Eingeschleuste Erpresser-Programme (Ransomware) drängen Firmen, Lösegeld zu zahlen. dpa/Frank Rumpenhorst

In Online-Netzwerken protzte der Mann als Händler von Kryptowährungen mit seinem Luxus-Lebensstil, etwa mit teuren Sportwagen, Designerkleidung und Luxusreisen.

Jetzt haben Strafverfolger des Landeskriminalamts Baden-Württemberg laut Informationen des Bayerischen Rundfunks (BR) und von Zeit Online einen mutmaßlichen Drahtzieher hinter der Schadsoftware REvil ermittelt. Bei der Software handelt es sich um eines der berüchtigtsten Programme für Ransomware-Angriffe. REvil ist vor allem in der Wirtschaft für Schäden in Milliardenhöhe verantwortlich. In Deutschland seien unter anderem das Staatstheater Stuttgart, mehrere mittelständische Unternehmen und auch Krankenhäuser davon betroffen.

Russe protzte im Internet mit Luxus-Lifestyle

Bei Ransomware – auch als Erpressungstrojaner bekannt – handelt es sich um eingeschleuste Software, die Computer und andere Systeme blockiert. Anschließend werden die Betreiber erpresst, damit die Systeme wieder freigeschaltet werden. In dem Begriff steckt das englische Wort für Lösegeld („ransom“).

Bei dem Tatverdächtigen Nikolay K. soll es sich um einen russischen Staatsbürger handeln, der in einer Großstadt im Süden des Landes lebt. Er soll nach Ansicht der Ermittler „zweifelsfrei“ der Kerngruppe von REvil und deren mutmaßlichem Vorgänger Gandcrab angehören.

Die Gruppe vermietet ihre Erpressersoftware an andere Kriminelle und kassiert dafür Gebühren – „Ransomware as a service“ heißt das Geschäftsmodell. Reporter des BR und von Zeit Online hätten Anhaltspunkte dafür gefunden, dass der Verdächtige Geld erhalten habe, das direkt aus Ransomware-Fällen stammen soll.

Bitcoin auf Konten von Nikolay K. eingezahlt

Der Name, den K. in sozialen Netzwerken benutzt, lasse sich googeln und führe zu einer E-Mail-Adresse, mit der mehrere Websites registriert wurden. Mit diesen wiederum seien verschiedene russische Handynummern verknüpft, von denen eine zu einem Telegram-Account führt, auf dem eine Bitcoin-Adresse veröffentlicht wurde. Bitcoins im Wert von mehr als 400.000 Euro wurden darauf eingezahlt.

Weder die ermittelnden Behörden – das Bundeskriminalamt und das Landeskriminalamt Baden-Württemberg – noch die Staatsanwaltschaft Stuttgart wollten sich auf Nachfrage der Medien dazu äußern. Auch der Tatverdächtige habe nicht auf Anfragen reagiert.

Solange er sich in Russland aufhält, könne er allerdings nicht von deutschen Strafverfolgern festgenommen werden.