In den Niederlanden ist ein 33‑jähriger Staatsbürger festgenommen worden, der im Verdacht steht, die Plattform AVCheck betrieben zu haben – einen Online‑Service, mit dem Cyberkriminelle Schadsoftware gegen gängige Sicherheitslösungen testen und gezielt Anti-Virus-Umgehung (AV-Evasion) betreiben konnten. Der Dienst war bereits Ende Mai 2025 im Zuge der internationalen Operation Endgame abgeschaltet worden, die sich gezielt gegen die technische Infrastruktur hinter modernen Cybercrime-Ökosystemen richtet.
Festnahme in Amsterdam: Verdacht auf Betrieb des Malware-Testservices AVCheck
Laut der niederländischen Staatsanwaltschaft (Openbaar Ministerie, OM) wurde der Verdächtige am Flughafen Schiphol in Amsterdam festgenommen. Nach der Abschaltung von AVCheck soll er die Niederlande verlassen und sich über einen längeren Zeitraum in den Vereinigten Arabischen Emiraten aufgehalten haben. Die Festnahme erfolgte nach einer Phase internationalen Informationsaustauschs und Observationsmaßnahmen.
Bei der Zugriffnahme stellten die Behörden umfangreiche digitale Datenträger sicher, die nun einer forensischen Auswertung unterzogen werden. Solche Analysen dienen dazu, Infrastruktur, Kundenkreise und mögliche Komplizen zu identifizieren – ein gängiger Ansatz, um aus einem einzelnen Schlag gegen eine Plattform Ermittlungsansätze gegen weitere Beteiligte zu gewinnen.
Die Ermittler bringen den Beschuldigten mit zwei Unternehmen in Verbindung, über die mutmaßlich der Zugang zu AVCheck kommerziell angeboten wurde. Solche Firmen fungieren in der Praxis häufig als „Frontunternehmen“: Nach außen werden sie etwa als Anbieter von Sicherheits- oder Testtools dargestellt, tatsächlich dienen sie aber als rechtliche Hülle für Services, die klar auf kriminelle Nutzungen zugeschnitten sind.
AVCheck als Werkzeug zur Umgehung von Antiviren- und EDR-Systemen
Nach Einschätzung der Strafverfolgungsbehörden zählte AVCheck zu den größeren internationalen Plattformen zur Umgehung von Antivirenlösungen und Endpoint-Detection-&-Response-Systemen (EDR). Nutzer konnten dort Malware-Samples hochladen und automatisiert prüfen lassen, welche gängigen Sicherheitsprodukte diese bereits erkennen – und welche nicht.
In der legalen IT-Sicherheit existieren ähnliche Dienste, etwa als Bestandteil von Penetrationstests oder Red-Team-Übungen. Der entscheidende Unterschied besteht darin, dass seriöse Anbieter mit klaren Verträgen, Zustimmung der Zielorganisationen und Transparenz agieren. Plattformen wie AVCheck hingegen adressieren in erster Linie Malware-Entwickler, Ransomware-Gruppen und Betreiber von Botnetzen, die ihren Code so lange anpassen, bis keine Erkennung mehr ausgelöst wird.
Warum Anti-AV-Services ein hohes Risiko für Unternehmen darstellen
Professionelle Angreifer entwickeln Schadsoftware heute nach industriellen Standards: Sie iterieren Versionen, testen diese, werten Ergebnisse aus und optimieren erneut. Dienste wie AVCheck sind dabei ein zentrales Werkzeug. Sie ermöglichen es, Angriffe so zu „feintunen“, dass sie Sicherheitskontrollen gezielt umgehen. Für Unternehmen bedeutet das:
- Längere Verweildauer im Netzwerk: Unentdeckte Malware kann sich lateral ausbreiten, Daten sammeln und persistente Zugänge aufbauen.
- Umgehung klassischer Schutzmechanismen: Signaturbasierte Antivirenprogramme, einfache E-Mail-Filter oder schlecht konfigurierte Firewalls werden gezielt ausgetrickst.
- Erschwerte Forensik: Gut getestete Schadsoftware nutzt häufig Verschleierungstechniken, verschlüsselte Kommunikation und Living-off-the-Land-Methoden, was die Ursachenanalyse deutlich verkompliziert.
Berichte von Organisationen wie Europol und die jährlichen Data Breach Investigations Reports von Verizon zeigen seit Jahren, dass professionell vorbereitete Malware-Kampagnen und Ransomware-Angriffe zu den gravierendsten Risiken für Unternehmen zählen. Testservices wie AVCheck wirken hier als Multiplikator, weil sie auch technisch weniger versierten Tätern hochwertig optimierte Werkzeuge zur Verfügung stellen.
