Cyberkriminalität war einst ein Feld der Improvisation. Heute gleicht sie einer hochgradig arbeitsteiligen Plattformwirtschaft. Angriffe werden geplant, paketiert und skaliert. Ganz so, als würde man Streaming-Abos mit einem Klick buchen. Wer heute attackiert, mietet Services: Infrastruktur, Exploits, Zugangsdaten, Support. Die entscheidende Frage lautet daher nicht mehr „Wer steckt dahinter?“, sondern „Welche Wertschöpfungskette stand bereit?“.
Aktuelle Studien wie der IBM Cost of a Data Breach Report zeigen, dass Angreifer heute im Schnitt nur wenige Stunden von der Erstinfektion bis zur Verschlüsselung benötigen – ein Takt, den klassische Schutzkonzepte kaum abfangen können. Diese Verschiebung hat Folgen: Für Sicherheitsteams werden Taktik, Tempo und Transparenz der Angreifer zur neuen Norm. Gleichzeitig steigen die volkswirtschaftlichen Schäden deutlich. Der jüngste Wirtschaftsschutz-Befund beziffert die Belastung für Unternehmen in Deutschland auf 289,2 Milliarden Euro – acht Prozent mehr als im Vorjahr. 87 Prozent der Unternehmen melden Diebstahl, Spionage oder Sabotage; jedes dritte Unternehmen hat nach einer Ransomware-Attacke Lösegeld gezahlt.
Kriminalität nach dem Baukastenprinzip
Im Zentrum stehen modulare Modelle wie Phishing-as-a-Service, Access-as-a-Service und Ransomware-as-a-Service. Spezialisten entwickeln Werkzeuge, pflegen Update-Zyklen, betreiben Infrastrukturen und bieten das Paket im Darknet zur Miete oder im Abo an. Wer einen Angriff ausrollen will, braucht keine eigene Entwicklungsabteilung. Reichen wenige Klicks und Kryptowährungen inzwischen aus? In vielen Fällen: ja. Typische Taktiken reichen von Initial Access Broker-Angeboten bis zu Living-off-the-Land-Techniken, die vorhandene Systemtools missbrauchen und so die Erkennung erschweren.
Konkrete Beispiele lassen sich leicht denken: etwa ein großer Buchhändler, der tagelang keine Bestellungen abwickeln kann, ein regionaler Lebensmittelbetrieb mit blockierten Kühlanlagen oder eine kommunale Verwaltung, die keine Trauungen durchführen kann. Professionelle Betreiber stellen Verschlüsselung, Panel, Leak-Site, Tutorials und Chat-Support; Affiliates setzen die Kampagnen um und beteiligen die Plattform am Umsatz. Das Ergebnis ist Effizienz: Entwicklung, Vertrieb und Ausführung sind entkoppelt, der notwendige Einarbeitungsaufwand sinkt, die Skalierung steigt. Parallel beobachten Sicherheitsbehörden und Forschung eine deutliche Zunahme koordinierter Kampagnen, die sich in Wellen über Branchen und Regionen legen.
In der DACH-Region stiegen die registrierten Angriffe im Vergleich zum Vorjahr um 116 Prozent – Deutschland +78 Prozent, Österreich +127 Prozent, Schweiz +144 Prozent; besonders betroffen sind verarbeitendes Gewerbe (30 Prozent), Gesundheit (13 Prozent) und Handel (10 Prozent). Zudem sind mindestens 22 staatlich gesponserte Gruppen aktiv. Sie konzentrieren sich überwiegend auf Spionage, kritische Infrastruktur und politische Einflussnahme, und ihre Aktivitäten zeichnen sich eher durch selektive, zielgerichtete Einsätze als durch Massenangriffe aus.
Professionalisierung mit Startup-Logik
Die operative Realität erinnert an legitime Plattformen. Vor dem eigentlichen „Produkt“ steht das Vertrauensgerüst, das Transaktionen absichert und Qualität sichtbar macht. Genau hier setzt die Kriminalökonomie an. Affiliate-Programme definieren Provisionsmodelle und schaffen klare Anreize für Wachstum. Das verbessert Planbarkeit und macht Innovation wirtschaftlich attraktiv. Reputationssysteme im Untergrund bewerten Anbieter nach Zuverlässigkeit, Service und „Lieferzeit“. Schlechte Bewertungen kosten Umsatz, gute Bewertungen öffnen Märkte.
