Die Art und Weise, wie digitale Ermittler in Deutschland und Europa heute arbeiten, hat sich fundamental gewandelt – längst noch nicht von allen Akteuren bemerkt. Ich selbst beobachte als Cybercrime-Strafverteidiger in meinen eigenen Cybercrime-Verfahren seit Jahren, wie die Dinge sich ändern – dazu kommen die zahlreichen Informationen, die ich aus meinem Netzwerk von Mandanten und auch Kollegen erhalte. Und ich kann nur sagen: Es wird Zeit, aufzuwachen. Denn gerade deutsche Ermittler sind extrem hartnäckig und wissen internationale Instrumente extrem gut auszuspielen. Vor allem die Sonderstaatsanwaltschaften in Köln, Frankfurt und Bamberg muss man international auf dem Schirm haben.
Cybercrime-Plattformen im Visier der Ermittler
Unvermeidbar ist auch bei mir die obligatorische Einleitung, ich möchte kurz einen Blick auf aktuelle Zerschlagungen werfen: Nationale und internationale Strafverfolgungsbehörden zerschlagen schließlich mit zunehmender Geschwindigkeit eine Reihe bedeutender Infrastrukturplattformen des Cybercrime.
Das Bundeskriminalamt etwa spricht im aktuellen Bundeslagebild Cybercrime 2024 von „maßgeblichen Erfolgen“, was mit dem zunehmenden Druck auf den organisierten digitalen Untergrund korreliert. Die Zielrichtungen reichen dabei von Ransomware-Infrastrukturen über Phishing-Dienste bis hin zu illegalen Handelsplätzen im Darknet und clearnet-nahen Bereichen. Was gibt es denn so zu berichten?
Genesis Market – Credential-Marktplatz mit globaler Reichweite
Mit dem Genesis Market wurde im April 2023 eine zentrale Handelsplattform für gestohlene Zugangsdaten ausgehoben. Das FBI koordinierte die internationale Maßnahme gemeinsam mit europäischen Behörden. Der Marktplatz bot sogenannte “Bots” an – also kompromittierte Zugangsdaten inklusive Fingerprints, Cookies und Gerätedaten, verpackt in einer anwenderfreundlichen Oberfläche. Genesis war damit ein Schlüsselinstrument für Identitätsdiebstahl, Kontoübernahmen und nachgelagerte Betrugstaten. Laut BKA erfolgten im Rahmen der Operation „Cookie Monster“ mehrere Festnahmen in Deutschland, darunter ein Tatverdächtiger mit über 6.000 Datensätzen auf seinem Konto.
Raidforums und BreachForums – Nachfolger und Kollaps
Bereits im Jahr 2022 war mit Raidforums eine Plattform offline genommen worden, die eine zentrale Rolle beim Austausch großer Datenleaks spielte. Im Jahr 2023 wurde dann auch BreachForums abgeschaltet – eine Art Nachfolger, auf dem unter anderem hochsensible Datensätze wie die von Doxbin, Gesundheitsdaten oder geleakte Behördeninformationen verkauft und verbreitet wurden. Auch dieser Schlag war international koordiniert, wobei erneut auch deutsche IP-Adressen und Nutzer betroffen waren.
Kingdom Market – Darknet-Drogenhandel und Fälschungen
Mit Kingdom Market wurde ein bedeutender Darknet-Marktplatz im Dezember 2023 vom Netz genommen. Die Plattform diente dem Handel mit Betäubungsmitteln, Ausweisdokumenten, Falschgeld und weiteren illegalen Waren. Die Infrastruktur war technisch hoch abgesichert – das BKA spricht von Nutzung mehrerer Layer verschlüsselter Server und Ausweichroutinen. Auch hier kam es zu einem Zugriff durch internationale Ermittlungsallianzen, darunter das FBI, Europol und deutsche Behörden.
