Cybercrime-as-a-Service – So tickt die Untergrund-Ökonomie

Von |13.02.2023|
Cybercrime As A Service - Titelbild

Noch nie war es so einfach, Cyber-Straftaten zu begehen. Grund dafür ist eine florierende Untergrund-Ökonomie, die sich zu einem hochprofessionellen Dienstleistungssektor entwickelt hat. Wir werfen für euch einen Blick auf die Organisationsstrukturen der Cyberkriminellen und Auswirkungen auf die Bedrohungslage.

Die Anzahl der Cyberattacken hat in den vergangenen Jahren drastisch zugenommen. Jeden Tag entstehen über 300.000 neue Schadprogramm-Varianten. Laut der Bitkom-Studie „Wirtschaftsschutz 2022“ übersteigt der verursachte Schaden durch Datendiebstahl, Industriespionage und Sabotage allein bei deutschen Unternehmen 202 Milliarden Euro pro Jahr.

“Rund 45 Prozent aller Unternehmen sehen ihre Existenz durch Cyberangriffe bedroht.“

Wie konnte es passieren, dass Cyberkriminalität ein derart gigantisches Ausmaß erreicht hat? Die Gründe sind vielfältig. So sorgt die fortschreitende Digitalisierung dafür, dass sich auch die Angriffsfläche sukzessive vergrößert. Laut Sicherheitsbehörden ist aber vor allem ein eher banaler Grund für das Erstarken der cyberkriminellen Szene verantwortlich: Cyberkriminelle sind heute viel besser organisiert. Sie agieren in einem weit verzweigten Dienstleistungssektor.

Durchorganisierte Kriminalität von der „Akquise“ bis zum „Support“

Die Hauptgefahr geht entsprechend längst nicht mehr von Einzeltätern in Kapuzenpullis aus. Im Zentrum des Cyber-Untergrunds stehen professionell organisierte Banden wie Lazarus, UNC2452, Carbanak, Sandworm und die Equation Group. Sie sind teils über Jahrzehnte gewachsen und agieren nicht nur auf eigene Faust, sondern manchmal auch in staatlichem Auftrag.

Ihre Organisationsformen sind angelehnt an Prinzipien, die sich in der Wirtschaft bewährt haben. Sie setzen auf Arbeitsteilung. Sie nutzen moderne Geschäftsmodelle der Service-Ökonomie. Und sie greifen auf gut funktionierende Vertriebswege und Service-Strukturen zurück, auf die jeder Online-Händler eifersüchtig werden könnte.

Im Grunde genommen ist die Cybercrime-Industrie heute ähnlich strukturiert wie jeder andere Wirtschaftszweig. Es gibt Bereiche wie Entwicklung, Produktmanagement, Vertrieb und technischen Support mit kontinuierlich ausdifferenzierten Rollen und Aufgabenbereichen.

Malware-as-a-Service und Partnerprogramme

Wie gut die Banden organisiert sind, können Sicherheitsforscher durch Leaks nachvollziehen. So hat zum Beispiel im Jahr 2021 ein Mitarbeiter der Erpressergruppe Conti – wohl aus Ärger über sein geringes „Gehalt“ – interne Informationen veröffentlicht. Sie bieten tiefe Einblicke in das Geschäftsmodell und die Vorgehensweise der Kriminellen.

Wie einige andere Banden auch hat sich Conti auf Ransomware-as-a-Service (RaaS) spezialisiert. Das Kernteam entwickelt die Schadsoftware und stellt sie Partnern zur Verfügung – inklusive Trainingsmaterial und Support. Letztere dringen damit in Netzwerke ein, verschlüsseln Systeme und fordern Lösegelder für die Entschlüsselung.

Das Kernteam, das die Software bereitstellt, bekommt 20 bis 30 Prozent der erpressten Summen. Die Partner behalten den Rest. Für die Entwickler der Schadsoftware sinkt damit das Risiko, belangt zu werden. Die Partner benötigen hingegen keine besondere technische Expertise mehr. Die Hürden für den Einstieg in die Cyberkriminalität sind dadurch äußerst gering.

