Internationale Strafverfolger aus verschiedenen Ländern haben erneut einen Schlag gegen Malware, Botnets und Server der Infrastruktur cyberkrimineller Vereinigungen ausgeführt. Damit haben sie die VenomRAT, Elysium und 1025 Server aus dem Netz genommen und vorerst lahmgelegt.

Auf der Webseite zur Aktion gegen Cybercrime „Operation Endgame“ begrüßt die Besucher zunächst ein KI-Video, das sich über die Cyberkriminellen hinter dem Rhadamanthys-Infostealer lustig macht. Auch sonst ist die Webseite recht martialisch aufgemacht. „Staffel 3 der Operation Endgame hat begonnen“, schreiben die Strafverfolger dort recht markig.

Nicht nur Infostealer im Visier

Die Operation lief zwischen dem 10. und 13. November 2025 und wurde aus dem Europol-Hauptquartier in Den Haag koordiniert. Im Visier der Ermittler war nicht nur der Infostealer Rhadamanthys, sondern auch der Remote-Access-Trojaner VenomRAT sowie das Botnetz Elysium. Allen komme eine Schlüsselrolle im internationalen Cybercrime zu, erörtern die Beamten. Die Behörden haben diese drei großen Cybercrime-Beihelfer ausgeschaltet.

Der Hauptverdächtige hinter der Fernzugriffs-Malware VenomRAT wurde bereits am 3. November in Griechenland festgenommen. Die abgeschaltete Infrastruktur zeichnete für hunderttausende Infektionen von Opfern mit Malware weltweit verantwortlich, erklären die Strafverfolger weiter. Hinter der lahmgelegten Infrastruktur verbargen sich hunderttausende infizierte Computer, die ihrerseits mehrere Millionen gestohlener Zugangsdaten enthielten. Viele Opfer wüssten nichts von der Infektion ihrer Rechner. Der Hauptverdächtige hinter dem Rhadamanthys-Infostealer hatte Zugriff auf mehr als 100.000 Krypto-Wallets, die diesen Opfern gehörten und möglicherweise Millionen von Euros wert seien. Auf der Webseite der niederländischen Polizei sowie bei Have-I-Been-Pwned können Interessierte prüfen, ob ihre E-Mail-Adresse Teil der kriminellen Beutezüge ist.

Alon Gal, Geschäftsführer des israelischen Threat-Intelligence-Spezialisten Hudson Rock, kennt sich in der Infostealer-Szene aus. Die Nervosität der Kriminellen halte sich in Grenzen, stellt er im Gespräch mit heise security fest: „Diese Leute haben eine hohe Risikobereitschaft und lassen sich von werbewirksamen Aktionen der Strafverfolger nicht entmutigen“.

Die zweite Operation-Endgame-Aktion fand Ende Mai dieses Jahres statt. Dort haben die internationalen Strafverfolger 20 Haftbefehle erlassen und allein in Deutschland 50 Server aus dem Netz genommen und 650 Domains der Kontrolle der Cyberkriminellen entrissen. Die Ermittler haben bei der Analyse 15 Millionen E-Mail-Adressen und 43 Millionen Passwörter von Opfern gefunden, die das Have-I-Been-Pwned-Projekt in seinen Fundus aufgenommen hat.

(dmk)

In Netscaler ADC und Gateway von Citrix wurde eine Sicherheitslücke entdeckt. Aktualisierte Software steht bereit, die die Cross-Site-Scripting-Lücke schließt. Admins sollten sie rasch installieren.

In einer Sicherheitsmitteilung informiert Citrix sehr sparsam über die Schwachstelle. In einer Tabelle gibt es nur stichwortartige Hinweise: Es handelt sich um eine Cross-Site-Scripting-Lücke (XSS), mit der Common Weakness Enumeration Standard-Nummer 79 (CWE-79): „Unzureichende Neutralisierung von Eingaben während der Webseitengenerierung“. Klassisch erlaubt XSS das Unterjubeln von Javascript-Code mittels Links, auf die potenzielle Opfer klicken müssen, damit der Code ausgeführt wird. Der kann dann jedoch etwa das Kopieren von Session-Cookies ermöglichen, womit Angreifer den Zugang übernehmen könnten (CVE-2025-12101, CVSS4 5.9, Risiko „mittel„).

Deutlich abweichender Schweregrad je nach CVSS-Version

Da die Netscaler als Gateway wie VPN Virtual Server, ICA Proxy, CVPN oder RDP-Proxy oder als AAA Virtual Server konfiguriert sein müssen, nimmt Citrix für die Einordnung an, dass Vorbedingungen erfüllt sein müssen, damit Angreifer sie ausnutzen können. Das trägt jedoch dem Umstand nicht Rechnung, dass dies eine eher übliche Konfiguration ist, um damit Apps über das Internet bereitzustellen. Zudem rechnet Citrix mit ein, dass eine Benutzerinteraktion nötig ist, in diesem Fall das Klicken auf einen Link.

