Black-Axe-Netzwerk: EU-Polizei zerschlägt Millionen-Betrug in Spanien

Ein Schlag gegen international organisierte Cyberkriminalität: Spanische Behörden haben mit europäischer Unterstützung eine Zelle des berüchtigten Black-Axe-Netzwerks ausgehoben. Die Operation führte zu 34 Festnahmen und deckte Betrugsschäden von fast sechs Millionen Euro auf. Für Unternehmen wird der Fall zum Lehrstück in Sachen Cybersicherheit und Compliance.

Operation Garona: Ein europäischer Schlag gegen Cyber-Betrüger

Die spanische Nationalpolizei gab am Freitag das Ende einer monatelangen Ermittlung bekannt. Unter dem Codenamen „Operation Garona“ durchsuchten Beamte Objekte in Sevilla, Madrid, Málaga und Barcelona. Sie zerschlugen damit das logistische und finanzielle Herzstück der in Spanien aktiven Black-Axe-Organisation.

Wie Europol am 9. Januar mitteilte, wurden insgesamt 34 Verdächtige festgenommen: 28 in Sevilla, drei in Madrid, zwei in Málaga und einer in Barcelona. Das Netzwerk war streng hierarchisch aufgebaut und unterhielt direkte Verbindungen zu den nigerianischen Ursprüngen der Gruppe. In Europa betrieb es eine ausgeklügelte Geldwäsche-Maschinerie.

Passend zum Thema Cybersicherheit: In Fällen wie der „Operation Garona“ nutzen Täter vor allem Phishing und Business‑Email‑Compromise, um Zahlungen umzuleiten. Ein kostenloses E‑Book „Cyber Security Awareness Trends“ zeigt, welche einfachen organisatorischen und technischen Maßnahmen Unternehmen sofort umsetzen können — von Verifikationsroutinen bis zu Mitarbeiterschulungen gegen CEO‑Fraud. So schützen Sie Mitarbeiter und Finanzen ohne teure Komplettlösungen. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

Bei den Razzien beschlagnahmten die Ermittler 66.403 Euro in Bargeld, zahlreiche elektronische Geräte und fünf Fahrzeuge. Zudem froren sie fast 120.000 Euro auf Bankkonten ein. Der Gesamtschaden durch diese eine Zelle wird auf über 5,9 Millionen Euro geschätzt; allein 3,2 Millionen Euro stehen im direkten Zusammenhang mit der aktuellen Ermittlung.

Die Aktion war ein Musterbeispiel europäischer Zusammenarbeit. Neben Europol, das vor Ort unterstützte, war auch die Bayerische Landeskriminalamt entscheidend beteiligt. Deutsche Beamte reisten nach Spanien, um bei den Durchsuchungen zu helfen.

Die Compliance-Falle: Gefälschte Rechnungen und „Man-in-the-Middle“-Angriffe

Für Compliance-Verantwortliche und IT-Sicherheitschefs zeigt die Vorgehensweise der Kriminellen eine anhaltende Gefahr auf: den „Man-in-the-Middle“-Angriff, oft als Business Email Compromise (BEC) bekannt.

Die ausgehobene Zelle hatte sich darauf spezialisiert, legitime Geschäftskommunikation abzufangen. Durch das Kompromittieren von Unternehmens-E-Mail-Konten – meist via Phishing – überwachten die Täter laufende Transaktionen. Im entscheidenden Moment der Zahlung griffen sie ein: Sie gaben sich als Lieferant oder Geschäftsführer aus und lieferten gefälschte Bankverbindungen.

Diese Methode nutzt das schwächste Glied in der Sicherungskette: den menschlichen Faktor. Technische Schutzmaßnahmen wie Firewalls werden umgangen, indem Social Engineering und mangelnde Überprüfungsroutinen ausgenutzt werden. Die spanischen Behörden betonen, dass die Gruppe so große Summen umleitete, ohne dass die betrogenen Unternehmen – oft mit etablierten Compliance-Abteilungen – die Täuschung rechtzeitig bemerkten.

Branchenkenner sehen hier eine Lücke in den Verifikationsprozessen. Viele Firmen verlassen sich noch immer auf E-Mails, um Zahlungsanweisungen zu ändern – eine Praxis, vor der Experten seit langem warnen. Der Fall unterstreicht die Notwendigkeit einer „Out-of-Band“-Verifikation: Die Bestätigung von Kontodaten muss über einen zweiten, unabhängigen Kanal wie einen Telefonanruf erfolgen.

