Geschrieben von: Steffen Breitner
Internationale Strafverfolgungsbehörden haben gemeinsam mit Microsoft eine zentrale Infrastruktur der globalen Cyberkriminalität zerschlagen. Der Dienst „RedVDS“ bot Cyberkriminellen weltweit Serverkapazitäten an, die für Betrug, Phishing und Datendiebstahl genutzt wurden. Auch Server in Deutschland gehörten zum Netzwerk. Der Schaden geht in die Hunderte Millionen Euro.
Die Server eines bekannten und für Cybercrime genutzten Abo-Dienstes wurden im Rahmen einer großangelegten Aktion beschlagnahmt.
- RedVDS ist ein Online-Dienst, der mit Abo-Modellen arbeitet und temporäre virtuelle Server anbietet. Diese Struktur ermöglicht es Kriminellen, unerkannt Online-Betrug in großem Stil zu begehen.
- Im Rahmen einer internationalen Kooperation unterschiedlicher Strafverfolgungsbehörden wurden in Deutschland befindliche Server von RedVDS beschlagnahmt.
- Die Ermittlungen sind noch nicht abgeschlossen und bislang erfolgten keine Festnahmen. Die Hintermänner werden im Nahen Osten vermutet.
Die Rolle von RedVDS
RedVDS ist ein weltweit agierender Abo-Dienst und gilt laut Microsoft als sogenannter „Cybercrime-as-a-Service“-Anbieter. Der Dienst stellt eine technische Infrastruktur bereit, die gezielt für kriminelle Aktivitäten genutzt wurde. Gegen eine monatliche Gebühr konnten Nutzer virtuelle Server mieten, die kurzzeitig für Angriffe eingesetzt und danach wieder abgeschaltet wurden.
Diese Server fungierten als digitale Wegwerf-Rechner. Sie erschwerten Ermittlungen erheblich, da Spuren schnell verschwanden. Die angebotene Infrastruktur ermöglichte es, Angriffe anonym, automatisiert und grenzüberschreitend durchzuführen. Genau diese Eigenschaften machten RedVDS für organisierte Cyberkriminalität besonders attraktiv.
Nach Erkenntnissen der Ermittler handelte es sich um einen professionell organisierten Dienst mit tausenden Nutzern weltweit. Die Zielgruppen reichten von kleinen Betrugsgruppen bis hin zu international agierenden Netzwerken.
Die Vorgehensweise der Täter
Die über RedVDS bereitgestellte Infrastruktur wurde für unterschiedliche Betrugsformen genutzt. Besonders häufig kam es zu Phishing-Angriffen. Dabei versendeten die Täter massenhaft E-Mails, um an Zugangsdaten zu gelangen.
Ein Schwerpunkt lag auf sogenanntem Business Email Compromise. In diesen Fällen verschafften sich Angreifer Zugriff auf geschäftliche E-Mail-Konten. Sie überwachten laufende Kommunikation und griffen im richtigen Moment ein. Rechnungen wurden manipuliert. Bankverbindungen ausgetauscht. Zahlungen umgeleitet.
Auch Behörden und öffentliche Einrichtungen waren betroffen. Neben Unternehmen in Hessen und Brandenburg registrierten Ermittler Schäden in zahlreichen weiteren Ländern. Die Täter gaben sich als Vorgesetzte, Geschäftspartner oder Lieferanten aus. Die Betrugsversuche waren oft technisch und sprachlich professionell gestaltet.
Das Ausmaß der Schäden
Der finanzielle Schaden wird von Experten auf mehrere hundert Millionen Euro geschätzt. Die Dunkelziffer dürfte deutlich höher liegen. Viele Betrugsfälle werden nicht gemeldet oder erst spät erkannt.
Nach Angaben aus Ermittlerkreisen verschickten allein innerhalb eines Monats mehr als 2.600 virtuelle Maschinen täglich durchschnittlich eine Million Phishing-Nachrichten. Betroffen waren nicht nur Nutzer eines einzelnen Anbieters, sondern Kunden nahezu aller großen E-Mail- und Plattformdienste.
In mehreren dokumentierten Fällen verloren Unternehmen Millionenbeträge. Besonders stark betroffen waren Branchen mit hohen Einzelzahlungen, darunter Immobilienwirtschaft, Gesundheitswesen, Bau und Logistik. Auch kleinere Organisationen und Privatpersonen gehörten zu den Opfern.
Internationale Aktion gegen ein globales Netzwerk
Die Zerschlagung von RedVDS erfolgte im Rahmen einer koordinierten Aktion. Beteiligt waren Strafverfolgungsbehörden aus Deutschland, den USA und Großbritannien. Unterstützt wurde die Maßnahme unter anderem durch technische und rechtliche Beiträge von Microsoft sowie durch internationale Stellen wie Europol.
In Deutschland waren die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) bei der Generalstaatsanwaltschaft Frankfurt am Main sowie das Landeskriminalamt Brandenburg federführend beteiligt. Die Ermittlungen liefen über mehrere Monate hinweg und basierten auf umfangreichen technischen Analysen und internationalen Rechtshilfeersuchen. Ziel der Aktion war die nachhaltige Störung der gesamten Infrastruktur. Dazu gehörten Server, Domains, Marktplätze und Verwaltungsoberflächen des Dienstes.
Server in Deutschland als technischer Knotenpunkt
Eine besondere Bedeutung kam Servern in Deutschland zu. Nach übereinstimmenden Medienberichten befand sich ein zentrales Rechenzentrum der RedVDS-Infrastruktur in Limburg an der Lahn. Dort wurden mehrere Server beschlagnahmt und außer Betrieb genommen. Insgesamt wurden rund 70 Server abgeschaltet, die Teil des globalen Netzwerks waren.
Den Betreibern des Rechenzentrums selbst wird kein Fehlverhalten vorgeworfen. Die Server wurden legal vermietet. Die kriminelle Nutzung erfolgte ohne Wissen der Betreiber. Dieses Vorgehen ist typisch für Cybercrime-Infrastrukturen, die reguläre Hosting-Dienste missbrauchen.
Keine Festnahmen, Täter im Ausland vermutet
Trotz der umfangreichen Maßnahmen kam es bislang nicht zu Festnahmen. Die mutmaßlichen Betreiber und Hauptverantwortlichen werden in einem Staat im Nahen Osten vermutet. Die Identifizierung der Hintermänner gilt als komplex. Die Täter nutzten verschachtelte Zahlungswege, Strohmänner und internationale Serverstrukturen. Die aktuelle Aktion wird dennoch als wichtiger Schritt bewertet, da sie zentrale operative Fähigkeiten der Gruppe einschränkt.
Kein Ende in Sicht
Die Ermittlungen dauern an. Ziel ist es, weitere Beteiligte zu identifizieren und auch finanzielle Strukturen offenzulegen. Weitere Abschaltungen und rechtliche Schritte sind möglich. Parallel dazu arbeiten Behörden und Unternehmen an neuen Strategien zur frühzeitigen Erkennung vergleichbarer Dienste. Die Bekämpfung von Cyberkriminalität erfordert langfristige Ansätze, stabile Kooperationen und kontinuierliche Anpassung an technische Entwicklungen.
