Cybercrime ist längst kein Hobby mehr, das nachts im Kinderzimmer passiert. Es ist ein Job-Markt – mit Rollen, Prozessen, Spezialisierungen und (leider) erstaunlich guter „Customer Experience“.
Selbst das BKA sagt klar: Wir reden nicht mehr von Script-Kiddies, sondern von hochgradig professionalisierten Gruppierungen, die sich zusammenschließen und arbeitsteilig agieren.
Und das ist der Punkt, den viele Unternehmen unterschätzen: Du wirst nicht „von einem Hacker“ angegriffen – sondern von einem funktionierenden Geschäftsmodell.
Vom Einzeltäter zum Unternehmen – nur eben kriminell
Wenn du dir heute die Strukturen moderner Ransomware-Gruppen anschaust, wirkt das erschreckend vertraut: CEO, CFO, HR, Training, IT-Abteilung, Callcenter – alles dabei.
In unserem Vortrag mit dem BKA wird das sogar explizit als „Organigramm“ beschrieben, bei dem man kurz denken könnte: „Das ist doch meine Firma…“
Was dahinter steckt: Cybercrime ist zu einer Art Franchise- und Plattformökonomie geworden: Der einzelne musst nicht mehr alles können. Man kann Services einkaufen, Skills „mieten“ und Gewinne teilen.
Ein Beispiel: Ransomware-as-a-Service wird sinngemäß als „Cloud-Produkt im Darkweb“ beschrieben – inklusive gemieteter Infrastruktur, Support und sogar Gewinnbeteiligungsmodellen (wenn man nicht genug Startkapital hat).
Das deckt sich auch mit Europol-Einschätzungen: Affiliate-Programme sind zum dominanten Organisationsmodell vieler Ransomware-Gruppen geworden.
Welche „Jobs“ gibt’s im Cybercrime?
Die Professionalität entsteht vor allem durch Arbeitsteilung. Typische Rollen sind z. B.:
- Recherche-Teams: Durchforsten Social Media & öffentliche Daten, um Opfer gezielt auszuspähen.
- Hacking-Teams: Einstieg, Ausbreitung im Netzwerk, Zugriffsausbau.
- Malware-Entwicklung: Schadsoftware programmieren und laufend verbessern.
- „Krypter“-Teams: Malware so verpacken bzw. verschlüsseln, dass sie schwerer erkannt wird.
- QA & Testing gegen Security-Tools: Testen, ob gängige Schutzprogramme anschlagen – wenn ja, nachbessern.
- Infrastruktur & IT-Teams: Server, Domains, Hosting in verschiedenen Ländern betreiben.
- Verhandlungs-Teams: Profis, die mit dir „auf Augenhöhe“ über Lösegeld diskutieren (und das systematisch üben).
- Support und Callcenter: Ja, wirklich – auch „intern“, wenn eigene Leute Probleme haben.
- HR & Training: Rekrutierung, Onboarding, Wissensmanagement, „Fortbildung“.
Das ist kein „Chaos“. Das ist Betrieb.
BKA x aixpedIT: Cybercrime 2024 – das ganze Bild im Video
Wenn du Cybercrime einmal so erklärt bekommen willst, wie es Ermittler und Praktiker wirklich sehen: Auf dem ChannelPartner Kongress 2024 dürften wir einen Vortrag gemeinsam mit dem BKA über Cybercrime und Bedrohungspotenziale halten.
Du bekommst darin einen klaren Blick auf das „Business-Modell“ hinter Ransomware, das enorme Dunkelfeld – und warum die Täter heute so professionell arbeiten.
Kurz gesagt: Unbedingt anschauen, wenn du intern Argumente brauchst, warum Security kein „IT-Thema“, sondern ein Business-Risiko ist.
So sieht ein Angriff heute aus – ziemlich „prozessual“
Ransomware ist oft ein Mehrphasen-Modell, das eher an Projektmanagement erinnert als an „Random Hacking“.
So sieht laut BKA der typische Ablauf aus:
- Erstzugang z. B. durch Spam und Phishing
- Nachladen von Malware, Ausbreitung, Schwachstellen finden
- Wochen- bis monatelange Ausforschung, teils 4–6 Monate, um den besten Erpressungsbetrag zu bestimmen
- Exfiltration: Daten werden zuerst kopiert
- Verschlüsselung der Systeme
- Data Leak Sites: Veröffentlichung bzw. Androhung der Veröffentlichung. Das ermöglicht die doppelte Erpressung (Verschlüsselung + Datenleak) – und wenn’s nicht reicht: zusätzlich DDoS als „Dreifachknüppel“
Und dann kommt das, was viele überrascht: Du bekommst nicht nur eine Drohung, sondern teils ein richtiges „Kundenportal“ im Tor-Browser, in dem du nachschauen kannst, welche Daten die Täter haben und wie „schlimm“ es ist.
Das ist Professionalität – nur eben auf der falschen Seite.
„Vertrieb“ im Cybercrime: Opferauswahl statt Zufall
Auch „Sales“ ist Teil des Modells. Denn nicht jedes Opfer ist gleich attraktiv: Ein Unternehmen kurz vor der Pleite ist als Ransomware-Opfer „unbrauchbar“, weil weniger zu holen ist.
Deshalb gibt es Strukturen, die prüfen: Wer kann zahlen? Wer ist unter Druck?
