Telegram für Cyberkriminelle zunehmend unattraktiv

04.12.2025 von Lars Sobiraj Lesezeit: 4 Min.

Telegram greift vermehrt durch. Die längere Lebensdauer von Untergrund-Kanälen in diesem Netzwerk trifft auf viel höhere Sperrquoten.

Eine Analyse von Kaspersky Digital Footprint Intelligence zu mehr als 800 zwischen 2021 und 2024 gesperrten Kanälen auf Telegram, die Cyberkriminelle genutzt haben, zeigt, dass illegale Aktivitäten auf der Plattform für Cyberkriminelle immer schwieriger werden. Zwar hat sich der Anteil der Kanäle, die länger als neun Monate aktiv bleiben erhöht. 2023/2024 hat sich die Anzahl im Vergleich zu 2021/2022 sogar mehr als verdreifacht. Gleichzeitig liegen die seit Oktober 2024 verzeichneten monatlichen Sperrzahlen jedoch auf dem Niveau früherer Höchststände aus dem Jahr 2023 und steigen im Jahr 2025 rasant weiter.

Entsprechend verlagern Cyberkriminelle ihre Aktivitäten hin zu anderen Plattformen, da Telegram ihnen nicht länger die infrastrukturellen Vorteile bietet wie in der Vergangenheit. Dieses soziale Netzwerk ist aufgrund der vermehrten Moderation schlichtweg kein sicherer Hafen mehr für sie.

Telegramr war einst ideal für Cyberkriminelle

Moderne Messenger wie WhatsApp, Telegram oder Signal nutzen reguläre Anwender gleichermaßen wie Cyberkriminelle. Dabei bietet gerade Telegram mit seiner Bot-Infrastruktur und anderen eingebauten Funktionen eine weitgehend automatisierte Schattenökonomie, die Cyberkriminelle gerne einsetzen. So kann beispielsweise ein einzelner Bot Kundenanfragen und Kryptowährungszahlungen automatisiert abwickeln und dabei gestohlene Daten oder Malware-Dienste an viele Käufer pro Tag ausliefern.

In Kombination mit dem unbegrenzten Dateispeicher und hohen Übertragungsraten für große Leaks ist Telegram vor allem für standardisierte Massenangebote attraktiv. Komplexere, vertrauensabhängige Geschäfte finden laut Kaspersky aber weiterhin überwiegend in reputationsbasierten Foren im Darknet statt. Allerdings zeigt die aktuelle Analyse, dass dieses Modell der Telegram-Nutzung zunehmend unter Druck gerät und viele Untergrund-Akteure die notwendige Planungssicherheit nicht mehr bieten. Einmal eingerichtet geschieht dies komplett automatisch ohne zusätzlichen Aufwand des Täters.

Zwischenzeitlich haben bereits mehrere etablierte Untergrund-Communitys damit begonnen, ihre Aktivitäten zu verlagern. Dazu gehören unter anderem die Gruppe BFRepo mit nahezu 9.000 Mitgliedern. Dazu kommt die Malware-as-a-Service-Operation „Angel Drainer”. Allerdings haben die Moderatoren von Telegram ihre Aktivitäten immer wieder gestört. Weiterhin klagen Cyberkriminelle laut Kasperky beim Thema Telegram über:

das Fehlen einer durchgängig aktivierten Ende-zu-Ende-Verschlüsselung für Standardchats,
die zentralisierte Infrastruktur. Sie bietet ihnen keine eigene Kontrolle über die Server ihrer Kommunikation,
den geschlossenen serverseitigen Code, den sie nicht prüfen können. Open Source sind nur die Messenger für Android und andere Betriebssysteme.

Cyberkriminelle verkaufen gerne ihre Waren bei Telegram.

