--- title: "Ransomware-as-a-Service: So funktioniert die Schattenwirtschaft" date: 2026-02-06T14:35:00+01:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/ransomware-as-a-service-so-funktioniert-die-schattenwirtschaft" section: "Entries: Articles" --- ### Das RaaS-Geschäfts­mo­dell erklärt [\#](#das-raas-gesch%C3%A4ftsmodell-erkl%C3%A4rt "Das RaaS-Geschäftsmodell erklärt") #### Drei Rol­len: Ent­wick­ler, Affi­lia­tes, Bro­ker [\#](#drei-rollen-entwickler-affiliates-broker "Drei Rollen: Entwickler, Affiliates, Broker") **Ent­wick­ler** schrei­ben die Ran­som­wa­re-Soft­ware. Sie küm­mern sich um Ver­schlüs­se­lung, C2-Kom­mu­ni­ka­ti­on (Com­mand & Con­trol) und Dekryp­ti­ons-Dienst­leis­tun­gen. Das ist hoch­spe­zia­li­sier­te Arbeit. **Affi­lia­tes** (auch: Anfän­ger oder Geschäfts­part­ner) sind die Angrei­fer. Sie kau­fen oder mie­ten die Ran­som­wa­re und füh­ren die eigent­li­chen Ope­ra­tio­nen durch — Initi­al Access Bro­ker (IAB) pene­trie­ren Netz­wer­ke über Phis­hing, RDP-Exploits oder Schwach­stel­len. Die Affi­lia­tes zah­len die Ran­som­wa­re nicht auf ein­mal; statt­des­sen läuft ein **Pro­vi­si­ons­mo­dell**: **Bro­ker** (optio­nal, aber häu­fig) fun­gie­ren als Ver­mitt­ler. Sie bie­ten bereits Zugriff auf kom­pro­mit­tier­te Netz­wer­ke an. Ein Affi­lia­te kauft sich qua­si ein ​“Ein­stiegs­loch” und star­tet den Angriff von dort. #### Das Pro­vi­si­ons­mo­dell [\#](#das-provisionsmodell "Das Provisionsmodell") Ein Affi­lia­te zahlt **kei­ne fes­te Lizenz** für Ran­som­wa­re. Statt­des­sen erhal­ten die Ent­wick­ler einen Anteil am Lösegeld: - **Typisch 70 – 80% des Löse­gelds gehen an die Affi­lia­te** (der­je­ni­ge, der den Angriff durch­ge­führt hat). - **20 – 30% gehen an den Ent­wick­ler** (Betrei­ber der RaaS-Plattform). - **Zah­lun­gen erfol­gen in Bit­co­in oder Mone­ro**, anonym und nicht nachverfolgbar. Bei­spiel: Ein Affi­lia­te erpresst ein Unter­neh­men für 500.000 EUR. Der Affi­lia­te behält ca. 350.000 – 400.000 EUR und zahlt 100.000 – 150.000 EUR an den Ent­wick­ler. Das Modell belohnt Ska­lie­rung — je mehr Angrif­fe, des­to mehr Gewinn für bei­de Seiten. #### Der Ser­vice-Cha­rak­ter [\#](#der-service-charakter "Der Service-Charakter") RaaS-Betrei­ber bie­ten tat­säch­lich **Kun­den­ser­vice**: - **Dekryp­ti­ons-Tools:** Wenn das Löse­geld gezahlt wird, stel­len die Ent­wick­ler ein Dekryp­ti­ons-Tool bereit (das häu­fig bug­gy ist, aber funktioniert). - **Leak-Sei­ten:** Vie­le RaaS-Grup­pen betrei­ben Dark-Web-Sei­ten, auf denen gestoh­le­ne Daten zur Ver­hand­lung oder zum Ver­kauf ste­hen. Das ist eine Druck­aus­übung auf Unter­neh­men, die nicht zah­len möchten. - **Sup­port-Forum:** Es gibt inof­fi­zi­el­le Foren, auf denen Affi­lia­tes Pro­ble­me mel­den und Ent­wick­ler Sup­port bieten. - **Ver­si­ons­up­grades:** Bekann­te Grup­pen ver­öf­fent­li­chen regel­mä­ßig neue Ver­sio­nen ihrer Ran­som­wa­re mit Ver­bes­se­run­gen (z. B. bes­se­re Netz­werk-Ver­brei­tung, Umge­hung neu­er EDR-Tools). --- ### Bekann­te RaaS-Grup­pen und ihre Merk­ma­le [\#](#bekannte-raas-gruppen-und-ihre-merkmale "Bekannte RaaS-Gruppen und ihre Merkmale") #### Lock­Bit [\#](#lockbit "LockBit") Die wahr­schein­lich größ­te akti­ve RaaS-Fami­lie (Vari­an­ten: Lock­Bit 2.0, Lock­Bit 