Geldkuriere und die Lücken der Geldwäschebekämpfung

Ein zweiter Schwerpunkt der Black-Axe-Operation war die Anwerbung und Ausbeutung von „Geldkurieren“ – eine Praxis, die die Geldwäschebekämpfung (AML) der Banken vor große Herausforderungen stellt.

Laut Europol rekrutierte das Netzwerk gezielt Menschen in wirtschaftlich schwachen Regionen Spaniens mit hoher Arbeitslosigkeit. Diese ließen die ergaunerten Gelder auf ihre privaten Konten überweisen, leiteten sie weiter oder hoben sie bar ab – gegen eine Provision.

Dieses Vorgehen erzeugt ein undurchsichtiges Geflecht aus Transaktionen, das die Herkunft der illegalen Gelder verschleiert. Für Finanzinstitute ist es schwierig, zwischen legitimen Kunden und Geldkurieren zu unterscheiden. Dass viele Rekrutierte spanische Staatsbürger mit gültigen Ausweisen und Bankhistorie waren, erschwerte die Erkennung durch automatische AML-Systeme zusätzlich.

Die Zerschlagung des Netzwerks wirft Fragen zur Wirksamkeit aktueller „Know-Your-Customer“-Systeme auf. Kriminelle Netzwerke passen sich an, indem sie Beträge aufteilen oder scheinbar unverdächtige Personen als Kuriere einsetzen.

Hintergrund: Der Aufstieg westafrikanischer Cyberkriminalität

Die Black-Axe-Organisation entstand Ende der 1970er Jahre als Studentenverbindung in Nigeria und hat sich zu einem global agierenden Syndikat entwickelt. Sicherheitsforscher beobachten seit einem Jahrzehnt den Wandel von lokaler Erpressung zu weltweitem, cybergestütztem Finanzbetrug.

Die Operation in Spanien spiegelt einen Trend wider: Traditionelle kriminelle Vereinigungen steigen zunehmend in Cyberbetrug ein, weil das Risiko-Nutzen-Verhältnis attraktiv ist. Im Gegensatz zum Drogenhandel mit seinen logistischen Risiken lässt sich BEC-Betrug remote und mit geringem Aufwand durchführen.

Die Beteiligung bayerischer Ermittler deutet darauf hin, dass die Opfer dieses Netzwerks in ganz Europa zu finden sind. Dies unterstreicht die komplexe Rechtslage im Cyberraum. Ein Unternehmen in München könnte durch eine E-Mail aus Lagos betrogen werden, während das Geld über ein Kurierekonto in Sevilla fließt.

Der Schlag der Behörden fällt in eine Zeit, in der EU-Regulatoren die Vorschriften zur digitalen Widerstandsfähigkeit verschärfen. Der Erfolg der Operation zeigt: Verordnungen setzen den Standard, doch aktive Strafverfolgung und internationaler Informationsaustausch bleiben die wichtigsten Werkzeuge.

Was kommt jetzt?

Nach den Ankündigungen vom 9. Januar laufen nun die Gerichtsverfahren gegen die 34 Festgenommenen an. Die mutmaßlichen Anführer der Zelle in Sevilla, Málaga und Barcelona sitzen in Untersuchungshaft.

Für die Wirtschaft dürfte der Fall zu einem verstärkten Fokus auf Risikomanagement bei Lieferanten und interne Zahlungskontrollen führen. Cybersicherheitsfirmen erwarten, dass kriminelle Netzwerke auf automatisiertere Geldwäschemethoden umsteigen könnten, etwa über Kryptowährungen.

Die erfolgreiche Zusammenarbeit zwischen spanischen und deutschen Behörden setzt zudem einen Präzedenzfall für künftige EU-weite Operationen. Es ist mit mehr gemeinsamen Aktionstagen unter Europol-Führung zu rechnen. Unternehmen sollten sich auf strengere Prüfungen bei internationalen Überweisungen einstellen, da Banken ihre AML-Algorithmen anpassen werden.

PS: Viele Betrugsfälle beginnen mit einer einzigen Phishing‑Mail. Das kostenlose Anti‑Phishing‑Paket erklärt in 4 Schritten, wie Sie E‑Mail‑Angriffe und CEO‑Fraud erkennen, Mitarbeitende trainieren und technische Abwehrmaßnahmen einführen. Ideal für Compliance‑ und IT‑Verantwortliche, die sofort wirksame Kontrollen einbauen wollen. Anti‑Phishing‑Paket jetzt kostenlos anfordern