In einer beispiellosen international koordinierten Aktion haben Ermittler der europäischen Polizeibehörde Europol, des Bundeskriminalamts (BKA) und des US-Konzerns Microsoft der organisierten Cyberkriminalität einen massiven Schlag versetzt. Im Rahmen der „Operation Endgame“ wurden mehr als 340 Command-and-Control-Server abgeschaltet, 40 davon in Deutschland. Diese Server sind die zentralen Systeme, mit denen Hacker infizierte Geräte fernsteuern. Gleichzeitig wurde die kriminelle Kontrolle über rund 15.000 Websites gekappt und mehr als 140 Domains unschädlich gemacht. Zudem stellten die Ermittler etwa 27 Millionen Zugangsdaten von 385.000 Betroffenen sicher.
Fokus auf die drei gefährlichsten Schadprogramme
Im Zentrum der Aktion standen die weltweit am häufigsten genutzten Schadprogramme „SocGholish“, „Amadey“ und „StealC“. BKA-Vizepräsidentin Martina Link erklärte auf einer Cybersicherheitskonferenz in Potsdam, man habe federführend mit der niederländischen Polizei und weiteren Partnern zahlreiche Server vom Netz genommen und schädliche Domains bereinigt oder stillgelegt. Die Behörden hätten auf den Angreiferservern eine Vielzahl von Opferdaten sicherstellen können; die Betroffenen würden nun gewarnt. Auch das Sicherheitsteam von Microsoft war beteiligt. Einer Unternehmensauswertung zufolge rangierte Deutschland vom 15. Mai bis zum 25. Juni bei den Opferzahlen auf dem zweiten Platz hinter den USA und noch vor China.
KI und RICO-Gesetz als neue Waffen
Der Erfolg war nur durch eine neuartige Kombination aus Technologie und neuen rechtlichen Optionen möglich. Die Ermittler nutzten künstliche Intelligenz, um den komplexen Code der Schadsoftware in Minuten statt Tagen zu analysieren. Dabei fanden sie heraus, dass die Programme Amadey und StealC offenbar von unterschiedlichen Kriminellen entwickelt wurden, aber auf dieselbe technische Infrastruktur zurückgreifen. Diese Erkenntnis ermöglichte es dem Anwaltsteam von Microsoft, das US-Gesetz gegen organisierte Kriminalität (RICO – Racketeer Influenced and Corrupt Organizations Act) anzuwenden. Anstatt jedes Schadprogramm isoliert zu bekämpfen, erlaubte das RICO-Gesetz den Ermittlern, die verschiedenen Akteure als Teil einer einzigen globalen kriminellen Verschwörung zu belangen und so das gesamte Netzwerk auf einmal anzugreifen.
Die kriminelle Wertschöpfungskette unterbrochen
Cyberkriminelle gehen bei ihren Straftaten oft schrittweise vor: Mit Programmen wie SocGholish und Amadey, die etwa vortäuschen, vermeintliche Browserupdates zu sein oder über Phishing-Mails verbreitet werden, brechen sie in die Systeme ihrer Opfer ein. StealC wird dann über den so erschlichenen Zugriff auf die Rechner eingeschleust und dient dazu, Passwörter und sensible Daten zu kopieren. Allein in der ersten Maihälfte waren diese Werkzeuge an mehr als 140.000 Infektionen weltweit beteiligt. Deutschland war bei dieser Stichprobe hinter den USA am stärksten von den Angriffen betroffen. Die Konsequenzen solcher Angriffe sind weitreichend und reichen von lahmgelegten Krankenhäusern bis zu staatlich unterstützter Spionage. Dazu gehören auch Angriffe der russisch assoziierten Gruppe „Secret Blizzard“, die Amadey für Attacken auf Ziele in der Ukraine nutzte.
Internationale Polizeiarbeit im Fokus
Der Erfolg gegen die kriminelle Angriffsserie war maßgeblich internationaler Polizeiarbeit zu verdanken, bei der auch deutsche Ermittler im Fokus standen. Während Microsoft die Bedrohung durch Amadey untersuchte, ermittelte Europols Zentrum zur Bekämpfung der Cyberkriminalität (EC3) parallel gegen das Programm StealC. Hierbei spielte das BKA eine wichtige Rolle: Gemeinsam mit niederländischen und dänischen Polizeibehörden gingen die deutschen Beamten im Rahmen der „Operation Endgame“ gegen die kriminelle Infrastruktur vor. „Operation Endgame“ war die bisher größte internationale Polizeiaktion gegen Cyberkriminalität, bei der im Mai 2024 die Infrastruktur der weltweit gefährlichsten Botnet-Loader – darunter auch Amadey – zerschlagen wurde. Unter der Führung von Europol und dem BKA wurden Hunderte Server beschlagnahmt, Millionen infizierter PCs befreit und weltweite Haftbefehle gegen die Hintermänner erlassen.
Ermittlungen und beschlagnahmte Kryptowährungen
In Deutschland werden die Ermittlungen unter anderem wegen des Verdachts der banden- und gewerbsmäßigen Erpressung sowie der Erpressung im besonders schweren Fall geführt. Ein BKA-Sprecher sagte: „Die Maßnahmen nehmen den Tätern zentrale Werkzeuge aus der Hand, unterbrechen die virtuelle Infektionskette und schützen viele weitere potenzielle Opfer vor diesen Schadsoftware-Varianten.“ Mit der Operation sei ein wesentlicher Baustein des kriminellen Wertschöpfungsprozesses der vernetzten und arbeitsteiligen Strukturen im Bereich Cybercrime geschwächt worden. Zudem spürten die Ermittler Kryptowährungen im Wert von mehr als 47 Millionen US-Dollar „kriminellen Ursprungs“ auf. Allerdings konnten diese Beträge bisher nicht beschlagnahmt, sondern nur deren Nutzung eingeschränkt werden. Carsten Meywirth, Leiter der Abteilung Cybercrime im BKA, sagte: „Mit der Fortsetzung der Operation Endgame sind wir erneut gegen die technischen Infrastrukturen vorgegangen, auf die sich zahlreiche Cyberkriminelle weltweit verlassen haben.“ Dadurch sei auch die Erstinfektion einer Vielzahl weltweiter Opfersysteme unterbunden worden. „Das zeigt, dass die internationalen Strafverfolgungsbehörden Cybercrime grenzüberschreitend alle rechtlichen Mittel entgegensetzen, auch in enger Zusammenarbeit mit dem Privatsektor.“
