Das Bundeskriminalamt bekämpft Kinder- und Jugendpornografie im Internet. Es ist die Zentralstelle für Bund und Länder.

Letztes Jahr hat das Bundeskriminalamt dem freundlichen Hosting-Unternehmen Flokinet vorgeworfen, strafbare Kinderpornografie zu verbreiten.

Polizei meldet Straftaten

Das Referat für Ermittlungen zu Gewalt- und Sexualdelikten verschickte eine „Meldung zu kriminellen Inhalten, die auf ihren Servern zur Verfügung gestellt werden“. Flokinet hat die Meldung jetzt veröffentlicht.

Das BKA schreibt, „dass sich auf den von Ihnen betriebenen Servern strafrechtlich relevante Inhalte befinden“, und ersucht „dringlichst“ darum, „diese schnellstmöglich zu entfernen“. Der Brief listet zwei URLs mit angeblicher Kinderpornografie:

Doch die Polizei liegt falsch. Die Inhalte der Videos sind nicht strafbar.

YouTube-Videos mit Musik

Auf dem Web-Server invidious.flokinet.to läuft die Software Invidious. Diese bietet ein „alternatives Front-End für YouTube“. Weder Invidious noch Flokinet hosten dort eigene Videos. Die hostet YouTube.

Das erste Video zeigt den deutschen Komponisten Hans Zimmer, der Musik für einen Film produziert. Das zweite Video ist ein Lied eines spanischen Opernsängers.

Beide Inhalte sind weder Kinderpornografie noch strafbar.

Darüber hinaus war der Web-Dienst zum Zeitpunkt der BKA-Meldung bereits seit einem halben Jahr kaputt und offline.

Wie prüft die Polizei?

Kinderpornografie ist ein schlimmes Verbrechen und die Verbreitung solcher Inhalte ein ernster Vorwurf. Internet-Dienste müssen rechtswidrige Inhalte „unverzüglich“ entfernen. Einige Staaten schreiben eine Frist von 24 Stunden vor.

Das BKA verschickt die Mail an einem Montag. Zwei Stunden nach Eingang der Mitteilung teilt Flokinet dem BKA mit, dass die genannten Inhalte nicht verfügbar, nicht gehostet und nicht strafbar sind. Doch nach 24 Stunden hat das BKA noch immer nicht geantwortet.

Am Dienstag schicken wir dem BKA eine Reihe an Fragen. Enthalten die gemeldeten URLs wirklich Straftaten? Wann hat das BKA die URLs geprüft? Wann antwortet das BKA dem Anbieter?

Polizei meldet „automatisiert“

Am Mittwoch erhalten wir eine Antwort der Pressestelle. Das BKA äußert sich „grundsätzlich nicht zu laufenden Ermittlungsverfahren“. Zu den beiden URLs sagt es nichts.

Der Sprecher erklärt nur allgemein:

In Ermittlungsverfahren im Phänomenbereich Kinderpornografie, bei welchen große Datenmengen sichergestellt werden, erhebt das BKA Verlinkungen aus den kriminellen Plattformen automatisiert und regt diese zur Löschung durch den Provider an. Dabei können in Einzelfällen auch Verlinkungen zu nicht strafbaren Inhalten weitergegeben worden sein, die sich auf den in Rede stehenden kriminellen Plattformen befunden haben.

Die Polizei meldet „automatisiert“ alle Links auf „kriminellen Plattformen“. Das BKA prüft nicht, ob ein Link strafbar ist oder nicht.

Doch offensichtlich führt unsere Anfrage zu einer Überprüfung. Am Donnerstag antwortet das BKA dem Anbieter, vier Tage nach der ersten Meldung. „Bei den gemeldeten URLs handelt es sich nicht um kinderpornografische Inhalte. Bitte betrachten Sie unseren Löschantrag als irrelevant.“

Damit ist der konkrete Fall zwar gut ausgegangen. Aber er zeigt grundlegende Probleme.

