Inhaltsverzeichnis
Crime-as-a-Service – die Entstehung eines neuen Marktes?
Crime-as-a-Service klingt zunächst technisch, beschreibt aber vor allem ein Geschäftsmodell der organisierten Kriminalität. Straftaten werden heute oft nicht mehr von einer einzigen Gruppe vollständig geplant und umgesetzt. Stattdessen kaufen Täter einzelne Leistungen ein, etwa Schadsoftware, gestohlene Zugänge, Geldwäsche oder digitale Tarnung. Dadurch werden komplexe Angriffe leichter, schneller und billiger. Genau das macht das Thema aktuell so brisant: Die Sicherheitsbehörden sehen darin längst kein Randphänomen mehr, sondern einen festen Teil moderner Kriminalität.
Was Crime-as-a-Service eigentlich ist
Crime-as-a-Service, kurz CaaS, bedeutet, dass kriminelle Leistungen wie in einem Baukastensystem angeboten und eingekauft werden. Eine Gruppe muss dann nicht mehr alles selbst beherrschen. Sie kann etwa Schadsoftware mieten, gestohlene Zugangsdaten kaufen, technische Infrastruktur buchen oder Hilfe bei Erpressung und Geldwäsche nutzen.
Die Bundesregierung beschreibt dieses Modell als Ausdruck einer starken Professionalisierung organisierter Kriminalität. In ihrer Antwort auf eine Kleine Anfrage nennt sie als betroffene Felder unter anderem Cybercrime, Geldwäsche, Fälschungskriminalität und sogar „Violence-as-a-Service“.
Im Cyberbereich ist besonders Ransomware-as-a-Service wichtig: Entwickler stellen Schadsoftware, Updates und oft sogar Unterstützung bereit, während sogenannte Affiliates die Angriffe ausführen. Das senkt die Einstiegshürden deutlich. Auch Täter mit begrenztem technischem Wissen können so schwere Angriffe durchführen.
Für Sie als Leser ist vor allem wichtig: CaaS ist kein einzelnes Werkzeug, sondern ein arbeitsteiliges kriminelles Ökosystem. Und eine aktuelle Antivirensoftware wird immer wichtiger.
Warum dieses Modell gerade so stark wächst
Der Erfolg von Crime-as-a-Service liegt in seiner Einfachheit. Wer Straftaten als Dienstleistung aufteilt, arbeitet schneller, flexibler und oft auch unauffälliger. Genau das beobachten Behörden und Sicherheitsforscher seit Jahren.
Europol beschreibt, dass Daten- und Zugangshändler heute mit klarer Spezialisierung arbeiten: Einige sammeln Informationen mit Infostealern, andere verteilen Schadsoftware über Botnetze, Phishing-Kampagnen oder manipulierte Werbung, und wieder andere verkaufen die erbeuteten Daten weiter. Das ähnelt eher einer Schattenwirtschaft als einer klassischen Bande.
Hinzu kommt, dass Kommunikation, Rekrutierung und Absprachen über digitale Plattformen, Social Media und Messenger laufen. Nach Einschätzung der Bundesregierung agieren die Strukturen dadurch konspirativ und international vernetzt. Das BSI sieht Cybercrime-as-a-Service, vor allem Ransomware-as-a-Service, weiterhin auf hohem Niveau. Gleichzeitig kombinieren Täter ihre Angriffe häufiger mit Datenverschlüsselung und Datendiebstahl. Genau diese Kombination erhöht den Druck auf Opfer und macht Angriffe wirtschaftlich attraktiver.
Ransomware-as-a-Service bleibt der sichtbarste Teil des Problems
Am bekanntesten ist weiterhin Ransomware-as-a-Service. Das liegt daran, dass die Folgen für Unternehmen, Behörden und andere Einrichtungen oft sofort sichtbar sind. Systeme stehen still, Daten sind verschlüsselt und es folgen Lösegeldforderungen. In Deutschland meldeten Unternehmen und Institutionen im Jahr 2024 laut Bundeslagebild 950 Ransomware-Fälle bei der Polizei. Das BKA sprach 2025 zudem davon, dass in Deutschland jeden Tag zwei bis drei schwere Ransomware-Angriffe angezeigt werden.
Gleichzeitig zeigt sich eine wichtige aktuelle Entwicklung: Die Zahl der Angriffe steigt nicht zwingend im selben Maß wie die tatsächlich gezahlten Lösegelder. Chainalysis berichtet für 2024 von einem deutlichen Rückgang der auf der Blockchain sichtbaren Ransomware-Zahlungen um rund 35 Prozent. Für 2025 sanken diese Zahlungen nochmals leicht, obwohl die Zahl der von Gruppen beanspruchten Angriffe deutlich zunahm. Das ist kein Grund zur Entwarnung. Vielmehr zeigt es, dass der Markt härter, fragmentierter und aggressiver geworden ist. Täter greifen mehr Ziele an, verdienen aber nicht mit jedem Angriff gleich gut.
Was diese Entwicklung für die Abwehr bedeutet
Wenn Kriminalität wie ein Dienstleistungsmarkt funktioniert, reicht es nicht mehr, nur einzelne Tätergruppen im Blick zu behalten. Ermittler müssen stärker gegen die Infrastruktur, die Werkzeuge und die Dienstleister vorgehen, die viele Angriffe erst möglich machen. Genau das zeigt die internationale Operation Endgame. Europol und Partner haben 2024 bereits große Dropper- und Infostealer-Dienste wie RedLine und META gestört. In der nächsten Phase wurden 2025 unter anderem Rhadamanthys, VenomRAT und Elysium angegriffen; dabei wurden nach Angaben der beteiligten Stellen mehr als 1.000 Server abgeschaltet. Solche Maßnahmen sind wichtig, weil sie die Lieferkette der Kriminalität treffen.
Für Unternehmen und Behörden bleibt die praktische Konsequenz dennoch erstaunlich bodenständig: gestohlene Zugänge ernst nehmen, Mehrfaktor-Authentifizierung konsequent einsetzen, Schwachstellen schneller schließen, Backups testen, aktuelle Antivirensoftware nutzen und ungewöhnliche Anmeldungen überwachen. Gerade weil Crime-as-a-Service professionelle Angriffe für viele Akteure zugänglich macht, gewinnen einfache, saubere Schutzmaßnahmen wieder an Gewicht. Sie stoppen nicht jede Bedrohung, aber sie machen den standardisierten Massenangriff deutlich schwerer.