Dieser Artikel wurde im Rahmen meiner Arbeit für tanum consult GmbH geschrieben.
Einleitung
Bald ist es wieder so weit: Am 12.11.2024 veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) die diesjährige Version des Lageberichts der IT-Sicherheit in Deutschland (BSI, 2023). Zusammen mit dem Bundeslagebild Cybercrime 2023 (Bundeskriminalamt, 2024b) entsteht ein klares Bild der zunehmenden Kommerzialisierung der Cyberkriminalität. Diese Entwicklung wird überwiegend von finanziellen Motiven getrieben – mehr als 95 % aller Angriffe verfolgen das Ziel, monetären Gewinn zu erzielen.
Die Profitorientierung der Angreifer führt zur Entstehung krimineller Strukturen, die der legalen Marktwirtschaft ähneln. Cyberkriminelle organisieren sich zunehmend wie Unternehmen und bieten Dienstleistungen im Rahmen des Cybercrime-as-a-Service an. Dies senkt die Einstiegshürden für weniger technisch versierte Kriminelle und beschleunigt die Verbreitung von Angriffstechniken. Der Markt für Ransomware, Phishing-Kits und andere illegale Tools wächst stetig und trägt dazu bei, dass immer mehr Unternehmen und Privatpersonen Opfer dieser Angriffe werden.
Durch die geringeren Kosten werden außerdem immer kleinere Unternehmen finanziell interessant. In Deutschland gibt es 2,6 Millionen kleine (weniger als 50 Mitarbeiter) und mittlere Unternehmen (50 bis 249 Mitarbeiter), die zahlenmäßig fast 99,4 % der deutschen Wirtschaftsunternehmen ausmachen (BSI, 2023). Gerade diese Unternehmen rücken damit immer mehr in den Fokus der Cyberkriminellen, da sie häufig weniger in Cybersicherheitsmaßnahmen investieren können und daher anfälliger für Angriffe sind.
Der Wandel der Cyberkriminalität
In den letzten zwei Jahrzehnten hat sich die Cyberkriminalität von isolierten Angriffen durch Einzelpersonen hin zu einer hochgradig organisierten und strukturierten Industrie entwickelt. Früher waren Cyberkriminelle oft Einzelgänger oder kleine Gruppen von Hackern, die aus verschiedenen Motiven wie Neugierde oder politischem Aktivismus agierten. Heute hingegen ist Cyberkriminalität eine kommerzialisierte und profitgetriebene Branche, die ähnlich wie legitime Unternehmen funktioniert (BSI, 2023; Bundeskriminalamt, 2024b)
Ein entscheidender Faktor für diesen Wandel ist die Entstehung des Cybercrime-as-a-Service-Modells (CaaS) (Luber, 2023). Dieses Geschäftsmodell ermöglicht es weniger technisch versierten Kriminellen, einfachen Zugang zu vorgefertigten Tools und Dienstleistungen zu erlangen. Plattformen im Darknet bieten mittlerweile eine Vielzahl von Angriffswerkzeugen als Dienstleistung an; angefangen vom Verkauf von Software-Tools bis zur vollständigen Dienstleistungserbringung, inklusive Kundenservice. Dies senkt die Eintrittsbarrieren erheblich und öffnet die Tür für eine größere Anzahl von Angreifern.
Zudem hat die zunehmende Professionalisierung der Cyberkriminalität zu einem wachsenden Ökosystem geführt, welches die Spezialisierung fördert. So gibt es beispielsweise Initial Access Broker, die sich darauf konzentrieren, sich Zugang zu Unternehmensnetzwerken zu verschaffen und diesen an andere Kriminelle weiterzuverkaufen (Bleiweiss, 2020; BSI, 2023; Bundeskriminalamt, 2024b). Diese Art der Arbeitsteilung in der Cyberkriminalität ist in den letzten Jahren stark gewachsen.
Durch das Ransomware-as-a-Service-Modell können selbst unerfahrene Kriminelle hochwirksame Angriffe starten, indem sie sich einfach in dieses kriminelle Ökosystem einkaufen (BSI, 2023; Bundeskriminalamt, 2024b). Die Kriminellen hinter diesen Angriffen verwenden zunehmend auch Künstliche Intelligenz (KI) und Automatisierung, um Phishing-Kampagnen und Schadsoftware effizienter und gezielter zu gestalten (BSI, 2023; Bundeskriminalamt, 2024b).
