Cyberkriminalität wird oft als das Werk einzelner, isoliert operierender Hacker missverstanden. In Wirklichkeit ähneln cyberkriminelle Aktivitäten eher einem strukturierten Unternehmensökosystem mit klar definierten Rollen, Lieferketten und sogar Leistungserwartungen. Viele cyberkriminelle Banden arbeiten mit demselben Organisationsgrad wie legitime Unternehmen und verteilen die Zuständigkeiten auf spezialisierte Funktionen, um die Effizienz zu maximieren, das Risiko zu verringern und den Betrieb zu skalieren.

Welche unterschiedlichen Rollen gibt es bei der Internetkriminalität?

Für Unternehmen, die sich wirksam verteidigen wollen, ist es entscheidend, diese Rollen zu verstehen. Indem sie erkennen, wie diese Gruppen strukturiert sind, können Verteidiger Angriffsmuster besser vorhersehen, Schwachstellen im Lebenszyklus von Cyberkriminellen erkennen und Aktivitäten unterbrechen, bevor sie zu einem umfassenden Vorfall eskalieren.

Personalvermittler

Anwerber sind für die Beschaffung von Talenten für cyberkriminelle Operationen zuständig. Dazu gehören sowohl technisch versierte Personen als auch nicht-technische Teilnehmer, die breitere Aktivitäten unterstützen können. Die Anwerbung erfolgt häufig über Untergrundforen, verschlüsselte Nachrichtenplattformen oder sogar über reguläre Kanäle, die als legitime Stellenangebote getarnt sind.

Diese Akteure zielen auf desillusionierte Angestellte, Freiberufler oder Personen in Regionen mit geringeren wirtschaftlichen Möglichkeiten. In einigen Fällen werden gezielt Insider angeworben, um sich Zugang zum Unternehmensumfeld zu verschaffen. Dies ist besonders gefährlich, da mit Hilfe von Insidern viele herkömmliche Sicherheitskontrollen umgangen werden.

Anwerber spielen auch eine wichtige Rolle bei der Ausweitung von Operationen. Wenn cyberkriminelle Gruppen wachsen, steigt der Bedarf an zuverlässigem Personal, und Anwerber sorgen für eine ständige Pipeline von Mitarbeitern, die bestimmte Rollen innerhalb des Ökosystems erfüllen können.

 

 

Partner und angeschlossene Unternehmen

Viele cyberkriminelle Organisationen, insbesondere Ransomware-Gruppen, arbeiten nach einem Partnerschaftsmodell. Bei dieser Struktur entwickelt eine Kerngruppe die Tools und die Infrastruktur, während die Partner für die Ausführung der Angriffe verantwortlich sind.

Die Partner erhalten Zugang zu Ransomware-Kits, Exploit-Frameworks oder Phishing-Plattformen, in der Regel im Austausch gegen eine Gewinnbeteiligung. Dieses Modell senkt die Einstiegshürde für Cyberkriminalität und ermöglicht es technisch weniger versierten Personen, anspruchsvolle Angriffe durchzuführen.

Das Partner-Ökosystem ermöglicht es cyberkriminellen Organisationen, schnell zu expandieren, ohne dass sie jede Operation direkt verwalten müssen. Außerdem schafft es eine Trennungsebene zwischen Entwicklern und Angreifern, was die Zuordnung und Unterbrechung von Angriffen für die Strafverfolgungsbehörden erschwert.

Technische Spezialisten

Technische Spezialisten bilden das Rückgrat der cyberkriminellen Operationen. Diese Personen entwerfen, entwickeln und warten die bei Angriffen verwendeten Tools. Ihr Fachwissen umfasst die Entwicklung von Malware, die Erstellung von Exploits, die Verwaltung der Infrastruktur und Umgehungstechniken.

Zu dieser Gruppe gehören:

    • Malware-Entwickler, die Ransomware, Trojaner und Spyware entwickeln
    • Exploit-Entwickler, die Schwachstellen identifizieren und als Waffe einsetzen
    • Infrastrukturingenieure, die Command-and-Control-Server verwalten
    • Spezialisten für die Umgehung der Sicherheit, die sich auf die Umgehung von Erkennungsinstrumenten konzentrieren

Technische Spezialisten sind oft als Dienstleister in der Schattenwirtschaft tätig und verkaufen oder vermieten ihre Tools an andere Kriminelle. Diese Kommerzialisierung der Fähigkeiten der Cyberkriminalität hat das Tempo und den Umfang der Angriffe erheblich beschleunigt.

 

SA-GER

 

Geldwäscher

Sobald Gelder erlangt wurden, in der Regel durch Ransomware-Zahlungen, Betrug oder Datendiebstahl, müssen sie gewaschen werden, um nicht entdeckt zu werden. Geldwäscher spielen eine entscheidende Rolle bei der Umwandlung illegaler Gewinne in nutzbare Vermögenswerte.

Dieser Prozess beinhaltet oft Folgendes:

    • Mischdienste für Kryptowährungen, um Transaktionsspuren zu verwischen
    • Konvertierung zwischen verschiedenen digitalen Währungen
    • Verwendung von Maultierkonten, um Gelder über verschiedene Gerichtsbarkeiten hinweg zu bewegen
    • Integration in legale Finanzsysteme über Scheinfirmen oder Scheinunternehmen

Ohne eine wirksame Geldwäsche wäre es für Cyberkriminelle schwierig, ihre Aktivitäten zu finanzieren. Daher sind diese Akteure eine wichtige Stütze des gesamten Ökosystems.

 

Foren und Marktplätze

Cyberkriminelle Foren und Marktplätze bilden die Infrastruktur der Schattenwirtschaft. Diese Plattformen erleichtern den Kauf, Verkauf und Austausch von Tools, Daten und Dienstleistungen.

Zu den üblichen Angeboten gehören:

    • Gestohlene Zugangsdaten und persönliche Daten
    • Malware-Kits und Exploit-Tools
    • Erster Zugang zu kompromittierten Systemen
    • Tutorials und Anleitungen für den Betrieb

Diese Marktplätze bieten auch Reputationssysteme, Treuhanddienste und Streitbeilegungsmechanismen, die legitimen E-Commerce-Plattformen ähneln. Dieses Maß an Raffinesse trägt zum Aufbau von Vertrauen zwischen Kriminellen bei und unterstützt eine langfristige Zusammenarbeit.

 

CTEM CTA GER

 

Unterstützungspersonal

Support-Mitarbeiter werden oft übersehen, sind aber für die Aufrechterhaltung der operativen Effizienz unerlässlich. In einigen Ransomware-Gruppen interagieren die Support-Teams sogar direkt mit den Opfern.

Zu ihren Aufgaben können gehören:

    • Verwaltung der Verhandlungskommunikation während Ransomware-Vorfällen
    • Bereitstellung von "Kundensupport" für Opfer, die Lösegeld zahlen
    • Pflege der Dokumentation und der operativen Ablaufpläne
    • Logistik wie Kontoverwaltung und Zugangsbeschaffung

Diese Professionalisierung verdeutlicht, wie cyberkriminelle Gruppen die Benutzererfahrung in den Vordergrund stellen, selbst bei illegalen Aktivitäten, um die Erfolgsquote bei Zahlungen zu maximieren.

Betreiber

Operatoren sind für die Ausführung von Angriffen auf technischer Ebene verantwortlich. Sie setzen Malware ein, nutzen Schwachstellen aus und bewegen sich seitlich in kompromittierten Netzwerken.

Zu ihren Aktivitäten gehören in der Regel:

    • Erlangung des Erstzugangs durch Phishing, Diebstahl von Anmeldeinformationen oder Ausnutzung
    • Eskalation der Privilegien innerhalb der Zielumgebung
    • Aufklärungsarbeit zur Identifizierung wertvoller Objekte
    • Einsetzen von Nutzdaten wie Ransomware oder Tools zur Datenexfiltration

Operatoren müssen über umfassende technische Fähigkeiten verfügen und folgen oft strukturierten Playbooks, die von technischen Spezialisten oder der Leitung der Gruppe entwickelt wurden.