CVSS 4.0 kennt dafür die Schwachstellenvektoren-Bestandteile „AT:P“, ausgeschrieben als „Attack Requirements: Present“ (Attacken-Vorbedingungen: Vorhanden) sowie „UI:A“, „User Interaction: Active“ (Benutzerinteraktion: Aktiv). Die reduzieren das in CVSS 4.0 das rechnerische Risiko deutlich, in diesem Fall lässt sich jedoch insbesondere bei „AT:P“ darüber streiten, ob das in der Praxis zutrifft.

Das CERT-Bund nimmt seine Schweregrad-Einstufungen anhand von CVSS 3.1 vor. Darin gibt es diese Vektor-Bestandteile nicht. Damit kommt die BSI-Abteilung auf den Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:L/E:U/RL:O/RC:X – was in einem CVSS-Wert von 8.8 mündet, Risiko „hoch“, und nur knapp an der Einstufung als kritische Sicherheitslücke vorbeischrammt. Das bestätigte das CERT-Bund heise online auf Nachfrage.

Die praktische Einstufung dürfte irgendwo zwischen den CVSS-Werten liegen, Admins sollten daher auf jeden Fall zeitnah aktiv werden und die Updates installieren. Die Versionen Netscaler ADC und Gateway 14.1-56.73, 13.1-60.32, Netscaler ADC 13.1-FIPS und 13.1-NDcPP 13.1-37.250 sowie Netscaler ADC 12.1-FIPS und 12.1-NDcPP 12.1-55.333 sowie jeweils neuere Fassungen stopfen das Sicherheitsleck. Netscaler ADC und Gateway 13.0 und 12.1 sind am Ende des Lebenszyklus angelangt und erhalten keine Updates mehr.

Ende August waren noch zahlreiche Netscaler-Instanzen anfällig für die Citrix Bleed 3 genannte Sicherheitslücke. Global waren dort 28.000 Server verwundbar.

(dmk)

Es ist eine beeindruckende Zahl. 130 „Datenträger“ hat das Ausländeramt der Stadt Köln seit Anfang des Jahres eingezogen, teilt ein Sprecher der Stadt mit. In der Regel handelt es sich um Mobiltelefone von ausreisepflichtigen Menschen. Das Amt darf sie durchsuchen, um nach Hinweisen auf die Identität zu suchen, wenn Menschen sich nicht anderweitig ausweisen können.

Die Besonderheit in Köln: Die Behörde nimmt den Menschen ihre Datenträger nicht nur ab. Sie behält sie auch ein – „bis zur Ausreise“. Die Rechtsgrundlage dafür hatte die Ampelregierung im vergangenen Jahr geschaffen, als sie das Aufenthaltsgesetz verschärfte.

Kölner Amt auf ambitioniertem Alleingang

Eine Anfrage von netzpolitik.org bei anderen Städten und dem zuständigen Fluchtministerium in Nordrhein-Westfalen zeigt: Das Ausländeramt befindet sich mit seiner Praxis auf einem zwar rechtlich gedeckten, aber auffälligen Alleingang. Die Ausländerbehörde in Düsseldorf etwa zieht gar keine Datenträger ein, schreibt eine Sprecherin.

In Dortmund durchsuche die Behörde zwar Datenträger, gebe sie aber unmittelbar nach dem Auslesen der Daten wieder zurück. Die jährlichen Zahlen lägen hier „im höheren einstelligen Bereich“.

In Essen hat die Ausländerbehörde im laufenden Jahr bislang nur einen Datenträger eingezogen. Auch hier teilt die Behörde mit: „Nach der Auswertung des Datenträgers erhalten die betroffenen Personen ihre Datenträger wieder zurück.“

Ohne Handy geht heute fast nichts mehr

Warum nimmt ausgerechnet das Ausländeramt in Köln so vielen Menschen ihre Handys ab? Zum Vergleich: In ganz Nordrhein-Westfalen hatten Ausländerbehörden von Jahresbeginn bis Ende Juni nur 344 Datenträger eingezogen.

Und warum behält das Amt in Köln die Datenträger laut der Einzugsbescheinigung „bis zur Ausreise“? Auch im bundesweiten Vergleich ist Köln mit dieser Praxis offenbar alleine. Das Aufenthaltsgesetz erlaubt diese Durchsuchungen bereits seit 2015, sie sind in fast allen Bundesländern inzwischen Standard. Anfragen von netzpolitik.org zeigen jedoch: Weder in München noch in Berlin, Bremen oder Stuttgart behalten die Behörden eingezogene Geräte nach der Auswertung weiter ein.

