Zum Inhalt springen
Technologie & IT

RaaS 2.0: Wie sich das Ransomware-Ökosystem zum Konzern professionalisiert

RaaS-Ökosystem, Cyberkriminalität-Märkte, Affiliate-Modelle – Sicherheitsanalyst überwacht Dashboards zum RaaS-Ökosystem in einem Security Operations Center
Security-Teams beobachten zunehmend organisierte Affiliate-Strukturen hinter Ransomware-Angriffen. (Symbolbild)

Ransomware-Banden führen längst Quartalszahlen, Support-Tickets und Partnerprogramme – nur eben ohne Finanzamt. Der Exabeam-Report 2026 zeigt: Das RaaS-Ökosystem hat sich in ein arbeitsteiliges Marktsystem verwandelt, das sich an SaaS-Konzernen orientiert. Der Clou dabei: Je professioneller die Kriminellen, desto planbarer das Risiko für Unternehmen – und desto unbequemer die Fragen an Versicherer und Vorstände.

Ransomware war einmal ein Handwerk. Ein Programmierer, ein Exploit, eine Lösegeldforderung, fertig. Diese Zeiten sind vorbei, wenig überraschend. Was sich heute unter dem Begriff Ransomware-as-a-Service verbirgt, ist ein durchstrukturierter Marktplatz mit Rollenverteilung, Preislisten und Qualitätskontrolle. Der aktuelle Exabeam-Report zur Ransomware-Lage ordnet genau diese Entwicklung ein: Angreifer-Gruppen professionalisieren sich, weil Professionalisierung sich schlicht rechnet.

Das Pikante daran: Die Struktur, die Sicherheitsforscher hier beschreiben, unterscheidet sich kaum von legitimen Software-as-a-Service-Anbietern. Abomodelle, Affiliate-Programme, Support-Hotlines, sogar Reputationsbewertungen im Darknet – die Cyberkriminalität-Märkte haben sich das Geschäftsmodell der Tech-Industrie einfach kopiert und für Erpressung optimiert.

Der Exabeam-Report: Was am RaaS-Ökosystem 2026 wirklich neu ist

Der Exabeam-Report zur aktuellen Ransomware-Lage beschreibt keine neue Schadsoftware-Familie, sondern eine Marktstruktur. Genau das macht die Analyse brisant. Statt einzelner Angriffe rückt die Ökonomie hinter den Angriffen in den Fokus: Wer verdient wie viel, wer trägt welches Risiko, wer sitzt an welcher Stelle der Wertschöpfungskette.

Diese Perspektive ist überfällig. Denn wer nur auf einzelne Verschlüsselungstrojaner starrt, übersieht das eigentliche Problem: Ein einzelner Entwickler kann heute Dutzende Affiliates bedienen, ohne selbst einen einzigen Angriff auszuführen. Skalierung ohne operative Verantwortung – klingt bekannt? Genau, das ist im Grunde das Plattformprinzip jedes App-Stores, nur dass hier niemand Steuern zahlt und die Nutzerbewertungen aus Lösegeldzahlungen bestehen.

Das RaaS-Ökosystem hat sich laut aktuellen Analysen von IBM längst zu einem Modell entwickelt, bei dem Entwickler Code, Infrastruktur und Support gegen Gebühr oder Gewinnbeteiligung vermieten. IBM beschreibt dieses Prinzip nüchtern als kommerzialisierte Dienstleistung – nicht als Werkzeug, sondern als Vertriebsform.

Vom Einzeltäter zur Konzernstruktur: Rollenverteilung im Affiliate-Modell

Wer sich die Rollenverteilung im modernen RaaS-Ökosystem ansieht, erkennt schnell ein vertrautes Organigramm. Entwickler bauen die Verschlüsselungssoftware und die Verwaltungsoberfläche. Initial-Access-Broker verkaufen fertige Zugänge zu bereits kompromittierten Netzwerken. Affiliates führen den eigentlichen Angriff aus. Verhandlungsspezialisten kommunizieren mit den Opfern. Geldwäscher schleusen die Kryptowährungs-Zahlungen durch Mixer und Tumbler. Jede Rolle ist spezialisiert, jede Rolle ersetzbar.