Darum ist „wir sind zu klein, bei uns gibt’s nichts zu holen“ leider eine gefährliche Selbstberuhigung. Solange der Umsatz stimmt, ist jedes Unternehmen attraktiv.
Einstiegshürden: niedrig – Wirkung: hoch
Ein Grund, warum dieser „Job-Markt“ so wächst: Viele Angriffe sind nicht teuer und lassen sich skalieren.
- Phishing + Social Engineering sind „klassisch“ – und extrem effektiv.
- Call-ID-Spoofing, also die falsche Rufnummer anzeigen, wird als ziemlich einfach beschrieben – inklusive fertiger Apps und Preismodell. Eine falsche Domain mit Tippfehler („Typosquatting“) kostet nur ein paar Euro.
Täter kombinieren das gerne mit „echt“ wirkender Absenderdomain + parallelem Telefon-Druck („urgent“) – das ist psychologisch stark.
Dazu kommt: Cybercrime kauft sich Reichweite. In diesem {ungeskriptet}-Podcast von Ben beschreibt Florian Hansemann, wie Kriminelle mit Google Ads ihre Opfer auf manipulierte Downloadseiten lenken – teils mit sehr hohen Tagesbudgets, um über den echten Treffern bei Google zu landen.
Der „High-End“-Arbeitsmarkt: Zero-Days, Broker, Bug Bounty
Am oberen Ende wird’s dann richtig lukrativ – und das ist der Teil, der Cybercrime zu einem globalen Markt macht:
Schwachstellen (Zero-Days) werden über Zwischenhändler gehandelt. Am Ende stehen oft staatliche Nachfrager oder spezialisierte Firmen, die daraus Tools bauen.
Parallel existiert die legale Welt der Bug-Bounty-Programme, in denen Unternehmen für gemeldete Lücken zahlen – laut Florian Hansemann jedoch in Beträgen, die im Verhältnis zum möglichen Schaden gering wirken.
Kurz gesagt: Es gibt Karrierepfade – vom „Finder“ über Broker bis zum Operator.
Zahlen, die das Ganze einordnen: Das Dunkelfeld ist riesig
Laut BKA wurden allein in Deutschland 2024 über 131.000 angezeigte Cybercrime-Straftaten erfasst – aber: Cybercrime ist global, vieles passiert im Ausland.
Außerdem gibt es ein Dunkelfeld von deutlich über 90 % (vereinfacht: nur jeder zehnte Fall wird sichtbar).
Für Unternehmen gilt: Die Frage ist weniger ob, sondern wann. Im Vortrag nennt das BKA Umfragewerte, nach denen 2024 72 % der Unternehmen angeben, dass sie von einem Angriff „betroffen“ waren (plus weitere gaben an, „vermutlich betroffen“ zu sein).
Auch im offiziellen Bundeslagebild betont das BKA, dass Ransomware eine prägende Bedrohung bleibt und hohe Schäden verursacht.
Warum Professionalität für dich als IT-Entscheider wichtig ist
Weil sich daraus ganz konkrete Konsequenzen ergeben:
1. Du kämpfst nicht gegen Technik – du kämpfst gegen Prozesse.
Und Prozesse besiegt man nicht mit „noch einem Tool“, sondern mit klaren Standards, Zuständigkeiten und Übung.
2. Einzelmaßnahmen reichen nicht.
Wenn Angreifer Arbeitsteilung nutzen (Zugang einkaufen, Malware mieten, Verhandlungen outsourcen), musst du auf deiner Seite ebenfalls arbeitsteilig und sauber aufgestellt sein.
3. „Wir sind klein“ ist kein Schutz.
Viele Angriffe sind opportunistisch: „Tür offen oder halboffen“ – rein, fertig.Was du daraus ableiten solltest
Wenn Cybercrime ein Job-Markt ist, brauchst du in deinem Unternehmen das Pendant: eine belastbare Security-Praxis.
Konkrete Basics:
- Notfallplan & Incident-Management vorbereiten (wer macht was am „Tag X“?).
- Frühzeitige Abstimmung: Strafverfolgung ist sinnvoll – u. a. weil sie Trends erkennt und andere warnen kann.
- Awareness mit echten Szenarien: Kombi aus Phishing + Telefon + Druck ist real – und trainierbar. Bereite dein Team vor.
Realitätscheck aus der Praxis der Strafverfolger: Internationale Operationen richten sich zunehmend gegen die „Enabler“ (Infrastruktur & Malware-Ökosysteme), z. B. in der Europol-koordinierten Operation Endgame, die Droppers und Infrastruktur ins Visier genommen hat.
Der gefährlichste Mythos ist „Hacker = Einzelperson“
Cybercrime ist heute ein Arbeitsmarkt mit Spezialisierung, Skalierung und Service-Denke. Ransomware kommt mit Franchise-Logik, Verhandlungsprofis und Kundenportal. Phishing wird mit Telefonspoofing kombiniert. Und im Hintergrund gibt’s HR, Training und IT-Betrieb.
Wenn du das einmal so siehst, ändert sich dein Blick: Es geht nicht darum, „die eine Lücke“ zu schließen.
Es geht darum, dein Unternehmen so aufzustellen, dass es gegen professionelle Angriffsprozesse robust ist – organisatorisch und technisch.
.png)
