Tatorte 2.0

Szenen aus dem Landgericht Oldenburg

Sie war Unternehmerin und Kommunalpolitikerin, hatte ein eigenes Haus und ein gutes Verhältnis zu ihrem Sohn, engagierte sich als Schöffin. Jetzt sitzt die 77-Jährige auf dem Zeugenstuhl im großen, holzvertäfelten Saal des Landgerichts Oldenburg und sagt: „Ich habe nix mehr.“ Und: „Ich habe daran gedacht, mir das Leben zu nehmen.“ Sie spricht hektisch, springt während ihrer Aussage gedanklich hin und her, seufzt. Alles begann damit, dass „der Markus Söder“ ihr erst auf Facebook und dann über WhatsApp schrieb – so, wie es andere bayerische Politiker zuvor tatsächlich getan hätten. Sie tauschte sich mit dem angeblichen Söder länger aus, auch über Politik. Irgendwann bat er sie, Geld nach Ghana zu schicken, um damit, so der Vorwand, einen hohen Betrag auf einem Konto sichern und in die USA transferieren zu können. Zwar sei er reich, doch seine Ehefrau dürfe nichts davon mitbekommen. Deshalb die Bitte.

Insgesamt überwies sie so viel, dass sie schließlich ihr Haus verlor. Alles habe zusammengepasst: „Es gab so viele Parallelen zu Söder. Ich bin überhaupt nicht mehr da rausgekommen.“ Dass sie sogar Einlagen aus der Firma zog,  brachte ihr nicht nur eine Verurteilung ein, sondern zerstörte auch das Verhältnis zu ihrem Sohn, der ebenfalls in dem Unternehmen aktiv war. Ihre Schulden beziffert sie auf etwa eine halbe Million Euro.

Links und rechts von ihr sitzen die Angeklagten und nehmen die ins Englische übersetzten Worte der 77-Jährigen, wenn überhaupt, meistens regungslos und manchmal kopfschüttelnd zur Kenntnis. Den 43 bis 49 Jahre alten Männern, die Kapuzenpullover tragen, werden insbesondere Betrug, Geldwäsche und die Mitgliedschaft in einer kriminellen Vereinigung vorgeworfen, der nigerianischen Bruderschaft „Black Axe“. Diese begann als studentische Bewegung gegen Unterdrückung, wird aber mittlerweile als mafiöse Organisation eingestuft. Die Angeklagten sollen zahlreiche Opfer im In- und Ausland vor allem von Bremen und Delmenhorst aus unter anderem mit Love-Scams ausgenommen haben.

Kapitel I: Der Werkzeugkasten

Ob sie einen Staat attackieren, ein mittelständisches Unternehmen oder Büroangestellte: Cyberkriminelle greifen in einen vollen Werkzeugkasten mit manipulierten Inhalten und psychologischen Tricks. „Wir beobachten seit Jahren eine zunehmende Professionalisierung und Spezialisierung der Cyberkriminalität. Angriffe sind weniger zufällig, sondern zunehmend zielgerichtet, wirtschaftlich motiviert und arbeitsteilig organisiert“, sagt Christian Rossow, Professor für IT-Sicherheit und leitender Wissenschaftler am CISPA Helmholtz-Zentrum für Informationssicherheit. Ransomware bleibe „die prägende Bedrohung im Cyberraum und verursacht weiterhin erhebliche Schäden bei  Unternehmen und Privatpersonen“, erklärt ein Sprecher des Bundeskriminalamtes (BKA) auf Anfrage des WEISSER RING Magazins. Ransomware ist Erpressersoftware: Sie verschlüsselt Dateien oder sperrt den ganzen Rechner. Die Täter fordern anschließend Geld, damit Betroffene wieder an ihre Daten kommen. Jeden Tag werden in Deutschland zwei bis drei schwere Ransomware-Angriffe angezeigt. Sie können Unternehmen in ihrer Existenz bedrohen, die öffentliche Verwaltung lahmlegen oder die Patientenversorgung in Kliniken gefährden. In einer Umfrage des Branchenverbandes Bitkom gab 2025 mehr als jedes dritte Unternehmen an, in den vergangenen zwölf Monaten Opfer einer Ransomware-Attacke gewesen zu sein. Rund 80 Prozent der Angriffe richteten sich gegen kleine und mittlere Unternehmen. Jedes siebte zahlte Lösegeld, in Einzelfällen eine Million Euro und mehr. Der wirtschaftliche Schaden durch Cyberattacken in Deutschland betrug laut Bitkom im Jahr 2025 erstmals mehr als 200 Milliarden Euro.

