Cyberkriminalität
Ransomware-as-a-Service: Cybercrime läuft wie ein Startup
Ransomware-as-a-Service (RaaS) macht Cybercrime zur Dienstleistung. Erfahre, wie Hacker mit Abo-Modellen wie Startups operieren und welche neue Denkweise Ingenieur:innen brauchen, um diese Bedrohung abzuwehren.
Was ist Ransomware-as-a-Service (RaaS)?
Ransomware-as-a-Service, kurz RaaS, bezeichnet ein Geschäftsmodell, bei dem professionelle Hacker fertige Erpressersoftware als „Dienstleistung“ anbieten. Kriminelle mit wenig technischem Know-how können sich im Darknet Ransomware-Kits mieten oder kaufen und sofort Angriffe starten, ohne selbst Malware programmieren zu müssen. Ähnlich einem Software-Abo enthält ein RaaS-Paket alles Nötige: die Schadsoftware, Anleitung zur Verbreitung, oft ein Dashboard zum Verfolgen von Infektionen und sogar Support bei Problemen.
Die Rollen sind klar verteilt: Entwickler-Teams erstellen und pflegen die Ransomware-Plattform, während sogenannte Affiliates als „Kunden“ die Angriffe durchführen. Die Affiliates wählen ein Opfer aus, schleusen die Schadsoftware ins Netzwerk (z.B. per Phishing-Mail) und kassieren im Erfolgsfall einen Teil des Lösegelds. Die Entwickler der Ransomware erhalten im Gegenzug eine Gewinnbeteiligung oder Abo-Gebühr – damit hat sich Erpresser-Software in ein profitables Rundum-sorglos-Geschäft verwandelt.
Dieses „Cybercrime-as-a-Service” senkt die Einstiegshürden enorm, denn selbst unbedarfte Kriminelle können so mit wenigen Klicks professionelle Ransomware-Angriffe starten.
Warum läuft Ransomware-as-a-Service wie ein Startup?
Hinter RaaS steckt ein waschechtes Startup-Modell – nur eben für Cyberkriminelle. Die Ransomware-Gangs agieren unternehmerisch: Sie entwickeln “Produkte” (Schadsoftware), vermarkten sie an Affiliates und maximieren den Profit durch flexible Preisstrategien.
So gibt es monatliche Abo-Pakete, Einmallizenzen oder reine Umsatzbeteiligungen (z.B. 70/30-Splits zwischen Entwickler und Affiliate). Diese Service-Mentalität zeigt sich auch im Detail: Viele RaaS-Betreiber bieten Benutzerportale mit Statistiken, Updates und sogar Kundenservice – ähnlich wie legitime SaaS-Startups.
Die gesamte „Firma“ operiert mit geringem Aufwand und hoher Skalierbarkeit: Die Entwicklerteams bleiben anonym im Hintergrund, während beliebig viele Affiliates ihre Ransomware gegen Gewinnbeteiligung verbreiten. Das Ergebnis: Minimale Fixkosten, maximale Reichweite und Rendite. Wie ein VC-finanziertes Jungunternehmen wächst auch eine RaaS-Operation rasant, reinvestiert in neue Funktionen (z.B. bessere Verschlüsselung, Tarnmechanismen) und reagiert agil auf den „Markt“ der Cybersicherheit.
Welche Methoden machen RaaS-Angriffe so gefährlich?
Moderne Ransomware-Gruppen setzen auf mehrstufige Erpressung und ständige Weiterentwicklung ihrer „Services“, um maximalen Druck auf Opfer aufzubauen. Einfach nur Daten verschlüsseln reicht heute nicht mehr: Fast alle großen Ransomware-Angriffe nutzen Double Extortion – d.h. neben der Verschlüsselung werden vertrauliche Daten gestohlen, um mit deren Veröffentlichung zusätzlich zu drohen. So gerät das Opfer in Zugzwang, selbst wenn Backups vorhanden sind: Wer nicht zahlt, riskiert einen massiven Reputationsschaden (mehr dazu von Johannes einem erfahrenen Sicherheitsexperten hier).
Der Reputationsschaden ist real, langanhaltend und für viele Unternehmen am schwierigsten zu reparieren – genau den schützen wir.
Johannes Stillig
Manche Gruppen gehen noch weiter zur Triple Extortion: Zusätzlich zum Datendiebstahl kommen Drohungen wie DDoS-Angriffe oder direkte Erpressung der Kunden und Partner des Opfers. Diese mehrschichtige Erpressung – kombiniert mit knappen Zahlungsfristen – gleicht psychologischem Terror, der auf Angst, Zeitdruck und Schamgefühl basiert.
Wie können sich Unternehmen gegen RaaS wappnen?
Es braucht eine proaktive, ganzheitliche Sicherheitsstrategie – mit Technik, Menschen und Prozessen, um im Katz-und-Maus-Spiel mit RaaS-Angreifern mitzuhalten. Kein einzelnes Tool bietet 100% Schutz, doch mit folgenden Maßnahmen schaffst du robuste Verteidigungslinien:
Über Phishing & Co. gelangen Angreifer meist zuerst ins Netz – hier ist der Mensch die erste Firewall. Studien zeigen, dass rund zwei Drittel aller Datenpannen menschliche Ursachen haben, vor allem durch Phishing oder Leichtsinn. Regelmäßige Awareness-Trainings sind Pflicht, damit jeder Klick wohlüberlegt ist. (Siehe unseren Blogbeitrag zur Mitarbeitersensibilisierung für konkrete Tipps). Lebe „Security by Design“ und baue Sicherheit in alle Prozesse ein. Das fängt bei DevSecOps-Praktiken an – Sicherheit wird schon bei der Softwareentwicklung mitgedacht – und hört bei einer offenen Fehlerkultur noch lange nicht auf. Fördere das Melden von Vorfällen, belohne wachsames Verhaltenund halte dich über aktuelle Bedrohungen auf dem Laufenden (z.B. über Threat-Intelligence-Feeds oder Darknet-Monitoring). So bist du dem nächsten Angriff einen Schritt voraus. (Mehr dazu, wie Security zum integralen Bestandteil jedes DevOps-Teams wird, erfährst du in unserem Blog-Post zu DevSecOps).