Während Unternehmen weltweit händeringend nach IT-Sicherheitsexperten suchen, formiert sich im Verborgenen des Darknets ein paralleler Arbeitsmarkt, der mit ähnlicher Professionalität agiert – nur mit dem Unterschied, dass die gesuchten Fähigkeiten nicht dem Schutz, sondern dem gezielten Angriff auf digitale Infrastrukturen dienen.
Aktuelle Analysen von Sicherheitsforschern des Teams bei ReliaQuest zeigen: Cyberkriminelle rekrutieren nicht mehr nur Einzelkämpfer für einfache Malware-Programmierung, sondern bauen strukturierte Teams auf, die Social Engineering, künstliche Intelligenz und Cloud-Exploits zu einer neuen Bedrohungsstufe vereinen. Was vor wenigen Jahren noch wie ein Szenario aus einem Techno-Thriller klang, ist heute Realität: Die Industrialisierung der Cyberkriminalität schreitet voran, und ihre Methoden werden immer ausgefeilter.
Die Professionalisierung der Unterwelt
Wer sich in den Tiefen von Foren wie „Exploit“ oder „RAMP“ umschaut, stößt auf ein erstaunlich organisiertes Ökosystem. Zwischen 2023 und 2025 hat sich die Zahl der Stellenanzeigen in diesen kriminellen Nischen mehr als verdoppelt. Besonders auffällig ist dabei der Anstieg an Gesuchen für Spezialisten im Bereich Social Engineering und KI. Während früher vor allem technische Fähigkeiten wie das Schreiben von Schadsoftware gefragt waren, geht es heute um die Automatisierung ganzer Angriffsoperationen. 87 Prozent der Anzeigen stammen von Rekruten, die im Auftrag ihrer Auftraggeber nach hochqualifiziertem Personal suchen – ein Indiz dafür, dass Cyberkriminalität längst kein spontanes Handwerk mehr ist, sondern planvoll und arbeitsteilig betrieben wird.
Ein zentraler Treiber dieser Entwicklung ist der Einsatz von künstlicher Intelligenz. KI wird nicht mehr nur genutzt, um Malware zu generieren oder Phishing-Mails zu optimieren, sondern um Angriffe zu skalieren und nahezu ohne menschliches Zutun durchzuführen. Deepfake-Technologien etwa ermöglichen es Angreifern, Stimmen oder Gesichter von Führungskräften so täuschend echt nachzuahmen, dass selbst geübte Mitarbeiter getäuscht werden. Ein bekanntes Beispiel ist der Fall eines Unternehmens, das im Februar 2024 durch eine gefälschte Videokonferenz mit einem vermeintlichen CFO um 25 Millionen Dollar betrogen wurde. Solche Vorfälle sind kein Einzelfall, sondern ein Vorgeschmack auf das, was Sicherheitsverantwortliche in den kommenden Jahren erwarten wird.
Doch nicht nur KI steht hoch im Kurs. Auch Experten für Cloud-Umgebungen wie Microsoft Azure oder IoT-Sicherheitslücken werden händeringend gesucht. Die Nachfrage nach Fähigkeiten im Umgang mit Azure hat sich zwischen 2023 und 2024 vervierfacht – ein klares Signal, dass Angreifer zunehmend auf Cloud-Infrastrukturen als Einfallstor für spätere Erpressungsangriffe setzen. Gleichzeitig erlebt die Rekrutierung von Social Engineers, die fließend Englisch sprechen, einen Boom. Die Fähigkeit, glaubwürdig in Business-Kommunikation zu agieren, ist dabei so gefragt, dass einige Gruppen wie „Scattered Spider“ oder „Black Basta“ damit bereits beachtliche Erfolge erzielen konnten. Ihr Vorgehen folgt oft einem einfachen, aber effektiven Muster: Zuerst wird durch manipulierte E-Mails oder Anrufe Vertrauen aufgebaut, dann werden Zugangsdaten abgegriffen oder Schadsoftware eingeschleust.
Warum Unternehmen jetzt handeln müssen
Die Konsequenzen dieser Entwicklung sind alarmierend: Cyberangriffe werden nicht nur häufiger, sondern auch schneller und schwerer zu erkennen. Wo früher noch handwerkliche Fehler die Täter verrieten, arbeiten heute gut koordinierte Teams mit professionellen Werkzeugen. Für Unternehmen bedeutet das: Wer sich allein auf technische Abwehrmechanismen verlässt, wird auf Dauer scheitern. Vielmehr gilt es, eine mehrschichtige Strategie zu verfolgen, die sowohl technologische als auch menschliche Faktoren berücksichtigt.