Viele Meldungen nicht strafbar

Das BKA erhält Hinweise auf Kinderpornografie unter anderem von Beschwerdestellen im INHOPE-Netzwerk. Diese nehmen Hinweise entgegen und „prüfen diese auf ihre strafrechtliche Relevanz“. Erst danach leiten sie geprüfte Hinweise an das BKA. Im Jahr 2024 erhielt das BKA so über 31.000 Hinweise zu kinderpornografischen Inhalten im Internet.

Noch mehr Meldungen erhält das BKA vom „Nationalen Zentrum für vermisste und ausgebeutete Kinder“. Die US-Organisation meldete ebenfalls 2024 über 205.000 Hinweise an das BKA. Diese prüft das BKA. Doch nur „in 106.353 Fällen wurde eine strafrechtliche Relevanz festgestellt“. Die Hälfte der NCMEC-Meldungen war gar nicht strafbar.

Im Fall von Flokinet hat das BKA selbst „Verlinkungen aus den kriminellen Plattformen automatisiert [erhoben]“. Überprüft hat das BKA die Inhalte offensichtlich nicht.

In anderen Fällen erfährt das BKA von Kinderpornografie, löscht die Inhalte aber nicht.

Trotzdem fordert das BKA Netz-Sperren, Vorratsdatenspeicherung und Chatkontrolle – immer wegen Kinderpornografie.

Keine Konsequenz für Falschmeldungen

Flokinet kritisiert, dass das Einreichen einer falschen Meldung keinerlei Konsequenzen hat. Es ist angemessen, dass Hoster Straftaten wie Kinderpornografie zeitnah entfernen müssen. Doch das kann nur funktionieren, wenn die Hinweise der Polizei auch korrekt sind.

Wenn die Polizei automatisiert ungeprüft Inhalte meldet, „lagert der Absender die Überprüfungsarbeit faktisch an uns aus. Das ist kein praktikables System.“ Diese offenbar notwendige Überprüfung ist rechtlich heikel: Bereits der Besitz kinderpornografische Inhalte ist strafbar, unabhängig von der Intention.

Laut Flokinet benachteiligt dieses System außerdem kleine Internet-Dienste gegenüber Big Tech. „Große Plattformen können die Kosten für die Bearbeitung automatisierter Anfragen durch KI-Moderation und Inhaltsüberprüfungs-Teams auffangen. Unternehmen wie Flokinet können das nicht.“

Flokinet weist auch darauf hin, dass die Polizei erst reagiert hat, nachdem wir nachgefragt haben. „Ohne den Druck von Medien wäre die Falschmeldung wahrscheinlich nicht offiziell anerkannt worden.“

Die Google Threat Intelligence Group warnt aktuell davor, dass Angreifer physisch auf die Systeme ihrer Opfer zugreifen: Sie geben sich vor Ort als IT-Techniker aus und betreten dann die Büros eines betroffenen Unternehmens. Mit einem USB-Stick greifen sie anschließend sensible Daten direkt vom Endgerät ab.

Normalerweise versuchen digitale Angreifer meist aus der Ferne Daten zu stehlen oder Netzwerke zu sabotieren: Das Opfer fällt etwa auf eine Phishing-Mail herein, kontaktiert den Angreifer und der erhält remote Zugriff aufs Firmennetz – dann kopiert er sensible Daten. Kommt der Angreifer so nicht weiter, steht er in manchen Fällen direkt vorm Firmengebäude.

Bei den falschen IT-Supportern geht es laut Google um die Hackergruppe UNC3753, die auch als Luna Moth, Chatty Spider oder Silent Ransom Group bekannt ist. Sie zielen hauptsächlich auf Anwaltskanzleien in den USA ab, aber auch Versicherungs-, Finanz- oder Gesundheitsunternehmen sind betroffen. Bei den Daten geht es dann um rechtliche Vereinbarungen, personenbezogene Daten oder Finanzunterlagen, mit denen sie das Unternehmen später erpressen wollen.

