[datensicherheit.de, 11.05.2026] Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) haben nach eigenen Angaben am 6. Mai 2026 in einer international koordinierten Aktion die Neuauflage der kriminellen Online-Handelsplattform „Crimenetwork“ abgeschaltet. Der mutmaßliche Betreiber, ein 35-jähriger deutscher Staatsbürger, sei auf Grundlage eines Europäischen Haftbefehls an seinem Wohnsitz auf Mallorca durch eine Spezialeinheit der spanischen Nationalpolizei festgenommen worden.

Abbildung: BKA & ZIT

„BUSTED CRIMENETWORK UND DER FLUCH DER WEGWERFADMINS“

„Betreiben krimineller Handelsplattformen im Internet“ mittels „Crimenetwork“

Dem Beschuldigten wird demnach vorgeworfen, bereits wenige Tage nach der Abschaltung der Vorgängerversion von „Crimenetwork“ und der Festnahme des damaligen Administrators im Dezember 2024 eine vollständig neue technische Infrastruktur aufgebaut und administriert zu haben – von ihm ebenfalls „Crimenetwork“ genannt.

• Gegen den Beschuldigten bestehe daher der Verdacht des „Betreibens krimineller Handelsplattformen im Internet“ gemäß § 127 des Strafgesetzbuches. Daneben werden ihm weitere Straftaten vorgeworfen, wie etwa der „Handel mit Betäubungsmitteln in nicht geringer Menge“ gemäß §§ 29a, 30a des Betäubungsmittelgesetzes.

„Crimenetwork“ sei vor der Abschaltung durch die Strafverfolgungsbehörden Ende 2024 über viele Jahre hinweg einer der zentralen Handelsplätze der deutschsprachigen „Underground Economy“ gewesen.

„Crimenetwork“-Nutzer verwendeten „Krypto-Währungen“ wie „Bitcoin“, „Litecoin“ und „Monero“

Die Neuauflage dieser Web-Plattform habe ein ähnlich breites Spektrum an illegalen Waren und Dienstleistungen angeboten – darunter gestohlene Daten, Drogen und gefälschte Dokumente. Diese Neuauflage habe zuletzt über 22.000 Nutzer und mehr als 100 Verkäufer gezählt.

• Die Nutzer der neuen Web-Plattform verwendeten laut BKA „Krypto-Währungen“ wie „Bitcoin“, „Litecoin“ und „Monero“, um ihre Transaktionen abzuwickeln. Bei den Einsatzmaßnahmen hätten die Strafverfolgungsbehörden umfangreiche Beweise sichern können, welche auf einen Umsatz von mehr als 3,6 Millionen Euro schließen ließen.
• Der Betreiber der Web-Plattform habe für die Abwicklung der Verkäufe Provisionszahlungen erhalten und die Verkäufer hätten monatliche Gebühren für Werbung und Verkaufslizenzen geleistet. Bei den jüngsten Maßnahmen seien mutmaßlich inkriminierte Vermögenswerte mit unmittelbarem Bezug zu „Crimenetwork“ in Höhe von rund 194.000 Euro vorläufig sichergestellt worden.

Zudem hätten sowohl umfangreiche Nutzer- als auch Transaktionsdaten erlangt werden, welche nun wertvolle Ermittlungsansätze zur weiteren Aufklärung der kriminellen Strukturen hinter der Plattform böten. Die Kunden dieser Web-Plattform dürften sich überwiegend im deutschsprachigen Raum aufhalten.

„Crimenetwork“-Abschaltung als Ergebnis multinationer Kooperation

Dieser erneute Erfolg sei auch das Ergebnis einer engen und erfolgreichen Zusammenarbeit zwischen dem BKA, der ZIT und internationalen Strafverfolgungsbehörden, insbesondere den spanischen (Policía Nacional) und moldauischen (Inspectoratul Național de Investigații Centrul pentru Combaterea Crimelor Cibernetice) Behörden mit Unterstützung durch Eurojust.

Ebenfalls sei eine enge Zusammenarbeit mit der Generalstaatsanwaltschaft Karlsruhe – Cybercrime-Zentrum Baden-Württemberg, dem Polizeipräsidium Offenburg und dem Polizeipräsidium Reutlingen erfolgt, welche zeitgleich Maßnahmen gegen den Beschuldigten in einem Ermittlungsverfahren wegen gewerbsmäßigen Betrugs umgesetzt hätten.

• Carsten Meywirth, Direktor beim BKA und Abteilungsleiter „Cybercrime“ kommentiert: „Die Neuauflage von ,Crimenetwork’ ist gescheitert und ein weiterer Administrator wird sich vor einem deutschen Gericht verantworten müssen. Auch im ,Darknet’ setzen wir gemeinsam mit unseren nationalen und internationalen Partnern geltendes Recht konsequent durch. Cybercrime lohnt sich nicht!“ 
• Dr. Benjamin Krause, Leitender Oberstaatsanwalt und Pressesprecher der ZIT, ergänzt: „Im März 2026 ist der mutmaßliche Betreiber der Vorgängerversion von ,Crimenetwork’ durch das Landgericht Gießen zu einer Freiheitsstrafe von sieben Jahren und zehn Monaten verurteilt worden. Zudem ist durch das Gericht die Einziehung von Taterträgen in Höhe von über zehn Millionen Euro angeordnet worden. Auch wenn dieses Urteil noch nicht rechtskräftig ist, zeigt es eindeutig: Auch Kriminalität im ,Darknet’ hat Konsequenzen!“

Weitere Informationen zum Thema:

Bundeskriminalamt
Aufgabenbereiche des BKA / Nationale und internationale Zusammenarbeit, Ermittlungen, Forschung und Entwicklung, Verwaltung und Personenschutz – erfahren Sie hier mehr zu den vielfältigen Aufgabenbereichen der Kriminalpolizei des Bundes

Staatsanwaltschaften Hessen
GStA: Zentralstelle zur Bekämpfung der Internet- und Computerkriminalität (ZIT)

Bundeskriminalamt & GENERALSTAATSANWALTSCHAFT FRANKFURT AM MAIN ZIT
BUSTED CRIMENETWORK

datensicherheit.de, 02.12.2025
cryptomixer.io – ältester Online-Geldwäschedienst laut BKA abgeschaltet / Das Bundeskriminalamt (BKA) meldet neuen Fahndungserfolg eines internationalen Ermittlerteam: Umfassende Beweismittel gesichert und „Krypto-Währungen“ im Wert von rund 25 Millionen Euro beschlagnahmt

datensicherheit.de, 16.06.2025
BKA-Meldung zu Archetyp Market: Darknet-Handelsplattform abgeschaltet / Auf dieser ältesten kriminellen Handelsplattform im Darknet wurden laut BKA mindestens 250 Millionen Euro umgesetzt

datensicherheit.de, 23.05.2025
Operation Endgame 2.0: BKA meldet weitere 20 Haftbefehle gegen Cyberkriminelle / Deutschland und internationale Partner haben erneut führende Akteure der „Underground Economy“ ins Visier genommen – im Zuge der bislang weltweit größten Polizeioperation im Cyberspace

[datensicherheit.de, 22.02.2026] Laut einer Meldung von „cybernews“ vom 19. Februar 2026 wurde die RTL Group wurde Opfer eines Datenabgriffs und nimmt Bezug auf einen „Darknet“-Forenbeitrag: Cyberangreifer haben demnach Mitarbeiterdaten veröffentlicht, welche als „RTL-Group-Daten“ bezeichnet werden. Das betreffende Forum werde häufig für den Handel mit gestohlenen Daten genutzt. Laut den Angreifern sei der Angriff unlängst erfolgt: „Im Februar 2026 wurde die Intranet-Website der RTL Group gehackt und die Daten von über 27.000 Mitarbeitern offengelegt.“

Auszug mit 100 Zeilen angeblicher Mitarbeiterdaten der RTL Group und ihrer Tochterunternehmen publiziert

Die Cyberangreifer haben Auszüge der Daten veröffentlicht, welche von Sicherheitsforschern der „cybernews“-Redaktion untersucht wurden:

• „Die Hacker fügten einen Auszug mit 100 Zeilen angeblicher Mitarbeiterdaten der RTL Group und ihrer Tochterunternehmen bei, darunter Fremantle, M6 und weitere.“

„Bei den Daten handelt es sich anscheinend um Namen, geschäftliche E-Mail-Adressen, Unternehmensadressen und Angaben zu den Positionen der Mitarbeiter, wobei einige Einträge auch geschäftliche und private Telefonnummern enthalten.“

RTL Group hält es für unwahrscheinlich, dass auch Kundendaten betroffen sind

„cybernews“ sieht nach eigenen Angaben keine Zweifel an der Authentizität der Informationen in dieser Datenprobe.

• Die RTL Group habe „cybernews“ mitgeteilt, dass das Unternehmen die Behauptungen des Angreifers zur Kenntnis genommen habe und den Vorfall derzeit untersuche:

„Nach unserem derzeitigen Kenntnisstand ist es unwahrscheinlich, dass Kundendaten betroffen sind. Aber die Untersuchung läuft noch“, so die Stellungnahme eines Sprechers der RTL Group gegenüber „cybernews“.