Alles wie im normalen Onlinehandel: Strukturen, die man sonst von großen E-Commerce-Plattformen kennt, prägen inzwischen auch den Untergrund. Vom Ticket-System bis zu Version-Updates funktioniert der Support wie bei einem regulären SaaS-Anbieter – nur mit illegalem Produkt. Selbst Frameworks wie MITRE ATT&CK zeigen inzwischen, dass diese Strukturen ganze Angriffs-Kill-Chains abbilden – von der Reconnaissance bis zur Exfiltration.
Warum ist das kritisch? Weil Standardisierung Erkennung erschwert. Wenn Kampagnen Bausteine teilen, ähneln sich Artefakte – und Signatur-basierte Verfahren laufen ins Leere. Gleichzeitig sinkt die Einstiegshürde. Unternehmen und ihre Sicherheitsteams sind auf diese neue Angreiferrealität bislang nur unzureichend vorbereitet – obwohl hochwirksame Angriffe inzwischen von Personen ohne tiefes Technikprofil orchestriert werden können.
Von Stunden zu Minuten: Der neue Takt der Angreifer
Drei Konsequenzen stechen hervor. Erstens: Angriffszyklen verkürzen sich. Zwischen publizierter Schwachstelle und Angriff liegen mitunter Stunden. Zweitens: Verteilung und Koordination nehmen zu; Angriffe verlaufen parallel über viele Vektoren. Drittens: Dynamik ersetzt Statik. Was heute funktioniert, ist morgen adaptiert – und übermorgen womöglich schon wieder überholt.
Dazu passt der Blick in aktuelle Unternehmensdaten. Laut TÜV-Cybersecurity-Studie 2025 wurden 15 Prozent der Unternehmen 2024 Opfer eines Cyberangriffs, +4 Prozentpunkte gegenüber dem Vorjahr. Phishing bleibt mit 84 Prozent die häufigste Angriffsform; 10 Prozent der Attacken kamen über die Lieferkette. 51 Prozent der Unternehmen vermuten den Einsatz von künstlicher Intelligenz auf Angreiferseite, nur 10 Prozent setzen entsprechende Abwehrtechniken ein. Bemerkenswert: 91 Prozent halten sich selbst für „gut geschützt“, obwohl Standards oft nicht konsequent umgesetzt werden. Die Zahlen werden von Wirtschaft-Digital BW bestätigt, das die Kernergebnisse der Studie einordnet und die Lücke zwischen Problembewusstsein und Umsetzung betont.
Antworten der Verteidiger: Threat Intelligence und Automatisierung
Der Schluss liegt nahe: Perimeterschutz allein reicht nicht aus. Notwendig ist ein Gefüge aus vorausschauender Aufklärung, verhaltensbasierter Erkennung und schneller, möglichst automatisierter Reaktion. Aber wie sieht das konkret aus? Ergänzend gewinnen XDR (Extended Detection & Response)-Plattformen an Bedeutung. Sie verknüpfen Endpoint-, Netzwerk- und Cloud-Telemetrie, um Angriffe über die gesamte Kill-Chain hinweg automatisiert zu erkennen und abzuwehren.
Threat Intelligence liefert Kontext zu Akteuren, Taktiken, Werkzeugen und Infrastruktur. Sie priorisiert Risiken, übersetzt technische Indikatoren in handhabbare Maßnahmen und beugt Blindflügen vor. Dark-Web-Monitoring ergänzt den Blick nach vorn: geleakte Zugangsdaten, Ankündigungen von Kampagnen, Hinweise auf initiale Zugriffsverkäufe. All das verlagert die Reaktion in die Phase vor dem Einschlag.
Verhaltensbasierte Anomalieerkennung ersetzt starre Muster durch kontextbewusste Abweichungsanalyse. Die Systeme beobachten, was „normal“ ist, und schlagen an, bevor Schaden entstanden ist. Der Effekt steigt, wenn Erkennung mit Security Orchestration, Automation and Response (SOAR) verbunden wird: Playbooks isolieren Endpunkte, sperren Konten, rotieren Schlüssel und stoßen forensische Sicherung an – in Minuten statt Stunden.
Diese Bausteine entfalten Wirkung, wenn sie strategisch verknüpft sind. Die Kernfrage lautet deshalb: Was braucht Ihre Organisation, um Informationen systematisch zusammenzuführen und Entscheidungen zu beschleunigen?
