Security-Experten verfolgen den Weg des Geldes: Von Non-Profit bis Non-Legal – Cyberkriminelle investieren gestohlene Millionen in legale und illegale Geschäftsmodelle, um undercover in der realen Welt Fuß zu fassen. Sie wollen sie schließlich nicht nur verstecken.
Früher prahlten Hacker aufmerksamkeitsheischend mit ihren Lamborghinis – heute agieren sie sehr viel geschäftsorientierter mit ihren kriminellen Erlösen und eröffnen Start-ups, Restaurants oder Coding-Schulen. Das ist eines der zentralen Ergebnisse einer aktuellen Untersuchung der Cybersecurity-Experten von Sophos X-Ops. Die Analyse zeigt: Cyberkriminelle investieren ihre illegal erworbenen Gewinne gezielt in reale Unternehmen; oftmals mit legaler Fassade, zunehmend aber auch als langfristige, strategische Investments. Sie werden Arbeitgeber, Geschäftsleute, Investoren und damit unsichtbarer denn je.
Vom Hack zur Holding: kriminelle Gewinne nehmen den Weg in reale Märkte
Durch Ransomware-Angriffe, Datendiebstahl oder Phishing generieren Hackergruppen Millionenbeträge, meist in Form von Kryptowährungen. Die Frage, was danach mit dem Geld geschieht, wurde bislang kaum beleuchtet. Sophos hat nun untersucht, wie diese Gruppen ihre Gewinne nutzen und dabei ein globales Netzwerk aus scheinbar legitimen Unternehmen entdeckt, die auf den zweiten Blick von digitaler Kriminalität finanziert zu sein scheinen.
„Wir sprechen hier nicht mehr nur über klassische Geldwäsche“, sagt John Shier, Field CISO bei Sophos. „Was wir sehen, ist eine neue Form unternehmerischer Kriminalität – kriminelle Akteure, die sich als seriöse Geschäftsleute ins echte Wirtschaftsleben integrieren.“
Zwischen Start-up, Schattenwirtschaft und Geldwäsche
In vielen Fällen nutzen die Täter bekannte Kanäle wie Telegram oder WhatsApp Business, um Geschäftskontakte zu knüpfen und Investitionen zu tätigen. Die Unternehmensgründungen erfolgen dabei häufig mit professionellem Markenauftritt, investorenfähigem Geschäftsmodell und echter wirtschaftlicher Tätigkeit. Zumindest auf dem Papier.
Besonders häufig investieren Cyberkriminelle in:
- Cybersecurity-Start-ups und IT-Dienstleister, oft, um gezielt Wissen oder Infrastruktur für weitere Angriffe zu sichern.
- Immobilienprojekte, Aktien oder Edelmetalle wie Gold und Diamanten, bevorzugt in stabilen Rechtsräumen wie der Schweiz, den USA oder den Emiraten.
- NGOs, Bildungseinrichtungen oder Gastronomiebetriebe, um unter dem Radar zu agieren, z. B. durch den Aufbau von Coding-Schulen oder scheinbar gemeinnützigen Bildungsprojekten.
- Alkohol- und Tabakvertrieb, Restaurants, Bars – also klassische Branchen mit Bargeldumlauf und geringer Kontrolle.
Die dunkle Seite des Unternehmertums
Neben legalen Investitionen identifizierte Sophos X-Ops auch zahlreiche Beispiele im Graubereich – und klar kriminelle Geschäftsmodelle. Dazu zählen:
- Bot- und Anzeigenbetrug, mit dem Werbeeinnahmen manipuliert werden.
- Pornografische Plattformen und Webcam-Studios, u. a. auf OnlyFans, häufig mit verschleierten Finanzierungsquellen.
- Online-Casinos und Glücksspieldienste, oft mit Offshore-Registrierung.
- Anbieter für illegale Staatsbürgerschaften oder gefälschte Dokumente, v. a. über Plattformen in Asien und dem Mittleren Osten.
- Pharmahändler und gefälschte Medikamente, deren Online-Shops kaum von legitimen Anbietern zu unterscheiden sind.
- Schneeballsysteme, Steuerhinterziehung, Insiderhandel mit dem Ziel, das erbeutete Kapital weiter zu vermehren oder zu reinvestieren.
Cybercrime hat sich in den realen Alltag verlagert und erfordert reale Ermittlungen
Die untersuchten Fälle stammen aus nahezu allen Teilen der Welt – mit belegten Aktivitäten u. a. in Großbritannien, der Schweiz, den USA, den Vereinigten Arabischen Emiraten, China, Südkorea und Gibraltar. Die Tätergruppen agieren dabei international, treten aber immer häufiger lokal auf – z. B. als Restaurantbetreiber oder Investoren.
„Die Grenzen zwischen digitaler und realer Kriminalität verschwimmen zusehends und genau das macht die Bedrohung so gefährlich. Der einzige Weg, dieses Problem anzugehen, ist eine verstärkte Zusammenarbeit zwischen Privatwirtschaft und öffentlichem Sektor sowie eine engere Kooperation zwischen Cybersicherheitsfirmen und lokalen Strafverfolgungsbehörden“, so John Shier weiter. „Bedrohungsanalysten müssen ihre Erkenntnisse an lokale Behörden weitergeben, die möglicherweise kriminell unterstützte Operationen zurückverfolgen können. Denn wer heute ein scheinbar legales Unternehmen gründet, kann morgen schon wieder im Netz zuschlagen.“
Die Erkenntnisse von Sophos X-Ops stammen aus einer über mehrere Monate andauernde Analyse von Darknet-Foren, Wallet-Bewegungen und offenen Unternehmensdaten. Den kompletten Report haben die Forscher in der mehrteiligen Artikelserie „Beyond the kill chain: What cybercriminals do with their money“ veröffentlicht.
- Teil 1: Einführung mit Kontext und Definition wichtiger Begriffe: https://news.sophos.com/en-us/2025-05-15/beyond-the-kill-chain-what-cybercriminals-do-with-their-money-part-1
- Teil 2: „Weiße“ (legitime) Geschäftsinteressen: https://news.sophos.com/en-us/2025-05-15/beyond-the-kill-chain-what-cybercriminals-do-with-their-money-part-2
- Teil 3: „Graue“ Geschäftsinteressen: https://news.sophos.com/en-us/2025-05-15/beyond-the-kill-chain-what-cybercriminals-do-with-their-money-part-3
- Teil 4: Kriminelle Geschäftsinteressen: https://news.sophos.com/en-us/2025-05-15/beyond-the-kill-chain-what-cybercriminals-do-with-their-money-part-4
- Teil 5: Auswirkungen, Fazit: https://news.sophos.com/en-us/2025-05-15/beyond-the-kill-chain-what-cybercriminals-do-with-their-money-part-5
Über Sophos Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.