Die internationale Strafverfolgungsaktion „Operation Leak“ hat eines der sichtbareren Cybercrime-Foren der vergangenen Jahre vom Netz genommen: LeakBase. Die Plattform existierte seit 2021, zählte mehr als 142.000 registrierte Konten und diente als Marktplatz für gestohlene Daten, Exploits und Hacking-Dienstleistungen. Der entscheidende Erfolg der Operation ist jedoch nicht nur die Abschaltung der Infrastruktur, sondern der Vollzugriff auf die komplette Datenbank des Forums – ein Wendepunkt für nachgelagerte Ermittlungen weltweit.
Operation Leak: Internationale Beschlagnahme von Infrastruktur und Datenbank
Am 3. und 4. März führten das FBI und Strafverfolgungsbehörden aus insgesamt 14 Ländern koordinierte Maßnahmen gegen die Infrastruktur von LeakBase durch. Dabei wurden zwei zentrale Domains beschlagnahmt und durch einen typischen Hinweisbanner der US-Behörden ersetzt, der darauf hinweist, dass sämtliche Daten gesichert und zu Beweiszwecken genutzt werden.
Besonders brisant ist der erlangte komplette Datenbank-Dump des Forums. Dieser umfasst Benutzerkonten, öffentliche Threads, rund 215.000 private Nachrichten, etwa 32.000 öffentliche Beiträge sowie IP-Logs und weitere technische Metadaten. Solche Informationen erlauben eine umfassende Nachzeichnung von Aktivitäten, Kommunikationsmustern und Geschäftsbeziehungen innerhalb des Forums.
Parallel zur technischen Übernahme kam es weltweit zu rund 100 operativen Maßnahmen. In den USA, Australien, Belgien, Polen, Portugal, Rumänien, Spanien und dem Vereinigten Königreich wurden Durchsuchungen, Festnahmen und formelle Vernehmungen durchgeführt. Im Fokus standen dabei insbesondere 37 besonders aktive Nutzer, denen eine Schlüsselrolle bei der Administration, Moderation oder dem Handel mit Datenlecks zugeschrieben wird.
Wie LeakBase als Cybercrime-Forum funktionierte
LeakBase wurde in der Szene als Projekt mit Verbindungen zur Hacking-Gruppe ARES gehandelt und gewann stark an Bedeutung, nachdem andere Plattformen wie Breached/BreachForums abgeschaltet worden waren. Die Registrierung war kostenlos, die Monetarisierung erfolgte über Verkäufe von Datensätzen, Schadsoftware, Zugängen und begleitenden „Services“ wie Initialzugriffen auf kompromittierte Unternehmensnetze.
Die Plattform bot typische Funktionen moderner Cybercrime-Ökosysteme: einen Marktplatz für gestohlene Daten und Exploits, einen Escrow-Service (Treuhanddienst) zur vermeintlich „sicheren“ Zahlungsabwicklung zwischen Kriminellen sowie Diskussionsbereiche zu Programmierung, Hacking, Social Engineering, Kryptographie und OPSEC (operational security). Solche Foren bilden den logistischen Unterbau vieler Datenpannen, Ransomware-Angriffe und betrieblicsher E-Mail-Kompromittierungen.
Laut Europol nutzte LeakBase eine Kredit- und Reputationsstruktur, die stark an legitime E‑Commerce-Plattformen erinnert. Verkäufer erhielten Bewertungen, Käufer bauten Vertrauenspunkte auf, und interne Regeln reduzierten das Betrugsrisiko innerhalb des Forums. Ein bemerkenswertes internes Verbot untersagte die Veröffentlichung oder den Verkauf von Daten mit Russland-Bezug – ein Muster, das bereits bei anderen Untergrundplattformen beobachtet wurde und häufig auf die mutmaßliche geografische oder juristische Verwurzelung der Betreiber hinweist.