Weitere Informationen zum Thema:

cn cybernews
Über uns

cn cybernews, Vilius Petkauskas & Paul Pauli, 19.02.2026
Hacker melden Abgriff von Mitarbeiterdaten aus dem Intranet der RTL Group

WIKIPEDIA
RTL Group

Frankfurter Allgemeine, Michael Hanfeld, 19.02.2026
Kunden angeblich nicht betroffen: Hacker erbeuten Daten von 27.000 Mitarbeitern der RTL Group

SPIEGEL Wirtschaft, 02.12.2025
Stellenabbau bei TV-Sendergruppe: RTL streicht rund 600 Stellen in Deutschland

datensicherheit.de, 19.02.2026
Eurail und Interrail: Gestohlene Passagier-Daten im Darknet feilgeboten / Hacker haben eine Probe entwendeter „Eurail“- bzw. „Interrail“-Daten auf der Messaging-Plattform „Telegram“ veröffentlicht

datensicherheit.de, 22.01.2026
Cyberkriminelle Marktplätze: Persönliche Daten landen immer schneller im Darknet / Ausschlachten digitaler Identitäten durch Cyberkriminelle – ESET rät Betroffenen zu schnellem Handeln

[datensicherheit.de, 19.02.2026] Keeper Security hatte bereits über den Hacker-Angriff auf „Eurail“ bzw. „Interrail“ bereits Mitte Januar 2026 berichtet: Cyberkriminelle konnten demnach Zugriff auf Passdaten und Kontaktinformationen von Passagieren erlangen. Nun habe sich die Situation zusätzlich verschärft, denn es sei bestätigt worden, dass gestohlene Daten im „DarkWeb“ zum Verkauf angeboten würden und dass die Angreifer auch eine Probe der entwendeten Daten auf der Messaging-Plattform „Telegram“ veröffentlicht hätten. Darren Guccione, CEO und Mitbegründer von Keeper Security, betont in seinem aktuellen Kommentar: „Der Vorfall bei ,Eurail’ geht über eine routinemäßige Benachrichtigung über einen Datenverstoß hinaus. Da die gestohlenen Daten von Reisenden den Berichten zufolge auf ,DarkWeb’-Marktplätzen zum Verkauf angeboten werden, ist das Risiko nicht mehr nur theoretischer Natur, sondern konkret!“

Foto: Keeper Security

Darren Guccione: Sobald diese Art von personenbezogenen Daten zum Verkauf angeboten wird, werden sie zu einem skalierbaren kriminellen Gut!

Reisedaten wie jetzt von „Eurail“ besonders wertvoll für hochgradig kontextbezogenes „Social Engineering“

Ersten Berichten zufolge seien sensible Reisedaten, darunter Passdaten und Kontaktinformationen, offengelegt worden. „Sobald diese Art von personenbezogenen Daten zum Verkauf angeboten wird, werden sie zu einem skalierbaren kriminellen Gut“, stellt Guccione klar.

• Cyberkriminelle kauften solche Datensätze, um Phishing-Kampagnen zu automatisieren, „Credential Stuffing“-Angriffe durchzuführen und Identitätsbetrug zu begehen.

Reisedaten seien besonders wertvoll, da sie ein hochgradig kontextbezogenes „Social Engineering“ ermöglichten: Angreifer könnten überzeugende Betrugsmaschen entwickeln, „die sich auf echte Reisen beziehen – beispielsweise gefälschte Reiseplanaktualisierungen, Rückerstattungsbenachrichtigungen oder Grenzkontrollen von Dokumenten“. Die durch legitime Reisedaten geschaffene Glaubwürdigkeit erhöhe die Wahrscheinlichkeit, dass Opfer darauf hereinfallen, erheblich.

Für vom „Eurail“-„Interrail“-Datenleck potenziell Betroffene sofortiges Handeln geboten

„Für betroffene Personen ist sofortiges Handeln unerlässlich!“ Zunächst sollten die Passwörter aller mit „Eurail“ verbundenen Konten geändert und sichergestellt werden, „dass die Multi-Faktor-Authentifizierung (MFA) nach Möglichkeit aktiviert ist“.

• Wenn die Passwörter auch anderweitig verwendet wurden, müssten auch diese Konten umgehend aktualisiert werden, um „Credential Stuffing“-Angriffe zu verhindern.

Es sei wichtig, Kontoauszüge, Kreditkartenaktivitäten und Online-Konten genau auf ungewöhnliche Transaktionen oder Anmeldeversuche zu überwachen. „Da gestohlene Daten monatelang oder sogar jahrelang im Umlauf sein können, ist eine ständige Wachsamkeit erforderlich!“ „DarkWeb“-Überwachungstools könnten frühzeitig warnen, „wenn Anmeldedaten von Personen auf kriminellen Marktplätzen auftauchen, so dass sie handeln können, bevor Angreifer versuchen, sie zu missbrauchen“.

Nach Vorfall bei „Eurail“/„Interrail“ sollte Legitimität jeder reisebezogenen Kommunikation geprüft werden

Eine besondere Vorsicht gelte bei unaufgeforderten E-Mails, SMS-Nachrichten oder Anrufen im Zusammenhang mit Reiseplänen: Angreifer nutzten oft das Mittel der Dringlichkeit – wie die Sperrung eines Kontos oder kurzfristige Änderungen des Reiseplans –, um Opfer so unter Druck zu setzen, dass diese ohne Überprüfung handelten.

• Man sollte sich die Zeit nehmen, die Legitimität jeder reisebezogenen Kommunikation zu überprüfen, um eine weitere Kompromittierungen zu verhindern. „Für Unternehmen unterstreicht dieser Vorfall die grundlegende Tatsache, dass die Kontrolle über sensible Identitätsdaten verloren geht, sobald diese offengelegt werden.“

Die einzige dauerhafte Abwehr bestehe darin, eine Offenlegung von vornherein durch strenge Zugriffskontrollen, kontinuierliche Überwachung und ein Zero-Trust-Sicherheitsmodell zu verhindern, welches jeden Benutzer und jedes Gerät überprüft. „Der Schutz des Kundenvertrauens hängt nicht nur davon ab, Verstöße schnell zu erkennen, sondern auch davon, dass kritische Identitätsdaten von vornherein nicht gefährdet sind“, gibt Guccione abschließend zu bedenken.

Weitere Informationen zum Thema:

KEEPER
Wir sind Keeper Security

KEEPER
Keeper Security Author Darren Guccione / Aktuelle Artikel von Darren

eurail, 13.02.2026
Data security incident (updated release) / Eurail B.V. shares information about a recent data security incident

eurail
About us / Helping travelers to discover Europe since 1959

interrail
Über uns: Seit 1959 helfen wir Reisenden, Europa zu entdecken

BLEEPINGCOMPUTER, Bill Toulas, 16.02.2026
Eurail says stolen traveler data now up for sale on dark web

SPIEGEL Netzwelt, 15.01.2026
Schwerer Vorfall bei Eurail Daten von Interrail-Kunden gestohlen / Passnummern, Geburtsdaten, Kontaktadressen: Unbekannte Angreifer haben sich Zugriff auf Kundendaten des Anbieters Eurail verschafft. Das Unternehmen warnt vor möglichen Betrugsversuchen.

WIKIPEDIA
Eurail

datensicherheit.de, 18.01.2026
Eurail und Interrail: Hacker erlangten Zugriff auf Daten von Bahnreisenden / Sensiblen Reisedaten droht Missbrauch, wenn sie in die Verfügung Cyberkrimineller gelangen

datensicherheit.de, 25.10.2021
Warnung der PSW GROUP: Soziale Netzwerke als Brutstätten für Attacken mittels Credential Stuffing / Für sämtliche Web-Dienste dieselben Login-Daten zu verwenden ermöglicht Credential Stuffing

[datensicherheit.de, 22.01.2026] Michael Klatte, Cybersicherheitsexperte bei ESET, erörtert in seiner aktuellen Stellungnahme, warum digitale Identitäten für Cyberkriminelle so wertvoll sind – egal, ob beim Online-Shopping, Streaming-Abo oder App-Download: Noch nie wurden offensichtlich so viele persönliche Daten an so vielen Stellen gespeichert wie heute. Indes: Einmal kompromittiert, tauchen Passwörter, Zahlungsdaten oder ganze Nutzerprofile häufig innerhalb kurzer Zeit in Untergrundforen und Marktplätzen im sogenannten Darknet auf. Dort werden sie gehandelt, kombiniert und für Betrug genutzt. ESET warnt eindringlich vor den Gefahren, welche hierdurch entstehen: „Ein einzelnes Datenleck ist heute selten ein isolierter Vorfall“, bemerkt Klatte und führt hierzu aus: „Gestohlene Zugangsdaten sind der Rohstoff für weitere Angriffe. Sie werden gesammelt, automatisiert ausprobiert und öffnen Angreifern oft Tür um Tür zu weiteren Konten.“

Das Darknet als cyberkrimineller Marktplatz für digitale Identitäten

Daten gerieten auf unterschiedliche Weise in cyberkriminelle Hände. Häufige Ursachen seien Sicherheitsvorfälle bei Unternehmen, Spionage-Software, Phishing und falsch konfigurierte „Cloud“-Dienste.

• Besonders riskant sei nun die zunehmende Professionalisierung der Angreifer. Schadsoftware und Angriffswerkzeuge würden längst als Dienstleistung angeboten. Cyberkriminelle benötigten nicht einmal mehr technisches Spezialwissen.

