Cyberkriminelle nutzen KI nicht mehr experimentell, sondern kommerzialisiert. Group-IB identifiziert eine strukturierte KI-Crimeware-Wirtschaft: Dark LLMs, Deepfake-as-a-Service und automatisierte Phishing-Kits für wenige Dollar monatlich. Die niedrigen Einstiegshürden demokratisieren Cyberkriminalität und verändern die Bedrohungslandschaft fundamental.
Die Kommerzialisierung von KI-Crimeware: Dark LLMs, Deepfake-as-a-Service und automatisierte Phishing-Kits werden für wenige Dollar monatlich angeboten.
Die Entwicklung der Cyberkriminalität hat sich in den letzten drei Jahrzehnten in mehreren Phasen vollzogen: Sie reichte von opportunistischen Angriffen in den 1990er-Jahren über organisierte Malware-Kampagnen und Cybercrime-as-a-Service-Modelle bis hin zu groß angelegten Supply-Chain-Attacken. Eine aktuelle Analyse von Group-IB belegt, dass die Cyberkriminalität nun in eine fünfte Welle eingetreten ist, die durch die Adaption und Implementierung generativer künstlicher Intelligenz in bösartigen Cyber- und Betrugsszenarien definiert wird.
Anders als bei früheren Technologien, die von Cyberkriminellen adaptiert wurden, wird KI nicht nur probeweise eingesetzt. Sie wird vielmehr als operationelle Infrastruktur in das gesamte kriminelle Ökosystem eingebettet. Die Beobachtung von Untergrundforen und Marktplätzen belegt eine anhaltende Zunahme der Diskussionen über KI-gestützte Kriminalität und deutet damit auf eine schnelle, sowie weitreichende Akzeptanz hin.
Anstatt völlig neue Angriffsformen zu entwickeln, nutzen Cyberkriminelle KI zur Verstärkung bestehender Angriffstypen. Dies ermöglicht ihnen eine Steigerung von Umfang, Geschwindigkeit und Automatisierungsgrad. Gleichzeitig verringern sich die notwendigen technischen Kompetenzen und die erforderliche Vorbereitungszeit erheblich.
Eine visuelle Darstellung der Tools, Techniken und kriminellen Ökosysteme, die die fünfte Welle der Cyberkriminalität antreiben.
(Bild: Group-IB)
Eine zentrale Erkenntnis der Untersuchung ist, dass sich eine strukturierte KI-Crimeware-Wirtschaft herausbildet. Dabei zeigt sich, dass die Nutzung von generativer KI (GenAI) die verschiedenen Bereiche der Cyberkriminalität und des Betrugs unterschiedlich stark durchdringt.
Group-IB-Analysten konnten beobachten, dass Anbieter KI-gestützter Tools, Dienste und Produkte zunehmend als gebündelte Komplettpakete auf den Markt bringen. Deren Geschäftsmodelle weisen starke Parallelen zu legalen Software-as-a-Service (SaaS)-Angeboten auf. Diese Angebote umfassen gestaffelte Preise, Abonnements, Updates und sogar Nutzer-Support. Die monatlichen Kosten für diese Dienste sind bemerkenswert niedrig und reichen von wenigen bis zu einigen hundert Dollar. Dies macht hochentwickelte Funktionen für eine sehr breite Käuferschicht zugänglich.
Diese Kommerzialisierung steigert nicht nur die Effizienz krimineller Handlungen, sondern senkt auch die Einstiegshürde für Cyberkriminalität. Aktivitäten, die früher technisches Fachwissen erforderten – wie die Erstellung und Verbreitung von Malware oder die Verwaltung umfangreicher Betrugskampagnen – werden zunehmend automatisiert und an Dienste ausgelagert, die von anderen Kriminellen auf Untergrundmärkten angeboten werden.
Infolgedessen können auch finanziell motivierte Einzelpersonen effektive Angriffe starten, ohne einer großen, organisierten kriminellen Gruppe anzugehören und ohne einen signifikanten Zeitaufwand für Vorbereitung und Schulung leisten zu müssen.