Exclu Messenger – Kryptokommunikation für Organisierte Kriminalität
Ein besonderes Augenmerk legt das BKA auf die Zerschlagung des verschlüsselten Kommunikationsdienstes „Exclu“. Dieser wurde im Februar 2023 im Rahmen einer konzertierten Aktion niedergelegt. Exclu war als vermeintlich sicherer Messenger-Dienst vor allem im Milieu der organisierten Kriminalität verbreitet – darunter auch Akteure aus dem Cybercrime-Bereich, etwa Ransomware-Gruppen oder Anbieter von DDOS-as-a-Service. Die Plattform wurde von einem Entwicklerteam mit Sitz in den Niederlanden betrieben; auch hier war Deutschland erneut aktiv an Ermittlungen beteiligt.
Phishing-as-a-Service Anbieter „LabHost“
Im April 2023 wurde mit „LabHost“ eine Plattform abgeschaltet, die Phishing-as-a-Service in industriellem Maßstab ermöglichte. Sie stellte Phishing-Kits, Hosting und Steuerungsoberflächen für gefälschte Log-in-Seiten zur Verfügung – für Hunderte Banken, Telekom-Anbieter und Online-Dienste. Die Plattform war hochautomatisiert und ermöglichte es auch technisch unbedarften Tätern, komplexe Phishing-Kampagnen zu starten. Auch hier zeigt sich das neue Muster: Professionalisierung, Arbeitsteilung und Serviceorientierung im digitalen Verbrechen.
Weitere Takedowns und Trends
Neben diesen prominenten Fällen verweist das BKA auf zahlreiche weitere Zerschlagungen kleinerer Infrastruktur: Bulletproof Hostings wie Cyberbunker und ZServers, Crypting-Services und Ransomware-Command-and-Control-Server. Genannt wird insbesondere der Anbieter „NoEscape“, dessen Infrastruktur 2023 kompromittiert wurde. Die Polizei setzt dabei vermehrt auf das Zusammenspiel von „Cyber Action Days“, OSINT, infiltrierten Telegram-Gruppen und klassischer verdeckter Ermittlungsarbeit.
Blick des Cybercrime-STrafverteidigers
Die genannte Auswahl an zerschlagenenen Cybercrime-Diensten markiert eine Phase verstärkter Repression, insbesondere gegen Plattformen, die durch ihre Serviceorientierung Schwellen senken und Täterkompetenzen entkoppeln. Ich blogge seit jahren zum IT-Strafrecht und dokumentiere insoweit schon längerfristig eine Entwicklung, die allmählich vollzogen ist: Die Verschiebung vom einzelnen „Hacker“ hin zur arbeitsteilig organisierten Cybercrime-Ökonomie mit Frontend-Dienstleistern, Zahlungsabwicklern und Infrastrukturbetreibern ist vollzogen. Dass sich nun die Ermittlungsmaßnahmen auf genau diese Plattformbetreiber konzentrieren, ist Ausdruck dieser Verschiebung – zugleich zeigt sich darin aber auch eine wachsende Unsicherheit im Milieu, was Anonymität, Vertrauen und Nachhaltigkeit angeht.
Nicht zufällig nimmt auch die Zahl der Mandate zu, in denen sich Beschuldigte auf technische Naivität, rechtliche Unklarheiten und fehlenden Vorsatz berufen. Gerade bei Services wie Genesis Market oder LabHost entstehen neue Verteidigungsspielräume – sei es im Hinblick auf die subjektive Tatseite, den Umfang der Beteiligung oder die (Un-)Rechtmäßigkeit der Ermittlungsmaßnahmen.
Lust, mehr von mir kennenzulernen? Zum Thema digitale Beweismittel habe ich mich bislang in zwei Podcasts geäußert: Im Heise Podcast “Auslegungssache” habe ich mich zum Thema digitale Ermittlungen unterhalten, zu finden hier.
Im Podcast “Rechtsbelehrung” habe ich mich etwas technischer zur digitalen Forensik und Beweisführung unterhalten – zu finden hier.
Ermittler ändern die Spielregeln
Irgendwann, aus heutiger Sicht vor einigen Jahren, ist relativ schleichend aber in kurzer Zeit ein Paradigmenwechsel auf Seiten der Ermittler eingetreten. Diese veränderte Arbeitsweise hat massive Auswirkungen in den letzten Jahren gezeigt – interessanterweise sind es dabei jetzt die “Nutzer”, die den Anschluss verloren haben. Während sie in Foren und Boards immer noch von den von Technik überforderten Ermittlern fabulieren, fahren die Ermittler Ergebnis um Ergebnis ein. Das ist kein Zufall.
