Schattenakteure im Spyware-Markt: Wie Zwischenhändler die Verbreitung offensiver Cyberfähigkeiten antreiben

Der Markt für offensive Cyberfähigkeiten (OCC) – also Werkzeuge und Dienste, die unbefugten Fernzugriff auf fremde Computersysteme ermöglichen – wird von einer weitgehend unbekannten Gruppe von Akteuren mitgestaltet: Zwischenhändlern. Eine neue Untersuchung des Atlantic Council beleuchtet erstmals systematisch, welche Rollen Broker, Wiederverkäufer und andere Vermittler in diesen Lieferketten übernehmen – und welche Folgen das für Regulierung und Rechenschaftspflicht hat.

Wer sind die Akteure?

Im Markt für Spyware und verwandte Produkte lassen sich verschiedene Typen von Zwischenhändlern unterscheiden:

• Broker kaufen einzelne Schwachstellen oder Exploit-Komponenten von Sicherheitsforschern und verkaufen sie weiter – an Regierungen, Unternehmen oder andere Broker. Ein bekanntes Beispiel ist das russische Unternehmen Operation Zero, das auf den Handel mit Zero-Day-Exploits spezialisiert ist.
• Wiederverkäufer erwerben fertige Spyware-Produkte, bündeln sie mit Zusatzleistungen wie technischem Support, Schulungen oder Infrastruktur und vermarkten sie unter eigenem Namen. RCS Lab etwa vertrieb Spionagesoftware von Hacking Team an Kunden.
• Infrastrukturanbieter stellen technische Basis-Ressourcen bereit, etwa Domain-Hosting oder VPN-Dienste, die mehrere Anbieter gleichzeitig nutzen können.
• Zugangsanbieter integrieren Exploits in Anwendungen und verkaufen den resultierenden Systemzugang als Dienstleistung.

Die Grenzen zwischen diesen Kategorien sind fließend. Konzerne wie das Intellexa-Konsortium – bekannt durch die Predator-Spyware – integrieren verschiedene Vermittlerfunktionen intern in ihre Unternehmensstruktur, statt sie extern zu vergeben.

Wie Zwischenhändler die Marktverbreitung vorantreiben

Grenzüberschreitende Transaktionen ermöglichen

Einer der zentralen Befunde der Untersuchung: Zwischenhändler ermöglichen Verkäufe, die aufgrund von Exportvorschriften oder bilateralen Handelsverboten andernfalls nicht zustande kämen.

Konkrete Fallbeispiele aus dem Bericht:

• Der israelische Spyware-Anbieter Quadream gründete 2017 die Tochtergesellschaft InReach Technologies Limited eigens dazu, um seine Produkte unter Umgehung israelischer Exportkontrollen im Ausland zu verkaufen.
• Bangladesch erwarb 2018 israelische Überwachungstechnologie über Wiederverkäufer in Ungarn und Thailand – um das eigene Handelsverbot mit Israel zu umgehen.
• 2021 beschaffte Bangladesch erneut Überwachungstechnologie über eine mehrstufige Vermittlerkette: vom Intellexa-Wiederverkäufer Passitora Ltd über das Schweizer Unternehmen Toru Group Limited. Jede Stufe in dieser Kette erhöhte die Undurchsichtigkeit der Transaktion.

Produktentwicklung beschleunigen

Moderne Spyware basiert selten auf einem einzelnen Exploit, sondern auf einer Kette aufeinander aufbauender Schwachstellen. Broker schließen hier eine Marktlücke: Sie verbinden Sicherheitsforscher mit Anbietern, reduzieren den Suchaufwand und ermöglichen es, Exploit-Komponenten effizienter zu bündeln. Ihr Geschäftsmodell beruht auf persönlichen Beziehungen und Reputation – Faktoren, die in einem von Diskretion geprägten Markt besonders zählen.

Operativen Einsatz unterstützen

Wiederverkäufer übernehmen auch praktische Aufgaben beim Einsatz von Spyware – von der Einrichtung operativer Schulungszentren über den Betrieb von Scheinfirmen bis hin zur Bereitstellung von Analysesystemen für gesammelte Daten.

Markteinschränkende Effekte

Die Präsenz von Zwischenhändlern führt jedoch nicht nur zu einer breiteren Verbreitung von Überwachungssoftware – sie hat auch homogenisierende und kostentreibende Nebenwirkungen.

Preisaufschläge entlang der Lieferkette

Jeder Broker in einer Vermittlerkette addiert seinen eigenen Aufschlag. Laut Expertenangaben im Bericht beträgt dieser pro Stufe rund 10 bis 15 Prozent. Als Beispiel wird der Wiederverkäufer MATIC genannt, der die NSO-Pegasus-Spyware an das polnische Zentralbüro für Korruptionsbekämpfung mit einem Aufschlag von fast 1,5 Millionen US-Dollar verkaufte. Das Ergebnis: Hochentwickelte Fähigkeiten werden für kleinere Staaten und Behörden wirtschaftlich kaum erreichbar.

