Deutschen und internationalen Sicherheitsbehörden ist in einer konzertierten Aktion ein weiterer bedeutender Schlag gegen die globale Cyberkriminalität gelungen. Wie das Bundeskriminalamt (BKA) auf seiner Website mitteilte, wurden im Rahmen der „Operation Endgame 2.0“ zwischen dem 19. und 22. Mai 2025 die Infrastrukturen einiger der derzeit einflussreichsten Schadsoftware-Varianten zerschlagen. Diese zweite Phase der Operation folgt auf erste Erfolge im Mai 2024.
Maßnahmen und konkrete Ergebnisse
Die Operation, an der neben dem BKA und der Generalstaatsanwaltschaft Frankfurt am Main, Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT), auch Behörden aus den Niederlanden, Frankreich, Dänemark, Großbritannien, Kanada und den USA beteiligt waren, kann handfeste Erfolge aufweisen. Mit Hilfe von Europol wurden 37 zentrale Akteure identifiziert und 20 internationale Haftbefehle erwirkt. Doch nicht nur die kriminellen Akteure, sondern auch ihre Infrastruktur konnten die Ermittler ausfindig machen. So wurden rund 300 Server vom Netz genommen, 50 davon in Deutschland. Zusätzlich konnten 650 kriminell genutzte Domains identifiziert und unschädlich gemacht werden. Bei dieser groß angelegten Aktion wurden insgesamt 3,5 Millionen Euro in Kryptowährungen beschlagnahmt.
Ein Großteil der identifizierten und zur Fahndung ausgeschriebenen Personen sind laut BKA russische Staatsangehörige. Gegen 18 mutmaßliche Mitglieder der kriminellen Gruppierungen „Trickbot“ und „Qakbot“ haben BKA und ZIT eine öffentliche Fahndung eingeleitet. Die Ermittlungen in Deutschland werden unter anderem wegen des Verdachts der banden- und gewerbsmäßigen Erpressung sowie der Mitgliedschaft in einer kriminellen Vereinigung im Ausland geführt.
Die Chance einer Verhaftung oder Verantwortlichkeit der in Russland ansässigen ausgeschriebenen Personen ist jedoch äußerst gering. Russischen Strafbehörden lassen Hacker oft bewusst ungestört agieren, solange die Angriffe westliche Länder oder Unternehmen treffen und nicht Russland oder seine Verbündeten (GUS-Staaten). Wenn sie diese ungeschriebene Regel einhalten, werden die Täter meist nicht verfolgt.
Die „Endgame“-Strategie: Den Angriff an der Wurzel packen
Ziel der „Endgame“-Strategie war es, die sogenannte „Kill Chain“ (Angriffskette) so früh wie möglich zu unterbrechen. Die Behörden konzentrierten sich dabei auf die sogenannte „Initial Access Malware“.
Cyberkriminelle nutzen Schadsoftware wie „Dropper“ oder „Loader“, um sich als „Türöffner“ unbemerkt einen Erstzugang zu IT-Systemen zu verschaffen. Ist diese Hürde genommen, können sie weitere Schadprogramme nachladen, um Daten auszuspähen oder Systeme für eine Lösegelderpressung zu verschlüsseln. Das BKA und seine Partner setzten mit ihrer Strategie genau bei diesem ersten Schritt an, um den potenziellen Schaden von vornherein zu minimieren. Langfristiges Ziel ist die nachhaltige Zerstörung des „Cybercrime-as-a-Service“-Ökosystems, bei dem kriminelle Dienstleistungen und Werkzeuge im Darknet gehandelt werden.
Ein kontinuierlicher Kampf gegen die Underground-Economy
„Operation Endgame“ ist laut BKA keine einmalige Aktion, sondern eine fortlaufende Kampagne. Bereits im Mai 2024 wurden Botnetze von sechs Schadsoftware-Familien, darunter IcedID und Trickbot, zerschlagen. Weitere Maßnahmen richteten sich im September 2024 gegen Krypto-Börsen und im April 2025 gezielt gegen Kunden eines der Hauptakteure des „Smokeloader“-Netzwerks.
Das BKA bittet um Hinweise zu den identifizierten Akteuren (Bild: BKA)Die jetzigen Maßnahmen unter dem Namen „Endgame 2.0“ zielten auf die Nachfolge-Gruppierungen sowie auf weitere Schadsoftware-Varianten wie Bumblebee, Latrodectus und Qakbot. Auf den Webseiten der betroffenen illegalen Dienste wurde ein offizielles Sicherstellungsbanner der beteiligten Behörden platziert.
Einordnung durch die Behördenleiter
BKA-Präsident Holger Münch betonte die Bedeutung der Operation: „Deutschland steht im besonderen Fokus von Cyberkriminellen. Mit der Operation Endgame 2.0 haben wir erneut gezeigt: Unsere Strategien wirken – auch im vermeintlich anonymen Darknet.“ Münch kündigte an, diese Aktivitäten angesichts der Bedrohungslage weiter auszubauen, um einen entscheidenden Beitrag zur aktiven Cybersicherheit in Deutschland zu leisten.
Der Leiter der ZIT, Oberstaatsanwalt Dr. Benjamin Krause, hob die Notwendigkeit der internationalen Zusammenarbeit hervor: „Sie ist […] alternativlos: Denn nur mit gemeinsamen Maßnahmen wie der Beschlagnahme krimineller IT-Infrastruktur, der Abschöpfung kriminell erlangter Finanzmittel und internationalen Fahndungsmaßnahmen können die Verantwortlichen von global tätigen Cybercrime-Gruppierungen effektiv verfolgt werden.“
Die Operation Endgame 2.0 verdeutlicht somit den sicherheitspolitischen Ansatz, Cyberkriminalität nicht nur reaktiv zu verfolgen, sondern ihre strukturellen und finanziellen Grundlagen in internationaler Kooperation zu bekämpfen.
Jannis Düngemann