BKA jagt REvil-Anführer nach 130 Angriffen auf deutsche Ziele
7 Min. Lesezeit
Das BKA hat Ende April 2026 den mutmaßlichen Anführer der REvil-Gruppe identifiziert und ein internationales Haftbefehlsersuchen eingeleitet. 130 dokumentierte Angriffe auf deutsche Ziele, Schäden von mindestens 35 Millionen Euro in Deutschland allein. Und trotzdem: die strukturellen Hindernisse für eine erfolgreiche Strafverfolgung bei Ransomware bleiben weitgehend unverändert – und das ist die eigentlich wichtige Meldung.
Das Wichtigste in Kürze
- BKA identifiziert REvil-Anführer. Bundesermittler haben den mutmaßlichen Hauptoperator der REvil-Ransomware-Gruppe identifiziert. Haftbefehl beantragt, Auslieferungsersuchen an Drittstaaten gestellt.
- 130 Angriffe auf deutsche Ziele, 35 Mio. EUR Schaden. REvil hat zwischen 2020 und 2024 mindestens 130 dokumentierte Angriffe auf deutsche Unternehmen und Behörden durchgeführt. Der direkte wirtschaftliche Schaden in Deutschland wird auf mindestens 35 Millionen Euro geschätzt.
- Strafverfolgung bleibt strukturell schwierig. Identifizierung ist nicht Verhaftung. REvil-Führungspersonen operieren typischerweise aus Ländern ohne Auslieferungsabkommen. Die Strafverfolgungs-Symbolik ist wertvoll – die praktische Abschreckung begrenzt.
- Für Sicherheitsteams ändert sich operativ nichts. Die Attribution löst keine bestehenden Schwachstellen. Ransomware-Gruppen sind modular – fällt eine Führungsperson, übernehmen Affiliates und Splittergruppen weiter.
Was ist REvil? REvil (auch Sodinokibi) ist eine russischsprachige Ransomware-as-a-Service-Gruppe, die seit 2019 aktiv ist. Das Geschäftsmodell: Kerntechnik und Infrastruktur werden von einem Kernteam bereitgestellt, Angriffe führen Affiliates durch die einen Anteil des Lösegelds erhalten. REvil ist verantwortlich für einige der spektakulärsten Ransomware-Fälle der letzten Jahre – darunter die Kaseya VSA-Attacke 2021 die tausende Managed-Service-Provider weltweit betraf.
Verwandt: SecurityToday: Trellix Quellcode-Breach – Was Vendor-Due-Diligence für Security-Tools bedeutet
Der BKA-Fall im Detail
Die BKA-Ermittlungen liefen nach Informationen aus der Behörde seit über zwei Jahren parallel zu Ermittlungen der US-amerikanischen FBI und Europol. Die Identifizierung des mutmaßlichen Anführers erfolgte über eine Kombination aus Kryptowährungs-Blockchain-Analyse, infiltrierten Affiliate-Netzwerken und traditioneller Informationsgewinnung aus dem Darknet.
Der entscheidende operative Durchbruch kam laut BKA über Kryptowährungs-Transaktionen. REvil-Lösegelder wurden zwar über Mixer und Tauschbörsen bewegt, hinterließen aber Spuren die über mehrere Jahre nachverfolgbar waren. Blockchain-Forensik-Unternehmen wie Chainalysis haben diese Analyse unterstützt – eine mittlerweile Standardmethode in Ransomware-Ermittlungen.
Was jetzt folgt: Das BKA hat Haftbefehle beantragt. Auslieferungsersuchen gehen an mehrere Länder. Das Problem: REvil-Führungspersonen befinden sich mutmaßlich in Russland oder Ländern ohne belastbares Auslieferungsabkommen mit Deutschland oder der EU. Die Identifizierung ist ein Ermittlungserfolg – eine Verhaftung und ein Prozess sind eine andere Frage.
Warum Strafverfolgung bei Ransomware strukturell an Grenzen stößt
Der BKA-Fall illustriert ein Grundproblem. Ransomware-Operatoren wählen ihren Aufenthaltsort nicht zufällig. Russland, Belarus, Iran, Nordkorea – die Länder aus denen die aktivsten Ransomware-Gruppen operieren, haben mit westlichen Strafverfolgungsbehörden entweder keine Auslieferungsabkommen oder aktiv feindliche Beziehungen.
Selbst wenn eine Identifizierung gelingt: Attribution ist keine Abschreckung. REvil hat nach internen Konflikten 2022 und Druck durch US-Behörden mehrfach „aufgehört“ und unter neuen Namen weitergemacht. Das Ransomware-Ökosystem ist modular. Affiliates migrieren zu anderen Gruppen. Infrastruktur wird neu aufgebaut. Eine einzelne Verhaftung – wenn sie denn gelänge – würde den Betrieb verlangsamen, nicht stoppen.