Einengung des Produktangebots

Da Käufer vor allem auf weit verbreitete Angriffsvektoren – etwa iOS- und Android-Exploits – setzen, richten Broker und Wiederverkäufer ihre Beschaffung entsprechend aus. Das führt dazu, dass:

• die Nachfrage nach alternativen oder ergänzenden Schwachstellen gering bleibt
• Produkte aus technischer Sicht weniger innovativ werden
• Broker verleitet werden, denselben Exploit an mehrere Anbieter gleichzeitig zu verkaufen, was zu Sicherheitslücken führen kann

Transparenz und Sorgfaltspflichten erschwert

Mehrstufige Vermittlerketten verschleiern die Herkunft von Produkten und erschweren sowohl staatliche Kontrolle als auch brancheneigene Sorgfaltspflichten. Der Bericht verweist auf den Fall von Memento Labs, dessen CEO einräumte, dass ein Kunde veraltete Varianten ihrer Malware missbraucht habe – ohne dass der Anbieter dies hätte verhindern können, sobald Wiederverkäufer im Spiel waren.

Hinzu kommt: Die finanziellen Anreize im Markt sind auf Schnelligkeit und Gewinnmaximierung ausgerichtet, nicht auf Compliance oder Transparenz. Das gilt besonders für Akteure in Ländern des Globalen Südens, wo Einnahmen aus dem Exploit-Handel erhebliche wirtschaftliche Bedeutung haben können.

Was politische Rahmenwerke bisher leisten – und wo sie scheitern

Die Untersuchung analysiert auch, wie existierende Regulierungsinitiativen mit dem Thema Zwischenhändler umgehen:

• Der Pall-Mall-Verhaltenskodex (2025) nennt explizit „Wiederverkäufer, Distributoren, Makler und Systemintegratoren“ – ein Fortschritt, dem es aber an konkreten Handlungsvorgaben mangelt.
• Die US-Leitprinzipien des Außenministeriums (2023) richten sich primär an Staaten und Anbieter, ohne Broker oder Wiederverkäufer als eigenständige Kategorien einzubeziehen.
• Technische Berichte dokumentieren das Verhalten von Zwischenhändlern, ohne einheitliche Definitionen zu verwenden.

Politische Empfehlungen

Der Bericht formuliert vier Handlungsempfehlungen – adressiert an Regulierungsbehörden in den USA, dem Vereinigten Königreich und den Unterzeichnerstaaten des Pall-Mall-Prozesses:

1. „Know Your Vendor“-Anforderungen einführen Broker und Wiederverkäufer, die sich um staatliche Aufträge bewerben, sollen verpflichtet werden, Lieferantenbeziehungen, Partnerunternehmen, Investoren, Subunternehmer und Muttergesellschaften offenzulegen. In den USA wäre der Federal Acquisition Regulatory Council zuständig, im Vereinigten Königreich das Cabinet Office.

2. Unternehmensregister verbessern Staatliche Register sollen Mindestangaben für Vermittler und Wiederverkäufer vorschreiben, darunter:

• Grundlegende Unternehmensdaten (Name, Registrierungsnummer, Adresse)
• Angaben zu wirtschaftlichen Eigentümern und Investoren
• Geografischer Tätigkeitsbereich und Betriebsgenehmigungen
• Unternehmensgeschichte inklusive Namensänderungen und Übernahmen

3. Zertifizierungsprogramm für konforme Akteure schaffen Das Vereinigte Königreich und Frankreich sollen im Rahmen des Pall-Mall-Prozesses freiwillige Zertifizierungen einführen. Zertifizierte Broker und Wiederverkäufer erhalten vereinfachte Lizenzverfahren und bessere Chancen bei öffentlichen Ausschreibungen. Voraussetzung: nachgewiesene Compliance, Menschenrechtsverträglichkeitsprüfungen und Zusammenarbeit mit Behörden.

4. Internationale Koordinierung stärken Zertifizierungsprogramme in verschiedenen Ländern sollen über den Pall-Mall-Prozess harmonisiert werden, um regulatorische Arbitrage zu reduzieren.

Einordnung

Die Untersuchung basiert auf Expertenrunden und Einzelinterviews, die im Herbst 2025 mit Akteuren aus der Sicherheitsindustrie, der nationalen Sicherheit und dem Bereich Schwachstellenforschung durchgeführt wurden. Sie ergänzt die Mythical Beasts-Projektreihe des Atlantic Council zur Kartierung des globalen Spyware-Markts.

Solange Zwischenhändler im Verborgenen operieren, bleibt die Rückverfolgung von Spyware zu ihren Auftraggebern strukturell erschwert – mit Konsequenzen für Journalisten, Aktivisten und Privatpersonen, die ins Visier solcher Werkzeuge geraten.

Weitere Informationen

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk