Gerade berichten die Ermittler stolz von einer erfolgten Zerschlagung von LeakBase, was wieder mal ein beachtlicher Schritt im Kampf gegen datengetriebene Cyberkriminalität ist – und zugleich den Druck auf all jene erhöht, die in dieser Szene bislang auf vermeintliche Anonymität vertraut haben. Für Unternehmen wie für individuelle Nutzer ist dieser Schlag gegen eines der größten Foren für gestohlene Zugangsdaten und Hacking-Tools allerdings kein Anlass zur Entwarnung, sondern ein Signal, die eigene Risikoexposition und Strafbarkeitsrisiken neu zu bewerten.
LeakBase: Infrastruktur der Schattenökonomie
LeakBase war seit 2021 ein zentraler Marktplatz für gestohlene Daten und einschlägige Tools, mit über 142.000 registrierten Nutzern und mehr als 215.000 ausgetauschten Nachrichten – und damit deutlich mehr als ein obskures Nischenforum im Darknet. Die Plattform war offen im Web erreichbar, in englischer Sprache, und bot eine laufend aktualisierte Sammlung kompromittierter Datenbanken aus teils prominenten Angriffen, darunter Hunderte Millionen Account-Credentials, Kreditkartendaten und Bankverbindungsdaten. Neben reinen Datenleaks wurden auch Kredit- und Debitkartennummern, Kontoinformationen, Zugangsdaten zu Kunden- und Unternehmensaccounts sowie weitere sensible personenbezogene und geschäftliche Informationen gehandelt, die als Ausgangspunkt für Folgeangriffe wie Account-Takeovers, Business Email Compromise oder Kryptodiebstähle dienten.
Ökonomisch betrachtet fungierte LeakBase als Infrastruktur eines globalen Schwarzmarktes: Anbieter monetarisierten kompromittierte Datensätze, Käufer senkten ihre Einstiegshürden für Angriffe, indem sie auf fertige Datenpakete und Anleitungstexte zurückgriffen. Gerade für technisch weniger versierte Akteure senken solche Foren die Schwelle, Cybercrime in ein skalierbares Geschäftsmodell zu überführen – ein Aspekt, der in der Compliance- und Strafbarkeitsdiskussion häufig unterschätzt wird.
Globale Operation, globale Spuren
Die nun bekannt gewordene Operation war in 14 Staaten koordiniert, mit Maßnahmen Anfang März, darunter Domain-Beschlagnahmen, Serverzugriffe, Arrestierungen, Hausdurchsuchungen sowie Vernehmungen. Europol spricht von rund hundert Maßnahmen weltweit und betont, dass insbesondere gegen 37 besonders aktive Nutzer vorgegangen wurde, während die US-Behörden den vollständigen Zugriff auf die Datenbank und die von LeakBase genutzten Domains hervorheben. Die FBI-Infrastruktur leitet die Domain inzwischen auf Server der Behörde um; auf der ehemaligen Plattform wird ein Hinweis angezeigt, dass Accounts, Posts, private Nachrichten, Zahlungsdaten und IP-Logs zu Beweiszwecken gesichert wurden.
Für Nutzer des Forums bedeutet dies faktisch, dass nicht nur öffentlich sichtbare Aktivitäten, sondern auch private Kommunikation, Transaktionsspuren und technische Metadaten in die Hände der Strafverfolger gelangt sind. Nach Angaben, über die Fachmedien berichten, kam es bereits zu mehr als einem Dutzend Festnahmen sowie zu Durchsuchungen und Vernehmungen von Dutzenden weiterer Verdächtiger. Mit der Beschlagnahme der Datenbank und Logs entsteht für Ermittler eine reichhaltige Grundlage für Folgeverfahren – nicht nur gegen Betreiber, sondern auch gegen Händler, Käufer und sonstige zahlungskräftige Akteure, die bislang im Schatten agiert haben.
Einordnung im Kontext RaidForums und BreachForums
Der Fall LeakBase steht nicht isoliert, sondern reiht sich ein in eine Serie von Zerschlagungen einschlägiger Marktplätze: 2022 wurde RaidForums im Rahmen der Operation „TOURNIQUET“ zerschlagen, 2023 und 2024 traf es verschiedene Iterationen von BreachForums, dessen Betreiber verurteilt wurde. Sicherheitsunternehmen und Fachmedien weisen seit Längerem darauf hin, dass sich in diesem Bereich ein „Whack-a-mole“-Effekt etabliert hat: Wird ein Forum beschlagnahmt, wandern Nutzer und Geschäftsmodelle häufig binnen kurzer Zeit zu Nachfolgeplattformen weiter. Die Bedeutung der aktuellen Operation liegt daher weniger darin, einen einzelnen Marktplatz zu beseitigen, sondern in der Tiefe der gewonnenen Ermittlungsdaten und der Signalwirkung gegenüber einer Szene, deren operatives Selbstverständnis stark auf vermeintlicher Straflosigkeit basiert.
Zugleich markiert die Serie von Eingriffen eine Verschiebung der Risikoverteilung: Wo früher vor allem Betreiber im Fokus standen, rückt zunehmend die gesamte Wertschöpfungskette des Datenhandels in den Blick – von Datendieben über Datenhändler bis zu Endabnehmern, die geleakte Zugänge in eigene Angriffskampagnen einbauen. Für Unternehmen, die – wissentlich oder unwissentlich – mit geleakten Daten arbeiten oder OSINT- und Threat-Intelligence-Quellen ohne klare rechtliche Leitplanken nutzen, steigt damit die Notwendigkeit, interne Prozesse juristisch zu prüfen und Compliance-Strukturen nachzuschärfen.
