Ransomware as a Service: ein Geschäftsmodell. Cybercrime ist längst ein All-inclusive-Service

Show Notes

In dieser Folge von Cybersecurity Basement sprechen Michael und Andreas über eines der erfolgreichsten Geschäftsmodelle der Cyberkriminalität: Ransomware as a Service. Was einst mit einer Diskette im Jahr 1989 begann, hat sich heute zu einer hochprofessionellen Industrie entwickelt.

Gemeinsam beleuchten sie, wie das Geschäftsmodell hinter Ransomware eigentlich funktioniert. Von gekauften E-Mail-Adresslisten über gemietete Infrastruktur im Darknet bis hin zu professionellen „Customer-Support“-Strukturen für die Lösegeldverhandlungen. Warum können selbst technisch weniger versierte Täter heute Teil solcher Angriffe werden? Wie arbeiten die Gruppen hinter den Kampagnen? Und warum floriert dieses Modell weiterhin weltweit?

Michael und Andreas erklären außerdem, wie sich Ransomware-Angriffe in den letzten Jahren verändert haben, welche Rolle Leak-Portale und doppelte Erpressung spielen und warum Unternehmen trotz moderner Security-Tools häufig zu spät reagieren.

Möchtest du mehr über unseren Podcast wissen? Dann wirf einen Blick in unser Media Kit. Dort findest du alles Wichtige:

Cybersecurity Basement - Media Kit

Du findest uns auch auf:
(2) suresecure GmbH: Ihr Unternehmen | LinkedIn
@suresecure_de • Instagram-Fotos und -Videos
suresecure (@suresecure_de) | TikTok

Transcript

Michael Hallo und herzlich willkommen zu einer neuen Ausgabe von Cybersecurity Basement, dem Podcast für echten Security Content. Heute wollen wir uns noch einmal mit einem Thema beschäftigen, das wir schon ein paar Mal hatten, aber aus gegebenem Anlass noch einmal auf die Agenda zurückholen. Wir wollen uns auch ein bisschen die Geschichte anschauen: Wo kommt Ransomware eigentlich her? Was macht sie so gefährlich?

Michael Und wie wurde daraus eigentlich ein Geschäftsmodell? Und wie funktioniert das? Das wollen wir heute besprechen. Und ich könnte mir dafür keinen besseren Gast vorstellen als Andreas Papadaniil, Gründer und Geschäftsführer der suresecure GmbH. Ich sage herzlich willkommen.

Andreas Danke dir für dieses romantische Intro.

Michael Schön. Wie geht es dir heute, Andreas?

Andreas Ja, bestens. Heute ist Podcasttag. Ich sag dir: Könnte auch nicht schöner sein. Es gibt in regelmäßigen Abständen Nachrichten auf LinkedIn von Menschen, die mir schreiben: „Hey, der Podcast ist ja super toll, das gefällt mir gut.“ Und da freut man sich natürlich, wenn man etwas tun kann, was auch gut ankommt.

Michael Zudem scheint die Sonne mal wieder. Wir haben März 2026, das war bisher nicht so oft der Fall. Bei dir schon, bei uns hier weniger. Lass uns über Ransomware sprechen. Ein Thema, mit dem ich, glaube ich, auch das erste Mal so Berührungspunkte hatte, als ich angefangen habe. Wenn man sich anschaut, was die erste Ransomware war, dann wissen Experten: Die gab es schon vor der Wende zum Jahr 2000, also vor dem Millennium. Sie datiert aus dem Jahr 1989.

Michael Kannst du dich daran erinnern? 89, das war ja noch ein bisschen Zeit gefühlt.

Andreas Jetzt hast du mich aber auch noch einmal von den Socken geholt. Das war mir nicht bewusst.

Michael Ich habe es im Vorfeld einmal recherchiert, weil es ja immer spannend ist, wenn man sich mit dem Thema beschäftigt: Wo kommt es her und ist das eigentlich wirklich so ein neues Phänomen? Und tatsächlich, ich löse auf: Das erste dokumentierte Beispiel für eine Ransomware ist der AIDS-Trojaner aus dem Jahr 1989, auch bekannt als PC Cyborg Trojan.

