Im Mai 2024 gelang dem BKA und seinen internationalen Partnern mit der Operation Endgame ein großer Schlag gegen die weltweite Cyberkriminalität. Jetzt haben die Ermittlerinnen und Ermittler die zweite Phase eingeläutet: Im Zeitraum vom 19. bis 22.05.2025 wurden die derzeit einflussreichsten Schadsoftware-Varianten vom Netz genommen und dahinterstehende Täter identifiziert. Hier handelt es sich in einem Großteil der Fälle um russische Staatsangehörige, die nun mit internationalem Haftbefehl gesucht werden. Von den insgesamt 37 identifizierten Akteuren haben BKA und ZIT gemeinsam gegen 20 Akteure internationale Haftbefehle erwirkt. Zu 18 Beschuldigten, mutmaßliche Mitglieder der Gruppierungen „Trickbot“ und „Qakbot“, fahnden BKA und ZIT öffentlich.
Den aktuellen Maßnahmen gingen aufwändige Ermittlungen in den beteiligten Staaten voraus. In Deutschland werden die Ermittlungen unter anderem wegen des Verdachts der banden- und gewerbsmäßigen Erpressung sowie der Mitgliedschaft in einer kriminellen Vereinigung im Ausland geführt.
Bei den international koordinierten Maßnahmen der Operation Endgame 2.0 haben die Sicherheitsbehörden in dieser Woche weltweit
- Insgesamt 37 Akteure identifiziert und 20 internationale Haftbefehle erlassen
- rund 300 Server dem Zugang der Täter entzogen, davon 50 in Deutschland
- Kryptowährung (Bitcoin) im Gesamtwert von derzeit umgerechnet 3,5 Millionen Euro sichergestellt
- Zudem konnten rund 650 Domains unschädlich gemacht werden
Diese Erfolge haben die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) gemeinsam mit Strafverfolgungsbehörden aus den Niederlanden, Frankreich, Dänemark, Großbritannien, Kanada und den USA sowie mit Unterstützung durch Europol und Eurojust erzielt.
Auf den Webseiten der betroffenen illegalen Dienste wurde das nachfolgende Sicherstellungsbanner veröffentlicht:
Die Endgame-Strategie
Ziel der Operation Endgame ist es, den Angriff der Cyberkriminellen bereits im ersten Glied der Angriffskette zu stoppen, nämlich bei der Erstinfektion – auch „Initial Access Malware“ genannt. Für die Erstinfektion nutzen die Täter meist sogenannte Dropper oder Loader. Diese Schadsoftware-Varianten dienen den Cyberkriminellen als „Türöffner“, um die Systeme unbemerkt zu infizieren. Nun steht den Tätern die Tür offen, um weitere schädlichen Programme zu installieren. Ihr Ziel: Daten ausspähen oder das System verschlüsseln, um Lösegeld zu erpressen.
Am wenigsten anrichten können die Cyberkriminellen, wenn man sie – bildlich gesprochen – bereits daran hindert, durch diese erste Tür zu gehen. Daher setzen die Sicherheitsbehörden unmittelbar am Anfang der Angriffskette – auch Kill Chain genannt – an.
Durch stetige, gebündelte Maßnahmen gegen die Täter und die Infrastruktur der Gruppierungen soll das Geschäftsmodell der Cyberkriminellen „Cybercrime-as-a-service“ an der Wurzel geschädigt und somit nachhaltig zerstört werden.
18 Öffentlichkeitsfahndungen
Die aktuellen Maßnahmen richteten sich gegen die Gruppierungen und Schadsoftware-Varianten Bumblebee, Latrodectus, Qakbot, DanaBot, HijackLoader, Warmcookie und Trickbot.
Gegen 18 mutmaßliche Mitglieder der Gruppierungen „Trickbot“ und „Qakbot“, fahnden BKA und ZIT öffentlich, unterstützt auch durch Europol und Interpol.
Lichtbilder und Beschreibungen der Beschuldigten können über folgenden Link abgerufen werden: www.bka.de/endgame_fahndung. Auf der Fahndungsseite sind auch die Fahndungen der Maßnahmen von letztem Jahr zu finden.