Moderatoren greifen stärker durch

Das sind allerdings nicht die einzigen Gründe, warum sich Cyberkriminelle zunehmend von der Nutzung von Telegram verabschieden. Hauptgrund dürfte das Vorgehen von Telegram gegen illegale Aktivitäten sein. Denn laut der aktuellen Kaspersky-Analyse ist die durchschnittliche Lebensdauer von Untergrund-Kanälen zwar gestiegen. Der Anteil der Kanäle, die länger als neun Monate aktiv bleiben, hat sich in den Jahren 2023 und 2024 im Vergleich zu 2021 und 2022 mehr als verdreifacht. Gleichzeitig hat Telegram seit Oktober 2024 seine Aktivitäten zur Blockierung solcher Kanäle deutlich verstärkt.

Einer der Gründe dürfte das Verfahren der französischen Behörden gegen Pawel Durow und seine Verhaftung im August sein. Die monatlichen Sperrzahlen entsprechen heute den früheren Höchstständen aus dem Jahr 2023 oder übertreffen diese sogar. Die Entwicklung hat sich im Jahr 2025 fortgesetzt. In der Kombination erschwert dies schädliche Aktivitäten, da sie sich über längere Zeiträume hinweg schlechter aufrechterhalten lassen.

Die Vorzüge von Telegram haben für Kriminelle abgenommen

„Für viele Cyberkriminelle ist Telegram ein bequemes Tool für diverse schädliche Machenschaften, aber das Verhältnis von Risiko und Ertrag verschiebt sich“, erklärt Vladislav Belousov, Digital-Footprint-Analyst bei Kaspersky. „Kanäle bleiben heute zwar oft länger online als noch vor einigen Jahren, doch die deutlich aggressivere Blockierung macht es schwer, cyberkriminelle Aktivitäten zu planen. Wenn ein Storefront-Kanal oder ein schädlicher Service ohne Vorwarnung verschwindet und kurz nach seinem Wiederauftauchen erneut blockiert wird, lässt sich darauf nur schwer ein verlässliches Geschäft aufbauen. Die Tendenz, dass Untergrund-Communitys nach Alternativen suchen, ist eine direkte Reaktion auf diesen Druck.“

AVCheck zerschlagen: Behörden schlagen zu, Szene rüstet nach

Nach dem Bust von AVCheck steht die Szene Kopf. Lies jetzt, warum Counter-AV-Dienste nicht totzukriegen sind – und wie es weitergeht.

Bulletproof-Hosting-Anbieter hochgenommen (Symbolbild)

Bulletproof-Hosting-Anbieter hochgenommen: ZServers/XHost zerschlagen

Die niederländische Polizei hat den Bulletproof-Hosting-Anbieter ZServers/XHost"zerschlagen. 127 Server wurden beschlagnahmt.

Symbolbild: Telegram im Visier – Plattform sperrt milliardenschwere Schwarzmärkte für illegale Geschäfte, Geldwäsche und Datendiebstahl.

Telegram räumt auf: Zwei Mega-Märkte, 3.400 Accounts, 35 Milliarden Dollar weg

Telegram räumt auf – aber zu welchem Preis? Mit einem Schlag wurden zwei Mega-Schwarzmarkt-Netzwerke im Wert von 35 Mrd. USD gesperrt.

Im Visier von Europol: Operation Endgame führt zu weiteren Verhaftungen

Europol nimmt Cyberkriminelle ins Visier - weitere Festnahmen und Durchsuchungen im Rahmen der "Operation Endgame".

blacknet.is & Co. – Jeder will jeden abzocken!

Wer glaubt, auf blacknet.is oder anderswo sicher zu sein, der irrt. In Betrugsforen geht es am Ende des Tages immer nur ums liebe Geld !!!

Symbolbild für den digitalen Zugriff auf die Infrastruktur der BlackLock-Ransomware-Gruppe.

BlackLock im Visier: Leak-Schwachstelle offenbart Interna der Ransomware-Gruppe

BlackLock Ransomware-Gruppe enttarnt: Sicherheitsforscher decken über LFI-Schwachstelle interne Strukturen und Tools der Cyberbande auf.

Ein Computerbildschirm mit einer geöffneten FMovies-Seite, im Hintergrund erscheint eine Malware-Warnung – ein Symbolbild, das die Gefahr durch Infostealer bei illegalen Streaming-Seiten veranschaulicht.