Strafbarkeitsrisiken für Nutzer, Händler und Trittbrettfahrer
Mit der Sicherstellung der LeakBase-Datenbank eröffnen sich Ermittlern zahlreiche Ansatzpunkte, um individuelle Verantwortlichkeiten aufzudröseln: Nutzerprofile, Transaktionshistorien, private Nachrichten und IP-Logs ermöglichen eine kleinteilige Rekonstruktion von Handlungssträngen, die sich im Einzelfall bis hin zu konkreten Angriffen auf Unternehmen oder Privatpersonen zurückverfolgen lassen. Gerade Nutzer, die wiederholt und in größerem Umfang Datensätze gekauft, verkauft oder an Angriffen beteiligt waren, müssen in den kommenden Monaten mit verstärkten strafrechtlichen Maßnahmen rechnen – auch in Jurisdiktionen, in denen die Plattform selbst nicht gehostet wurde.
Dieser Druck trifft nicht nur klassische „Underground“-Akteure, sondern auch einen Graubereich, in dem Sicherheitsinteresse, wirtschaftliche Motive und strafbares Verhalten ineinander greifen. Wer für eigene Zwecke Zugangsdaten aus einschlägigen Foren bezieht, sich an „Credential Stuffing“ beteiligt oder geleakte Daten in Konkurrenz- oder Arbeitskontexten nutzt, bewegt sich schnell in einem Bereich, in dem Ermittler von einem geschäftsmäßigen oder gewerbsmäßigen Vorgehen ausgehen können – mit entsprechenden strafschärfenden Konsequenzen. In der Praxis geht es dabei regelmäßig nicht nur um erfüllte Tatbestände des Computer- und Datenstrafrechts, sondern auch um Beihilfe, Geldwäsche, Beteiligung an kriminellen Vereinigungen oder Datenschutzdelikte, die gerade bei grenzüberschreitenden Konstellationen komplexe rechtliche Fragen aufwerfen.
Hinzu kommt: Die verwertbaren Beweismittel sind im digitalen Strafverfahren inzwischen deutlich reichhaltiger als noch vor wenigen Jahren. Gesicherte Datenbanken, Traffic-Logs, Kryptowährungstransaktionen, Plattform-Metadaten und internationale Rechtshilfeverfahren erlauben eine Beweisführung, die sich nicht mehr auf isolierte IP-Adressen oder Screenshots stützt, sondern Verhaltensmuster, Kommunikationsstrukturen und finanzielle Ströme in ihrer Gesamtheit erfasst. Für Beschuldigte bedeutet dies, dass frühzeitige, technisch fundierte Strafverteidigung kein Luxus, sondern Voraussetzung dafür ist, überhaupt Augenhöhe im Verfahren herzustellen.
Was Unternehmen und Beschuldigte jetzt tun sollten
Für Unternehmen ist die Zerschlagung von LeakBase ein Anlass, bestehende Sicherheits- und Compliance-Strategien zu überprüfen. Wer im Incident-Response-Fall auf Threat-Intelligence-Ressourcen zurückgreift, sollte klare Leitlinien haben, wie mit Informationen aus einschlägigen Foren umgegangen wird, welche Rollen eingebunden sind und wo die Grenze zwischen legitimer Gefahrenabwehr und strafbarem Bezug oder Verarbeiten von Daten verläuft. Auch im Rahmen der internen Aufarbeitung von Sicherheitsvorfällen stellt sich regelmäßig die Frage, ob Mitarbeitende oder Dienstleister selbst – aus Neugier, Eigeninitiative oder wirtschaftlichem Kalkül – Berührungspunkte zu solchen Plattformen hatten und dadurch zusätzliche straf- und arbeitsrechtliche Risiken ausgelöst haben.
Für Beschuldigte, deren Daten nun in den LeakBase-Beständen auftauchen könnten, zählt vor allem eines: Zeit. Wer erst reagiert, wenn eine Hausdurchsuchung erfolgt ist oder ein Haftbefehl vollstreckt wird, verschenkt Chancen, die Weichen im Ermittlungsverfahren früh zu stellen, etwa bei der Einordnung technischer Hintergründe, der Bewertung von Logdaten oder der Frage, welche Erklärungsansätze überhaupt konsistent verfolgt werden können. Strafverteidigung im Cybercrime-Bereich ist längst keine rein juristische Disziplin mehr, sondern erfordert ein Verständnis für die technischen Details von Foreninfrastrukturen, Identitätsverschleierung, Kryptowertströmen und Beweisdatenformaten, um den Ermittlungsansatz der Behörden nachvollziehen, kritisch hinterfragen und gegebenenfalls angreifen zu können.
Gerade in Verfahren mit internationalem Bezug stellt sich zudem früh die Frage, wie mit Parallelverfahren, Auslieferungsersuchen und unterschiedlichen materiellen Strafdrohungen umzugehen ist. Strategische Entscheidungen zur Aufenthaltsplanung, zu Aussageverhalten und Kooperationsbereitschaft sowie zu etwaigen zivilrechtlichen Flankierungen sollten auf der Basis einer gemeinsamen Betrachtung von Strafrecht, IT-Recht und forensischer Technik getroffen werden – nicht im Nachhinein unter dem Druck bereits erhobener Anklagen.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- KI-Agenten als Innentäter: Wie OpenClaw & Co. zum Haftungs- & Sicherheitsrisiko werden - 14. März 2026
- Retrograde Telegram-Überwachung als Quellen-TKÜ - 13. März 2026
- Cyber Resilience Act als Ende der analogen Fabrik - 11. März 2026
