Operation Endgame und Endgame 2.0: Deutschlands Schlag gegen Cyberkriminalität

Die Operation Endgame bezeichnet eine mehrphasige, internationale Strafverfolgungsaktion, die 2024 von deutschen Ermittlern initiiert wurde, um die Infrastruktur globaler Cybercrime-Gruppierungen zu zerstören. Kerngedanke der Strategie ist es, Cyberkriminelle bereits auf der Stufe der Erstinfektion zu stoppen – sogenannte „Initial Access Malware“ wie Dropper oder Loader wird gezielt abgeschaltet¹.

Im Mai 2024 startete die erste Phase, gefolgt von der „Operation Endgame 2.0“ im Mai 2025. In diesen Phasen arbeiteten das Bundeskriminalamt (BKA) und die Zentralstelle Internetkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt eng mit zahlreichen internationalen Partnern (u. a. USA, Niederlande, Frankreich, Dänemark, Großbritannien, Kanada, Europol und Eurojust) zusammen^{2 3}.

Ziel der Operation ist es, kriminelle Geschäftsmodelle wie Cybercrime-as-a-Service an der Wurzel zu treffen. Indem die zuständigen Behörden die ersten „Türen“ – also die Software-Loader – bereits im Ansatz neutralisieren, wird verhindert, dass nachfolgende Malware (etwa Ransomware) Daten erpresst oder Systeme verschlüsselt⁴.

Die internationalen Razzien richteten sich entsprechend gegen die Hinterleute und Infrastruktur einflussreicher Schadsoftware-Familien. Bei Endgame 2.0 im Mai 2025 gingen die Ermittler gezielt gegen Nachfolge-Gruppierungen der bereits zuvor zerschlagenen Netzwerke vor – darunter die Loader von Bumblebee, Latrodectus, Qakbot, DanaBot, HijackLoader, Trickbot und Warmcookie^{5 6}.

Beteiligte Behörden und internationale Zusammenarbeit

Die Operation Endgame ist ein Paradebeispiel grenzüberschreitender Kooperation. Angeführt wurde sie in Deutschland von der ZIT Frankfurt und dem BKA, die gemeinsam die internationalen Maßnahmen koordinierten⁷. Beteiligt waren Strafverfolgungsbehörden aus zahlreichen Ländern – neben den USA, Niederlanden, Frankreich und Dänemark auch Großbritannien und Kanada – sowie die EU-Agenturen Europol und Eurojust^{8 9}. Selbst Länder wie die Ukraine, Portugal oder Litauen unterstützten die Aktionen, indem sie Festnahmen durchführten oder forensische Auswertungen ermöglichten^{10 11}.

Laut einer FBI-Pressemitteilung handelte es sich um die „erste koordinierte internationale Operation ihrer Art“, an der über ein Dutzend Staaten beteiligt waren. In der Mai-2024-Runde wurden so weltweit über hundert Serversysteme abgeschaltet, um die kriminellen Dropper-Dienste unschädlich zu machen¹².

Die Zusammenarbeit erstreckt sich auch auf Justizebene: Eurojust begleitete die Rechtshilfe und Abstimmung der europäischen Staatsanwaltschaften, während Europol die operative Analyse, die Echtzeit-Informations-Sharing und insbesondere die Krypto-Transaktionsanalyse unterstützte¹³.

Dank dieser internationaler Vernetzung gelingt es, Täter grenzüberschreitend zu verfolgen: In mehreren Ländern wurden Ermittlungsverfahren initiiert, und weltweit ausstehende internationale Haftbefehle (etwa für 18 Beschuldigte von Trickbot/Qakbot-Netzwerken) durch Europol und Interpol publiziert^{14 15}.

Strategie und technische Durchführung

Kern der Endgame-Strategie ist der „Kill Chain“-Ansatz: Die Behörden setzen unmittelbar an der ersten Tür der Angriffskette an¹⁶. In der Praxis bedeutete dies, dass Ermittler den Zugangspunkt (Dropper/Loader) übernehmen oder lahmlegen. Technisch gelang das teilweise durch Kooperation mit Technologieunternehmen (z. B. Microsoft bei der Bekämpfung des Lumma-Stealers), teilweise durch direkte Beschlagnahmung von Servern und Domains. Bei den Aktionstagen wurden weltweit insgesamt rund 300 Server stillgelegt (davon etwa 50 in Deutschland) und gut 650 Domains neutralisiert^{17 18}.

