Cyber Strategy Article

5 Schlüsselfaktoren, um das Wiederaufleben einer Cybercrime-Gruppe vorherzusagen 

16 März, 2026 min Lesezeit
Image Repurposing 4 RDLM 2025
Zusammenfassung:

Cyberkriminalität ist ständig im Wandel. Manche Cybercrime-Gruppen scheinen zu verschwinden, da ihre Infrastrukturen zerschlagen oder ihre Aktivitäten unterbrochen werden. Tatsächlich organisieren sich viele von ihnen jedoch nur neu. Einige Monate später tauchen sie wieder auf, manchmal aggressiver und besser gerüstet als zuvor.

Wie lässt sich dieses Wiederaufleben von Cybercrime-Gruppen vorhersagen? Welche unscheinbaren Anzeichen deuten auf eine bevorstehende Rückkehr hin?

Im Threat Report 2025-2026 beleuchten die Experten von aDvens fünf Schlüsselfaktoren, die helfen, diese Zyklen zu verstehen und vorherzusagen: .

1. Das Fortbestehen unbehobener Sicherheitslücken

Sicherheitslücken sind der Nährboden für Cyberkriminelle. Ihre Ausnutzung steht oft im Mittelpunkt von Angriffen, insbesondere wenn sie Sicherheitsprodukte oder geschäftskritische Umgebungen betreffen.

  • Jeden Monat werden Dutzende kritischer Sicherheitslücken veröffentlicht.
  • Die durchschnittliche Zeit bis zur Behebung ist in vielen Organisationen nach wie vor zu lang.
  • Diese Trägheit bietet Cyberkriminellen einen schier unerschöpflichen Vorrat an Angriffspunkten.

Selbst wenn eine Gruppe inaktiv zu sein scheint, können ihre ehemaligen Mitglieder geduldig darauf warten, dass eine „einfache“ Sicherheitslücke auftaucht, um ihre Aktivitäten wieder aufzunehmen.

💡 Beispiel: Mehrere aktuelle Ransomware-Kampagnen nutzten Sicherheitslücken aus, die bereits seit Monaten bekannt waren, einfach weil die Patches noch nicht bei allen potenziellen Opfern installiert worden waren.

👉 Empfehlung: Ein agiles Patch-Management einführen, aktiv ausgenutzte Sicherheitslücken priorisieren und Patch-Management mit Threat Intelligence verknüpfen, um das Zeitfenster der Gefährdung zu verkürzen.

2. Die Einführung neuer Technologien, insbesondere KI

Cyberkriminelle Gruppen passen sich schnell an technologische Entwicklungen an. Derzeit steht künstliche Intelligenz im Mittelpunkt dieser Transformation.

  • Sie ermöglicht die Erstellung äußerst glaubwürdiger Phishing-Kampagnen.
  • Sie erleichtert die Erstellung von Deepfakes in Form von Sprachaufnahmen und Videos.
  • Sie beschleunigt die Automatisierung von Cyberangriffen in großem Maßstab.

Eine „schlummernde“ Gruppe kann so mit einem durch KI verstärkten Arsenal zurückkehren, wodurch sich ihre Effizienz vervielfacht und ihre Angriffe schwerer zu erkennen sind.

💡 Beispiel: Betrugsmaschen wie „CEO-Betrug“ oder „Fake-Lieferanten“ nutzen mittlerweile KI-generierte Stimmen, die von einem echten Gespräch kaum zu unterscheiden sind. Stellen Sie sich die Hebelwirkung für eine Gruppe vor, die sich um diese Tools herum neu organisiert.

👉 Empfehlung: Integrieren Sie die Erkennung von Verhaltensanomalien, sensibilisieren Sie Ihre Teams für neue Formen des Phishing und überwachen Sie aktiv den böswilligen Einsatz von KI im Rahmen der Threat Intelligence.

3. Der Wert gestohlener Daten und kompromittierter Zugangsdaten

Infostealer und Initial Access Brokers (IAB) versorgen einen florierenden Parallelmarkt.

  • Jeden Monat sind Millionen von kompromittierten Anmeldedaten im Umlauf.
  • Viele davon werden zu niedrigen Preisen weiterverkauft oder sogar kostenlos verteilt.
  • Diese Datenbanken ermöglichen es ehemaligen Cybercrime-Gruppen, schnell wieder aktiv zu werden.

Eine Gruppe, die verschwunden schien, kann so alte Anmeldedaten nutzen, um neue Kampagnen zu starten, ohne komplexe Angriffsversuche unternehmen zu müssen.

👉 Empfehlung: Überwachen Sie kontinuierlich Datenlecks, setzen Sie Tools zur Erkennung von Kompromittierungen im Dark Web ein und verstärken Sie die Authentifizierung durch Multi-Faktor-Authentisierung (MFA), um die Auswirkungen gestohlener Anmeldedaten zu verringern.

