Emotet: Mutmaßlicher Admin ist Schlüsselfigur für das BKA

Am 26. Januar 2021 stürmten Polizisten in der ukrainischen Stadt Charkiw einen Plattenbau. Aus seiner Wohnung heraus soll ein 48-Jähriger die Server der Schadsoftware Emotet gewartet haben, die weltweit für Millionenschäden verantwortlich ist. Der Bayerische Rundfunk (BR) und das Medium Zeit konnten Kontakt zu dem Ukrainer aufnehmen.

Über seinen Anwalt bestreitet er die Vorwürfe der Ermittler. "Die haben gesagt, dass von den Servern eine gefährliche Erpressungssoftware gesteuert wird. Das wusste ich einfach nicht." Er habe für ein paar Stammkunden Server gewartet, für 40 bis 80 US-Dollar im Monat pro Maschine, erklärt der Mann, dem die Journalisten in ihrem Artikel den Namen Petro Ponomarenko gegeben haben. Auch Software will er für seine Kunden installiert oder Daten von einem Gerät auf ein anderes übertragen haben.

Seine Wohnung und seine Rechner wirken auf Fotos der Polizei alt und heruntergekommen. Sie passen nicht zu dem Multi-Millionen-Dollar-Geschäft mit der Schadsoftware Emotet. Die Rechner habe er auf dem Flohmarkt gekauft, sagte Ponomarenko den Journalisten von BR und Zeit. Das Geld, das er mit ihnen verdiene, benötige er für die Behandlung seine herzkranken Kindes.

Konto in Forum für Cyberkriminalität

BR und Zeit graben weiter. Sie suchen in den sozialen Medien, finden Fotos von Ponomarenko mit Locken und Sonnenbrille. Er verbrachte viel Zeit in einem russischsprachigen Linux-Forum und erstellte in seiner Freizeit Level für das Computerspiel Doom II. Der studierte Computertechniker bot seine Dienste als Admin in Internetforen an.

Doch auch in einem russischsprachigen Forum für Cyberkriminalität finden die Journalisten ein Konto, das mit einer von Ponomarenkos E-Mail-Adressen registriert wurde. Dort bieten Programmierer und Hacker ihre Dienste für Straftaten feil: Crime-as-a-service.

Ponomarenkos Anwalt spricht von "Seiten für Spezialisten", wo Meinungen ausgetauscht und Kontakte geknüpft würden. Sein Mandant habe keine kriminelle Ausrichtung.

Coup für das BKA

Das BKA möchte sich zu den laufenden Ermittlungen nicht äußern, geht aber davon aus, dass die Kriminellen hinter Emotet Ponomarenko für die Instandhaltung ihres Botnetzes angeworben haben. Seine Anweisungen soll er von einer Person aus Russland entgegengenommen und mutmaßlich direkt mit der Kerngruppe hinter Emotet kommuniziert haben. Damit bleibt allerdings weiter unklar, wer Emotet entwickelt und große Summen damit verdient hat.

"Wir haben es mit absoluten Profis zu tun, die letzten Endes auch durch die Dauer, in der sie dieses Botnetz aufrechterhalten und vor den Strafverfolgungsbehörden zunächst geheim halten konnten, nochmal unterstrichen haben, mit welcher Akribie und Professionalität sie da eigentlich vorgegangen sind", sagte Linda Bertram, Staatsanwältin der Zentralstelle für die Bekämpfung der Internetkriminalität (ZIT), dem BR.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Für das BKA ist die Übernahme der Emotet-Server und die Festnahme von Ponomarenko im Januar ein Coup. Für sie ist er eine Schlüsselfigur, die sie zu den Hintergründen von Emotet befragen können. Entsprechend lange hat allein das erste Verhör gedauert. Fünf Stunden, sagt Ponomarenko. Er sei nach den Servern und wer Zugriff auf diese habe, gefragt worden, wer ihn beauftragt und wer die Steuerungssoftware für das Botnetz programmiert habe.

Zehntausende Emotet-Betroffene allein in Deutschland

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht allein in Deutschland von mehreren Zehntausenden Emotet-Betroffenen aus. Darunter waren Firmen, aber auch etliche Behörden, wie das Kammergericht in Berlin. BSI-Präsident Arne Schönbohm nannte Emotet im Jahr 2019 gar den "König der Schadsoftware".

Auf den beschlagnahmten Servern fanden sich auch 4,3 Millionen Zugangsdaten zu E-Mail-Konten. Diese gab das FBI an den Dienst Have I Been Pwned (HIBP) weiter. Dort kann überprüft werden, ob man zu den Betroffenen zählt.