Operation Endgame: BSI an internationaler Aktion gegen Schadsoftware-Familien beteiligt

Ort Bonn
Datum 24.06.2026

Im Rahmen der Operation Endgame konnten in einer international koordinierten Aktion mehrere Schadsoftware-Familien durch deutsche und internationale Polizeibehörden, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und in Zusammenarbeit mit dem Privatsektor vom Netz genommen werden. Das BSI hat mit technischen Analysen, Threat Intelligence und Sinkholing zum Gelingen der Operation beigetragen. Darüber hinaus benachrichtigt das BSI derzeit aktiv insbesondere Unternehmen und Organisationen, sofern ihre IT-Systeme von einer der Schadsoftware-Varianten betroffen sind.

BSI-Präsidentin Claudia Plattner: "Wir sind froh und stolz, dass wir als BSI unseren Teil zum Gelingen und insbesondere zum Schutz der Bürgerinnen und Bürger, der Wirtschaft und weiteren Organisationen in Deutschland beitragen konnten. Hier zeigt sich, wie die Arbeit von Cybersicherheits- und Strafverfolgungsbehörden ineinandergreift und wie wir gemeinsam mit dem BKA und vielen weiteren Partnern die Cybernation Deutschland schützen."

Das BSI stellt mit seiner Threat Intelligence Informationen und Hintergrundwissen zu den Tätergruppierungen, ihrer Motivation und eingesetzten Angriffstechniken zur Verfügung. Das BSI hat hier wesentlich zur Aufdeckung der Steuerungsserver beigetragen. Durch Sinkholing werden der Datentransfer und damit auch Kommandobefehle zwischen den durch Kriminelle kontrollierten IT-Systemen und der Schadsoftware auf den Opfersystemen umgeleitet und damit unschädlich gemacht.

Im Fokus der Aktion steht insbesondere die Schadsoftware StealC, mit der Kriminelle in den vergangenen Monaten Zugangsdaten und weitere sensible Informationen von infizierten IT-Geräten bei Nutzerinnen und Nutzern ausgespäht haben. Mit Stand 24. Juni 2026 liegen dem BSI Informationen zu mehr als 100.000 betroffenen Konten für E-Mail-Zugänge, Messenger-Dienste, Online-Banking, Online-Shops, Gaming-Plattformen und hunderten anderen Online-Diensten vor. Das BSI geht davon aus, dass sich diese Zahl im Zuge der weiteren Datenverarbeitung in den kommenden Tagen noch deutlich erhöhen wird. Die Passwörter zu den betroffenen Nutzerkonten liegen dem BSI nicht vor.

Das BSI informiert Einrichtungen der öffentlichen Verwaltung, Betreiber Kritischer Infrastrukturen und Unternehmen, die über NIS-2 oder die Allianz für Cybersicherheit im BSI registriert sind, zu erkannten Betroffenheiten mit seinem Computer Emergency Response Team (CERT-Bund) automatisiert per E-Mail. Privatpersonen werden über ihre jeweiligen Internetprovider informiert, denen das BSI falls möglich bei vorliegender Schadsoftwareinfektion die jeweilige IP-Adresse zur Verfügung stellt. Zusätzlich sollten Privatpersonen einen der gängigen Identity-Leak-Checker nutzen, in denen gestohlene Zugangsdaten aus bekannten Quellen zur Überprüfung hinterlegt sind. Betreiber von Online-Diensten sind zudem aufgefordert, ihre betroffenen Nutzer entsprechend zu informieren.

Das BSI rät dringend dazu, einen entsprechenden Hinweis ernst zu nehmen und sofort aktiv zu werden. Eine Überprüfung der eigenen IT-Systeme ist indes auch ohne Hinweis empfehlenswert. Nähere Informationen dazu sowie Empfehlungen und Hinweise zum nötigen Vorgehen finden Betroffene in einem Steckbrief zu StealC.

Neben der Schadsoftware StealC informiert das BSI ebenfalls über die Schadsoftware-Familie Amadey.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Pressestelle
Tel.: 0228-999582-5777
E-Mail: [email protected]
Internet: www.bsi.bund.de

BSI in Social Media