Rebranding in der Hacker-Szene – Wie sich Cyber-Syndikate neu erfinden

Von |04.02.2026|
IT-Security
Titelbild: Rebranding in der Hacker-Szene – Wie sich Cyber-Syndikate neu erfinden

Wer im Cybercrime-Untergrund nach klaren Identitäten sucht, wird schnell enttäuscht. Wir werfen einen Blick darauf, wie und warum Cyber-Banden ihre „Marken“ immer wieder ändern  und was das für die Bedrohungslandschaft bedeutet.

Auf einmal ist der Spuk vorbei. Die Website geht offline, Chat-Server verstummen, und die „Wall of Shame“, auf der die Gruppe ihre Opfer bloßstellte, ist offline. Eine Cybercrime-Bande ist von der Bildfläche verschwunden. In Sicherheitsforen beginnt das Rätselraten: Haben die Behörden zugeschlagen? Oder haben sich die Kriminellen mit den erbeuteten Millionen aus den Lösegeldzahlungen zur Ruhe gesetzt?

Ein paar Wochen später taucht jedoch eine neue Website auf. Neues Logo, neuer Name, neues Versprechen. Die nächste kriminelle Cyber-Organisation verkündet stolz ihren Start. Doch Sicherheitsexperten, die den Code der neuen Schadsoftware analysieren, erleben ein Déjà-vu: Er ist zu 95 Prozent identisch mit dem Schadcode jener Gruppe, die vor Kurzem verschwunden ist.

Solche Fälle von Rebranding sind keine Seltenheit. Aus der Ransomware-Gruppe „GandCrab“ ging die Cyberbande „Ransomware Evil“ (Revil) hervor. Aus „DarkSide“ wurde nach dem Angriff auf eine US-amerikanische Öl-Pipeline „BlackMatter“. Und erst 2025 entstand aus „BlackSuit“ die Gruppe „Chaos“.

Die typischen Formen des Cyber-Rebrandings

Um das Rebranding-Phänomen zu verstehen, hilft es, sich die Szene als hochgradig arbeitsteilige Schattenwirtschaft vorzustellen. Es gibt Marktplätze (wie eBay für Illegales), Software-Entwickler, die Schadprogramme vermieten (Malware-as-a-Service), und Dienstleister, die Server zur Verfügung stellen (Bulletproof Hoster).

In diesem Wettbewerb ist ein Markenname zwar wichtig, um Kunden anzulocken, aber er kann unter Umständen auch schnell zur Belastung werden. Wenn das passiert, wird die Identität gewechselt. Und dies geschieht meist in folgenden Formen:

  • Der Phönix-Effekt

    Eine Gruppe verbrennt ihre alte Identität und erhebt sich unter neuem Namen wie der Phönix aus der Asche. Die Infrastruktur und die Führungsebene bleiben gleich, nur das äußere Erscheinungsbild ändert sich.

  • Atomisierung / Zersplitterung

    Manchmal löst sich eine große Gruppe auf und die Kernmitglieder verteilen sich auf viele kleine, weniger bekannte Untergruppen. Nach massivem Druck zersplitterte zum Beispiel das berüchtigte Conti-Syndikat in diverse kleinere Zellen (z. B. Royal, BlackBasta). Es wird davon ausgegangen, dass diese Zellen nicht nur autonom, sondern auch koordiniert agieren. Für die Strafverfolgungsbehörden ist es schlichtweg schwerer, ein Dutzend kleiner Gruppen zu jagen als einen großen „Staatsfeind Nr. 1“.

  • Affiliate-Migration

    Bei vielen modernen Cybercrime-Formen wie „Ransomware-as-a-Service“ (RaaS) ergibt sich ein Zusammenspiel mehrerer Gruppen. Es gibt Entwickler und es gibt die eigentlichen Hacker (Affiliates), die die Software mieten. Wenn eine große Marke verbrannt ist (z. B. durch einen behördlichen Zugriff auf die Server), nehmen die Hacker ihre Fähigkeiten und Kundenlisten mit und wechseln einfach zu einer konkurrierenden Marke.

