. Neben Computern von Privatpersonen infizierte er die IT-Systeme zahlreicher Unternehmen, Behörden und Institutionen, darunter war das Klinikum Fürth, das Kammergericht Berlin, die Bundesanstalt für Immobilienaufgaben und die Stadt Frankfurt am Main. Im Januar 2021 konnte das Bundeskriminalamt BKA, das auch für die Verfolgung von Straftaten im Internet zuständig ist, im Rahmen einer international konzertierten Aktion die Infrastruktur der Schadsoftware zerschlagen.
Die Aufklärung von Cyberkriminalität birgt besondere Herausforderungen. Internetkriminelle können theoretisch von jedem Land der Welt aus ihre Straftaten verüben. Zudem arbeiten sie unter dem Schutzmantel der Anonymität und oft in klandestinen Netzwerken. Wie es dennoch gelingen kann, zumindest die Infrastruktur solcher Netzwerke zu zerschlagen, zeigt der Erfolg gegen Emotet.
Das BKA hatte schon seit 2018 gegen die kriminelle Gruppe ermittelt. Emotet war ein sogenannter „Downloader“. Er konnte unbemerkt ein Opfersystem infizieren und weitere Schadsoftware nachladen. Damit konnte er das Online-Banking manipulieren gespeicherte Passwörtern ausspähen oder das System verschlüsseln, um es dann gegen die Zahlung eines Lösegelds wieder freizugeben, Es fungierte also zugleich als Trojaner, Virus wie auch als Ransonmware für Erpressungen.
Und es war ein Geschäftsmodell: Die Nutzung wurde anderen Kriminellen gegen Entgelt angeboten, das BKA sprach von „Malware-as-a-Service“. Es bot weiteren Kriminellen die Grundlage für zielgerichtete Cyber-Angriffe. Alleine in Deutschland wurde durch Infektionen mit der Malware Emotet oder durch nachgeladene Schadsoftware ein Schaden in Höhe von mindestens 14,5 Millionen Euro verursacht.
Zweieinhalb Jahre hatte das BKA gegen die kriminelle Gruppe ermittelt. In Deutschland konnte es diejenigen Server identifizieren, mit denen die Schadsoftware verteilt und die Opfersysteme gesteuert wurden. Dann wurden weitere Server in mehreren europäischen Staaten identifiziert. Im Rahmen der internationalen Rechtshilfe konnten weitere Daten erlangt und die Emotet-Infrastruktur durch Beamte des BKA und der internationalen Partnerdienststellen immer weiter aufgedeckt werden. Beteiligt waren Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA.
Durch die Übernahme der Kontrolle über die Emotet-Infrastruktur war es möglich, die Schadsoftware auf betroffenen deutschen Opfersystemen für die Täter unbrauchbar zu machen. Um den Tätern jegliche Möglichkeit zu nehmen, die Kontrolle zurück zu erlangen, wurden die Schadsoftware auf den Opfersystemen in Quarantäne verschoben und die Kommunikationsparameter der Schadsoftware so angepasst, dass die Opfersysteme ausschließlich zu einer zur Beweissicherung eingerichteten Infrastruktur kommunizieren können.
In der Ukraine konnte ein mutmaßlicher Administrator festgenommen werden. Er soll seine Anweisungen aus Russland erhalten haben. Allerdings streitet der Beschuldigte ab, etwas mit Emotet oder dessen Verbreitung zu tun zu haben. Wer Emotet entwickelt und damit große Summen verdient hat, bleibt weiterhin unklar.