Natürlich muss man unterscheiden: Der durchschnittliche Polizist vor Ort ist kein Cybercrime Spezialist. Bei echtem Cybercrime wird der aber auch gar nicht mehr tätig – und die Professionalisierung bei Cybercrime-Spezialabteilungen spätestens bei LKA und den Staatsanwaltschaften (allen voran: Köln, Bamberg und Frankfurt) kann sich sehr sehen lassen. Man merkt auch schnell, dass das keine Begegnung mehr auf Augenhöhe sein kann, wenn der Standard-Verteidiger denen gegenüber aufläuft und nach Schema-F versucht zu arbeiten. Nicht ohne Grund trifft man die Kollegen der Staatsanwaltschaft aus diesen Bereichen auch regelmäßig außerhalb der eigenen Behörde bei fachlichen Veranstaltungen oder liest fachliche Publikationen aus dieser Sphäre. Auch das steht im krassen Gegensatz zu dem durchschnittlichen deutschen Staatsanwalt, der die Öffentlichkeit eher meidet und wie vor 30 Jahren arbeiten möchte.
Neue Wege für Ermittler
Die professionellen Ermittler arbeiten längst nach vollkommen neuen Methoden. Und auch wenn man es nur am Rande wahrnimmt: Sowas war vor Jahren kaum denkbar in Deutschland – man hat sich da einiges aus den USA und BTM-Ermittlungen angesehen und dann zielgerichtet auf Cybercrime übertragen. Das Verteidigungspotenzial wiederum ist dabei auf tatsächlicher Ebene in einem drastischen Maße abgeschmolzen. Die oft vollkommen unprofessionell vorbereiteten Cyberkriminellen tun dann oft ihr Übriges, um dem späteren Verfahren ausgeliefert zu sein.
Ermittler im Scheinwerferlicht
Noch vor wenigen Jahren haben Ermittler brav vor sich hingearbeitet, zugegriffen und … fertig. Dann kam irgendwann die Anklage und vielleicht hat mal die Presse zwischendurch berichtet. Das hat sich gewandelt: Es begann mit proaktiver, frühzeitiger Pressearbeit, steigerte sich auf öffentlichkeitswirksame “Action Days” in Verbindung mit Gamedesign tauglichen Logos(*) und präsenten Bannern auf abgeschalteten Webseiten … bis hin heute zu eigenen Informations-Webseiten zu konkreten Maßnahmen, mit denen Nutzer und weitere Kriminelle zielgerichtet angesprochen werden. Prävention und Repression vermischen sich immer mehr.
(*) Wobei die Franzosen mal wieder den Vogel abschießen, während das deutsche BND-Symbol doch verdächtig an das UCF Logo aus Verhoevens Starship-Troopers erinnert.
Erst wird gelauscht, dann zugegriffen
Ein anderer Aspekt ist die Art des Zugriffs: Ich erinnere mich noch gut an Zeiten, in denen illegale Angebote aufgedeckt und flugs abgeschaltet wurden. Idealerweise mit dem Klassiker: Man rückt aus und nimmt eine Durchsuchung vor. Das FBI war da schon früh weiter, wenn die illegale Server hochnahmen, wurden die mal einige Zeit unter fremder Flagge weiterbetrieben – und Daten gesammelt so gut es ging, die man dann gerne weitergab, etwa ans BKA. Andererseits kennen wir schon seit langem aus BTM-Verfahren, dass einige Zeit observiert und sehenden Auges Straftaten unter den Augen der Ermittler zugelassen werden(*).
