Was machen Hacker mit ihrem gestohlenen Geld? Die Antwort überrascht

Cyberkriminelle investieren zunehmend in legale Unternehmen – auch offline

Was passiert mit den Millionenbeträgen, die Hacker durch Ransomware, Phishing und Datenklau ergaunern? Eine aktuelle Analyse von Sophos X-Ops zeigt: Die Täter nutzen ihre illegalen Gewinne längst nicht mehr nur für ein Leben im Verborgenen. Stattdessen investieren sie zunehmend in ganz normale, legale Geschäftsbereiche – sowohl online als auch im stationären Handel.

Vom Hacker zum Unternehmer

Die Sicherheitsforscher von Sophos haben Foren im Darknet durchforstet, in denen sich finanziell motivierte Cyberkriminelle über „legale“ Investitionen austauschen. Der Begriff ist irreführend – denn hinter vielen dieser scheinbar legalen Aktivitäten verbergen sich klassische Geldwäsche-Strategien.

Ziel ist es, die kriminellen Einnahmen zu verschleiern und gleichzeitig in lukrative, stabile Einkommensquellen zu investieren. Die Bandbreite reicht dabei von Friseursalons über Online-Bildungsangebote bis hin zu Restaurants oder sogar Immobilienprojekten.

Alltägliche Geschäfte, dunkler Ursprung

Ein Beispiel verdeutlicht, wie allgegenwärtig diese Aktivitäten inzwischen sind:
Ein freier Tag – Frühstück mit Honig, Online-Shopping, ein kurzer Blick auf eine Dating-Plattform, ein Cafébesuch, Handyreparatur, Essen gehen, Taxi nach Hause. Hinter jedem dieser Services könnte, so Sophos, ein Unternehmen stehen, das mit illegalem Geld finanziert wurde.

In diese Branchen fließt das Geld

Die Sophos-Analyse listet eine Vielzahl von Bereichen auf, in die Cyberkriminelle investieren – darunter:

• Gastronomie und Einzelhandel (z. B. Restaurants, Läden, Cafés)

• Immobilien und Bauwesen

• Online-Plattformen (Dating, Werbung, E-Learning, Affiliate-Programme)

• Gesundheit und Konsum (Pharma, Vaping, Tabak)

• Illegale Märkte (Drogen, Falschgeld, gefälschte Markenprodukte, Glücksspiel, Pornografie, Sexarbeit)

• Finanzdienstleistungen (Offshore-Banking, Briefkastenfirmen, Steuerhinterziehung, Insiderhandel)

• IT und Cybersicherheit – ja, sogar in eigene Sicherheitsunternehmen investieren manche Täter

Ein unterschätztes Risiko

Was früher vor allem im digitalen Raum stattfand, breitet sich immer stärker in der realen Welt aus. Die Täter agieren zunehmend wie klassische Geschäftsleute – mit einem entscheidenden Unterschied: Die Geldquellen sind kriminellen Ursprungs.

Hinweis: Die Untersuchung von Sophos enthält Hinweise auf sensible Themen wie Drogenmissbrauch, Sexarbeit, Gewalt und andere Formen organisierter Kriminalität. Alle Inhalte sind rein textlich dargestellt, ohne Bild- oder Videomaterial.

Diversifizieren oder untergehen: Wie Cyberkriminelle ihr Risiko minimieren

Cybercrime trifft reale Wirtschaft – und das mit System.

Finanziell motivierte Cyberkriminelle handeln zunehmend wie klassische Investoren. Sie streben nach Diversifikation – nicht nur, um ihre Gewinne zu maximieren, sondern auch, um ihre Operationen robuster gegen Störungen zu machen. Wenn ihre digitalen Angriffe auffliegen, wollen sie auf andere Einnahmequellen zurückgreifen können – etwa durch Beteiligungen an legalen oder grauzonigen Geschäftsmodellen in der realen Welt.

