Thought Leadership
Moderne Cyberkriminelle lassen die Grenze zwischen digitaler Kriminalität und klassischer Geschäftstätigkeit zunehmend verschwimmen.
Auf Basis einschlägiger Forendiskussionen, Dienstleistungsangebote und realwirtschaftlicher Spuren hat das Team von Sophos X-Ops verfolgt, wie die Bedrohungsakteure von der Monetarisierung über die Geldwäsche bis zur Reinvestition wirtschaftlich agieren. Die digitalen Täter beweisen dabei eine hohe kaufmännische Raffinesse.
Wer steckt dahinter? Täterbilder der neuen Schattenökonomie
Die untersuchten Daten deuten auf eine heterogene, aber hochgradig ökonomisierte Szene hin. Viele geben sich als Freelancer, Entwickler, Projektmanager oder Marketingexperten aus. Einige betreiben reale Firmen – teils zur Geldwäsche, teils als Teilzeitgeschäft. Die Cybergangster agieren geografisch verteilt, arbeitsteilig, rollenbasiert und mit klarer Aufgabenteilung (Entwicklung, operativer Bereich, Vertrieb). Das Selbstverständnis ist dabei oft das eines Geschäftsmanns, nicht eines Kriminellen. Viele orientieren sich an Start-up-Ideen – nur ohne ethische oder regulatorische Grenzen.
Professionalisierung als Geschäftsmodell
In den einschlägigen Foren findet sich eine beachtliche Bandbreite an Aktivitäten – von der Entwicklung und Vermarktung neuer Malware-Tools über DDoSas-a-Service-Angebote bis hin zu strategischer Investitionsberatung unter Kriminellen selbst. Geld, das aus Betrug oder Erpressung stammt, wird oft reinvestiert. So schreibt ein Nutzer etwa: „Investiere es in das Business, das dir das Geld gebracht hat. Ist doch logisch.“
Vier zentrale Geschäftsmodelle lassen sich identifizieren:
1. Digitale Geschäftsmodelle im Cybercrime
2. Umwandlung und Nutzung realer Gewinne
3. Investitionen in halblegale Graubereiche
4. Reinvestition in illegale Geschäfte
#1 Digitale Geschäftsmodelle
E-Commerce und Dienstleitung, Skalierbarkeit und Automatisierung, Markenbildung und Partnerprogramm
Die Cybercrime-Ökonomie ist hochgradig strukturiert, arbeitsteilig und auf Wachstum ausgelegt. Wo früher spontane Einzelaktionen dominierten, finden sich heute skalierbare Geschäftsmodelle mit Support, Wiederverwendbarkeit und klarer Nutzerzentrierung.
Angriffswerkzeuge wie Stealer, Phishing-Kits oder Botnet-Frameworks werden als Malware-as-a-Service (MaaS) in abonnementbasierten Modellen angeboten. Kunden erhalten nicht nur fertige Tools, sondern auch Dashboards mit Echtzeit-Statistiken – inklusive Geodaten, Infektionsraten und Umsatzmetriken.
Ein Forennutzer bringt es auf den Punkt: „Wer nicht misst, kann nicht wachsen.“
Viele Gruppen orientieren sich am klassischen E-Commerce: Helpdesks, Ticket-Systeme und sogar Live-Chats für Erpressungsopfer gehören zur Grundausstattung. Technische Dokumentationen, Schritt-für-Schritt-Zahlungsanleitungen und FAQ-Bereiche sorgen für niedrigere Abbruchraten. Rabatte, Countdown-Timer und Gütesiegel wirken als psychologische Trigger.
Ein anderer Beitrag merkt an: „Conversions erhöhen sich um 30 Prozent, wenn du zeigst, dass du erreichbar bist.“
Die Szene denkt in KPIs, Branding und User Experience – wie legale Tech-Start-ups, nur im kriminellen Kontext. Vertrauenssiegel, „Partnerprogramme“ und Kundenbewertungen dienen zur Differenzierung. Manche Gruppen nutzen Corporate Design, eigene Logos und Social-Media-artige Kanäle zur Imagepflege. Selbst Empfehlungsmarketing und Reputationsbewertungen sind etabliert.
