5. Februar 2026

Die Demokratisierung von Cyberangriffen ist ein besorgniserregender Trend. Technologien und Methoden, die einst hochqualifizierten Akteuren vorbehalten waren, sind heute für fast jeden zugänglich, der über minimale technische Kenntnisse verfügt und sich auf Dark-Web-Marktplätzen zurechtfindet. Diese Veränderung zeigt sich besonders deutlich bei Angriffen zur Identitätsüberprüfung, wo der Aufstieg dieser Dienste die Bedrohungslandschaft grundlegend verändert hat.

Dieser Artikel untersucht, wie Attack-as-a-Service (AaaS) den Identitätsbetrug verändert hat, enthüllt die inneren Abläufe dieses kriminellen Ökosystems und liefert wichtige Erkenntnisse, die Unternehmen dabei helfen, sich vor dieser sich ständig weiterentwickelnden Bedrohung zu schützen.

Was ist Attack-as-a-Service?

Attack-as-a-Service steht für die Kommerzialisierung und Demokratisierung von Cyberangriffsfähigkeiten. Ähnlich wie legitime Software-as-a-Service-Angebote (SaaS) bieten diese Plattformen fertige Tools, Infrastruktur und sogar Kundensupport für die Ausführung ausgefeilter Angriffstechniken, die zum Kauf oder im Abonnement erhältlich sind.

Im Zusammenhang mit Angriffen zur Identitätsüberprüfung ist unser Threat Intelligence Report ein florierendes Ökosystem von Communities auf, die speziell auf Remote-Identitätsprüfungssysteme abzielen. Diese Gruppen haben sich von isolierten Foren, in denen grundlegende Techniken ausgetauscht wurden, zu hochentwickelten Marktplätzen entwickelt, die umfassende Angriffslösungen anbieten.

Anstatt einfache Softwaretools zu verkaufen, bieten viele Anbieter mittlerweile End-to-End-Services an, die alle technischen Aspekte der Umgehung von Verifizierungen abdecken. Kunden können diese Services auf zwei Arten erwerben:

  • Dienstleistungsbasiert: Bezahlung für bestimmte technische Dienstleistungen (z. B. die Bearbeitung von Fotos zu überzeugenden Gesichtstausch)
  • Volumenbasiert: Kauf einer festgelegten Anzahl vorab verifizierter Konten oder Identitäten, die sofort einsatzbereit sind.

Eine Person bezahlt möglicherweise für die Erstellung eines bestimmten Deepfakes, während eine andere Person einige integrierte Konten kauft. Dieses Geschäftsmodell bietet für Kriminelle erhebliche Vorteile, darunter eine geringere Gefahr, von Sicherheitsüberwachungsmaßnahmen entdeckt zu werden, die Kontrolle über proprietäre Techniken und sichere Geschäftsbeziehungen zu anderen Betrügern.

Die umfassendere Landschaft von Crime-as-a-Service verstehen

Attack-as-a-Service zur Umgehung der Identitätsprüfung ist ein spezieller Teilbereich innerhalb des größeren Crime-as-a-Service (CaaS)-Ökosystems. Während sich diese Dienste auf die Umgehung von Identitätsprüfungssystemen konzentrieren, umfasst die breitere CaaS-Landschaft ein breites Spektrum krimineller Aktivitäten, von Identitätsdiebstahl und Geldwäsche bis hin zu Dokumentenfälschung und anderen Cyberverbrechen. 

Diese Vernetzung ermöglicht es Kriminellen, Dienste zu kombinieren, um mehrstufige Betrugsoperationen durchzuführen. Insbesondere unser Threat Intelligence Report weist auf einen besorgniserregenden Trend hin: Bisher isolierte regionale Gruppen arbeiten nun grenzüberschreitend zusammen und spiegeln damit die globale Struktur legitimer Unternehmensnetzwerke wider.

Das wachsende Ökosystem: In Zahlen

Das iProov Security Operations Center (iSOC) hat allein im Jahr 2024 31 neue Online-Bedrohungsgruppen identifiziert, wodurch die Gesamtzahl der verfolgten Communities ein alarmierendes Niveau erreicht hat. 

