Gemeinsame Aktion gegen Cyberkriminelle: BKA, Europol und Microsoft zerschlagen Schadsoftware-Infrastruktur

Im Zentrum dieser Operation standen die beiden weltweit am häufigsten genutzten Schadprogramme Amadey und StealC. Dabei fanden die Ermittler heraus, dass die beiden Schadprogramme zwar von unterschiedlichen Kriminellen entwickelt wurden, aber auf dieselbe technische Infrastruktur zurückgreifen. Amadey bricht in die Systeme ein, während StealC Passwörter und sensible Daten stiehlt – eine klassische Arbeitsteilung im digitalen Untergrund.

Internationale Zusammenarbeit

Allein in der ersten Maihälfte waren diese Werkzeuge an mehr als 140.000 Infektionen weltweit beteiligt. Deutschland war bei dieser Stichprobe hinter den USA am stärksten von den Angriffen betroffen. Um die Funktionsweise der Schadsoftware zu verstehen, nutzten die Ermittler Künstliche Intelligenz, mit deren Hilfe sie den komplexen Code in Minuten statt Tagen analysieren konnten.

Die deutsch-niederländisch-dänische Zusammenarbeit bildete das Rückgrat der Operation. Hierbei spielte das deutsche Bundeskriminalamt eine wichtige Rolle: Gemeinsam mit niederländischen und dänischen Polizeibehörden gingen die deutschen Beamten im Rahmen der internationalen "Operation Endgame" gegen die kriminelle Infrastruktur vor. Unter der Führung von Europol und dem BKA wurden Hunderte Server beschlagnahmt, Millionen infizierter PCs befreit und weltweite Haftbefehle gegen die Hintermänner erlassen.

Juristische Mittel gegen globale Netzwerke

Die bilanziellen Schäden der Aktion sind beträchtlich: Rund 15.000 Webseiten, über 320 Server und mehr als 140 Domains wurden unschädlich gemacht. Microsoft konnte über 200 Command-and-Control-Server abschalten – jene zentralen Systeme, mit denen die bösartigen Hacker infizierte Geräte fernsteuern. Gleichzeitig wurde die kriminelle Kontrolle über mehr als 18.000 identifizierte Opfer-Computer weltweit gekappt.

Parallel zur technischen Zerschlagung liefen juristische Verfahren. In Deutschland werden die Ermittlungen unter anderem wegen des Verdachts der banden- und gewerbsmäßigen Erpressung sowie der Erpressung im besonders schweren Fall geführt. Medienberichten zufolge kam das US-Gesetz gegen organisierte Kriminalität zur Anwendung – das sogenannte RICO (Racketeer Influenced and Corrupt Organizations Act). Dieses erlaubt den Ermittlern, verschiedene Akteure als Teil einer einzigen, globalen kriminellen Verschwörung zu belangen und so das gesamte Netzwerk auf einmal anzugreifen.

Stimmen aus den Ermittlungsbehörden

Während Microsoft die Bedrohung durch Amadey untersuchte, ermittelte Europols Zentrum zur Bekämpfung der Cyberkriminalität (EC3) parallel gegen das Programm StealC. Dazu gehören auch Angriffe der russisch-assoziierten Gruppe "Secret Blizzard", die Amadey-Infektionen für Attacken auf Ziele in der Ukraine nutzte. Die Konsequenzen solcher Angriffe sind weitreichend und reichen von lahmgelegten Krankenhäusern bis hin zu staatlich unterstützter Spionage.

Carsten Meywirth, Leiter der Abteilung Cybercrime im BKA, sagte: "Mit der Fortsetzung der Operation Endgame sind wir erneut gegen die technischen Infrastrukturen vorgegangen, auf die sich zahlreiche Cyberkriminelle weltweit verlassen haben." Ergänzend erklärte ein BKA-Sprecher: "Die Maßnahmen nehmen den Tätern zentrale Werkzeuge aus der Hand, unterbrechen die virtuelle Infektionskette und schützen viele weitere potenzielle Opfer vor diesen Schadsoftware-Varianten."

Mit der Operation sei ein wesentlicher Baustein des kriminellen Wertschöpfungsprozesses der vernetzten und arbeitsteiligen Strukturen im Bereich Cybercrime geschwächt worden, so der BKA-Sprecher weiter. Meywirth betonte zudem: "Das zeigt, dass die internationalen Strafverfolgungsbehörden Cybercrime grenzüberschreitend alle rechtlichen Mittel entgegensetzen, auch in enger Zusammenarbeit mit dem Privatsektor." "Operation Endgame" war die bisher größte internationale Polizeiaktion gegen Cyberkriminalität, bei der im Mai 2024 die Infrastruktur der weltweit gefährlichsten Botnet-Loader – darunter auch Amadey – zerschlagen wurde.

Die Aktion hatte auch unmittelbare Auswirkungen auf den Kapitalmarkt: Die an der NASDAQ gelistete Microsoft-Aktie gewann zeitweise 1,28 Prozent auf 378,73 Dollar. Die Nachricht wurde am 24.06.2026 im Programm Deutschlandfunk gesendet, datiert aus Redmond und Wiesbaden.