Operation Endgame

Es soll der bisher größte Schlag gegen die globale Cyberkriminalität sein, die „Operation Endgame“: In den letzten Tagen hat die internationale Strafverfolgungsgemeinschaft einen beispiellosen Schlag gegen die Cybercrime-Szene geführt.

Unter dem Decknamen „Operation Endgame“ gelang es, eine Vielzahl der gefährlichsten Botnetze und Schadsoftware-Infrastrukturen weltweit lahmzulegen. Diese koordinierte Aktion markiert den bisher größten Erfolg im Kampf gegen Cyberkriminalität und hat weitreichende Auswirkungen auf die digitale Unterwelt. Erste Presseberichte feiern die Aktion bereits.

Der Ablauf der Operation

Die Operation Endgame fand zwischen dem 27. und 29. Mai 2024 statt und wurde von Europol koordiniert. In enger Zusammenarbeit mit Strafverfolgungsbehörden aus Deutschland, Frankreich, den Niederlanden, den USA und vielen weiteren Ländern wurden über 100 Server beschlagnahmt und mehr als 1.300 kriminell genutzte Domains abgeschaltet. Zu den Hauptzielen gehörten die Botnetze der Schadsoftware-Familien IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot und Trickbot.

Operation Endgame - Rechtsanwalt Ferner

Was sind Dropper?

Ein zentraler Aspekt der Operation war die Bekämpfung sogenannter „Dropper“. Diese Schadprogramme dienen als Türöffner für Cyberkriminelle, um unbemerkt weitere Schadsoftware auf den Systemen der Opfer zu installieren. Dropper sind in der Regel die erste Stufe eines Angriffs und ermöglichen es, weitere Malware wie , Viren oder Spyware nachzuladen. Sie agieren oft im Verborgenen und nutzen Techniken zur Umgehung von Sicherheitsmaßnahmen.

Wichtige Begriffe dazu aus unserem Cybercrime-Glossar: Cybercrime as a ServiceBotnetCommand & Control-InfrastrukturSchadsoftware / MalwarePhishingRansomwareDropper

Internationale Zusammenarbeit

Die Komplexität und das Ausmaß der Operation Endgame wären ohne die intensive internationale Zusammenarbeit nicht möglich gewesen. Neben den Hauptakteuren beteiligten sich auch Länder wie Armenien, Bulgarien, Litauen, Portugal, Rumänien, die Schweiz und die Ukraine an den Maßnahmen. Diese umfassten nicht nur die von Objekten und die von Servern, sondern auch die von Verdächtigen und die Sicherstellung erheblicher finanzieller Mittel. Insgesamt wurden zehn internationale Haftbefehle erlassen und vier Personen vorläufig festgenommen.

Operation Endgame - Rechtsanwalt Ferner

Es ginge an der Sache vorbei, dieses Ermittlungergebnis als Zäsur zu bezeichnen. Vielmehr erleben wir derzeit einen gravierenden Wandel der Ermittlungskultur, der sich insgesamt dann als Zäsur zwischen früheren und modernen Zeiten im Kampf gegen Cyberkriminalität darstellen wird.

Erfolge und Auswirkungen

Die Operation Endgame führte nicht nur zur Beschlagnahme und Abschaltung der betroffenen Infrastrukturen, sondern auch zur Sicherstellung von Kryptowährungen im Wert von über 70 Millionen Euro.

Wir erleben derzeit einen Wandel in der Ermittlungskultur – mit gravierenden Folgen für Betreiber und einzelne Akteure im Bereich der Cyberkriminalität. Insbesondere haben Ermittler gelernt, dass man beim Kampf gegen Cybercrime nicht mehr Kriminelle sondern Infrastrukturen in den Blick nehmen muss – und sie lernen schnell, die entsprechenden Daten auszuwerten und zu verknüpfen.

Rechtsanwalt Jens Ferner, Cybercrime-Spezialist

Diese Gelder wurden auf verschiedenen Kryptobörsen eingefroren, was einen erheblichen Schlag gegen die finanzielle Basis der Cyberkriminellen darstellt. Zudem konnten zahlreiche Beweismittel sichergestellt werden, die zu weiteren Ermittlungen führen könnten.

BKA-Vizepräsidentin Martina Link betonte die Bedeutung dieser Operation:

„Mit der bislang größten internationalen Cyber-Polizeioperation ist den Strafverfolgungsbehörden ein bedeutender Schlag gegen die Cybercrime-Szene gelungen. Der aktuelle Erfolg stützt sich auf Maßnahmen gegen Infrastrukturen, Akteure und ihre Finanzmittel und ist geeignet, das Vertrauen innerhalb der Underground Economy zu beeinträchtigen“.

Domino-Ermittlungen


Die Zeichen stehen auf Wechsel: das Spiel zwischen Cyberkriminellen und Ermittlern wird auf immer ein Hase- und Igel-Spiel bleiben. Allerdings haben sich in den letzten eineinhalb Jahren die Zeiten verändert.

Wo früher Ermittler träge und mit oberflächlichen Erfolgen vorgehen konnten, punkten Sie heute mit massiven Schlägen, die ihn immer kürzere Reihenfolge aufeinander aufbauen. Wie bei einem Dominospiel ist zu beobachten, wie der Reihe nach ein großes Netzwerk nach dem anderen zerschlagen wird. Der obligatorische Hinweis darauf, dass sich, wie bei einer Hydra, sofort neue Netzwerke bilden, halt aufgrund dieser Geschwindigkeit und Aggressivität der Ermittler nicht mehr so nach, wie man es noch früher gewohnt war.

