Es soll der bisher größte Schlag gegen die globale Cyberkriminalität sein, die „Operation Endgame“: In den letzten Tagen hat die internationale Strafverfolgungsgemeinschaft einen beispiellosen Schlag gegen die Cybercrime-Szene geführt.
Unter dem Decknamen „Operation Endgame“ gelang es, eine Vielzahl der gefährlichsten Botnetze und Schadsoftware-Infrastrukturen weltweit lahmzulegen. Diese koordinierte Aktion markiert den bisher größten Erfolg im Kampf gegen Cyberkriminalität und hat weitreichende Auswirkungen auf die digitale Unterwelt. Erste Presseberichte feiern die Aktion bereits.
Der Ablauf der Operation
Die Operation Endgame fand zwischen dem 27. und 29. Mai 2024 statt und wurde von Europol koordiniert. In enger Zusammenarbeit mit Strafverfolgungsbehörden aus Deutschland, Frankreich, den Niederlanden, den USA und vielen weiteren Ländern wurden über 100 Server beschlagnahmt und mehr als 1.300 kriminell genutzte Domains abgeschaltet. Zu den Hauptzielen gehörten die Botnetze der Schadsoftware-Familien IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot und Trickbot.
Was sind Dropper?
Ein zentraler Aspekt der Operation war die Bekämpfung sogenannter „Dropper“. Diese Schadprogramme dienen als Türöffner für Cyberkriminelle, um unbemerkt weitere Schadsoftware auf den Systemen der Opfer zu installieren. Dropper sind in der Regel die erste Stufe eines Angriffs und ermöglichen es, weitere Malware wie Ransomware, Viren oder Spyware nachzuladen. Sie agieren oft im Verborgenen und nutzen Techniken zur Umgehung von Sicherheitsmaßnahmen.
Wichtige Begriffe dazu aus unserem Cybercrime-Glossar: Cybercrime as a Service | Botnet | Command & Control-Infrastruktur | Schadsoftware / Malware | Phishing | Ransomware | Dropper
Internationale Zusammenarbeit
Die Komplexität und das Ausmaß der Operation Endgame wären ohne die intensive internationale Zusammenarbeit nicht möglich gewesen. Neben den Hauptakteuren beteiligten sich auch Länder wie Armenien, Bulgarien, Litauen, Portugal, Rumänien, die Schweiz und die Ukraine an den Maßnahmen. Diese umfassten nicht nur die Durchsuchung von Objekten und die Beschlagnahme von Servern, sondern auch die Festnahme von Verdächtigen und die Sicherstellung erheblicher finanzieller Mittel. Insgesamt wurden zehn internationale Haftbefehle erlassen und vier Personen vorläufig festgenommen.
Es ginge an der Sache vorbei, dieses Ermittlungergebnis als Zäsur zu bezeichnen. Vielmehr erleben wir derzeit einen gravierenden Wandel der Ermittlungskultur, der sich insgesamt dann als Zäsur zwischen früheren und modernen Zeiten im Kampf gegen Cyberkriminalität darstellen wird.
Erfolge und Auswirkungen
Die Operation Endgame führte nicht nur zur Beschlagnahme und Abschaltung der betroffenen Infrastrukturen, sondern auch zur Sicherstellung von Kryptowährungen im Wert von über 70 Millionen Euro.
Diese Gelder wurden auf verschiedenen Kryptobörsen eingefroren, was einen erheblichen Schlag gegen die finanzielle Basis der Cyberkriminellen darstellt. Zudem konnten zahlreiche Beweismittel sichergestellt werden, die zu weiteren Ermittlungen führen könnten.
BKA-Vizepräsidentin Martina Link betonte die Bedeutung dieser Operation:
„Mit der bislang größten internationalen Cyber-Polizeioperation ist den Strafverfolgungsbehörden ein bedeutender Schlag gegen die Cybercrime-Szene gelungen. Der aktuelle Erfolg stützt sich auf Maßnahmen gegen Infrastrukturen, Akteure und ihre Finanzmittel und ist geeignet, das Vertrauen innerhalb der Underground Economy zu beeinträchtigen“.
Domino-Ermittlungen
Die Zeichen stehen auf Wechsel: das Spiel zwischen Cyberkriminellen und Ermittlern wird auf immer ein Hase- und Igel-Spiel bleiben. Allerdings haben sich in den letzten eineinhalb Jahren die Zeiten verändert.
Wo früher Ermittler träge und mit oberflächlichen Erfolgen vorgehen konnten, punkten Sie heute mit massiven Schlägen, die ihn immer kürzere Reihenfolge aufeinander aufbauen. Wie bei einem Dominospiel ist zu beobachten, wie der Reihe nach ein großes Netzwerk nach dem anderen zerschlagen wird. Der obligatorische Hinweis darauf, dass sich, wie bei einer Hydra, sofort neue Netzwerke bilden, halt aufgrund dieser Geschwindigkeit und Aggressivität der Ermittler nicht mehr so nach, wie man es noch früher gewohnt war.
Vollkommen zurecht weisen die Ermittler – offensichtlich äußerst stolz auf eigener Domain platziert – darauf hin, dass diese Aktion gerade nicht das Ende, sondern nur der Auftakt zu weiteren Ermittlungen ist. Wie frühere Verfahren, insbesondere das Cyberbunkerverfahren, würden nun dieses hier zu einer massiven Zahl von Folgeverfahren führen.