Ein weiteres Zeichen für den Wandel der Cyberkriminalität ist die zunehmende Globalisierung dieser Bedrohung. Die Täter agieren häufig aus dem Ausland, was die Strafverfolgung erschwert, da nationale Grenzen im digitalen Raum keine Rolle spielen (BSI, 2023; Bundeskriminalamt, 2024b)
Die Kommerzialisierung im Detail
Die Kommerzialisierung der Cyberkriminalität hat eine bemerkenswerte Transformation erlebt, indem sie das kriminelle Handwerk in ein professionelles Geschäft mit klaren Rollen, Strukturen und Märkten verwandelt hat. Ein wichtiger Bestandteil dieses Wandels ist die Entstehung des Cybercrime-as-a-Service (CaaS)-Modells.
Diese Plattformen bieten eine breite Palette von Dienstleistungen an, die es Kriminellen ermöglichen, maßgeschneiderte Angriffe durchzuführen, ohne selbst über technische Expertise zu verfügen.
Staatliche Duldung
Die Entwicklung dieser Schattenmarktwirtschaft im Internet wird durch mehrere Faktoren begünstigt. Da Cyberkriminalität keine physische Präsenz erfordert, ist sie ortsunabhängig und mit geringen technischen Einstiegshürden verbunden – ein Computer, Internet und Strom genügen.
Besonders attraktiv wird Cyberkriminalität in Regionen, in denen zwei Bedingungen zusammentreffen. Erstens: Niedrige Lebenshaltungskosten und Löhne. In solchen Ländern kann selbst ein zeitaufwendiger Angriff schnell profitabel werden, wenn die Bezahlung in Kryptowährungen oder stabilen Währungen wie dem US-Dollar oder Euro erfolgt. Ein erfolgreicher Cyberangriff kann einem Kriminellen Einnahmen verschaffen, die weit über dem Durchschnittseinkommen liegen.
Zweitens: Das Risiko, strafrechtlich verfolgt zu werden, ist minimal, wenn man in einem Land lebt, das wenig Interesse daran hat, mit westlichen Strafverfolgungsbehörden zu kooperieren. Besonders in Ländern wie Russland oder Nordkorea werden Cyberkriminelle oft stillschweigend toleriert, solange sie keine Angriffe gegen ihr Heimatland oder seine Verbündeten durchführen. Hackergruppen wie die Lazarus-Gruppe oder Conti nutzen diese politische Immunität, um ihre Angriffe global auszuweiten, während sie selbst vor Verfolgung geschützt sind.
Eine Studie von Plos One hat zu dem Thema einen World Cybercrime Index entwickelt, welcher die Länder anhand ihrer Prävalenz im Zusammenhang mit Cyberkriminalität auflistet. Wenig überraschend führt Russland die Liste an, gefolgt von der Ukraine, China, den USA, Nigeria und Rumänien. Deutschland folgt lediglich auf Platz 18. (Bruce et al., 2024)
Cybercrime-as-a-Service
CaaS funktioniert ähnlich wie herkömmliche „Software-as-a-Service“-Angebote im legalen Bereich. Kriminelle Dienstleister entwickeln Ransomware, Phishing-Kits, DDoS-Botnets und andere Angriffswerkzeuge und verkaufen diese über Marktplätze im Darknet. Diese Marktplätze sind oft gut organisiert und bieten Support- und Beratungsdienste an, die den Einstieg in die Welt der Cyberkriminalität für weniger technisch versierte Täter erleichtern. Das bedeutet, dass jeder mit den richtigen finanziellen Mitteln in der Lage ist, komplexe Cyberangriffe zu orchestrieren. (Field Effect, 2024)
Initial Access Broker
Ein weiteres Phänomen in der kommerzialisierten Cyberkriminalität ist das Auftauchen von Initial Access Brokern. Diese spezialisierten Akteure verschaffen sich Zugang zu Unternehmensnetzwerken, häufig durch Phishing, kompromittierte Zugangsdaten oder Zero-Day-Schwachstellen, und verkaufen diese Zugänge an andere kriminelle Gruppen.