3.0). Lock­Bit betreibt aggres­siv Dou­ble-Extor­ti­on-Leaks und hat ein gro­ßes Affi­lia­te-Netz­werk. Durch­schnitt­li­che For­de­rung: Hun­der­tau­sen­de bis Mil­lio­nen EUR. **Merk­ma­le:** Schnel­le Ver­schlüs­se­lung, pro­fes­sio­nel­le Leak-Sei­te, hohe öffent­li­che Sicht­bar­keit (bewuss­te PR-Taktik). #### Black­Cat / ALPHV [\#](#blackcat-alphv "BlackCat / ALPHV") Eine neue­re, aggres­si­ve­re Grup­pe, die 2021 auf­tauch­te. Black­Cat nutzt Rust (statt C++ oder C) für ihre Mal­wa­re, was fort­ge­schrit­te­ner ist. Sie bie­ten eine umfang­rei­che RaaS-Platt­form mit fes­ten monat­li­chen Gebüh­ren für Top-Affiliates. **Merk­ma­le:** Pro­fes­sio­nel­le Bran­ding, Leak-Sei­te auf ToR und Clear­net, Dou­ble Extor­ti­on, Fokus auf gro­ße Unter­neh­men und Kri­ti­sche Infrastruktur. #### Cl0p (Clop) [\#](#cl0p-clop "Cl0p (Clop)") Bekannt für Schwach­stel­len in File-Trans­fer-Anwen­dun­gen (z. B. Pro­gress Software’s MOVEit). Cl0p ope­riert nicht als klas­si­sches RaaS, son­dern eher als spe­zia­li­sier­te Grup­pe, die ihre Exploits direkt ver­kauft oder lizenziert. **Merk­ma­le:** Exploit-basiert, Fokus auf Sup­p­ly-Chain-Angrif­fe, sehr selek­tiv in ihren Zielen. #### Alphon­so / Alpha­key­board (und ande­re) [\#](#alphonso-alphakeyboard-und-andere "Alphonso / Alphakeyboard (und andere)") Eine Viel­zahl klei­ne­rer RaaS-Fami­li­en exis­tie­ren. Man­che sind Able­ger eta­blier­ter Grup­pen, ande­re sind ganz neue Einsteiger. --- ### War­um RaaS Angrif­fe ska­lier­bar macht [\#](#warum-raas-angriffe-skalierbar-macht "Warum RaaS Angriffe skalierbar macht") #### Gerin­ge­re Ein­stiegs­bar­rie­ren [\#](#geringere-einstiegsbarrieren "Geringere Einstiegsbarrieren") Jeder mit Geld (nicht nur tech­ni­sche Fähig­kei­ten) kann einen Ran­som­wa­re-Angriff durch­füh­ren. Ein Initi­al Access Bro­ker ver­kauft Netz­werk-Zugriff für 1.000 – 50.000 EUR. Ein Affi­lia­te muss dann ​“nur noch” den Angriff durch­füh­ren — die Infra­struk­tur, Mal­wa­re und Dekryp­ti­on sind bereits vorhanden. #### Glo­ba­le Res­sour­cen­pools [\#](#globale-ressourcenpools "Globale Ressourcenpools") Affi­lia­tes rekru­tie­ren sich welt­weit. Ein Angrei­fer in Ost­eu­ro­pa kann Netz­wer­ke in Deutsch­land oder den USA ins Visier neh­men. Das Geschäfts­mo­dell funk­tio­niert länderübergreifend. #### Stan­dar­di­sie­rung [\#](#standardisierung "Standardisierung") Mit jeder neu­en Ver­si­on wird die Ran­som­wa­re bes­ser, schnel­ler, schwe­rer zu erken­nen. Die Ent­wick­ler-Teams ver­bes­sern kon­ti­nu­ier­lich ihre Tech­ni­ken. Das ist das­sel­be wie legi­ti­me Soft­ware­ent­wick­lung — nur für ille­ga­le Zwecke. #### Pro­fit-Moti­va­ti­on [\#](#profit-motivation "Profit-Motivation") Mit Pro­vi­si­ons­mo­del­len ver­die­nen bei­de Sei­ten viel Geld schnell. Ein ein­zel­ner gro­ßer Angriff kann Mil­lio­nen ein­brin­gen. Das finan­ziert wei­te­re Ent­wick­lung und Mar­ke­ting der RaaS-Plattform. --- ### Aus­wir­kun­gen auf Ihre Ver­tei­di­gungs­stra­te­gie [\#](#auswirkungen-auf-ihre-verteidigungsstrategie "Auswirkungen auf Ihre Verteidigungsstrategie") RaaS bedeu­tet, dass Sie nicht nur gegen eine Mal­wa­re kämp­fen, son­dern gegen ein **orga­ni­sier­tes, finan­zier­tes Öko­sys­tem**. Das erfordert: 1. **Prä­ven­ti­on reicht nicht.