Wenn Kriminelle zu Unternehmern werden

Die Vorstellung, dass sich Cyberkriminelle still und heimlich in reguläre Wirtschaftsbereiche integrieren – während sie parallel illegale Aktivitäten in der analogen Welt betreiben –, wirft weitreichende Fragen auf: für die Cybersicherheit, die Strafverfolgung und letztlich die Gesellschaft insgesamt.

Die Expansion in neue Geschäftsfelder erschwert nicht nur Ermittlungen, sondern schafft neue Risiken: Es entstehen Netzwerke, in denen Täter, Komplizen und – häufig unwissentlich – Unbeteiligte miteinander verwoben sind. Das zeigt etwa die Operation Destabilise, bei der die britische National Crime Agency (NCA) ein weit verzweigtes russisches Geldwäschenetzwerk zerschlug – mit Verbindungen zu Ransomware, Drogenhandel und staatlicher Spionage.

Auch Europol warnt in einem aktuellen Bericht vor der wachsenden Überschneidung von Cyber- und organisierter Kriminalität – ein Trend, der sich über nationale Grenzen hinweg ausbreitet.

Dunkle Foren, neue Einblicke

Doch es gibt auch einen Lichtblick: Die Diskussionen in kriminellen Foren liefern Ermittlern und IT-Sicherheitsexperten wertvolle Hinweise. Sie eröffnen potenzielle Ermittlungsansätze, zeigen neue Muster auf – und schaffen Raum für die Zusammenarbeit zwischen Strafverfolgung und Cybersicherheitsbranche.

Die Analyse: Eine fünfteilige Serie von Sophos X-Ops

In dieser Artikelserie beleuchtet Sophos X-Ops, wie Cyberkriminelle in kriminellen Foren ihre Investitionen diskutieren – von scheinbar legalen Unternehmen bis hin zu eindeutig illegalen Machenschaften.

Teil 1 – Überblick & Geldwäsche-Methoden:

Einführung in die Denkweise der Täter, ihre Strategien zur Geldwäsche und die Art der Foren, in denen diese Themen offen besprochen werden.

Teil 2 bis 4 – Die Kategorien „weiß“, „grau“ und „schwarz“:

Die kriminellen Akteure selbst unterscheiden drei Investitionsbereiche:

• Weiß: Legitime Unternehmen, etwa Gastronomie, Immobilien, Online-Shops

• Grau: Juristisch oder ethisch fragwürdige Felder – Affiliate-Netzwerke, Glücksspiel, Vaping

• Schwarz: Eindeutig kriminelle Aktivitäten wie Drogenhandel, Falschgeld, Menschenhandel

Die Einteilung orientiert sich an der Eigenwahrnehmung der Akteure in den Foren – und ist damit nicht rechtlich bindend, aber inhaltlich aufschlussreich.

Beyond the kill chain: What cybercriminals do with their money (Part 2)

Beyond the kill chain: What cybercriminals do with their money (Part 3)

Beyond the kill chain: What cybercriminals do with their money (Part 4)

Teil 5 – Auswirkungen & Chancen:

Ein Blick auf die gesellschaftlichen, politischen und wirtschaftlichen Folgen – und darauf, welche Möglichkeiten sich für Prävention und Strafverfolgung ergeben.

Erkenntnisse aus Teil 1: Das versteckte Markt-Ökosystem

• In kriminellen Foren existieren eigene Sektionen zu Geldwäsche und realwirtschaftlichen Investitionen – mit tausenden Beiträgen.

• Diese Bereiche bilden eine Art „Marktplatz im Marktplatz“, in dem diskutiert wird, wie man illegales Geld „reinwaschen“ kann – oft mithilfe von Briefkastenfirmen, Offshore-Konten, Geldkurieren oder Smurfs (Personen, die viele kleine Transaktionen durchführen).

• Teilweise werden dort Drogen gegen Kreditkartendaten getauscht oder Suchtkranke als Geldwäscher rekrutiert.

• Viele Akteure zeigen ein klares Interesse an Diversifikation: Sie investieren in mehrere Sektoren, agieren international – und unterlaufen dabei gezielt staatliche Kontrolle.

Quelle: Sophos