BKA-Präsident Holger Münch:
Deutschland steht im besonderen Fokus von Cyberkriminellen. Mit der Operation Endgame 2.0 haben wir erneut gezeigt: Unsere Strategien wirken – auch im vermeintlich anonymen Darknet. Mit unseren Maßnahmen leisten wir als BKA einen entscheidenden Beitrag zur aktiven Cybersicherheit in Deutschland. Und diese Aktivitäten wollen und werden wir angesichts der bestehenden Bedrohungslage im Bereich Cybercrime weiter ausbauen.
ZIT-Leiter Oberstaatsanwalt Dr. Benjamin Krause:
Die internationale Kooperation der Strafverfolgungsbehörden zur Bekämpfung von Cybercrime funktioniert und wird ständig fortentwickelt. Sie ist aber auch alternativlos: Denn nur mit gemeinsamen Maßnahmen wie der Beschlagnahme krimineller IT-Infrastruktur, der Abschöpfung kriminell erlangter Finanzmittel und internationalen Fahndungsmaßnahmen können die Verantwortlichen von global tätigen Cybercrime-Gruppierungen effektiv verfolgt werden.
Erfolge der Operation Endgame
Die Operation Endgame verzeichnete in der Vergangenheit bereits mehrere Erfolge gegen die sogenannte Underground-Economy:
Die ersten Maßnahmen im Mai 2024 richteten sich gegen die personelle, finanzielle und technische Infrastruktur der derzeit einflussreichsten sechs Schadsoftware-Familien IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot und Trickbot.
Dabei konnten von mindestens 15 Ransomware-Gruppierungen genutzte Botnetze erfolgreich zerschlagen werden. Im September 2024 erfolgten Maßnahmen gegen die kriminellen Kryptowährungsbörsen Cryptex und PM2BTC, im Zuge derer die Plattformen beschlagnahmt und Vermögenswerte sichergestellt wurden.
Zuletzt wurden im April 2025 Maßnahmen gegen die Kunden des Smokeloader-Hauptakteurs „superstar75737“ durchgeführt, darunter Festnahmen, Durchsuchungen und Vernehmungen.
Die aktuellen Maßnahmen unter dem Arbeitsnamen „Endgame 2.0“ richten sich gegen die entsprechenden Nachfolge-Gruppierungen sowie weitere Schadsoftware-Varianten von Bumblebee, Latrodectus, Qakbot, DanaBot, HijackLoader, Trickbot und Warmcookie. Zudem wurden unter dem Schirm der Operation Endgame in Zusammenarbeit mit einem US-Technologiekonzern Maßnahmen gegen Lumma unterstützt.
Die neun Säulen der Cybercrimebekämpfung
Cybersicherheit betrifft jeden
Ob Privatperson, Firmen, öffentliche Einrichtungen oder die kritische Infrastruktur - Cyberstraftaten können jeden betreffen.
FAQ zu Schadsoftware
Wie kann ich mich privat gegen Schadsoftware schützen?
- Halten Sie Ihr Betriebssystem und Dritt-Software stets auf dem neusten Stand.
- Nutzen Sie eine Antiviren-Software und aktualisieren Sie diese immer wieder.
- Sichern Sie regelmäßig Ihre Daten (Backups) und halten diese am besten „offline“ vor. Seien Sie misstrauisch bei Links oder Anlagen in E-Mails mit unbekanntem Absender.
- Haben Sie aber auch ein gesundes Misstrauen, wenn Ihnen etwas bei vermeintlich bekannten Absendern ungewöhnlich vorkommt. Öffnen Sie Dateianhänge und Links von E-Mails nur mit Vorsicht. Bei einer verdächtigen E-Mail sollten Sie im Zweifelsfall den Absender anrufen und sich nach dem tatsächlichen Versand der Inhalte erkundigen.
Wie können sich Unternehmen gegen Schadsoftware schützen?
- Entwerfen Sie Verfahrensweisen und Anleitungen, wie sich Ihre Mitarbeitenden im Falle eines Cyberangriffs verhalten sollen.
