196 Länder sind Mitglieder von Interpol. "Es handelt sich also um ein sehr weitverzweigtes Netzwerk", sagte Interpols Cybercrime Director Neal Jetton in einem Vortrag am Forum Incyber in Lille. Durch dieses Netzwerk werde weiterhin eine sogenannte Industrialisierung der Cyberkriminalität beobachtet. "Cyberkriminalität wird zunehmend durch strukturierte kriminelle Dienste, gemeinsam genutzte Infrastruktur und spezialisierte Funktionen ermöglicht", so Jetton. Diese würden es erlauben, kriminelle Aktivitäten schneller, in grösserem Umfang und effizienter durchzuführen.
Cyberkriminalität habe sich längst zu einer eigenen Branche entwickelt. Die durch sie erzeugten weltweiten Verluste würden mittlerweile Billionen US-Dollar jährlich betragen. "Das ist das drittgrösste Bruttoinlandsprodukt der Welt nach den USA und China, und es wird prognostiziert, dass es in nur zwei Jahren um etwa 140% wachsen wird", konstatierte der Cybercrime-Experte.
Drei Säulen der Interpol-Massnahmen
Da diese kriminellen Netzwerke über Ländergrenzen hinweg agieren, müsse eine Reaktion transnational sein. "Unsere Massnahmen in Interpols Direktion für Cyberkriminalität basieren auf drei Säulen", erklärte Jetton. "Erstens liefern wir verwertbare Informationen. Über unser Cyberfusion Centre in Singapur werten wir Daten aus Mitgliedsländern und von vertrauenswürdigen Partnern aus der Privatwirtschaft aus. Dadurch können wir kriminelle Infrastrukturen identifizieren, neue Bedrohungen aufdecken und laufende Ermittlungen und Operationen unterstützen."
Zweitens würden die Fähigkeiten nationaler Strafverfolgungsbehörden gestärkt. Dies umfasse unter anderem Schulungsprogramme, operative Unterstützung und Planspiele. "Drittens, und dies bildet den operativen Kern unseres Mandats, koordinieren wir grenzüberschreitende Operationen, um Cyberkriminelle zu identifizieren und festzunehmen, die von ihnen genutzte schädliche Infrastruktur auszuschalten, Opfer weltweit zu unterstützen und kriminelle Erträge einzuziehen", sagte Jetton.
Mit dem Projekt "Gateway" würden Security-Unternehmen, Finanzinstitute, Anbieter von Bedrohungsinformationen und Technologiepartner verknüpft, um Erkenntnisse aus der Privatwirtschaft in operative Massnahmen umzusetzen. "Ich garantiere Ihnen, dass unsere Operationen ohne die von der Privatwirtschaft bereitgestellten Informationen bei Weitem nicht so erfolgreich wären", betonte Jetton. Ein Grossteil der von Cyberkriminellen genutzten Infrastruktur werde zuerst von Privaten entdeckt.
Operation "Synergia III"
Ein Haupteinsatzgebiet der dadurch gewonnen Erkenntnisse bilde die Zerschlagung von Infrastrukturen der Cyberkriminellen. Mit der "Operation Synergia III" habe Interpol unter der Beteiligung von 72 Ländern
im März über 45'000 Server und Domänen abgeschaltet, die für böswillige Aktivitäten genutzt wurden, sowie 94 Verdächtige festgenommen.
Interpol habe zudem zwei neue Initiativen gestartet. Das Projekt "Stardust" konzentriere sich auf die Industrialisierung der Cyberkriminalität, indem es die zugrundeliegende Infrastruktur und kriminelle Dienste ins Visier nehme. Dazu würden Hosting-Dienste, Residential-Proxy-Netzwerke und Phishing-as-a-Service-Plattformen gehören. Mit dem Projekt "Echo" werde gleichzeitig gegen den Anstieg von bildbasiertem sexuellem Missbrauch im Internet und den zunehmenden Einsatz von KI zur Erstellung nicht einvernehmlicher intimer Bilder vorgegangen.
"Operation Endgame" von Europol
Auf einem weiteren Panel am Forum in Lille betonte auch Michaël De Laet, Teamlead European Cybercrime Center (EC3) von Europol, den Fokus auf die Ausschaltung von Infrastrukturen. "Ein gutes Beispiel ist die 'Operation Endgame', die bisher schon einige Male durchgeführt wurde", sagte De Laet.
Im November 2025 galten Aktionen der Abschaltung eines der grössten Infostealer Rhadamanthys, des Remote Access Trojaners VenomRAT und des Botnets Elysium. Zuvor wurden im Mai
bereits über 100 Server und 2000 Domänen vom Netz genommen. Dadurch wurden die Malware-Stämme Hummel, Lactrodectus, Qakbot, Hijackloader, Danabot, Trickbot und Warmkeks neutralisiert.
"Man konzentriert sich nicht auf die gesamte Angriffskette, sondern sagt sich: Okay, das ist ein zentraler Dienst in dieser Angriffskette. Also müssen wir versuchen, dort etwas zu bewirken", erklärte De Laet. Vorangegangen sei den Aktionen die Zerschlagung von Emotet. "Dabei haben wir gesehen, dass es nicht ausreicht, nur einen Akteur auszuschalten, um das Ökosystem zu stören."
Das altbekannte Katz-und-Maus-Spiel
De Laet gab sich über Erfolge solcher Aktionen durchaus selbstkritisch: "Wenn man in der Lage ist, selbst die zwei oder drei führenden Dienste in einem bestimmten Bereich zu stören, wird jemand anderes diese Lücke füllen. Sie werden eine Geschäftsmöglichkeit erkennen, eine Infrastruktur aufbauen und diese Lücke füllen."
Das Ganze sei deshalb natürlich ein Katz-und-Maus-Spiel. "Dennoch versuchen wir es. Wir versuchen, den grösstmöglichen Einfluss auf das Cybercrime-Ökosystem auszuüben, um es so nachhaltig wie möglich zu stören. Taucht ein Nachfolger auf, beginnen wir natürlich wieder mit unseren Untersuchungen", sagte De Leat. Und ein Ziel könnten die Polizeibehörden mit ihren Operationen bestimmt erreichen: "Die Cyberkriminellen werden unruhig und können sich mit jeder Aktion weniger sicher fühlen", zeigte sich der Europol-Vertreter überzeugt.
Interessenbindung: Inside IT wurde von Incyber nach Lille eingeladen (Zug, Hotel).