Häufig beginnen solche Angriffe mit einer E-Mail im Postfach. „Phishing ist und bleibt die größte Bedrohung für uns alle“, sagt Nora Kluger, Expertin für digitalen Verbraucherschutz beim Bundesamt für Sicherheit in der  Informationstechnik (BSI). Phishing meint unter anderem das „Abfischen“ von Passwörtern und Zugangsdaten zu Bankkonten, Firmennetzwerken, Online-Shops, Streaming-Diensten sowie von Kreditkartendaten. Täter locken mit manipulierten Webseiten, gefälschten E-Mails oder SMS und bringen Opfer dazu, ihre persönlichen Daten preiszugeben. Oder sie installieren sogenannte „Info-Stealer“ auf den Geräten der Betroffenen. Das sind Schadprogramme, die heimlich Passwörter, Kreditkartendaten oder Krypto-Wallets aus Browsern und Apps abgreifen.

Die Verbraucherzentrale Nordrhein-Westfalen hat seit Dezember 2010 einen „Phishing-Radar“. Mittlerweile werden dort täglich mehr als 1.000 verdächtige E-Mails gesammelt und ausgewertet, zum Start waren es knapp 20 E-Mails. „Es gibt unzählige gefährliche Betrugsmethoden“, sagt Dr. Ralf Scherfling, Referent bei der Verbraucherzentrale. Regelmäßig missbrauchen Verbrecher die Namen von Zahlungsdienstleistern wie PayPal und von Onlinehändlern wie Amazon. Ebenfalls gerne genommen: Telekommunikationsfirmen, Paketdienste, Banken, Streamingdienste.

Die Betrüger gehen auch inhaltlich mit der Zeit. „Seit Jahren erleben wir, dass mit aktuellen Themen immer wieder neue Betrugsmaschen aufkommen“, sagt Scherfling. Als die Energiepreise explodierten, tauchten Phishing-Mails zu angeblichen Entlastungspaketen auf. Mit Beginn des Ukraine-Kriegs versuchten Kriminelle, mit Spendenaufrufen Zahlungsdaten abzugreifen. Mit dem Aufkommen der QR-Codes entstand „Quishing“: Betrüger verteilen QR-Codes – auf vermeintlich amtlichen Schreiben, auf Strafzetteln oder sie überkleben die echten QR-Codes an Parkautomaten. Wer sie scannt, landet auf einer betrügerischen Webseite und soll Gebühren zahlen oder persönliche Daten eingeben.

Oft hacken Cyberkriminelle nicht die Computer, sondern die Köpfe. Sie arbeiten mit Druck und Tricks und nutzen menschliche Eigenschaften wie Vertrauen, Hilfsbereitschaft oder Angst vor Autoritäten aus. Sie bringen ihre Opfer dazu, Sicherheitsmaßnahmen zu umgehen, sensible Informationen freiwillig preiszugeben und Geld zu überweisen. Social Engineering heißt diese Manipulation. „Das zentrale Merkmal dieser Angriffe ist die Täuschung über die Identität und die Absicht des Täters“, erklärt Nora Kluger vom BSI. So geben sich Angreifer als Techniker oder Mitarbeiter eines bekannten Unternehmens aus. Sie verleiten ihre Opfer dazu, Anmelde- oder Kontoinformationen preiszugeben oder eine präparierte Webseite zu besuchen.

Während beim Phishing oft Zeitdruck im Vordergrund steht, gehen Cyberkriminelle bei sogenannten Love-Scams mit bedächtiger Raffinesse vor. Sie durchstreifen Dating- und Social-Media-Plattformen, um ihre Angriffsziele zu finden. Locken diese in private Messenger-Chats und weben über Wochen oder gar Monate hinweg ein Netz aus Illusionen. Diese Masche spielt mit einem zutiefst menschlichen Gefühl: der Hoffnung auf die große Liebe. Zunächst bauen die Betrüger eine scheinbare Nähe auf, um schließlich um Geld zu bitten – sei es als Darlehen, Investition oder als vorgestreckte Reisekosten für das erste Treffen.

Die Masche beschränkt sich nicht auf die Liebe. Die Bundesanstalt für Finanzdienstleistungsaufsicht warnt eindringlich und zunehmend vor Anlagebetrug (Finance-Scam) über WhatsApp und Telegram.

„Wir sehen vor allem im Onlinebetrug eine Zunahme über Messengerdienste“, sagt ein Sprecher der Behörde. Dieser ist kein lizenzierter Anbieter bekannt, der sich über Gruppenchats an Anleger wendet. Kriminelle locken mit Anzeigen auf Plattformen in WhatsApp- und Telegram-Gruppen – mit Versprechen von kostenlosen Aktienempfehlungen und Börsenwissen. Manchmal zahlen sie kleine Gewinne aus, um sich Vertrauen zu erschleichen. Über Fake-Apps, auf denen Kurs-Charts blinken, gaukeln sie dann hohe Gewinne vor und animieren Opfer zu weiteren Investitionen.

Auch Jahre nach dem Schock sind Betrogene nicht sicher. Beim „Recovery-Scam“ melden sich Täter mit der Behauptung, das verlorene Geld sei gefunden oder sichergestellt worden. Bevor es zurückfließe, seien „Steuern“ oder „Gebühren“ fällig. Wer sich darauf einlässt, verliert abermals Geld.