Bei Cybercrime läuft es nun ähnlich, nicht erst seit Encrochat, aber spätestens dort wurde klar: Man sucht einen Zugang und versucht mitzulauschen, Daten zu sammeln, um dann zielgerichtet zuzugreifen. Encrochat war weder das erste mal, noch das letzte Mal – ich kenne weitere Fälle – einer ist ganz frisch und medial sehr beachtet – in denen man den Server ausfindig macht, den Netzwerkverkehr mitschneidet, im Hintergrund ermittelt und dann ist irgendwann … Action Day (das Wort nutzt man wirklich, ich kenne es aus einer Vielzahl von Ermittlungen von BTM bis Cybercrime). Teilweise wird über Monate bis zu einem Jahr vorbereitet, gesammelt, ausgewertet; es werden sogar Serverimages gezogen und schon ausgewertet, noch während das Angebot weiter läuft und genutzt wird. Es dauerte lange, bis ich verstanden habe, wie man das unbemerkt macht (und nein, das lege ich hier nicht offen).
(*) Dazu gibt es inzwischen eine Fülle an Rechtsprechung des BGH zur Strafzumessung – die Ermittler dürfen so vorgehen und es bringt einem nichtmal was, dass man beobachtet wurde.
Wo steht die Cyberkriminalität?
Die Ermittler machen aktuell sehr viel richtig – sie sind weg von den einzelnen Angeboten, hin zu Hosting-Angeboten, Kommunikationsinfrastrukturen und Plattformen; die aber sind nur Ermittlungsansatz um idealerweise auf oberster Netzebene (im OSI-Modell Schicht 1 und 2) mitzuhören. Wenn man dann mit genügend gesammelten Daten die Makro-Ökonomie platzen lässt hat man quasi automatisch im Schlepptau die zugehörige Massen-Mikro-Ökonomie. Es hat eine gewisse Zeit gedauert, aber die Cybercrime-Ermittler haben auf die industriell-professionalisierte Cyberkriminalität mit entsprechender Gestaltung der Ermittlungen reagiert. Wo “Cybercrime as a Service” herrscht, steht dem inzwischen “Crimefighting as a Service” gegenüber, das etwa das BKA mit seiner Cybertoolbox ganz geschickt für die Polizei vor Ort anbietet.
Wer Cybercrime-Ermittler nicht Ernst nimmt (und mit Blick in einschlägige Foren sind das eine Menge Menschen) hat nicht begriffen, dass der Wind heute anders weht. Ja, russische Hacker in Russland wird man nicht kriegen. Das hat mit der klassischen, gewinnorientierten Cyberkriminalität aber nichts zu tun, deren Angebote wie Dominosteine fallen. Das beschriebene Vorgehen zusammen mit der Vernetzung der jeweils massenhaft gefundenen Daten wirkt dabei wie ein Flächenbrand, ich vermute, die Ermittler können sich derzeit gar nicht entscheiden, wo sie als nächstes zuschlagen – während man früher froh war, überhaupt Ermittlungsansätze zu haben.
Die deutsche Rechtsprechung, die Beweisverwertungsverbote nicht kennt, ermöglicht dabei äusserst grenzwertige Verwertungen – wie Encrochat gezeigt hat. Spätestens seit Encrochat – als viele Verteidiger die gesamte Taktik auf ein absehbar nicht existierendes Verwertungsverbot gegründet haben – sollte auch klar sein: Mit herumgeprolle erreicht man keine guten Ergebnisse. Man sollte sich frühzeitig darum kümmern, dass ein Anwalt parat steht, den man sich selbst ausgesucht hat, bevor man auf dümmliche Hinweise im Knast und vom Gericht ausgesuchte Pflichtverteidiger angewiesen ist, weil man in der Gewahrsamszelle nicht weiss, was man tun soll.
Fahndungslisten: Grenzen sind keine harten Mauern mehr!
Wer heute noch glaubt, dass eine staatliche Grenze einen echten Schutzwall bildet, der hat keine Ahnung und sollte in die Legalität zurückkehren solange er kann: Innerhalb von Europa arbeitet man inzwischen routiniert zusammen und Serverzugriffe über Grenzen hinweg sind nach meinem Eindruck flüssig möglich. Wobei die eEvidence-Umsetzung ihr Übriges tun wird, um das noch besser laufen zu lassen. Und nur am Rande: Wer glaubt, neben Deutschland seien Frankreich oder die Niederlande ein kluger Standort, der hat wirklich keine Ahnung mehr. Gerade die Niederlande sind ein Brennpunkt mit fantastischen Ermittlungsmöglichkeiten auf Netzwerk-/Serverebene – es ist kein Wunder, dass dieses kleine Land so oft bei Cybercrime-Aktionen, fast unbemerkt am Rande, auftaucht.