Klatte bemerkt hierzu, dass klassische Schutzmechanismen oft nicht mehr reichten: „Wir sehen, dass Angreifer längst nicht mehr nur Passwörter stehlen.“ Session-Cookies oder Authentifizierungs-Tokens ermöglichten es ihnen, bestehende Logins zu übernehmen. Er warnt: „Das kann sogar eine Zwei-Faktor-Authentifizierung aushebeln. Für Betroffene ist das besonders tückisch, weil es zunächst völlig unauffällig bleibt.“

Biometrische Daten als Universalschlüssel für Cyberkriminelle

Neben klassischen Zugangsdaten kursierten zunehmend hochsensible Informationen, darunter biometrische Merkmale wie Fingerabdrücke oder Gesichtsscans. Der Unterschied sei entscheidend: Passwörter ließen sich ändern, biometrische Daten nicht. Dies mache Identitätsdiebstahl zu einem langfristigen Risiko.

Wenn dann persönliche Daten im Darknet auftauchen, zählt jede Stunde. Für den Ernstfall hat der ESET-Experte folgende Tipps für Betroffene von Identitätsdiebstahl:

• Passwörter sofort ändern, wenn ein Konto betroffen sein könnte!
  Insbesondere, wenn dieselben Passwörter über mehrere Konten hinweg benutzt werden.
• Wo möglich, Zwei-Faktor-Authentifizierung (2FA) aktivieren!
  Idealerweise über eine Authenticator-App statt SMS-Nachricht.
• Dienste meiden, welche keine 2FA anbieten!
  Da die Kombination aus Nutzernamen und Passwort allein unsicher sei.
• Alle aktiven Sitzungen in wichtigen Konten beenden!
  Etwa in E-Mail- und Social-Media-Accounts.
• Kontoaktivitäten prüfen!
  Zum Beispiel ungewöhnliche Logins, unbekannte Geräte oder verdächtige Weiterleitungen im Postfach.
• Bank und Zahlungsanbieter informieren!
  Wenn Zahlungsdaten betroffen sein könnten, und Konten auf verdächtige Transaktionen hin im Auge behalten.
• Geräte auf „Infostealer“ und andere Malware prüfen, bevor neue Passwörter gesetzt werden!
  Hierbei könnten zuverlässige IT-Sicherheitslösungen wie z.B. die von ESET helfen.
• Vorsicht bei E-Mails und SMS-Nachrichten mit „Sicherheitswarnungen“ oder „Kontosperrungen“!
  Insbesondere direkt nach einem „Leak“.
• Alte, ungenutzte Online-Konten schließen!
  Um unnötige Angriffsflächen zu reduzieren.

Cyberkriminelle hochprofessionell und schnell

Langfristig komme es auf Digitale Hygiene an: Dazu gehörten regelmäßige Updates, starke und einzigartige Passwörter, ein verantwortungsvoller Umgang mit persönlichen Daten und ein kritischer Blick auf Nachrichten, Links und Anhänge.

• „Viele unterschätzen den Ernst der Lage oder reagieren zu spät“, so Klatte. Abschließend gibt er deshalb zu bedenken: „Cyberkriminelle arbeiten hochautomatisiert und mit enormem Tempo. Wer seine Konten sichern will, muss im Ernstfall genauso schnell handeln!“

Mehr Hintergründe und konkrete Schutzmaßnahmen gibt es im Blog-Beitrag „Verkauft, vernetzt, verwundbar: So landen Ihre Daten im Darknet“ auf „WeLiveSecurity“.

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

welivesecurity by eseT
Michael Klatte – Security Writer

welivesecurity by eseT, Phil Muncaster, 15.01.2026
Privatsphäre / Verkauft, vernetzt, verwundbar: So landen Ihre Daten im Darknet / Dank Phishing, Malware oder Datenpannen bei Dritten geraten sensible Informationen schneller in falsche Hände, als vielen bewusst ist. Was Cyberkriminelle mit Ihren Daten tun, wie Sie den Schaden begrenzen können und worauf es beim Schutz Ihrer digitalen Identität jetzt ankommt.

WIKIPEDIA
Darknet

datensicherheit.de, 03.11.2025
Darknet: NordVPN-Studie zeigt Preiszunahme für gestohlene Zahlungskarten um bis zu 444 Prozent / Gestohlene Zahlungskarten aus Deutschland kosten im „Darknet“ durchschnittlich 9,50 Euro

datensicherheit.de, 22.09.2025
Deepfakes in Echtzeit ab 30 US-Dollar im Darknet angeboten / Kaspersky-Experten vom „Global Research and Analysis Team“ (GReAT) haben in Untergrundforen Anzeigen entdeckt, die Echtzeit-Deepfakes für Video und Audio günstig anbieten

datensicherheit.de, 25.08.2025
Alarm bei PayPal-Kunden: 15,8 Millionen Zugangsdaten im Darknet aufgetaucht / Offenbar massives Datenleck aufgetreten, welches Bedrohung für Millionen von „PayPal“-Nutzern weltweit sein könnte

[datensicherheit.de, 03.11.2025] NordVPN meldet in einer aktuellen Stellungnahme, dass laut aktuellen Untersuchungen die Preise für gestohlene Zahlungskarten auf „Darknet“-Marktplätzen in den meisten Ländern gestiegen sind. Während der weltweite Durchschnitt weiterhin bei etwa acht Dollar liege, legten die Preise in manchen Märkten um bis zu 444 Prozent zu. In Deutschland sei der Durchschnittspreis von 4,77 USD im Jahr 2023 auf ganze 11,06 USD im Jahr 2025 gestiegen – „ein Anstieg von 131,86 Prozent“. Die zugrundeliegende Untersuchung wurde demnach von NordStellar, einer „Threat Exposure Management“-Plattform des Teams hinter NordVPN, durchgeführt. „Die Experten analysierten im Mai 2025 gestohlene Zahlungskartendaten, die auf ,Darknet’-Marktplätzen gehandelt wurden. Der Datensatz beinhaltete insgesamt 50.705 Karten.“ Der Wechselkurs von USD zu EUR habe zum Zeitpunkt der Umrechnung (29.10.2025) 1,00 zu 0,86 betragen. „Während dieser Studie wurden keine individuellen Kreditkarteninformationen oder Zugangsdaten abgerufen oder gekauft.“ Analysiert worden sei ausschließlich das in den Angeboten im „Darknet“ bereitgestellte Metadaten-Material.

Abbildung: NordVPN

NordStellar-Untersuchung im Auftrag für NordVPN zeigt: Karten werden häufig in großen Paketen mit langer Gültigkeit angeboten und lassen sich lokal leicht zu Geld machen

Erschreckende Realität: Handel mit Daten gestohlener Zahlungskarten im „Darknet“ alltäglich

Viele Menschen gingen davon aus, „dass Cyberkriminalität immer nur andere trifft“. Doch die Realität sei folgende: „Die Daten gestohlener Zahlungskarten werden täglich auf Untergrund-Marktplätzen gehandelt.“

• Selten seien es nur die Kartennummern – in den Angeboten fänden sich häufig auch Namen, Adressen, E-Mail-Adressen und weitere Informationen, mit denen Kriminelle Verifizierungsverfahren umgehen und sich als echte Kartenbesitzer ausgeben könnten.

„Obwohl die Preise steigen, bleibt der Handel mit Kartendaten für Kleinkriminelle weiterhin erschwinglich“, berichtet Adrianus Warmenhoven, Cybersicherheits-Experte bei NordVPN. Er führt weiter aus: „Auf großen ,Darknet’-Marktplätzen kostet eine gestohlene Zahlungskarte oft nicht mehr als ein Kinoticket. Karten werden häufig in großen Paketen mit langer Gültigkeit angeboten und lassen sich lokal leicht zu Geld machen. Für wenige Dollar wählen die Täter dann zwischen einem Kinoabend oder erheblichem Betrug inklusive möglicher Kontenübernahmen.“

Von einem US-Dollar bis 23 USD – Hintergründe zu „Darknet“-Preisen

Europaweit liege der Preis für die meisten Karten bei etwa acht USD. Spanien hebe sich als teuerstes EU-Land mit durchschnittlich 11,68 USD hervor, gefolgt von Frankreich mit 11,07 USD und Deutschland mit 11,06 USD. Zu den günstigsten Ländern zähle Zypern mit einem Durchschnittspreis von 1,78 USD.

• Im Vergleich zu anderen Ländern seien US-Amerikaner am stärksten von Zahlungskartenbetrug betroffen: „Über 60 Prozent der gestohlenen Zahlungskarten gehörten US-amerikanischen Nutzern. Auf Platz 2 liegt Singapur mit etwa elf Prozent, gefolgt von Spanien mit rund zehn Prozent.“

Allerdings bedeute diese Häufigkeit nicht zwangsläufig einen niedrigen Preis. Gestohlene US-Zahlungskarten lägen mit durchschnittlich 11,51 USD im mittleren Preissegment des „Darknet“-Handels. Die teuersten Angebote stammten aus Japan und lägen bei rund 23 USD. Karten aus Kasachstan, Guam und Mosambik kosteten jeweils etwa 16 USD. Am unteren Ende des Spektrums bewegten sich Karten aus der Republik Kongo, Barbados und Georgien, welche bereits ab etwa einem Dollar verkauft würden.