Die illegalen Dienste, die noch online waren, zeigten oft ein „Sicherstellungsbanner“ mit dem Hinweis der Strafverfolger anstelle der gewohnten Webseite.

Parallel nutzten die Ermittler klassische Razzien und Durchsuchungen, um Verdächtige festzunehmen oder Beweismittel zu sichern. Schon im Mai 2024 wurden bei der ersten Endgame-Phase Dutzende Durchsuchungen in Deutschland und weiteren Ländern durchgeführt. Dabei konnten Ermittler Personenkonten, Log-Daten und Bitcoins im Wert von mehreren Millionen Euro beschlagnahmen^{19 20}. Durch diese Infrastruktur-Angriffe wird das Geschäftsmodell der Malware-Gruppe empfindlich getroffen – und den Tätern oftmals die Möglichkeit entzogen, neu gestartete Cyberangriffe zu koordinieren.

Erfolge und Ergebnisse

Die bisherigen Erfolge von Operation Endgame sind beachtlich und lassen sich an klaren Zahlen ablesen. In der jüngsten Runde (Endgame 2.0, Mai 2025) wurden 37 Tatverdächtige identifiziert, gegen die insgesamt 20 internationale Haftbefehle erwirkt wurden^{21 22}. Durch den Zugriff auf die Server der Täter ist es gelungen, ihre technische Infrastruktur „entscheidend zu schwächen“²³. In Geldwert übersetzt bedeutete dies, dass 3,5 Millionen Euro in Bitcoin sichergestellt wurden^{24 25}. Insgesamt summieren sich die beschlagnahmten Kryptovermögen in den Endgame-Aktionen auf über 21 Millionen Euro (Stand Mai 2025)^{26 27}.

Bereits die erste Phase von Endgame 2024 setzte deutliche Zeichen. Damals richteten sich die Maßnahmen gegen die Infrastruktur der sechs einflussreichsten Malware-Familien (IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot und Trickbot). Ermittlern zufolge wurden Botnetze von mindestens 15 Ransomware-Gruppen zerschlagen²⁸. So war nach den Razzien gegen diese Dropper ein direkter Zugriff auf das System vieler Opfer nicht mehr möglich, noch bevor diese erpresst werden konnten.

Im September 2024 folgte ein weiterer Schlag: Damals nahmen Polizei und Staatsanwaltschaft zwei große kriminelle Kryptobörsen – Cryptex und PM2BTC – vom Netz und beschlagnahmten sowohl die Plattformen als auch dort hinterlegte Vermögenswerte²⁹.

Zum Teil erwies sich der Informationsgewinn durch Ermittlungsmaßnahmen als besonders wertvoll: In Bayern etwa konnten Cybercrime-Ermittler im April 2025 durch technische Maßnahmen einen Großteil der Chat- und Verkaufs-Strukturen eines „Digitalen Drogenhändlers“ übernehmen und so neue Hinweise gewinnen^{30 31}. Diese Erkenntnisse helfen, weitere Mitglieder der Underground Economy zu identifizieren.

Als weiteres Beispiel führt die Generalstaatsanwaltschaft Bamberg den Fall „FinalExchange“ an: Im Herbst 2024 schalteten BKA und ZIT 47 frei zugängliche Krypto-Exchange-Services ab, die wegen fehlender KYC-/AML-Kontrollen gezielt von Kriminellen zur Geldwäsche genutzt wurden^{32 33}. Damit wurde nicht nur reine IT-Infrastruktur abgeschaltet, sondern auch die finanziellen Fluchtwege der Täter massiv gestört.

Hauptziele und Erfolge von Operation Endgame (Auswahl):

• Lahmlegen von Cybercrime-Infrastruktur: Abschaltung von hunderten kriminellen Servern und Domains^{34 35}
• Festnahmen und Haftbefehle: Identifikation von Dutzenden Verdächtigen, gezielte Fahndung nach Mitgliedern von Trickbot/Qakbot-Gruppen^{36 37}.
• Neutralisierung von Malware: Zerschlagung von Botnetzen, die von Ransomware-Gruppen genutzt wurden.³⁸
• Beschlagnahme von Kryptowerten: Sicherstellung von Bitcoins im höheren einstelligen Millionen-Euro-Bereich, wodurch den Tätern ihre Beute entzogen wurde.^{39 40}
• Abschaltung illegaler Exchange-Services: Stilllegung anonymer Tauschbörsen wie Cryptex/PM2BTC oder FinalExchange, die Erpressererlöse „ins normale Bankensystem“ einführten.^{41 42}

Strafrechtliche Aspekte: Erpressung, Geldwäsche & Co.