Basierend auf den Beobachtungen hat Group-IB vier kriminelle Nischen identifiziert, in denen der Einsatz von GenAI die Effektivität und den Erfolg von Kriminellen signifikant steigert. Die Analyse beleuchtet die auffälligsten bösartigen Anwendungsfälle der GenAI-gestützten „Waffenentwicklung“.
Während der Missbrauch öffentlich zugänglicher großer Sprachmodelle (LLMs) nach wie vor weit verbreitet ist, zeigt die Forschung eine wachsende Tendenz hin zu proprietären „Dark LLMs“, die speziell für kriminelle Zwecke entwickelt wurden.
Diese Modelle sind darauf ausgelegt, ethische Schutzmechanismen zu umgehen, und für Aufgaben wie die Generierung von Phishing-Inhalten, Coding-Assistenz, Betrugsskripte und Social Engineering optimiert.Group-IB hat mehrere aktive Anbieter solcher uneingeschränkten KI-Chatbots identifiziert, die häufig mit separaten API-Instanzen und einer Abrechnung pro Token angeboten werden. Parallel kursieren weiterhin verbreitet Anleitungen und Dienste zum „Jailbreaking“ legitimer KI-Systeme. Durch die Kombination dieser Ansätze können Bedrohungsakteure auf leistungsstarke Sprachfunktionen zugreifen und dabei Sicherheitskontrollen umgehen.
Deepfake-as-a-Service und synthetische Identitäten
Die Verwendung von Deepfakes und synthetischen Identitäten geht mittlerweile über das bloße Kopieren von Gesichtern berühmter Persönlichkeiten hinaus und hat sich zu einer personalisierten, überzeugenden und technologisch komplexen Nische entwickelt, die die Vertrauenswürdigkeit dessen, was wir sehen oder hören, grundlegend infrage stellt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Überwachung von Untergrundforen durch Group-IB hat einen wachsenden Markt für Deepfake-as-a-Service-Angebote aufgedeckt. Dazu gehören Stimmklonen, Lippensynchronisation, Live-Gesichtsimitation und synthetische Identitätskits. Die Anwendungsfälle für eine solche Nische reichen von Identitätsdiebstahl über Betrug bis hin zu KYC-Umgehungen und Business Email Compromise (BEC). Die Preise für einige dieser Dienste beginnen bei nur wenigen Euro, während hochtechnologische Lösungen für größere Betrugsunternehmen mehrere tausend Euro pro Jahr betragen können.
Wichtig ist: Die Wirksamkeit dieser Tools hängt nicht immer von perfekter Ausführung ab. Selbst minderwertige oder kurzlebige Imitationen können profitabel sein, wenn sie in großem Umfang eingesetzt werden.
Automatisierung über den gesamten Phishing-Lebenszyklus
KI verändert nicht nur die Art und Weise, wie Phishing-Nachrichten verfasst werden, sondern auch, wie Phishing-Kampagnen durchgeführt werden.
Moderne Phishing-Kits automatisieren bereits Hosting, Zustellung, Zielauswahl und die Bearbeitung von Antworten. Einige Anbieter im Untergrund integrieren KI-Modelle jedoch direkt in ihre Tools. Dies ermöglicht eine dynamische Anpassung der Köder an das Opferverhalten und schafft halbautomatisierte Workflows für die nahtlose Erstellung und Zustellung von Lockmitteln.
Die Spezialisten von Group-IB identifizierten zudem frühe Versionen von agentenbasierten Phishing-Funktionen, die Kampagnen mit minimalem menschlichem Eingriff steuern können und dafür lediglich Informationen über die Besuche der Opfer sowie eine minimale Angriffsbeschreibung benötigen. Obwohl diese Systeme noch nicht vollständig ausgereift sind, deuten sie auf eine Zukunft hin, in der sich Angriffsmuster so schnell ändern, dass herkömmliche Erkennungsmethoden nicht mehr mithalten können.