In der Praxis bedeutet „bis zur Ausreise“: auf unbestimmte Zeit. Denn wie lange ein Abschiebeverfahren dauert, kann sich stark unterscheiden, sagt etwa der Jurist Davy Wang von der Gesellschaft für Freiheitsrechte. „In bestimmten Fällen ist eine Abschiebung faktisch gar nicht möglich, etwa weil Herkunftsstaaten eine Rücknahme verweigern oder gesundheitliche Gründe eine Abschiebung verhindern.“ Die Wirkung des Paragrafen komme damit faktisch einer Enteignung gleich.

Die Betroffenen müssen unterdessen ohne ihr wichtigstes Kommunikationsmittel auskommen und verlieren die wichtigste Verbindung zu ihren Familien. Hinzu kommt: Ohne Handy geht heutzutage auch darüber hinaus fast nichts mehr – vom Online-Banking bis zum Fahrkartenkauf.

Aus technischer Sicht ist die Verschärfung im Aufenthaltsrecht zudem unnötig. Die Behörden fertigen beim Auslesen ohnehin eine digitale Kopie der Daten auf den Geräten an, selbst Daten aus der Cloud dürfen sie dabei mitspeichern. Danach ist es nicht mehr notwendig, das Gerät selbst weiter einzubehalten. „In dieser Reichweite wäre die Norm eine reine Repressionsmaßnahme“, sagt auch der auf Migrationsrecht spezialisierte Rechtsanwalt Matthias Lehnert.

Bis zur Ausreise verwahrt

„Ausländerbehörden entscheiden in eigener Zuständigkeit“

Im zuständigen Ministerium für Familie, Flucht und Integration in NRW, geführt von der Grünen Josefine Paul, will man von einer Weisung, die Datenträger einzubehalten, nichts wissen. „Die Ausländerbehörden entscheiden in eigener Zuständigkeit, ob sie von dieser Möglichkeit Gebrauch machen“, schreibt eine Sprecherin. Es sei also nicht so, dass Datenträger im Land grundsätzlich bis zur Ausreise einbehalten würden.

Dass Mobiltelefone durchsucht und ausgewertet werden, stehe zudem erst als „Ultima Ratio“ am Ende einer Reihe von anderen Maßnahmen, betont die Sprecherin. Es gelte der Grundsatz der Verhältnismäßigkeit. Das Aufenthaltsgesetz erlaubt die Durchsuchung nur, wenn andere „mildere Mittel“ ausgeschöpft sind.

Erst durch einen Hinweis aufgefallen

Das Ausländeramt Köln kümmert sich als zentrale Anlaufstelle um die Belange von Ausländer*innen in der Stadt. Seit 2022 leitet die Juristin Christina Boeck die Behörde.

Dass das Amt die Datenträger nicht nur einzieht, sondern auch einbehält, ist erst durch den Hinweis einer betroffenen Geflüchteten an die Linken-Abgeordnete Clara Bünger aufgefallen. Bünger, die auch im Innenausschuss des Bundestags sitzt, hat daraufhin die Bundesregierung gefragt, wie das Einziehen der Handys mit dem Recht auf Privatsphäre vereinbar sei. Die Antwort war knapp: Der Vollzug des Aufenthaltsrechts sei Ländersache.

Doch zumindest lenkte sie die Aufmerksamkeit auf die neue Gesetzeslage. Auf Nachfrage von netzpolitik.org bestätigte ein Sprecher der Stadt Köln Anfang September, dass das Ausländeramt seit Jahresbeginn 130 Datenträger auf Grundlage der neuen Regelung eingezogen habe. Das Gesetz ist schon seit Februar 2024 in Kraft, aus dem Jahr davor gebe es jedoch keine Zahlen.

„Sobald andere Maßnahmen zur Identitätsfeststellung ausgeschöpft oder nicht erfolgversprechend sind, wird der Person bei ihrer Vorsprache angeboten, den Datenträger freiwillig zur Durchsicht vorzulegen“, schreibt der Sprecher. „Ist die freiwillige Mitwirkung nicht zielführend oder wird sie abgelehnt, wird die Person zur Herausgabe des Datenträgers aufgefordert. Wenn sie dieser Verpflichtung nicht nachkommt und tatsächliche Anhaltspunkte für den Besitz vorliegen, können die Person, die von ihr mitgeführten Sachen und die Wohnung durchsucht werden.“

Die betroffene Frau aus Köln hat ihr Smartphone nach unserer Berichterstattung über den Fall doch noch zurück bekommen – entgegen dem, was auf der Einzugsbescheinigung stand. Sie lebt derzeit mit einer monatlichen Duldung in Köln. An der Gesetzeslage ändert das allerdings nichts. Laut Aufenthaltsgesetz können Ausländerbehörden weiterhin selbst entscheiden, ob sie die eingezogenen Geräte wieder aushändigen oder „bis zur Ausreise“ verwahren.