Cybercrime im Abo: RaaS verändert die Bedrohungslage

Welche Mechanismen hinter RaaS stecken und welche wirtschaftliche Anreize es für Angreifer gibt, erklärt Mick Baccio von Splunk im Interview.

Im März sorgte die neu identifizierte Ransomware-Gruppe mit dem Namen „VanHelsing“ für Schlagzeilen. Innerhalb weniger Tage tauchten Hinweise auf dutzende kompromittierte Systeme auf – samt Lösegeldforderungen im sechsstelligen Bereich. Die Gruppe ist kein Einzelfall, sondern Teil eines größeren Trends: Cyberangriffe lassen sich mittlerweile quasi im Abo über gut etablierte Mietmodelle orchestrieren.

Die wachsende RaaS-Ökonomie bringt immer ausgereiftere Geschäftsmodelle hervor. Dabei geht es längst nicht mehr nur um die Bereitstellung von Schadsoftware: Viele Gruppen entwickeln markenähnliche Identitäten mit klar definierten Rollenprofilen, abgestimmten Supportprozessen und aggressiver Partnerwerbung. Gruppen wie „DragonForce“ – in Sicherheitskreisen als Paradebeispiel für diesen Franchising-Ansatz bekannt – zeigen, wie strategisch und unternehmerisch organisiert die Szene mittlerweile agiert.

Ransomware-as-a-Service (RaaS) ist längst ein fester Bestandteil des Affiliate-Modells, auf dem viele Ransomware-Kampagnen basieren. Das Geschäftsmodell erlaubt es, professionelle Angriffswerkzeuge, Verschlüsselungstechnik und Verhandlungsservices einfach zu mieten – inklusive Support.

Auch wenn Ransomware-as-a-Service als Modell nicht neu ist, hat sich der Zugang dazu durch vorgefertigte Toolkits und skalierbare Plattformen stark vereinfacht. Das Geschäftsfeld bleibt lukrativ und zieht weiterhin eine wachsende Zahl von Angreifern an. Gleichzeitig beobachten Sicherheitsexperten eine zunehmende Professionalisierung der Szene – sowohl in den Angriffsmethoden als auch in der Organisation der Gruppen selbst. Wie hat sich das Geschäftsmodell von Ransomware in den letzten Jahren verändert?

Mick Baccio: Die Zeiten, in denen Ransomware-Gangs aus dem sprichwörtlichen Keller heraus operierten, sind vorbei. Heute ähneln viele dieser Gruppen professionellen Unternehmen – mit klaren Strukturen, spezialisierten Rollen und sogar PR-Abteilungen. Diese Professionalisierung ist insbesondere durch das Geschäftsmodell „Ransomware-as-a-Service“ vorangetrieben worden. Wer ein paar Tausend Dollar investiert, kann heute fertige Angriffstools samt Support erwerben und binnen Stunden eine Attacke starten. Damit wird Cyberkriminalität nicht nur lukrativer, sondern auch zugänglicher.

Wie funktioniert das Modell Ransomware-as-a-Service konkret?

Mick Baccio: RaaS funktioniert heute oft wie ein Franchisesystem für Cyberangriffe. Anbieter stellen ihren Kunden nicht nur ein Komplettpaket aus Schadsoftware, Exploit-Kits und Kommunikationsinfrastruktur zur Verfügung – sie bieten oft sogar auch abgestufte Preismodelle, Erfolgsbeteiligungen, Community-Support und Marketingmaterialien. Diese kommerzielle Aufstellung senkt die Einstiegshürde erheblich und macht Cyberkriminalität zu einem attraktiven Geschäftsmodell – sowohl für organisierte Gruppen als auch Gelegenheitsangreifer.

Die Art der Erpressung verändert sich auch. Ist Verschlüsselung immer noch das Kernziel der Angreifer?

Mick Baccio: Heute reden wir fast immer über „Double Extortion“: Die Angreifer verschlüsseln nicht nur Daten, sondern drohen auch mit der Veröffentlichung sensibler Inhalte. Zusätzlich setzen viele Gruppen inzwischen professionelle Verhandlungsführer ein, die psychologisch geschult sind und Druck aufbauen – etwa durch gestaffelte Forderungen oder eskalierende Drohungen. Ziel ist es, den Schaden für das Opfer möglichst hoch erscheinen zu lassen, um die Zahlungsbereitschaft zu erhöhen.