Die Größe dieses Ökosystems ist bemerkenswert:

  • 45 % dieser Gruppen entwickeln und verkaufen ihre eigenen Angriffstools
  • 55 % Fokus auf Weiterverkauf oder Bereitstellung damit verbundener Dienstleistungen
  • Das Ökosystem umfasst insgesamt 34.965 Nutzer
  • Werkzeugverkäufer ziehen die Mehrheit an (68 %) der Nutzer an und bedienen 23.698 Personen
  • Neun Gruppen haben über 1.500 Nutzer, wobei die größte Gruppe 6.400 Mitglieder

Diese Communities wachsen nicht nur an Größe, sondern werden auch immer anspruchsvoller und spezialisierter. Häufige Diskussionen drehen sich um Techniken wie Methoden zur Umgehung von KYC, die Verwendung von Deepfake-Technologie für synthetische Identitäten und plattformspezifische Tools. 

Das Betrugsbekämpfungsmenü: Was wird angeboten?

Die über diese Marktplätze verfügbaren Dienste haben sich weit über einfache Tools hinaus entwickelt. Zu den derzeit von iProov erfassten Angeboten gehören:

1. Technische Hilfsmittel und Infrastruktur

  • Gesichtstausch-Anwendungen: Über 130 werden von iProov überwacht, Tendenz steigend
  • Virtuelle Kamera-Software: Über 90 Tools
  • Mobile Emulatoren: Einschließlich Funktionen zur Standort-Verschleierung
  • Werkzeuge zur Bearbeitung von Metadaten

2. Operative Dienstleistungen

3. Fortgeschrittene Angriffsmethoden

  • Techniken zur Umgehung der KYC-Überprüfung: Ausnutzen von Schwachstellen bei Identitätsprüfungen (weitere Informationen zur Identitätsprüfung)
  • Deepfake-Erstellungsdienste: Senken die Einstiegshürde für ausgeklügelte Deepfakes gefährlich, die häufig für statische Lebendigkeitsprüfungen eingesetzt werden (gegen fortschrittliche Lösungen wie dynamische Lebendigkeitsprüfungen jedoch wirkungslos sind).
  • Bild-zu-Video-Konvertierung: Zur Erzeugung synthetischer Identitäten
  • Kombinierte Angriffsketten: Entwickelt für bestimmte Finanzinstitute

4. Austausch von Informationen

  • Informationen zu Sicherheitslücken: Einblicke in anfällige Systeme
  • Erfolgreiche Angriffsmethoden: Dokumentiert und innerhalb der Community geteilt
  • Ziellisten: Hervorhebung von Systemen mit schwachen Verifizierungsmechanismen
  • Echtzeit-Updates: Benachrichtigung über Änderungen der Sicherheitsmaßnahmen

Was treibt die digitale Schattenwirtschaft an?

Was diese Communities besonders gefährlich macht, ist ihr effizientes, unternehmensähnliches Geschäftsmodell. Sie pflegen ihren Ruf, bieten Kundensupport und verbessern ihre Dienste kontinuierlich auf Grundlage von Nutzer-Feedback.

Identitätsbetrug verursacht jährlich Verluste in Milliardenhöhe (laut FTC-Daten geschätzte 8,8 Milliarden US-Dollar im Jahr 2023), entsteht selbst mit einem kleinen Anteil dieser Erlöse ein lukrativer Markt für Entwickler von Angriffstools. Dieser finanzielle Anreiz treibt kontinuierliche Innovation, Spezialisierung und Zusammenarbeit innerhalb des Ökosystems voran.

Aktuelle Targeting-Muster

Das Targeting ist strategisch und informationsgesteuert. Die Angreifer erstellen aktiv Profile von Verifizierungssystemen und tauschen Erkenntnisse darüber aus, welche davon am anfälligsten sind.

