Cyberkriminelle nutzen zunehmend ihre digitalen Erlöse, insbesondere aus Ransomware, Phishing oder Datendiebstahl, um in reale Geschäftsmodelle zu investieren. Das zeigt eine aktuelle Untersuchung der Sicherheitsforscher von Sophos X-Ops. Demnach fließen illegale Kryptowährungsgewinne nicht nur in klassische Geldwäsche-Konstrukte, sondern auch in Start-ups, Immobilien, Bildungseinrichtungen und weitere – teils legale – Geschäftsfelder.
Die Analyse mit dem Titel „Beyond the Kill Chain: What Cybercriminals Do With Their Money“ beleuchtet, wie Cyberkriminelle ihre Einnahmen in eine Vielzahl wirtschaftlicher Aktivitäten umlenken. Dabei treten sie zunehmend als Investoren, Unternehmer oder Betreiber realer Unternehmen auf.
Von digitalen Angriffen zu strategischen Investitionen
Laut Sophos-Experten verlagern viele Tätergruppen ihren Fokus von reiner Profitmaximierung hin zu nachhaltigen Geschäftsmodellen. Über Plattformen wie Telegram oder WhatsApp Business vernetzen sie sich mit Geschäftspartnern, entwickeln professionell wirkende Markenauftritte und operieren in stabilen Rechtsräumen. Die analysierten Investitionen umfassen unter anderem:
- Cybersecurity-Start-ups und IT-Dienstleister, häufig zur Absicherung technischer Infrastruktur oder Know-how-Erweiterung
- Immobilien, Aktien, Edelmetalle – bevorzugt in Ländern wie der Schweiz, den USA oder den Vereinigten Arabischen Emiraten
- NGOs und Bildungseinrichtungen, etwa in Form von Coding-Schulen oder gemeinnützig wirkenden Projekten
- Gastronomie, Tabak- und Alkoholvertrieb, also Branchen mit hohem Bargeldumsatz und geringer Regulierung
Graubereich zwischen Legalität und organisierten Strukturen
Neben offiziell registrierten Unternehmen wurden auch Aktivitäten im Bereich der Schattenwirtschaft identifiziert. Diese reichen von Bot- und Anzeigenbetrug, über Online-Glücksspiele und pornografische Inhalte bis hin zu illegalen Staatsbürgerschaften, gewerbsmäßigem Dokumentenhandel und gefälschten Medikamentenplattformen.
Auch komplexe Finanzvergehen wie Schneeballsysteme, Steuerhinterziehung und Insiderhandel dienen als Vehikel zur Umverteilung oder Reinvestition der digitalen Gewinne.
Internationale Strukturen, lokale Präsenz
Die analysierten Fälle betreffen zahlreiche Regionen weltweit, darunter Großbritannien, die USA, China, Südkorea, die Vereinigten Arabischen Emirate und Gibraltar. Laut Sophos agieren viele Tätergruppen international, zeigen jedoch eine zunehmende Tendenz zur regionalen Verankerung – etwa durch Unternehmensgründungen oder Investitionen in lokale Betriebe.
„Wir beobachten eine zunehmende Vermischung von digitaler und realer Kriminalität“, erklärt John Shier, Field CISO bei Sophos. „Diese Entwicklung macht herkömmliche Cyberabwehr allein nicht ausreichend. Erforderlich ist eine enge Zusammenarbeit zwischen Cybersicherheitsfirmen, Strafverfolgungsbehörden und zivilgesellschaftlichen Akteuren.“
Erkenntnisse aus umfassender Datenanalyse
Die vorliegenden Ergebnisse basieren auf einer mehrmonatigen Analyse durch Sophos X-Ops. Untersucht wurden Darknet-Foren, Blockchain-Transaktionen sowie öffentlich zugängliche Unternehmensregister. Die vollständige Serie der Untersuchung ist online verfügbar:
Teil 1: Einführung mit Kontext und Definition wichtiger Begriffe: https://news.sophos.com/en-us/2025-05-15/beyond-the-kill-chain-what-cybercriminals-do-with-their-money-part-1
Teil 2: „Weiße“ (legitime) Geschäftsinteressen: https://news.sophos.com/en-us/2025-05-15/beyond-the-kill-chain-what-cybercriminals-do-with-their-money-part-2
Teil 3: „Graue“ Geschäftsinteressen: https://news.sophos.com/en-us/2025-05-15/beyond-the-kill-chain-what-cybercriminals-do-with-their-money-part-3
Teil 4: Kriminelle Geschäftsinteressen: https://news.sophos.com/en-us/2025-05-15/beyond-the-kill-chain-what-cybercriminals-do-with-their-money-part-4
Teil 5: Auswirkungen, Fazit: https://news.sophos.com/en-us/2025-05-15/beyond-the-kill-chain-what-cybercriminals-do-with-their-money-part-5
