Was die Festnahme des XSS-Admins für den Cyber-Untergrund bedeutet: Die Schlagzeilen klingen dramatisch … der mutmaßliche Administrator des Cybercrime-Forums XSS – einer der ältesten und einflussreichsten russischsprachigen Plattformen für digitale Untergrundgeschäfte – wurde in Kyjiw verhaftet. Hinter dem Pseudonym „toha“ soll ein Ukrainer stehen, der über beinahe zwei Jahrzehnte hinweg mitmischte, Strippen zog und ein Netzwerk schuf, das für viele zu einer digitalen Heimat geworden war. Nun wurde ihm in enger Zusammenarbeit französischer und ukrainischer Ermittlungsbehörden das Handwerk gelegt – zumindest vorerst.
Ein Administrator fällt – aber das System bleibt?
XSS – früher DaMaGeLaB, seit 2018 unter neuem Namen unterwegs – war mehr als nur ein Handelsplatz für Dumps, Zugänge und Exploits. Es war ein soziales System: mit einem Escrow-Service, internen Streitbeilegungen, einem Rufsystem und hoher Zugangshürde. Wer dort mitspielen wollte, musste zeigen, dass er mehr war als ein Copy-and-Paste-Kiddie. Das Forum galt als Knotenpunkt für ernsthafte Akteure – von Entwicklern und Malware-Schmieden über Zugangsbroker bis hin zu den PR-Teams diverser Ransomware-as-a-Service-Projekte.
Dass der Betreiber mehr als 7 Millionen Euro aus Werbung und Transaktionsgebühren gezogen haben soll, überrascht in der Szene niemanden. Wer das Spiel versteht, weiß: Infrastruktur ist wertvoller als jedes einzelne Botnetz. Und toha war nicht nur Host, sondern auch Mediator, Makler und vermutlich – strategischer Netzwerker.
Reaktionen aus dem Untergrund: Paranoia und Backups
Kurz nach der Verhaftung zeigte sich auf der Clearnet-Domain xss.is das bekannte Banner der Strafverfolger – digitale Siegel wie bei einer Offline-Durchsuchung. Auch die .onion-Adresse war vorübergehend offline. Doch schnell kamen sie wieder: die Gerüchte, die Spekulationen, die Backups.
Nutzer meldeten, wie Heise aufbereitet hat, Moderatoren hätten Postings zur Verhaftung gelöscht, während der Admin seit dem 22. Juli nicht mehr gesehen wurde. Andere sprachen davon, dass auch Hoster, Backbone-Provider und weitere Admins „verschwunden“ seien – was offiziell nicht bestätigt ist. Manche zogen sich still zurück, andere exportierten Threads, Tools und Kontakte. Und wieder andere warnten: „Die lesen jetzt mit.“
Ein Kontrollverlust mit Nachbeben
Das Vertrauen in die Integrität des Forums ist beschädigt. Ob XSS weiterhin von Ermittlern überwacht oder vielleicht sogar kontrolliert wird, bleibt unklar – aber allein der Gedanke genügt, um Migrationen in Gang zu setzen. Exploit, das zweite große russischsprachige Forum, war zeitgleich offline – ob Zufall oder nicht, wird in der Szene heiß diskutiert.
Fakt ist: Die professionelle Cybercrime-Community hat mit XSS einen zentralen, lange stabilen Anker verloren. Ob das Forum langfristig offline bleibt oder in neuer Form – mit neuen Admins, unter neuer Adresse – zurückkehrt, ist offen. Doch die Dynamik ist nicht aufzuhalten: Wo Strukturen einstürzen, entstehen neue. Wo Vertrauen bröckelt, wächst Misstrauen. Und wo Misstrauen herrscht, floriert die Dezentralisierung.
Fazit: Es ist nicht das Ende – aber vielleicht das Ende einer Ära
Für viele war XSS nicht nur ein Werkzeug, sondern auch ein Ort. Die Verhaftung mag spektakulär sein – doch der Cyber-Untergrund lebt von Redundanz, Anpassung und Geschwindigkeit. Wer glaubt, durch das Abgreifen eines Admins ein Ökosystem zerschlagen zu haben, hat die Natur dieses Ökosystems nie verstanden. Es ist nicht tot. Es mutiert.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Subventionsbetrug: BGH zur Reichweite des Vermögensschadens nach § 264 StGB - 16. Februar 2026
- Reichweite eines Verjährungseinredeverzichts bei Haftung von Geschäftsführern nach § 64 GmbHG a.F. - 16. Februar 2026
- Sexueller Missbrauch an Schulen: Ideen für ein Schutzkonzept aus der Praxis - 15. Februar 2026