Angebot und Nachfrage sowie striktere Betrugskontrollen bestimmen „Darknet“-Preise

Die Analyse zeige, dass die Preise für gestohlene Daten in den vergangenen zwei Jahren deutlich gestiegen seien. „Den größten Anstieg verzeichnete Neuseeland mit über 444 %, gefolgt von Argentinien (368 %) und Polen (221 %).“

• Die Preise im „Darknet“ würden überwiegend von Angebot und Nachfrage bestimmt: Kriminelle zahlten mehr für Karten aus Ländern, „in denen das Angebot gering ist und die Betrugsbekämpfung besonders effektiv“ – wie zum Beispiel in Japan. In Märkten mit großen Datenmengen wie den USA oder Spanien seien Zahlungsdaten günstiger zu haben und würden häufig gebündelt verkauft, was den Einzelpreis deutlich senke.

„Auch die Stärke der Strafverfolgungsbehörden und die politische Stabilität eines Landes beeinflussen das Risiko und damit den Preis“, erläutert Warmenhoven. Mit „Risiko“ sei gemeint, „wie fortschrittlich die Kartenherausgeber beim Erkennen von Betrug sind und wie schnell sie darauf reagieren“. Karten mit längeren Laufzeiten erzielten ebenfalls höhere Preise. Rund 87 Prozent der analysierten Karten seien noch über zwölf Monate gültig – dies mache ihren Weiterverkauf für Kriminelle besonders attraktiv.

„Carding“ nach dem Erwerb im „Darknet“ – Monetarisierung gestohlener Karten

Millionen gestohlener Karten seien im Darknet gelistet, aber das große Geld fließe erst nach deren Verkauf – beim sogenannten Cash-out, auch „Carding“ genannt. Das Stehlen oder Kaufen von Kartendaten sei nämlich nur der Anfang.

• Die eigentliche „Kunst“ bestehe darin, diese Daten zu validieren, zu Geld zu machen und das Ganze so zu verschleiern, „dass am Ende ein echter Gewinn für die Kriminellen entsteht“.

„Carding“ funktioniere wie eine industrielle Lieferkette: Verschiedene Akteure übernähmen dabei jeweils unterschiedliche Aufgaben: „Harvester“ würden die Daten beschaffen oder stehlen, „Validatoren“ ließen „Bots“ Tausende Karten pro Stunde überprüfen, und „Cash-outers“ wandelten die geprüften Karten dann in Gutscheincodes, Waren, „Krypto-Währungen“ oder Bargeld um.

Monetarisierung der im „Darknet“ gekauften Karten und anschließendes „Waschen des Geldes“ eng verknüpft

„Der entscheidende Schritt beim ,Carding’ ist die Validierung“, so Warmenhoven. Cyberkriminelle nutzten hierzu „Bots“, um kleine Testbuchungen oder Autorisierungsversuche durchzuführen.

• „So finden sie heraus, welche Karten tatsächlich funktionieren. Oft nutzen sie dafür auch Zahlungsdienstleister oder Online-Shops, die sie selbst kontrollieren, um die Versuche zu verschleiern und Fehlschläge unauffällig zu halten.“

Ist eine Karte erfolgreich validiert, könne sie benutzt werden, um Geld an Geldautomaten abzuheben, Gutscheine oder Reisen und Unterkünfte zu buchen, die später wieder verkauft werden könnten. Es gebe meist mehrere Stufen, um die Herkunft der Gelder zu verschleiern. Die Monetarisierung und das anschließende „Waschen des Geldes“ seien eng miteinander verknüpft.

5 Tipps zum Schutz vor Gefahren aus dem „Darknet“

Warmenhoven benennt eine Reihe von Schutzmaßnahmen:

1. Regelmäßige Überprüfung der Kontoauszüge
   „Überprüfen Sie Ihre Bank- und Kreditkartenaktivitäten mindestens einmal pro Woche und aktivieren Sie Echtzeit-Benachrichtigungen!“ So könne man unbekannte Abbuchungen frühzeitig erkennen und diese schnell melden.
2. Verwendung starker Passwörter
   „Sichern Sie Ihre Konten mit komplexen, einzigartigen Passwörtern – besonders in Online-Shops, in denen Sie persönliche Angaben wie Ihre Adresse oder Zahlungsdaten speichern!“
3. Keine Speicherung von Passwörtern und Zahlungsdaten im Browser
   „Sollte Ihr Computer mit Schadsoftware infiziert werden, kann diese auf lokal gespeicherte Passwörter zugreifen und Autofill-Informationen wie Passwörter, Adressen und Kartendaten auslesen.“
4. Aktivierung der Multi-Faktor-Authentifizierung (MFA)
   „Zusätzliche Sicherheitsschichten – etwa Codes, Geräte oder biometrische Verfahren – machen es Angreifern deutlich schwerer.“
5. Überwachung des „Darknet“
   „,Tools’ wie der ,Dark Web Monitor’ von NordVPN informieren Sie, wenn Informationen, die mit Ihren E-Mail-Adressen verknüpft sind, im ,DarkWeb’ auftauchen.“ Die „DarkWeb Monitor Pro“-Variante erlaube außerdem das Hinzufügen von Kreditkartennummern für kontinuierliche Überwachung und sofortige Warnungen.

Weitere Informationen zum Thema:

NordVPN
Lerne NordVPN kennen / Online-Sicherheit beginnt mit einem Klick – und die Geschichte eines der führenden VPN-Anbieter beginnt mit einer Vision

NordVPN
Zu verkaufen: Die Kosten für gestohlene Zahlungskartendaten / Im Schnitt sind gestohlene Kartendaten so billig wie eine Kinokarte. / Zwischen 2023 und 2025 sind die Preise um bis zu 444 % gestiegen. / Kriminelle bevorzugen Karten, die noch mehrere Jahre gültig sind.

Linkedin
Adrianus Warmenhoven

datensicherheit.de, 25.08.2025
Alarm bei PayPal-Kunden: 15,8 Millionen Zugangsdaten im Darknet aufgetaucht / Offenbar massives Datenleck aufgetreten, welches Bedrohung für Millionen von „PayPal“-Nutzern weltweit sein könnte

datensicherheit.de, 16.07.2025
Reisedokumente lukrativ für Cyberkriminelle: Selbst Bordkarten im DarkWeb-Angebot / Eine neue gemeinsame Studie von NordVPN und Saily zeigt florierenden Handel mit Reisedaten im DarkWeb auf

datensicherheit.de, 08.07.2025
DarkWeb: Boom im verborgenen Internet als Eldorado für Cyberkriminalität / Das DarkWeb ist längst eine florierende Untergrundwirtschaft, die Identitätsdiebstahl, Ransomware und Datenschutzverletzungen weltweit antreibt

datensicherheit.de, 18.11.2024
Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet / Verbraucherkanzlei Dr. Stoll & Sauer bietet Tibber-Kunden Prüfung möglicher Ansprüche auf Schadensersatz

datensicherheit.de, 23.07.2022
HP: Gestohlene Zugangsdaten im DarkWeb günstiger als ein Döner / Laut neuer Studie von HP Wolf Security sind Cyber-Kriminelle bemüht, ihre Untergrund-Ökonomie zu professionalisieren

datensicherheit.de, 16.06.2022
Account Takeover: 24 Milliarden Benutzernamen und Passwörter im Darknet / Report Account Takeover in 2022 zeigt Ausmaß weltweit geleakter Logindaten nach Kontoübernahmen

datensicherheit.de, 10.12.2021
Hacker-Beutezüge: Daten im Darknet hoch im Kurs / Anurag Kahol erläutert wie Hacker vorgehen, auf welche Arten sie Daten verwerten und wie Unternehmen das Bewusstsein ihrer Mitarbeiter für Cyber-Angriffe schärfen

[datensicherheit.de, 22.09.2025] Laut einer aktuellen Stellungnahme von Kaspersky haben Experten vom „Global Research and Analysis Team“ (GReAT) in Untergrundforen Anzeigen entdeckt, die Echtzeit-Deepfakes für Video und Audio anbieten – und das deutlich günstiger als in der Vergangenheit. „Die aktuellen Offerten starten bei 30 US-Dollar für gefälschte Sprachnachrichten; manipulierte Videos sind bereits ab 50 US-Dollar zu haben.“

Cyberkriminelles Portfolio an Deepfake-Dienstleistungen

Eigenen Aussagen nach bieten Cyberkriminelle demnach unterschiedliche Dienstleistungen an:

• Echtzeit-Gesichtstausch während eines Video-Calls – etwa auf Videokonferenz-Plattformen oder in Messengern,
• Gesichtsersetzung für Verifizierungsprozesse,
• Austausch des Kamerafeeds auf Geräten,
• Software zur Mimik- und Lippensynchronisation aus Text (auch in Fremdsprachen),
• Stimmenklone mit anpassbarer Tonlage und Stimmfarbe, um gezielt Emotionen zu transportieren.