Das erlaubt es Angreifern, sich auf spezifische Phasen eines Angriffs zu konzentrieren, was die Effizienz und Effektivität der Angriffe erhöht. Unternehmen sind dadurch oft über Monate hinweg unwissentlich infiltriert, bevor der eigentliche Angriff (z. B. eine Ransomware-Infektion) ausgeführt wird. (Bleiweiss, 2020; BSI, 2023; Bundeskriminalamt, 2024a)
IBM’s X-Force Wissenschaftler konnten anhand ihrer Daten nachstellen, dass die Zeit zwischen dem Zeitpunkt bei dem ein Initial Access Broker zum ersten Mal einen Zugriff in einem Zielnetzwerk etablieren konnte, und der Zeit bis zum Deployment einer Ransomware-Attacke, zwischen 2019 und 2021 von fast 70 Tagen auf nur 4 Tage geschrumpft ist. (Countdown to Ransomware: Analysis of Ransomware Attack Timelines, no date)
Google hat kürzlich weitere Daten veröffentlicht, die diese Entwicklung untermauern. 2023 konnte Google hier feststellen, dass fast ein Drittel aller Ransomware-Deployments bereits innerhalb der ersten 48 Stunden nach Erstzugriff erfolgt sind. (Bavi Sadayappan et al., 2024)
Dabei waren 76% dieser Deployments außerhalb üblicher Geschäftszeiten, um ihre Aktivitäten zu verschleiern.
Ransomware-as-a-Service
Ein prominentes Beispiel für die Kommerzialisierung ist Ransomware-as-a-Service (RaaS). Hierbei entwickeln erfahrene Kriminelle Ransomware und stellen sie gegen eine Gebühr oder Gewinnbeteiligung anderen zur Verfügung. Diese „Partnerprogramme“ senken die Eintrittsbarrieren für Cyberkriminelle erheblich. Nutzer von RaaS müssen lediglich das Lösegeld erpressen, während die Entwicklung und Verteilung der Schadsoftware von spezialisierten Akteuren übernommen wird. (Ruellan, Paquet-Clouston and Garcia, 2024)
Marktplätze im Darknet
Die kriminelle Infrastruktur umfasst nicht nur Angriffswerkzeuge, sondern auch eine Vielzahl anderer Dienstleistungen, die den gesamten Angriffszyklus unterstützen. Dazu zählen Dropper-Dienste (zur Verbreitung von Schadsoftware), Geldwäsche-Dienste (oft mithilfe von Kryptowährungen) und Bulletproof-Hosting-Anbieter, die es Kriminellen ermöglichen, ihre illegalen Aktivitäten auszuführen, ohne dass ihre Infrastruktur abgeschaltet wird.
Diese Dienste sind so organisiert, dass sie sicherstellen, dass alle Phasen eines Angriffs abgedeckt sind, was die Effektivität der Angriffe und die Anzahl der potenziellen Täter erheblich steigert. (Top 10 Dark Web Markets, 2024)
Risikominimierung und Skalierbarkeit
Die Kommerzialisierung der Cyberkriminalität geht Hand in Hand mit der Risikominimierung für die Täter. Tatsächlich hat sich eine Art inverse des Too Big To Fail Motivs entwickelt. Wenn Cyberkriminelle Netzwerke zu erfolgreich werden, geraten sie immer mehr in den Fokus von Strafverfolgungsbehörden. Dies hat auch in jüngster Vergangenheit zur Zerschlagung oder zum Abtauchen solcher Organisationen geführt, deren Platz aber schnell durch alternative Anbieter eingenommen wurde (Bundeskriminalamt, 2024a, 2024c). Deshalb liegt es auch im Interesse der Cyberkriminellen, eine gewisse Größe nicht zu überschreiten.
Durch die Arbeitsteilung und Spezialisierung innerhalb dieser kriminellen Ökosysteme können Angreifer in bestimmten Bereichen tätig sein, ohne sich den Risiken einer direkten Beteiligung an jeder Phase eines Angriffs auszusetzen. Gleichzeitig sorgt die Kommerzialisierung für eine Skalierbarkeit der Angriffe: Kriminelle können ihre Methoden und Werkzeuge weltweit anbieten und dadurch ihre Gewinne maximieren.