Vorgehen

Die Hackergruppe sucht auf Firmenwebsites nach Kontaktdaten, um ihre Opfer etwa per Telefon oder Mail zu erreichen. Dabei tun sie so, als würden sie zur IT- oder Sicherheitsabteilung des Unternehmens gehören. Sie machen dann das Opfer auf eine vermeintliche Sicherheitslücke aufmerksam oder wollen ihm bei einem erfundenen Projekt helfen, um Daten zu migrieren. So bauen sie Vertrauen auf und versuchen, das Opfer zu einer Fernwartungssitzung zu überzeugen.

Laut Google nutzt UNC3753 ganz normale Screen-Sharing-Software: Zoom, Microsoft Terminal Services, Microsoft Teams oder Quick Assist. In einem Beispiel hat der Angreifer etwa innerhalb von drei Tagen mit dem Opfer fünfmal per Teams gesprochen. Sie versuchen die Opfer aber auch dazu zu bewegen, spezielle Remote-Software zu installieren: wie AnyDesk, Bomgar oder Zoho Assist. In einem Fall sollte der Nutzer einen „SuperOps RMM agent“ per cURL herunterladen.

Daten übertragen

Haben die Angreifer das Vertrauen des Opfers, kopieren sie sensible Daten. Sie melden sich etwa direkt im Browser des Opfers bei Dateifreigabe-Konten und laden Dateien direkt hoch – das taten sie entweder selbst oder haben ihre Opfer dazu angeleitet. Dabei imitierten sie auch das Branding des Zielunternehmens.

Unter anderem kamen dabei die Datenübertragungsprogramme WinSCP oder Rclone zum Einsatz. In einem Fall haben die Angreifer etwa 1,7 GByte an Daten aus einem lokalen OneDrive-Ordner auf ein Google-Drive-Konto übertragen. Zudem haben sie Opfer angewiesen, Dateien aus der Anwaltssoftware iManage direkt per Mail an die Hacker zu senden.

FBI-Warnung

Falls die Remote-Taktiken der Angreifer fehlschlagen, versuchen sie laut Google physisch die Daten zu stehlen. Auch das FBI hat davor bereits Ende Mai gewarnt (PDF). Sie stellen sich wieder als IT-Support vor und täuschen etwa vor, dass sie ein Backup erstellen müssen. Dafür nutzen sie externe Festplatten oder einfache USB-Sticks. Haben die Hacker alle Daten, die sie brauchen, senden sie eine Erpressermail an die Firma und drohen mit der Veröffentlichung.

Das FBI empfiehlt unter anderem, die Berechtigungen aller Personen zu kontrollieren, die Unternehmensräume betreten. Außerdem sollen Unternehmen ihre Mitarbeiter schulen, Backups anlegen und etwa die Möglichkeit, externe Laufwerke anzuschließen, einschränken.

Zudem rät Google dazu, den ausgehenden Datenverkehr und das Netzwerk strikt zu überwachen – der Abfluss von mehreren GByte an Daten sollte nicht unbemerkt bleiben. Unternehmen sollen nicht autorisierte Filesharing-Dienste blockieren, die übertragenen Datenmengen in den Firewall-Protokollen erfassen und den SSH-Verkehr auf Port 22 gezielt auf massenhafte Übertragungen prüfen.

(str)

Der Verkauf gebrauchter Fahrzeuge über Online-Plattformen wie Kleinanzeigen und Mobile ist nichts für schwache Nerven: Neben nächtlichen Nachrichten oder Anrufen der Gattung „was ist dein letzter Preis?“ gibt es reichlich Gauner, die Unbedarften allerlei Fallen stellen. Eine dieser Maschen taucht unter wechselnden Namen immer wieder auf: angebliche „Kfz-Berichte“. Was es damit auf sich hat, haben wir untersucht.

Der Ablauf eines Gebrauchtwagenverkaufs über das Internet ist meist etwa so: Der Verkäufer macht einige Fotos, sammelt notwendige Informationen des Autos zusammen und stellt Verkaufsanzeigen auf Plattformen wie Kleinanzeigen online. Interessenten melden sich, stellen Rückfragen, machen Preisangebote und bitten zur einfacheren Abwicklung um die Telefonnummer. Die herauszugeben, ist mehrheitlich keine gute Idee, scheint einem schnellen Verkauf aber oft zuträglich.