Diese Arbeitsteilung ist kein Zufall, sondern Effizienzlogik. Ein Affiliate muss keine Malware programmieren können, er muss lediglich ein Netzwerk infiltrieren und den Rest der Kill Chain bedienen. Genau diese Spezialisierung senkt die Einstiegshürde dramatisch – technisches Vorwissen wird zur Fußnote, während operative Reichweite zum entscheidenden Faktor wird.

Sophos beschreibt die Struktur der Affiliate-Modelle als System, in dem Betreiber Toolkits, Kontrollpanels und Zahlungsportale bereitstellen, während Affiliates im Feld operieren und einen Teil des Lösegelds abtreten. Wer im Ökosystem eine gute Erfolgsquote vorweisen kann, erhält Zugang zu lukrativeren Zielen – ein Reputationssystem, das an Freelancer-Plattformen erinnert, nur mit Verschlüsselungstrojanern statt Grafikdesign-Aufträgen.

Initial-Access-Broker als eigene Branche

Besonders auffällig: Initial-Access-Broker haben sich zu einer eigenständigen Dienstleistungsschicht entwickelt. Sie verkaufen fertige Zugänge – über gestohlene Zugangsdaten, ausgenutzte Schwachstellen oder kompromittierte Remote-Desktop-Verbindungen – separat vom eigentlichen Ransomware-Deployment. Das bedeutet: Ein Netzwerk kann bereits Wochen oder Monate vor der eigentlichen Verschlüsselung kompromittiert und an den Höchstbietenden weiterverkauft worden sein. Wenig überraschend, dass Forensiker in solchen Fällen oft mehrere Angreifer-Signaturen in einem einzigen Vorfall finden.

Genau diese Vorfeld-Aktivitäten zeigen, wie stark sich die Grenzen zwischen Business Email Compromise und Ransomware inzwischen auflösen: Wer einmal Zugang hat, verkauft ihn weiter – an den Meistbietenden, unabhängig davon, ob dieser dann Phishing betreibt oder gleich verschlüsselt.

Double und Triple Extortion: Wie das Geschäftsmodell über Verschlüsselung hinauswächst

Was im Exabeam-Report und in parallelen Analysen ebenfalls deutlich wird: Reine Verschlüsselung als Druckmittel reicht den meisten RaaS-Gruppen längst nicht mehr aus. Das Stichwort lautet Double Extortion – die Angreifer exfiltrieren vor der Verschlüsselung sensible Daten und drohen mit deren Veröffentlichung, falls das Lösegeld nicht gezahlt wird. Aus technischer Sicht ist das eine triviale Erweiterung: Sobald ein Affiliate ohnehin im Netzwerk operiert, kostet das Abgreifen von Dokumenten, Verträgen oder Personaldaten kaum zusätzlichen Aufwand.

Die ökonomische Logik dahinter ist allerdings alles andere als trivial. Mit Double Extortion verdoppelt sich das Erpressungspotenzial, weil selbst Unternehmen mit funktionierenden Backups unter Druck geraten. Ein vollständiges Backup macht die Verschlüsselung wirkungslos – aber es schützt nicht vor der Drohung, interne Strategiepapiere oder Kundendaten auf einem Public-Leak-Blog zu veröffentlichen. Die Angreifer haben faktisch ein zweites Produkt geschaffen, das unabhängig vom ersten funktioniert.

Mittlerweile sprechen Sicherheitsforscher bereits von Triple Extortion. Hier wird zusätzlich eine dritte Druckschraube angelegt: Die Ransomware-Gruppe kontaktiert direkt die Geschäftspartner, Kunden oder Mitarbeiter des Opfers und droht diesen mit Datenlecks oder koordinierten DDoS-Attacken. Das Opfer steht damit nicht nur selbst unter Druck, sondern muss auch erklären, warum Dritte wegen seines Sicherheitsversagens behelligt werden. Aus Verhandlungssicht ist das brillant zynisch: Der Reputationsdruck multipliziert sich, und die Zeit, die für eine fundierte Entscheidung bleibt, schrumpft auf Stunden.