Professionell wirkende Fake Shops locken derweil mit Sonderangeboten und drängen zur Vorkasse. „Geliefert wird dann entweder gar nicht oder nicht in der versprochenen Qualität“, sagt Dennis Romberg, der das Team Marktbeobachtung Digitales beim Verbraucherzentrale Bundesverband (vzbv) leitet.

Die Kriminellen setzen auf Geiz und Gier

Zwischen Januar und November 2025 wurden in den Verbraucherzentralen mehr als 20.000 Beschwerden zum Thema Betrug erfasst – ein Plus von 42 Prozent gegenüber dem Vorjahr. In der Datenbank des Fakeshop-Finders, einem Tool der Verbraucherzentrale NRW zur Prüfung von Onlineshops, stehen rund 100.000 identifizierte Fake Shops. Oft bieten sie genau das an, was Leute gerade suchen: im Frühling Gartengeräte, im Herbst Winterreifen. Ihre Kundschaft erreichen die Betrüger über Anzeigen auf Social Media oder in Suchmaschinen: „Die Fakeshops werben auf den großen Plattformen“, sagt Romberg. Der Digital Services Act verpflichtet diese dazu, Risiken ihres Geschäftsmodells zu erkennen und zu verringern. „Das funktioniert jedoch hinten und vorne nicht.“ Die Verbraucherzentralen melden solche Fake-Shop-Anzeigen als vertrauenswürdiger Hinweisgeber („Trusted Flagger“) offiziell bei Google, Meta und Co. Doch, so stellt Romberg fest: „Oft bleibt es bei einer Eingangsbestätigung.“

Kapitel II: Der Einsatz von KI

Während die Bedrohungen im digitalen Raum rasant zunehmen, stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine „wachsende digitale Sorglosigkeit“ fest. Vielen Menschen fehle aufgrund einer Art Gewöhnung das Bewusstsein, dass sie durchaus attraktive Ziele für Cyberangriffe sind. „Damit werden sie für Angreifer zur leichten Beute“, warnt Nora Kluger vom BSI. Gleichzeitig nutzen Cyberkriminelle inzwischen ein äußerst mächtiges Werkzeug: Künstliche Intelligenz (KI). „KI wird bereits jetzt eingesetzt, um Angriffsoperationen noch gezielter, effizienter und schwerer zuordenbar zu machen“, heißt es in den „Cyber Insights“ des Bundesamtes für Verfassungsschutz. „Deepfakes, automatisierte Phishing-Kampagnen und selbstlernende Schadsoftware sind nur einige Beispiele für neue Cybertools.“ Auch das Bundeskriminalamt (BKA) weist in seinem aktuellen Lagebild Cybercrime darauf hin, dass KI zunehmend zum Einsatz kommt. Die Polizei in NRW nennt es sogar: „Superkraft für Kriminelle“. Viele dieser digitalen Werkzeuge werden heute als Dienstleistung angeboten, etwa in Form von speziell trainierten KI-Anwendungen, die im Darknet gehandelt werden. „Auf diese Weise können auch weniger technisch versierte Täter komplexe Angriffe durchführen, indem sie einzelne Bausteine – Schadsoftware, Infrastruktur, Zugangsdaten – anmieten oder kaufen“, berichtet Markus Niesczery, Sprecher beim LKA in Nordrhein-Westfalen.

Mit generativer KI werden nach Angaben des BSI zum Beispiel Anleitungen erstellt, wie ein Ziel besonders gut angegriffen werden kann oder wie man Schadsoftware optimiert, damit sie von Virenscannern weniger leicht erkannt wird. Und seit der Einführung von ChatGPT und anderen generativen KI-Werkzeugen sind die Zeiten vorbei, in denen man Phishing-Mails an ihrer fehlerhaften Sprache erkennen konnte. Mittlerweile lassen sich in sekundenschnelle nicht nur fehlerfreie, sondern auch auf den Adressaten zugeschnittene Phishing-Mails erstellen – in riesigen Mengen und jeder Sprache. Ebenso können bei Love- und Finance-Scams emotional angepasste Nachrichten verfasst werden, um Chat-Beziehungen zu pflegen.

Fake Shops massenhaft ins Netz zu stellen, wird durch KI immer billiger. „Das sind mittlerweile Wegwerfprodukte, die man zu Tausenden im Darknet kaufen kann. Wir finden deshalb auch Fake Shops, die zu einem Verbund mit Hunderten, manchmal sogar Tausenden gehören, die alle von ein und demselben Betreiber stammen“, schildert Oliver Havlat, Leiter des Fakeshop-Finder-Projekts bei der Verbraucherzentrale Nordrhein-Westfalen. Durch KI lassen sich gefälschte Bilder von Produkten, vermeintlichen „Shop-Teams“ oder Ladengeschäften schnell erzeugen.