Dabei sollten Laien sich nicht vertun: wenn davon gesprochen wird, dass man über lange Zeit im Vorhinein ermittelt hat, geht es nicht darum, dass man lange brauchte, um der Situation Herr zu werden! Vielmehr geht es darum, dass die Maßnahmen sorgfältig vorbereitet wurden und massenhaft Daten im Vorhinein gesammelt wurden beziehungsweise die Sicherstellung von Daten vorbereitet wurde. Man darf davon ausgehen, dass in naher Zukunft weitere erhebliche Ermittlungen Maßnahmen bekannt werden und eine Vielzahl von strafrechtlichen Ermittlungsverfahren auch gegen Einzelpersonen die Folge sein wird.
Ziehen Sie eine Nummer: Wer steht an, um Hacker zu unterstützen?
Zu den bedeutsamsten internationalen Akteuren, die versuchen, Hacker gerade beim Einsatz in Europa zu beeinflussen, gehören vor allem staatliche Akteure aus Russland, China und Iran. Diese Länder setzen verschiedene Taktiken ein, um ihre geopolitischen Interessen zu fördern, WIrtschaftsspionage zu betreiben und die Stabilität der europäischen Demokratien zu untergraben.
Russland
Russland ist bekannt für seine umfangreichen Desinformationskampagnen und Cyberangriffe, die darauf abzielen, das Vertrauen in demokratische Prozesse zu schwächen. Zu den bekanntesten Beispielen gehört die Beeinflussung der US-Wahlen 2016 sowie die Versuche, die Brexit-Abstimmung zu beeinflussen. Russische Akteure nutzen häufig Social-Media-Plattformen, um falsche Informationen zu verbreiten und gesellschaftliche Spaltungen zu vertiefen.
China
China setzt zunehmend auf Cyberangriffe und Desinformationskampagnen, um seinen Einfluss in Europa auszubauen. Chinesische Hackergruppen sind dafür bekannt, Wirtschaftsspionage zu betreiben und sensible Informationen zu stehlen, die dann genutzt werden können, um politische Entscheidungen zu beeinflussen. Zudem versucht China, durch die Verbreitung von pro-chinesischen Narrativen in den Medien die öffentliche Meinung in Europa zu manipulieren.
Iran
Iranische Akteure nutzen ebenfalls Desinformationskampagnen und Cyberangriffe, um ihre geopolitischen Ziele zu verfolgen. Diese Kampagnen zielen oft darauf ab, die Politik der USA und ihrer Verbündeten in Europa zu destabilisieren. Iranische Hackergruppen greifen dabei auf ähnliche Techniken zurück wie ihre russischen und chinesischen Gegenstücke.
Nordkorea
Nordkorea ist ein weiterer internationaler Akteur, der versucht, durch Cyberaktivitäten Einfluss auf Wahlen und politische Prozesse weltweit zu nehmen, einschließlich in Europa. Während Nordkorea im Vergleich zu Russland, China und Iran weniger im Fokus steht, gibt es dennoch bedeutende Aktivitäten, die von nordkoreanischen Akteuren ausgehen. Nordkorea nutzt auch Desinformation, um seine geopolitischen Ziele zu fördern und politische Unruhen zu schüren. Während es weniger dokumentierte Fälle von direkter Wahlbeeinflussung durch Nordkorea gibt, nutzt das Regime dennoch Cyberoperationen, um politischen Druck auszuüben und seine Interessen zu wahren, etwa durch Veröffentlichung von kompromittierenden Informationen über politische Kandidaten oder die Verbreitung von Propaganda.
Ein Blick in die Zukunft
Obwohl die „Operation Endgame“ einen großen Erfolg darstellt, ist dies nur ein Schritt im fortwährenden Kampf gegen die Cyberkriminalität. Die internationalen Strafverfolgungsbehörden werden weiterhin eng zusammenarbeiten, um die Täter zu identifizieren und ihre Infrastrukturen zu zerstören. Die laufenden Ermittlungen und die Auswertung der beschlagnahmten Daten werden, wie in vergleichbaren Fällen zu weiteren Festnahmen und Operationen führen. Auszugehen ist von einer Vielzahl auch unmittelbar bevorstehender Schritte.
IT-Sicherheitsrecht & Sicherheitsvorfall
Wir bieten juristische Beratung bei einem Sicherheitsvorfall sowie im IT-Sicherheitsrecht: rund um Verträge, Haftung und Compliance wird Hilfe in der Cybersecurity von jemandem geboten, der es kann – IT-Fachanwalt und Strafverteidiger Jens Ferner bringt sein Fachwissen mit dem Hintergrund des Softwareentwicklers und Verteidigers von Hackern in Unternehmen ein!
Die Erfolge der Operation Endgame zeigen, dass die internationale Gemeinschaft in der Lage ist, effektiv gegen die Bedrohungen der digitalen Welt vorzugehen. Es bleibt zu hoffen, dass diese Maßnahmen langfristig zu einer sichereren digitalen Umgebung führen und die Aktivitäten der Cyberkriminellen nachhaltig stören.
- EU: Competitiveness Strategy for Europe - 10. September 2024
- Organisierte Kriminalität in Deutschland: Erkenntnisse, Herausforderungen und Ausblick - 10. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024