Operative Mitarbeiter

Obwohl sie den Operatoren ähnlich sind, konzentrieren sich Operative im Allgemeinen auf bestimmte Aufgaben innerhalb der Angriffskette, anstatt die gesamte technische Ausführung zu verwalten. Sie können für einzelne Phasen wie Phishing-Kampagnen, Social Engineering oder die Unterstützung des physischen Zugangs verantwortlich sein.

Beispiele hierfür sind:

    • Koordinatoren von Phishing-Kampagnen, die groß angelegte E-Mail-Angriffe versenden
    • Social Engineers, die Mitarbeiter zur Preisgabe von Anmeldedaten verleiten
    • Makler für den Erstzugang, die Zugangspunkte zu Netzwerken verkaufen
    • Insider, die privilegierten Zugang oder sensible Informationen bereitstellen

Operative Mitarbeiter ermöglichen es cyberkriminellen Gruppen, Risiken zu verteilen und Aufgaben zu spezialisieren, wodurch die Operationen effizienter und schwerer zu entdecken sind.

 

CyberfireMDR GER

 

Wie cyberkriminelle Gruppen wie SaaS-Unternehmen arbeiten

 

Eine der wichtigsten Veränderungen in der modernen Internetkriminalität ist die Entwicklung hin zu Betriebsmodellen, die Software-as-a-Service (SaaS)-Unternehmen sehr ähnlich sind. Diese Entwicklung hat die Art und Weise, wie Angriffe durchgeführt, skaliert und monetarisiert werden, grundlegend verändert.

Das Herzstück dieses Modells ist Cybercrime-as-a-Service (CaaS). Anstatt von jedem Akteur umfassende technische Kenntnisse zu verlangen, verpacken cyberkriminelle Gruppen ihre Tools in zugängliche, abonnementbasierte Angebote. Ransomware-as-a-Service (RaaS) ist das bekannteste Beispiel, bei dem Partner effektiv Ransomware-Plattformen mit Dashboards, Support und Dokumentation "mieten" können.

Diese Plattformen beinhalten oft:

    • Benutzerfreundliche Bedienfelder zur Verwaltung von Kampagnen
    • Integrierte Analysefunktionen zur Verfolgung von Infektionsraten und Zahlungen
    • Regelmäßige Updates und Funktionserweiterungen
    • Gestaffelte Preise oder Gewinnbeteiligungsmodelle
    • Kundensupport-Kanäle für Affiliates

Dies entspricht fast genau der Vorgehensweise von SaaS-Unternehmen. Es gibt Onboarding-Prozesse, Nutzungsleitfäden und sogar Ratschläge zur Leistungsoptimierung. Einige Gruppen bieten Service-Level-Erwartungen, die die Betriebszeit der Infrastruktur und die Zuverlässigkeit ihrer Tools gewährleisten.

Das SaaS-Modell ermöglicht auch eine schnelle Skalierung. Die Entwickler konzentrieren sich auf die Verbesserung des Produkts, während die Partner den Vertrieb vorantreiben. Durch diese Trennung der Interessen können cyberkriminelle Ökosysteme schnell wachsen und gleichzeitig in verschiedenen Regionen operieren.

Aus einer defensiven Perspektive betrachtet, erhöht dieses Modell das Risiko erheblich. Es senkt die Einstiegshürde, was bedeutet, dass mehr Akteure ohne fortgeschrittene Kenntnisse Angriffe starten können. Außerdem beschleunigt es die Innovation, da konkurrierende Gruppen ihr Angebot ständig verbessern, um mehr Mitglieder zu gewinnen.

Tatsächlich hat die Internetkriminalität die Effizienz, Skalierbarkeit und kundenorientierte Denkweise moderner Softwareunternehmen übernommen. Aus diesem Grund sind Unternehmen heute häufigeren, ausgefeilteren und besser koordinierten Angriffen ausgesetzt als je zuvor.