4. Die Fähigkeit zur Neuorganisation nach einer Unterbrechung

Eine Cybercrime-Gruppe kann durch eine Polizeiaktion, die Zerschlagung ihrer Infrastruktur oder auch durch interne Spannungen zwischen den Mitgliedern geschwächt werden. Doch diese Rückschläge sind selten endgültig. Tatsächlich versteht es die Mehrheit dieser Gruppen, sich schnell neu zu organisieren, z. B. durch:

  • Namensänderung,
  • Umzug auf neue Infrastrukturen,
  • Fusion mit anderen Gruppen,
  • usw.

💡 Beispiel: Viele sogenannte „neue“ Cybercrime-Gruppen sind in Wirklichkeit nur neu formierte alte Teams mit einer überarbeiteten Identität, aber ähnlichen TTPs (Taktiken, Techniken, Verfahren).

👉 Empfehlung: Beschränken Sie sich nicht darauf, nur die Namen der Gruppen zu verfolgen, sondern analysieren Sie deren Methoden und Strukturen, um trotz eines neuen Auftretens Kontinuitäten zu erkennen.

5. Die Ausrichtung auf kritische und wertschöpfungsstarke Sektoren

Schließlich begünstigen bestimmte Umstände das Wiederauftauchen einer Cybercrime-Gruppe. Geopolitische Spannungen, die mediale Aufmerksamkeit für einen Wirtschaftssektor oder die Entdeckung kritischer Schwachstellen in sensiblen Umgebungen schaffen günstige Gelegenheiten.

  • Das Gesundheitswesen, die Energiebranche oder die Industrie sind bevorzugte Ziele.
  • OT-Umgebungen (Operational Technology) sind besonders gefährdet.
  • Eine inaktiv gewordene Gruppe kann durch Angriffe auf diese strategischen Sektoren wieder an Attraktivität gewinnen.

💡 Beispiel: Die in den letzten Jahren beobachtete Zunahme von Cyberangriffen auf industrielle Umgebungen zeigt, dass bestimmte Gruppen nun auf diese Ziele setzen, um an Sichtbarkeit und Rentabilität zu gewinnen.

👉 Empfehlung: Passen Sie die Cybersicherheit an die branchenspezifischen Besonderheiten an, indem Sie die Überwachung kritischer Systeme, Netzwerksegmentierung, moderne Erkennungssysteme und robuste Notfallpläne kombinieren.

Fazit: Die Lebenszyklen von Cyberkriminellen verstehen

Das Verschwinden einer Cybercrime-Gruppe ist selten endgültig. Cyberkriminalität funktioniert wie ein lebendiges Ökosystem, in dem Akteure ausscheiden, andere neu hinzukommen und viele in anderer Form wiederauftauchen.

Um diese Comebacks vorherzusehen, muss man unscheinbare Anzeichen erkennen können: unbehobene Sicherheitslücken, die Nutzung gestohlener Daten, die Einführung neuer Technologien, interne Umstrukturierungen und strategische Zielauswahl.

Hier spielen Threat Intelligence und proaktive Erkennung eine wesentliche Rolle: Sie ermöglichen es, nicht nur aktive Bedrohungen, sondern auch solche, die sich in Vorbereitung befinden, zu identifizieren.

Um mehr über die zu verfolgenden Verteidigungsstrategien zu erfahren, laden Sie den Threat Report 2025-2026 herunter, der gemeinsam von unseren CERT-, Audit- und SOC-Teams verfasst wurde.

Zum gleichen Thema...

Cyber Strategy Article

KI ist da – Ihre Daten auch? Warum DLP jetzt neu gedacht werden muss

28 Mai, 2026 min
Le guide de sensibilisation cybersécurité pour étudiants
Cyber Strategy

Back to School – THE CYBERSECURITY SURVIVAL GUIDE

29 Aug., 2025 min
Cyber Strategy

Umgang mit Cyberangriffen im industriellen Umfeld

19 Mai, 2025 min

Zurück zur Seite Cyber Strategy

Advens

Gemeinsam stark für eine bessere Zukunft

Kunde, Partner oder Bewerber: Engagieren Sie sich mit uns, um die Sicherheit von Organisationen zu gewährleisten und dabei unsere Werte, unsere Gesellschaft und unser Miteinander zu schützen. Gemeinsam setzen wir unsere Leistung für sinnvolle Projekte ein, die wirklich etwas bewirken.

Kontakt
Advens

Über Advens

Wir sind mehr als nur ein unabhängiger Marktführer für Cybersecurity in Europa.
Unsere Experten unterstützen Sie weltweit darin, Cyber-Bedrohungen effektiv zu meistern. Doch was uns wirklich auszeichnet, ist unser verantwortungsbewusstes Handeln. Wir schützen Ihre Daten und sorgen für eine sichere digitale Zukunft, die den Herausforderungen von heute und morgen gewachsen ist.

So bringen wir Sicherheit und Vertrauen in Einklang, damit Sie sich auf das Wesentliche konzentrieren können.

Mehr erfahren