Piraterie und Malware: Wie FMovies zur Infostealer-Schleuder wurde

Auf einen Film geklickt und dein Passwort ist weg? Piraterie und Malware sind heute enger miteinander verbunden als je zuvor.

Moderne Gefahr durch künstliche Intelligenz: Ein Rentner wird Opfer eines KI-gestützten Bankbetrugs

Bankbetrug durch KI: Rentner im Visier digitaler Betrüger

Ein Rentner wird zum Opfer von KI-gestütztem Bankbetrug. Wie die Täter vorgehen und was man tun kann, um sich zu schützen, erfahrt ihr hier.

So sah die Bedienoberfläche von VerifTools aus. Gefälschte Ausweise gab es gegen Bezahlung!

Polizei nimmt Dienst für gefälschte Ausweise vom Netz

Polizei und FBI legten am gestrigen Mittwoch den Online-Dienst für gefälschte Ausweise still, VerifTools hatte Umsätze im Millionenbereich.

Operation Cumberland: Europol geht gegen KI-generierten Kindesmissbrauch vor

KI-generierter Kindesmissbrauch: Operation „Cumberland“ führt zu 25 Festnahmen

KI-generierter Kindesmissbrauch wird zu einer globalen Bedrohung. Operation Cumberland" führte zu 25 Verhaftungen in 19 Ländern.

Telegram teilt mehr Nutzerdaten mit deutschen Behörden

Immerhin 2.237 Mal übermittelte Telegram im Jahr 2024 Nutzerdaten an deutsche Ermittler. Das sind nur geringfügig weniger als an US-Behörden.

Aufgeflogen dank Telegram? Hausdurchsuchung beim Entwickler von Cristal Azul

Aufgeflogen dank Telegram? IPTV-Razzia erschüttert Streaming-Szene

Beliebtes Kodi-Plugin Cristal Azul abgeschaltet: Telegram-Daten helfen im Kampf gegen IPTV-Piraterie und illegale Pay-TV-Inhalte.

Flashpoint GTIR 2025: Bedrohungslage Cybercrime

Flashpoint GTIR 2025 enthüllt: 33 % mehr gestohlene Logins – Infostealer im Höhenflug

Flashpoint GTIR 2025: 3,2 Mrd. gestohlene Zugangsdaten, Infostealer auf dem Vormarsch, Ransomware boomt - die wichtigsten Erkenntnisse.

BreachForums-Bust: Vier Festnahmen, ein Auslieferungsantrag

Gut geplant: FBI und Europol haben die mutmaßlichen Betreiber von BreachForums verhaftet. Die USA hat einen Auslieferungsantrag gestellt.

Rezension der Dokumentation: Das dunkle Imperium von Pawel Durow

Vorgestern veröffentlichte Arte die Dokumentation "Das dunkle Imperium von Pawel Durow". Wir haben uns den Film genauer angesehen.

Kostenloser Datei-Konverter als Einfallstor für Cyberangriffe

Datei-Konverter bergen Malware: FBI warnt vor wachsender Bedrohung

Das FBI warnt vor einer zunehmenden Gefahr durch kostenlos bereitgestellte Datei-Konverter, die Malware verbreiten.

Symbolbild zum Thema Krypto-Betrug: Eine Lupe mit der Aufschrift „Crypto Investment Fraud“ ist zu sehen, daneben liegen Bitcoin-Münzen. Im Hintergrund ist ein fallender Finanzchart zu erkennen – ein Hinweis auf betrügerische Krypto-Investitionen und internationale Ermittlungen.

Krypto-Betrugsring zerschlagen: Europol nimmt 42 Personen fest

Europol hat einen Krypto-Betrugsring ausgehoben. Der Schaden beläuft sich auf 540 Millionen Euro, es gab 42 Festnahmen in sechs Ländern.

Neue Ransomware-Masche: Affiliates werden abgezockt

Neue Ransomware-Masche: Cybergangster geben sich als LockBit 4.0, Babuk oder Cl0p aus

Die Erpresser-Szene ist derzeit in Verkleidungslaune: Eine neue Ransomware-Masche setzt auf Affiliate-Betrug.