Doch auch die grenzüberschreitende Fahndung klappt brauchbar, die Ermittler haben halt einen langen Atem und bis zur Schmerzgrenze (heisst: bis zur absoluten Verjährung, die bei diesen Delikten schnell bei 20 Jahren liegt) läuft die Fahndung. Dabei ändert sich auch hier so manches, auf der öffentlichen Fahndungsliste des BKA zähle ich derzeit 24 Personen die mit Cybercrime-Hintergrund gesucht werden und auch auf der “EU Most Wanted“-Liste finden sich immer mehr Cyberkriminelle. Das zeigt, dass Cyberkriminalität mit sonstiger organisierter Kiminalität aus Ermittlersicht längst vergleichbar ist und Ernst genommen wird. Aktuell wurde etwa jemand von EUROPOL aus dem Ransomware-Umfeld auf die EU-Fahndungsliste gesetzt.
Wie sieht gute Cybercrime-Strafverteidigung aus?
Gute Cybercrime-Strafverteidigung beginnt schon lange vor dem Zugriff der Ermittler. Die grössten Probleme sind im Moment des Zugriffs immer zwei: Überrumpelung und Geld. Beides sind absolut vermeidbare Ärgernisse.
Zwei Faktoren, die Cybercrime-Strafverteidigung erschweren
Überrumpelung
Ein wesentlicher Aspekt ist die Überrumpelung, die natürlich am “Action Day” der Ermittler auch gewollt ist – Durchsuchungen leben ja ganz besonders davon, dass man selbst nicht darauf vorbereitet ist. Allerdings ist man auch an anderer Stelle überrumpelt: Mitunter kommt man in Haft, Gelegenheit zu kommunizieren gibt es nicht. Wenn man dann auf einmal in einer Gewahrsamszelle sitzt, im Zweifelsfall im Ausland mit anstehender Überstellung nach Deutschland, kann man sich um nichts mehr kümmern! Das heisst, wenn man keinen Anwalt vorher organisiert hat, muss man sich versuchen nun um einen echten Profi zu kümmern … oder bekommt (irgendwann) einen Anwalt von der Justiz gestellt. Der vielleicht noch Strafrecht kann, aber mit den Feinheiten von Cyberkriminalität nicht wirklich was anfangen kann und stoisch die Ermittlungen der Polizei zur Kenntnis nimmt.
Geld
Der andere Aspekt ist das Geld, und ja: Das ist ein hochrelevantes Thema. Wenn Ermittler zuschlagen, wird alles beschlagnahmt, was digitales Beweismittel oder (digitaler) Wert sein könnte. Selbst wenn man sich noch irgendwie um einen guten Anwalt kümmern kann hat man nun das Problem, diesen nicht bezahlen zu können, weil alles Beschlagnahmt ist. Und dieses Problem ist nicht zu unterschätzen: Es ist allenfalls peinlich, wenn ich sehe, dass ich Anfragen von Menschen habe, die zB auf der BKA-Fahndungsliste stehen und nicht mal einen gescheiten Vorschuss aufbringen können.
Beides zusammen verhindert fortlaufend eine professionelle Betreuung – und da bin ich noch nicht an dem Punkt, dass selbst Cybercrime-Profis mitunter über TikTok-Videos auf Anwälte aufmerksam werden und glauben, das wäre ein geeignetes Qualitätskriterium. Wobei erfahrene Cybercrime-Strafverteidiger respektieren, dass Ihre Cybercrime-Mandanten nur ein gewisses Maß an Öffentlichkeitsarbeit tolerieren. Das Wichtigste ist, sich schon in “guten Zeiten” um einen qualitativen Strafverteidiger zu kümmern, der entweder brauchbar im Voraus bezahlt ist um dann sofort zu springen wenn etwas ist – oder mittels eines vertrauenswürdigen Treuhänders vorzusorgen. Dazu gibt es ja Lösungswege (und bitte keine Kryptowährungen, die Wallets werden im Zweifelsfall so gut überwachr wie P2P-Netzwerke!), man muss sich halt auch kümmern.