In einem uns vorliegenden Fall (gefunden auf Reddit) bat der potenzielle Käufer per WhatsApp in tadellosem Deutsch um mehr Informationen zum Auto und einen Besichtigungstermin. Nachdem der Verkäufer ihm Vorschläge für die persönliche Begutachtung unterbreitet hatte, schwenkte der angebliche Interessent um: Er müsse lange fahren und zöge daher einen kompletten Fahrzeugbericht vor. Den könne der Verkäufer mittels Eingabe von Kennzeichen oder Fahrgestellnummer auf der Webseite „kfzabfrage.de“ herunterladen.

Fantasievolle Fahrzeugabfrage

So weit, so gut – doch was ist das für eine Webseite? Beim Aufruf von „kfzabfrage.de“ erwartet den Kaufinteressenten zunächst eine nichtssagende Webseite aus dem Baukasten, womöglich KI-generiert. Die Abfrage ist per Autokennzeichen oder Fahrzeugidentifikationsnummer (VIN) möglich, doch warum im entsprechenden Eingabefeld neben einem LKW und PKW auch ein Fahrradfahrer-Piktogramm erscheint, wissen wohl nur die unbekannten Autoren.

Immerhin: Über 500.000 Nutzer weltweit sowie die bekannten Marken „Auto Bild“ und „TopGear“ vertrauen angeblich der Kfz-Abfrage (die laut Logo unter dem Markennamen „VinCheck“ auftritt). Auch ein Beispielbericht lässt sich abrufen: Er enthält einige Fotos des Autos sowie den Kilometerstand, Leistung (verräterisch: die Verwendung der englischen Abkürzung „hp“ für Pferdestärken) und eine „Überprüfung auf gestohlenes Fahrzeug“. Und der Laie fragt sich: Wie soll ein Webportal an all diese Informationen kommen? Fotos von Unfallschäden tauchen in keiner öffentlichen Datenbank auf, genauso wenig wie Positionsdaten oder Tachostände.

Gibt man ein Autokennzeichen wie „CT-DE 1234“ oder eine zufällig ausgewürfelte, aber syntaktisch korrekte VIN in das Eingabefeld ein, leuchtet die frohe Botschaft auf: „Erfolg! Wir haben das Fahrzeug und seine bisherigen Daten gefunden.“ Spätestens jetzt ist klar: Es kann sich nur um Betrug handeln, denn das Ortskennzeichen „CT“ existiert in Deutschland schlicht nicht. Dennoch wollen wir wissen, was die halbseidene Fahrzeugdatenbank über unser Auto weiß.

Doch das mag sie uns ohne Gegenleistung nicht verraten – und die besteht natürlich in der Angabe unserer Kreditkartendaten für den 19,99 € teuren Report. Nun denn, ermutigt durch die vielen Kreditkarten- und das Paypal-Logo begeben wir uns zur Kasse. Dort empfängt uns eine weitere Überraschung: Von Paypal-Zahlung ist plötzlich keine Rede mehr. Stattdessen nimmt der Seitenbetreiber Google Pay an, das haben wir jedoch nicht „auf Tasch“ – also muss es die Kreditkartenzahlung sein.

Also generieren wir uns schnell beim Zahlungsdienstleister unserer Wahl eine Einmal-Kreditkarte – und laufen vor die Wand. Denn die wird von „kfzabfrage“ schnurstracks abgelehnt. Womöglich möchten die unbekannten Betreiber sich die Option auf (unerlaubte) Folgezahlungen offenhalten. Mit einer anderen virtuellen Kreditkarte der Online-Bank Revolut klappt die Zahlung. Zumindest beinahe, denn die Revolut-App schlägt innerhalb von Sekunden Alarm.

Die Zahlung über 19,99 € an einen Händler namens „Autostoria24“ führte die Bank nicht aus, sondern sperrte direkt die Karte. Offenbar haben automatische Systeme zur Betrugserkennung bei Revolut zugeschlagen. Derlei vehemente Warnungen schlagen wir nicht in den Wind und brechen den Kauf ab. Stattdessen schauen wir, was wir über die Hintergründe der Masche erfahren können.