Die strafrechtliche Verfolgung steht im Zentrum von Operation Endgame. In Deutschland werden gegen die Beschuldigten Straftatbestände wie bandenmäßige und gewerbsmäßige Erpressung (§ 253 StGB) und Mitgliedschaft in einer kriminellen Vereinigung (§ 129 StGB) verfolgt⁴³. So ist etwa das Verschlüsseln von Daten gegen Lösegeldzahlung ein klassischer Erpressungsvorwurf. Die internationale Dimension der Täter (meist in Russland und Osteuropa) erschwert zwar die Festnahme, doch durch internationale Haftbefehle und koordinierte Ermittlungen können die Verantwortlichen zumindest „vom Zugriff abgeschnitten“ werden^{44 45}. Ergänzend haben die US-Behörden gegen zahlreiche Verdächtige Anklagen („Indictments“) nach amerikanischem Recht erhoben⁴⁶.

Ein weiterer zentraler Tatkomplex ist die Geldwäsche. Cyberkriminelle verdienen ihre Profite in Krypto – Ransomware zahlen üblicherweise in Bitcoin oder Monero. Um diese illegalen Erlöse in saubere Wertanlagen umzuwandeln, bedienten sich Täter anonymisierter Tauschbörsen. Die Ermittler nahmen deshalb besonders Dienste ins Visier, die das „Geldwäschenetzwerk“ der Underground Economy bilden. Im Fall „FinalExchange“ hat die BKA-Staatsanwaltschaft beispielsweise gegen die Betreiber von Exchange-Services ermittelt, weil diese ausdrücklich darauf ausgelegt waren, KYC/AML-Vorgaben zu umgehen. Die Verdachtslage lautete auf schwere Geldwäsche (§ 261 StGB) und Betrieb krimineller Handelsplattformen (§ 127 StGB)⁴⁷.

Experten betonen, dass Plattformen wie Cryptex, UAPS oder PM2BTC für die Cyberkriminalität „entscheidende Bedeutung“ haben – sie wickeln Zahlungen ab und waschen Erlöse aus dem Verkauf gestohlener Daten^{48 49}. Gerade diese Verbindung zwischen Cybercrime und Finanzkriminalität macht Endgame auch für Spezialisten aus dem Wirtschafts- und Strafrecht interessant.

Nicht zuletzt spielt der Krypto-Bezug auch steuerlich eine Rolle. Nach deutschem Recht müssen Einkünfte aus Kryptowährungen versteuert werden – wer die lukrativen Ransomware-Gewinne nicht ordnungsgemäß deklariert, riskiert eine Steuerhinterziehung. Zwar steht in den öffentlich verfügbaren Quellen zu Endgame nicht die Steuerdelinquenz im Vordergrund, doch prinzipiell kann die Finanzbehörde aus den beschlagnahmten Krypto-Transaktionen auch auf steuerpflichtige Gewinne schließen. Außerdem verstärkt die Strafverfolgung im Cybercrime-Segment die bestehenden Vorschriften zum Beispiel nach dem Geldwäschegesetz (GwG) und der EU-6. Geldwäscherichtlinie, die seit 2020 auch Krypto-Dienstleister in die Compliance-Pflichten einbindet. Betreiber von regulierten Börsen müssen die Identität ihrer Kunden prüfen – genau jenes Prinzip, das die kriminellen Exchange-Services wie FinalExchange bewusst ignorierten⁵⁰.

