Sophos X-Ops fünfteilige Analyse untersucht, wie cyberkriminelle Gruppen ihre digitalen Erlöse in reale Unternehmen reinvestieren

Was passiert eigentlich mit den Millionen, die durch Ransomware, Phishing oder Datendiebstahl erbeutet werden? Die Sicherheitsforscher von Sophos X-Ops haben genau diese Frage untersucht – und dabei erschreckende Einblicke gewonnen. Denn Cyberkriminelle legen ihre Gewinne längst nicht mehr nur in anonymen Wallets oder Luxusgütern an. Stattdessen investieren sie zunehmend in echte Unternehmen – mit echten Mitarbeitenden, Büros, Logos und Geschäftsmodellen.

Früher sorgten Hacker mit protzigen Sportwagen für Aufsehen. Heute geben sie sich zurückhaltender – und geschäftstüchtiger. Sie gründen Start-ups, eröffnen Restaurants oder bieten IT-Dienstleistungen an. Was auf den ersten Blick nach unternehmerischem Ehrgeiz aussieht, ist in Wahrheit oft Teil einer durchdachten Strategie zur Geldwäsche, Tarnung – und Expansion.

Von der Erpressung zum eigenen Unternehmen: digitale Kriminalität trifft auf reale Märkte

Millionenbeträge, meist in Form von Kryptowährungen, wechseln nach erfolgreichen Cyberangriffen die Besitzer. Und diese fließen zunehmend in reale Geschäftsmodelle – teils legal, teils in Grauzonen, teils in klar kriminelle Strukturen. Sophos hat zahlreiche Fälle weltweit analysiert und ein Netzwerk an Unternehmen identifiziert, das offenbar mit illegalem Geld aufgebaut wurde – und sich dennoch im wirtschaftlichen Alltag etabliert hat. „Das ist keine klassische Geldwäsche mehr“, erklärt John Shier, Field CISO bei Sophos. „Wir sehen hier eine neue Form digitaler Unternehmertum-Kriminalität – Täter, die sich als seriöse Geschäftsleute tarnen und wirtschaftlich aktiv werden.“

Investieren wie ein Profi – mit krimineller Grundlage

Die Täter gehen dabei professionell vor. Sie nutzen Plattformen wie Telegram oder WhatsApp Business, treten mit Investoren-Deckmantel auf und gründen Unternehmen mit scheinbar einwandfreiem Auftritt – inklusive Webseite, Branding und Geschäftsmodell. Besonders beliebt sind dabei folgende Branchen:

• Cybersecurity und IT-Dienstleister: Oft, um Know-how und Infrastruktur für neue Angriffe zu sichern.
• Immobilien, Aktien, Edelmetalle: In stabilen Rechtsräumen wie der Schweiz, den USA oder den Emiraten.
• NGOs, Bildungsprojekte oder Gastronomie: Ideal, um unter dem Radar zu bleiben – etwa mit Coding-Schulen oder vermeintlich gemeinnützigen Initiativen.
• Bars, Restaurants, Alkohol- und Tabakvertrieb: Bargeldintensive Branchen mit geringer Aufsicht.

Zwischen Schein und Sein: die Grauzonen

Doch nicht alle Investitionen sind legal oder harmlos. Die Sophos-Analyse zeigt auch, wie weit sich kriminelle Gruppen in dubiose oder eindeutig illegale Bereiche vorwagen. Dazu zählen:

• Anzeigen- und Botbetrug: zur Manipulation von Online-Werbeeinnahmen.
• Sexplattformen und Webcam-Studios: u.a. auf OnlyFans, oft mit undurchsichtiger Finanzierung.
• Online-Casinos und Offshore-Glücksspielseiten
• Anbieter für gefälschte Dokumente und illegale Staatsbürgerschaften
• Pharma-Shops mit gefährlichen oder gefälschten Medikamenten
• Schneeballsysteme, Steuervermeidung und Insiderhandel

Eine Bedrohung, die sich in den Alltag schleicht

Was diese neue Art von Cybercrime so gefährlich macht: Sie ist schwer zu erkennen. Die Täter agieren global, treten aber lokal auf – als Investoren, Unternehmer oder Betreiber ganz gewöhnlicher Läden. So verschwimmen die Grenzen zwischen digitaler und realer Kriminalität immer weiter.

„Wer heute ein scheinbar legales Unternehmen gründet, kann morgen schon wieder im Netz zuschlagen“, warnt Shier. „Deshalb brauchen wir eine stärkere Zusammenarbeit zwischen Cybersicherheits-Teams, Ermittlungsbehörden und der Wirtschaft.“

Die Erkenntnisse stammen aus einer mehrmonatigen Analyse von Sophos X-Ops. Die Experten haben Bewegungen auf Darknet-Marktplätzen, Blockchain-Transaktionen und öffentliche Unternehmensdaten ausgewertet.

Ihre Ergebnisse sind in der Artikelserie „Beyond the Kill Chain: What Cybercriminals Do with Their Money“ veröffentlicht:

• Teil 1: Einführung – Kontext und Begriffe
• Teil 2: Weiße Geschäftsinteressen – Investitionen mit legalem Anstrich
• Teil 3: Graubereiche – Zwischen Tarnung und Täuschung
• Teil 4: Kriminelle Geschäftsmodelle – Von Botnetz bis Black Market
• Teil 5: Auswirkungen und Ausblick – Warum reale Ermittlungen wichtiger denn je sind