Im Mai 2025 gaben moldawische Strafverfolgungsbehörden bekannt, dass sie einen 45-jährigen Ausländer festgenommen haben, der im Verdacht steht, an einer Serie von massiv angelegten Ransomware-Angriffen beteiligt gewesen zu sein. Besonders im Fokus steht ein Angriff aus dem Jahr 2021 gegen die Niederlande, bei dem die Abteilung für Wissenschaftliche Forschung des Landes, die Netherlands Organization for Scientific Research (NWO), erheblich geschädigt wurde. Der verursachte Schaden wird auf rund 4,5 Millionen Euro beziffert. Dieses Ereignis unterstreicht die zunehmend internationale Dimension moderner Cyberkriminalität und die Dringlichkeit internationaler Kooperationen zum Schutz kritischer Infrastrukturen. Die Festnahme erfolgte nach einer gezielten Durchsuchung der Wohnstätte des Beschuldigten in Moldawien.
Die Behörden beschlagnahmten bei dem Einsatz Bargeld in Höhe von über 84.000 Euro, mehrere elektronische Geräte wie Laptops, ein Tablet, ein Mobiltelefon, Speichergeräte sowie mehrere Bankkarten. Die Gegenstände dienten vermutlich als Beweismittel zur Aufklärung der Cyberverbrechen, die neben Ransomware-Attacken auch Erpressung und Geldwäsche umfassen. Eine offizielle Bekanntgabe des Namens des Verdächtigen blieb bislang aus. Der Angriff auf die niederländische Forschungseinrichtung wurde im Februar 2021 durchgeführt und war nicht nur finanziell folgenschwer, sondern hatte auch einen immateriellen Schaden durch die Offenlegung sensibler interner Dokumente zur Folge.
Die Täter zwangen die Organisation mittels Verschlüsselung zahlreicher Netzwerkseiten in die Knie und entwendeten vertrauliche Dateien. Da sich die NWO auf Grund ihrer Prinzipien weigerte, das geforderte Lösegeld zu zahlen, veröffentlichten die Angreifer einen Teil der gestohlenen Daten öffentlich. Die Psychologie hinter solchen Ransomware-Attacken zielt häufig darauf ab, Unternehmen durch Datenverlust und Imageschäden zur Zahlung zu erpressen. Die Tätergruppe konnte der berüchtigten Ransomware-Familie namens DoppelPaymer zugeordnet werden. Diese Schadsoftware tauchte erstmals Mitte 2019 auf und weist zahlreiche technische und strukturelle Ähnlichkeiten zum BitPaymer-Ransomware-Code auf.
Dazu gehören vergleichbare Verschlüsselungsmethoden, Lösegeldforderungen und Zahlungsmodalitäten. DoppelPaymer wurde im Laufe der letzten Jahre für eine Vielzahl hochgradig koordinierter Cyberangriffe auf Unternehmen in verschiedenen Ländern verantwortlich gemacht und gilt als eine der rücksichtslosesten und technisch versiertesten kriminellen Gruppen im Bereich der Cybererpressung. Bereits im März 2023 hatten deutsche und ukrainische Behörden koordinierte Maßnahmen gegen mutmaßliche Kernmitglieder dieser Gruppe eingeleitet. Darunter befinden sich auch drei mutmaßliche Drahtzieher, gegen die internationale Haftbefehle vorliegen. Die weitreichenden Ermittlungen zeigen, wie schwierig und komplex die Jagd auf globale Cyberkriminelle ist, deren Operationsbasis sich über mehrere Staaten erstreckt und die häufig über Schattennetzwerke agieren.
Neben der reinen Strafverfolgung wirft der Fall wichtige Fragen zur Cyberabwehr und zum Schutz sensibler Forschungsdaten auf. Forschungseinrichtungen sind zunehmend Zielscheiben von Cyberangriffen, da sie über wertvolles Know-how verfügen und oft als schwächer in puncto IT-Sicherheit gelten als kommerzielle Großunternehmen. Der Angriff auf die NWO verdeutlicht, wie essenziell es ist, Investitionen in Cybersicherheit zu erhöhen und gleichzeitig Strategien zur Risikominimierung zu entwickeln. Innovative Präventionsmaßnahmen und eine engere Zusammenarbeit auf nationaler und internationaler Ebene könnten helfen, solche kriminellen Aktivitäten zu unterbinden. Die Erkenntnisse aus diesem Fall unterstreichen die Notwendigkeit eines ganzheitlichen Schutzansatzes.
Das umfasst die technische Absicherung der Netzwerke, ein effektives Krisenmanagement sowie Sensibilisierung und Schulung aller Beteiligten. Zudem gewinnt die Verfolgung von Cyberkriminalität durch die Strafverfolgungsbehörden an Bedeutung. Die Festnahme in Moldawien ist ein wichtiger Erfolgsschritt, der hoffentlich Signalwirkung für andere Tätergruppen hat und zeigt, dass internationale Kooperationen Früchte tragen. Gleichzeitig bleibt die Herausforderung bestehen, mit der sich fortwährend weiterentwickelnden Technologie Schritt zu halten und rechtliche Rahmenbedingungen zu schaffen, die entsprechende Sanktionen ermöglichen und abschreckend wirken. Die Ransomware-Attacke auf die niederländische Forschungsagentur hat weitreichende Auswirkungen gezeigt.
Der entstandene Schaden von 4,5 Millionen Euro ist nur die Spitze des Eisbergs. Die Veröffentlichung vertraulicher Dokumente kann das Vertrauen in die betroffene Institution beeinträchtigen und wichtige Forschungsprojekte gefährden. Langfristig kann das die Innovationskraft eines Landes schwächen. Daher bleibt es unerlässlich, dass Forschungsinstitutionen ihre Sicherheitsarchitektur laufend überprüfen und anpassen. Auch die Öffentlichkeit gewinnt durch die Berichterstattung um solche Vorfälle ein erhöhtes Bewusstsein für die Risiken der digitalen Vernetzung.
