Tracking des Kampfes gegen Cyberkriminalität: Globale Trends in der Strafverfolgung und was sie über die heutige Bedrohungslage verraten
Autorinnen:
Diana Selck-Paulsson
Senior Security Researcher
Zohra Hamila
Junior Security Researcher
Einleitung
Für Organisationen, die sich in einer zunehmend komplexen Cyber-Bedrohungslandschaft bewegen, bieten Einblicke in die Ermittlungs-, Bekämpfungs- und Strafverfolgungsmaßnahmen gegen Cyberkriminalität wichtige Perspektiven auf sich verändernde Risiken und das Verhalten von Angreifern.
Cyberkriminalität nimmt weiterhin an Umfang, Raffinesse und Diversifizierung zu und setzt Strafverfolgungsbehörden weltweit unter anhaltenden Druck. Als Reaktion darauf haben die Behörden die Sichtbarkeit und Häufigkeit von Verhaftungen, Festnahmen, Sanktionen und koordinierten internationalen Operationen erhöht. Dennoch sind die öffentlich zugänglichen Informationen über Strafverfolgungsmaßnahmen nach wie vor fragmentiert und verteilen sich auf verschiedene Gerichtsbarkeiten, Behörden und einzelne Fallbekanntmachungen. Daher ist es schwierig, sich ein kohärentes globales Bild davon zu machen, wie Cyberkriminalität bekämpft wird, welche kriminellen Aktivitäten Priorität haben und wer die Täter tatsächlich sind.
Dieser Blogbeitrag fasst die Ergebnisse einer systematisch aufgebauten Datensammlung von 418 öffentlich bekannt gegebenen Strafverfolgungsmaßnahmen zusammen, die zwischen 2021 und Mitte 2025 durchgeführt wurden. Diese Datensammlung ist derzeit eine der umfassendsten und bietet einen seltenen konsolidierten Überblick über die weltweite Strafverfolgung von Cyberkriminalität sowie Einblicke in Trends bei kriminellen Aktivitäten, Strafverfolgungsstrategien, internationale Zusammenarbeit und Merkmale der Täter.
Der Datensatz
Der Datensatz basiert ausschließlich auf öffentlich gemeldeten Strafverfolgungsmaßnahmen, die von den Intelligence-Teams von Orange Cyberdefense gesammelt und überprüft wurden. Jeder Eintrag steht für eine bestätigte Strafverfolgungsmaßnahme, die durch manuelle Analyse um kontextbezogene Details wie die Art der Straftat, die Form der Strafverfolgungsmaßnahme, die beteiligten Länder und Institutionen sowie verfügbare demografische Daten zu den Tätern ergänzt wurde. Der Datensatz erfasst zwar nicht das gesamte Spektrum der Cyberkriminalität, bietet jedoch einen empirischen Überblick über sichtbare Strafverfolgungsmaßnahmen und ermöglicht eine vergleichende Analyse im Zeitverlauf.
Limitationen: Wie alle Open-Source-Datensätze hat auch dieser Datensatz inhärente Einschränkungen. Er erfasst nur öffentlich gemeldete Maßnahmen und spiegelt somit nur einen Teil der identifizierten, festgenommenen oder unterbundenen Straftäter wider, nicht jedoch das gesamte Spektrum der Cyberkriminalität. Darüber hinaus enthalten nicht alle Meldungen vollständige demografische Informationen; Angaben zu Alter, Geschlecht oder Nationalität sind manchmal nicht verfügbar.
Cyberkriminalität und Reaktion: Zunehmende globale Strafverfolgungsbemühungen
Wie in Abbildung 1 dargestellt, haben die öffentlich gemeldeten Strafverfolgungsmaßnahmen gegen Cyberkriminalität seit 2021 jedes Jahr stetig zugenommen. Dieser Aufwärtstrend spiegelt sowohl das wachsende Ausmaß der Cyberkriminalität als auch die zunehmende Bereitschaft der Behörden wider, ihre Strafverfolgungsmaßnahmen öffentlich zu machen. Bis Juli 2025 hatte die Zahl der bekannt gegebenen Maßnahmen bereits die Gesamtzahl aus 2024 erreicht, was darauf hindeutet, dass 2025 nach Abschluss der Datenerhebung wahrscheinlich das aktivste Jahr seit Beginn der Aufzeichnungen werden wird1.