Operation Endgame: Internationaler Schlag gegen Cybercrime-Infrastruktur
Die Abschaltung von AVCheck am 27. Mai 2025 ist Teil der zweiten Welle der Operation Endgame, einer koordinierten Maßnahme von Strafverfolgern aus den Niederlanden, den USA, Finnland und weiteren Partnerstaaten. Im Fokus stehen dabei nicht nur einzelne Hackergruppen, sondern die Infrastrukturen hinter der Cyberkriminalität: Command-&-Control-Server, Botnet-Backends, Bulletproof-Hosting, Malware-Panels und Testplattformen.
Dieser Ansatz folgt einem klaren Trend in der internationalen Strafverfolgung. Cybercrime ist längst ein grenzüberschreitendes Geschäftsmodell. Täter nutzen unterschiedliche Jurisdiktionen, Hosting in Drittstaaten und anonymisierende Dienste, um Strafverfolgung zu erschweren. Durch abgestimmte Aktionen, gemeinsame Taskforces und standardisierte Rechtshilfeverfahren sinkt jedoch der praktische Nutzen solcher Ausweichbewegungen.
Vom Einzeltäter zu Crimeware-as-a-Service-Ökosystemen
Besonders relevant ist, dass Operationen wie Endgame direkt die Crimeware-as-a-Service (CaaS)-Modelle adressieren. In diesen Ökosystemen sind Rollen klar getrennt:
- ein Akteur entwickelt und wartet Exploits oder Ransomware-Builds,
- ein anderer betreibt die notwendige Hosting- und Testinfrastruktur,
- weitere Partner kümmern sich um den Einbruchsvektor, die Monetarisierung oder Geldwäsche.
Die Zerschlagung zentraler Plattformen wie AVCheck erhöht den Einstiegshürden für neue Angreifergruppen. Ohne bequeme, zentral verfügbare Services müssen Täter auf kleinere, fragmentierte Marktplätze im Darknet ausweichen oder eigene Lösungen entwickeln – beides erfordert mehr Ressourcen, Know-how und birgt zusätzliche Risiken, etwa durch Betrug unter Kriminellen oder höhere Sichtbarkeit für Ermittlungsbehörden.
Konsequenzen für Angreifer und Handlungsfelder für Unternehmen
Es ist unwahrscheinlich, dass die Praxis des Malware-Testings durch die Abschaltung von AVCheck vollständig verschwindet. Vielmehr ist davon auszugehen, dass sich Teile der Funktionalität in private, stark abgeschottete Services oder geschlossene Foren verlagern. Gleichwohl erschwert der Wegfall großer, etablierter Plattformen die Vorbereitung breit angelegter Kampagnen und erhöht die Kosten auf Täterseite.
Für Unternehmen ist dies jedoch kein Anlass zur Entwarnung. Organisationen sollten weiterhin davon ausgehen, dass relevante Angriffe vorab gegen Schutzmechanismen getestet wurden. Eine wirksame Cybersecurity-Strategie sollte daher mindestens folgende Elemente umfassen:
- Mehrschichtige Sicherheitsarchitektur (Defense in Depth): Kombination aus Endpoint-Schutz, E-Mail- und Web-Gateways, Netzwerksegmentierung, Zero-Trust-Ansätzen und striktem Privilegienmanagement.
- Verhaltens- und anomaliestützte Erkennung: Ergänzung klassischer Signaturen durch EDR/XDR-Lösungen, die ungewöhnliche Aktivitäten, Lateralmovement und Datenabflüsse identifizieren.
- Regelmäßige Incident-Response-Übungen: Tabletop-Exercises, Red- und Purple-Teaming, um Reaktionszeiten zu verkürzen und Abläufe zu schärfen.
- Aktuelle Sicherheitsrichtlinien und Schulungen: Sensibilisierung der Mitarbeitenden für Phishing, Social Engineering und den sicheren Umgang mit IT-Systemen, abgestimmt auf die aktuellen Angriffsvektoren.
Die Causa AVCheck verdeutlicht, dass sich der Kampf gegen Cyberkriminalität zunehmend auf die Zerstörung krimineller Infrastrukturen und Dienstleistungsplattformen konzentriert, die Angriffe skalierbar und massentauglich machen. Unternehmen sollten diese Entwicklung zum Anlass nehmen, ihre eigene Widerstandsfähigkeit kritisch zu prüfen, in Monitoring, Log-Analyse und Threat Intelligence zu investieren und Sicherheitsmaßnahmen so zu planen, als hätten Angreifer ihre Werkzeuge bereits gründlich gegen Standard-Abwehrmechanismen getestet.