Für Unternehmen bedeutet diese Eskalationsdynamik, dass Incident-Response-Pläne nicht mehr nur die technische Wiederherstellung abdecken dürfen. Kommunikationsstrategien gegenüber Kunden, Partnern und Aufsichtsbehörden müssen vorbereitet sein, bevor der Ernstfall eintritt. Wer erst während eines laufenden Triple-Extortion-Angriffs überlegt, wie man Stakeholder informiert, hat bereits verloren – nicht technisch, aber kommunikativ und damit ökonomisch.

Das Geschäftsmodell: Abos, Gewinnbeteiligung und Preislisten im Darknet

Der Vergleich zu klassischen SaaS-Preismodellen ist keine journalistische Zuspitzung, sondern Marktrealität. Kaspersky dokumentiert RaaS-Angebote mit Abonnementpreisen, die monatlich oder jährlich abgerechnet werden, inklusive fortlaufendem technischem Support. Andere Anbieter verzichten auf feste Gebühren und arbeiten stattdessen mit reiner Gewinnbeteiligung, bei der die Betreiber einen Anteil von rund 30 bis 40 Prozent des erzielten Lösegelds einbehalten, während der Rest an den ausführenden Affiliate geht.

Manche Programme drehen das Verhältnis sogar um: Affiliates behalten den Großteil, teils bis zu 80 Prozent der Erpressungssumme, während der Entwickler nur eine kleinere Beteiligung erhält – dafür aber ohne eigenes operatives Risiko, quasi passives Einkommen aus digitaler Erpressung. Das ist zynisch, aber ökonomisch stringent: Wer das Risiko trägt, verhandelt sich einen größeren Anteil.

Der Clou an diesen Affiliate-Modellen liegt in der Skalierbarkeit. Ein Entwickler-Team, das zehn, zwanzig oder fünfzig Affiliates gleichzeitig bedient, multipliziert seinen Umsatz ohne proportional steigenden Arbeitsaufwand. Genau dieses Prinzip kennt jede Softwarefirma, die auf Lizenzmodelle setzt – nur dass hier das Produkt keine Projektmanagement-Software ist, sondern ein Verschlüsselungstrojaner mit Erpresserbrief.

Marktplätze als Handelsplattform

Darknet-Marktplätze fungieren dabei als eine Art Applikations-Store für Erpressungssoftware. Dort werden nicht nur RaaS-Kits gehandelt, sondern auch Zugangsdaten, gestohlene Datensätze und sogar Bewertungen für zuverlässige Anbieter. Wer als Affiliate schlechten Support leistet oder Lösegeld nicht korrekt auszahlt, verliert Reputation – und damit Kunden. Ja, auch Cyberkriminelle fürchten schlechte Rezensionen.

SaaS-Vergleich: Warum Cyberkriminalität-Märkte wie Software-Konzerne ticken

Der Vergleich zwischen legitimen SaaS-Anbietern und dem RaaS-Ökosystem drängt sich auf, weil die strukturellen Parallelen kaum zu übersehen sind. Beide Modelle senken Einstiegshürden durch Standardisierung. Beide bieten Support, Updates und teils sogar Service-Level-Zusagen. Der Unterschied liegt allein im Produkt und in der fehlenden Rechtsstaatlichkeit des Anbieters.

Secureworks beschreibt in einer vielzitierten Analyse, dass sich Ransomware-Gruppen zunehmend an Strukturen und Abläufen legaler Unternehmen orientieren – von der Rollenteilung bis zur Markenbildung. Manche Gruppen pflegen sogar eigene Pressestellen, die Journalisten Interviews anbieten, um ihre „Erfolge“ zu vermarkten. Das ist an Absurdität kaum zu überbieten, aber es funktioniert offenbar als Rekrutierungsinstrument für neue Affiliates.

Wer glaubt, das sei reine Effekthascherei, irrt. Eine erkennbare Marke schafft Vertrauen im kriminellen Ökosystem – und Vertrauen ist die Währung, mit der neue Partner gewonnen werden. Genau hier zeigt sich, wie tief die Professionalisierung inzwischen reicht: Aus einer chaotischen Szene ist eine Branche mit Markenpflege geworden.

