Cybercrime ist längst kein Hobby mehr, das nachts im Kinderzimmer passiert. Es ist ein Job-Markt – mit Rollen, Prozessen, Spezialisierungen und (leider) erstaunlich guter „Customer Experience“.
Selbst das BKA sagt klar: Wir reden nicht mehr von Script-Kiddies, sondern von hochgradig professionalisierten Gruppierungen, die sich zusammenschließen und arbeitsteilig agieren.
Und das ist der Punkt, den viele Unternehmen unterschätzen: Du wirst nicht „von einem Hacker“ angegriffen – sondern von einem funktionierenden Geschäftsmodell.
Wenn du dir heute die Strukturen moderner Ransomware-Gruppen anschaust, wirkt das erschreckend vertraut: CEO, CFO, HR, Training, IT-Abteilung, Callcenter – alles dabei.
In unserem Vortrag mit dem BKA wird das sogar explizit als „Organigramm“ beschrieben, bei dem man kurz denken könnte: „Das ist doch meine Firma…“
Was dahinter steckt: Cybercrime ist zu einer Art Franchise- und Plattformökonomie geworden: Der einzelne musst nicht mehr alles können. Man kann Services einkaufen, Skills „mieten“ und Gewinne teilen.
Ein Beispiel: Ransomware-as-a-Service wird sinngemäß als „Cloud-Produkt im Darkweb“ beschrieben – inklusive gemieteter Infrastruktur, Support und sogar Gewinnbeteiligungsmodellen (wenn man nicht genug Startkapital hat).
Das deckt sich auch mit Europol-Einschätzungen: Affiliate-Programme sind zum dominanten Organisationsmodell vieler Ransomware-Gruppen geworden.
Die Professionalität entsteht vor allem durch Arbeitsteilung. Typische Rollen sind z. B.:
Das ist kein „Chaos“. Das ist Betrieb.
Wenn du Cybercrime einmal so erklärt bekommen willst, wie es Ermittler und Praktiker wirklich sehen: Auf dem ChannelPartner Kongress 2024 dürften wir einen Vortrag gemeinsam mit dem BKA über Cybercrime und Bedrohungspotenziale halten.
Du bekommst darin einen klaren Blick auf das „Business-Modell“ hinter Ransomware, das enorme Dunkelfeld – und warum die Täter heute so professionell arbeiten.
Kurz gesagt: Unbedingt anschauen, wenn du intern Argumente brauchst, warum Security kein „IT-Thema“, sondern ein Business-Risiko ist.
Ransomware ist oft ein Mehrphasen-Modell, das eher an Projektmanagement erinnert als an „Random Hacking“.
So sieht laut BKA der typische Ablauf aus:
Und dann kommt das, was viele überrascht: Du bekommst nicht nur eine Drohung, sondern teils ein richtiges „Kundenportal“ im Tor-Browser, in dem du nachschauen kannst, welche Daten die Täter haben und wie „schlimm“ es ist.
Das ist Professionalität – nur eben auf der falschen Seite.
Auch „Sales“ ist Teil des Modells. Denn nicht jedes Opfer ist gleich attraktiv: Ein Unternehmen kurz vor der Pleite ist als Ransomware-Opfer „unbrauchbar“, weil weniger zu holen ist.
Deshalb gibt es Strukturen, die prüfen: Wer kann zahlen? Wer ist unter Druck?
Darum ist „wir sind zu klein, bei uns gibt’s nichts zu holen“ leider eine gefährliche Selbstberuhigung. Solange der Umsatz stimmt, ist jedes Unternehmen attraktiv.
Ein Grund, warum dieser „Job-Markt“ so wächst: Viele Angriffe sind nicht teuer und lassen sich skalieren.
Täter kombinieren das gerne mit „echt“ wirkender Absenderdomain + parallelem Telefon-Druck („urgent“) – das ist psychologisch stark.
Dazu kommt: Cybercrime kauft sich Reichweite. In diesem {ungeskriptet}-Podcast von Ben beschreibt Florian Hansemann, wie Kriminelle mit Google Ads ihre Opfer auf manipulierte Downloadseiten lenken – teils mit sehr hohen Tagesbudgets, um über den echten Treffern bei Google zu landen.
Am oberen Ende wird’s dann richtig lukrativ – und das ist der Teil, der Cybercrime zu einem globalen Markt macht:
Schwachstellen (Zero-Days) werden über Zwischenhändler gehandelt. Am Ende stehen oft staatliche Nachfrager oder spezialisierte Firmen, die daraus Tools bauen.
Parallel existiert die legale Welt der Bug-Bounty-Programme, in denen Unternehmen für gemeldete Lücken zahlen – laut Florian Hansemann jedoch in Beträgen, die im Verhältnis zum möglichen Schaden gering wirken.
Kurz gesagt: Es gibt Karrierepfade – vom „Finder“ über Broker bis zum Operator.
Laut BKA wurden allein in Deutschland 2024 über 131.000 angezeigte Cybercrime-Straftaten erfasst – aber: Cybercrime ist global, vieles passiert im Ausland.
Außerdem gibt es ein Dunkelfeld von deutlich über 90 % (vereinfacht: nur jeder zehnte Fall wird sichtbar).
Für Unternehmen gilt: Die Frage ist weniger ob, sondern wann. Im Vortrag nennt das BKA Umfragewerte, nach denen 2024 72 % der Unternehmen angeben, dass sie von einem Angriff „betroffen“ waren (plus weitere gaben an, „vermutlich betroffen“ zu sein).
Auch im offiziellen Bundeslagebild betont das BKA, dass Ransomware eine prägende Bedrohung bleibt und hohe Schäden verursacht.
Weil sich daraus ganz konkrete Konsequenzen ergeben:
Und Prozesse besiegt man nicht mit „noch einem Tool“, sondern mit klaren Standards, Zuständigkeiten und Übung.
Wenn Angreifer Arbeitsteilung nutzen (Zugang einkaufen, Malware mieten, Verhandlungen outsourcen), musst du auf deiner Seite ebenfalls arbeitsteilig und sauber aufgestellt sein.
Wenn Cybercrime ein Job-Markt ist, brauchst du in deinem Unternehmen das Pendant: eine belastbare Security-Praxis.
Konkrete Basics:
Realitätscheck aus der Praxis der Strafverfolger: Internationale Operationen richten sich zunehmend gegen die „Enabler“ (Infrastruktur & Malware-Ökosysteme), z. B. in der Europol-koordinierten Operation Endgame, die Droppers und Infrastruktur ins Visier genommen hat.
Cybercrime ist heute ein Arbeitsmarkt mit Spezialisierung, Skalierung und Service-Denke. Ransomware kommt mit Franchise-Logik, Verhandlungsprofis und Kundenportal. Phishing wird mit Telefonspoofing kombiniert. Und im Hintergrund gibt’s HR, Training und IT-Betrieb.
Wenn du das einmal so siehst, ändert sich dein Blick: Es geht nicht darum, „die eine Lücke“ zu schließen.
Es geht darum, dein Unternehmen so aufzustellen, dass es gegen professionelle Angriffsprozesse robust ist – organisatorisch und technisch.