Vollkommen zurecht weisen die Ermittler – offensichtlich äußerst stolz auf eigener Domain platziert – darauf hin, dass diese Aktion gerade nicht das Ende, sondern nur der Auftakt zu weiteren Ermittlungen ist. Wie frühere Verfahren, insbesondere das Cyberbunkerverfahren, würden nun dieses hier zu einer massiven Zahl von Folgeverfahren führen.

Dabei sollten Laien sich nicht vertun: wenn davon gesprochen wird, dass man über lange Zeit im Vorhinein ermittelt hat, geht es nicht darum, dass man lange brauchte, um der Situation Herr zu werden! Vielmehr geht es darum, dass die Maßnahmen sorgfältig vorbereitet wurden und massenhaft Daten im Vorhinein gesammelt wurden beziehungsweise die Sicherstellung von Daten vorbereitet wurde. Man darf davon ausgehen, dass in naher Zukunft weitere erhebliche Ermittlungen Maßnahmen bekannt werden und eine Vielzahl von strafrechtlichen auch gegen Einzelpersonen die Folge sein wird.

Ziehen Sie eine Nummer: Wer steht an, um Hacker zu unterstützen?

Zu den bedeutsamsten internationalen Akteuren, die versuchen, Hacker gerade beim Einsatz in Europa zu beeinflussen, gehören vor allem staatliche Akteure aus Russland, und Iran. Diese Länder setzen verschiedene Taktiken ein, um ihre geopolitischen Interessen zu fördern, WIrtschaftsspionage zu betreiben und die Stabilität der europäischen Demokratien zu untergraben.

Russland

Russland ist bekannt für seine umfangreichen Desinformationskampagnen und Cyberangriffe, die darauf abzielen, das Vertrauen in demokratische Prozesse zu schwächen. Zu den bekanntesten Beispielen gehört die Beeinflussung der US-Wahlen 2016 sowie die Versuche, die Brexit-Abstimmung zu beeinflussen. Russische Akteure nutzen häufig Social-Media-Plattformen, um falsche Informationen zu verbreiten und gesellschaftliche Spaltungen zu vertiefen.

China

China setzt zunehmend auf Cyberangriffe und Desinformationskampagnen, um seinen Einfluss in Europa auszubauen. Chinesische Hackergruppen sind dafür bekannt, Wirtschaftsspionage zu betreiben und sensible Informationen zu stehlen, die dann genutzt werden können, um politische Entscheidungen zu beeinflussen. Zudem versucht China, durch die Verbreitung von pro-chinesischen Narrativen in den Medien die öffentliche Meinung in Europa zu manipulieren.

Iran

Iranische Akteure nutzen ebenfalls Desinformationskampagnen und Cyberangriffe, um ihre geopolitischen Ziele zu verfolgen. Diese Kampagnen zielen oft darauf ab, die Politik der USA und ihrer Verbündeten in Europa zu destabilisieren. Iranische Hackergruppen greifen dabei auf ähnliche Techniken zurück wie ihre russischen und chinesischen Gegenstücke.

Nordkorea

Nordkorea ist ein weiterer internationaler Akteur, der versucht, durch Cyberaktivitäten Einfluss auf Wahlen und politische Prozesse weltweit zu nehmen, einschließlich in Europa. Während Nordkorea im Vergleich zu Russland, China und Iran weniger im Fokus steht, gibt es dennoch bedeutende Aktivitäten, die von nordkoreanischen Akteuren ausgehen. Nordkorea nutzt auch Desinformation, um seine geopolitischen Ziele zu fördern und politische Unruhen zu schüren. Während es weniger dokumentierte Fälle von direkter Wahlbeeinflussung durch Nordkorea gibt, nutzt das Regime dennoch Cyberoperationen, um politischen Druck auszuüben und seine Interessen zu wahren, etwa durch Veröffentlichung von kompromittierenden Informationen über politische Kandidaten oder die Verbreitung von Propaganda.

Ein Blick in die Zukunft

Obwohl die „Operation Endgame“ einen großen Erfolg darstellt, ist dies nur ein Schritt im fortwährenden Kampf gegen die Cyberkriminalität. Die internationalen Strafverfolgungsbehörden werden weiterhin eng zusammenarbeiten, um die Täter zu identifizieren und ihre Infrastrukturen zu zerstören. Die laufenden Ermittlungen und die Auswertung der beschlagnahmten Daten werden, wie in vergleichbaren Fällen zu weiteren Festnahmen und Operationen führen. Auszugehen ist von einer Vielzahl auch unmittelbar bevorstehender Schritte.

IT-Sicherheitsrecht & Sicherheitsvorfall

Wir bieten juristische Beratung bei einem Sicherheitsvorfall sowie im IT-Sicherheitsrecht: rund um Verträge, Haftung und wird Hilfe in der Cybersecurity von jemandem geboten, der es kann – IT-Fachanwalt und Strafverteidiger Jens Ferner bringt sein Fachwissen mit dem Hintergrund des Softwareentwicklers und Verteidigers von Hackern in Unternehmen ein!

Die Erfolge der Operation Endgame zeigen, dass die internationale Gemeinschaft in der Lage ist, effektiv gegen die Bedrohungen der digitalen Welt vorzugehen. Es bleibt zu hoffen, dass diese Maßnahmen langfristig zu einer sichereren digitalen Umgebung führen und die Aktivitäten der Cyberkriminellen nachhaltig stören.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht / Technologierecht - ergänzt um Arbeitsrecht.