Weitere Beispiele und Zahlen
Die Kommerzialisierung der Cyberkriminalität zeigt sich nicht nur in den wachsenden Märkten für Cybercrime-as-a-Service, sondern auch in den dramatisch steigenden Kosten und der Verbreitung von Angriffen weltweit. Angesichts der zunehmenden Professionalität krimineller Akteure sind die wirtschaftlichen und operativen Folgen für Unternehmen erheblich gestiegen. Die folgenden Statistiken verdeutlichen die weltweite Bedrohungslage:
- Das durchschnittliche Lösegeld im Jahr 2024 liegt bei 2,73 Millionen Dollar, was gegenüber 2023 einen Anstieg um fast 1 Million Dollar bedeutet. (Sophos, 2024b)
- 97 Prozent der Unternehmen, deren Daten verschlüsselt wurden, haben diese zurückerhalten. (Sophos, 2024a)
- Ransomware-Angriffe haben in den letzten fünf Jahren um 13 Prozent zugenommen, mit durchschnittlichen Kosten von 1,85 Millionen Dollar pro Vorfall im Jahr 2023. (Nivedita James Palatty, 2022)
- Im Jahr 2021 wurde die größte Ransomware-Zahlung von einer Versicherungsgesellschaft in Höhe von 40 Millionen US-Dollar geleistet und damit ein Weltrekord aufgestellt (Chang, 2021). Die höchste Ransomware-Zahlungsforderung aller Zeiten liegt bei 70 Millionen US-Dollar. (Blosil, 2022)
- Im Jahr 2022 entdeckten Organisationen auf der ganzen Welt fast eine halbe Milliarde Ransomware-Angriffe. (Ani Petrosyan, 2024)
- 93 Prozent der Ransomware sind Windows-basierte ausführbare Dateien. (The Latest Ransomware Statistics (updated June 2024) | AAG IT Support, no date)
- Die häufigsten Taktiken, die Hacker für Ransomware-Angriffe verwenden, sind E-Mail-Phishing-Kampagnen, RDP-Schwachstellen und Software-Schwachstellen. (ISAC, 2020)
- 59 Prozent der Arbeitgeber erlauben ihren Mitarbeitern den Zugriff auf Unternehmensanwendungen von nicht verwalteten privaten Geräten aus. (Bitglass, 2021)
- Eine Umfrage, die mit 1.263 Unternehmen durchgeführt wurde, ergab, dass 80 Prozent der Opfer, die ein Lösegeld gezahlt haben, kurz darauf einen weiteren Angriff erlebten, und 46 Prozent erhielten zwar Zugang zu ihren Daten, aber die meisten davon waren beschädigt. (Day, 2024)
- Darüber hinaus mussten 60 Prozent der Befragten Umsatzeinbußen hinnehmen und 53 Prozent gaben an, dass ihre Marke dadurch geschädigt wurde. (Day, 2024)
- 42 Prozent der Unternehmen, die eine Cyberversicherung abgeschlossen haben, gaben an, dass die Versicherung nur einen kleinen Teil der Schäden abdeckt, die durch einen Ransomware-Angriff entstehen. (Day, 2024)
Fazit und Ausblick
Die Kommerzialisierung der Cyberkriminalität zeigt, dass Angriffe heute fast immer durch finanzielle Motivation getrieben sind. Doch wie kann man als Unternehmen auf diese Bedrohung effektiv reagieren? Im zweiten Artikel dieser Serie werden wir uns genau damit beschäftigen: Wie können Sie die finanziellen Anreize der Cyberkriminellen gegen sie einsetzen? Dabei zeigen wir, warum eine perfekte Sicherheit nicht erforderlich ist und wie Sie stattdessen gezielte Maßnahmen umsetzen können, die einen Angriff unrentabel machen. Durch risikobasierte Cybersicherheit können Sie mit verhältnismäßig geringen Investitionen eine effektive Verteidigung aufbauen. Seien Sie gespannt!
Quellenverzeichnis
Bavi Sadayappan et al. (2024) Ransomware Rebounds: Extortion Threat Surges in 2023, Attackers Rely on Publicly Available and Legitimate Tools, Google Cloud Blog. Available at: https://cloud.google.com/blog/topics/threat-intelligence/ransomware-attacks-surge-rely-on-public-legitimate-tools (Accessed: 16 October 2024).
Bitglass (2021) Bitglass Remote Workforce Security Report 2021. Available at: https://pages.bitglass.com/rs/418-ZAL-815/images/CDFY21Q1RemoteWorkforceSecurityReport.pdf (Accessed: 15 October 2024).
Bleiweiss, A. (2020) ‘The Secret Life of an Initial Access Broker’, KELA Cyber Threat Intelligence, 6 August. Available at: https://www.kelacyber.com/blog/the-secret-life-of-an-initial-access-broker/ (Accessed: 15 October 2024).