- Aktualisieren Sie Ihr Sicherheitskonzept regelmäßig.
- Schulen Sie Ihre Mitarbeitenden hinsichtlich Cybersicherheit.
- Legen Sie (vom System getrennte) Backups Ihres Systems an.
- Erstatten Sie im Fall einer Infektion unverzüglich Strafanzeige bei Ihrer Zentralen Ansprechstelle Cybercrime (ZAC). Eine Übersicht über die Ansprechstellen finden Sie hier
Was mache ich, wenn ich Opfer eines Schadsoftware-Angriffs geworden bin?
Sie sind Opfer einer Straftat geworden (hier einer Datenveränderung, strafbar gem. § 303a Strafgesetzbuch), indem ohne Ihr Wissen Schadsoftware auf einem Ihrer Computer installiert wurde. Es besteht die Gefahr, dass die Täter Zugang zu Ihren persönlichen Daten hatten oder Sie aufgrund der nachgeladenen Schadsoftware nicht mehr auf Ihren Computer und Ihre Daten zugreifen können. Das BKA rät Ihnen, alle Ihre Zugangsdaten, die Sie auf den betroffenen Systemen (zum Beispiel im Web-Browser) gespeichert oder eingegeben haben, zu ändern und Ihre Systeme zu bereinigen.
Eine Anleitung, wie sie dies durchführen, finden Sie beispielsweise hier auf der Internetseite des BSI
Die Polizei rät: Erstatten Sie bei Cyberangriffen jeder Art unverzüglich Strafanzeige bei Ihrer örtlich zuständigen Polizeidienststelle. Cyberkriminelle werden Angriffe wiederholen und die Polizei kann nur Kriminalität bekämpfen, wenn Sie sie über eine Straftat informieren.
Begriffserklärung
Cybercrime-as-a-Service (CaaS)
„Cybercrime-as-a-Service“ ist ein professionalisiertes, illegales Geschäftsmodell für Cyberkriminalität, das Cyberkriminalität als buchbare Leistung anbietet. Cyberkriminelle stellen Tools, Anwendungen, Plattformen, Know-how und andere Services zur Ausführung krimineller Handlungen wie Angriffe auf IT-Systeme, Daten und digitale Infrastrukturen zur Verfügung. Angeboten werden beispielsweise Leistungen wie Ransomware-as-a-Service (RaaS), Botnetze, DDoS-Attacken, Diebstahl von Daten sowie Malware.
Kill Chain/Angriffskette
Die Kill Chain ist ein Modell, das Cyberangriffe in verschiedene Phasen unterteilt. Im Verlauf werden Computer zunächst oft durch eine spezialisierte Schadsoftware – wie Dropper oder Loader – infiziert. Diese dienen als Türöffner für weiteren Schadcode und werden häufig über Phishing-Mails verteilt. Über nachgeladene Malware wird dann ein dauerhafter Zugang hergestellt und gegebenenfalls eine Fernkontrolle installiert. So gelingen Anschlusstaten wie Datenausleitung oder -verschlüsselung, die in der Regel zur Profiteintreibung genutzt werden. Werden Computer mit Administratorenrechten infiltriert, besteht die Gefahr, dass ganze Netzwerke übernommen werden.
Initial Access Provider
Ein Initial Access Provider verschafft sich den Erstzugriff auf einen Computer; meist finden diese Provider eine Lücke im Sicherheitssystem oder nutzen Malware um einen Zugang in ein System zu erhalten. Diese Zugangswege verkaufen diese Provider dann an andere Cyberkriminelle wie beispielsweise Ransomware-Gruppierungen.
Bot/Botnetz
Als Bot bezeichnet man ein Programm, das ferngesteuert auf einem Computersystem arbeitet und dieses so kontrolliert. Von Botnetzen spricht man dann, wenn sich sehr viele infizierte Systeme – meist mehrere Tausend – per Fernsteuerung zusammengeschlossen haben und zu bestimmten Aktionen missbraucht werden. Nicht nur klassische PCs können zu Bots werden, auch andere Geräte, welche einen Internetzugang haben oder Teil eines Netzwerkes sind, sind gefährdet. Beispiele sind hier mobile Geräte wie Smartphones oder Tablets, Wearables oder Teile des sogenannten Internet of Things (IoT) wie Webcams oder Router.
