Max Tarantik
Ein Mythos hält sich hartnäckig
Der „Hacker im dunklen Keller“, umgeben von Monitoren, leeren Pizzakartons und koffeinhaltigen Getränken, ist ein hartnäckiges Bild. Es war lange Zeit hilfreich, um Cyberkriminalität greifbar zu machen, beschreibt die heutige Realität jedoch nur noch unzureichend.
Aktuelle Lagebilder von Polizei und Sicherheitsbehörden zeichnen ein deutlich anderes Bild. Das Bundeskriminalamt (BKA) stuft Cybercrime als eine der zentralen Herausforderungen für Staat, Wirtschaft und Gesellschaft ein. Allein im Jahr 2024 wurden 131.391 Cyberstraftaten im Inland registriert; hinzu kamen 201.877 Straftaten mit Auslandsbezug. Cyberkriminalität ist damit in besonderer Weise international verflochten und arbeitsteilig organisiert.
(Quelle Bundeskriminalamt: BKA - Im Fokus: Bundeslagebild Cybercrime 2024)
Autor: Max Tarantik
Mitgründer und COO
Enginsight GmbH
https://enginsight.com/de
Professionalisierung statt Einzeltat
Cyberkriminalität ist kein Randphänomen mehr. Sie ist professionalisiert, automatisiert und klar arbeitsteilig organisiert. Der klassische Einzeltäter ist heute eher die Ausnahme. Die operative Arbeit übernehmen spezialisierte Akteur:innen mit klar abgegrenzten Rollen – darunter Initial Access Broker, Malware‑Entwickler, Operatoren, Verhandlungsteams sowie Geldwäschestrukturen.
Diese Entwicklung folgt bekannten Mustern aus der organisierten Kriminalität. Die Besonderheit der Cyberkriminalität liegt jedoch darin, dass Täter:innen nahezu ortsunabhängig agieren können und Tatort und Schadensort regelmäßig auseinanderfallen.
(Quelle: Bundesministerium des Inneren: BMI - Cyberkriminalität)
Automatisierte Systeme scannen kontinuierlich öffentliche Angriffsflächen, analysieren bekannte Schwachstellen oder generieren täuschend echte Phishing‑Nachrichten. Phishing bezeichnet eine Form des digitalen Betrugs, bei der Angreifer:innen versuchen, vertrauliche Informationen wie Passwörter, Kreditkartendaten oder Zugänge zu IT‑Systemen zu erlangen, indem sie sich als vertrauenswürdige Absender ausgeben.
Cyberangriffe sind damit häufig kein spontanes Handeln, sondern Teil skalierbarer, arbeitsteilig organisierter Geschäftsmodelle.
(Quelle: European Union Agency for Cybersecurity: ENISA Threat Landscape 2025 | ENISA)
Ein zentraler Treiber dieser Entwicklung ist die ausgeprägte Arbeitsteilung. Einzelne Bestandteile eines Angriffs - etwa Erstzugänge, Schadsoftware oder Erpressungsinfrastruktur - lassen sich gezielt einkaufen. Dieses Modell wird als Cybercrime‑as‑a‑Service (CaaS) bezeichnet und senkt die Einstiegshürden erheblich. Europol beschreibt CaaS als einen wesentlichen Motor der Professionalisierung cyberkrimineller Strukturen. (Quelle: Europol: Cyber-attacks: the apex of crime-as-a-service (IOCTA 2023) | Europol)
Was Cybercrime mit organisierter Kriminalität gemeinsam hat
Viele Cybercrime‑Gruppierungen weisen Merkmale auf, die aus klassischen Bereichen der organisierten Kriminalität bekannt sind:
- klar definierte Rollen
- spezialisierte Zuständigkeiten
- internationale Vernetzung
Nach Erkenntnissen des BKA verursachen diese professionellen Gruppierungen vergleichsweise wenige Ermittlungsverfahren, sind jedoch für mehr als die Hälfte der finanziellen Schäden im Bereich der organisierten Kriminalität verantwortlich. Für Strafverfolgungsbehörden bedeutet das einen hohen Analyse‑ und Koordinationsaufwand, eröffnet aber zugleich die Möglichkeit, bewährte kriminalistische Konzepte auf den digitalen Raum zu übertragen.
(Quelle: BKA - Im Fokus: Bundeslagebild Cybercrime 2024)
Künstliche Intelligenz als Beschleuniger
Künstliche Intelligenz wirkt als zusätzlicher Beschleuniger dieser Entwicklung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet eine zunehmende Zahl automatisierter und KI‑gestützter Angriffe, etwa bei Schwachstellenanalysen, personalisiertem Phishing oder Deepfake‑basierten Täuschungen.