Ich begleite zudem seit Jahren Menschen, die im Ausland gesucht werden und Rat suchen – glauben Sie es mir: Wenn man nicht dauerhaft mit viel Geld in Dubai sitzt (und das tun die wenigsten) ist es zwar immer so, dass am Anfang noch alles rosig aussieht, aber mit den Jahren wird es schlimm. Dabei bieten sich durchaus Optionen! Und es ist ein verbreitetes Szenario, dass Menschen sich am Anfang ihrer Sache sicher sind und nach einigen Monaten schon erste Ernüchterung einsetzt.
Verteidigungsansätze bei Cyberkriminalität
Welche Unterschiede macht ein guter Cybercrime-Strafverteidiger
Ein in einschlägigen Foren verbreitetes Credo ist: Wenn die vor der Türe stehen ist es eh zu spät und alles egal. Teilweise mag das zutreffen, aber nicht in dieser Gänze.
Als Erstes erkennt man vernünftige Cybercrime-Strafverteidiger an der Arbeitsweise: Wer sich über Teams besprechen möchte, Dropbox und Word benutzt, der hat nicht verstanden wie Ermittler funktionieren. Wie läuft es bei mir: Die gesamte Mailinfrastruktur liegt bei Protonmail, es werden kategorisch keine der Big Four Big Tech genutzt und sämtliche Geräte sind voll verschlüsselt. Kommunikation via GPG-Verschlüsselung oder Threema; keine billig-Hardware sondern immer aktuelle Geräte, die entsorgt werden, sobald es keine Updates mehr gibt. Verschlüsselte Dateicontainer mit Cryptomator oder Veracrypt. Und natürlich biete ich einen handfesten Umgang mit Kali-Linux, kann Logfiles lesen bzw. weiss wie Unix- und Windows-basierte Systeme Logfiles erzeugen und verstehe Netzwerkprotokolle.
Als Zweites sollte man sich einiger juristischer Details klar sein: Beweisverwertungsverbote gibt es faktisch nicht in Deutschland und nur theoretische Auslegungen von Beweismitteln sind kein zwingendes Argument. In beidem unterscheides sich Deutschland von anderen Rechtsräumen! Wenn ein Strafverteidiger also bei im Raum stehenden Beweismitteln versucht, mit “juristischer Finesse” irgendwelche Tricks zu fahren, ist das nutzlos und blendet nur den Mandanten. Wichtiger ist die Fähigkeit, zu bewerten, was wirklich brauchbar ist als Beweismittel – und wo man Ermittlungen realistisch erschweren kann. Auch die Fähigkeit der Prognose, was Ermittler noch herausfinden werden, um nicht zu frühe schlechte Erklärungen abzugeben, ist Gold wert – verlangt aber auch, dass man die Arbeit von Ermittlern kennt.
Ein guter Strafverteidiger, der sich mit Cybercrime auskennt, macht am Ende nicht einen Freispruch, wo die Verurteilung schon sicher ist – so einen Unsinn gibt es nur im Fernsehen. Er kann aber Jahre einsparen und gerade bei untergeordneter Rolle Bewährungen erarbeiten, die nicht eindeutig im Raum standen. Gute Strafverteidigung ist nämlich eben nicht nur das Unmögliche möglich zu machen, sondern auch einfach ein realistisches, bestmögliches Ergebnis zu erzielen. In Deutschland gibt es da überraschend viel Raum, zum Beispiel weil verfahrensökonomische (Teil-)Einstellungen von Verfahren bei uns zielgerichtet erarbeitet werden können. Dafür muss man aber eben auch die Spielregeln kennen.
- BVerfG zu ANOM: Vertrauen ohne Kontrolle? - 6. Oktober 2025
- BGH zur Zueignungsabsicht bei Wegnahme eines Smartphones zur Beweissicherung - 5. Oktober 2025
- Endlose Wartezeit: Wenn die Staatsanwaltschaft Daten jahrelang sichert - 22. September 2025
