von Steven Masada, Assistant General Counsel, Microsoft Digital Crimes Unit
Microsoft hat heute koordinierte rechtliche Schritte in den USA und – erstmals – auch im Vereinigten Königreich angekündigt, um RedVDS zu stoppen. RedVDS ist ein weltweiter Abo-Dienst für Cyberkriminelle, der es ihnen möglich machte Betrugsschäden in Millionenhöhe zu verursachen. Die Maßnahmen sind Teil einer großangelegten gemeinsamen Operation internationaler Strafverfolgungsbehörden, darunter deutsche Ämter und Europol. Dabei konnten Microsoft und seine Partner*innen zentrale Teile der schädlichen Infrastruktur sicherstellen und den RedVDS-Marktplatz vom Netz nehmen – ein wichtiger Schritt, um die Netzwerke hinter KI-gestütztem Betrug zu zerschlagen, die zum Beispiel den Immobilienmarkt ins Visier nehmen.
Schon für nur 24 US-Dollar im Monat verschaffte RedVDS Kriminellen Zugriff auf virtuelle Wegwerf-Rechner – und machte Betrug damit günstig, skalierbar und schwer zurückzuverfolgen. Solche Dienste sind längst zu einem zentralen Treiber des aktuellen Booms cybergestützter Kriminalität geworden: Sie ermöglichen Angriffe, die weltweit Menschen, Unternehmen und ganze Gemeinschaften treffen. Seit März 2025 hat RedVDS-gestützte Aktivität allein in den USA zu gemeldeten Betrugsschäden von rund 40 Millionen US-Dollar geführt. Zu den Betroffenen zählt H2 Pharma, ein Pharmaunternehmen aus Alabama, das mehr als 7,3 Millionen US-Dollar verlor – Mittel, die eigentlich für die Versorgung mit lebensrettenden Krebsbehandlungen, Medikamenten für psychische Erkrankungen und Allergiepräparaten für Kinder vorgesehen waren. In einem weiteren Fall wurde die Gatehouse Dock Condominium Association in Florida um nahezu 500.000 US-Dollar gebracht – Gelder, die Bewohner*innen und Eigentümer*innen für dringend notwendige Reparaturen eingezahlt hatten. Beide Organisationen treten der Zivilklage nun gemeinsam mit Microsoft als Mitklagende bei.
Diese Fälle sind jedoch nur die Spitze des Eisbergs. Betrug und Scams werden häufig gar nicht gemeldet, die Opfer sind weltweit verstreut – und Cyberkriminelle wechseln routinemäßig zwischen Plattformen und Dienstleistern. Für Betroffene reichen die Folgen weit über den finanziellen Schaden hinaus: Betrug belastet das emotionale Wohlbefinden, kann Gesundheit und Beziehungen beeinträchtigen und die langfristige Stabilität ins Wanken bringen. Entsprechend liegt der tatsächliche Schaden durch RedVDS-gestützte Aktivitäten deutlich über den rund 40 Millionen US-Dollar, die Microsoft direkt beobachten kann.
Was RedVDS ist – und warum es relevant ist
RedVDS ist ein Online-Abo-Dienst und Teil des wachsenden „Cybercrime-as-a-Service“-Ökosystems: einer Schattenwirtschaft, in der Cyberkriminelle Services und Werkzeuge kaufen und verkaufen, um Angriffe in großem Maßstab durchzuführen. Der Dienst verschafft Zugang zu günstigen, leistungsfähigen und „wegwerfbaren“ virtuellen Computern, auf denen nicht lizenzierte Software – einschließlich Windows – läuft. So können Täter schnell, anonym und grenzüberschreitend agieren.
