[datensicherheit.de, 04.02.2026] Der Vortrag „Cybercrime: Zusammenarbeit von Ermittlern und Staatsanwaltschaft“ am ersten Kongresstag der „IT-DEFENSE 2026“ in Würzburg war einem praxisnahen Einblick in die aktuelle Entwicklung der organisierten Cyberkriminalität aus Sicht der Justiz und der kriminalpolizeilichen Strafverfolgung gewidmet.

Foto: Dirk Pinnow

Mirko Heim (l.) und Daniel Lorch (r.): Gemeinsam Prävention stärken und Cybercrime verdrängen…

Cybercrime-Zurückdrängung bedarf auch der Mitwirkung potenzieller Opfer

Als Ausgangspunkt für die beiden Referenten, Daniel Lorch, Ermittlungsleiter „Cybercrime“ bei der Kriminalpolizeidirektion Esslingen (Polizeipräsidium Reutlingen), und Mirko Heim, Oberstaatsanwalt bei der Generalstaatsanwaltschaft Karlsruhe (CZZ BW), diente eine nachträgliche Analyse zu dem Crime-as-a-Service-Verfahren „Dawnbreaker“ im Kontext der Ransomware-as-a-Service-Gruppierung „Hive“.

• Erörtert wurde, welche operativen und strategischen Lehren gezogen wurden, welche Ermittlungsansätze sich bewährt haben und wie sich sowohl Täterstrukturen als auch Strafverfolger nach internationalen Zerschlagungsmaßnahmen weiterentwickeln. Darauf aufbauend wurden laufende Ermittlungs- und Analyseansätze beleuchtet – von der Auswertung krimineller „Ökosysteme“ über internationale Kooperationen bis hin zu aktuellen Herausforderungen bei Attribution, Beweisführung und Vermögensabschöpfung.

Lorch riet Unternehmen, dass sie sich bei ihrem regionalen Landeskriminalamt (LKA) – Zentrale Ansprechstelle für Cybercrime in der Wirtschaft (ZAC) – melden und einen Ansprechpartner mit Kontaktdaten benennen sollten, welcher im Falle der Kenntnis eines bevorstehenden Cyberangriffs kurzfristig von den Behörden vorgewarnt werden könnte. Diese Benachrichtigung gestalte sich noch zu oft schwerfällig – so komme es durchaus vor, dass etwa bei gescheiterter telefonischer Benachrichtigung ein Funkwagen ans Werkstor entsendet werde, um den Ernst der Lage zu verdeutlichen.

Cybercrime-Akteure als Taktgeber durch konzertierte Prävention entthronen

Bislang gaben Cyberkriminelle das Tempo vor – Ermittler und vor allem Strafverfolger wurden erst dann aktiv, wenn bereits ein Cyberverbrechen begangen worden war. Mit Einrichtung von Baden-Württembergs „Cybercrime-Zentrum“ (CZZ BW) erfolgte demnach ein Paradigmenwechsel – es gelte, der Cyberkriminalität den Kampf anzusagen und auf Prävention zu setzen.

• Heim führte anhand einiger verstörender Beispiele auf, warum Cyberkriminalität – vor allem in Form von Sexualdelikten zum Nachteil von Minderjährigen des möglichst frühen Eingreifens bedarf: So erteilen etwa Cyberkriminelle perverse Anleitungen zur Misshandlung von Kindern in Fernost, welche online übertragen bzw. aufgezeichnet werden, oder aber Minderjährige werden verleitet, sich zu entblößen oder gar sich selbst zu verletzen. „Es gibt nichts, was es nicht gibt“, so Heim.

Aber auch Wirtschaftskriminalität im Cyberraum sollte nicht unterschätzt werden: Lorch führte aus, dass sich die Einschätzung der Entscheiderebene in Unternehmen häufig in zwei Phasen einteilen lässt: Mit Cybersecurity werde kein Stück mehr als zuvor verkauft – aber ohne Cybersecurity werde ggf. überhaupt kein Stück mehr verkauft… So seien dann betroffene Unternehmen quasi mit einem unfreiwilligen „Wartungsfenster“ im Schadensfall betroffen. Zwar seien die meisten Betriebe heute auf Notfälle eingerichtet, aber die Wiederanlaufzeit werde noch zu häufig unterschätzt (er nannte als ein Beispiel aus der Praxis eine Dauer von über 1.000 Tagen).

„Cybercrime-as-a-Service“: Arbeitsteilung im cyberkriminellen Milieu

Abschließend wurde der Blick nach vorn gerichtet: „Wohin entwickelt sich die Organisierte Cyberkriminalität, welche Trends sind bereits heute erkennbar und welche Anpassungen sind aufseiten von Wirtschaft, Polizei und Justiz erforderlich?“

• Ein Trend sei heute „Cybercrime-as-a-Service“ (CaaS): Es finde eine Arbeitsteilung im cyberkriminellen Milieu statt – über Hard- und Software-Schwachstellen, welche ja „24/7“ am Perimeter Angreifer anlockten – übernehme ein „Initial Service Broker“ quasi Türöffnerfunktion für Folgeangriffe. Inspiration für Angriffsflächen holten sich diese etwa über die Suchmaschine „Shodan“. Lorch unterstrich, dass man nicht den gesamten Betrieb rundum komplett absichern könnte und empfahl eine Fokussierung auf die „Kronjuwelen“ eines Unternehmens im Sinne von IT-Assets, welche so gezielt zu schützen seien, dass es Angreifern möglichst schwer gemacht werde.

Heim führte abschließend aus, dass bei der Ermittlung gegen Ransomware-Akteure, die sich zumeist im Ausland aufhielten, der Leitspruch „Follow the Money!“ richtungsweisend und zielführend sein könne. Geduld sei vonnöten. Beide Sprecher unterstrichen, dass es ein Mindestziel der gemeinsamen Prävention sein müsse, mittels hohem Verfolgungsdruck Cybercrime möglichst aus Deutschland zu verdrängen. Indes: Ermittlungen in ihrem Metier seien „kein Harmonieprojekt“.

Weitere Informationen zum Thema:

IT-DEFENSE 2026
Daniel Lorch

IT-DEFENSE 2026
Mirko Heim

Baden-Württemberg, 03.01.2024
Cybersicherheit: Cybercrime-Zentrum nimmt Arbeit auf

Baden-Württemberg, 26.01.2023
Cyberkriminalität: Schlag gegen organisierte Cyberkriminalität

WIKIPEDIA
Shodan (Suchmaschine)

datensicherheit.de, 04.02.2026
IT-DEFENSE: Ausgebuchte 20. Auflage in Würzburg gestartet / 2003 wurde das Kongressformat der „IT-DEFENSE“ mit der Überzeugung gestartet, frei von Sponsoring und Werbung hochkarätige Fachbeiträge anzubieten

datensicherheit.de, 30.01.2023
Nach Erfolg gegen Hive: Ransomware-Gruppen unter Druck / Ransomware-Bedrohung unterstreicht dennoch Priorität in Fragen der Visibilität

datensicherheit.de, 30.01.2023
Hive: Zerschlagung des-Hacker-Netzwerks erheblicher Rückschlag für gefährliche kriminelle Organisation / Früherer FBI Cyber Special Agent Adam Marrè, heute CISO bei Arctic Wolf, kommentiert den Hive-Fall

datensicherheit.de, 27.01.2023
Hive: Ransomware-Gang vom FBI und deutschen Sicherheitsbehörden aus dem Spiel genommen / Eine der aktivsten Ransomware-Bande namens Hive heimlich gehackt und zerschlagen