Hackerangriff „To-go“ – Die Marktplätze der Untergrund-Ökonomie

Die Konsequenz dieser organisierten Cyberkriminalität ist ein immer größer werdendes Angebot an Dienstleistungen und Produkten für verbrecherische Zwecke. Neben Partnerprogrammen der großen Banden gibt es im Darknet spezielle Marktplätze für Hacker. Du kannst sie dir wie gewöhnliche Online-Shops vorstellen. Man packt die gewünschten Dienste einfach in den Warenkorb. Bezahlt wird üblicherweise mit einer Kryptowährung wie Bitcoin.

Die Marktplätze bieten alles, was für Cyber-Straftaten benötigt wird. Dort gibt es digitale Identitäten, Daten von Kreditkarten und Account-Zugänge. Es gibt Anonymisierungs- und Hosting-Dienste für die Tarnung. Es gibt verschiedene Arten von Malware. Und es gibt Komplettangebote. So lassen sich beispielsweise auch Distributed Denial of Service (DDoS) Attacken buchen, mit denen bestimmte Systeme durch eine gezielte Überlastung lahmgelegt werden.

Kriminelles Teamwork mit zunehmend ausdifferenzierten Aufgaben

Innerhalb der vergangenen Jahre ist die Cybercrime-Industrie kontinuierlich gewachsen. Als Folge davon hat sich eine Aufgabenteilung etabliert, die sich u.a. in folgenden Rollen widerspiegelt:

  • Initial Access Broker (IAB) identifizieren und verkaufen kompromittierte Zugänge zu Unternehmensnetzwerken. Mit Hilfe dieser Zugänge können Cyberkriminelle beispielsweise sensible Unternehmensdaten stehlen oder eine Ransomware-Attacke starten.
  • Malware-Entwickler programmieren Skripte und Schadsoftware, die unbekannte (Zero Day) oder bekannte Sicherheitslücken ausnutzt. Die Entwicklungsteams arbeiten mittlerweile mit allen gängigen Standards der professionellen Softwareentwicklung.
  • APT-Gruppen führen sehr komplexe, fortgeschrittene Angriffe auf bestimmte Ziele wie kritische Infrastrukturen aus. Sie handeln mit langfristig ausgelegten Aktivitäten häufig im Auftrag von Regierungen. APT steht für Advanced Persistent Threat.
  • Verkäufer von gestohlenen Daten vertreiben erbeutete Informationen wie Kreditkartendaten, Passwörter sowie Mitarbeiter- und Kundendaten an weitere Kriminelle. Sie werden häufig auch als Data Broker oder Information Broker bezeichnet.

Darüber hinaus gibt es zahlreiche weitere Rollen und Arbeitsprofile in der Wertschöpfungskette cyberkrimineller Machenschaften. Einige Akteure sind beispielsweise darauf spezialisiert, mit den Opfern von Ransomware-Angriffen zu interagieren und möglichst hohe Lösegelder zu verhandeln.

Professionalisierte Angriffe erfordern professionalisierte Verteidigung

Welche Schlüsse ergeben sich aus dem Status der Untergrundökonomie für Gegenmaßnahmen? Für Privatanwender werden die gängigen Schutzmaßnahmen immer wichtiger. Dazu gehören zum Beispiel automatische Updates, um bekannte Sicherheitslücken schnell zu schließen, sowie ein gesundes Misstrauen gegenüber E-Mails, um nicht das Opfer von Phishing-Angriffen zu werden.

Für Unternehmen bedeutet die Professionalisierung der Angreifer, dass auch die Verteidigung professionell aufgestellt sein muss. Die Zeiten, in denen Studierende oder ausgelastete Mitarbeitende „nebenbei“ ein paar Server administrieren konnten, sind vorbei. Eine professionalisierte Cyber-Abwehr ist Pflicht. Langfristig empfiehlt sich zusätzlich der Aufbau eigener Expertise. Kurz- und mittelfristig helfen spezialisierte Cyber Security Dienstleister dabei, ein angemessenes Sicherheitsniveau zu erreichen.


Wir beantworten gerne alle Fragen.

Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier

Jochen Jasch, Leiter Kundenbetreuung

Jochen Jasch

Leitung Kundenbetreuung

oder ein Account Manager aus seinem Team meldet sich umgehend.