Cybercrime, Inc. – ein Blick hinter die Kulissen der Cyberkriminalität

Die Schattenwirtschaft rund um Cyberkriminelle setzt rund 1,5 Billionen Dollar im Jahr um – 40 Prozent mehr als GAFA & Microsoft.

Seit Jahren heißt es, Cyberkriminelle würden „immer professioneller“. Aber was bedeutet das? Wie sind diese Organisationen aufgebaut und welche wirtschaftliche Bedeutung haben sie? Kann man tatsächlich von einem (Schatten-)Wirtschaftszweig sprechen – und wie groß ist diese „Branche“?

Laut einer Untersuchung von Atlas VPN beträgt der jährliche Umsatz 1,5 Billionen Dollar- rund 40 Prozent mehr als Google (Alphabet), Amazon, Facebook, Apple und Microsoft, die zusammen auf Erlöse von rund 1,1 Billionen Dollar kommen.

Wie die meisten anderen Branchen muss auch das Cyber-Verbrechen Mitarbeiter rekrutieren. Sie inserieren zwar nicht auf den gängigen Portalen; Stellenausschreibungen gibt es aber trotzdem – und diese unterscheiden sich nicht so stark von denen aus der normalen Wirtschaft:

  • »Wir suchen nach Leuten, die mehr an Qualität als an Quantität interessiert sind und bevorzugen Bewerber, die wissen, wie man mit großen Netzwerken arbeitet.
    Bitte nennen Sie in Ihrer Bewerbung Ihre Fachgebiete und Berufserfahrung und teilen Sie uns mit, wann sie anfangen können.«
  • »Wenn Sie zielorientiert sind und es gewohnt sind, sich Ziele zu setzen und diese zu erreichen, sind Sie perfekt für uns.
    Anforderungen: 10 Jahre Erfahrung in den Bereichen Softwaredesign, Netzwerkmanagement oder Systemadministration, davon 5 Jahre in einer Umgebung mit teambasierter Zusammenarbeit.
    Bewerber müssen eine gewinnende Einstellung haben und in der Lage sein, innovative Ansätze in den Betrieb einzubringen und regelmäßig ‚outside-the-box‘ zu arbeiten.
    90-Tage-Probezeit mit der Möglichkeit einer Gehaltserhöhung nach einem Jahr.«

Wie bei legitimen Unternehmen gibt es deutliche Unterschiede in der Größe und Ausrichtung sowie der Zusammensetzung der „Mitarbeiter“. Zudem kommt es in diesem Bereich häufig zu Trennungen, Geschäftsaufgaben und Neugründungen. Grundsätzlich lassen sich bei den größeren Playern jedoch ähnliche Strukturen finden:

Geschäftsführung: Ein erfolgreiches Unternehmen braucht eine starke Führungsspitze, um das Unternehmen weiterzuentwickeln, neue Geschäftsfelder zu erschließen und das Wachstum voranzutreiben. Der Hauptunterschied zur legitimen Wirtschaft ist, dass man sich ein Pseudonym geben kann, gleichzeitig aber auf öffentliche Auftritte und werbewirksame Keynotes verzichten muss.

R&D: Wie in den meisten Tech-orientierten Branchen kommt der Forschungs- und Entwicklungsabteilung (R&D, Research & Development) eine Schlüsselposition zu. Malware-Entwickler schreiben und aktualisieren neuen Code für Malware, oder sie kopieren bzw. modifizieren öffentlich verfügbare Schadsoftware.

Operations: Sobald eine Malware erfolgreich in einem Unternehmensnetzwerk oder einem anderen wichtigen Ziel installiert wurde, schaltet sich ein Intrusion-Spezialist mit seinem eigenen Toolkit ein. Auf diese Weise wird sichergestellt, dass die Malware nicht entdeckt wird und er seine Privilegien eskalieren kann, um so Zugriff auf die wertvollsten Anwendungen und Datenspeicher zu erhalten.

Versierte Data Miner identifizieren, extrahieren und kategorisieren die wertvollen Daten und werten diese aus. Auf dieser Grundlage wird entschieden, wie die Beute möglichst lukrativ genutzt werden kann.

Finance: Die Entscheidung, wie der Angriff am gewinnbringendsten monetarisiert werden kann, obliegt dem Finanzspezialisten. Dies hängt stark von der Art des Angriffs und der „Beute“ ab. So ist beispielsweise der Verkauf von Daten im Block an vertrauenswürdige kriminelle Kontakte oder die Nutzung spezialisierter Online-Dienste möglich.

Die Finanzabteilung ist auch für die Geldwäsche teils auch für das „klassische“ organisierte Verbrechen verantwortlich. Hierbei transferieren sie Gelder schnell zwischen einer Vielzahl von Konten auf der ganzen Welt, wodurch eine Nachverfolgung sehr schwierig wird. Zudem setzen sie verschiedene Tools und Techniken ein, um die Herkunft von kriminell erworbenen Bitcoins zu verschleiern.

Customer Service: Die erste Anlaufstelle ist der technische Support, um sicherzustellen, dass es sich tatsächlich um ein Opfer handelt. Dann wird das Opfer an einen Verhandlungsführer verwiesen. Dieser hat einen Vorgesetzten, der ihn bei der Einigung auf einen Lösegeldbetrag unterstützt – oftmals per Chat mit den Opfern. Schließlich geht der Vorgang zurück an den technischen Support, der die Entschlüsselungscodes bereitstellt.

Stille Teilhaber: Auch wenn die Methoden neu sein mögen, sind die Cyberkriminellen zumeist in die etablierten Strukturen der „analogen“ organisierten Kriminalität eingebettet. Mit Crime-as-a-Service-Modellen können Kriminelle, die nicht über das technische Wissen zur Erstellung anspruchsvoller Tools verfügen, diese von erfahrenen und geschickten Cyberkriminellen kaufen oder mieten und so ihre Aktivitäten ausdehnen – siehe etwa die Miet-Ransomware REvil.

Die wichtigsten Zahlen & Fakten zu Cybercrime Inc. zusammengefasst in der folgenden Infografik:

Quelle: Varonis

Verwandte Artikel:

Jeder zweite Entwickler meint: Sicherheitsrichtlinien behindern Innovationen

Trotz REvil-Hack durch FBI & Co.: Ransomware-Gefahr bleibt hoch

Cybersicherheit: Die wichtigsten Zahlen & Fakten zu Ransomware im Jahr 2021

Ransomware-Angriffe legten in der Corona-Pandemie um fast 150 Prozent zu

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*