Täuschend echte Simulationen

Täter nutzen KI-Systeme, um Bilder, Stimmen oder Videos existierender Personen zu imitieren, sie verwenden Material aus sozialen Medien. Mit den gestohlenen Identitäten durchlaufen sie das Video-Ident-Verfahren, eröffnen Konten, schließen Verträge ab oder beantragen Kreditkarten, um Waren auf Kosten der Geschädigten zu kaufen. „Wir gehen davon aus, dass die Anzahl glaubwürdiger Täuschungen durch generative KI ansteigt“, sagt Nora Kluger.

Tonaufnahmen gewinnen für Cyberkriminelle an Bedeutung. Personalisierte Deepfakes von Stars, die mit vermeintlichen persönlichen Treffen bei Fans werben, gehören bereits zum Repertoire. Über Social-Media-Accounts und  andere öffentliche Profile kundschaften Verbrecher die Vorlieben potenzieller Opfer aus. Die Bundesnetzagentur berichtet zudem von Einzelfällen, in denen synthetische Stimmen für eine Betrugsmasche genutzt wurden, die „CEO Fraud“ oder „Fake President“ genannt wird. Dabei bauen die Täter mit der „echten“ Stimme des Chefs telefonisch Druck auf, um Mitarbeiter dazu zu drängen, Firmengeld zu überweisen.

Der KI-Einsatz durch Betrüger schlägt sich auch in den Zahlen von Versicherungen nieder: Nach einer Hochrechnung des Gesamtverbandes der Deutschen Versicherungswirtschaft werden die Schäden in der  Vertrauensschadenversicherung – die Unternehmen unter anderem nach Betrugsfällen entschädigt – 2025 auf mehr als 200 Millionen Euro steigen. Im Vergleich zum Vorjahr wäre das ein Anstieg um 20 Prozent. Auch die  Versicherungen selbst sind betroffen: Nach Angaben des BSI ergreifen Versicherungsunternehmen zunehmend Maßnahmen, um sich vor Schäden durch KI-generierte Bilder und Videos zu schützen, die bei Versicherungsbetrug durch gefälschte Schadensmeldungen eingereicht werden. Nach Ansicht des BSI ist das ein deutlicher Hinweis auf eine starke Zunahme KI-generierter Fälschungen.

Kapitel III: Die „alte“ Mafia

In eine Zwickmühle geraten Ermittlerinnen und Ermittler, wenn es ihnen gelingt, Kriminelle abzuhören, die sich sicher fühlen. Das gelang zum Beispiel mit verschlüsselten – und geknackten – Messengern, wie etwa ANOM, über die Gangster Drogendeals im Tonnenbereich organisierten. Es gelang aber auch in einem kleinen Ort in Kalabrien. Ein Boss der ‚Ndrangheta, der kalabrischen Mafia, lebte dort. Sein Clan ist auch in Deutschland aktiv. Der Boss lud über längere Zeit hinweg Leute in seine Kellerbar und soll mit ihnen über den Handel und Schmuggel von Mineralölprodukten, über Diebstähle und Immobiliengeschäfte, über die Rangordnung in seiner Organisation und über  rivalisierende Clans gesprochen haben. Er ahnte wohl kaum, dass es Fahndern gelungen war, Wanzen in dem als sicher geltenden Haus unterzubringen, sonst wäre er bestimmt zurückhaltender gewesen. So aber hörten die Ermittler monatelang mit und erfuhren, dass der Clan und seine Mitglieder offenbar im Cyberraum aktiv sind. Der Erfolg war für sie ein Grund zur Freude und stellte sie gleichzeitig vor Probleme. Zum einen mussten sie einen Weg finden, die Informationen zu nutzen, ohne dass klar wurde, woher diese kamen. Zum anderen verstanden die Ermittler anfangs wohl kaum, wovon der Boss da redete. Das lag nicht nur an Nebengeräuschen und sich überlagernden Stimmen auf den Aufnahmen. Nein, zu neu war das, was er von sich gab, zu speziell. Er klang fast wie ein hochspezialisierter Bankmitarbeiter. Und Kronzeugen, die ihnen das Gehörte hätten übersetzen können, mussten die Ermittler noch finden. Vermutlich auch deshalb kamen manche der Gespräche erst einige Jahre später in Ermittlungsakten wieder zum Vorschein.

Boss: „Schau, wir haben die Plattform bereits … Weißt du, was die Plattform ist? Ein Staat leiht sich Geld … Das ist alles! Der amerikanische Staat, der englische Staat, der deutsche Staat, der marokkanische Staat …“ Gesprächspartner: „Auch privat, auch privat.“ Boss: „Mit einem MT 760 gibt es die Bankgarantie. Mit der kannst du den MT 103 beantragen, dann verlangen sie zur Bestätigung den MT 699. Den 699 muss praktisch deine Korrespondenzbank machen. Nachdem du den 699 gemacht hast, muss deine Gegenbank … die Bank, sagen wir unsere Bank, den MT 760 schicken. Dort bekommt man dann den Swift … (unverständlich) … sobald der Swift da ist, gibt es, sagen wir, Liquidität … grob erklärt … Die Staaten geben ihm dann 15 Prozent auf 100 Millionen im Monat, also 15 Millionen.“

