Mehr als 700 Opfer

Hackernetzwerk ebnete Weg für unzählige Straftaten

Am Mittwoch ist ein großes, internationales Cybercrime-Netz zerschlagen worden (Symbolbild).(Bild: Annette Riedl / dpa / picturedesk.com)

Am Mittwoch wurde ein internationales Cybercrime-Netz zerschlagen. Für den Proxy-Dienst „Socks Escort“ hackten Täter weltweit Tausende private IP-Adressen. Darüber konnte die eigene Computeradresse verborgen und etwa Bilder von Kindesmissbrauch verbreitet werden. Das Bundeskriminalamt (BK) meldet allein in Österreich mehr als 700 Opfer.

Um Straftätern zu ermöglichen, ihre Onlineaktivitäten anonym zu verschleiern, nutzte die kriminelle Bande eine besonders perfide Methode. Über einen sogenannten Proxy-Dienst mit dem Namen „Socks Escort“ konnten Nutzer gegen Bezahlung Zugänge erwerben und fremde Geräte als Proxy-Infrastruktur missbrauchen. So ließen sich die eigene IP-Adresse verbergen und Straftaten – etwa die Verbreitung von Darstellungen von Kindesmissbrauch – anonym über infizierte Geräte ausführen. Auch Angriffe auf IT-Systeme wurden darüber gestartet. Weltweit kaperten die Täter dafür Tausende private Router. 

Ältere Geräte mit Sicherheitslücke im Visier
Die Ermittlungen waren im Juni 2025 durch die bei Europol angesiedelte Joint Cybercrime Action Taskforce (J-CAT) ins Rollen gekommen. Im Zuge der internationalen Zusammenarbeit stellten Ermittler fest, dass die kriminelle Bande ein umfangreiches Botnetz aus überwiegend älteren Geräten aufgebaut hatte. Der Grund: Diese wiesen oftmals eine Sicherheitslücke auf.

Die koordinierte Operation „Lightning“ wurde von Europol gemeinsam mit Strafverfolgungsbehörden aus Österreich, Frankreich, den Niederlanden und den Vereinigten Staaten sowie mit Unterstützung von Eurojust durchgeführt, wurde auf der Internetseite des BK erläutert. 27 Internet-Domains sowie sieben sogenannte Command-and-Control-Server (C2) in Frankreich, den Niederlanden und den Vereinigten Staaten wurden abgeschaltet und sichergestellt.

Dutzende Systeme unbewusst betroffen
Im Zuge einer Ransomware-Ermittlung wurde das Cybercrime-Competence-Center (C4) im Bundeskriminalamt bereits im August 2024 auf den Dienst „Socks Escort“ aufmerksam. Erste Analysen zeigten, dass damals bereits Dutzende österreichische Netzwerke betroffen waren, darunter Privathaushalte und kleinere Unternehmen. Deren Router wurden gehackt und in das kriminelle Netzwerk eingebunden.

Ermittler konnten eine laufende Infizierung eines Routers dokumentieren, die Schadsoftware sichern und mehrere Server der Täter identifizieren, teilte das BK am Donnerstag mit. Im September 2025 wurden im Zuge der österreichischen Ermittlungen mehrere Maßnahmen gegen die Infrastruktur der Täter gesetzt. Insgesamt wurden mehr als 700 IP-Adressen in Österreich missbraucht, die betroffenen Router müssen nun ausgetauscht werden, sagte BK-Sprecher Heinz Holub-Friedreich.

Updates schützen vor Angriffen
Die Ermittlungen zeigen erneut, wie wichtig die regelmäßige Aktualisierung von Firmware und Sicherheitsupdates bei internetfähigen Geräten ist, betonte das BK. Geräte, für die keine Sicherheitsupdates mehr bereitgestellt werden, sollten aus Sicherheitsgründen durch aktuelle Modelle ersetzt werden.