Forensische Auswertung: De-Anonymisierung und globale Ermittlungen
Analyse der Datenbank als Ermittlungshebel
Die vollständige LeakBase-Datenbank verschiebt den Vorteil deutlich zugunsten der Strafverfolgung. Ähnlich wie bei den Fällen RaidForums, Breached und Genesis Market lassen sich aus Accounts, privaten Nachrichten, Zahlungsströmen, Reputationsprofilen und IP-Logs detaillierte Beziehungs- und Aktivitätsgraphen erstellen. In Kombination mit Daten von Providern und Zahlungsdienstleistern können Ermittler Identitäten schließen, auch wenn die Beteiligten VPNs, Proxys oder Pseudonyme genutzt haben.
In der Praxis zeigen Auswertungen früherer Forenabschaltungen – etwa laut Veröffentlichungen von Europol und Justizbehörden – dass solche Datenbanken regelmäßig zu hunderten Einzelfallermittlungen führen, von Kleinkriminalität bis hin zu organisierten Ransomware-Gruppen. Häufig reichen bereits wiederverwendete Benutzernamen, E‑Mail-Adressen oder OPSEC-Fehler wie Logins von Heimanschlüssen, um Personen eindeutig zuzuordnen.
Erschüttertes Vertrauen in den Cybercrime-Untergrund
Operation Leak fügt sich in einen klaren Trend: Strafverfolger zielen nicht mehr nur auf einzelne Server, sondern auf ganze Communities und deren Vertrauensstrukturen. Jede beschlagnahmte Datenbank erhöht die wahrgenommene Unsicherheit innerhalb der Szene und erschwert es Tätern, verlässliche Handelspartner zu finden. Nach Abschaltungen großer Marktplätze wie RaidForums oder Genesis Market war jeweils ein spürbarer, wenn auch temporärer Rückgang der Aktivität im Datenhandels- und Zugangshandel zu beobachten.
Konsequenzen und Handlungsempfehlungen für Unternehmen und Nutzer
Für Unternehmen macht der Fall LeakBase deutlich, dass ein einmaliger Datenvorfall langfristige Folgen haben kann. Gestohlene Kundendaten, Zugangsdaten oder interne Dokumente zirkulieren oft über Jahre in unterschiedlichen Foren und Marktplätzen. Ein effektives Cyber-Resilience-Konzept sollte daher nicht nur Prävention, sondern auch kontinuierliches Monitoring von Datenlecks – inklusive Darknet-Quellen über spezialisierte Dienste – umfassen.
Zu den grundlegenden technischen und organisatorischen Maßnahmen gehören eine konsequente Passwort-Policy (keine Wiederverwendung, starke Passwörter, Passwortmanager), verpflichtende Multi-Faktor-Authentifizierung für kritische Konten, Netzwerksegmentierung zur Begrenzung von Lateralmovement sowie klar definierte Prozesse für Incident Response und Meldewege. Ebenso wichtig ist ein systematisches Awareness-Training gegen Social Engineering, da viele initiale Kompromittierungen über Phishing oder manipulierte Kommunikation erfolgen.
Für Endnutzer bleibt entscheidend, Zugangsdaten regelmäßig zu prüfen, Passwörter nach bekannten Leaks zu ändern und, wo verfügbar, Zwei-Faktor-Authentifizierung zu aktivieren. Kostenlose Dienste zur Überprüfung von E‑Mail-Adressen gegen bekannte Datenleaks sowie Meldungen von Banken und Plattformbetreibern sollten ernst genommen und zeitnah umgesetzt werden.
Operation Leak zeigt, dass internationale Zusammenarbeit in der Cybercrime-Bekämpfung zunehmend wirksam ist und große Foren keinen verlässlichen Schutzraum mehr bieten. Unternehmen und Einzelpersonen sollten solche Einsätze als Anlass nutzen, die eigene Sicherheitsstrategie zu schärfen: Zugriffsrechte und Prozesse überprüfen, Überwachung von Datenlecks etablieren und die Sensibilisierung für digitale Risiken fortlaufend stärken. Je besser verstanden wird, wie diese Foren funktionieren, desto geringer ist das Risiko, dort als Datensatz zu enden – sei es als betroffene Organisation oder als unvorsichtiger Nutzer.