Die ‚Ndrangheta machte offensichtlich Geld mit Kreditlinien. Diese sollen Banken den Beauftragten des Clans eingeräumt haben, oft ohne Sicherheiten. Abgehörte Gespräche wiesen darauf hin, dass es den Mafiosi gelungen war, Bankfunktionäre für ihre Zwecke zu gewinnen. Jahre später gewannen die Ermittlungsbehörden Kronzeugen, die an den Geschäften beteiligt waren, und fanden heraus, dass im Auftrag des sizilianischen Clans mehrere Teams quer über den Erdball aktiv geworden waren. Dem Clan sei es gelungen, einen Funktionär einer wichtigen Bank für sich zu gewinnen, wie aus Abhörprotokollen hervorging. Er habe garantiert, dass die Finanzgeschäfte funktionierten. Die Verdächtigen nahmen demnach mehrmals auf ihn Bezug. Die Bank weist allerdings jeden Vorwurf in diesem Zusammenhang von sich. Auch Hacker mit Wurzeln in Deutschland seien für den Clan im Einsatz gewesen. Sie hätten unter anderem die Aufgabe gehabt, in die Systeme von Banken einzudringen, ruhende Konten aufzuspüren und die Bankkommunikation zu manipulieren.

Die Staatsanwaltschaft bestätigte die Ermittlungen. Sie hätten sich gegen acht Beschuldigte gerichtet, unter anderem wegen des Verdachts der Bildung einer kriminellen Vereinigung im Ausland. Man warf der Gruppe vor, schwere Straftaten zu planen, unter anderem Geldwäsche. Die Ermittlungen seien aber eingestellt worden, da sich kein hinreichender Tatverdacht ergeben habe. In Italien dagegen liefen die Ermittlungen weiter, um so viele Beschuldigte wie möglich vor Gericht zu stellen, auch einen Hacker, der in Deutschland lebt. Er wird aber nicht ausgeliefert.

Ein berühmter Ansatz von Antimafia-Ermittlern lautet: Follow the money – über den Fluss des Geldes lassen sich die dazugehörigen Kriminellen finden. Die Methode wurde in den 1980er Jahren entwickelt. In Sizilien hatte man als Erstes verstanden, dass die Organisierte Kriminalität längst über Ländergrenzen und Kontinente hinweg agierte. Das Prinzip lässt sich auch umgekehrt denken: Dort, wo viel Geld bewegt wird, wird auch Geld aus Straftaten bewegt. Also findet sich dort die Organisierte Kriminalität. Und wenn im Cyberraum viel Geld bewegt wird, dann sind dort Mafia-Organisationen aktiv, und zwar bei verschiedenen Delikten, etwa Betrug, Datendiebstahl, Spionage.

Die Geschichte des sizilianischen Clanbosses und weitere Ermittlungsverfahren sprechen dafür, dass alteingesessene italienische Organisationen im Cyberspace aktiv sind. Gilt das auch für andere etablierte Gruppen wie die chinesischen Triaden oder die Russische Organisierte Kriminalität? Der Soziologe Jonathan Lusthaus von der Universität Oxford hat sich die Frage genauer angeschaut. Für seine Studie „Is the Mafia Taking Over Cybercrime?“ hat er in zwanzig Ländern Interviews geführt, 238 insgesamt, mit Strafverfolgungsbehörden, früheren Cyberkriminellen wie auch dem privaten Sektor. Dazu kamen Recherchen vor Ort in Hotspots der digitalen Kriminalität, etwa in Russland, der Ukraine, Rumänien, Nigeria und China. Das Resümee seiner bereits 2018 veröffentlichten Untersuchung: Die Organisierte Kriminalität spiele eine Rolle bei Cyber-Straftaten, sei aber weit davon entfernt, den Bereich zu übernehmen. Manchmal träten Gruppierungen als Investor in dem Bereich auf. Häufiger aber würden sie von Cyberkriminellen bei der Geldwäsche unterstützt. Die häufigste Variante: Mafiosi heuerten für eigene Projekte Experten an und überwachten diese dann bei der Verrichtung der Straftaten im Cyberraum.

