Je größer ein Unternehmen, desto höher der Managementaufwand. Das gilt auch für cyberkriminelle Gruppen: Laut einer Studie des Cybersicherheitsanbieters Trend Micro entwickeln insbesondere größere Gruppierungen zusehends ähnliche Prozesse wie legale Organisationen - und stoßen auf ebenso ähnliche Herausforderungen. 

Betriebskosten für Cyberkriminelle? Klingt absurd, ist aber durchaus Realität: So wenden große und auch kleinere kriminelle „Unternehmen“ rund 80 Prozent ihrer Betriebskosten für Gehälter auf, berichtet Trend Micro. Ausgaben für Infrastruktur (wie Server, Router und VPNs), virtuelle Maschinen und Software an, stehen auf Platz zwei der Kosten-Posten.

Die Studie teilt die kriminellen Gruppierungen je nach Größenordnung in drei Arten auf. Als Beispiele dienten den Forscher*innen ausgewählte Gruppen, die anhand von Daten der Strafverfolgungsbehörden sowie Insider-Informationen folgenderweise charakterisiert werden:

Kleine kriminelle „Unternehmen“
(Beispiel: der Counter-Antiviren-Dienst Scan4You)

Kleinere kriminelle „Unternehmen“ haben in der Regel eine eigene Managementebene, zwischen einem und fünf Mitarbeitende und einen Jahresumsatz von maximal 500.000 Euro. Mitarbeiter*innen übernehmen oft mehrere Aufgaben und gehen zusätzlich zu ihren kriminellen Machenschaften noch einem Hauptberuf nach. Ebenjene kleinen Organisationen stellen die Mehrheit im kriminellen Raum und arbeiten oft mit anderen Gruppierungen zusammen.

Mittelgroße kriminelle „Unternehmen“
(Beispiel: der „Bulletproof Hoster“ MaxDedi)

Hier bestehen meist bereits zwei Führungsebenen. In der Regel beschäftigen solche Gruppen rund sechs bis 49 Mitarbeiter*innen und haben einen Jahresumsatz von bis zu 50 Millionen Euro. Ihre Struktur ist pyramidenartig und hierarchisch mit einer einzigen Person als Gesamtverantwortliche*n.

Große kriminelle „Unternehmen“
(Beispiel: die Ransomware-Gruppe Conti)

Große kriminelle Organisationen haben normalerweise drei Managementebenen, mehr als 50 Mitarbeitende und einen Jahresumsatz von mehr 50 Millionen Euro. Sie verfügen teilweise über unternehmensähnliche Abteilungen (z.B. IT, HR) und führen sogar regelrechtes Personalmanagement inklusive Leistungsbeurteilungen durch. Dementsprechend mehr Mitarbeitende sitzen in den unteren Führungsebenen. Außerdem implementieren sie bereits effektive OPSEC (Operations Security). Die Verantwortlichen sind erfahrene Cyberkriminelle und stellen mehrere Entwickler, Administratoren und Penetrationstester ein – teilweise auch nur als befristete freie Mitarbeitende.

Professionalität wird zur Falle

Das Wissen um die Größe und Komplexität einer kriminellen Gruppierung kann Ermittler*innen wichtige Ansätze für ihre Arbeit liefern. Einen Anhaltspunkt stellen beispielsweise die Datentypen dar, nach denen sie suchen müssen. Größere kriminelle Organisationen speichern außerdem Mitarbeiterlisten, Jahresabschlüsse, Handbücher und Tutorials. Dazu gehören auch Fusions- und Akquisitionsdokumente, Details zu den Krypto-Wallets der Mitarbeiter und sogar gemeinsam genutzte Kalender. Wenn die Strafverfolgungsbehörden die Größe krimineller Gruppierungen kennen, können sie besser entscheiden, welche sie vorrangig verfolgen.

Stellenanzeige der Ransomeware-Gruppe Conti aus einem Darkweb-Forum. (Quelle: Trend Micro)

„Der kriminelle Untergrund professionalisiert sich zusehends – mit Gruppierungen, die seriösen Unternehmen in ihren Prozessen immer ähnlicher werden. Außerdem nimmt mit steigender Mitgliederzahl und wachsenden Einnahmen die Komplexität zu“, erklärt Richard Werner, Business Consultant bei Trend Micro. „Größere Cybercrime-Gruppierungen sind schwierig zu handhaben und haben mittlerweile ein hohes Maß an Bürokratie. Wie bei jedem Unternehmen gehören dazu auch schwache Leistungsträger und Vertrauensprobleme. Unser Report zeigt, wie wichtig es für Ermittler ist, die Größe der kriminellen Gruppierung zu verstehen, mit der sie es zu tun haben.“

(Titelbild: iStock)