Bemerkenswert ist dabei, wie gezielt RaaS-Gruppen bestimmte Branchen und Systeme ins Visier nehmen. Aktuelle Untersuchungen zeigen, dass Ransomware-Angriffe auf ERP-Systeme besonders lukrativ sind, weil dort geschäftskritische Prozesse und sensible Daten zusammenlaufen – genau die Kombination, die Double-Extortion-Strategien maximalen Hebel verschafft.

Forensiker analysiert Zahlungsflüsse eines Affiliate-Modells nach einem Ransomware-Vorfall
Zahlungsspuren zeigen, wie Gewinnbeteiligungen im Affiliate-Modell zwischen Entwicklern und Angreifern verteilt werden. (Symbolbild)

Die Ökonomie der Erpressung: Anreize, Risiken, Kalkulation

Jede ökonomische Analyse eines Marktes braucht eine Betrachtung der Anreizstruktur. Für Angreifer ist das Kalkül simpel: Die Kosten für ein RaaS-Kit sind gering, das potenzielle Vielfache an Lösegeld enorm. Selbst wenn nur ein Bruchteil der Angriffe erfolgreich ist, bleibt die Gesamtrechnung für die Betreiber positiv – ein Geschäftsmodell mit eingebauter Fehlertoleranz, das jedes Start-up neidisch machen würde, gäbe es dafür einen legalen Markt.

Auf der anderen Seite stehen Unternehmen, deren Präventionsanreize strukturell schwächer wirken. Sicherheitsinvestitionen kosten sofort und sichtbar, während der Schaden eines Angriffs abstrakt und ungewiss bleibt – bis er eintritt. Diese Asymmetrie ist einer der Gründe, warum viele Organisationen erst nach einem Vorfall in Detection- und Backup-Strategien investieren. Teuer, aber menschlich nachvollziehbar: Wer will schon für ein Risiko zahlen, das vielleicht nie eintritt?

Genau an dieser Stelle zeigt sich der eigentliche Skandal der Ökonomie der Erpressung: Angreifer-Incentives sind klar, kurzfristig und lukrativ. Präventionsanreize für Unternehmen sind diffus, langfristig und schwer zu bilanzieren. Ein strukturelles Ungleichgewicht, das RaaS-Betreibern in die Karten spielt.

Geopolitik und Safe Havens: Wo das RaaS-Ökosystem operiert

Ein Aspekt, der in rein technischen Analysen oft zu kurz kommt: Das RaaS-Ökosystem existiert nicht im luftleeren Raum. Viele der bekanntesten Ransomware-Gruppen operieren aus Jurisdiktionen, in denen westliche Strafverfolgungsbehörden faktisch keinen Zugriff haben. Teile Osteuropas, aber auch bestimmte Regionen in Asien und Afrika bieten faktische Safe Havens – nicht unbedingt durch aktive staatliche Förderung, sondern schlicht durch Desinteresse, fehlende Ressourcen oder mangelnde Kooperation bei der Strafverfolgung.

Das hat konkrete Auswirkungen auf die Marktdynamik. Solange Betreiber wissen, dass sie in ihrer physischen Heimat keine Verfolgung fürchten müssen, sinkt das persönliche Risiko gegen null. Operative Kosten bleiben niedrig, und die Gewinne fließen in Kryptowährungen, die sich nur mit erheblichem forensischen Aufwand zurückverfolgen lassen. Strafverfolgungsaktionen wie die Zerschlagung einzelner Infrastruktur-Server wirken da eher wie Nadelstiche – schmerzhaft, aber nicht existenzbedrohend für das Gesamtökosystem.

Gleichzeitig beobachten Experten, dass manche staatlichen Akteure RaaS-Gruppen indirekt nutzen, um wirtschaftlichen oder politischen Druck aufzubauen. Ob solche Verbindungen systematisch sind oder opportunistisch, bleibt umstritten. Unstrittig ist allerdings: Solange die geopolitische Großwetterlage keine konzertierte internationale Strafverfolgung zulässt, bleibt das RaaS-Ökosystem strukturell resilient – egal wie viele einzelne Server beschlagnahmt oder Darknet-Foren abgeschaltet werden.