Cyberkriminelle setzen RedVDS für unterschiedlichste Zwecke ein – etwa für den massenhaften Versand von Phishing-E-Mails, das Hosten von Scam-Infrastruktur und die Unterstützung von Betrugsmaschen. Häufig kommt der Dienst in Kombination mit generativen KI-Tools zum Einsatz, die dabei helfen, hochwertige Ziele schneller zu identifizieren und realistischere, multimediale E-Mail-Konversationen zu erstellen, die legitime Kommunikation imitieren. In Hunderten Fällen beobachtete Microsoft außerdem den Einsatz von KI für Face-Swapping, Videomanipulation und das Klonen von Stimmen, um Personen zu imitieren und Opfer zu täuschen.
Allein innerhalb eines Monats verschickten mehr als 2.600 verschiedene virtuelle Maschinen über RedVDS durchschnittlich eine Million Phishing-Nachrichten pro Tag an Microsoft-Kunden. Die meisten wurden im Rahmen der rund 600 Millionen Cyberangriffe, die Microsoft täglich blockiert, abgefangen oder markiert. Doch die schiere Menge erhöht die Wahrscheinlichkeit, dass ein kleiner Anteil die Posteingänge der Zielpersonen erreicht. Seit September 2025 kam es durch RedVDS-gestützte Angriffe weltweit in über 130.000 Organisationen zu Kompromittierungen oder betrügerischem Zugriff auf mehr als 191.000 Microsoft-E-Mail-Konten. Diese Zahlen stehen jedoch nur für einen Teil der betroffenen Konten über alle Technologieanbieter hinweg – und zeigen, wie schnell diese Infrastruktur die Dimension von Cyberangriffen vergrößert.
Wie RedVDS Betrug ermöglicht
Eine der gängigsten Methoden, mit denen RedVDS-basierte Angriffe zu finanziellen Verlusten führen, ist der „Zahlungsumleitungsbetrug“, auf Englisch Business Email Compromise (BEC). Bei diesen Maschen verschaffen sich Angreifer unautorisierten Zugriff auf E-Mail-Konten, überwachen laufende Unterhaltungen unbemerkt und warten auf eine passende Gelegenheit – etwa eine bevorstehende Zahlung oder Überweisung. In diesem Moment geben sie sich als vertraute Kontaktperson aus und lenken Geldströme um; nicht selten wird das Geld innerhalb von Sekunden weitergeleitet. H2 Pharma und die Gatehouse Dock Condominium Association waren beide Ziel ausgefeilter BEC-Betrügereien, die gezielt auf Vertrauen und Timing setzten.
RedVDS wurde außerdem intensiv genutzt, um Betrug durch die Umleitung von Immobilienzahlungen zu ermöglichen – eine der am schnellsten wachsenden Formen cybergestützten Betrugs. In solchen Fällen übernehmen Angreifer Konten von Immobilienmaklern, Escrow-Agenten oder Title Companies und senden strategisch platzierte E-Mails mit betrügerischen Zahlungsanweisungen, um Abschlusszahlungen, Treuhandbeträge und andere größere Transaktionen umzuleiten. Für Familien und Erstkäufer*innen können die Folgen dramatisch sein: Eine einzige fehlgeleitete Zahlung kann Ersparnisse eines ganzen Lebens zunichtemachen oder den Immobilienkauf vollständig vereiteln. Microsoft beobachtete RedVDS-gestützte Aktivitäten, die allein im Immobiliensektor mehr als 9.000 Kund*innen betreffen – mit besonders starken Auswirkungen in Ländern wie Kanada und Australien.
Und damit nicht genug: RedVDS-gestützte Betrugsmaschen haben auch Bau, Fertigung, Gesundheitswesen, Logistik, Bildung, Rechtsdienstleistungen und viele weitere Sektoren getroffen – und beeinträchtigen dort alles von Produktionsprozessen bis hin zur Versorgung von Patientinnen und Patienten.