Michael Damals wurden Disketten versandt. Es wurde als AIDS-Informationsmaterial getarnt. 20.000 infizierte Disketten wurden verschickt. Jeder, der sie in seinen Computer eingelegt hat, war dann mit verschlüsselten Dateien konfrontiert und sollte 189 Dollar bezahlen, damit die Dateien wieder entschlüsselt werden.

Andreas Also meine Frage ist jetzt: Wie? Hast du dann die Dollars von der Bank abgehoben, einen Brief reingetan, in einen Umschlag und dann verschickt? Oder wie lief das?

Michael Ich kann das kurz zitieren. Um wieder auf die Daten zugreifen zu können, sollten die Opfer 189 US-Dollar an die Firma PC Cyborg Corp. mit einem Postfach in Panama schicken. Dr. Popp wurde schließlich gefasst, allerdings nie verurteilt, da er als verhandlungsunfähig erklärt wurde. Laut Angaben seines Anwalts begann er damit, einen Karton auf dem Kopf zu tragen, um sich vor Strahlung zu schützen.

Michael Damit haben wir die Geschichte.

Andreas Okay. Das ist aber heutzutage auch nicht mehr so.

Michael Damit wollen wir die Historie auch so ein bisschen beruhen lassen. Wir alle wissen, dass es im Laufe der nächsten 20 Jahre immer mal wieder Wellen gab. Von Wannacry-Attacken und ein paar berühmten Fällen werden wir sicherlich noch eingehen. Sprung in die Gegenwart: Aus Ransomware ist ein Geschäft geworden.

Michael Und wir wollen uns im ersten Abschnitt einmal anschauen, wie genau dieses Geschäftsmodell eigentlich funktioniert. Wir merken immer wieder in Gesprächen, dass das gar nicht so auf dem Schirm ist. Teilweise. Deswegen, Andreas, fangen wir damit mal an: Was genau bedeutet denn Ransomware as a Service?

Andreas Ja, gerne. Ich kam ja auch vor ein paar Tagen zu dir mit dem Vorschlag, diese Folge noch einmal zu drehen, weil ich hier in Kapstadt auf einer großen Investorenkonferenz war. Ungefähr 500 Global Leader und Investoren waren dort.

Andreas Und da habe ich über das Thema noch einmal ein bisschen recherchiert. Ich rede jetzt schon seit sechs, sieben Jahren über Ransomware und war dann doch ein bisschen überrascht, dass viele gar nicht wussten, dass es dieses Geschäftsmodell überhaupt gibt und was es damit auf sich hat.

Andreas Da habe ich mal wieder gemerkt, wie sehr wir eigentlich in unserer eigenen Cybersecurity-Bubble leben. Dinge, die für uns komplett selbstverständlich sind, sind da draußen noch längst nicht selbstverständlich. Und das war der Anlass zu sagen: Lass uns noch einmal darüber reden.

Andreas Ransomware ist nämlich nicht einfach eine Spielerei, sondern ein sehr professionelles Geschäftsmodell. Allen voran kann man sagen: organisierte Kriminalität mit Angreifergruppen, die dahinterstecken und super professionalisiert sind.

Andreas Früher hat man bei organisierter Kriminalität an Yakuza oder Cosa Nostra gedacht, die mit allen möglichen Mitteln im physischen Raum Geld verdienen wollten. Heute sind es Angreifergruppen wie Black Basta oder Akira oder Conti und viele andere. Die machen das Ganze digital und sehr professionell.

Andreas Ransomware as a Service bedeutet im Grunde: Du kannst da mitspielen. Du kannst dir von einer dieser Gruppen einen Ransomware-Trojaner zur Verfügung stellen lassen, den du dann in Umlauf bringst. Wenn das Opfer zahlt, kann man nachvollziehen, dass es ein Trojaner war, den du verschickt hast. Und du bekommst am Ende eine Provision dafür.

