Konten der Bundesagentur in Nürnberg gehackt, Verdächtige gefasst

Im März 2025 bemerkte die Bundesagentur für Arbeit einen Cyberangriff auf ihre IT-Systeme. Unbekannte hatten Zugriff auf 20.000 Benutzerkonten und versuchten Bankverbindungen zu manipulieren, um Zahlungen umzuleiten. Nun wurde nach intensiven Ermittlungen mehrere Verdächtige verhaftet.

Kompromittierte Benutzerkonten

Es war ein Zufall, dass der Cyberangriff bemerkt wurde. Laut Pressemitteilung der Generalstaatsanwaltschaft Bamberg (via) bemerkte eine Mitarbeiterin in einem Jobcenter in Nordrhein-Westfalen bei einer Einzelfallbearbeitung zunächst Unstimmigkeiten auf dem Konto eines bereits verstorbenen Kunden. Bei einer anschließenden Überprüfung stellte die Bundesagentur für Arbeit eine Vielzahl unberechtigter Logins fest und erstattete Strafanzeige bei der Zentralstelle Cybercrime Bayern (ZCB) in Bamberg.

Daraufhin liefen sofortige Ermittlungen beim zuständigen Fachkommissariat "Ermittlungen Cybercrime" (ECC) des Kriminalfachdezernats 5 in Nürnberg an. Eine Ermittlungskommission (EKO) wurde zur Bewältigung des Ermittlungskomplexes eingerichtet.

In mehrmonatigen, umfangreichen Ermittlungen der Zentralstelle Cybercrime Bayern und des Fachkommissariats "Ermittlungen Cybercrime" ergaben, dass Täter zwischen dem 30.01.2025 und dem 19.03.2025 versucht haben, sich widerrechtlich in über 20.000 Benutzerkonten bei der Bundesagentur für Arbeit einzuloggen.

In rund 1.000 Fällen waren die Täter auch erfolgreich. Laut Mitteilung sollen die Täter dann in mehr als 150 Benutzerkonten die Kontoverbindung geändert haben, um die vorgesehenen Leistungsauszahlungen betrügerisch auf eigene Konten umzuleiten.

Tatverdächtige ermittelt und festgenommen

Die Ermittlungen führten zu mehreren Tatverdächtigen, die an den Hacks der Konten und der Manipulation der Kontoverbindungen beteiligt waren. Über die erlangten Zugangsdaten wären die Tatverdächtigen in der Lage gewesen, sich monatlich einen fünfstelligen Betrag auszahlen zu lassen. Durch das frühzeitige Eingreifen der Bundesagentur für Arbeit und die sofortigen Gegenmaßnahmen konnte der tatsächliche Schaden begrenzt werden. Dieser beläuft sich auf knapp 1.000 Euro.

In enger Abstimmung mit den Staatsanwälten der Zentralstelle Cybercrime Bayern und durch die intensiven und akribischen Ermittlungen der EKO bei der Kriminalpolizei Nürnberg gelang es Tatverdächtige in mehreren Bundesländern zu ermitteln. Die acht Tatverdächtigen im Alter zwischen 36 und 61 Jahren besitzen die albanische (3), die kosovarische (3), serbische (1) beziehungsweise die deutsche Staatsangehörigkeit (1).

Am 08.10.2025 vollzogen Beamte des Fachkommissariats Ermittlungen Cybercrime der Kriminalpolizei Nürnberg zusammen mit Staatsanwälten der ZCB und mehreren IT-Forensikern insgesamt 14 Durchsuchungsbeschlüsse in zehn Objekten in Ludwigshafen (Rheinland-Pfalz), Mannheim (Baden-Württemberg), Berlin, Halle (Sachsen-Anhalt) und in den Kreisen Segeberg (Schleswig-Holstein) und Rhein-Pfalz (Rheinland-Pfalz). Dabei wurden sie von Beamten der jeweils zuständigen Landespolizeien unterstützt.

Im Rahmen der Durchsuchungsmaßnahmen konnten umfangreiche Beweismittel und Datenträger sichergestellt werden, darunter auch Waffen und Betäubungsmittel sowie mehrere tausend Euro Bargeld. Bereits bei einer ersten Sichtung der sichergestellten Beweismittel fanden sich eindeutige Hinweise, die die Beschuldigten mit dem Cyberangriff auf die Bundesagentur für Arbeit in Verbindung bringen.

Die in Rheinland-Pfalz zuständige Staatsanwaltschaft Frankenthal leitete gegen zwei albanische Tatverdächtige ein Strafverfahren wegen des Handels mit Betäubungsmitteln ein und stellte Haftantrag gegen die beiden. Ein Ermittlungsrichter erließ gegen beide Tatverdächtige einen Untersuchungshaftbefehl. Anschließend wurden sie in Justizvollzugsanstalten in Rheinland-Pfalz eingeliefert.

Die acht Tatverdächtigen müssen sich nun u. a.  wegen gewerbsmäßigen Computerbetrugs verantworten. Das Gesetz sieht hierfür eine Freiheitsstrafe von sechs Monaten bis zu zehn Jahren vor.