Die internationale Strafverfolgungsoperation PowerOFF ist in eine neue Phase eingetreten: Ermittler aus 21 Ländern haben 53 Domainnamen beschlagnahmt, vier mutmaßliche Betreiber illegaler Plattformen festgenommen und mehr als 75.000 Warnhinweise an Nutzer von DDoS-Diensten auf Abruf verschickt. Damit richtet sich einer der sichtbarsten Einsätze der vergangenen Jahre gezielt gegen den florierenden Markt für DDoS-as-a-Service.
Europol koordiniert globale Aktion gegen DDoS-Dienste
Die Operation wird von Europol koordiniert und vereint Strafverfolgungsbehörden aus Australien, mehreren EU-Mitgliedstaaten, den USA, Brasilien, Thailand, Japan und weiteren Ländern. Dieser breite Verbund spiegelt die Realität moderner Cyberkriminalität wider: Angriffsinfrastruktur, Geldflüsse und Opfer liegen oft in unterschiedlichen Jurisdiktionen, wodurch nur eng abgestimmte internationale Maßnahmen effektiv greifen.
Seit dem Start von PowerOFF im Jahr 2018 – damals wurden zunächst 15 Plattformen vom Netz genommen – verfolgen Ermittler systematisch sogenannte Booter- und Stresser-Services. Ziel ist es, sowohl die technische Infrastruktur als auch die Betreiber und Kunden dieser Dienste unter Druck zu setzen und die wirtschaftliche Basis des Geschäftsmodells auszutrocknen.
Booter- und Stresser-Services: DDoS-Angriffe auf Knopfdruck
Booter- und Stresser-Dienste präsentieren sich häufig als legitime Werkzeuge für „Last- und Stresstests“. In der Praxis prüfen sie jedoch in der Regel nicht, ob der Auftraggeber die zu testende Infrastruktur überhaupt kontrolliert. Damit werden sie zu niedrigschwelligen Plattformen, um DDoS-Angriffe zu mieten – inklusive Benutzeroberfläche, Zahlungsabwicklung und „Kundensupport“.
Die technische Hürde für einen Angriff sinkt dadurch massiv. Es ist weder tiefes Netzwerk-Know-how noch der Aufbau eines eigenen Botnetzes erforderlich. Oft genügen eine Registrierung, eine Bezahlung (häufig in Kryptowährungen) und das Eintragen der Zieladresse. Diese „Demokratisierung“ der Angriffsmittel macht DDoS-Attacken massenhaft verfügbar – auch für Minderjährige und technisch wenig versierte Nutzer.
Ermittlungserfolge: Millionen Nutzerdaten und gestörte Angreifer-Ökosysteme
In früheren Phasen von PowerOFF beschränkten sich die Behörden nicht auf das Abschalten von Domains. Sie verschafften sich außerdem Zugriff auf interne Systeme mehrerer DDoS-as-a-Service-Plattformen. Dabei wurden unter anderem Datenbanken mit rund 3 Millionen Kundenkonten sichergestellt und 25 Durchsuchungsbefehle vollstreckt.
Diese Informationen ermöglichen es den Ermittlern, besonders aktive Kunden zu identifizieren, Zahlungsströme nachzuverfolgen und Taktiken der Angreifer besser zu verstehen. Für Cyberkriminelle bedeutet der Verlust von Domains und Infrastruktur, dass sie ständig umziehen, Marken wechseln und Zahlungswege anpassen müssen. Das erhöht die Betriebskosten, senkt das Vertrauen der Kundschaft und wirkt damit als spürbarer Dämpfer auf den Markt für DDoS-Dienste.
Wer DDoS-Angriffe mietet – und warum
Laut Lagebildern von Europol und EU-Agenturen wie ENISA zählen DDoS-Angriffe seit Jahren zu den häufigsten Vorfällen im Bereich Cyberkriminalität. DDoS-as-a-Service wird sowohl von Einsteigern als auch von professionellen Gruppen genutzt – etwa zur Verstärkung eigener Kampagnen oder als ergänzendes Werkzeug in Erpressungs- und Sabotageszenarien.
Die Motive reichen von „zum Spaß ausprobieren“ über Erpressung bis hin zu politisch oder ideologisch motiviertem Hacktivismus und gezielten Angriffen auf Wettbewerber. Schon kurze erfolgreiche Angriffe können bei Online-Shops, Finanzdienstleistern, Gaming-Plattformen oder kritischen Infrastrukturen zu erheblichen Ausfällen, Umsatzverlusten und Reputationsschäden führen.
Neue Strategie: Prävention, Suchmaschinen und Blockchain-Warnungen
In der aktuellen Phase setzt PowerOFF verstärkt auf präventive Maßnahmen. Geplant sind Informationskampagnen, die insbesondere junge Internetnutzer adressieren, die nach „DDoS-Tools“ oder „Stresser-Services“ suchen. Über Anzeigen und Banner in Suchmaschinen sollen die rechtlichen Konsequenzen erklärt und zugleich legale Wege aufgezeigt werden, um Interesse an IT-Sicherheit auszuleben – etwa über Bug-Bounty-Programme, CTF-Wettbewerbe oder Ausbildungen im Cybersecurity-Bereich.
Entfernte URLs und Hinweise in Krypto-Transaktionen
Bereits jetzt wurden laut Europol mehr als 100 URLs aus Suchergebnissen entfernt, die Booter- und Stresser-Dienste bewarben. Dadurch sinkt die Sichtbarkeit dieser Angebote, insbesondere für Nutzer, die keinen Zugang zu Untergrundforen und geschlossenen Kanälen haben.
Bemerkenswert ist auch der Einsatz von Blockchain-basierten Warnhinweisen. Bei Transaktionen, die im Zusammenhang mit der Bezahlung illegaler DDoS-Dienste stehen, versehen Behörden bestimmte Zahlungen mit Hinweisen oder nutzen Analysewerkzeuge, um Muster aufzudecken. Damit wird deutlich: Kryptowährungen sind nur pseudonym, nicht anonym. Transaktionsdaten lassen sich auswerten und in Ermittlungen einbeziehen – ein wichtiger Hinweis für Personen, die Krypto fälschlicherweise als „risikofreien“ Zahlungsweg für Cybercrime betrachten.
Die Weiterentwicklung von PowerOFF zeigt einen strategischen Wandel: Weg von isolierten Domain-Beschlagnahmungen, hin zu einem ganzheitlichen Angriff auf das komplette DDoS-as-a-Service-Ökosystem – inklusive Infrastruktur, Zahlungsströmen und Nachfrage. Unternehmen sollten dies zum Anlass nehmen, ihre DDoS-Resilienz zu überprüfen: etwa durch vorgelagerte Traffic-Filter, Anomalieerkennung, belastbare Notfallpläne und abgestimmte Incident-Response-Prozesse. Privatpersonen – insbesondere Jugendliche – sollten sich bewusst sein, dass das Bestellen eines DDoS-Angriffs kein „Scherz“, sondern eine strafbare Handlung ist. Wer sich für Hacking und Netzwerktechnik interessiert, findet in legalen Sicherheitsprogrammen, Schulungen und Karrieremöglichkeiten in der Informationssicherheit deutlich nachhaltigere und risikofreie Perspektiven.