Wichtige Rechtsverletzungen im Kontext von Endgame:

• Erpressung (§ 253 StGB): Verschlüsselung von Daten, Drohung mit Geheimnisveröffentlichung oder Verkauf von Zugang.
• Mitgliedschaft in krimineller Vereinigung (§ 129 StGB): Zusammenarbeit innerhalb internationaler Cybergangs.
• Geldwäsche (§261 StGB): Umsetzung von Lösegeldzahlungen und anderen Straftatserlösen über Krypto-Tauschbörsen (ohne KYC)⁵¹.
• Betreiben krimineller Handelsplattformen (§127 StGB): Anbieten von Anonym-Diensten zum Geldtausch oder -wäsche.
• Steuerhinterziehung (§370 AO): Nichtdeklaration größerer Kryptoverkäufe oder Kryptowährungsgewinne.

Bedeutung für Betroffene

Für deutsche Unternehmen und Privatpersonen hebt Operation Endgame hervor, dass Cybersicherheit länderübergreifend bekämpft wird. Sowohl Opfer von Ransomware als auch mittelbare Mitwisser (etwa Administratoren illegaler Dienste) sollten sich der Reichweite der Ermittlungen bewusst sein. Die Bundesanwälte betonen, dass „Deutschland im besonderen Fokus von Cyberkriminellen“ steht⁵². ⁵³. – und dass die Strafverfolgungsmaßnahmen „auch im vermeintlich anonymen Darknet“ greifen.

Zugleich zeigen die Maßnahmen, dass bei Verdacht auf Cyberkriminalität nicht nur IT-Forensiker tätig werden: Bundeskriminalamt und Staatsanwaltschaft verfügen über spezialisierte Einheiten (ZIT, ZAC), die eng mit Steuer- und Wirtschaftsprüfungsbehörden sowie den Finanzämtern kooperieren.

Aus rechtlicher Sicht bedeutet Endgame auch: Wer Gelder aus Cyberstraftaten über Kryptowährungen transferiert, muss auch nach deutschem Recht mit Strafverfolgung rechnen – die Blockchain ist zwar pseudonym, aber durch Ermittlungen zunehmend entschlüsselbar. Verdächtige Kryptowährungen können weltweit eingefroren oder beschlagnahmt werden, wie die zweistelligen Millionenwerte zeigen^{54 55}.

Gleichzeitig sind Mandanten mit Cybercrime-Vorwürfen gut beraten, frühzeitig und offen mit den Strafverfolgern zu kooperieren. Denn die erlangten Beweismittel (Serverlogs, Finanzdaten) führen in vielen Fällen zu weiteren Tatbeteiligten und Transaktionen. Schließlich sollten Betroffene bedenken, dass neben strafrechtlichen Konsequenzen auch steuerrechtliche Nachforderungen drohen, wenn Einnahmen aus Kryptotransaktionen nicht deklariert wurden. Wer etwa Erpressungsgelder mit Krypto erwarb und später legalisierte, muss dies dem Finanzamt angeben – bei Verschleierung besteht Verdacht auf Steuerhinterziehung.

Fazit

Operation Endgame und Endgame 2.0 verdeutlichen: Cyberkriminalität wird von den Strafverfolgungsbehörden ganzheitlich bekämpft – IT-Infrastruktur, Täterprofile und finanzielle Hintermänner stehen gleichermaßen im Visier. Das BKA koordiniert national und international gemeinsame Aktionen, bei denen führende Schadsoftware-Netzwerke und ihre Krypto-Tauschbörsen lahmgelegt werden^{56 57}.

Für Experten im Straf- und Steuerrecht ist dabei wichtig zu sehen, dass diese Verfahren nicht nur ein IT-Problem sind, sondern klassische Delikte wie Erpressung, Geldwäsche und Steuerhinterziehung berühren. Unternehmen und Privatpersonen mit Krypto-Bezug sollten daher wissen, dass die Blockchain-Aktivitäten bei solchen Ermittlungen zunehmend nachverfolgt werden. Mit Operation Endgame senden die Behörden eine klare Botschaft: Wer kriminelle Erlöse über Kryptowährungen verstecken will, muss damit rechnen, dass diese Strategie durch gezielte internationale Aktionen aufgedeckt wird^{58 59}.

Quellen: Amtliche Pressemitteilungen von BKA, Europol und Eurojust, Auskünfte des US-Justizministeriums (FBI/DOJ) sowie Recherchen renommierter Medien liefern die Fakten zu Operation Endgame. Diese Zusammenstellung fasst die wichtigsten technischen und rechtlichen Erkenntnisse zusammen.