Lieferketten, Selbstbild und Regulierung: Wo Unternehmen nachschärfen müssen
Die aktuelle Lage zeigt Lücken an drei Stellen:
- Lieferketten: Angriffe über Partner und Dienstleister sind nicht die Ausnahme, sondern integraler Bestandteil moderner Kampagnen.
- Selbstbild: Das hohe Sicherheitsgefühl vieler Unternehmen kollidiert mit der Realität unvollständig gelebter Normen.
- Regulierung und Governance: NIS-2, CRA und Berichtsanforderungen fordern belastbare Prozesse – sie ersetzen sie nicht.
Gleichzeitig wächst der Druck von außen. Der Wirtschaftsschutz-Bericht zeigt nicht nur den Anstieg des Gesamtschadens, sondern auch eine deutliche Zunahme von Angriffen mit internationalem Ursprung. Unternehmen erwarten Unterstützung beim Aufbau widerstandsfähiger Sicherheitsarchitekturen, setzen auf die Förderung heimischer Anbieter und verweisen auf ihre Abhängigkeit von nicht-europäischen Technologien und Dienstleistungen – obwohl diese Abhängigkeiten vielfach aus eigenen Versäumnissen der vergangenen Jahre resultieren.
Strafverfolgung: Fortschritte – und harte Grenzen
Auch die öffentliche Hand agiert. Plattformen werden zerschlagen, Infrastruktur beschlagnahmt, Betreiber festgesetzt. Dennoch bleibt der Untergrund beweglich. Anbieter weichen auf neue Netze aus, nutzen rechtliche Asymmetrien und moderne Anonymisierung. Internationale Koordination ist wirksam, aber selten schnell. Für Unternehmen heißt das: Strafverfolgung ist wichtig – ersetzen kann sie die eigene Prävention nicht.
Wer zudem transnational agiert, sieht sich einem Geflecht staatsnaher und krimineller Akteure gegenüber, das politische Kampagnen, Desinformation und ökonomische Ziele miteinander verknüpft. Die beobachteten APT-Aktivitäten (Advanced Persistent Threats) in der Region unterstreichen diese Gemengelage aus staatlichen und kriminellen Akteuren.
it-sa 2025: Praxis, Proof-Points, Perspektiven
In wenigen Wochen öffnet die it-sa 2025 in Nürnberg – das zentrale Forum für IT-Sicherheit in Europa. Auf der Agenda stehen genau die Themen, die die neue Lage prägen: Aufklärung in Echtzeit, verhaltensbasierte Erkennung, automatisierte Reaktion, Zero-Trust-Architekturen und belastbare Lieferkettenkontrollen. Zahlreiche Kundinnen und Kunden aus unserem Deep-Tech-Umfeld sind vor Ort, ebenso unser Team. Wir vernetzen Entscheiderinnen und Entscheider, moderieren Gespräche mit Medien und bringen Praxisbeispiele auf die Bühne. Wer den Stand der Dinge sehen will – und welche Lösungen sich im Feld bewähren –, findet hier die komprimierte Wirklichkeit eines Jahres.
Ausblick: Von der Einzelmaßnahme zum Sicherheitsökosystem
Die Industrialisierung der Angreifer ist nicht umkehrbar. Also braucht die Verteidigung industrielle Schlagkraft: standardisierte, integrierte und automatisierte Ketten von der Information bis zur Maßnahme. Einzelne Tools lösen das nicht. Entscheidend ist der Verbund – und ein Lagebild, das Technik, Prozesse, Menschen und Partner einbezieht.
Was bedeutet das für die kommenden Monate? Erstens: Informationsvorsprung aufbauen – intern wie extern. Zweitens: Reaktionswege automatisieren, wo immer Regeln klar genug sind. Drittens: Lieferketten fest in die Schutzarchitektur integrieren. Viertens: Governance und Reporting so aufstellen, dass Vorgaben nicht als Last, sondern als Hebel für Priorisierung wirken. Die Zahlen liefern den Takt: Mehr Angriffe, mehr Professionalität, mehr Schaden. Der Weg nach vorn ist klar – die Frage ist, wie schnell Unternehmen ihn gehen.
Wer sich über aktuelle Cybersecurity-Szenarien und ihre Auswirkungen informieren möchte, erreicht die Deep-Tech-Plattform bei PIABO Communications unter deeptech@piabo.net.