Das BSI beschreibt in seinen Lageberichten konsistent: Ransomware ist die Bedrohungsform mit dem höchsten wirtschaftlichen Schadenspotenzial für deutsche Unternehmen. Und gleichzeitig ist es die Bedrohungsform bei der Strafverfolgung am wenigsten als Abschreckung wirkt – weil Täter außerhalb der Reichweite bleiben.
Was Sicherheitsteams aus dem Fall mitnehmen
Für CISO und Sicherheitsteams in deutschen Unternehmen ist der BKA-Erfolg aus operativer Sicht neutral. Die Bedrohung durch REvil-Affiliates und Nachfolgegruppen bleibt. Was sich ableiten lässt:
Blockchain-Forensik ist ein reifer Ermittlungsansatz. Wer Lösegelder zahlt, hinterlässt eine Spur – das ist kein Argument gegen Zahlung in Notfallsituationen, aber ein Argument für die Dokumentation von Transaktionen. Behörden nutzen diese Daten für spätere Strafverfolgung und Sanktionsprüfungen.
Affiliate-Netzwerke bleiben die eigentliche Angriffsinfrastruktur. REvil-Führungspersonen entwerfen Tools und Taktiken. Angriffe führen Affiliates durch die für jeden Angriff separat entschieden werden. Eine geschwächte Kerngruppe bedeutet nicht weniger Angriffe.
Incident-Response-Planung bleibt primäre Schutzmaßnahme. Backup-Strategie, Netzwerksegmentierung, EDR-Coverage, Offline-Backups – das sind die Hebel die ein Sicherheitsteam kontrolliert. Strafverfolgungserfolge sind kein Ersatz dafür.
Quellen: BKA Pressemitteilung April 2026, BSI Lagebericht 2025, Europol Joint Investigation Team Ransomware.
Häufige Fragen
Wie realistisch ist eine Verhaftung des identifizierten REvil-Anführers?
Sehr niedrig, solange die Person in einem Land ohne Auslieferungsabkommen mit Deutschland oder der EU bleibt. Das BKA kann Haftbefehle beantragen und Interpol-Red-Notices ausstellen. Praktisch wirksam wird das erst wenn die Person ein Land betritt das Auslieferungsverfahren einleitet – was bei Russland-basierten Ransomware-Operatoren historisch kaum vorkommt. Der symbolische Wert der Attribution überwiegt den operativen.
Ist REvil nach dem BKA-Erfolg als Bedrohung abgeschwächt?
Nicht operativ. REvil hat seit 2022 mehrfach als Gruppe „aufgehört“ und ist unter neuen Bezeichnungen oder als Splittergruppen weitergelaufen. Das Affiliate-Modell bedeutet dass Angriffe weiterlaufen auch wenn die Kerngruppe geschwächt ist. Sicherheitsteams sollten keine verringerte Bedrohungslage einkalkulieren.
Was bedeutet die Kryptowährungs-Forensik für Unternehmen die Lösegeld gezahlt haben?
Lösegeld-Transaktionen werden von Behörden nachverfolgt und können bei Sanktionsprüfungen relevant werden – besonders wenn der Empfänger später als sanktionierte Person oder Gruppe eingestuft wird. Unternehmen die Lösegeld gezahlt haben, sollten Transaktionen dokumentieren und Rechtsberatung zu möglichen Sanktionsrisiken einholen. Das OFAC (US-Finanzministerium) hat explizite Leitlinien für Ransomware-Zahlungen an sanktionierte Gruppen veröffentlicht.
Wie unterscheiden sich REvil-Nachfolgegruppen von der Ursprungsorganisation?
REvil-Ableger und Nachfolger wie BlackMatter und ALPHV/BlackCat übernehmen technische Methoden und Affiliate-Strukturen, operieren aber unabhängig. Die Kernunterschiede: andere Verschlüsselungstools, andere Infrastruktur-Hosting-Strategien und andere Verhandlungsmethoden mit Opfern. Das BSI und CISA veröffentlichen aktuelle Informationen zu bekannten REvil-Nachfolgern in ihren regelmäßigen Lageberichten.
Was können KRITIS-Betreiber konkret aus dem Fall lernen?
Drei Lektionen: Erstens, Strafverfolgung schützt nicht prospektiv – die eigene Abwehr muss funktionieren unabhängig davon ob Täter verhaftet werden. Zweitens, Blockchain-Forensik bedeutet dass Lösegeldzahlungen dauerhaft nachverfolgbar sind – das hat rechtliche Implikationen bei späteren Sanktionsprüfungen. Drittens, Affiliate-Strukturen bedeuten dass der Wegfall eines Kernakteurs keine sofortige Schutzwirkung hat. Incident-Response-Planung und offline Backup-Strategien bleiben die wirksamsten Maßnahmen.
Quelle Titelbild: Pexels / Fatih Kopcal (px:32933039)