Angebot und Nachfrage für „Deepfake-as-a-Service“ vorhanden

Die Kosten stiegen je nach Komplexität und Dauer der Inhalte. Zum Vergleich: „Früher lagen die Angebote für Deepfakes zwischen 300 und 20.000 US-Dollar pro Minute. Damit ermöglichen die aktuellen Anzeigen eine Echtzeit-Erzeugung von Fake-Audio und -Video zu einem Bruchteil der früheren Preise.“

• Zugleich sei es wahrscheinlich, dass viele dieser Anzeigen Betrugsversuche seien und Interessenten lediglich um ihr Geld bringen sollten.

Dmitry Galov, GReAT-Sicherheitsforscher bei Kaspersky, kommentiert warnend: „Wir sehen nicht nur Anzeigen für ‚Deepfake-as-a-Service‘, sondern auch eine klare Nachfrage.“ Cyberkriminelle experimentierten aktiv mit Künstlicher Intelligenz (KI) und bänden diese in ihre Aktivitäten ein.

Kaspersky gibt Unternehmen Empfehlungen zum Umgang mit Deepfakes

Einige Plattformen würden gar mit weiterentwickelten Fähigkeiten werben – zum Beispiel lokal laufenden, von Grund auf neu erstellten schädlichen „Large Language Models“ (LLMs), welche unabhängig von öffentlich verfügbaren Modellen seien. Diese Technologien seien per se keine neuen Bedrohungen, könnten die Fähigkeiten von Angreifern aber deutlich erweitern.

• Galov rät: „Cybersicherheitsexperten müssen entsprechend gegenhalten. Vielversprechend ist der Einsatz von KI, um die Produktivität von Sicherheitsteams zu erhöhen und die Wirksamkeit von Schutzmaßnahmen zu verbessern.“

Kaspersky-Empfehlungen zum Umgang mit Deepfakes im Unternehmensumfeld:

• Bewusstsein zum Thema Deepfakes entwickeln
  Mitarbeiter regelmäßig schulen, etwa über Mikro-Lerneinheiten (z.B. der „Kaspersky Automated Security Awareness Platform“).
• Mitarbeitern die Hauptmerkmale von Deepfakes näherbringen
  Dazu zählten unter anderem ruckartige Bewegungen, inkonsistente Beleuchtung zwischen Frames, unnatürliche Hauttöne, ungewöhnliches oder fehlendes Blinzeln, Bildartefakte sowie absichtlich niedrige Videoqualität / Beleuchtung.
• Schutz organisatorisch und technisch aufstellen
  Neben Schutzlösungen seien qualifizierte IT-Spezialisten erforderlich („Kaspersky Threat Intelligence“ könne z.B. helfen, potenziell relevante Bedrohungen zu identifizieren).

Weitere Informationen zum Thema:

kaspersky
Cyberimmunität ist unser erklärtes Ziel: Wir sind ein Team von über 5.000 Fachleuten mit einer über 25-jährigen Erfolgsgeschichte im Schutz von Privatpersonen und Unternehmen weltweit und haben uns die weltweite Cyberimmunität als ultimatives Ziel gesetzt.

SECURELIST by Kaspersky
Dmitry Galov

kaspersky, 09.05.2023
20k for a one-minute video: Kaspersky explores the Darknet deepfake industry

datensicherheit.de, 13.09.2025
CEO DEEPFAKE CALL: Bei Anruf Awareness-Training zum Thema Vishing / Swiss Infosec bietet proaktiv Sensibilisierung und Training für Mitarbeiter im Kontext der Gefahren KI-basierter Anrufsimulationen (Voice AI Deepfakes) an

datensicherheit.de, 17.08.2025
Deepfakes 2025: Zuvor KI-Spielerei und heute bedrohliches Hacker-Tool / Marco Eggerling warnt anhand jüngster Fälle von Cyberangriffen mittels Deepfakes, dass diese auf KI basierene Technologie zum neuen Standardwerkzeug für Hacker geworden ist

datensicherheit.de, 14.07.2025
KI-Waffe Deepfake: Betrug, Identitätsdiebstahl und Angriffe auf Unternehmen / Ein neuer Bericht von Trend Micro zeigt Methoden hinter deepfake-gestützter Cyberkriminalität auf

datensicherheit.de, 12.07.2025
Deepfake-Betrug verursacht finanziellen Schaden in Millionen-Höhe / Einer aktuellen Studie von Surfshark zufolge gab es in der ersten Hälfte des Jahres 2025 fast viermal so viele Deepfake-Vorfälle wie im gesamten Jahr 2024

datensicherheit.de, 08.07.2025
Audio-Deepfakes: Zunahme der KI-Verfügbarkeit als Booster für Betrugsversuche / Einen hohen Anteil an diesen Deepfake-Betrugsversuchen haben laut KnowBe4 synthetische Sprachanrufe

[datensicherheit.de, 25.08.2025] Die Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH geht in einer Stellungnahme vom 25. August 2025 auf ein offenbar massives Datenleck ein, welches demnach eine Bedrohung für Millionen von „PayPal“-Nutzern weltweit sein könnte: Im sogenannten Darknet sollen Zugangsdaten zu rund 15,8 Millionen „PayPal“-Konten aufgetaucht sein. „Die Datenbank enthält E-Mail-Adressen und Passwörter – und soll laut Experten aus einem koordinierten Malware-Angriff stammen. Die Daten könnten zur Übernahme von Konten und für gezielten Identitätsmissbrauch verwendet werden.“ Betroffen seien nach ersten Einschätzungen auch viele Nutzer aus Europa und Deutschland. Laut einem Bericht von „FOCUS Online“ wurden die Daten bereits am 6. Mai 2025 kompromittiert und nun zum Verkauf angeboten. Die Verbraucherkanzlei Dr. Stoll & Sauer prüft nach eigenen Angaben rechtliche Ansprüche auf Schadensersatz nach Art. 82 DSGVO und bietet Betroffenen eine kostenlose Ersteinschätzung im „Datenschutz-Online-Check“ an.

„PayPal“-Datenleck mittels sogenannter Info-Stealern, welche auf den Geräten der Nutzer installiert dort gespeicherte Logins ausspähten

Erstmals sei das Angebot in einschlägigen Foren auf der Plattform „BreachForums“ aufgetaucht. Ein Nutzer mit dem Alias „Chucky_BF“ biete dort eine Datenbank mit 1,1 Gigabyte Datenvolumen an – laut eigenen Angaben mit 15,8 Millionen Datensätzen, „die Klartext-Passwörter und E-Mail-Adressen enthalten“.

• Diese Datei enthalte sowohl Zugangsdaten zu Web- als auch mobilen „PayPal“-Accounts. Laut Analysen der Sicherheitsfirma Bitdefender basiere diese Sammlung auf sogenannten Info-Stealern – also Schadsoftware, welche auf den Geräten der Nutzer selbst installiert worden sei und dort gespeicherte Logins ausgespäht habe.

Es handele sich demnach nicht um ein Leck bei „PayPal“ selbst, sondern um einen umfassenden Diebstahl durch Schadsoftware-Kampagnen, welche über Monate hinweg Daten gesammelt hätten.

Betreiber PayPal bereits mehrfach mit Sicherheitsvorfällen konfrontiert

PayPal sei in der Vergangenheit bereits mit Sicherheitsvorfällen konfrontiert gewesen – zuletzt im Dezember 2022. „Damals wurden rund 35.000 Konten im Rahmen einer sogenannten ,Credential Stuffing’-Attacke kompromittiert. Dabei nutzten Angreifer zuvor gestohlene Login-Daten, um sich Zugriff auf Konten zu verschaffen.“

• Neben E-Mail-Adressen und Passwörtern seien dabei auch Namen, Geburtsdaten und in den USA sogar Sozialversicherungsnummern ausgespäht worden. PayPal habe damals die betroffenen Nutzer informiert und die Passwörter zurückgesetzt.

Laut aktuellen Recherchen scheine der derzeitige Vorfall im „Darknet“ in direktem Zusammenhang mit derartigen Angriffsmethoden zu stehen. „Einen klassischen Hack der ,PayPal’-Systeme gab es laut Medienberichten bislang jedoch nicht.“ Die New Yorker Finanzaufsicht habe im Januar 2025 dennoch ein Bußgeld über zwei Millionen US-Dollar wegen Versäumnissen bei der Cybersicherheit verhängt.

Login-Daten für „PayPal“-Webzugänge und mobile Endpunkte im „Darknet“-Angebot

Besorgniserregende Details zur aktuellen Datenbank:

• 15,8 Millionen Datensätze, laut Anbieter mit gültigen E-Mail-Passwort-Kombinationen Datenleck vom 6. Mai 2025, jedoch erst Mitte August 2025 entdeckt
• Login-Daten für „PayPal“-Webzugänge und mobile Endpunkte
• Passwort-Hashes teilweise im Klartext
• Preis im sog. Darknet umgerechnet nur etwa 750 US-Dollar

Empfehlungen für Betroffene:

• Umgehender Wechsel des „PayPal“-Passworts – auch bei verbundenen E-Mail-Konten!
• Aktivierung der Zwei-Faktor-Authentifizierung (2FA)!
• Prüfung, ob dieselben Passwörter bei anderen Diensten verwendet wurden!
• Überwachung von Bankkonten und „PayPal“-Transaktionen!
• Nutzung von Passwortmanagern und Identitätsschutz-Tools!