Kapitel IV: Die Folgen

Die Rechnung kam per E-Mail und schien wie beim letzten Mal auszusehen. Also überwies das Unternehmen aus Süddeutschland rund 42.000 Euro an den von ihm beauftragten Baumaschinenhersteller in China – mit dem vorher alles „unproblematisch“ gewesen sei, erinnert sich ein Firmenverantwortlicher im Prozess gegen die fünf mutmaßlichen Mitglieder der Cybercrime-Mafia am Landgericht Oldenburg. Nach ein paar Tagen „wollten wir die Maschinen abholen lassen, aber der Hersteller sagte, es ist kein Geld da. Wir haben sofort die Bank angerufen und versucht, das Geld zurückzuholen. Das ging aber nicht“. Kurz darauf erfuhr er, dass der chinesische Zulieferbetrieb gehackt worden war. Volker Peters vom LKA Niedersachsen, langjähriger Ermittler und jetzt in der Prävention, sagt: „Gerade bei kleinen und mittelständischen Unternehmen kommt es bei Cybersicherheitsvorfällen, insbesondere bei Verschlüsselung, vor, dass sie in ihrer Existenz bedroht sind oder diese sogar verlieren.“ Jana Ringwald ist Oberstaatsanwältin bei der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt am Main. Ebenso wie Peters war sie an spektakulären internationalen Ermittlungen beteiligt. Ringwald sagt: „Attacken kosten Unternehmen unglaublich viel Geld. Am teuersten sind nicht mal die Erpressungssummen, sondern die Folgekosten: Der Betrieb steht länger still, eventuell muss eine neue Server-Struktur her, und wenn Kundendaten betroffen sind, drohen Schadenersatz und ein großer Vertrauensverlust.“ Im Gegensatz zu den finanziellen Folgen würden die psychologischen kaum diskutiert: „Geschäftsführer berichten nach einem Cyberangriff oft, es sei das Schlimmste, was sie je erlebt hätten, auch weil sie das Ereignis nicht ,greifen‘ können. Jemand hat einen Anhang angeklickt und jetzt steht alles still. Dazu die Ungewissheit bei allen: Wie schlimm ist es? Sind Arbeitsplätze gefährdet? Droht die Insolvenz?“

Bei betroffenen Privatleuten können die Konsequenzen „bis zum Suizid“ reichen, etwa wenn Täter drohen, intime private Inhalte zu veröffentlichen, weiß Peters. Unter den Betroffenen, erzählt Ringwald, seien auch Männer Anfang 40 mit Studienabschluss und auf Partnersuche. „Sie werden Opfer von Love-Scam, verlieren mehrere Hunderttausend Euro. Dann können Persönlichkeiten komplett in sich zusammenklappen. So sehr schämen sie sich und leiden darunter, dass jemand ihre ,Schwachstellen‘, Einsamkeit und Sehnsucht nach Liebe, derart ausgenutzt hat.“

Weitere Hinweise auf das Ausmaß der Folgen von Cyberkriminalität für Privatleute gibt eine Studie des Kriminologischen Forschungsinstituts Niedersachsen (KFN). Sie kombiniert eine repräsentative Dunkelfeldbefragung von 10.000 Einwohnerinnen und Einwohnern in dem Bundesland mit qualitativen Interviews mit Betroffenen. Zu den Forschenden, die an der 2022 veröffentlichten Untersuchung mitgewirkt haben, zählt Philipp Müller. Das wesentliche Ergebnis der Dunkelfeldstudie: „In den vergangenen zwölf Monaten war jeder vierte Befragte von Cybercrime im weiteren Sinne betroffen und jeder siebte von Cybercrime im engeren Sinne“, sagt Müller.

Zu den häufigsten Formen der ersten Kategorie zählten Betrug beim Onlinehandel, Belästigung, vor allem sexuelle, Beleidigungen und Bedrohungen. Bei der zweiten Kategorie ging es hauptsächlich um Hacking von Mail-Konten oder Konten auf sozialen Plattformen, Datendiebstahl und Schadsoftware. Die entstandenen Kosten lagen den Angaben der Betroffenen zufolge zwischen 100 Euro bis 80.000 Euro.

Psychische Folgen traten demnach vor allem bei Hate Speech, Betrug und Belästigung auf. Viele Studienteilnehmer gaben an, sie seien angespannt gewesen, hätten sich hilflos und unsicher gefühlt. Häufig, so Müller, „kam es auch zu Selbstvorwürfen: ,Wie konnte mir das passieren, obwohl mir die Gefahren bekannt sind?‘“ In vielen Fällen hätten sich die Opfer während der Attacke in „vulnerablen Momenten“ befunden, in denen sie gestresst oder müde gewesen seien, so wie ein Opfer, das während eines Arbeitsmeetings unaufmerksam war und auf eine gefälschte WhatsApp-Nachricht hereinfiel.

Interessant ist, dass lediglich ein Siebtel der befragten Betroffenen die Straftaten anzeigte, am ehesten bei Betrug und Diebstahl von Daten. Als Hauptgründe für den Verzicht auf eine Anzeige wurde eine geringe Aussicht auf erfolgreiche Ermittlungen genannt sowie die Ansicht, dass die Tat nicht so gravierend gewesen sei. Die erfolgreichen Attacken hätten offenbar auch ihr Gutes: „Ein großer Teil der Betroffenen aus der Interviewstudie äußerte, jetzt sensibler für Risiken zu sein und zum Beispiel einen Passwort-Manager zu haben.“

