Am 19. September 2024 gelang es der Generalstaatsanwaltschaft Frankfurt am Main in Zusammenarbeit mit dem Bundeskriminalamt (BKA), einen bedeutenden Schlag gegen die kriminelle Infrastruktur der Underground Economy zu führen. Im Rahmen der Operation „Final Exchange“ wurden 47 in Deutschland gehostete Krypto-Exchange-Plattformen beschlagnahmt, die von Cyberkriminellen für Geldwäsche und andere illegale Aktivitäten genutzt wurden.
Hintergründe und Umfang der Operation
Die abgeschalteten Plattformen ermöglichten den anonymen Austausch von Kryptowährungen, ohne die gesetzlichen Anforderungen zur Identitätsprüfung („Know Your Customer“ oder KYC) einzuhalten. Diese Lücken im Sicherheitsnetz nutzten vor allem Ransomware-Gruppen, Darknet-Händler und Betreiber von Botnetzen, um erpresste Lösegelder und andere kriminelle Einnahmen zu verschleiern und in den legalen Finanzkreislauf einzubringen.
Ein zentrales Element dieser Plattformen war die scheinbare Anonymität, die sie den Nutzern versprachen. Die Betreiber warben damit, dass keine Nutzerdaten gespeichert und Transaktionen sofort anonymisiert würden. Die Ermittlungen zeigten jedoch, dass umfangreiche Daten, darunter IP-Adressen, Transaktionen und Registrierungsinformationen, gesichert werden konnten.
Warnung an Nutzer der betroffenen Plattformen
Die beschlagnahmten Plattformen leiten nun auf die offizielle Webseite der Operation „Final Exchange“ weiter. Dort werden Besucher darauf hingewiesen, dass die versprochene Anonymität eine Täuschung war und ihre Daten den Strafverfolgungsbehörden nun vorliegen. Nutzer, die auf diesen Plattformen aktiv waren, laufen Gefahr, in laufende Ermittlungen zu geraten.
Solltest du Nutzer einer der betroffenen Plattformen gewesen sein, rät es sich dringend, rechtlichen Beistand in Anspruch zu nehmen. Die Behörden werten derzeit die gesicherten Daten aus und haben angekündigt, dass weitere Festnahmen und strafrechtliche Verfolgungen zu erwarten sind.
Gesamtkomplex
Bereits im Jahr 2023 konnte die Serverinfrastruktur des weltweit umsatzstärksten Krypto-Mixers im Darknet, ChipMixer, beschlagnahmt und umgerechnet rund 90 Millionen Euro sichergestellt werden, ebenso die Infrastruktur mehrerer krimineller Marktplätze, darunter Kingdom Market. Darüber hinaus konnten die Schadsoftware Qakbot im Jahr 2023 und Emotet im Jahr 2021 vom Netz genommen werden. Beide zählten zu den größten Bedrohungen aus dem Cyberraum und richteten weltweit Schäden in dreistelliger Millionenhöhe an.
Im Jahr 2024 richtete sich die internationale Operation „Endgame“ gegen gleich sechs der größten Schadsoftware-Familien und zielte auf deren Infrastrukturen, konkrete Akteure und deren finanzielle Ressourcen.