Schadensersatzansprüche nach Art. 82 DSGVO möglich – auch wenn Sicherheitslücke beim Endnutzer und nicht bei PayPal liegt

„Auch wenn die Daten nicht direkt bei ,PayPal’ selbst entwendet wurden, stellt der massenhafte Verkauf personenbezogener Daten im Netz eine erhebliche DSGVO-relevante Gefährdungslage dar!“ Die DSGVO schütze nicht nur vor dem Datenverlust durch Unternehmen, sondern gebe auch Rechte bei der Weiterverbreitung und Nutzung persönlicher Informationen.

• Nach Einschätzung der Kanzlei Dr. Stoll & Sauer kommen Schadensersatzansprüche nach Art. 82 DSGVO in Betracht – „auch dann, wenn die eigentliche Sicherheitslücke beim Endnutzer entstand“. Entscheidend sei, ob ein Missbrauch oder Kontrollverlust über personenbezogene Daten vorliege – und dies sei hier offensichtlich gegeben.

Besonders relevant sei in diesem Zusammenhang eine Grundsatzentscheidung des Bundesgerichtshofs (BGH): „Am 18. November 2024 (Az. VI ZR 10/24) stellte der BGH klar, dass schon der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen kann.“ Es reiche also aus, dass Betroffene erfahren, dass ihre Daten in falsche Hände geraten sind – selbst wenn kein direkter Missbrauch erfolgt ist.

Sobald PayPal Kenntnis von dem Datenleck erlangte, bestand die Pflicht nach Art. 33 und 34 DSGVO unverzüglich zu informieren

Im entschiedenen Fall habe der BGH dem Kläger einen symbolischen Schadensersatz in Höhe von 100 Euro zugesprochen. „Das Gericht betonte in seiner Entscheidung auch, dass der Schadensersatz höher ausfallen könne.“ Dies hänge vom erlittenen Schaden ab. Dieses Urteil gelte als Leitentscheidung im Bereich DSGVO-Schadensersatz.

• Zudem gelte: „Sobald ein Unternehmen wie PayPal Kenntnis von einem möglichen Datenleck erlangt, ist es verpflichtet, nach Art. 33 und 34 DSGVO die zuständigen Behörden sowie Betroffene unverzüglich zu informieren.“ Auch dieser Aspekt werde derzeit kritisch beobachtet – denn bislang habe PayPal öffentlich keine umfassende Warnung an Nutzer in Deutschland ausgesprochen.

Betroffene „PayPal“-Nutzer sollten ihre Situation umgehend prüfen lassen. Die Kanzlei Dr. Stoll & Sauer bietet im „Datenschutz-Online-Check“ eine kostenlose und unverbindliche Ersteinschätzung an: „Wir helfen dabei, die rechtlichen Optionen einzuschätzen, Ansprüche zu sichern und etwaige Verstöße gegen die DSGVO aufzudecken. Jetzt unverbindlich prüfen lassen: ,Datenschutz-Online-Check’ starten!“

Weitere Informationen zum Thema:

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Ihre Kanzlei – kompetent und unkompliziert / Wir machen uns stark für Ihr Recht

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Datenschutz-Online-Check

FOCUS online, 22.08.2025
Großer Hack? 15,8 Millionen Paypal-Passwörter angeblich geleakt: So prüfen Sie, ob Sie betroffen sind

Handelsblatt, 21.08.2025
Paypal: Daten im Darknet – So lässt sich das eigene Konto schützen / Ein Leak von 15,8 Millionen Nutzungsdaten verunsichert die Paypal-Kunden. Was hilft, um einen Missbrauch des eigenen Kontos wirksam zu verhindern.

NDR, 21.08.2025
Paypal-Daten im Darknet: Das sollten Nutzer jetzt beachten / Cyberkriminelle könnten in den Besitz von Millionen von Paypal-Daten gelangt sein. Falls diese aktuell und echt sind, droht dadurch immenser Schaden. Was sollten Nutzer des Bezahldienstes nun tun?

Verbraucherzentrale, 21.08.2025
PayPal-Datenleck – Was Sie jetzt tun sollten / Berichte über ein angebliches PayPal-Datenleck verbreiten sich. Wir erklären, was bisher bekannt ist und wie Sie Ihr Konto schützen können.

BR 24, Thomas Moßburger, 20.08.2025
Millionen Paypal-Logins im Netz? Was jetzt hilft – und was nicht / 15 Millionen Zugangsdaten zu Paypal-Konten werden derzeit im Netz angeboten. Gehen nun Kriminelle mit Ihrem Paypal-Account auf Shopping-Tour? Ausschließen kann man das nie, sich schützen dagegen sehr wohl.

datensicherheit.de, 17.12.2024
Verbraucherzentrale Nordrhein-Westfalen kommentiert Betrug mit PayPal-Gastzahlung / „PayPal“ beruft sich auf Maßnahmen zu Risikomanagement und Betrugsprävention bei der Abwicklung von Zahlungen

datensicherheit.de, 30.10.2023
PayPal gibt Hinweise zum Erkennen betrügerischer E-Mails / Auf keinen Fall verdächtige E-Mails beantworten und darin enthaltene Links anklicken oder Anhänge öffnen!

datensicherheit.de, 25.01.2023
PayPal-Vorfall als Warnung für die Cybersecurity-Welt / Nur wenige Sicherheits-Lösungen, die PayPal tatsächlich selbst umsetzen könnte

[datensicherheit.de, 16.06.2025] Laut einer Meldung der Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und des Bundeskriminalamtes (BKA) vom 16. Juni 2025 wurde die Darknet-Handelsplattform „Archetyp Market“ abgeschaltet. Deren Betreiber sei identifiziert und festgenommen worden: Demnach handelt es sich um einen deutschen Staatsbürger, der in Barcelona verhaftet wurde. Auf dieser „ältesten kriminellen Handelsplattform im Darknet“ wurden laut BKA mindestens 250 Millionen Euro umgesetzt. Über 300 Ermittler seien bei 25 Durchsuchungen in mehreren Staaten im Einsatz gewesen.

Abbildung: BKA

Operation „Deep Sentinel“ gegen älteste kriminelle Handelsplattform im Darknet

Verdacht des bandenmäßigen unerlaubten Handeltreibens mit Betäubungsmitteln in nicht geringer Menge

Am 11. Juni 2025 sei ein 30-jähriger deutscher Staatsangehöriger durch eine Spezialeinheit der spanischen Nationalpolizei an seinem Wohnsitz in Barcelona festgenommen worden. Dieser Mann wird laut BKA beschuldigt, den ausschließlich über das sogenannte Darknet zugänglichen illegalen Online-Markplatz „Archetyp Market“ als Administrator mit dem Username „ASNT“ gemeinsam mit mehreren Moderatoren betrieben zu haben.

„Gegen ihn besteht der Verdacht des bandenmäßigen unerlaubten Handeltreibens mit Betäubungsmitteln in nicht geringer Menge gemäß §§ 29a, 30a des Betäubungsmittelgesetzes.“ Seine Wohnung in der spanischen Metropole sowie je ein Objekt in Hannover, im Landkreis Minden-Lübbecke und in Bukarest seien durchsucht worden. „Zahlreiche Beweismittel, darunter acht Mobiltelefone, vier Computer/Notebooks, 34 Datenträger und Vermögenswerte bislang in Höhe von ca. 7,8 Millionen Euro wurden sichergestellt.“

Im Anschluss an Festnahme des Hauptbeschuldigten weitere international koordinierte Durchsuchungsmaßnahmen

In einem Rechenzentrum in den Niederlanden habe die für den Betrieb der kriminellen Plattform genutzte Serverinfrastruktur durch die niederländische Nationalpolizei sichergestellt und abgeschaltet werden können. „Im Anschluss an die Festnahme des Hauptbeschuldigten fanden weitere international koordinierte Durchsuchungsmaßnahmen in Deutschland und Schweden statt, die sich in eigenen Ermittlungsverfahren insbesondere gegen die Moderatoren und Verkäufer auf der Plattform richteten.“

Dabei seien weitere 20 Objekte durchsucht worden – darunter zwei Objekte in Nordrhein-Westfalen, zwei Objekte in Niedersachsen, ein Objekt in Hessen sowie eines in Baden-Württemberg. Sieben weitere Personen seien in Schweden festgenommen worden. „Insgesamt wurden bei den weiteren Beschuldigten u.a. 47 Smartphones, 45 Computer/Notebooks, Betäubungsmittel sowie weitere Vermögenswerte beschlagnahmt.“

Bezahlung ausschließlich mit sogenannter Krypto-Währung „Monero“

Die sichergestellten Daten seien nun Grundlage für weitere internationale Ermittlungen gegen kriminelle Verkäufer und Nutzer der Plattform. Bei dem Online-Markplatz „Archetyp Market“ habe es sich um eine der weltweit größten und am längsten bestehenden kriminellen Handelsplattformen im Darknet gehandelt. Darüber vertrieben worden seien insbesondere Betäubungsmittel (u.a. Amphetamin, Cannabis, Fentanyl, Heroin und Kokain) mit einem Gesamtumsatz in Höhe von mindestens 250 Millionen Euro.

„Zuletzt waren auf dem Online-Marktplatz insgesamt ca. 17.000 Verkaufsangebote, ca. 612.000 Kundenkonten und ca. 3.200 Vendoren registriert.“ Mit über 2.800 Verkaufsangeboten sei der „Archetyp Market“ eine der Handelsplattformen mit den meisten deutschen Betäubungsmittelangeboten im Darknet gewesen. Die Bezahlung habe ausschließlich mit der sogenannten Krypto-Währung „Monero“ erfolgt.

Erneuter Ermittlungserfolg von BKA, ZIT und internationalen Partnerdienststellen

Carsten Meywirth, Leiter der Abteilung „Cybercrime“, kommentiert: „Mit ,Archetyp Market’ haben wir den ältesten, noch aktiven Darknet-Marktplatz vom Netz genommen. Das Umsatzvolumen von mindestens 250 Millionen Euro zeugt von seiner Größe und Bedeutung.“ Dass es nach ihren aufwändigen Ermittlungen nun in enger internationaler Zusammenarbeit gelungen sei, den Betreiber zu identifizieren und zu verhaften stelle klar, dass sich niemand auf Dauer der Strafverfolgung entziehen könne. „Das gilt auch für die Nutzer der illegalen Handelsplattform!“, betont Meywirth.

„Dieser erneute Ermittlungserfolg von BKA, ZIT und internationalen Partnerdienststellen zeigt, dass die Strafverfolgungsbehörden in immer schnellerer Abfolge illegale IT-Infrastruktur wie Darknet-Marktplätze abschalten und mutmaßliche Verantwortliche festnehmen können“, unterstreicht Dr. Benjamin Krause, Leitender Oberstaatsanwalt der ZIT. Durch die Sicherstellung werthaltiger Ermittlungsansätze werde es ihnen in der Folge zudem möglich sein, auch gegen Händler und Käufer der Plattform vorzugehen. „Denn auf ,Archetyp Market’ wurden im internationalen Vergleich die meisten illegalen Produkte mit dem Versandort ,aus Deutschland’ angeboten.“

ZIT und BKA koordinierten Maßnahmen der internationalen Operation „Deep Sentinel“

Den durch die ZIT und das BKA koordinierten Maßnahmen im Zuge der internationalen Operation „Deep Sentinel“ gegen den „Archetyp Market“ seien langwierige und aufwändige verdeckte Ermittlungen in den beteiligten Staaten vorausgegangen – unterstützt von Europol und Eurojust. Auf der abgeschalteten Handelsplattform wurde ein Sicherstellungsbanner veröffentlicht.

Neben BKA und ZIT, Europol und Eurojust waren demnach folgende Behörden an der Aktion beteiligt: Politie (Niederlande), Inspectoratul General al Politiei Romane (IGPR / Rumänien), Polisen (Schweden), Policia Nacional (Spanien), U.S. Department of Justice (USDOJ) nebst Homeland Security Investigations (HSI) sowie IRS-Criminal Investigation (IRS-CI) aus den USA sowie in Deutschland Polizeipräsidium Bielefeld, Polizeipräsidium Bonn, Kriminalkommissariat Bruchsal, Polizeidirektion Darmstadt-Dieburg, Polizeidirektion Hannover, Kreispolizeibehörde Minden-Lübbecke, Zentrale Kriminalinspektion Oldenburg, Polizeidirektion Osnabrück und Polizeipräsidium Recklinghausen.

Weitere Informationen zum Thema:

Bundeskriminalamt (BKA)
OPERATION DEEP SENTINEL

datensicherheit.de, 18.11.2024
Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet / Verbraucherkanzlei Dr. Stoll & Sauer bietet Tibber-Kunden Prüfung möglicher Ansprüche auf Schadensersatz

datensicherheit.de, 25.07.2024
Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich / Preise können je nach Qualität des jeweiligen Botnets auf bis zu 10.000 US-Dollar steigen

datensicherheit.de, 21.03.2024
BKA-Mitteilung zum Nemesis Market: Illegaler Darknet-Marktplatz mit über 150.000 Nutzern aufgeflogen / Auf der Website des Marktplatzes wurde ein BKA-Sicherstellungsbanner veröffentlicht

[datensicherheit.de, 09.06.2025] Eine neue Untersuchung von NordVPN offenbart demnach eine alarmierende Entwicklung im Bereich der Cybersicherheit: Weltweit seien fast 94 Milliarden sogenannte Cookies durch Malware gestohlen worden – dies sei ein Anstieg von 74 Prozent im Vergleich zum Vorjahr. Auch Deutschland sei betroffen: Über 1,3 Milliarden Cookies deutscher Nutzer seien im sogenannten Darknet entdeckt worden – mehr als 109 Millionen davon seien noch aktiv und könnten als digitale Zugangsschlüssel missbraucht werden. Die Daten wurden von „NordStellar“, einer Plattform für das Management von Bedrohungsrisiken, analysiert. Die Untersuchungen fanden zwischen dem 23. und 30. April 2025 statt. „Grundlage war öffentlich zugängliches Material aus Telegram-Kanälen, in denen Hacker gestohlene Daten zum Verkauf anbieten. Das entstandene Datenset umfasste Informationen zu 93,76 Milliarden Cookies.“ Analysiert worden seien u. a. deren Aktivitätsstatus, Herkunftsland, eingesetzte Malware, Betriebssysteme der Nutzer sowie enthaltene Metadaten. „NordVPN hat keine gestohlenen Cookies gekauft oder auf deren Inhalt zugegriffen, sondern lediglich untersucht, welche Arten von Daten darin enthalten waren.“

Cookies in den falschen Händen sind digitale Schlüssel zu unseren sensibelsten Informationen

Die aktuelle Untersuchung von NordVPN zeigt: „Der Diebstahl von Cookies hat weltweit massiv zugenommen – von 54 Milliarden im Vorjahr zu fast 94 Milliarden. Deutschland belegt im globalen Vergleich Platz 19 von 253 Ländern.“ Über 1,3 Milliarden Cookies deutscher Nutzer seien im „Darknet“ entdeckt worden, wovon noch mehr als 109 Millionen aktiv und mit realen Nutzeraktivitäten verknüpft seien.

„Cookies mögen harmlos erscheinen, aber in den falschen Händen sind sie digitale Schlüssel zu unseren sensibelsten Informationen“, warnt Adrianus Warmenhoven, Cybersicherheitsexperte bei NordVPN. Er erläutert: „Was einst zur Verbesserung des Surferlebnisses gedacht war, hat sich zu einer Schwachstelle entwickelt, die Cyberkriminelle weltweit gezielt ausnutzen können.“

Bequemlichkeit mit hohem Preis – die unsichtbare Gefahr beim alltäglichen Surfen

Unter „Cookies“ werden kleine Textdateien verstanden, welche von Websites im Browser gespeichert werden, um etwa Anmeldedaten, Einstellungen oder Warenkörbe zu hinterlegen. Sie ermöglichen so ein komfortableres Surferlebnis, etwa durch schnellere Ladezeiten und personalisierte Inhalte. Cookies könnten jedoch auch von Hackern ausgenutzt werden, um persönliche Daten zu stehlen und auf sichere Systeme zuzugreifen.

Cyberkriminelle könnten also Cookies gezielt nutzen, um Sitzungen zu kapern, Identitäten zu stehlen und Sicherheitsmechanismen zu umgehen. „Viele verstehen nicht, dass ein gestohlener Cookie genauso gefährlich sein kann wie ein gestohlenes Passwort“, stellt Warmenhoven klar und gibt zu bedenken: „Ein kompromittierter Cookie kann es Angreifern ermöglichen, ganz ohne Anmeldung direkten Zugriff auf Konten und sensible Daten zu erlangen.“

Gezielte Malware-Kampagne nimmt personenbezogene Daten ins Visier

Diese Untersuchung von NordVPN habe eine massive Malware-Kampagne aufgedeckt, bei der fast 94 Milliarden Cookies gestohlen worden seien – ein Anstieg von 74 Prozent gegenüber dem Vorjahr (54 Milliarden). Besonders alarmierend sei: 20,55 Prozent dieser Cookies seien noch aktiv und stellten damit ein anhaltendes Risiko für die Privatsphäre der Nutzer dar. Der Großteil der gestohlenen Cookies stamme von großen Plattformen wie „Google“ (4,5 Mrd.), „YouTube“ (1,33 Mrd.), sowie „Microsoft“ und „Bing“ (jeweils über 1 Mrd.).

Auch die Zahl der offengelegten personenbezogenen Daten sei drastisch gestiegen: „2024 wurden 10,5 Milliarden zugewiesene IDs, 739 Millionen Sitzungs-IDs, 154 Millionen Authentifizierungstoken und 37 Millionen Anmeldedaten entdeckt. 2025 schnellten die Zahlen stark nach oben: Es wurden 18 Milliarden zugewiesene IDs und 1,2 Milliarden Sitzungs-IDs offengelegt.“ Diese Datentypen seien für die Identifizierung von Nutzern und die Sicherung von Online-Konten von entscheidender Bedeutung und daher für Cyberkriminelle äußerst wertvoll.

Anzahl der Malware-Varianten verdreifacht

Die betreffenden Cookies seien mithilfe von 38 verschiedenen Malware-Typen entwendet worden – mehr als dreimal so viele wie noch 2024. Am aktivsten waren laut NordVPN: „Redline“ (41,6 Milliarden „Cookies“), „Vidar“ (zehn Milliarden „Cookies“) und „LummaC2“ (neun Milliarden Cookies).