Der menschliche Anteil verlagert sich dabei zunehmend auf Planung, Steuerung und Auswertung, während die operative Durchführung weitgehend automatisiert erfolgt.
(Quelle, Lagebericht 2025: BSI - Die Lage der IT-Sicherheit in Deutschland)
Bekannte Schwachstellen als Haupteinfallstor
Ein zentraler Befund aus dem BSI‑Lagebericht 2025: Die Mehrheit erfolgreicher Cyberangriffe nutzt bekannte, öffentlich dokumentierte Sicherheitslücken, nicht sogenannte Zero‑Day‑Exploits, also Angriffe auf bislang unbekannte Schwachstellen, für die noch kein Sicherheitsupdate existiert.
Gleichzeitig steigt die Zahl dieser bekannten Schwachstellen deutlich. Im Berichtszeitraum 2024/2025 wurden durchschnittlich 119 neue Schwachstellen pro Tag veröffentlicht, ein Anstieg von rund 24 Prozent gegenüber dem Vorjahr. Diese Entwicklung ist weniger Ausdruck individueller Nachlässigkeit als Folge hochdynamischer IT‑Landschaften. Systeme und Anwendungen verändern sich kontinuierlich; professionelle Angreifer beobachten diese Veränderungen systematisch und reagieren häufig innerhalb weniger Tage auf neu veröffentlichte Schwachstellen.
(Quelle, Bundesamt für Sicherheit in der Informationstechnik, Lagebericht 2025: BSI - Die Lage der IT-Sicherheit in Deutschland)
Warum punktuelle Tests nicht mehr ausreichen
Vor dem Hintergrund der immer kürzeren Reaktionszeiten von Cyberkriminellen stoßen punktuelle Sicherheitsprüfungen zunehmend an ihre Grenzen. Zwischen der Veröffentlichung einer Schwachstelle und ihrer aktiven Ausnutzung liegen heute oft nur wenige Tage. In diesem Zeitfenster entscheidet sich, ob eine Organisation angreifbar wird oder nicht.
Regelmäßige, automatisiert unterstützte Penetrationstests haben sich deshalb als eine sinnvolle Ergänzung klassischer Sicherheitsmaßnahmen etabliert. Kontinuierliches Pentesting trägt der Tatsache Rechnung, dass sich IT‑Umgebungen laufend verändern: neue Systeme kommen hinzu, Konfigurationen werden angepasst, Updates eingespielt oder Schnittstellen erweitert, jede dieser Änderungen kann neue Angriffsflächen schaffen.
Im Unterschied zu einmaligen Prüfungen simuliert kontinuierliches Pentesting fortlaufend reale Angriffsszenarien und macht sichtbar, wo bekannte Schwachstellen unter aktuellen Bedingungen tatsächlich ausnutzbar sind. Der entscheidende Mehrwert liegt nicht im einzelnen Testergebnis, sondern in einem dauerhaft aktuellen Lagebild, das mit dem Tempo der Angreifer Schritt hält.
Für Prävention und Gefahrenabwehr bedeutet dieser Ansatz, dass bekannte Schwachstellen nicht nur dokumentiert, sondern frühzeitig erkannt, priorisiert und adressiert werden können, bevor sie von professionell organisierten Angreifern aufgegriffen und ausgenutzt werden. Kontinuierliches Pentesting hilft damit, das strukturelle Zeitdefizit auf der Verteidigungsseite gezielt zu verkürzen und Risiken wirksam zu reduzieren.
(Quelle: Threat Landscape | ENISA)
Bedeutung für Polizei und Sicherheitsbehörden
Cyberkriminalität ist heute ein fester Bestandteil organisierter Kriminalität. Ihre Bekämpfung erfordert technisches Fachwissen, kriminalistische Erfahrung und ein kontinuierlich aktualisiertes Lagebild. Die Weiterentwicklung von Analyse‑ und Präventionsinstrumenten ist keine optionale Ergänzung, sondern eine notwendige Anpassung an eine dynamische Bedrohungslage, wie sie BKA, BSI, ENISA und Europol übereinstimmend beschreiben.
Der Hacker mit dem Pizzakarton im Keller ist ein Bild aus einer anderen Zeit.
Moderne Cyberkriminalität ist professionell organisiert, technisch hochentwickelt und international vernetzt.
