Das Klischee von der einsamen Gestalt im Kapuzenpulli, die in einem dunklen Raum über eine Tastatur gebeugt Code in den Rechner hackt, gehört längst der Vergangenheit an. Heute agieren Cyberkriminelle grenzüberschreitend in geschäftsähnlichen Syndikatsstrukturen. Zu diesem Schluss kommt Europol in seinem neunten Internet Organized Crime Threat Assessment (IOCTA). Darin bewertet die europäische Polizeibehörde die aktuelle Bedrohungslage im Bereich der organisierten Internetkriminalität, wirft einen detaillierten Blick auf das dahintersteckende Ökosystem und untersucht namhafte Akteure, ihre Angriffsvektoren und Opfer.

Cyberkriminalität ist zu einem großen Geschäft geworden, schreibt die Behörde in ihrem aktuellen Bericht. In diesem Umfeld habe sich eine regelrechte illegale Schattenwirtschaft mit Dienstleistern und Services entwickelt. Da immer mehr spezialisierte Akteure aus allen Teilen der Welt an den verschiedenen Schritten der kriminellen Prozesse arbeiteten, werde auch die Arbeit für die Strafverfolgungsbehörden schwieriger. Folgende Entwicklungen bereiten der Polizei Sorgen:

Cybercrime as a Service

Kriminelle kommen immer leichter an Werkzeuge, Cybercrime-Services sind weit verbreitet. Innerhalb der Szene agieren spezialisierte kriminelle Netzwerke, die integrierte Servicepakete für alle möglichen Angriffsszenarien anbieten. Das reicht Europol zufolge von Überwachungs- und Verschleierungsdiensten bis hin zu Geldwäsche-Services. Initial Access Brokers (IABs) unterstützen Cyberkriminelle dabei, ihre Angriffe und Betrugsversuche zu skalieren. Sie öffnen Hackern die entsprechenden Kanäle, um eine große Anzahl von Opfern zu erreichen.

Hacker rüsten technisch auf

Die technische Raffinesse der Angreifer wird ausgefeilter. Europol zufolge gelingt es ihnen immer besser, ihre finsteren Absichten zu verschleiern. Spezielle Verschlüsselungssoftware verbirgt beispielsweise bösartigen Code, so dass Antivirenprogramme diesen kaum erkennen können. Andere Dienste wie sogenannte Counter-Antivirus- (CAV-)Services helfen Malware-Entwicklern ihren Code gegen Antivirus-Software zu testen. Damit könnten Hacker herausfinden, welche Teile ihres Schadcodes von AV-Lösungen und Firewalls entlarvt werden und entsprechend gegensteuern. Manche Cyberbanden heuern sogar Pentester an, um sicherzustellen, dass ihre Malware jede Security-Barriere passiert.

Spuren verwischen mit VPNs

Virtual Private Networks (VPNs) sind ein beliebter Service von Cyberkriminellen, um ihre bösartigen Absichten zu verschleiern. VPN-Anbieter hosten eine Reihe von Proxys, über die Nutzer ihren Datenverkehr leiten können, um ihren tatsächlichen Standort (IP) und den Inhalt ihres Datenverkehrs zu verschleiern. Diese Dienste sind nicht illegal, so die Europol-Verantwortlichen, aber einige seien speziell für Kriminelle konzipiert und würden dementsprechend beworben. Diese VPN-Provider sichern ihren Kunden demnach vollständige Anonymität durch komplette Ende-zu-Ende-Verschlüsselung zu und zeichnen sich durch eine mangelnde Kooperationsbereitschaft bei rechtmäßigem Auskunftsersuchen der Strafverfolgungsbehörden aus. "Kriminelle VPN-Anbieter sind sich der Bedürfnisse von Hackern bewusst und werben aktiv für ihre Dienste auf kriminellen Marktplätzen."

ISPs überwachen zu wenig

Manche Internet Service Provider (ISPs), die häufig von Kriminellen genutzt werden, wenden laut Europol keine umfassenden Kundenüberwachungspraktiken an. Die Behörde nennt in diesem Zusammenhang sogenannte Know-Your-Customer- (KYC-)Verfahren sowie die Speicherung von Kunden- und Metadaten. Einige dieser ISPs würden auf rechtmäßige Anfragen keine Kundeninformationen zur Verfügung stellen, abgesehen von einer automatischen Bestätigung einer E-Mail-Adresse. Das führe laut Polizeibehörde dazu, dass nur in begrenztem Umfang Informationen zur Identifizierung von Verdächtigen verfügbar seien. Insgesamt entpuppe sich das Hosting mehr und mehr als ein komplexer internationaler Geschäftsbereich, in dem die Server häufig an andere Rechenzentren in anderen Regionen weiterverkauft würden. Diese Art von Hosting bezeichnet Europol als "Bulletproof"-Hosting, das für die Strafverfolger seit vielen Jahren bekanntermaßen schwierig zu handhaben sei.