Geldwäsche 2.0: Wie Cyberkriminelle ihre Krypto-Dollar in legale Geschäfte investieren
Sophos-Experten verfolgen den Weg des Geldes: Von Non-Profit bis Non-Legal – Cyberkriminelle investieren gestohlene Millionen in legale und illegale Geschäftsmodelle, um undercover in der realen Welt Fuß zu fassen

15. Mai 2025, 15:08 Uhr · Quelle: Pressebox

Cyberkriminelle investieren ihre illegalen Gewinne zunehmend in legale Geschäfte wie Start-ups und Gastronomiebetriebe, um sich als seriöse Unternehmer zu tarnen. Sophos X-Ops warnt vor der Gefährlichkeit dieser neuen Form der Geldwäsche, die enge Zusammenarbeit zwischen Unternehmen und Strafverfolgung erfordert.

Wiesbaden, 15.05.2025 (PresseBox) - Früher prahlten Hacker aufmerksamkeitsheischend mit ihren Lamborghinis – heute agieren sie sehr viel geschäftsorientierter mit ihren kriminellen Erlösen und eröffnen Start-ups, Restaurants oder Coding-Schulen. Das ist eines der zentralen Ergebnisse einer aktuellen Untersuchung der Cybersecurity-Experten von Sophos X-Ops. Die Analyse zeigt: Cyberkriminelle investieren ihre illegal erworbenen Gewinne gezielt in reale Unternehmen; oftmals mit legaler Fassade, zunehmend aber auch als langfristige, strategische Investments.Sie werden Arbeitgeber, Geschäftsleute, Investoren und damit unsichtbarer denn je.

Vom Hack zur Holding: kriminelle Gewinne nehmen den Weg in reale Märkte

Durch Ransomware-Angriffe, Datendiebstahl oder Phishing generieren Hackergruppen Millionenbeträge, meist in Form von Kryptowährungen. Die Frage, was danach mit dem Geld geschieht, wurde bislang kaum beleuchtet. Sophos hat nun untersucht, wie diese Gruppen ihre Gewinne nutzen und dabei ein globales Netzwerk aus scheinbar legitimen Unternehmen entdeckt, die auf den zweiten Blick von digitaler Kriminalität finanziert zu sein scheinen.

„Wir sprechen hier nicht mehr nur über klassische Geldwäsche“, sagt John Shier, Field CISO bei Sophos. „Was wir sehen, ist eine neue Form unternehmerischer Kriminalität – kriminelle Akteure, die sich als seriöse Geschäftsleute ins echte Wirtschaftsleben integrieren.“

Zwischen Start-up, Schattenwirtschaft und Geldwäsche

In vielen Fällen nutzen die Täter bekannte Kanäle wie Telegram oder WhatsApp Business, um Geschäftskontakte zu knüpfen und Investitionen zu tätigen. Die Unternehmensgründungen erfolgen dabei häufig mit professionellem Markenauftritt, investorenfähigem Geschäftsmodell und echter wirtschaftlicher Tätigkeit. Zumindest auf dem Papier.

Besonders häufig investieren Cyberkriminelle in:

Cybersecurity-Start-upsund IT-Dienstleister, oft, um gezielt Wissen oder Infrastruktur für weitere Angriffe zu sichern.
Immobilienprojekte, Aktien oder Edelmetallewie Gold und Diamanten, bevorzugt in stabilen Rechtsräumen wie der Schweiz, den USA oder den Emiraten.
NGOs, Bildungseinrichtungen oder Gastronomiebetriebe, um unter dem Radar zu agieren, z. B. durch den Aufbau von Coding-Schulen oder scheinbar gemeinnützigen Bildungsprojekten.
Alkohol- und Tabakvertrieb,Restaurants, Bars– also klassische Branchen mit Bargeldumlauf und geringer Kontrolle.

Die dunkle Seite des Unternehmertums

Neben legalen Investitionen identifizierte Sophos X-Ops auch zahlreiche Beispiele im Graubereich – und klar kriminelle Geschäftsmodelle. Dazu zählen:

Bot- und Anzeigenbetrug, mit dem Werbeeinnahmen manipuliert werden.
Pornografische Plattformen und Webcam-Studios, u. a. auf OnlyFans, häufig mit verschleierten Finanzierungsquellen.
Online-Casinos und Glücksspieldienste, oft mit Offshore-Registrierung.
Anbieter für illegale Staatsbürgerschaften oder gefälschte Dokumente, v. a. über Plattformen in Asien und dem Mittleren Osten.
Pharmahändler und gefälschte Medikamente, deren Online-Shops kaum von legitimen Anbietern zu unterscheiden sind.
Schneeballsysteme, Steuerhinterziehung, Insiderhandelmit dem Ziel, das erbeutete Kapital weiter zu vermehren oder zu reinvestieren.

Cybercrime hat sich in den realen Alltag verlagert und erfordert reale Ermittlungen

Die untersuchten Fälle stammen aus nahezu allen Teilen der Welt – mit belegten Aktivitäten u. a. in Großbritannien, der Schweiz, den USA, den Vereinigten Arabischen Emiraten, China, Südkorea und Gibraltar. Die Tätergruppen agieren dabei international, treten aber immer häufiger lokal auf – z. B. als Restaurantbetreiber oder Investoren.

„Die Grenzen zwischen digitaler und realer Kriminalität verschwimmen zusehends und genau das macht die Bedrohung so gefährlich.Der einzige Weg, dieses Problem anzugehen, ist eine verstärkte Zusammenarbeit zwischen Privatwirtschaft und öffentlichem Sektor sowie eineengere Kooperation zwischen Cybersicherheitsfirmen und lokalen Strafverfolgungsbehörden“, so John Shier weiter. „Bedrohungsanalysten müssen ihre Erkenntnisse an lokale Behörden weitergeben, die möglicherweise kriminell unterstützte Operationen zurückverfolgen können. Denn wer heute ein scheinbar legales Unternehmen gründet, kann morgen schon wieder im Netz zuschlagen.“

Die ErkenntnissevonSophos X-Ops stammen aus einer über mehrere Monate andauernde Analyse von Darknet-Foren, Wallet-Bewegungen und offenen Unternehmensdaten. Den kompletten Report haben die Forscher in der mehrteiligen Artikelserie "Beyond the kill chain: What cybercriminals do with their money“veröffentlicht.

Teil 1:Einführung mit Kontext und Definition wichtiger Begriffe:https://news.sophos.com/en-us/2025-05-15/beyond-the-kill-chain-what-cybercriminals-do-with-their-money-part-1
Teil 2:„Weiße“ (legitime) Geschäftsinteressen:https://news.sophos.com/en-us/2025-05-15/beyond-the-kill-chain-what-cybercriminals-do-with-their-money-part-2
Teil 3:„Graue“ Geschäftsinteressen:https://news.sophos.com/en-us/2025-05-15/beyond-the-kill-chain-what-cybercriminals-do-with-their-money-part-3
Teil 4:Kriminelle Geschäftsinteressen:https://news.sophos.com/en-us/2025-05-15/beyond-the-kill-chain-what-cybercriminals-do-with-their-money-part-4
Teil 5:Auswirkungen, Fazit:https://news.sophos.com/en-us/2025-05-15/beyond-the-kill-chain-what-cybercriminals-do-with-their-money-part-5