Compliance und Versicherung: Wenn das Affiliate-Modell auf Unternehmensrealität trifft

Für Compliance-Abteilungen und Cyberversicherer verändert die Professionalisierung der Angreifer-Marktstrukturen die Risikobewertung fundamental. Wenn Ransomware-Gruppen wie Unternehmen mit Rollenteilung, Support und Reputationssystemen agieren, lassen sich Angriffsmuster inzwischen mit einer gewissen Regelmäßigkeit vorhersagen – zumindest statistisch. Das ist paradoxerweise eine gute Nachricht für Risikomodelle, aber eine schlechte für alle, die auf Zufall statt Systematik gehofft hatten.

Versicherer reagieren längst mit strengeren Auflagen: Mehrfaktor-Authentifizierung, getrennte Backup-Systeme, dokumentierte Incident-Response-Pläne. Wer diese Mindeststandards nicht erfüllt, bekommt entweder keine Police oder zahlt Prämien, die dem Lösegeld selbst nahekommen. Das Pikante daran: Ein professionalisiertes Angreifer-Ökosystem zwingt damit indirekt auch die Verteidigerseite zur Professionalisierung – Compliance wird zur Pflichtübung, nicht mehr zur Kür.

Rechtlich brisant bleibt zudem die Frage der Lösegeldzahlung selbst. In vielen Jurisdiktionen ist die Zahlung an sanktionierte Gruppen rechtlich heikel, während Unternehmen gleichzeitig unter enormem operativen Druck stehen, den Betrieb schnell wieder aufzunehmen. Wer hier ohne juristische Beratung handelt, riskiert doppelten Schaden: den durch den Angriff und den durch die eigene Reaktion darauf. Wie gut oder schlecht Organisationen auf diese Gemengelage vorbereitet sind, hängt maßgeblich davon ab, wie ernst sie ihre eigene Ransomware-Readiness und Preparedness bereits in Friedenszeiten nehmen.

Präventionsanreize vs. Angreifer-Incentive-Struktur: Ein ungleicher Wettlauf

Der eigentliche Systemfehler liegt in der Geschwindigkeit der Anpassung. Angreifer-Gruppen im RaaS-Ökosystem iterieren ihre Geschäftsmodelle in Wochen, nicht in Jahren. Neue Affiliate-Programme, neue Marktplatz-Regeln, neue Zielgruppen-Strategien – all das entsteht in einem Tempo, das klassische Unternehmens-IT kaum mithalten kann. Governance-Prozesse, Budgetfreigaben, Schulungszyklen: Auf der Verteidigerseite dauert jede Anpassung länger als auf der Angreiferseite.

Meine persönliche Einschätzung: Genau diese Geschwindigkeitsasymmetrie wird unterschätzt. Viele Sicherheitsstrategien reagieren noch immer auf die Bedrohung von gestern, während sich das Geschäftsmodell der Angreifer bereits weiterentwickelt hat. Wer heute noch glaubt, ein gutes Backup allein reiche als Verteidigung, hat die Professionalisierung der Gegenseite nicht verstanden.

Ist das ein Grund zur Resignation? Nicht ganz. Die gute Nachricht an der schlechten Nachricht: Wenn Angreifer wie Unternehmen agieren, werden sie auch berechenbarer wie Unternehmen. Muster in Affiliate-Rekrutierung, in Zahlungsflüssen, in Kommunikationsverhalten lassen sich analysieren und für Frühwarnsysteme nutzen. Threat-Intelligence-Teams, die genau diese Marktstrukturen im Blick behalten, gewinnen einen Informationsvorsprung, den rein technische Abwehr allein nicht liefern kann.

Praxis-Szenario: Was ein RaaS-Angriff für Mittelständler konkret bedeutet

Um die theoretische Marktstruktur greifbar zu machen, lohnt ein Blick auf ein realistisches Szenario. Ein produzierender Mittelständler mit rund 500 Mitarbeitern bemerkt an einem Montagmorgen, dass zentrale ERP-Systeme nicht erreichbar sind. Auf den Bildschirmen erscheint eine Lösegeldforderung – inklusive Link zu einem Onion-Portal, auf dem bereits gestohlene Kundendaten und interne Kalkulationen als „Beweis“ bereitstehen. Die Frist: 72 Stunden. Das geforderte Lösegeld: ein Betrag im hohen sechsstelligen Bereich, zahlbar in Monero.