Andreas Du musst also eigentlich keine großen Kenntnisse haben, um selbst Malware zu entwickeln.

Michael Service klingt ja immer erst einmal komfortabel. Lass uns diese Infrastruktur einmal kurz aufarbeiten. Für mich als jemand, der sagt: Ich möchte mich an diesem Geschäft beteiligen. Ich kaufe mir also Malware ein, aber das ist ja noch nicht alles.

Michael Das Ding muss ja auch irgendwo hingeschickt werden. Was bietet mir dieser Service noch an Infrastruktur?

Andreas Die Malware bekommst du von deinem Ransomware-Service-Provider. Aber nur eine Malware zu besitzen heißt noch lange nicht, dass du damit jemanden verschlüsseln kannst.

Andreas Als Nächstes kannst du dir im Darknet Adresslisten kaufen mit E-Mail-Adressen, weil du das Ganze ja irgendwo hinschicken willst, im besten Fall per E-Mail. Das ist mittlerweile relativ kostengünstig.

Andreas Du kaufst riesige Listen und sagst: Okay, jetzt habe ich schon einmal Adressaten. Und du kannst sogar filtern nach Umsatz, Unternehmensgröße, Branche. Du möchtest ja möglichst gute Targets treffen.

Andreas Es gibt zwei Ansätze: Entweder große Unternehmen, wo der Schaden hoch ist und du viel Geld machen kannst. Die sind aber oft besser abgesichert. Oder kleinere Ziele: Unternehmen mit 50 Mitarbeitern und vielleicht 10 bis 20 Millionen Umsatz.

Andreas Die haben oft kaum Verteidigung, weil sie gesetzlich nicht gezwungen sind, viel zu tun und sich noch nie intensiv damit beschäftigt haben. Dort ist die Trefferchance höher.

Michael Zwei Rückfragen. Erstens: Wie finde ich den für mich passenden Provider? Wie erkenne ich, ob das ein guter oder schlechter Anbieter ist? Und zweitens: Wenn ich Adressen im Darknet kaufe, wo kommen die eigentlich her?

Michael Und wie kann ich als Privatperson prüfen, ob meine Adresse dort irgendwo verfügbar ist?

Andreas Fangen wir mit den E-Mail-Adressen an. Die kommen zum Beispiel aus anderen Hacks. Du hast vielleicht ein Dropbox-Konto oder einen anderen Dienst und meldest dich dort mit deiner Firmen-E-Mail-Adresse an.

Andreas Wenn dieser Dienst gehackt wird, werden große Datenbanken mit E-Mail-Adressen entwendet.

Andreas Es gibt auch Webseiten, auf denen du deine E-Mail-Adresse eingeben kannst, um zu sehen, ob sie Teil eines Hacks war und irgendwo im Darknet auftaucht.

Andreas Der andere Weg ist freiwillig. Free WiFi gibt es überall. Oft musst du dafür aber eine E-Mail-Adresse, Vorname, Nachname und andere Daten eingeben. Jede Weitergabe bringt deine Adresse weiter in Umlauf.

Michael Es gab doch auch eine Hotelkette, bei der genau das passiert ist. Da sind WLAN-Zugangsdaten abgeflossen.

Andreas Genau.

Michael Okay. Also gelangen meine Credentials auf verschiedenen Wegen ins Darknet und werden dort angeboten.

Andreas Genau. Dann kaufst du diese Listen.

Michael Und wie finde ich meinen Lieblingsprovider?

Andreas Ich würde nach Erfolg gehen und nach Qualität der Ransomware. Wenn eine Kampagne startet, analysieren Cybersecurity-Experten die Malware im Reverse Engineering und erklären, wie sie funktioniert.

Andreas Als Angreifer würdest du natürlich eine möglichst effiziente Ransomware wählen, bei der die Wahrscheinlichkeit hoch ist, dass sie funktioniert.