#2 Umwandlung und Nutzung realer Gewinne
Mixer, Mules, Luxus und Haustiere: Geldwäsche und Investitionen mit Bedacht
Cybercrime endet nicht mit dem digitalen Diebstahl, im Gegenteil, er beginnt oft erst dort. Die Konvertierung von Kryptowährungen in reale Vermögenswerte erfordert durchdachte Strategien zur Anonymisierung und Legitimierung.
Krypto-Mixer, Tumbler und Prepaid-Karten dienen zur Verschleierung von Transaktionen. Täter greifen aber auch auf regulierte Plattformen wie Binance oder PayPal zurück – häufig über gefälschte oder gemietete Identitäten. Geldkuriere („Mules“) und Briefkastenfirmen übernehmen die finale Distribution. In einigen Fällen entwickeln Gruppen sogar eigene Tools zur Geldwäsche, um externe Abhängigkeiten zu vermeiden.
Die Gewinne werden häufig in langlebige, transportable Güter überführt: Uhren, Autos, Technik oder Designerstücke dienen als Wertspeicher. Auch Immobilieninvestitionen – vor allem in Russland, Südostasien oder auf dem Balkan – sind gängige Praxis, meist über Strohleute oder Offshore-Konstrukte. Sogar NFT(Non-Fungible Token)-Kunst – also digitale Kunstwerke, auf der Blockchain als nicht austauschbare Eigentumszertifikate gesichert – sowie teure Rassehunde tauchen in Diskussionen als Kapitalanlage auf.
Auch hier finden sich Logos, CI-konforme Oberflächen sowie Ratings, „Trust- Levels“ und Kundenbewertungen, und es existieren Empfehlungsprogramme und Partnermodelle.
Viele Täter zeigen sich dabei erstaunlich diszipliniert: Statt dekadenter Ausgaben setzen sie auf unauffälligen Konsum und langfristige Wertstabilität.
#3 Investitionen in halblegale Graubereiche
Expansion in die Grauzone, Legalisierung durch Nebel
Brisant ist die zunehmende Verlagerung in halb-legale Geschäftsmodelle. Hier reinvestieren Täter ihre Gewinne in Aktivitäten, die auf den ersten Blick legal erscheinen, tatsächlich aber aus dem Schatten finanziert werden – und für Ermittlungsbehörden schwer greifbar sind. Dazu zählen der Handel mit Spionagesoftware, etwa über vorgeschobene Pentesting-Firmen, der Betrieb von Webcam-Studios und pornografischen Plattformen, teils mit ausbeuterischen Strukturen, sowie der Verkauf von Traffic, SEO-Diensten und Affiliate-Klicks. Auch Online-Glücksspiel, P2P-Wetten auf Blockchain-Basis, Pharmahandel ohne Zulassung und sogenannte Residency-for-Crypto-Programme fallen in dieses Spektrum.
Diese Formen der wirtschaftlichen Schattenintegration nutzen bewusst juristische Nebelfelder, Offshore-Jurisdiktionen, regulierte Dienstleister (wie Zahlungsabwickler oder Domainanbieter) und verschachtelte Firmenkonstruktionen, um das kriminelle Fundament zu verschleiern. So entsteht ein Ökosystem, das zunehmend professionell, arbeitsteilig und regulatorisch entkoppelt operiert. Die Trennung zwischen digitalem Verbrechen und realwirtschaftlicher Nutzung löst sich damit weiter auf.
#4 Reinvestition in illegale Geschäfte
Illegale Geschäfte mit System: Betrug, Bestechung, Sexarbeit, Fälschungen, Drogen
Cyberkriminelle sprechen in den Foren offen von ihren „schwarzen Projekten“ – also Geschäftsmodellen, die illegal, halblegal oder bewusst schwer zu verfolgen sind. Dabei reicht das Spektrum von digitalen Betrugsmaschen bis hin zu Geschäftsmodellen mit realem Fußabdruck in der physischen Welt.