Blosil, J. (2022) Ransomware cost: Measuring the true cost of a ransomware attack. Available at: https://www.netapp.com/blog/ransomware-cost/ (Accessed: 15 October 2024).
Bruce, M. et al. (2024) ‘Mapping the global geography of cybercrime with the World Cybercrime Index’, PLOS ONE, 19(4), p. e0297312. Available at: https://doi.org/10.1371/journal.pone.0297312.
BSI (2023) ‘Die Lage der IT-Sicherheit in Deutschland 2023’. Available at: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.html?nn=129410.
Bundeskriminalamt (2024a) BKA – Listenseite für Pressemitteilungen 2024 – Pressekonferenz zur Entwicklung der Cyberkriminalität in Deutschland. Available at: https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2024/Presse2024/240507_PM_Presseeinladung_Cybercrime.html (Accessed: 15 October 2024).
Bundeskriminalamt (2024b) ‘Cybercrime Bundeslagebild 2023’, p. 27.
Bundeskriminalamt (2024c) Weltweite Ermittlungserfolge gegen Cyberkriminalität, Bundesministerium des Innern und für Heimat. Available at: https://www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2024/05/endgame.html;jsessionid=3872323A3201DF3143DE5C1CB097F96A.live861?nn=10001204 (Accessed: 15 October 2024).
C. David Hylender et al. (2024) ‘2024 Data Breach Investigations Report’. Available at: https://www.verizon.com/business/resources/reports/dbir/ (Accessed: 15 October 2024).
Chang, B. (2021) One of the biggest US insurance companies reportedly paid hackers $40 million ransom after a cyberattack, Business Insider. Available at: https://www.businessinsider.com/cna-financial-hackers-40-million-ransom-cyberattack-2021-5 (Accessed: 15 October 2024).
Countdown to Ransomware: Analysis of Ransomware Attack Timelines (no date) Security Intelligence. Available at: https://securityintelligence.com/x-force/analysis-of-ransomware/securityintelligence.com/x-force/analysis-of-ransomware (Accessed: 16 October 2024).
Day, G. (2024) Ransomware: True Cost to Business 2024. Available at: https://www.cybereason.com/blog/ransomware-true-cost-to-business-2024 (Accessed: 15 October 2024).
Field Effect (2024) The rise of cybercrime-as-a-service. Available at: https://fieldeffect.com/blog/cybercrime-as-a-service (Accessed: 16 October 2024).
ISAC (2020) Ransomware Guide September 2020. Available at: https://www.cisa.gov/sites/default/files/publications/CISA_MS-ISAC_Ransomware%20Guide_S508C.pdf (Accessed: 15 October 2024).
Luber, S. (2023) Was ist Cybercrime-as-a-Service (CaaS)?, Security-Insider. Available at: https://www.security-insider.de/was-ist-cybercrime-as-a-227da54abd15f73a0f3072b4e798b1ed/ (Accessed: 15 October 2024).
Nivedita James Palatty (2022) 100+ Ransomware Attack Statistics 2024: Trends & Cost. Available at: https://www.getastra.com/blog/security-audit/ransomware-attack-statistics/ (Accessed: 15 October 2024).
Ruellan, E., Paquet-Clouston, M. and Garcia, S. (2024) ‘Conti Inc.: understanding the internal discussions of a large ransomware-as-a-service operator with machine learning’, Crime Science, 13(1), pp. 1–13. Available at: https://doi.org/10.1186/s40163-024-00212-y.
Sophos (2024a) 2024 Ransomware Report: Sophos State of Ransomware. Available at: https://www.sophos.com/en-us/content/state-of-ransomware (Accessed: 15 October 2024).
Sophos (2024b) Ransomware Payments Increase 500% In the Last Year, Finds Sophos State of Ransomware Report | Sophos. Available at: https://www.sophos.com/en-us/press/press-releases/2024/04/ransomware-payments-increase-500-last-year-finds-sophos-state (Accessed: 15 October 2024).
The Latest Ransomware Statistics (updated June 2024) | AAG IT Support (no date). Available at: https://aag-it.com/the-latest-ransomware-statistics/ (Accessed: 15 October 2024).
Top 10 Dark Web Markets (2024) SOCRadar® Cyber Intelligence Inc. Available at: https://socradar.io/top-10-dark-web-markets/ (Accessed: 16 October 2024).