 

Warum diese Struktur für Verteidiger wichtig ist

 

Die strukturierte Natur von cyberkriminellen Organisationen bedeutet, dass die Verteidigung gegen sie einen ähnlich koordinierten Ansatz erfordert. Jede Rolle stellt einen potenziellen Störungspunkt dar.

Ein Beispiel:

    • Die Unterbrechung von Rekrutierungskanälen kann den Zugang zu Insider-Bedrohungen einschränken.
    • Die Überwachung von Untergrundforen kann eine Frühwarnung vor geplanten Angriffen liefern.
    • Das Anvisieren der von technischen Spezialisten genutzten Infrastruktur kann die Fähigkeiten beeinträchtigen
    • Die Verfolgung von Finanzströmen kann Geldwäschenetzwerke aufdecken.

Organisationen müssen eine mehrschichtige Verteidigungsstrategie anwenden, die nicht nur den Angriff selbst, sondern auch das breitere Ökosystem, das ihn ermöglicht, berücksichtigt.

 

IR GER CTA

 

Wie KI die Landschaft der Cyberkriminalität verändert

Künstliche Intelligenz verändert die Internetkriminalität in rasantem Tempo und wirkt als Multiplikator in fast allen Bereichen des Ökosystems. Was früher Zeit, Koordination und technisches Know-how erforderte, kann jetzt automatisiert, verfeinert und mit weitaus größerer Effizienz skaliert werden.

Für Anwerber und Agenten ermöglicht die KI ein äußerst überzeugendes Social Engineering. Phishing-Kampagnen sind jetzt personalisiert, kontextabhängig und frei von Fehlern, die sie früher leicht zu erkennen machten. Deepfake-Stimmen und -Videos werden auch eingesetzt, um sich als Führungskräfte auszugeben, was die Erfolgsquote von Betrugs- und E-Mail-Kompromittierungsangriffen auf Unternehmen erhöht.

Technische Spezialisten nutzen KI, um die Entwicklungszyklen zu beschleunigen. Malware kann schneller angepasst werden, um der Entdeckung zu entgehen, während KI-gestützte Tools dabei helfen, Schwachstellen in den Zielumgebungen zu identifizieren und die Angriffswege zu optimieren.

Die Betreiber profitieren von der Automatisierung, denn KI unterstützt die Aufklärung, das Auslesen von Anmeldeinformationen und laterale Bewegungen. Dies reduziert den manuellen Aufwand und ermöglicht es, Angriffe in großem Umfang auf mehrere Ziele gleichzeitig durchzuführen.

Entscheidend ist, dass die KI die Einstiegshürde senkt. Weniger erfahrene Akteure können Phishing-Inhalte, Skripte und Angriffs-Workflows mit minimalem Fachwissen erstellen.

Für die Verteidiger bedeutet dies, dass sie mit schnelleren, gezielteren und raffinierteren Bedrohungen konfrontiert werden, die mit herkömmlichen Methoden nur schwer zu erkennen sind.

Trends image

Durch das Verständnis der unterschiedlichen Rollen innerhalb von Cyberkriminellen können Unternehmen über reaktive Sicherheitsmaßnahmen hinausgehen und eine proaktivere Haltung einnehmen. Dazu gehört es, das Verhalten von Angreifern zu antizipieren, Frühindikatoren für eine Gefährdung zu erkennen und Abläufe zu unterbrechen, bevor sie kritische Phasen erreichen.

In einer Landschaft, in der Cyberkriminelle wie Unternehmen agieren, müssen die Verteidiger mit demselben Maß an Struktur, Intelligenz und Koordination reagieren.

Wenn Sie sich Sorgen über Cyber-Bedrohungen machen oder Hilfe benötigen, um herauszufinden, welche Schritte Sie unternehmen sollten, um sich vor den größten Bedrohungen zu schützen, denen Ihr Unternehmen ausgesetzt ist, nehmen Sie bitte Kontakt mit uns auf, umzu erfahren, wie Sie Ihr Unternehmen schützen können.

 

Kontaktieren Sie uns