Kapitel V: Der Kampf gegen Cybercrime

Der Mann, Anfang 30, der im Landgericht Gießen auf der Anklagebank Platz genommen hat, macht keinen gefährlichen Eindruck: ruhige Stimme, hellblaues Hemd. Er wirkt zurückhaltend und höflich. Eine SEK-Einheit hat sich im und vor dem Gebäude postiert. Das liegt weniger an dem Angeklagten, der bereits ein Teilgeständnis abgelegt hat, sondern vielmehr an dem hochkriminellen Umfeld, für das er agierte. Der Angeklagte war offenbar Administrator des Crimenetworks, des größten deutschsprachigen illegalen Online-Marktplatzes. Es gab dort unter anderem Waffen und Drogen zu kaufen, aber auch Anleitungen für Straftaten. Vor Gericht erzählt der Fachinformatiker, wie es zu einer kriminellen Laufbahn kam: Als junger Mann „beschränkte sich meine Freizeitgestaltung auf Tätigkeiten hinter dem Rechner“. Er sei von einem Forum ins nächste gekommen, habe sich viele Kenntnisse und Fähigkeiten angeeignet und diese später anwenden wollen. Dann sei er immer tiefer reingeraten. Der Angeklagte hatte als Administrator eine wichtige Funktion im Crimenetwork, war aber lediglich ein Rad im Räderwerk.

Volker Peters vom LKA Niedersachsen sagt: „Den klassischen Hacker, der im Keller sitzt und alleine agiert, gibt es nicht mehr.“ Peters verweist auf das Neun-Säulen-Modell des BKA, das die arbeitsteilige Struktur des „Cybercrime-as-a-Service“ beschreibt: Es gibt Programmierer, Techniker, Betreuer für die Infrastruktur sowie Leute, die auf Phishing oder Krypto-Geldwäsche spezialisiert sind. Vor Großangriffen laufen häufig Ausschreibungsverfahren, bei dem sich Spezialisten mit ihrem Nickname und bisherigen „Erfolgen“ bewerben.

Oberstaatsanwältin Ringwald berichtet, dass die Täter „einander gar nicht genau kennen wollen und auch nicht müssen“. Alles geschieht so anonym wie möglich. Sie nutzen mehrere verschlüsselte Kommunikationsformen, um möglichst keine Spur zu hinterlassen. Es handelt sich um lose, internationale Verbünde: „Cyberkriminalität kennt keine Grenzen.“

Diese anonymen, professionellen und dezentralen Zusammenschlüsse auf Zeit stellen Ermittelnde vor große Herausforderungen: Es ist schwierig zu sagen, wer zu welchem Zeitpunkt welche Tat begangen hat. Und: Datendelikte wie Computersabotage oder Datenhehlerei können großen Schaden anrichten. Sie gelten aber als weniger schwer. Das bleibt nicht ohne Folgen, denn ob man einen Server überwachen darf, hängt von der Schwere des Delikts ab. Daher“, erklärt Ringwald, „können wir oft nur dann den gesamten ,Instrumentenkasten‘ der Strafprozessordnung nutzen, wenn der Fall Elemente des Betrugs oder der Erpressung aufweist oder eine kriminelle Vereinigung vorliegt.“ Trotz der Hürden schaffen es Ermittlungsbehörden, Cyberkriminellen empfindliche Schläge zu versetzen – wie im November 2025, als Deutschland und internationale Partner erfolgreich gegen zwei besonders gefährliche Schadsoftware-Varianten vorgegangen sind. Neben dem BKA war auch das ZIT beteiligt.

Wie das gelingt? „Auch wir warten auf den menschlichen Fehler“, erzählt Ringwald. Etwa, dass eine Verschlüsselung nicht funktioniert, ein Täter zu viele Informationen über sich preisgibt. „Wir versuchen, einen Fuß in die Tür zu bekommen. Wichtig ist auch, im Darknet ,Streife‘ zu fahren und sich anzuschauen, was für Täter gerade relevant ist, welche Dienstleistungen, Foren oder Tools es gibt.“ Ein bedeutender Ansatzpunkt sei, Zahlungsströme zu verfolgen. „Kryptowährungen bieten nur eine Pseudo-Anonymität. Wir können bei Providern Anfragen stellen.“

Teilweise profitieren deutsche Ermittler von Hinweisen aus dem Ausland. Informationsaustausch und zentrale Ermittlungen seien entscheidend, betont Volker Peters.

Auch potenzielle Opfer sind nicht machtlos. Peters empfiehlt: „Privatleute sollten hinterfragen, wenn sie digital unterwegs sind, sich informieren, welche Maschen gerade verbreitet sind, und auf Instrumente wie Passwortmanager und Verschlüsselungstechnologien zurückgreifen, um möglichst anonym zu bleiben.“ Firmen könnten etwa große Netzwerke segmentieren, was die Angriffsfläche verkleinert. Laut Ringwald braucht es ein Umdenken: „Unser Leben ist fast komplett digital. Deshalb müssen wir im Netz Sorgfalt an den Tag legen, sparsam mit unseren Daten umgehen und in Sicherheit investieren, zum Beispiel in Backup-Systeme, auf denen wir unsere Daten ein zweites Mal ablegen können, damit sie nicht verloren sind, wenn wir gehackt wurden.“ Firmen sollten vom Ernstfall ausgehen und sich dafür aufstellen.