Der klassische Betrug umfasst etwa Rückerstattungstricks bei bekannten Online-Händlern, Fake-Anzeigen auf Plattformen wie Avito oder die Erstellung synthetischer Identitäten mithilfe sogenannter CPNs (Credit Privacy Numbers). Auch Pyramidenspiele mit angeblich lukrativen Renditen auf Basis von Kryptowährungen (etwa USDT) werden aktiv beworben. Der Bereich Fälschungen reicht von nachgemachtem Gold bis hin zu vermeintlich antiken Artefakten, die über private Kanäle vertrieben werden sollen.
Darüber hinaus dokumentieren die Foren strukturelle Vorhaben: Escort-Agenturen mit geplanten Bestechungsmaßnahmen, Bordellkonzepte mit „hoher Rendite“ oder Cannabisplantagen, die detailliert in Businessplänen inklusive Break-Even-Kalkulation vorgestellt werden. Parallel dazu werden Anleitungen zur Steuerhinterziehung oder Geldwäsche geteilt, darunter auch Hinweise, wie etwa in Kanada, wo angebliche Einnahmen aus Sexarbeit zur Legalisierung illegaler Gelder dienen könnten. Diskutiert wird auch der gezielte Einsatz geleakter Unternehmensdaten für Insiderhandel, etwa durch das Platzieren von Put-Optionen vor einem Ransomware-Angriff.
Verstörend sind zudem Berichte über Falschgeld in hoher Druckqualität oder sogar über den Einsatz von Scopolamin („Wahrheitsserum“) zur Einschüchterung und Ausraubung von Opfern.
Bei kriminellen Ökosystemen handelt es sich nicht um chaotische Parallelwelten, sondern um professionell strukturierte, global vernetzte Systeme.
Michael Veit, Sophos
Die kriminelle Logik hinter dem Business
Was alle beschriebenen Aktivitäten eint, ist eine grundlegend unternehmerische Logik. In Diskussionen geht es um Zielgruppen, Kostenoptimierung, Risikominimierung, Expansion – genau wie in der legalen Startup-Welt. Selbst „Exit-Strategien“ werden erörtert, etwa durch den Wechsel in vermeintlich legale Geschäftsfelder oder durch die Einrichtung komplexer Geldwäschestrukturen. Eine nüchterne Stimme aus einem Forum bringt es auf den Punkt:
„Cybercrime ist ein Markt. Wer schlau investiert, gewinnt.“
Cybercrime verstehen heißt Wirtschaft verstehen
Die Analyse krimineller Ökosysteme offenbart daher ein überraschend klares Bild: Es handelt sich nicht um chaotische Parallelwelten, sondern um professionell strukturierte, global vernetzte Systeme. Cybercrime funktioniert nach ökonomischen Prinzipien – mit skalierbaren Geschäftsmodellen, KPI-orientierter Steuerung und wachstumsgetriebenem Denken. Die Täter agieren dabei nicht außerhalb des Systems, sondern nutzen legale Infrastrukturen – Finanzdienste, Hosting, Social Media – auf eine Weise, für die sie nie gedacht waren, die aber umso wirkungsvoller ist.
Für Sicherheitsverantwortliche und Ermittlungsbehörden ergibt sich daraus ein Paradigmenwechsel: Threat Intelligence muss um wirtschaftliche Perspektiven erweitert werden – etwa durch Analysen zur Wertschöpfungskette krimineller Gruppen oder zur Kapitalverwendung. Strafverfolgung und Compliance sollten enger verzahnt agieren, um regulatorische Schlupflöcher systematisch zu schließen. Und nicht zuletzt gilt: Technischer Schutz allein greift zu kurz, wenn sich Täter zunehmend im Schatten legaler Infrastrukturen bewegen. Denn auch, wenn ein Unternehmen legal erscheint, können dahinter einzelne Bedrohungsakteure oder ganze Gruppen stecken – die mit dem legal verdienten Geld erneut Cybercrime begehen.