Chipmixer
Kingdom Market
Emotet
Operation Endgame
Betroffene Plattformen
Im Folgenden eine Liste der betroffenen Plattformen, die im Rahmen der Operation „Final Exchange“ vom BKA beschlagnahmt wurden:
- Xchange.cash
- Aktiv seit: 2012
- Nutzer: 410.208
- Transaktionen: 1.279.739
- 60cek.org
- Aktiv seit: 2016
- Nutzer: 303.673
- Transaktionen: 899.774
- Baksman.com
- Aktiv seit: 2016
- Nutzer: 280.184
- Transaktionen: 754.707
- Prostocash.com
- Aktiv seit: 2017
- Nutzer: 266.922
- Transaktionen: 472.327
- Bankcomat.com
- Aktiv seit: 2016
- Nutzer: 254.312
- Transaktionen: 762.174
- Multichange.net
- Aktiv seit: 2018
- Nutzer: 185.798
- Transaktionen: 430.720
- 4ange.me
- Aktiv seit: 2020
- Nutzer: 91.488
- Transaktionen: 206.716
- CoinBlinker.com
- Aktiv seit: 2022
- Nutzer: 80.477
- Transaktionen: 105.942
- Mchange.net
- Aktiv seit: 2018
- Nutzer: 77.670
- Transaktionen: 138.117
- Ex-Money.cc
- Aktiv seit: 2019
- Nutzer: 77.398
- Transaktionen: 134.020
- Cryptostrike.org
- Aktiv seit: 2021
- Nutzer: 50.871
- Transaktionen: 54.779
- GrandChange.cc
- Aktiv seit: 2020
- Nutzer: 45.686
- Transaktionen: 57.428
- BlaBla.Money
- Aktiv seit: 2021
- Nutzer: 43.709
- Transaktionen: 56.973
- DotSatoshi.com
- Aktiv seit: 2022
- Nutzer: 41.091
- Transaktionen: 30.617
- Nordchange.com
- Aktiv seit: 2022
- Nutzer: 40.244
- Transaktionen: 49.984
- BTCWorm.com
- Aktiv seit: 2022
- Nutzer: 27.874
- Transaktionen: 33.099
- NitroCrypt.net
- Aktiv seit: 2022
- Nutzer: 22.808
- Transaktionen: 15.866
- CrystalMoney.net
- Aktiv seit: 2022
- Nutzer: 21.876
- Transaktionen: 21.269
- IceSatoshi.com
- Aktiv seit: 2022
- Nutzer: 16.812
- Transaktionen: 17.159
- BitFondo.com
- Aktiv seit: 2022
- Nutzer: 15.857
- Transaktionen: 19.813
Die vollständige Liste und weitere Informationen finden sich auf der Webseite der Operation „Final Exchange“.
Das Ganze sieht nicht zufällig aus wie ein Set von Dominosteinen, das umfällt: Es zeigt sich immer deutlicher, wie Ermittler heute in der Lage sind, ausufernde Ermittlungen auf bereits erfolgen Zugriffen aufzubauen. Dass seit dem Cyberbunker-Zugriff in dieser Häufung Erfolge gefeiert werden, ist kein Zufall: Die Ermittler haben offenkundig Zugriff auf ganze Netzwerke und haben gelernt, wie man das ausbaut.
Nutzer illegaler Dienste sollten sich der Risiken bewusst sein, die mit der Nutzung solcher Angebote verbunden sind, und ihre Online-Aktivitäten überdenken: Ermittler gehen längst nicht mehr nur gegen Betreiber sondern eben auch Nutzer vor.
Ausblick
Der Erfolg der Operation „Final Exchange“ ist für die Ermittler ein weiterer beachtlicher Schritt im Kampf gegen Cybercrime und die kriminelle Nutzung von Kryptowährungen. Die jetzige Zerschlagung dieser Plattformen in dieser Masse zeigt, dass die Ermittler immer mehr Ansatzpunkte haben und in zunehmender Masse gegen Cyberkriminalität vorgehen können.
Dabei werden die Nutzer an sich – und nicht nur die Betreiber – immer mehr in den Fokus rücken. Derzeit dürfte es vor allem die schiere Masse an Daten sein, die Ermittler noch überfordert. Moderne Ermittlungsansätze, wie der Einsatz von KI, werden dieses Defizit aber zunehmend beseitigen. Nutzer werden dabei in jedem Fall immer Verfahren wegen einer (leichtfertigen) Geldwäsche zu befürchten haben, wenn solche Dienste genutzt werden. Dabei droht eine Einziehung genutzter Vermögenswerte, also im Einzelfall erhebliche finanzielle Konsequenzen.
- OLG Schleswig zur Vertragslaufzeit und Vorleistungspflicht bei Radiowerbung - 12. Februar 2025
- Schlag der Ermittler gegen 8Base-Ransomware - 12. Februar 2025
- Fake News: BGH zur Abgrenzung zwischen Tatsachenbehauptung und Werturteil - 12. Februar 2025