Implikationen für Verteidiger und Strafverfolgungsbehörden
Die Analyseergebnisse verdeutlichen einen strukturellen Wandel in der Bedrohungslandschaft. Anstatt einer begrenzten Zahl technisch versierter Akteure gegenüberzustehen, sehen sich Verteidiger nun einer breiteren Masse von Angreifern gegenüber. Diese nutzen ähnliche automatisierte Tools und kombinieren TTPs (Taktiken, Techniken und Prozeduren), wodurch die Attributionsmuster komplexer werden.
Dies erschwert die Erkennung, Zuordnung und Unterbrechung von Angriffen erheblich. Es unterstreicht zudem die entscheidende Bedeutung informationsgestützter Sicherheitsansätze. Diese müssen sich nicht nur auf die Aufdeckung und Abwehr einzelner Angriffe konzentrieren, sondern proaktiv die Ökosysteme, Tools und Dienste identifizieren und kartieren, die diese Angriffe ermöglichen.
Um dem zukünftigen Einsatz von KI proaktiv begegnen zu können, ist es unerlässlich, die heutige Operationalisierung dieser Technologie durch Kriminelle zu verstehen.
Über den Autor: Anton Ushakov ist Leiter der Abteilung für Hightech-Kriminalitätsermittlungen Europa bei der Group-IB. Ushakov ist ein Cybersicherheitsexperte, der sich auf Cyberkriminalität, Betrug und neue Angriffstechniken spezialisiert hat. Er arbeitet eng mit globalen Ermittlungen zu Phishing, Social Engineering und KI-gestützten Bedrohungen zusammen und hilft Unternehmen und Strafverfolgungsbehörden dabei, besser zu verstehen, wie sich kriminelle Ökosysteme entwickeln und ausweiten.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5e/a7/5ea7a3d83d2a9e42c95c46a7f8281969/0129603326v2.jpeg "Für die Erstellung der Backdoor nutzen die Angreifer erbeutete Anmeldedaten, um legitime RMM-Zugriffstoken zu generieren und dauerhaften Zugriff auf die Systeme der Opfer über eine manipulierte Datei zu erlangen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/54/0c54424dab7e712b7bb27c8a7ffe5ea0/0129817433v1.jpeg "Die Kommerzialisierung von KI-Crimeware: Dark LLMs, Deepfake-as-a-Service und automatisierte Phishing-Kits werden für wenige Dollar monatlich angeboten. (Bild: © Piyaporn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/6b/f56b4f03a15167df363e6c0ab64fb7ce/0129786443v2.jpeg "Die IT-Defense 2026 fand vom 3. bis 4. Februar in Würzburg statt. Der finnische Security-Experte Sami Laiho hielt den Vortrag „Cyberwar between Russia and Finnish Companies“. (Bild: Dr. Wilhelm Greiner)")
:quality(80)/p7i.vogel.de/wcms/46/3c/463c5e6652bc38681a5cd467c57edb65/0129737222v1.jpeg "Microsoft-CEO Satya Nadella bei der Eröffnungs-Keynote der AI Tour in München. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/96/0c/960c75ffe0a62d339278b3c6ce6cc076/0129346648v2.jpeg "Vermutlich, um mit wenig Aufwand hohe Prämien für entdeckte Sicherheitslücken einzuheimsen, erreichten das Team von cURL vermehrt KI-generierte Berichte. Diese seien jedoch teils so falsch gewesen, dass das Team sein Bug-Bounty-Programm eingestellt hat. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/60/54604dd9ae65674f94a61c1744bc2b40/0129673001v2.jpeg "Die Hackergruppe UNC6201 hat seit 2024 eine kritische Sicherheitslücke in Dell RecoverPoint for Virtual Machines ausgenutzt, die durch fest codierte Anmeldeinformationen ermöglicht wird, und dabei Backdoors wie Slaystyle und Grimbolt verbreitet. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/91/8e/918e589e4ee9bb4c02dad8354f57045b/0128846297v1.jpeg "Cloud-Dienste, digitale Kommunikation und globaler IT-Support machen internationale Datentransfers für viele Unternehmen in Deutschland unverzichtbar. (Bild: © Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/97/6697cc7bd2918128a8f649b94cb00223/0129719820v1.jpeg "Passwortsicherheit wird oft als nachträglicher Fix behandelt, aber 22 Prozent aller Datenlecks gehen auf missbrauchte Credentials zurück. Unternehmen müssen ihr dieselbe Priorität wie Penetrationstests einräumen. (Bild: © igor.nazlo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/f2/7af27244e2a7e2020c8cf1e428560094/0129336301v2.jpeg "Self-hosted GitHub Actions Runner eignen sich aufgrund ihrer Eigenschaften – wie der Fähigkeit, beliebigen Code auszuführen und persistenten Zugriff auf interne Netzwerke zu bieten – für Angreifer perfekt, um dort Backdoors zu verstecken. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/2b/4b2bb466fc80efe5afbb9151c95da928/0129796745v1.jpeg "Mehr Awareness durch Security Posture Management, ein Interview von Oliver Schonschek, Insider Research, mit Andreas Müller von Delinea. (Bild: Vogel IT-Medien / Delinea / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2e/40/2e40e56693da64739ef54abf30a0413f/0127316436v2.jpeg "Bei „VeRA“ handelt es sich um eine Analyse-Software des US-Unternehmens Palantir, mit der die Polizei große Datenmengen aus unterschiedlichen Quellen zusammenführen, durchsuchen und Verbindungen zwischen Personen, Ereignissen und Informationen sichtbar machen kann. (©Eisenhans - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/de/82/de828351d24ce22947e9c469931ffd20/0126593157v1.jpeg "Eine Post-Incident Review (PIR) ist eine strukturierte Nachbetrachtung eines (Cyber-)Vorfalls, um die Ursachen zu verstehen und ähnliche Ereignisse zukünftig zu verhindern. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/8d/bd/8dbd30f66e2522b52ab93bf5da96797e/0125817905v2.jpeg "Hacker haben uns im Visier – warum Deutschland mittlerweile zu den beliebtesten Cyberzielen auf der Welt gehört. (Bild: © ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cd/13/cd1309d9648d848acb578b4f9e27719a/0124693211v1.jpeg "Die Bedrohung durch Cyberkriminelle steigt durch automatisierte Angriffe. Cybercrime-as-a-Service macht den Angreifern die Arbeit leichter als je zuvor. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6b/49/6b490aa915a6b5847343d8218b9b5891/0128534684v1.jpeg "Ungefilterte KI-Modelle wie WormGPT und KawaiiGPT senken die Einstiegshürden und liefern täuschende Mails sowie ausführbaren Code, weshalb Unternehmen Erkennung und Reaktion beschleunigen müssen. (Bild: © Eightshot Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/65/fa/65fac0e7d0218d8ab2255a1fefcf4ec8/0124956647v1.jpeg "Group-IB veröffentlicht eine Liste mit den aktivsten Cybercrime-Gruppen des Jahres. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/61/92/6192a4f77140e23f9b1a86fb414b8ece/0123680790v2.jpeg "Generative KI ist ein Wendepunkt für Innovation und Cyberkriminalität. Cyber-Betrüger nutzen GenAI als Waffe. So können Unternehmen sich in vor KI-gesteuertem Betrug schützen. (Bild: Ahmad - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ee/6a/ee6a77168ef80827dce2b23154141f08/0128168007v1.jpeg "Dark-LLMs ermöglichen automatisierte Angriffsabläufe: Unit 42 beobachtet wachsende Vertriebskanäle für kriminell modifizierte KI-Modelle. (Bild: Midjourney / KI-generiert)")