Eine globale Antwort auf eine globale Bedrohung
Cyberkriminalität wird heute durch gemeinsame Infrastrukturen ermöglicht – einzelne Angreifende zu unterbrechen, genügt daher nicht. Mit der koordinierten Aktion hat Microsoft den Betrieb von RedVDS gestört, unter anderem durch die Beschlagnahme von zwei Domains, über die Marktplatz und Kundenportal gehostet wurden. Gleichzeitig wurden Grundlagen geschaffen, um die Personen hinter RedVDS zu identifizieren.
Die rechtlichen Schritte werden durch eine enge Zusammenarbeit mit Strafverfolgungsbehörden weltweit gestützt und verstärken die Störung der böswilligen Operation. Die Staatsanwaltschaft Frankfurt am Main – mit ihrer Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – sowie das Landeskriminalamt Brandenburg haben einen für RedVDS wichtigen Server in Deutschland beschlagnahmt und damit den zentralen Marktplatz effektiv offline genommen. Zeitgleich arbeitet Microsoft im Rahmen der fortlaufenden Maßnahmen eng mit internationalen Strafverfolgern zusammen, darunter dem Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (EC3) von Europol, um auch das breitere Netzwerk aus Servern und Zahlungsstrukturen zu unterbinden, das RedVDS-Kunden bislang gestützt hat.
Was man tun kann
Microsoft ist H2 Pharma und der Gatehouse Dock Condominium Association sehr dankbar, dass sie sich gemeldet und ihre Erfahrungen geteilt haben. Ihre Zusammenarbeit – zusammen mit Microsofts Bedrohungsanalysen – hat diese Maßnahme erst möglich gemacht und wird dazu beitragen, künftige Opfer besser zu schützen. Opfer eines Betrugs zu werden, darf niemals stigmatisiert werden. Hinter solchen Angriffen stehen organisierte, professionell agierende kriminelle Gruppen, die legitime Kommunikation zwischen vertrauenswürdigen Parteien abfangen und gezielt manipulieren.
Schon einfache Schritte können das Risiko deutlich senken: Tempo rausnehmen und vermeintliche Dringlichkeit hinterfragen; Ansprechpartner über bereits bekannte Telefonnummern zurückrufen; Zahlungsaufforderungen über zusätzliche Kontaktwege verifizieren; Multi-Faktor-Authentifizierung aktivieren; auf kleinste Veränderungen in E-Mail-Adressen achten; Software konsequent aktuell halten – und verdächtige Aktivitäten den Strafverfolgungsbehörden melden. Jede Meldung hilft, Netzwerke wie RedVDS zu zerschlagen und bringt uns dem Ziel näher, Cyberkriminalität auch im großen Maßstab einzudämmen.
Fortsetzung eines gemeinsamen Vorgehens gegen Cyberkriminalität
Die Maßnahme gegen RedVDS knüpft an Microsofts laufende Anstrengungen an, Betrugs- und Scam-Infrastrukturen mit juristischen und technischen Mitteln zu stören – in enger Zusammenarbeit mit Strafverfolgungsbehörden und im Rahmen globaler Initiativen wie der National Cyber-Forensics and Training Alliance (NCFTA) und der Global Anti-Scam Alliance (GASA). Es ist bereits die 35. zivilrechtliche Klage der Microsoft Digital Crimes Unit gegen Cybercrime-Infrastruktur. Das unterstreicht die Strategie, nicht nur einzelne Akteure auszuschalten, sondern die Dienste zu zerschlagen, auf die Kriminelle angewiesen sind, um Angriffe zu betreiben und zu skalieren.
Da Angebote wie RedVDS weiter entstehen, will Microsoft gemeinsam mit Partner*innen über Branchen- und Ländergrenzen hinweg daran arbeiten, die Infrastruktur hinter cybergestütztem Betrug zu identifizieren und zu stören – damit Kriminelle es schwerer haben, Profit zu machen, und Menschen wie Organisationen sich online besser schützen können.
Dieser Text ist eine Übersetzung. Den englischen Originalbeitrag finden Sie hier.