Ein erster Schritt ist die regelmäßige Schulung der Belegschaft. Social Engineering lebt davon, dass Menschen in Routinesituationen unkritisch handeln – sei es durch gefälschte Support-Anfragen, manipulierte Rechnungen oder scheinbar harmlose Links in E-Mails. Hier helfen nur Sensibilisierung und realistische Simulationen, um Mitarbeiter für die Tricks der Angreifer zu wappnen. Gleichzeitig müssen Sicherheitsprozesse so gestaltet werden, dass sie auch unter Zeitdruck funktionieren. Dazu gehört etwa die Einführung von Mehr-Faktor-Authentifizierung, die aber nur dann wirksam ist, wenn sie nicht durch soziale Manipulation umgangen werden kann.
Ein weiterer kritischer Punkt ist die Überwachung der eigenen Angriffsfläche. Viele Unternehmen wissen nicht einmal, welche IoT-Geräte in ihrem Netzwerk aktiv sind oder welche Cloud-Dienste mit sensiblen Daten verbunden sind. Gerade diese blind spots werden von Angreifern gezielt ausgenutzt. Tools wie Cloud Security Posture Management (CSPM) können hier helfen, Fehlkonfigurationen zu erkennen, bevor sie zum Einfallstor werden. Doch Technik allein reicht nicht: Es braucht auch klare Prozesse, um auf Vorfälle zu reagieren – etwa durch automatisierte Sperrmechanismen für verdächtige IP-Adressen oder die sofortige Deaktivierung kompromittierter Konten.
Professionalisierung der Cyberkriminalität
Letztlich ist Cybersecurity heute ein Wettrüsten zwischen Angreifern und Verteidigern. Die gute Nachricht: Viele der aktuellen Angriffsmethoden basieren auf bekannten Mustern, die sich mit der richtigen Vorbereitung abwehren lassen. Die schlechte Nachricht: Wer jetzt nicht handelt, wird früher oder später zum Opfer. Die Professionalisierung der Cyberkriminalität zwingt auch die Gegenseite zur Professionalisierung. Wer hier den Anschluss verpasst, riskiert nicht nur finanzielle Verluste, sondern auch das Vertrauen von Kunden und Partnern.
Die Botschaft an die Verantwortlichen ist klar: Cyberkriminalität ist kein abstraktes Risiko mehr, sondern eine konkrete Gefahr, die sich täglich weiterentwickelt. Wer heute in Sicherheit investiert, spart morgen vielleicht die Existenz seines Unternehmens.
Die Zukunft der Cyberabwehr: Proaktiv statt reaktiv
Die Analyse der Darknet-Jobmärkte bietet einen seltenen Einblick in die Pläne der Angreifer. Wer versteht, welche Fähigkeiten dort gerade nachgefragt werden, kann besser antizipieren, welche Bedrohungen als nächstes aufkommen. Aktuell deutet vieles darauf hin, dass wir in den nächsten Monaten eine Welle von Deepfake-Angriffen erleben werden, die gezielt Sprachbarrieren überwinden und so global agieren können. Gleichzeitig wird die Ausnutzung von Hypervisoren – also der Virtualisierungsebene in Rechenzentren – zur neuen Normalität. Gruppen wie „Scattered Spider“ haben bereits gezeigt, wie schnell sie sich in fremden Systemen bewegen können, wenn sie erst einmal Fuß gefasst haben.
Für die Verteidigung bedeutet das: Es reicht nicht mehr, sich auf bekannte Bedrohungen zu konzentrieren. Stattdessen müssen Unternehmen lernen, wie Kriminelle denken. Dazu gehört auch, die eigenen Schwachstellen aus deren Perspektive zu betrachten. Wo sind die wertvollsten Daten? Welche Systeme sind am schlechtesten geschützt? Und vor allem: Wie lange würde es dauern, einen Angriff zu erkennen und zu stoppen? Je schneller diese Fragen beantwortet werden können, desto unwahrscheinlicher wird es, dass Angreifer ihr Ziel erreichen.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Subventionsbetrug: BGH zur Reichweite des Vermögensschadens nach § 264 StGB - 16. Februar 2026
- Reichweite eines Verjährungseinredeverzichts bei Haftung von Geschäftsführern nach § 64 GmbHG a.F. - 16. Februar 2026
- Sexueller Missbrauch an Schulen: Ideen für ein Schutzkonzept aus der Praxis - 15. Februar 2026