Command & Control-Infrastruktur
Ein Command-and-Control-Server (C&C-Server) ist ein Server, der dazu verwendet wird, Befehle an ein kompromittiertes System zu senden und es auf diese Weise aus der Ferne zu kontrollieren. In den meisten Fällen wird ein solcher Server von Angreifern oder Cyberkriminellen betrieben, um unbemerkt Schadcodes in das System des Opfers einzuschleusen, Passwörter auszulesen, Daten zu stehlen oder zu manipulieren oder den betroffenen Rechner unbemerkt als Teil eines Botnetzes zu missbrauchen. Die Anzahl und Struktur der Vernetzung der C&C-Server eines Botnetzes kann variieren. In der Regel spricht man von Command & Control-Infrastruktur, wenn sich Cyberkriminelle mehrerer C&C-Server bedienen.
Malware
Malware (abgeleitet aus „Malicious software“) bezeichnet Schadsoftware, die dazu entwickelt wurde, unerwünschte und meist schädliche Funktionen auf einem IT-System ausführen (z.B. Loader, Dropper und Ransomware). Diese werden zunehmend mit einer Vielzahl an Funktionalitäten programmiert und nicht mehr nur für einen spezifischen Zweck eingesetzt. Zum Beispiel verschlüsselt Ransomware Daten auf einem angegriffenem IT-System und verlangt vom Besitzer eine finanzielle Leistung für die Entschlüsselung der Daten. Spionagesoftware dagegen versucht, Informationen aus einem IT-System auszuleiten. Malware kann auf allen Betriebssystemen und (mobilen) Endgeräten ausgeführt werden.
Phishing
Unter Phishing (abgeleitet von fishing, zu Deutsch „angeln“) versteht man Versuche von Kriminellen, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner auszugeben, um so an deren persönliche Daten zu gelangen. Typisch ist dabei die Nachahmung einer vertrauenswürdigen Stelle, zum Beispiel einer Bank. Sie zielen darauf ab, die Konten der Betroffenen zu plündern, Schadsoftware zu installieren oder Identitätsdiebstahl zu begehen.
Initial Access Malware: Dropper/Loader
Dropper oder Loader sind eigenständig ausführbare Computerprogramme mit der primären Funktion, Opfersysteme unbemerkt zu infizieren und danach weitere Schadsoftware(-Module) nachzuladen. Sie sind besonders gefährlich und relevant, da sie oftmals der Ausgangspunkt für Infektionen mit noch schadhafteren Malwarevarianten sind. Dropper werden oft im Rahmen von massenhaft versandten E-Mails (sogenannte Spam-E-Mails) verbreitet. Die Art der Infektion kann sich aber bei verschiedenen Droppern unterscheiden. Dropper können auch durch andere Malware auf infizierten Systemen nachgeladen werden.
Ransomware
Das englische Wort „ransom“, zu Deutsch Lösegeld, bezeichnet den Zweck, zu dem Cyberkriminelle Ransomware-Schadprogramme einsetzen. Ransomware in seinen unterschiedlichen Varianten zielt in der Regel auf die Verschlüsselung von Dateien auf dem angegriffenen IT-System ab. Nachdem die Daten verschlüsselt wurden, wird seitens der Angreifer ein Lösegeld verlangt, um die Daten wieder freizugeben bzw. sie nicht im Internet zu veröffentlichen. Opfer von Ransomware wurden in der Vergangenheit nicht nur Großkonzerne, sondern auch mittelständische Unternehmen Krankenhäusern und Kommunen. Aber auch Privatpersonen können von Ransomware-Angriffen unmittelbar betroffen sein.
Videomaterial auf Anfrage
Wenn Sie Videomaterial benötigen, wenden Sie sich bitte an die Pressestelle des BKA unter pressestelle@bka.bund.de