Abbildung 1: Aktivitäten der Strafverfolgungsbehörden im Zeitverlauf
Dieser Anstieg deutet nicht nur auf eine verstärkte Aufmerksamkeit für die zunehmende Kriminalität hin, sondern auch auf eine verbesserte internationale Zusammenarbeit, potenziell stärkere Ermittlungsfähigkeiten und eine strategische Ausrichtung auf Abschreckung durch öffentliche Zuordnung.
Welche Straftaten werden behandelt?
Abbildung 2 zeigt die zehn am häufigsten bekämpften Straftaten. Cyber-Erpressung, einschließlich Ransomware, ist die erfolgreichste bekämpfte Straftat. Dicht dahinter folgen die Verbreitung von Malware und unbefugter Zugriff/Intrusion. Zusammen dominieren diese Kategorien die Strafverfolgungsaktivitäten und zeigen, wie stark finanziell motivierte Cyberkriminalität bekämpft wird.
Abbildung 2: Die 10 häufigsten Straftaten, gegen die Strafverfolgungsbehörden vorgehen
Über die direkte finanzielle Ausbeutung hinaus nehmen die Behörden zunehmend auch die Infrastruktur ins Visier, die Cyberkriminalität ermöglicht. Straftaten wie Cyberspionage, der Betrieb von Dark-Web-Marktplätzen und die Bereitstellung von Hosting- oder technischen Dienstleistungen für kriminelle Netzwerke tauchen in den Daten häufig auf. Weniger verbreitet, aber strategisch wichtig sind Maßnahmen gegen Datenhandel, Missbrauch von Kryptowährungen und Geldwäsche, was das wachsende Bewusstsein für die finanziellen und logistischen Ökosysteme widerspiegelt, die Cyberoperationen ermöglichen.
Die Daten zeigen auch, dass die Motive für Cyberkriminalität nicht statisch sind. Zwar steht nach wie vor der finanzielle Gewinn im Vordergrund, doch haben sich die Aktivitäten offensichtlich verändert, beispielsweise als Reaktion auf geopolitische Entwicklungen, wodurch die Grenzen zwischen kriminellen, politischen und ideologischen Zielen verschwimmen.
Welche Maßnahmen ergreifen die Strafverfolgungsbehörden?
Wie in Abbildung 3 dargestellt, sind Festnahmen mit einem Anteil von 29 Prozent aller registrierten Maßnahmen die häufigste Form der Strafverfolgung. Sie signalisieren eine anhaltende Betonung der individuellen Verantwortung und der gerichtlichen Entscheidungen. Takedowns und formelle Anklagen folgen dicht dahinter und zeigen gemeinsam, dass sowohl die aktive kriminelle Infrastruktur gestört als auch die Fälle durch die Rechtssysteme vorangetrieben werden.
Abbildung 3: Alle Strafverfolgungsmaßnahmen in Prozent
Zusätzliche Maßnahmen wie Verurteilungen, Sanktionen und Beschlagnahmungen von Vermögenswerten deuten darauf hin, dass die Strafverfolgung zunehmend sowohl auf Einzelpersonen als auch auf die wirtschaftlichen Grundlagen der Cyberkriminalität abzielt. Insbesondere Sanktionen haben im Laufe der Zeit stetig zugenommen und spiegeln die wachsende Bedeutung wirtschaftlicher und diplomatischer Instrumente bei der Bekämpfung der Cyberkriminalität wider.
Abbildung 4 kombiniert Straftaten mit Strafverfolgungsmaßnahmen und zeigt, dass Festnahmen in fast allen Kriminalitätskategorien dominieren, insbesondere bei Cyber-Erpressung und Hacking. Abschaltungen stehen in engem Zusammenhang mit Dark-Web-Marktplätzen und Malware-Infrastrukturen, während Sanktionen vor allem in Fällen im Zusammenhang mit Cyberspionage und staatlich gelenkten Aktivitäten verhängt werden.
Abbildung 4: Strafverfolgungsmaßnahmen im Vergleich zu Arten von Cyberkriminalität
Welche Länder führen bei der Bekämpfung von Cyberkriminalität?
Abbildung 5 zeigt die führenden Länder, die sich an der Bekämpfung der Cyberkriminalität beteiligen. Die Vereinigten Staaten sind mit 45 Prozent aller registrierten Maßnahmen der aktivste Teilnehmer und übernehmen dabei eine führende Rolle. Eine zweite Gruppe, bestehend aus Deutschland, dem Vereinigten Königreich, Russland, der Ukraine, den Niederlanden, Spanien und Frankreich, bildet den Kern der globalen Cyber-Bekämpfungskapazitäten außerhalb der Vereinigten Staaten.
Abbildung 5: Die 30 Länder, die bei Strafverfolgungsmaßnahmen führend sind
Die Tatsache, dass sowohl west- als auch osteuropäische Staaten zu den führenden Akteuren zählen, spiegelt das komplexe geopolitische Umfeld wider, in dem die Bekämpfung der Cyberkriminalität stattfindet. Viele dieser Länder sind gleichzeitig Ziel, Quelle und Vollstrecker innerhalb des globalen Ökosystems der Cyberkriminalität.
Die Landschaft der Zusammenarbeit
Über die Hauptakteure hinaus veranschaulicht Abbildung 6 die sekundäre Beteiligung und internationale Zusammenarbeit. Die Vereinigten Staaten spielen erneut eine zentrale Rolle und treten häufig als unterstützender Partner auf. Europäische Länder wie Deutschland, das Vereinigte Königreich, Frankreich und die Niederlande zeigen ebenfalls ein hohes Maß an Zusammenarbeit. Australien und Kanada treten als beständige Partner der Five Eyes in Erscheinung.
Abbildung 6: Die 30 Länder mit der größten Zusammenarbeit
Eine größere Gruppe von Ländern der mittleren Kategorie, darunter Polen, Japan, Finnland, Schweden, die Ukraine, Singapur und Thailand, ist regelmäßig an multinationalen Operationen beteiligt. Diese Verteilung unterstreicht die zunehmende Globalisierung der Cyber-Strafverfolgung und die wachsende Abhängigkeit von koordinierten grenzüberschreitenden Maßnahmen.
Wer sind die Cyberkriminellen (die gefasst wurden)? Täterprofile und Sichtbarkeit der Strafverfolgung
Daten zu Straftätern liefern wichtige Informationen zum Verständnis der Dynamik von Cyberkriminalität. Während sich Strafverfolgungsmaßnahmen auf die Bekämpfung konzentrieren, zeigen die Merkmale der Straftäter, wer tatsächlich identifiziert und strafrechtlich verfolgt wird. Es ist zu beachten, dass einige Personen aufgrund nationaler Unterschiede in der Rechtspraxis in den Datensätzen aufgeführt sind, da bestimmte Länder im Rahmen aktiver Ermittlungen öffentlich Fahndungsausschreibungen herausgeben, in denen Verdächtige mit Namen und Alter identifiziert werden, während solche Offenlegungen in vielen europäischen Rechtsordnungen weitaus eingeschränkter sind und in der Regel erst nach Erhebung einer formellen Anklage erfolgen.
Alter
Abbildung 7 zeigt, dass Cyberkriminalität in diesem Datensatz überwiegend von Erwachsenen begangen wird. Der größte Anteil der Täter fällt in die Altersgruppe der 35- bis 44-Jährigen, gefolgt von den 25- bis 34-Jährigen und den 18- bis 24-Jährigen. Im Gegensatz zu traditionellen Kriminalitätsmustern, die ihren Höhepunkt im Jugendalter erreichen, scheint Cyberkriminalität bis weit ins Erwachsenenalter hinein anzuhalten, was eher auf ein anhaltendes und bewusstes Handeln als auf impulsives Verhalten hindeutet. Während Täter mittleren Alters in diesem Datensatz stark vertreten sind, sind jüngere Täter wahrscheinlich unterrepräsentiert, da Minderjährige häufig durch nationale Rechtsrahmen vor Strafverfolgung und öffentlicher Bekanntgabe geschützt sind, was ihre Sichtbarkeit in den Berichten der Strafverfolgungsbehörden einschränkt.
Dennoch stellt die Altersverteilung der Täter in diesem Datensatz traditionelle kriminologische Annahmen in Frage. Grundlegende Untersuchungen zur Alters-Kriminalitäts-Kurve legen nahe, dass kriminelles Verhalten in der Regel in der Jugend oder im frühen Erwachsenenalter seinen Höhepunkt erreicht, bevor es stark zurückgeht. Im Gegensatz dazu konzentrieren sich die Cyberstraftaten in diesem Datensatz auf Erwachsene, wobei die Altersgruppe der 35- bis 44-Jährigen den größten Anteil der identifizierten Straftäter ausmacht.
Dieses anhaltende Engagement bis ins mittlere Lebensalter deutet darauf hin, dass Cyberkriminalität oft mit bewussten und kognitiv fundierten Entscheidungen einhergeht und nicht mit impulsivem oder situationsbedingtem Verhalten. Diese Ergebnisse stehen im Einklang mit rationalen Entscheidungsperspektiven, bei denen Straftäter Risiken, Chancen und Möglichkeiten über einen längeren Zeitraum abwägen.
Abbildung 7: Altersspanne von Cyberkriminellen im Vergleich zur traditionellen Alterskurve bei Straftaten
Kriminalitätsarten in verschiedenen Altersgruppen
Abbildung 8 zeigt, wie sich die Art der Straftaten je nach Alter unterscheiden. Jüngere Straftäter sind häufiger an technisch orientierten Aktivitäten wie Hacking und DDoS-Angriffen beteiligt, die explorativer Natur sein oder dem Ruf schaden können. Mit zunehmendem Alter verlagert sich die Beteiligung auf gewinnorientierte und komplexe Aktivitäten, darunter Cyber-Erpressung, Einsatz von Malware, Cyberspionage und Geldwäsche.
Abbildung 8: Alter der Täter und Art der Cyberkriminalität
Geschlecht und Nationalität
Abbildung 9 zeigt ein ausgeprägtes Ungleichgewicht zwischen den Geschlechtern, wobei mehr als 90 Prozent der identifizierten Straftäter männlich sind. Dies spiegelt allgemeine Muster wider, die sowohl in der Forschung zum Thema Cyberkriminalität als auch bei den Beschäftigten im Bereich Cybersicherheit zu beobachten sind.
Abbildung 9: Geschlecht der Straftäter
Abbildung 10 zeigt Daten zur Nationalität der Straftäter, wobei 64 verschiedene Nationalitäten vertreten sind. Die Verteilung ist stark konzentriert, wobei russische Staatsangehörige die größte Einzelgruppe darstellen, gefolgt von amerikanischen, chinesischen, ukrainischen und nordkoreanischen Straftätern. Die Nationalität bietet zwar nur einen teilweisen Einblick in ein transnationales digitales Umfeld, liefert jedoch nützliche Informationen zum Verständnis der regionalen Sichtbarkeit der Strafverfolgung und geopolitischer Faktoren.
Abbildung 10: Nationalität der 20 häufigsten Straftäter
Zusammenfassung
Insgesamt zeigen die Ergebnisse, dass die weltweite Bekämpfung der Cyberkriminalität aktiver, internationaler und vielfältiger wird. Finanzielle Motive stehen nach wie vor im Mittelpunkt, aber die Strafverfolgungsbehörden reagieren zunehmend mit einer Kombination aus Festnahmen, Gerichtsverfahren, Abschaltungen von Infrastrukturen, Sanktionen und öffentlich-privater Zusammenarbeit. Gleichzeitig zeigen die Daten zu den Tätern, dass Cyberkriminalität größtenteils von erwachsenen Akteuren ausgeht, die sich nachhaltig und strategisch betätigen.
Diese Trends veranschaulichen, wie Cyberkriminalität nicht nur durch technische Fähigkeiten, sondern auch durch rechtliche Rahmenbedingungen, internationale Zusammenarbeit und die Sichtbarkeit der Strafverfolgung geprägt wird. Unterschiede in den Ermittlungs- und Strafverfolgungspraktiken beeinflussen, welche Akteure sichtbar werden, wie sich Bedrohungen anpassen und wo letztendlich die Rechenschaftspflicht greift.
Den vollständigen Artikel finden Sie im Security Navigator