Diese Malware-Familien seien dafür bekannt, von Cyberkriminellen eingesetzt zu werden, um Anmeldedaten, Passwörter und andere sensible Daten zu stehlen. Zusätzlich seien 26 neue Malware-Typen wie etwa „RisePro“ und „Stealc“ entdeckt worden, „die 2024 noch nicht aufgetreten waren – ein deutlicher Hinweis auf die rasante Weiterentwicklung von Cyberkriminalität“.

Cyberrisiko in Deutschland höher als oftmals vermutet: Über 109 Millionen real genutzte Cookies

Die gestohlenen Cookies stammten von Nutzern aus 253 Ländern weltweit. Deutschland verzeichne von über 1,3 Milliarden zwar nur 8,25 Prozent aktive Cookies, doch das entspreche über 109 Millionen real genutzter Cookies, welche Kriminellen als digitale Zugangsschlüssel dienen könnten. „Das sind Millionen Menschen, die potenziell von Cyberkriminalität betroffen sind“, verdeutlicht Warmenhoven. Um sich eben gegen Datenlecks und Malware zu wappnen, sollten Nutzer einige grundlegende Sicherheitsmaßnahmen beachten:

• Starke, individuelle Passwörter verwenden!
• Zwei-Faktor-Authentifizierung (2FA) aktivieren!
• Persönliche Informationen nur mit Bedacht weitergeben!
• Keine verdächtigen Links anklicken und keine unbekannten Dateien herunterladen!
• Regelmäßig Website-Daten löschen und Geräte aktualisieren!

„Normalerweise schließen Nutzer den Browser, aber die Sitzung bleibt weiterhin gültig. Der Cookie bleibt gespeichert. Wenn die Daten dieser Website nie gelöscht werden, bleibt die Sitzung so lange gültig, wie es der Website-Betreiber für sicher hält“, erläutert Warmenhoven. Schon einfache Maßnahmen könnten das Risiko eines unbefugten Zugriffs deutlich verringern. „Es ist nur ein geringer Zeitaufwand, der vor großen Bedrohungen schützen kann!“

Weitere Informationen zum Thema:

NordVPN, Werner Beckmann, 27.05.2025
Die Cookie-Monster sind los: Studie zeigt die Risiken von Web-Cookies auf

NordStellar
Know what hackers know / Full cyber threat visibility for business

datensicherheit.de, 06.12.2022
Cookie-Blocker technisch möglich – Datenschutz sollte gewährleistet werden / Websites vorgeschalteten Cookie-Banner in Verruf geraten

datensicherheit.de, 12.07.2020
Cookie-Einwilligung: Vorangekreuzte Check-Boxen unzulässig / Mareike Vogt erklärt, worauf Unternehmen jetzt achten sollten

datensicherheit.de, 28.05.2020
eco-Kommentar zum BGH-Urteil: Mehr Rechtssicherheit im Umgang mit Cookies / Einwilligungserfordernis vor der Verarbeitung von personenbezogenen Daten notwendig

datensicherheit.de, 01.10.2019
EuGH-Urteil: Werbe-Cookies nur bei Einwilligung / Grundsatzentscheidung vom 1. Oktober 2019 erschwert laut MITTELSTANDSVERBUND das Online-Geschäft

datensicherheit.de, 03.02.2019
Neue Mac-Malware stiehlt Cookies von Kryptowährungsbörsen / Palo Alto Networks entdeckt „gefährliches Cyber-Krümelmonster“

[datensicherheit.de, 25.07.2024] Sogenannte Botnets – also Netzwerke von Geräten, welche mit Malware infiziert sind und für Cyber-Angriffe genutzt werden können – sollen laut einer aktuellen Analyse von Kaspersky-Experten im Darknet bereits ab 99 US-Dollar verfügbar sein. Das illegale Marktangebot sei dabei vielfältig: „Die Preise können je nach Qualität des jeweiligen angebotenen Botnets auf bis zu 10.000 US-Dollar steigen.“ In einigen Fällen sei auch die Entwicklung individueller Botnets möglich – solche speziell angepassten Botnets verfügten über spezifische Infektionsprozesse, Malware-Typen, Infrastruktur und Umgehungstechniken. Die Kosten hierfür begännen bei 3.000 US-Dollar und seien nicht auf eine bestimmte Preisspanne beschränkt.

Seit Anfang 2024 wurden mehr als 20 Angebote für Botnets zum Mieten oder Verkauf in Darknet-Foren und „Telegram“-Kanälen beobachtet

Neben einmaligen Käufen könnten Botnets auch gemietet oder als geleakter Quellcode für einen symbolischen Preis erworben werden: „Die Preise reichen von 30 bis 4.800 US-Dollar pro Monat beziehungsweise zehn bis 50 US-Dollar für geleakte Quellcodes für Botnets.“ Seit Anfang 2024 hätten Kaspersky-Experten mehr als 20 Angebote für Botnets zum Mieten oder Verkauf in Darknet-Foren und „Telegram“-Kanälen beobachtet.

„Mirai“ wohl das berüchtigtste Beispiel für ein Botnet

„,Mirai’ ist wohl das berüchtigtste Beispiel für ein Botnet. Es durchsucht das Internet nach IoT-Geräten mit schwachen Standard-Passwörtern und verwendet eine Reihe bekannter Standardanmeldeinformationen, um Zugriff zu erhalten und sie zu infizieren“, erläutert Alisa Kulishenko, Sicherheitsexpertin bei „Kaspersky Digital Footprint Intelligence“. Die infizierten Geräte würden dann Teil des Botnets, welches ferngesteuert werden könne, um verschiedene Arten von Cyber-Angriffen durchzuführen.

Botnets ermöglichen illegales Krypto-Mining oder Ransomware-Angriffe

Kulishenko: „Die potenziellen Einnahmen aus Angriffen mit Botnets, die gekauft oder gemietet wurden, lohnen sich für Cyber-Kriminelle oftmals sehr.“ Denn diese Botnets ermöglichten beispielsweise illegales Krypto-Mining oder Ransomware-Angriffe – „bei letzteren belaufen sich die durchschnittlichen Lösegeldzahlungen auf zwei Millionen US-Dollar“. Die meisten dieser illegalen Geschäfte im Darknet erfolgten privat, über persönliche Nachrichten, und die „Partner“ würden in der Regel auf Basis ihres Rufs – beispielsweise aufgrund von Bewertungen in Web-Foren – ausgewählt.

Kaspersky-Tipps, um eigene Geräte vor Botnet-Einbindung zu bewahren:

• Sicherstellen, dass die aktuelle Version der Firmware auf den Geräten verwendet wird und regelmäßig Updates durchgeführt werden!
• Remote-Zugriff auf das Gerät deaktivieren – es sei denn, er wird wirklich benötigt!
• Remote-Zugriff über einen VPN-Kanal konfigurieren – dafür könne beispielsweise ein IPSec-Protokoll verwendet werden!
• Ein einzigartiges und starkes Passwort für alle Geräte und Dienste verwenden und Default-Passwort ändern!
• Eine zuverlässige Sicherheitslösung (wie z.B. „Kaspersky Premium“) nutzen, welche Geräte und die eigene digitale Privatsphäre schützt!

Unternehmen bei Botnet-Abwehr besonders herausgefordert

Für Unternehmen wird „Kaspersky Digital Footprint Intelligence“ empfohlen, um IT-Sicherheitsanalysten dabei zu unterstützen, „die Perspektive eines Angreifers auf die eigenen Unternehmensressourcen einzunehmen und die ihm zur Verfügung stehenden potenziellen Angriffsvektoren zu entdecken“. Dies trage dazu bei, das Bewusstsein für bestehende Bedrohungen durch Cyber-Kriminelle zu schärfen und präventiv Gegenmaßnahmen zu ergreifen. Weiterhin sollte eine zuverlässige Endpoint-Schutzlösung (wie etwa „Kaspersky Endpoint Security for Business“) genutzt werden, „die mit verhaltensbasierten Erkennungs- und Anomaliekontrollfunktionen vor bekannten und unbekannten Bedrohungen schützt“.

Weitere Informationen zum Thema:

kaspersky daily, Leonid Grustniy, 17.06.2022
Router-Malware birgt versteckte Gefahren / Malware kann Ihren Router infizieren, die Internetverbindung verlangsamen und Daten stehlen…

kaspersky
Kaspersky Digital Footprint Intelligence

datensicherheit.de, 25.08.2022
Zunehmende Gefahr durch Botnetze: Wie Anwender betroffene Geräte erkennen / Patrycja Schrenk gibt Tipps, welche Vorsichtsmaßnahmen gegen Botnetze getroffen werden können

datensicherheit.de, 28.09.2020
Zunehmende Gefahr: Botnetze infizieren, kapern, missbrauchen / Patrycja Tulinska rät zu Awareness und technischen Maßnahmen gegen wachsende Bedrohung durch Botnetze

datensicherheit.de, 27.08.2020
Digitale Geschäfte zunehmend im Visier von Botnetzen / Zunahme basiert auf neuen Transaktionen zur Account-Erstellung / Carsten J. Pinnow, Herausgeber datensicherheit.de im Gespräch mit Alexander Frick, Head of Sales D/A/CH ThreatMetrix, A LexisNexis Risk Solutions company