Gehackte Online-Accounts bei der Bundesagentur für Arbeit: Acht Tatverdächtige

Ende März dieses Jahres hatte die Bundesagentur für Arbeit (BA) unberechtigte Zugriffe auf rund 1000 Benutzerkonten ihres Online-Portals festgestellt. Ziel der Angreifer war es, sich durch das Ändern von Bankverbindungen Leistungen zu erschleichen.

Die Zentralstelle Cybercrime Bayern (ZCB) hat nun gemeinsam mit dem Fachkommissariat „Ermittlungen Cybercrime“ (ECC) der Kriminalpolizei Nürnberg acht Tatverdächtige ermittelt. Zwei der Verdächtigen seien in Untersuchungshaft genommen worden, allerdings wegen mutmaßlichen Drogenhandels und nicht wegen des Hacks. Der entstandene finanzielle Schaden fiel verhältnismäßig gering aus.

Zugriff über kompromittierte Endgeräte

Laut einer Pressemitteilung der Generalstaatsanwaltschaft Bamberg vom heutigen Montag stehen die Tatverdächtigen in dringendem Verdacht, „zwischen dem 30.01.2025 und dem 19.03.2025 versucht zu haben, sich widerrechtlich in über 20.000 Benutzerkonten bei der Bundesagentur für Arbeit einzuloggen“. In rund 1000 Fällen sei ihnen dies gelungen und in mehr als 150 Fällen sollen sie Kontoverbindungen geändert haben.

Schlimmstenfalls wären die Tatverdächtigen durch ihre Manipulationen demnach „in der Lage gewesen, sich monatlich einen fünfstelligen Betrag auszahlen zu lassen“. Das Eingreifen der BA habe den tatsächlichen Schaden allerdings auf knapp 1000 Euro begrenzt.

Zuerst aufgefallen seien die Vorgänge einer Jobcenter-Mitarbeiterin in Nordrhein-Westfalen: Sie bemerkte Unstimmigkeiten auf dem Konto eines bereits verstorbenen Kunden. Die BA habe anschließend eine umfassende Überprüfung durchgeführt, die unberechtigten Logins bemerkt und Anzeige bei der ZCB in Bamberg gestellt. In der Konsequenz waren zahlreiche Online-Funktionen der BA wie Anträge auf Geldleistungen oder das Ändern von IBAN-Kontonummern Ende März vorübergehend nicht verfügbar.

Mitte Mai bestätigte die Bundesregierung den Cyberangriff auf Anfrage der AfD-Fraktion. Sie führte aus, dass die Zugangsdaten mittels kompromittierter privater Endgeräte und nicht etwa über Systeme der BA abgegriffen worden seien. Überdies teilte die Regierung mit, dass seit dem 29. April 2025 alle Online-Accounts verpflichtend einen zweiten Faktor für die Anmeldung im Portal der Agentur nutzen müssen. Die Nürnberger Behörde hatte zuvor eine Mehr-Faktor-Authentifizierung lediglich empfohlen.

Hausdurchsuchungen und Festnahmen

Die acht ermittelten Verdächtigen sind laut Generalstaatsanwaltschaft zwischen 36 und 61 Jahre alt. Im Rahmen von Hausdurchsuchungen in zehn Objekten in mehreren Bundesländern am 8. Oktober 2025 seien neben Datenträgern auch Waffen und Betäubungsmittel sowie mehrere tausend Euro Bargeld sichergestellt worden. Die Ermittler sollen bereits bei der ersten Sichtung der Beweismittel eindeutige Hinweise gefunden haben, „die die Beschuldigten mit dem Cyberangriff auf die Bundesagentur für Arbeit in Verbindung bringen“.

Der Vorwurf gegen die Tatverdächtigen lautet unter anderem gewerbsmäßiger Computerbetrug, für den das Gesetz eine Freiheitsstrafe von sechs Monaten bis zu zehn Jahren vorsieht. Laut Generalstaatsanwaltschaft dauern die Ermittlungen weiter an.

(ovw)