Wenn kriminelle Gruppierungen mit zunehmender Größe beginnen, ähnliche Prozesse zu entwickeln, wie es sie in legalen Unternehmen gibt – und das legt eine neue Studie eines Anbieters von Cybersicherheitslösungen nahe, dann kann das Ermittlern wichtige Ansätze für ihre Arbeit liefern. „Der kriminelle Untergrund professionalisiert sich zusehends“, erläutert Richard Werner, Business Consultant beim Cyber-Security-Anbieter Trend Micro. „Größere Cybercrime-Gruppierungen sind schwierig zu handhaben und haben mittlerweile ein hohes Maß an Bürokratie. Wie bei jedem Unternehmen gehören dazu auch schwache Leistungsträger und Vertrauensprobleme. Unser Report zeigt, wie wichtig es für Ermittler ist, die Größe der kriminellen Gruppierung zu verstehen, mit der sie es zu tun haben.“
Das Wissen um die tatsächliche Größe und Komplexität einer kriminellen Gruppierung erleichtert den Strafverfolgungsbehörden zum einen die Gefahreneinschätzung und Priorisierung, zum anderen bieten gerade größere kriminelle Organisationen selbst eine Anzahl von Schwachpunkten, die es auszunutzen gilt. So speichern sie etwa Jahresabschlüsse oder Fusions- und Akquisitionsdokumente sowie Mitarbeiterlisten, Krypto-Wallets der Mitarbeiter, Handbücher und Tutorials oder sogar gemeinsam genutzte Kalender.
In ihrem Report unterscheiden die Experten von Trend Micro basierend auf der Größe drei Arten krimineller „Unternehmen“. Kleinere kriminelle „Unternehmen“, wie etwa der Counter-Antiviren-Dienst Scan4You, bilden die Mehrheit der im Internet aktiven kriminellen Organisationen, haben in der Regel neben der Managementebene ein bis fünf Mitarbeiter und einen Jahresumsatz bis 500.000 Euro. Die Mitarbeiter übernehmen oft mehrere Aufgaben innerhalb der Gruppierung und gehen zusätzlich noch einem regulären Beruf nach. Mittelgroße kriminelle „Unternehmen“, wie z. B. der „Bulletproof Hoster“ MaxDedi haben oft zwei gestaffelte Führungsebenen, bis zu 49 Mitarbeiter und einen Jahresumsatz von bis zu 50 Millionen Euro. Ihre Struktur ist oft streng hierarchisch und pyramidenartig – mit einer einzigen gesamtverantwortlichen Person an der Spitze.
Große kriminelle „Unternehmen“, wie beispielsweise die Ransomware-Gruppe Conti, haben dagegen normalerweise drei Managementebenen, mehr als 50 Mitarbeiter und einen Jahresumsatz von über 50 Millionen Euro. In solchen „Unternehmen“ sind die Verantwortlichen erfahrene Cyberkriminelle, die qualifiziertes Personal rekrutieren – und teils auch nur befristet als „freie Mitarbeiter“ an die Organisation binden. Teilweise in unternehmensähnlichen Abteilungen mit unterschiedlichen Arbeitsbereichen organisiert, verfügen sie über ein regelrechtes Personalmanagement inklusive Leistungsbeurteilungen. Sie stellen nach Bedarf Entwickler, Administratoren und Penetrationstester ein und implementieren effektive OPSEC (Operations Security). Die Strafverfolgungsbehörden sollten sich in der IT-Forensik dringend auch solche Erkenntnisse zu Nutze machen, wenn sie mit der dynamischen Entwicklung bei Cyber-Bedrohungen mithalten wollen.