Andreas Aber noch einmal klar: Das ist kein Aufruf, daran teilzunehmen. Ich rate jedem dringend davon ab.

Michael Vermutlich gibt es im Darknet auch Rankings oder Bewertungen.

Andreas Davon kann man ausgehen.

Michael Wir haben also Adressen und Malware. Was kommt noch dazu?

Andreas Bevor du versendest, brauchst du Infrastruktur. Du willst das Ganze nicht von deinem eigenen Notebook aus verschicken.

Andreas Deshalb kannst du im Darknet Mailserver anmieten. Häufig sind das kompromittierte Server, sogenannte Zombieserver.

Andreas Irgendjemand hat einen Mailserver ins Internet gestellt, sich nie darum gekümmert, schwache Passwörter verwendet und keine Updates eingespielt. Hacker übernehmen diese Systeme.

Andreas Diese Server kannst du dann nutzen, um deine Malware zu verschicken. Wenn später eine Nachverfolgung stattfindet, zeigt sie auf diesen Server und nicht auf dich.

Michael Noch eine Frage: Schreibe ich die E-Mail selbst oder gibt es dafür Templates?

Andreas Es gibt Templates. Und mit KI ist es heute noch einfacher geworden, solche Mails zu generieren.

Andreas Klassiker sind Paketbenachrichtigungen, Rechnungen oder Microsoft-Domänenmeldungen. Das sind Themen, die immer noch funktionieren.

Michael Bisher klingt das relativ simpel. Bekomme ich sonst noch etwas?

Andreas Irgendwann kommt der Moment, in dem ein Unternehmen verschlüsselt wurde und du darauf hoffst, dass es Lösegeld zahlt.

Andreas Auf dem Bildschirm steht dann: Alles ist verschlüsselt. Wenn du den Schlüssel möchtest, melde dich bei uns.

Andreas Und dann kommt der Customer Support ins Spiel. Dahinter sitzen tatsächlich geschulte Leute.

Andreas Das Opfer meldet sich und sagt: Wir wurden gehackt. Was machen wir jetzt? Dann wird ein Preis genannt, der sich oft nach Unternehmensgröße und Umsatz richtet.

Andreas Und ganz klar: Ich rate jedem davon ab, Lösegeld zu zahlen. Holt euch lieber professionelle Incident-Response-Dienstleister.

Andreas Wenn Unternehmen dennoch zahlen wollen, bekommen sie sogar Hilfe beim Bezahlen. Die Angreifer erklären, wie man eine Bitcoin-Wallet erstellt, wie man Geld einzahlt und wie man die Transaktion durchführt.

Michael Das heißt, ich als jemand, der die Kampagne gestartet hat, habe damit gar nichts mehr zu tun?

Andreas Genau. All inclusive.

Michael Und am Ende wird die Beute geteilt?

Andreas Genau. In der Regel bekommt der Affiliate etwa 20 Prozent der Summe. Der Anbieter kann nachvollziehen, welche Kampagne erfolgreich war, und zahlt dann entsprechend aus.

Michael Wie hoch ist denn mein Invest?

Andreas Vermutlich ein paar Hundert Euro. Unter tausend bist du wahrscheinlich dabei, je nachdem wie viele Adressen du kaufst und wie lange du die Kampagne laufen lässt.

Michael Also ein sehr niedriger Einstieg in Cybercrime.

Andreas Genau deshalb floriert das Ganze auch so stark.

Michael Auf Seiten wie ransomware.live kann man sehen, welche Unternehmen betroffen waren. Branchen und Größen sind völlig unterschiedlich. Und das sind nur die öffentlich bekannten Fälle. Die Dunkelziffer dürfte deutlich höher sein.

Michael Diese Organisationen wirken extrem professionell. Werden sie tatsächlich wie Unternehmen geführt?

Andreas Absolut. Du kannst dir diese Gruppen wie Unternehmen vorstellen. Mit CEO, Managementstrukturen, Fachabteilungen, Customer Care, Research und Development.

