Internationale Ermittler schalten tausende Server und Webseiten ab
Wiesbaden. Internationale Strafverfolgungsbehörden haben Mitte Juni 2026 einen weiteren Schlag gegen organisierte Cyberkriminalität geführt. Im Rahmen der Operation Endgame wurden drei besonders gefährliche Schadsoftware-Varianten weltweit außer Gefecht gesetzt – mit spürbaren Folgen für kriminelle Netzwerke und Millionen potenzieller Opfer.
International abgestimmter Schlag gegen Cybercrime
Zwischen dem 15. und 19. Juni 2026 gingen Ermittler aus mehreren Ländern koordiniert gegen die digitale Infrastruktur von Cyberkriminellen vor. Beteiligt waren unter anderem Behörden aus Deutschland, den Niederlanden, Dänemark, Großbritannien, den USA und Kanada. Unterstützt wurde die Aktion durch Europol, Eurojust, das US-Unternehmen Microsoft sowie weitere internationale IT-Sicherheitsfirmen.
Federführend in Deutschland waren die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA).
Tausende Webseiten und Server abgeschaltet
Im Fokus der Maßnahmen stand die nachhaltige Zerschlagung der technischen Basis dreier weltweit genutzter Schadsoftware-Varianten: SocGholish, StealC und Amadey. Insgesamt machten die beteiligten Behörden rund 15.000 Webseiten, mehr als 320 Server – davon 40 in Deutschland – sowie über 140 Domains unschädlich.
Darüber hinaus stellten die Ermittler etwa 27 Millionen Zugangsdaten sicher, die mehr als 385.000 Opfer betreffen. Betroffene können prüfen lassen, ob ihre Daten kompromittiert wurden. In Deutschland unterstützt das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusätzlich bei der Information betroffener Nutzerinnen und Nutzer.
Auch finanzielle Strukturen der Täter gerieten ins Visier: Kryptowerte im Umfang von derzeit über 47 Millionen US-Dollar konnten identifiziert, markiert und in ihrer Nutzung eingeschränkt werden.
Ermittlungen auch in Deutschland
In Deutschland laufen strafrechtliche Ermittlungen unter anderem wegen des Verdachts der banden- und gewerbsmäßigen Erpressung sowie der besonders schweren Erpressung. Durch das Abschalten zentraler Systeme wurde die sogenannte Infektionskette unterbrochen – also der Weg, über den Schadsoftware auf neue Opferrechner gelangt.
Die Maßnahmen schwächen damit gezielt das arbeitsteilige Geschäftsmodell internationaler Cybercrime-Strukturen.
Carsten Meywirth, Leiter der Abteilung Cybercrime im BKA, erklärt:
„Mit der Fortsetzung der Operation Endgame sind wir erneut gegen die technischen Infrastrukturen vorgegangen, auf die sich zahlreiche Cyberkriminelle weltweit verlassen haben. Dadurch wurde auch die Erstinfektion einer Vielzahl weltweiter Opfersysteme unterbunden. Das zeigt, dass die internationalen Strafverfolgungsbehörden Cybercrime grenzüberschreitend alle rechtlichen Mittel entgegensetzen, auch in enger Zusammenarbeit mit dem Privatsektor.“
Schadsoftware als Dienstleistung
Die nun ausgeschalteten Programme wurden von Kriminellen nicht nur selbst genutzt, sondern als „Cybercrime-as-a-Service“ angeboten. Andere Täter konnten diese Werkzeuge mieten, um fremde Computersysteme zu infizieren und weitere Straftaten vorzubereiten – etwa Datendiebstahl oder digitale Erpressung.
- SocGholish verbreitete sich über manipulierte Webseiten, auf denen angebliche Browser-Updates angeboten wurden. Stattdessen installierten Nutzer unbemerkt Schadsoftware, die später unter anderem Ransomware nachladen konnte.
- StealC war darauf spezialisiert, sensible Daten wie Passwörter und digitale Identitäten auszulesen und für kriminelle Weiterverwendung bereitzustellen.
- Amadey wurde vor allem über Phishing-Kampagnen verbreitet und diente als Einstiegspunkt für weitere Schadsoftware, konnte aber ebenfalls Daten abgreifen.
Angriff an der Wurzel der digitalen Tatkette
Ziel der Operation Endgame ist es, möglichst früh in der sogenannten Kill Chain anzusetzen – also ganz am Anfang eines Cyberangriffs. Schadsoftware dieser Kategorie dient als Türöffner für weitergehende Angriffe wie Datenspionage oder Ransomware-Erpressungen.
Dr. Benjamin Krause, Leitender Oberstaatsanwalt und Pressesprecher der ZIT, betont:
„Die Operation Endgame ist das Paradebeispiel der internationalen Kooperation von Strafverfolgungsbehörden und privaten Organisationen im gemeinsamen Kampf gegen Cybercrime. Wie die Kriminellen arbeiten auch wir arbeitsteilig und international vernetzt, um schlagkräftig zu sein. Der Unterschied ist: Wir stehen auf der guten Seite.“
Unterstützung für Betroffene
Das BSI begleitet die Operation seit Mai 2024 technisch, unter anderem durch sogenanntes Sinkholing. Dabei werden Kontaktversuche infizierter Rechner auf behördliche Server umgeleitet. So können Betroffene identifiziert und informiert werden. Zusätzlich verhindert das BSI, dass Schadsoftware auch nach Abschaltung der Täterserver erneut aktiv wird.
Unternehmen und Institutionen, deren Zugangsdaten durch StealC abgeflossen sind, werden gezielt benachrichtigt.
Einordnung
Die Operation zeigt, wie stark Cyberkriminalität international vernetzt ist – und dass ihr nur durch grenzüberschreitende Zusammenarbeit wirksam begegnet werden kann. Durch das Lahmlegen zentraler Infrastruktur wird Cybercrime nicht vollständig beendet, aber deutlich erschwert und verteuert.