Systeme, die Angriffe wirksam abwehren, erlangen schnell den Ruf, schwierige Ziele zu sein, sodass Angreifer ihren Fokus auf andere Ziele verlagern. Dieses „Paradoxon der niedrigen Angriffsrate“ bedeutet, dass die sichersten Systeme oft am wenigsten angegriffen werden.

Der Demokratisierungseffekt

Der vielleicht besorgniserregendste Aspekt dieses Phänomens ist seine Rolle bei der Senkung der technischen Einstiegshürden, vor der wir bereits in früheren Ausgaben unserer Bedrohungsberichte gewarnt haben. Personen mit minimalen technischen Kenntnissen können nun komplexe Angriffe ausführen, für die früher fundiertes Fachwissen erforderlich war. Dies hat mehrere Auswirkungen:

  • Erhöhtes Angriffsvolumen: Eine größere Anzahl potenzieller Angreifer führt zu häufigeren Versuchen.
  • Größeres Zielspektrum: Organisationen, die zuvor als risikoarm galten, sind nun mit komplexen Bedrohungen konfrontiert.
  • Schnellere Ausnutzung: Neue Schwachstellen werden schnell kommerzialisiert und ausgenutzt.
  • Unvorhersehbare Muster: Weniger erfahrene Bediener können unbeabsichtigt Werkzeuge auf neuartige Weise einsetzen, die herkömmliche Erkennungsmethoden umgehen.

Abwehr dieser Bedrohungen

Um dieser neuen Bedrohung entgegenzuwirken, ist eine grundlegende Änderung der Sicherheitsstrategie erforderlich. Herkömmliche statische Abwehrmaßnahmen und regelmäßige Updates reichen nicht mehr aus. Unternehmen müssen Folgendes einführen:

  • Kontinuierliche Überwachung: Implementierung von Echtzeit-Erkennungs- und Reaktionsfunktionen als Teil einer umfassenden Sicherheitsstrategie. Weitere Informationen zu kontinuierlicher und adaptiver biometrischer Sicherheit finden Sie hier.
  • Adaptive Sicherheitsmaßnahmen: Entwicklung von Abwehrmaßnahmen, die sich parallel zu neuen Bedrohungen weiterentwickeln.
  • Integration von Bedrohungsinformationen: Aktive Überwachung von Trends und Bedrohungsakteuren, wie in unserem Bedrohungsinformationsbericht beschrieben.
  • Mehrschichtige Verifizierung: Einsatz von Systemen, die dynamische Lebendigkeit validieren, nicht nur statische Lebenszeichen (erfahren Sie mehr über unsere Technologie zur dynamischen Lebendigkeitsprüfung).

Abschließende Gedanken zum Attack-as-a-Service-Ökosystem

Das Ökosystem, das diese Angriffsdienste unterstützt, zeigt keine Anzeichen einer Verlangsamung. Mit dem Fortschritt legitimer KI-Technologien wird auch die Raffinesse der Angriffsfähigkeiten zunehmen.

Die rasante Kommerzialisierung dieser Technologien bedeutet, dass neue Innovationen schnell verpackt und eingesetzt werden. Unternehmen müssen sich daher nicht nur auf die Unvermeidbarkeit solcher Angriffe vorbereiten, sondern auch auf deren zunehmende Agilität und Entwicklungsgeschwindigkeit.

Der Erfolg hängt von einer kontinuierlichen Überwachung, Echtzeitreaktionen und Sicherheitsmaßnahmen ab, die sich ebenso schnell weiterentwickeln wie die Bedrohungslage selbst.

  • Laden Sie den vollständigen Bedrohungsbericht 2025 herunter, um eine umfassende Analyse dieses Ökosystems und detaillierte Empfehlungen zum Schutz Ihres Unternehmens zu erhalten.
  • Vereinbaren Sie noch heute eine Demo bei iProov, um zu erfahren, wie unsere dynamische Lebendigkeits-Technologie Ihr Unternehmen vor der zunehmenden Flut dieser hochentwickelten Bedrohungen schützen kann.
Interaktive Bedrohungsinformationen – Bild v4
Inhaltsübersicht

Weiter lesen