Florida – Im April 2023 lagen auf dem Schreibtisch von Angelo Martino Fallakten von fünf Unternehmen, die Opfer von Ransomware geworden waren. Seine Aufgabe: die Firmen retten, Daten zurückholen, Lösegeldverhandlungen führen. Für die Opfer war er ein Retter. Für Martino selbst war es ein doppeltes, hinterlistiges Spiel, das bald Millionen einbringen würde.

Doch hinter der Fassade des Problemlösers verbarg sich ein Doppelagent. Während die Unternehmen auf seine Expertise vertrauten, lieferte er heimlich Informationen an die Hacker der berüchtigten BlackCat/ALPHV-Ransomware-Gruppe. Jede Verhandlungsstrategie, jede Versicherungsgrenze, jede Schwäche der Opfer wurde zu einem Werkzeug der Angreifer. Und Martino? Der wurde dafür in Bitcoin, Bargeld und Luxusgegenständen bezahlt.

Der Insider, der die Regeln kannte

BlackCat, auch ALPHV genannt, ist kein gewöhnlicher Ransomware-Angreifer. Präzise, organisiert und auf lukrative Ziele ausgerichtet, trifft die Gruppe gezielt Unternehmen, die hohe Versicherungen oder verwundbare Systeme haben. Martino war ihr Schlüssel. Er kannte die innersten Abläufe der Verhandlungen, die Reaktionen der Opfer, die Verteidigungsmechanismen und nutzte dieses Wissen für die Angriffe.

Zwischen April und November 2023 eskalierte das Doppelspiel. Zusammen mit zwei Komplizen führte Martino selbst Ransomware-Angriffe durch. Ein besonders erschütternder Fall: Die Täter erbeuteten rund 1,2 Millionen US-Dollar in Bitcoin. Die Systeme der Opfer waren blockiert, Daten verschlüsselt und das alles war durch das Insiderwissen des Verhandlers möglich.

Der Moment des Verrats

In einem Konferenzraum eines Unternehmens in New York, das unter BlackCat-Angriff stand, saßen die Manager angespannt zusammen. Martino leitete die Verhandlung, gleichzeitig aber flossen Informationen heimlich an die Hacker. Er wusste, wie weit das Opfer gehen würde, wann der Druck am größten war, wie das Lösegeld maximiert werden konnte. Was wie professionelle Krisenbewältigung aussah, war in Wahrheit ein sorgfältig inszenierter Verrat.

„Martinos Kunden vertrauten darauf, dass er ihre Systeme schützt und Ransomware-Angriffe abwehrt. Stattdessen hat er dieses Vertrauen verraten“, erklärte A. Tysen Duva, stellvertretender Generalstaatsanwalt.

Die US-Behörden beschlagnahmten Vermögenswerte im Wert von über 10 Millionen US-Dollar: Kryptowährungen, Fahrzeuge, einen Foodtruck und ein Luxus-Fischerboot, alles aus den Erlösen der kriminellen Machenschaften.

Martino war bis zu seiner Entlassung bei der Cybersecurity-Firma DigitalMint beschäftigt. Das Unternehmen betonte, dass es keine Kenntnis von seinen Machenschaften hatte. Die Mitarbeiter wurden sofort nach Bekanntwerden der Vorwürfe entlassen.

Ein Lehrstück für die Cyberwelt

Martinos Doppelspiel zeigt, wie brüchig Vertrauen in der digitalen Welt ist. Unternehmen können klare Lehren ziehen:

• Kontrolle und Prüfung: Auch Experten und externe Partner müssen regelmäßig überprüft werden. Audits sind kein Misstrauen, sondern Schutz.
• Daten nur nach Bedarf freigeben: Kritische Informationen sollten auf die Personen beschränkt sein, die sie wirklich benötigen.
• Mehrere Entscheidungsträger: In Krisensituationen verhindert eine „Checks & Balances“-Struktur Manipulation.
• Insider-Risiken einplanen: Notfallpläne müssen interne Bedrohungen genauso berücksichtigen wie externe.
• Ethik und Kultur leben: Eine Unternehmenskultur, die Integrität, Verantwortung und Transparenz ernst nimmt, schützt langfristig besser als jede Firewall.

Martino wird im Juli vor Gericht stehen, mit einer möglichen Haftstrafe von bis zu 20 Jahren. Doch der wahre Schaden lässt sich nicht in Bitcoin oder Luxusobjekten messen: Es ist das zerstörte Vertrauen, das Unternehmen und die gesamte Cybersecurity-Branche erschüttert hat.

In einer Welt, in der Daten das wertvollste Gut sind, wird deutlich: Der Retter kann jederzeit zum Verräter werden. Wer vorbereitet ist – mit Prozessen, Kontrolle und einer Kultur der Integrität – kann sich schützen. Wer blind vertraut, spielt mit dem Feuer.