Lesen Sie auch : Malware-Ranking Juni: Infostealer Formbook weiterhin an der Spitze

Es scheint so, dass sich Unternehmen immer mehr gegen Cyberangriffe schützen. Warum bleiben diese Angriffe trotz aller Abwehrmaßnahmen so erfolgreich?

Mick Baccio: Ransomware ist ökonomisch betrachtet ein extrem attraktives Modell: hohe Gewinnmargen, geringe Einstiegskosten und ein überschaubares Risiko – insbesondere durch internationale Gesetzeslücken. Hinzu kommt: Viele Unternehmen verlassen sich nach wie vor auf perimeterbasierte Schutzsysteme, also klassische Firewalls. Diese sind aber längst nicht mehr ausreichend. Angriffe über Cloud-Dienste, Supply Chains oder Social Engineering machen deutlich, dass nur ein Zero-Trust-Ansatz mit kontinuierlichem Monitoring und Threat Intelligence wirkungsvoll ist.

Gibt es einen Wandel bei den bevorzugten Angriffszielen?

Mick Baccio: Definitiv. Früher waren es große Unternehmen mit tiefen Taschen. Heute stehen Krankenhäuser, Schulen oder kleinere Versorger im Visier – nicht weil sie mehr Geld bringen, sondern weil der Druck zur Zahlung viel höher ist. Zudem beobachten wir eine zunehmende Bedrohung kritischer Infrastrukturen – also Energieversorger, Wasserwerke oder Verkehrsnetze. Diese Systeme sind oft veraltet, schlecht abgesichert und enorm störanfällig. Aktuell verzeichnen wir zudem einen deutlichen Anstieg gezielter Angriffe auf Versicherungsunternehmen – insbesondere durch Gruppen wie Scattered Spider, die sich durch ausgefeilte Taktiken und gut koordinierte Operationen auszeichnen. Solche Entwicklungen zeigen, wie sehr sich Angreifer an branchenspezifische Schwachstellen anpassen.

Welche Rolle spielt Kryptowährung in diesem Ökosystem?

Mick Baccio: Digitale Währungen wie Bitcoin sind das Rückgrat des Ransomware-Geschäfts. Sie ermöglichen schnelle, grenzüberschreitende Zahlungen mit relativ hoher Anonymität. Viele Gruppen betreiben sogar interne Finanzabteilungen, um die Geldflüsse gezielt zu verschleiern und Rückverfolgung zu erschweren. Kryptowährungen fördern damit sowohl die Skalierbarkeit als auch die Persistenz der Angriffe.

Und was können Unternehmen konkret tun, um sich besser zu schützen?

Mick Baccio: Neben technologischen Frameworks wie Zero Trust oder Endpoint Detection & Response (EDR) ist es entscheidend, die Grundlagen nicht zu vergessen: gute Passworthygiene, regelmäßige Updates, Awareness-Trainings für Mitarbeitende. Ohne diese Basis helfen auch die besten Tools wenig. Oder wie ich gerne sage: “Esst euer Cyber-Gemüse”. Organisationen brauchen ein mehrschichtiges Sicherheitskonzept – und das Verständnis, dass Prävention allein nicht reicht. Entscheidend ist die Fähigkeit, Angriffe zu überstehen und schnell zu reagieren: Resilienz ist das neue Paradigma.

Diese zunehmende Professionalisierung der Ransomware-Szene erfordert ein Umdenken: Verteidigung darf nicht nur technisch gedacht werden, sondern muss auch psychologische, kommunikative und organisatorische Aspekte einbeziehen. Wer heute resilient sein will, braucht nicht nur starke Systeme, sondern auch starke Prozesse – vom Incident Response über die Krisenkommunikation bis hin zur kontinuierlichen Lagebeurteilung.

Lesen Sie auch : “Deepfakes sind plattform- und branchenübergreifend hochkoordiniert”