28. März 2023

Was ist „Hacking as a Service“ (HaaS)?

Längst hat sich die Cyberkriminalität kommerzialisiert und unternehmerische Strukturen angenommen. Im Darknet gibt es einen florierenden Markt, auf dem illegale Dienstleistungen angeboten werden. Cyberkriminelle greifen auf allgemein bewährte Geschäftsmodelle zurück, um ihre Software oder Dienstleistungen lukrativ zu vermarkten. Was sich hinter dem HaaS-Modell verbirgt und wie man es für Schutz-Zwecke nutzen kann, erfahren Sie in diesem Artikel.

Die Kommerzialisierung der Cyberkriminalität

Cybercrime ist inzwischen ein eigener Wirtschaftszweig und ein lukratives Geschäft. Cyberkriminelle geben im Darknet Anleitungen und Wissen weiter oder verkaufen Daten, Malware und Tools. Über die virtuelle Ladentheke gehen personenbezogene Daten, Kreditkartendaten oder Zugänge für Online-Banking, Social Media und Online-Shops – und das für relativ kleines Geld. Ein „Komplett-Paket“ für einen vollständigen Identitätsdiebstahl gibt es beispielsweise für rund 125 Dollar. Malware ist bereits für unter 10 Dollar zu erwerben und Phishing-Websites und Passwort-Hacking-Tools für bekannte Webseiten wie Apple, Amazon und Co kosten zum Teil weniger als zwei Dollar. 

Natürlich gibt es auch hochpreisige Angebote, aber führt man sich vor Augen, was Unternehmen im Gegensatz für ihre Sicherheitsmaßnahmen ausgeben, oder welche Geldstrafen und Kosten bei Datenverlust drohen, ergibt sich eine große Diskrepanz. Die Einstiegsbarrieren für Cybercrime sinken und die Bedrohung wird größer, weil die Gefahr von Cyberangriffen nicht mehr von ausgewählten Kreisen mit den entsprechenden Ressourcen ausgeht, sondern allgemein verfügbar wird.

Hacking als illegales Serviceangebot

„Hacking as a Service“ ist unter den Angeboten im Darknet eine Form, die sich das „Software as a Service“-Prinzip zunutze macht. Unter „Hacking as a Service” (HaaS) versteht man ein Abonnement-Modell, mit dem Cyberkriminelle ihre Tools und Fähigkeiten gegen Bezahlung zur Verfügung stellen. Dadurch werden fortgeschrittene Hacking-Fähigkeiten im Prinzip für jeden verfügbar, der über Browser und Kreditkarte verfügt.

Im Rahmen dieses Modells sind bei einem Kauf die notwendigen Tools und Software enthalten, um gezielte Ransomware-, Malware- oder DDoS-Angriffe auszuführen. Die Kommerzialisierung dieser Angebote geht so weit, dass sie auch Geld-zurück-Garantien, Beschwerdeverfahren oder Bewertungsmanagement enthalten können. Die Produkte und Dienstleistungen werden im Darknet entsprechend vermarktet und greifen auf eigene Wertschöpfungsketten zurück.

Verschiedene Formen von HaaS

Hacking as a Service wird in vielseitigen Varianten angeboten und die angebotenen Dienste können unterschiedlichster Natur sein, zum Beispiel:

  • Bereitstellung von Botnets für DDoS-Attacken (Distributed Denial of Service)
  • Zugänge zu kompromittierten Servern für Spam-Mail-Kampagnen (Phishing)
  • Malware inklusive Anleitung zur Anwendung
  • Ransomware-Pakete

Zu den verschiedenen Angeboten kommen verschiedene Preismodelle zur Anwendung, wie zum Beispiel die Zahlung für Nutzungsdauer, Jahresabonnements, Beteiligung an den mit der Software erlangten Zahlungen von Opfern etc.

Meist geht es für Cyberkriminelle bei HaaS darum, die Tools und Zugänge zur Verfügung zu stellen – und nicht, die Angriffe selbst auszuführen. So wird eine gewisse Anonymität gewahrt und neben dem Hacking selbst ein weiterer, sehr profitabler Geschäftszweig eröffnet.

HaaS als Schutzmaßnahme

Umgekehrt können Unternehmen das Konzept von HaaS auch zu ihrem Vorteil nutzen. Dafür werden von Dienstleistern gezielt Hacking-Angriffe und Penetrationstests auf das Unternehmen vorgenommen, um Schwachstellen zu identifizieren. Die IT- und Sicherheitsdienstleister hacken sich dabei geplant von außen in die Server und Technik des Unternehmens, um dessen Sicherheitsmaßnahmen gründlich zu prüfen. Je nach Absprache kann der Zeitpunkt des Tests bei der Beauftragung auch offen gelassen werden, um eine möglichst realistische Situation zu schaffen.

Auf diese Weise können Schwachstellen zuverlässig erkannt und behoben werden, sodass das Unternehmen künftig besser gegen echte Bedrohungen und Angriffe gesichert ist. Nur wenige Unternehmen führen diese Tests selbst regelmäßig durch, weshalb es inzwischen viele Anbieter gibt, die diese ethische Form von „Hacking as a Service“ anbieten.

geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security

Immer auf dem Laufenden:
News direkt in Ihr Postfach.

Unser Angebot in einer Broschüre

Laden Sie sich jetzt kostenlos unsere umfassende Weiterbildungsbroschüre herunter:

Zur Bestätigung Ihrer E-Mail-Adresse senden wir Ihnen zunächst einen Bestätigungslink. Anschließend erhalten Sie umgehend die Broschüre. Mit der Bestätigung melden Sie sich zu unserem E-Mail-Verteiler an & erhalten unsere Weiterbildungs-News direkt in Ihr Postfach. Dieser Nutzung kann jederzeit widersprochen werden.