Doch wie gut ist Deutschland aufgestellt gegen die digitale Bedrohung? Volker Peters und Jana Ringwald sehen eine Reihe von Fortschritten, etwa eine bessere Vernetzung, zentrale Ermittlungen und mehr Personal. Sicherheitsbehörden wie das LKA in Nordrhein-Westfalen setzen zunehmend auf datengetriebene Methoden. KI-gestützte Analysen helfen dabei, große Datenmengen auszuwerten oder Zusammenhänge zwischen Taten herzustellen.

Doch an Spezialisten in den Behörden mangelt es nach wie vor, auch weil die Gehälter in der IT-Branche oft deutlich höher sind. In manchen Bundesländern fehlt es an der notwendigen Technik: Nicht alle haben beispielsweise Tools, mit denen sich der Fluss von Kryptowährungen nachvollziehen lässt. Ringwald fordert ein verstärktes „Denken in Daten“ in den Behörden: „Das bedeutet, dass die Ermittelnden, auch bei konventionellen Delikten, gleich klären lassen: Wie verlief die digitale Kommunikation? Gibt es Kryptowährungsspuren? Welche Provider sind beteiligt? Das muss schnell gehen.“

Darüber hinaus bestehen weiterhin gesetzliche Lücken. Zwar ist seit 2021 das Betreiben einer illegalen Handelsplattform strafbar, jedoch handelt es sich bei vielen strafbaren digitalen Delikten nach wie vor um Vergehen, nicht um Verbrechen. Entsprechend eingeschränkt sind mögliche Maßnahmen während der Ermittlungen. „Zugespitzt formuliert: Um einen Kaugummidiebstahl aufzuklären, bekommt man auch nicht die Erlaubnis, Überwachungsmaßnahmen zu starten“, erklärt Volker Peters.

Nach Cyberangriffen mangelt es teils an Unterstützung für die Opfer. Manche berichten, sie fühlten sich von der Polizei, die ihnen vermittelt habe, eine Anzeige sei sinnlos, nicht richtig ernstgenommen und betreut. Peters räumt ein, dass es zu „Kommunikationsstörungen“ kommen könne, wenn die Betroffenen auf Beamte träfen, die sich selten mit dem Thema Cyberkriminalität befassen und nicht dafür sensibilisiert sind: „Für Firmen gibt es in jedem Bundesland eine zentrale Ansprechstelle Cybercrime für Wirtschaftsunternehmen, bei Privatpersonen kann es manchmal schwierig werden.“ Deshalb rät er, im Zweifelsfall die Onlinewache der Polizei zu nutzen. Über das Portal gelange das Cybercrime-Anliegen zu Fachbereichen innerhalb der Polizei.

Ringwald gibt zu bedenken: „Kriminelle brauchen nur wenige Minuten, um einen Fakeshop aufzubauen und kaum eine Sekunde, um ihn wieder verschwinden zu lassen. Die Bemühungen im Kampf dagegen sind groß und die Erfolge punktuell auch.“ Aber schon die Masse an Cyberkriminalität führe dazu, dass die Aufklärungsrate nicht so groß sein könne wie gewünscht.

In Südostasien gibt es Scam-Center: professionell organisierte Betrugsfirmen vor allem in Myanmar, Laos und Kambodscha. Dort gehen mehr als 100.000 Menschen täglich dem Online-Betrug nach. Mitunter sind sie selbst Opfer von Menschenhandel.

Im Prozess gegen die mutmaßlichen „Black Axe“-Mitglieder nimmt eine 63-jährige Sekretärin im Zeugenstand Platz. Die Baden-Württembergerin erhielt eine Chatnachricht, angeblich von ihrer Tochter: Ihr Handy sei ins Klo gefallen, deshalb schreibe sie jetzt unter einer anderen Nummer. Am Tag darauf eine dringende Bitte: Eine Online-Überweisung könne nicht warten. Ob ihre Mutter helfen könne? Sie hilft, streckt mehrere Tausend Euro vor, auch „weil ich schon häufiger für sie überwiesen habe“. Die Nachrichten lesen sich so, wie man sich Nachrichten einer jungen Frau in dieser Situation vorstellen würde. „Genau so drückt sie sich aus“, sagt die Sekretärin.

Drei der fünf Angeklagten hatten bei Redaktionsschluss Teilgeständnisse abgelegt. Als letzte Zeugin am dritten Prozesstag sagt eine Polizistin aus. Im Herbst 2024 wurde sie zu einem Amazon-Standort gerufen, nachdem ein Kandidat während eines Bewerbungsverfahrens offenbar „einen falschen Ausweis vorgelegt“ hatte. Im Laufe der Ermittlungen erhärtet sich der Verdacht auf Menschenhandel: Der Bewerber soll das Dokument von einem ihm ähnlich sehenden Mann bekommen haben. Gegen Geld.