Computerkriminalität endet selten im Browser. Wir kappen Geldflüsse, zeichnen Spuren nach und fassen alles so zusammen, dass Bank, Plattform oder Ermittlungsbehörde sofort anknüpfen können.
Innerhalb der ersten Stunde werden Karten, Wallets und Payment-Provider gesperrt, Sitzungen widerrufen, Passwörter rotiert und MFA erzwungen. Links zu Fake-Shops oder Phishing-Mails werden mit Zeitstempel isoliert, damit die Quelle eindeutig bleibt.
Die Ermittler bauen eine Spurkarte: Alias- und Gerätecluster werden mit IBANs, Wallets, Gutscheinen oder Nachnahmezahlungen verknüpft. Physische Schnittstellen wie Packstation oder Abholpunkt werden mit Kennzeichen, Videos oder Fotos belegt. Bei Kryptofällen ergänzen wir Wallet-Graphen, Mixer- und Off-Ramp-Analyse sowie SAR-/Freeze-Vorlagen für VASPs.
Ein Beispiel: Ein neu registrierter Shop leitete eine Sofortüberweisung um und ließ Ware an einen Dritten liefern. Nach gestoppter Zahlung, Domain-Meldung und rekonstruiertem Tracking lag das Geld wieder beim Käufer; die Aufzeichnungen gingen gebündelt mit Anzeige an die Staatsanwaltschaft.
Zum Abschluss erhält der Auftraggeber ein Dossier mit Zeitleiste, Screenshots, Headern, Zahlungsbelegen und API-/Server-Logs sowie Anschreiben an Bank, Registrar und Plattform inklusive Rechtsgrundlage und Frist. Präventionshinweise (Treuhand, 3D-Secure-Pflicht, Domain-/Registercheck) runden den Vorgang ab.
Recovery-Plan mit Checkpunkten
- Zahlungen: Status je IBAN/Wallet/Karte, Chargeback-Fenster, Rückrufstatus beim Carrier.
- Log-Lage: Welche Header/Screenshots liegen vor, welche Abuse-Tickets sind offen, welcher Registrar/Hoster reagiert?
- Geräte: Welche Sessions sind widerrufen, welche MFA-Backups sind gesetzt, welche Geräte wurden forensisch kopiert?
- Reporting: Entwurf der Anzeige + Anlagenliste, Ansprechpartner:innen bei Bank/Provider/Plattform, nächster Follow-up-Termin.
0–48 Stunden: Taktische Schritte
- Stunde 0–2: Zahlungen einfrieren, Wallet-Graph ziehen, DNS-/Whois-Daten sichern, Versandstopp anstoßen.
- Stunde 3–6: Fingerprinting der Täterinfrastruktur (TLS-Fingerprint, ASN, Hosting-Muster), Abuse-Meldungen mit Belegen.
- Stunde 7–12: Kunden-/Mitarbeiterhinweise rausgeben, Phishing-Links blocken, interne VPN-Logins prüfen, Session-Tokens ungültig machen.
- Stunde 13–24: Anzeigeentwurf mit Zeitleiste, Belegsammlung und Zuständigkeiten fertigstellen, Rückruf-Status der Bank kontrollieren, Domain-Missbrauch an Registrar nachhalten.
- Stunde 25–48: Lessons Learned erfassen: Welche Erkennungsregeln haben gegriffen, was muss automatisiert werden (z. B. IOC-Feed ins SIEM, MFA für kritische Accounts, Whitelisting für Auszahlungen)?
Forensik & Nachverfolgung
- Datenquellen: Webserver-Logs, Mail-Header, Payment-Gateways, CDN-Logs, Packstation-Scans, Callcenter-Notizen.
- Beweisaufbereitung: Screenshots mit Zeitstempel, Hash-Werte der Dateien, Video/Audio der Übergaben, Zeugenvermerke.
- Kryptopfade: Mixer-/Tumbler-Erkennung, Off-Ramp-Cluster, Reise der Transaktionen, SAR-/Verdachtsmeldungen vorbereiten.
- Lieferkette: Abholer identifizieren (Kennzeichen, Paketnummern, Video), Zustellfenster protokollieren, Lieferscheine sichern.
Prävention nach dem Vorfall
Checkliste für Betreiber: 3DS/PSD2-Härtung, Ratenzahlung und Gutscheinlimits, Geo-Fencing bei risikoreichen Bestellungen, Domain-Watchlist für Typosquats, SPF/DKIM/DMARC hart schalten, SIEM-Regeln für ungewöhnliche Payment-Flows. Mitarbeitende erhalten ein 20-Minuten-Briefing mit echten Betrugsbeispielen und klarer Meldeadresse. Kundenkommunikation wird versioniert und freigegeben, damit Antworten einheitlich bleiben.
Häufige Fragen aus Mandaten
- Lohnt sich Anzeige? Ja, wenn Belege vollständig sind (Zahlungsweg, Header, Screenshots, Logs) und Zuständigkeiten klar benannt werden.
- Wie schnell frieren Banken ein? Innerhalb von Stunden, wenn der Rückruf gut begründet ist; wir liefern Textbausteine und Fristen.
- Kann der Shop weiterlaufen? Ja, wenn Checkout-Härtung greift und verdächtige Bestellungen gefiltert werden. Wir zeigen, welche Regeln sofort wirken.