Andreas Vor einigen Jahren hat ein Sicherheitsunternehmen einmal berechnet, wie so eine Organisation aussehen könnte. Rund 120 Personen waren beteiligt.

Andreas Die Gehaltsstruktur wurde geschätzt, und man kam auf monatliche Kosten von mehreren Hunderttausend Euro.

Michael Wahnsinn.

Michael Jetzt gibt es ja auch diese Leakportale. Wie hat sich die Erpressung in den letzten Jahren verändert?

Andreas Früher ging es nur um Verschlüsselung. Dann kam Datendiebstahl dazu. Heute passiert meistens beides gleichzeitig.

Andreas Wenn du nicht zahlst, drohen sie damit, Daten auf ihren Webseiten zu veröffentlichen.

Andreas Wenn das nicht reicht, schreiben sie deine Geschäftspartner an und sagen: Wir haben dieses Unternehmen gehackt und werden die Daten veröffentlichen.

Andreas Damit erhöhen sie den Druck massiv.

Andreas Wenn das immer noch nicht reicht, veröffentlichen sie Daten in Paketen. Erst weniger kritische Informationen, später die wirklich sensiblen Daten.

Michael Und selbst wenn man zahlt, gibt es keine Garantie.

Andreas Genau. Schlüssel funktionieren manchmal nicht. Oder Datenbanken sind danach beschädigt.

Andreas Selbst wenn du entschlüsseln kannst, bedeutet das nicht, dass alles wieder funktioniert.

Andreas Du musst trotzdem viel Aufwand betreiben, um Systeme wiederherzustellen.

Michael Und es bleibt das Risiko von Backdoors.

Andreas Genau.

Michael Wenn man sich die Szene anschaut, gibt es viele Gruppen. Gibt es dort Marktmechanismen wie Konsolidierung oder Spezialisierung?

Andreas Abwerbung von Experten gibt es definitiv. Gute Malware-Entwickler werden aktiv angeworben.

Andreas Häufig lösen sich Gruppen auch bewusst auf, verschwinden für eine Zeit und tauchen später unter anderem Namen wieder auf.

Michael Und manchmal mit Versionen wie LockBit 5.

Andreas Genau. Das ist teilweise Weiterentwicklung, teilweise auch einfach ein Signal: Wir sind noch da.

Michael Wie wird sich dieser Markt weiterentwickeln?

Andreas Ich denke, es wird weitergehen. Wir werden mehr Angriffe sehen, mehr Gruppen und vor allem mehr Effizienz.

Andreas KI wird eine große Rolle spielen. Erste Ansätze haben wir bereits gesehen.

Andreas Was früher Monate dauerte, könnte künftig in Tagen passieren.

Andreas Das stellt Unternehmen vor riesige Herausforderungen, weil das Zeitfenster zur Erkennung viel kleiner wird.

Andreas Viele Unternehmen haben zwar teure Tools, aber keine echte Fähigkeit zur Erkennung und Reaktion.

Michael Wahnsinn, welcher Geschäftszweig da entstanden ist.

Michael Deswegen noch einmal ganz klar: Zahlt kein Lösegeld. Damit finanziert man diese kriminellen Strukturen weiter.

Michael Und bitte beteiligt euch nicht daran. Das ist strafbar und kann massive Konsequenzen haben.

Andreas Wenn euch das Thema interessiert, dann wechselt lieber auf die gute Seite. Werdet Security Analyst oder Malware Engineer und helft Unternehmen, sich zu schützen.

Michael Genau. Kommt auf die gute Seite und helft mit, die Welt ein Stück sicherer zu machen.

Michael Damit machen wir die Folge zu. Ich hoffe, es war spannend und interessant für euch. Vielleicht schauen wir uns demnächst noch weitere Angriffsvektoren genauer an.

Michael Das hat Spaß gemacht, Andreas. Vielen Dank dafür.

Michael Bleibt sicher und gesund bis zur nächsten Ausgabe von Cybersecurity Basement.