Glamour und zweifelhafter Ruhm – das sind die Attribute, die viele Hackern zusprechen. Der «Nerd» aus der Unterwelt, der von einem gut getarnten Keller aus in Netzwerke einbricht und grosse Geldsummen erpresst, ist eine beschönigte Illusion. Die Wirklichkeit sieht profaner aus. Cybercrime ist eine Industrie, in der Romantik keinen Platz hat.
Studie: Cybercrime ist langweiliges Geschäft
Hinweise, dass Hacker ihr kriminelles Handwerk in Netzwerken organisieren, fanden Ermittler schon öfter. Eine Studie des Cambridge Cybercrime Centre bestätigt das. Die Forscher befragten Personen, die aktiv auf dem Cybercrime-as-a-Service-Markt agieren – Menschen, deren Geschäft es ist, als Teil krimineller Netzwerke Cyberattacken zu unterstützen. Dazu werteten sie Foren und Chats zum selben Thema aus.
Das Forscherteam um Ben Collier kam zu einem nüchternen Befund: Cybercrime ist inzwischen eine gut durchorganisierte Industrie. Hacker greifen auf ein ganzes Arsenal spezialisierter Dienstleister zurück. Der Alltag besteht vor allem aus langweiligen Wartungsarbeiten an der Infrastruktur – und die Bezahlung ist meist schlecht.
Cybercrime als Dienstleistung
Hosting, Botnetz-Überwachung, die Suche nach Geräten für einen DDoS-Angriff – das alles lagern die Initiatoren von Cyberangriffen gern aus. Die Arbeit dahinter ist mühsam und hat mit dem romantischen Bild vom schnellen Geld nichts gemein. Was einmal als «Alternative» zur Industriegesellschaft galt, ist selbst eine Industrie geworden. Viele Beteiligte erleben das Hacken nicht anders als einen langweiligen Bürojob.
Die Tätigkeiten umfassen alles, was in einem gewöhnlichen IT-Betrieb anfällt: Kunden brauchen Support, Forum-Posts brauchen Antworten, das System muss stabil und nutzerfreundlich laufen. Dazu kommt die Zahlungsabwicklung – Plattformen von Zahlungsdienstleistern verweigern regelmässig die Nutzung, Ersatz muss her. Betreiber von Kommunikationsplattformen sperren den Zugang, sobald über ihre Server Erpressungen laufen.
Schlecht bezahlt und demotiviert
Zur schlechten Bezahlung kommt für viele Dienstleister eine fachliche Unterforderung. Die Befragten sehen ihre Arbeit als wenig herausfordernd. Der Aufbau von Tools sei einfach, sagte ein Anbieter von DDoS-Infrastruktur. Am nervigsten sei das Betreiben der Technik.
Ermittler nicht unschuldig am Boom von Cybercrime
Dass sich trotzdem viele IT-Fachleute auf Cybercrime einlassen, hängt auch mit den Ermittlungsbehörden zusammen. Sie feiern Erfolge oft medienwirksam – und nennen dabei Schadenssummen, die den Eindruck erwecken, Hackerangriffe seien ein lukratives Geschäft. Meist stimmt das nicht. Die wenigen «grossen Gewinner» bleiben hinter all ihren Cyber-Bediensteten im Dunkeln.
Die Studie kommt zu einem überraschend einfachen Schluss: Es gibt viele legale und interessantere Jobs mit Computern als Cyberattacken – und sie sind fast immer besser bezahlt. Cybercrime lohnt sich für die Mehrheit der Beteiligten nicht. Wenn sich das herumspricht, verliert das Geschäftsmodell seinen wichtigsten Antrieb.