Wer steckt dahinter?

Die Recherche beginnt bei der Domain und ihren Inhabern. „kfzabfrage.de“ wurde am 29. Mai 2026, also eine Woche vor Erscheinen dieses Artikels registriert. Laut DENIC-Inhaberinformationen auf ein Unternehmen namens AUTO INFORM in der Ballifeary Road im britischen Bamburgh. Das malerische Küstendörfchen im Nordosten Englands ist berühmt für seine mittelalterliche Burg. Die diente unter ihrem altenglischen Namen Bebbanburg dem Romanhelden Uthred aus Bernard Cromwells gleichnamiger Romanreihe als Sehnsuchts- und Herkunftsort, ist eine beliebte Filmkulisse und Touristenattraktion. Doch Bamburgh hat keine Ballifeary Road, die gibt es lediglich im fünf Autostunden entfernten Inverness.

Bei der Suche nach dieser Straße fiel uns auf, dass unter derselben fiktiven Adresse wie das Kfz-Abfrageportal gleich zwei verschiedene Logistikdienstleister mit nichtssagenden Namen und verdächtiger Webseite residieren. Viel Gewerbe für ein Dorf mit 400 Einwohnern – der Verdacht liegt nahe, dass die Webseiten ebenfalls zu betrügerischen Zwecken aufgebaut wurden und die northumbrische Fantasieadresse regelmäßig recycled wird.

Auch die angeblichen E-Mail-Adressen des Domaininhabers führen ins Leere: Die Domain „autexa24.com“ existiert zwar und ist beim US-Anbieter Cloudflare gehostet, doch ist die Webseite nicht erreichbar und auch in der Wayback Machine nicht zu finden. Immerhin die zweite E-Mail-Adresse existiert, sie gehört zu einem Domain-Treuhanddienst des saarländischen Unternehmens Key Systems. Und die Kontakt-Telefonnummer? Die gehört zu einem Dienst für den kostenlosen SMS-Empfang und ist somit eine Wegwerfnummer.

Weitere Indizien für die Hintermänner sind spärlich gesät: Die AGB verweisen auf ein britisches Unternehmen namens „Datachecker Limited“, das jedoch bereits im Juli 2025 von Amts wegen liquidiert wurde. Das Hosting stellt GoDaddy in Straßburg bereit, die Domain ist über Key Systems registriert. Das stärkste Indiz könnte die Händlerkennung „autostoria24“ bei der Kreditkartenzahlung sein – dieser Name führt zu einem übel beleumundeten Händler für Fahrzeugteile, der offenbar auch seit 2025 nicht mehr im Geschäft ist.

Augen auf beim Fahrzeugverkauf

Ermittler warnen immer wieder vor der Betrugsmasche. Die Betrüger greifen nicht nur knapp 20 Euro von ihren Opfern ab, sondern auch deren persönliche Daten und die VIN oder das Autokennzeichen. Diese können sie später nutzen, um weiteren Betrügereien Glaubwürdigkeit zu verleihen, etwa indem sie selbst als Verkäufer auftreten und Interessenten die ergatterte VIN als Legitimation mitteilen.

Einen „Fahrzeugbericht“, wie ihn der betrügerische Interessent vom Verkäufer anfordert, gibt es zudem in dieser Form nicht. Werden Sie als Verkäufer also danach gefragt, sollten Sie den Kontakt sofort abbrechen – es handelt sich um Bauernfängerei. Wenn Sie bereits gezahlt haben, reklamieren Sie die Zahlung bei Ihrem Kreditkartenunternehmen und lassen sie zurückbuchen. Da nicht auszuschließen ist, dass die Betrüger weitere Abbuchungsversuche unternehmen, behalten Sie die nächsten Kreditkartenabrechnungen genau im Auge oder lassen die Karte gar sperren.

Die Betrüger wechseln die Domains im Wochen- oder Monatstakt und treten sicherlich mit einer Vielzahl von Designvorlagen aus. Allen gemein ist jedoch: Sie sind Teil einer Betrugsmasche.

(cku)