🗂️ INPOL Fallakte (U-Gruppe)

Am Vormittag des 25.07.2026 kam es zu einem gezielten Ransomware-Angriff auf die IT-Infrastruktur des Reviers NewCity (PP NewCity). Verantwortlich zeichnet der unter dem Alias „Phant0m_NC" agierende der Beschuldigte David Brunner ein Akteur der als Ransomware-as-a-Service auftretenden Gruppierung „BlackBlock".

Tatablauf: Am Morgen des 25.07.2026, zu Dienstbeginn, ging an mehrere Dienstpostfächer eine täuschend echte E-Mail („WICHTIG: INPOL-Zugang bestätigen – Sicherheitsupdate") mit Verweis auf eine gefälschte Anmeldeseite (Domain update-newcity-sec.net) sowie einem manipulierten Zertifikats-Anhang ein. Ein Mitarbeiter gab gegen 07:20 Uhr seine Zugangsdaten auf der Fälschung ein; hierdurch erlangte der Täter gültige, privilegierte Anmeldedaten (§ 269, § 202a StGB). Die Erstkompromittierung erfolgte um 07:24 Uhr. Mit den abgegriffenen Daten breitete sich die Schadsoftware lateral im vernetzten Revier aus; sämtliche angeschlossenen Dienst-PCs wurden kompromittiert. Es folgten die Exfiltration von rd. 9,4 GB Ermittlungs-, Asservaten- und Zeugenschutzdaten sowie die Verschlüsselung der Datenbestände (§§ 202b, 202d, 303a, 303b StGB; wegen Beeinträchtigung einer für eine Behörde wesentlichen Datenverarbeitung besonders schwerer Fall gem. § 303b Abs. 2 StGB).

Gegen Mittag wurde eine Lösegeldforderung über 1.000.000 € in Bitcoin (Wallet bc1q9x4k2vd8s3jn54khce6mua7lqz0r8tg5wf2n7r) bei einer Zahlungsfrist von 48 Stunden und der Androhung der Veröffentlichung der erbeuteten Daten gestellt (§ 253 StGB). Über die Tatzeit fielen Leitstellen- und Funkdienste vorübergehend aus; der Dienstbetrieb wurde im Notbetrieb geführt.

Ermittlungsansatz (K11 Cybercrime): Die Auswertung erfolgte aus Sicherheitsgründen auf einem vom kompromittierten Netz getrennten Dienstrechner. In den Firewall-Protokollen wurde die Command-and-Control-Kommunikation (update-newcity-sec.net) nachvollzogen. Der Täter verschleierte seinen Datenverkehr durchgängig über das Tor-Netzwerk (Exit-Node 185.220.101.42). Infolge eines einmaligen Ausfalls seiner VPN-/Tor-Absicherung wurde um 09:38 Uhr eine direkte, nicht anonymisierte Verbindung protokolliert; dabei wurde die echte Anschluss-IP 91.64.207.18 (Provider „NeubrunnNet", Privatkundenanschluss) erfasst. Noch am selben Tag wurde gegen 14:30 Uhr auf richterliche Eilanordnung (Gefahr im Verzug) eine Bestandsdatenauskunft (§ 174 TKG i. V. m. § 100g StPO) eingeholt; der Anschluss wurde der Wohnanschrift des Beschuldigten in Neubrunn zugeordnet. Bestätigend ergab eine offene Internetrecherche, dass der identische Alias „Phant0m_NC" auf der Plattform „Y" sowie in den „Großanzeigen" geführt wurde (OPSEC-Fehler/Wiedererkennung).

Durchsuchung/Festnahme: Am 25.07.2026 um 17:42 Uhr erfolgte auf Grundlage richterlicher Durchsuchungs- und Beschlagnahmebeschlüsse (§§ 102, 105, 94 ff. StPO) der Zugriff am Objekt in Neubrunn unter Leitung des SEK NewCity (EPHK Richard Wegner; Anordnung der Sonderlage durch Polizeipräsident Fritz Knödelhoff). Das Anwesen war mit einer selbst errichteten, verkabelten Alarm-/Frühwarnanlage an mehreren Türen gesichert. Der Beschuldigte versuchte, sich der Festnahme zu entziehen, gab dabei Schüsse in Richtung der eingesetzten Beamten ab (§§ 113, 114 StGB; § 212 i. V. m. §§ 22, 23 StGB; § 52 WaffG) und flüchtete über ein Fenster im Obergeschoss auf ein angrenzendes Baumhaus. Nach Verfolgung durch die Einsatzkräfte wurde er gegen 18:00 Uhr vorläufig festgenommen (§ 127 StPO). Verletzungen der Beamten: keine. Noch am selben Abend erging Haftbefehl; der Beschuldigte befindet sich in Untersuchungshaft.

Bewertung / offene Ermittlungen: Anhaltspunkte sprechen dafür, dass der Angriff durch einen bislang unbekannten Dritten in Auftrag gegeben wurde. Die Auswertung der sichergestellten Datenträger zur Identifizierung des Auftraggebers dauert an.