Neben den Festnahmen beschlagnahmten die Behörden 53 Server sowie Dutzende für kriminelle Zwecke genutzte Mobiltelefone. Neal Jetton, Direktor für Cyberkriminalität bei Interpol, betont, die Operation habe kriminelle Organisationen gestört und schädliche Infrastruktur lokalisiert und abgeschaltet.
„Wenn wir zum ersten Mal eine Cybercrime-Operation in einer bestimmten Region unterstützen, ist das eine Gelegenheit, das Interesse der teilnehmenden Mitgliedsländer einzuschätzen", sagt Jetton. Man sei sehr erfreut gewesen, dass 13 Länder an einem im vergangenen Jahr in Doha (Katar) abgehaltenen Koordinierungstreffen teilgenommen und sich anschließend an der Operation beteiligt hätten.
Die Aktion fällt in eine Zeit, in der der Nahe Osten verstärkt ins Visier von Cyberkriminalität und Cyberspionage gerät. Die rasche Digitalisierung der Golfstaaten, erhebliche Finanzströme durch die Region und anhaltende Konflikte ziehen Kriminelle, Hacktivisten und staatlich gesteuerte Akteure an. Seit Beginn des Konflikts zwischen den USA, Israel und Iran ist die Zahl der Cyberangriffe auf einzelne Länder stark gestiegen: Nach Angaben des Cyber Security Council der VAE registrierte das Land bis zu 600.000 Sondierungs- oder Angriffsversuche pro Tag, zuvor waren es höchstens 200.000. Ransomware und Finanzbetrug sind laut Barracuda Networks ebenfalls zu erheblichen Problemen geworden, im ersten Quartal 2026 nahmen demnach Angriffe mit massenhaftem Ausprobieren von Zugangsdaten zu.
An der Operation Ramz beteiligten sich neben den 13 Staaten auch die privaten Partner Group-IB, Kaspersky, die Shadowserver Foundation, Team Cymru und TrendAI, deren Bedrohungsdaten halfen, Quellen illegaler Aktivitäten sowie Server und weitere Infrastruktur der Täter zu lokalisieren.
Jacomo Piccolini, Vice President of Global Data Partners bei Team Cymru, wertet die Zusammenführung der verschiedenen Gruppen als bedeutenden Erfolg. „Operation Ramz zeigt, dass operative Zusammenarbeit selbst in einer geopolitisch komplexen Region möglich ist, wenn die Mission klar ist: Menschen schützen, Opfer identifizieren und kriminelle Infrastruktur stören", sagt er. Cyberkriminalität halte sich nicht an Grenzen oder politische Linien, gerade deshalb sei neutrale, nachrichtendienstlich gestützte Kooperation wichtig.
Die Zahlen fallen geringer aus als bei anderen Einsätzen in der Subsahara-Region — etwa der Operation Red Card 2.0 mit 653 Festnahmen und 4,3 Millionen US-Dollar an sichergestellten Geldern oder der Operation Sentinel, die in 19 Ländern Syndikate ausschaltete und 3 Millionen US-Dollar zurückholte. Dennoch sei es wichtig, Behörden Kanäle für den Austausch von Bedrohungsdaten zu eröffnen und sie in Ermittlungen zu schulen, sagt Anna Yurtaeva, Leiterin der Ermittlungen zu High-Tech-Kriminalität bei Group-IB.
Jenseits reiner Festnahmezahlen habe die Operation eine wachsende Koordination beim Austausch regionaler Bedrohungsdaten, bei der Kartierung von Infrastruktur, der Korrelation von Kompromittierungsindikatoren (IoC) und der abgestimmten Abschaltung schädlicher Infrastruktur gezeigt. Vor allem lege Operation Ramz ein frühes Fundament für einen langfristigen regionalen Rahmen für Cyber-Einsätze in der MENA-Region.
Seit etwa einem Jahrzehnt agierten Cyberkriminelle in der Region recht dreist und nutzten dieselbe Infrastruktur, dieselben Phishing-Werkzeuge und Vorgehensmuster mehrfach, so Yurtaeva. Dieses Maß an Wiederverwendung deute darauf hin, dass Teile des kriminellen Ökosystems Cyberbetrug noch immer als vergleichsweise risikoarm einstuften. Zugleich holten die Regierungen der Region auf: Ermittlungen, Festnahmen und Infrastruktur-Abschaltungen seien deutlich sichtbarer als noch vor wenigen Jahren.
Die kriminellen Schemata seien „selten auf eine einzige Gerichtsbarkeit beschränkt", ergänzt Piccolini; ihre Zerschlagung erfordere grenzüberschreitende Zusammenarbeit. „Die Störung von Cyberkriminalität ist kumulativ — jeder beschlagnahmte Server, jedes identifizierte Opfer und jeder erfasste Verdächtige macht das Ökosystem weniger anonym und weniger widerstandsfähig." Entscheidend sei nicht die Zahl der Festnahmen, sondern das Modell der Zusammenarbeit.