In diesem Szenario prallen sämtliche beschriebenen Mechanismen aufeinander. Der Initial-Access-Broker hat Wochen zuvor einen kompromittierten VPN-Zugang eines Dienstleisters erworben. Der Affiliate hat über diesen Zugang lateral im Netzwerk operiert, Backups identifiziert und teilweise unbrauchbar gemacht, bevor die Verschlüsselung ausgelöst wurde. Die Verhandlungsspezialisten der RaaS-Gruppe kommunizieren professionell, bieten gar einen „Test-Entschlüsselungsservice“ für einzelne Dateien an, um die Funktionsfähigkeit ihres Tools zu demonstrieren. Und die Threat-Double-Extortion-Komponente setzt zusätzlichen Druck auf, weil die veröffentlichten Daten nicht nur dem Unternehmen, sondern auch dessen Geschäftspartnern schaden.

Für die Geschäftsführung bedeutet das: Innerhalb weniger Stunden müssen technische, juristische und kommunikative Entscheidungen getroffen werden, für die es keine Generalprobe gab. Meldet man den Vorfall der Aufsichtsbehörde? Informiert man betroffene Kunden proaktiv? Holt man sich externe Verhandlungsführer? Die Qualität der Vorbereitung entscheidet in diesem Moment darüber, ob die Organisation handlungsfähig bleibt oder in Panikreaktionen verfällt – und genau diese Vorbereitung ist eben keine rein technische Frage, sondern eine organisatorische.

Was Unternehmen aus der Marktstruktur konkret lernen können

Wer die Ökonomie des RaaS-Ökosystems ernst nimmt, sollte Sicherheitsstrategien nicht mehr nur technisch, sondern ökonomisch denken. Das bedeutet konkret: Segmentierung von Netzwerken, um den Wert eines einzelnen kompromittierten Zugangs für Initial-Access-Broker zu senken. Regelmäßige, getrennt gelagerte Backups, um die Erpressungsgrundlage – Verschlüsselung als Druckmittel – wirkungslos zu machen. Und eine realistische Incident-Response-Planung, die nicht erst im Ernstfall improvisiert wird.

Ebenso wichtig: die interne Kommunikation zwischen IT-Sicherheit, Rechtsabteilung und Geschäftsführung. Denn wenn Angreifer-Gruppen wie durchorganisierte Firmen mit Verhandlungsteams auftreten, braucht die Gegenseite ebenfalls klare Entscheidungswege – wer verhandelt, wer entscheidet über Lösegeldzahlungen, wer informiert Aufsichtsbehörden. Improvisation unter Zeitdruck ist der teuerste Fehler, den Organisationen in dieser Situation machen können.

Darüber hinaus sollten Unternehmen ihre Zulieferer und Dienstleister als Teil der eigenen Angriffsfläche begreifen. Initial-Access-Broker kaufen Zugänge nicht nur direkt beim Zielunternehmen, sondern oft bei schlecht abgesicherten Partnern, die vertrauenswürdige Netzwerkverbindungen haben. Ein Audit der Dienstleister-Zugänge und konsequente Segmentierung dieser Verbindungen kann den Marktwert des eigenen Unternehmens auf den Darknet-Marktplätzen senken – und damit die Wahrscheinlichkeit, überhaupt als lohnendes Ziel ausgewählt zu werden.

Am Ende bleibt die unbequeme Erkenntnis, dass die Cyberkriminalität-Märkte sich schneller professionalisieren als viele der Organisationen, die sie angreifen. Das Affiliate-Modell hat aus Einzeltätern eine Branche gemacht – mit Arbeitsteilung, Marktplätzen und Reputationssystemen. Was bleibt Unternehmen also übrig, außer die eigene Verteidigung ähnlich systematisch zu denken wie die Angreifer ihr Geschäft? Und wie lange dauert es noch, bis Cyberversicherer diese Systemlogik konsequent in ihre Tarifmodelle einpreisen?

Was halten Sie von dem Thema? Hier können Sie mit anderen Leserinnen und Lesern ins Gespräch gehen.