Aus welchen Gründen Bedrohungsakteure ihre Marken aufgeben

Auch wenn Markennamen in der Cybercrime-Szene weniger beständig sind wie in der regulären Wirtschaft, haben sie einen ähnlichen Stellenwert. Eine starke Marke und die damit verbundene Reputation aufzubauen, dauert Jahre. Sie wieder aufzugeben, ist keine leichte Entscheidung. Dahinter stehen meist konkrete strategische Gründe:

  • Umgehung von Sanktionen

    Dies ist einer der stärksten wirtschaftlichen Treiber. Wenn beispielsweise das US-Finanzministerium (OFAC) oder ähnliche Behörden eine Ransomware-Gang auf die Sanktionsliste setzen, hat das drastische Konsequenzen. Unternehmen in den jeweiligen Ländern (und deren Versicherer) machen sich dann strafbar, wenn sie Lösegeld zahlen. In der Folge brechen die Einnahmen der Ransomware-Gruppe ein, weil das Risiko von Lösegeldzahlungen zu groß ist. Ein neuer Name hilft ihnen dann, dem Compliance-Druck der Unternehmen zu entgehen und den Geldhahn wieder aufzudrehen.

  • „Heat“ reduzieren

    Wenn eine Gruppe zu viel Aufmerksamkeit erregt – etwa durch Angriffe auf Krankenhäuser oder andere kritische Infrastruktur –, wird der politische Druck auf die Strafverfolgungsbehörden immens. FBI, Europol, BKA und Co setzen viele Ressourcen ein, um die Gruppe zu stoppen. Das Rebranding dient hier als taktischer Rückzug. Die Gruppe zersplittert sich oder ändert ihren Namen, um unterzutauchen und die Ermittler zu verwirren.

  • Reputationsmanagement („Toxic Brand“)

    Wenn du Lösegeld zahlst, möchtest du auch sicher sein, dass du deine Daten wirklich zurückbekommst. Manche Hackergruppen werden jedoch gierig oder schlampig: Sie kassieren das Lösegeld ein, entschlüsseln die Daten aber nicht. Oder sie veröffentlichen die Daten trotz Zahlung. Sobald sich das herumspricht, zahlt niemand mehr. Die Marke ist toxisch geworden. Ein Rebranding bietet dann die Möglichkeit, unter neuem Namen zu starten und den Opfern erneut „höchste Professionalität“ zu versprechen.

  • Interne Konflikte und Leaks

    Auch in kriminellen Organisationen kann es zu Streit um Geld oder politische Ausrichtungen kommen, was zu einer Spaltung führen kann. Werden dann noch interne Chat-Protokolle geleakt, ist die alte Marke kompromittiert und ein Neustart unumgänglich.

Fazit

Wenn eine Cyber-Bande verschwindet, heißt das noch lange nicht, dass der Cyberspace auch ein Stück sicherer geworden ist. Oft handelt es sich lediglich um ein Rebranding – und zwar als kalkulierte Business-Strategie, um Gewinne zu sichern, Sanktionen zu umgehen und das eigene Überleben zu sichern.

Die verschiedenen Rebranding-Strategien sind ein weiterer Beleg für die hohe Professionalität und Kreativität der organisierten Cyberkriminalität. Die Seite der Verteidigung sollte sich davon aber nicht beirren lassen. Mit einer professionellen Cyber-Abwehr lässt sich auch die Hydra zähmen, der für jeden abgeschlagenen Kopf neue Ableger nachwachsen.

Weitere Infos zur 24/7 Überwachung und Schutz der IT-Infrastruktur

Wir beantworten gerne alle Fragen.

Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier.

Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren
Mehr Informationen
Evelyn Heinrich / Head of Account Management

Evelyn Heinrich

Head of Account Management

oder ein Account Manager aus ihrem Team melden sich umgehend.