** Die Gefahr ist zu pro­fes­sio­na­li­siert und zu gut finanziert. 2. **Wie­der­her­stell­bar­keit ist zen­tral.** Mit auto­ma­ti­sier­ten, getes­te­ten, off­line Back­ups kön­nen Sie sich inner­halb von Stun­den erho­len — unab­hän­gig vom Angreifer. 3. **Inci­dent Respon­se ist not­wen­dig.** Wenn Sie getrof­fen wer­den, brau­chen Sie ein Team, das schnell han­deln kann. 4. **Reco­very-Tests regel­mä­ßig.** Ein Back­up ist sinn­los, wenn Sie nicht wis­sen, ob es funktioniert. --- ### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen") **Soll­te man Löse­geld zahlen?** Recht­lich: teil­wei­se ver­bo­ten (Sank­ti­ons­ge­set­ze kön­nen das ver­bie­ten). Prak­tisch: zah­len bedeu­tet, dass Sie den Angrei­fer finan­zie­ren und zukünf­ti­ge Angrif­fe begüns­ti­gen. Mit funk­tio­nie­ren­den Back­ups soll­te Zah­lung nicht not­wen­dig sein. **Kön­nen Sicher­heits­lö­sun­gen RaaS-Mal­wa­re stoppen?** Modern RaaS-Mal­wa­re ist oft poly­mor­phisch (ändert ihre Signa­tur) und nutzt Exploits, bevor Patches ver­füg­bar sind. EDR-Tools hel­fen, aber sind nicht 100% wirk­sam. Prä­ven­ti­on + Detek­ti­on + Reco­very ist der Schlüssel. **Ist mein Unter­neh­men zu klein für RaaS-Angriffe?** Nein. Vie­le klei­ne­re Unter­neh­men sind Zie­le, weil sie schwä­cher ver­tei­digt sind. Ein durch­schnitt­li­cher Angriff auf ein KMU kann 10.000 – 500.000 EUR Scha­den anrich­ten — genug für Affiliates. --- ### Ransomware-as-a-Service Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell der organisierten Cyberkriminalität, bei dem spezialisierte Gruppen Ransomware-Werkzeuge als Dienst vermieten und am erpressten Lösegeld beteiligt werden — verantwortlich für professionalisierte Großangriffe auf Unternehmen, Behörden und kritische Infrastruktur. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware-as-a-service) ### Ransomware-as-a-Service Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell der organisierten Cyberkriminalität, bei dem spezialisierte Gruppen Ransomware-Werkzeuge als Dienst vermieten und am erpressten Lösegeld beteiligt werden — verantwortlich für professionalisierte Großangriffe auf Unternehmen, Behörden und kritische Infrastruktur. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware-as-a-service) ### Ransomware-as-a-Service Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell der organisierten Cyberkriminalität, bei dem spezialisierte Gruppen Ransomware-Werkzeuge als Dienst vermieten und am erpressten Lösegeld beteiligt werden — verantwortlich für professionalisierte Großangriffe auf Unternehmen, Behörden und kritische Infrastruktur. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware-as-a-service) ### Ransomware-as-a-Service Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell der organisierten Cyberkriminalität, bei dem spezialisierte Gruppen Ransomware-Werkzeuge als Dienst vermieten und am erpressten Lösegeld beteiligt werden — verantwortlich für professionalisierte Großangriffe auf Unternehmen, Behörden und kritische Infrastruktur. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware-as-a-service) ### Ransomware-as-a-Service Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell der organisierten Cyberkriminalität, bei dem spezialisierte Gruppen Ransomware-Werkzeuge als Dienst vermieten und am erpressten Lösegeld beteiligt werden — verantwortlich für professionalisierte Großangriffe auf Unternehmen, Behörden und kritische Infrastruktur. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware-as-a-service) ### Ransomware-as-a-Service Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell der organisierten Cyberkriminalität, bei dem spezialisierte Gruppen Ransomware-Werkzeuge als Dienst vermieten und am erpressten Lösegeld beteiligt werden — verantwortlich für professionalisierte Großangriffe auf Unternehmen, Behörden und kritische Infrastruktur. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware-as-a-service) ### Ransomware-as-a-Service Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell der organisierten Cyberkriminalität, bei dem spezialisierte Gruppen Ransomware-Werkzeuge als Dienst vermieten und am erpressten Lösegeld beteiligt werden — verantwortlich für professionalisierte Großangriffe auf Unternehmen, Behörden und kritische Infrastruktur. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware-as-a-service) ### Ransomware-as-a-Service Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell der organisierten Cyberkriminalität, bei dem spezialisierte Gruppen Ransomware-Werkzeuge als Dienst vermieten und am erpressten Lösegeld beteiligt werden — verantwortlich für professionalisierte Großangriffe auf Unternehmen, Behörden und kritische Infrastruktur. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware-as-a-service) ### Ransomware-as-a-Service Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell der organisierten Cyberkriminalität, bei dem spezialisierte Gruppen Ransomware-Werkzeuge als Dienst vermieten und am erpressten Lösegeld beteiligt werden — verantwortlich für professionalisierte Großangriffe auf Unternehmen, Behörden und kritische Infrastruktur. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware-as-a-service) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### Ransomware-as-a-Service Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell der organisierten Cyberkriminalität, bei dem spezialisierte Gruppen Ransomware-Werkzeuge als Dienst vermieten und am erpressten Lösegeld beteiligt werden — verantwortlich für professionalisierte Großangriffe auf Unternehmen, Behörden und kritische Infrastruktur. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware-as-a-service) ### Ransomware-as-a-Service Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell der organisierten Cyberkriminalität, bei dem spezialisierte Gruppen Ransomware-Werkzeuge als Dienst vermieten und am erpressten Lösegeld beteiligt werden — verantwortlich für professionalisierte Großangriffe auf Unternehmen, Behörden und kritische Infrastruktur. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware-as-a-service) ### Ransomware-as-a-Service Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell der organisierten Cyberkriminalität, bei dem spezialisierte Gruppen Ransomware-Werkzeuge als Dienst vermieten und am erpressten Lösegeld beteiligt werden — verantwortlich für professionalisierte Großangriffe auf Unternehmen, Behörden und kritische Infrastruktur. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware-as-a-service) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery)