Initial Access Broker sind Cyberkriminelle, die darauf spezialisiert sind, unbefugt Zugriff auf IT-Systeme oder Netzwerke zu erlangen. Ist es ihnen gelungen, sich Zugang zu verschaffen, verkaufen sie die Zugangsmöglichkeiten an andere Cyberkriminelle weiter. Diese verwenden sie dann für ihre Cyberangriffe wie Datenerpressung oder andere kriminelle Aktivitäten.
Initial Access Broker (IAB) sind die Türöffner der Cyberkriminalität. Sie beschaffen sich Zugangsdaten zu Netzwerken oder Systemen und verkaufen diese an andere Cyberkriminelle weiter.
Initial Access Broker, abgekürzt IAB, werden auch als Türöffner der Cyberkriminalität bezeichnet. Es handelt sich um Cyberkriminelle, die sich darauf spezialisiert haben, sich unbefugt Zugang zu IT-Systemen oder Netzwerken zu verschaffen. Allerdings verwenden sie die kompromittierten Zugänge nicht selbst für weitere Angriffe, sondern agieren als Zulieferer. Sie verkaufen sie auf illegalen Marktplätzen, zum Beispiel im Darknet, an andere Cyberkriminelle weiter. Diesen dienen sie dann als Einstiegspunkt für Cyberangriffe wie Ransomware-Angriffe, Datendiebstahl oder Systemmanipulationen und andere kriminelle Machenschaften.
Die Arbeitsteilung zwischen Zugangsbeschaffung und der Ausnutzung der kompromittierten Zugänge für Cyberangriffe hat sich im modernen Cyberkriminalitätsumfeld etabliert. Die Einbeziehung von Initial Access Broker für Cyberangriffe nimmt stark zu. Den Angreifern bietet sich durch diese Arbeitsteilung der Vorteil, dass sie sich stärker auf die eigentliche Durchführung ihres Angriffs auf die gewählte Zielperson oder das gewählte Zielunternehmen konzentrieren können. Die für den Angriff benötigten Zugangsdaten kaufen sie sich von den hoch spezialisierten Initial Access Brokern ein. Sie nutzen die Zugangsbeschaffung quasi als eine Form von Cybercrime-as-a-Service. Im Darknet und auf einschlägigen Plattformen existiert ein großer Markt für kompromittierte Zugangsdaten. Je nach Größe, Bekanntheit, Attraktivität oder Kritikalität des Zielsystems oder des Zielunternehmens werden Preise von wenigen hundert bis mehreren tausend Dollar für einen illegalen Zugang gezahlt. Teilweise wird von den Initial Access Brokern auch eine Beteiligung an den weiteren Gewinnen der kriminellen Aktivitäten der Angreifer gefordert. Typische Kunden von Initial Access Brokern sind Ransomware-Gruppen, Spionageakteure oder andere kriminelle Kollektive.
Die Rolle der Initial Access Broker im Gesamtsystem der Cyberkriminalität
Initial Access Broker erfüllen für das Gesamtsystem der Cyberkriminalität eine zunehmend wichtigere Rolle. Die Arbeitsteilung zwischen der Zugangsbeschaffung und der Durchführung des eigentlichen Angriffs hat zu einer Zunahme von Cyberangriffen und deutlich raffinierteren Angriffsmethoden geführt. Sowohl die Initial Access Broker als auch die Cyberkriminellen, die die eigentlichen Angriffe ausführen, können sich durch die Arbeitsteilung stärker auf ihre eigenen Kernkompetenzen und Aktivitäten wie System- und Netzwerkeinbruch, Malware-Entwicklung, Datenexfiltration oder Erpressung konzentrieren. Der Erwerb von bereits kompromittierten Zugängen umgeht die ressourcen- und zeitaufwendigen Prozesse des "Einhackens" in die IT-Systeme oder Netzwerke der Zielpersonen oder Zielunternehmen.
Das führt für das Gesamtsystem der Cyberkriminalität zu einer deutlich steigenden Effizienz, Geschwindigkeit und Professionalität. Gleichzeitig verringert die Zulieferung von kompromittierten Zugangsdaten die Einstiegshürden für Cyberkriminelle. Lohnende Cyberangriffe lassen sich schnell und einfach durch den Erwerb von kompromittierten Zugangsdaten und die Verfügbarkeit von ausgearbeiteten Schadkampagnen zum Beispiel in Form von Ransomware-as-a-Service durchführen, ohne dass dafür tiefes Know-how für die Entwicklung eigener Kampagnen notwendig ist. Selbst hochkomplexe Angriffe werden relativ einfach realisierbar. Sowohl Initial Access Broker als auch Anbieter von Ransomware-as-a-Service agieren als Dienstleister für die Cyberkriminellen.
Steigende Preise für kompromittierte Zugänge machen das Geschäft für die Initial Access Broker zunehmend attraktiver. Gleichzeitig sind die für die kompromittierten Zugänge gezahlten Preise für Cyberangreifer wie Ransomware-Gruppen im Vergleich zu den durch ihre kriminellen Machenschaften erzielbaren Gewinnen eher gering.
Um sich unbefugt Zugang zu IT-Systemen oder Netzwerken zu verschaffen, wenden Initial Access Broker verschiedene Taktiken, Methoden und Verfahren an. Dazu zählen zum Beispiel:
Ausnutzung von Schwachstellen in Software oder in nicht gepatchten Systemen
Einsatz von Phishing-Kampagnen und Social Engineering
Einsatz von Malware wie Infostealer, Fernzugriffs-Trojaner oder Keylogger
Brute-Force-Angriffe zur Ermittlung schwacher Credentials
automatisierte Credential-Stuffing-Angriffe mit bereits geleakten Credentials
Beliebte Angriffsziele der Initial Access Broker zur Erlangung von Erstzugriffen sind zum Beispiel VPN-Gateways, Webanwendungen oder Webserver und Remote-Zugänge per RDP.
Konnte ein unbefugter Erstzugriff erfolgreich hergestellt werden, dokumentieren die Initial Access Broker diesen und sichern ihn ab, indem sie mithilfe von Backdoors, neu erstellten Administratorkonten oder Command-and-Control-Servern dauerhafte Zugangsmöglichkeiten und persistente Einstiegspunkte zum kompromittierten System oder Netzwerk schaffen. Ziel ist es, den Zugang für den Angegriffenen unbemerkt möglichst langfristig nutzbar zu machen. Parallel zur Absicherung der Zugangsmöglichkeiten erfolgen die Bewertung, Kategorisierung und Aufbereitung des Zugangs für den Verkauf. Es werden zum Beispiel die Art und Wichtigkeit des Zugangs, die weiteren Sicherheitskontrollen, die lateralen Bewegungsmöglichkeiten oder die potenzielle Datenreichweite bestimmt. Sind diese Maßnahmen abgeschlossen, wird ein für den Verkauf optimiertes Paket geschnürt, der Preis festgelegt und der Zugang auf spezialisierten Marktplätzen, im Darknet oder über verschlüsselte Messaging-Dienste angeboten. Teilweise bieten die Initial Access Broker beim Kauf der kompromittierten Zugänge sogar Support oder Garantien.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Gefahren durch Initial Access Broker
Initial Access Broker tragen zur weiteren Professionalisierung des Cybercrime-as-a-Service-Modells bei. Die Spezialisierung der Zugangsbeschaffung bringt zahlreiche Gefahren mit sich. Auch weniger versierte Angreifer werden in die Lage versetzt, hochkomplexe, fortgeschrittene Angriffe durchzuführen. Entwicklungszeiten für neue Angriffskampagnen verkürzen sich und Angriffe werden beschleunigt. Grundsätzlich steigen die Effizienz, die Geschwindigkeit und die Professionalität der Angriffe.
Da die Initial Access Broker üblicherweise keine destruktiven Aktivitäten durchführen, ist ihr Handeln oft nur schwer zu erkennen. Die von ihnen ermittelten oder zusätzlich geschaffenen persistenten Zugangsmöglichkeiten bleiben häufig über lange Zeit unerkannt. Angreifer können sich nach dem Kauf eines Zugangs im Hintergrund gezielt auf das Eindringen und Kompromittieren der Systeme oder Daten vorbereiten. Die Angriffe werden oft erst bemerkt, wenn der Käufer aktiv seine kriminellen Aktivitäten startet. Dem Opfer bleibt dann kaum noch Zeit, darauf zu reagieren.
Mögliche Abwehrmaßnahmen gegen Initial Access Broker
Initial Access Broker sind zwar hoch spezialisiert, nutzen aber im Grunde die klassischen Taktiken, Verfahren und Methoden, um unerlaubten Zugang zu Systemen oder Netzwerken zu erlangen. Daher schützen auch die üblichen Maßnahmen gegen unbefugten Zugang wie die konsequente Verwendung der Multi-Faktor-Authentifizierung (MFA), das zeitnahe Schließen von Schwachstellen durch die Installation von verfügbaren Updates und Patches, das Deaktivieren exponierter Zugangsmöglichkeiten, strenge Passwortvorgaben, die Umsetzung von Zero-Trust-Ansätzen, Netzwerksegmentierung, die Implementierung von Intrusion-Detection- und Intrusion-Prevention-Systemen (IDS und IPS), regelmäßige Sicherheitsaudits und Penetrationstests, die Verwendung aktueller Anti-Malware-Lösungen und die Sensibilisierung und Schulung von Mitarbeitern. Zudem können Honeypots eingesetzt werden, um Angreifer vom eigentlichen Ziel abzulenken und Eindringversuche durch Initial Access Broker möglichst früh zu erkennen.
Darüber hinaus sind Überwachungsmaßnahmen notwendig, um zu verhindern, dass erfolgreiche Zugangsversuche oder das Einrichten von persistenten Zugangsmöglichkeiten durch Initial Access Broker über längere Zeit unbemerkt bleiben. Denn solange der Zugang noch nicht an Cyberkriminelle weiterverkauft worden ist, wurden in der Regel auch noch keine destruktiven Aktivitäten gestartet und der eigentliche Cyberangriff hat noch nicht begonnen. Gelingt es, unbefugten Zugang durch Initial Access Broker frühzeitig zu erkennen, bleibt unter Umständen noch Zeit, dem Initial Access Broker die Zugangsmöglichkeiten wieder zu entziehen und von den nachfolgenden Aktivitäten der Cyberkriminellen verschont zu bleiben. Maßnahmen für eine solche Früherkennung sind die kontinuierliche Überwachung des Netzwerks und des Datenverkehrs auf ungewöhnliche Netzwerkaktivitäten, die Überwachung auf ungewöhnliche Logins, die Prüfung auf neu angelegte Accounts mit administrativen Rechten, regelmäßige Log-Analysen zur Erkennung von Anomalien und kontinuierliches Darknet-Monitoring zur frühzeitigen Erkennung geleakter und zum Kauf angebotener Zugangsdaten.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7a/f2/7af27244e2a7e2020c8cf1e428560094/0129336301v2.jpeg "Self-hosted GitHub Actions Runner eignen sich aufgrund ihrer Eigenschaften – wie der Fähigkeit, beliebigen Code auszuführen und persistenten Zugriff auf interne Netzwerke zu bieten – für Angreifer perfekt, um dort Backdoors zu verstecken. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/ba/7dbaa635d6a6c618f72199882f8b838f/0129755658v2.jpeg "Das Personal der BDH-Klinik in Greifswald habe nach einem Cyberangriff einige digitale Abläufe analog ausführen müssen, die Versorgung der Patienten sei jedoch sichergestellt gewesen. (©peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/89/1889ed31c2dce0a86bd0e07c2f125197/0129714473v2.jpeg "Deepfakes sind zur realen Bedrohung für Unternehmen geworden. Zero Trust muss künftig auch die Echtheit von Inhalten verifizieren, nicht nur die Identität von Nutzern. (Bild: © Flash memory - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/70/8070dd073ca803c665eed95cc230a701/0128735549v1.jpeg "Der Autor: Trevor Dearing ist Director of Critical Infrastructure Solutions bei Illumio (Bild: Illumio)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db155e114b7d535ee7ec9cbed89079/0129714250v2.jpeg "KMU stehen unter Compliance-Druck durch Vendor-Management und NIS-2. Minimum Viable Security ermöglicht strukturierte Informationssicherheit ohne Vollzeit-CISO und teure Zertifizierung. (Bild: © sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/01/6c0154fdb59eb48f6829cd91be1c03b8/0129232045v1.jpeg "Frontansicht der 1-HE-Appliance „genuline“: Rackgerät für IPsec-basierte Standortkopplung mit Managementschnittstellen und modularen Netzwerkports. (Bild: genua)")
:quality(80)/p7i.vogel.de/wcms/5f/1d/5f1d070630e02593c44d07f590a62330/0129718619v1.jpeg "„Viele Security-Teams sind heute im Dauerstress – nicht, weil sie zu wenig tun, sondern weil sie in einem reaktiven Paradigma gefangen sind: Vorfall erkennen, isolieren, analysieren, schließen.“ sagt Max Rahner, Senior Business Development Manager bei Tenable. (Bild: Tenable)")
:quality(80)/p7i.vogel.de/wcms/1d/cf/1dcfd91e73b22fe28bb14755027091e2/0128758121v1.jpeg "Zwei Gesetze stärken das Cloud-Switching: Der EU Data Act durch Vorgaben zu Interoperabilität und Datenexport und die DSGVO, die mit dem Recht auf Datenübertragbarkeit ergänzend personenbezogene Daten beim Anbieterwechsel absichert.
(Bild: © MemoryMan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cc/83cc8ef3d0201c8a899011eb2428a3a4/0129633537v1.jpeg "Bei IDMerit, einem kalifornischen Unternehmen, das sich auf KI-basierte Identitätsverifikation spezialisiert hat, kam es zu einem massiven Datenleck. Dabei wurden drei Milliarden Datensätze, darunter rund eine Milliarde sensible Daten, aus 26 Ländern offengelegt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b1/36/b136397b968cdf16f587a9aaa72082fe/0128624921v1.jpeg "Nicht nur in Sachen Datenmanagement wird Digitale Souveränität immer wichtiger. Auch bei den Herstellern von Soft- und Hardware achten Unternehmen zunehmend auf Souveränität oder greifen zu Open Source. (Bild: © Nazuro - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/da/b0da219a083f51ec8d1a177ed2f734ed/0129623165v2.jpeg "Die RTL Group ist Europas größter kommerzieller Radio- und Fernsehanbieter und hat damit Zugang zu sensiblen Informationen und Quellen, die für ihre Berichterstattung und investigativen Recherchen von entscheidender Bedeutung sind. Somit ist die Gruppe ein besonders interessantes Ziel für Cyberkriminelle. (Bild: Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/f7/6af7e879055983e8e04b8342915cf5fd/0129654017v1.jpeg "Bahnchefin Evelyn Palla kündigte an, die freiwillige Ausstattung mit Bodycams noch in diesem Jahr auf alle Beschäftigte mit Kundenkontakt ausweiten zu wollen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/66/65/6665965cfd1e5ec1dcc76d98f91803ba/0129704585v1.jpeg "Souveränität als Spektrum: (v.l.) Agnes Heftberger (CEO Microsoft Deutschland & Österreich) und Brad Smith (Vice Chair und President, Microsoft) bei der Eröffnung des ersten „European Sovereignty & Digital Resilience Studios“ in München. (Bild: @alexschelbertphotography)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/de/82/de828351d24ce22947e9c469931ffd20/0126593157v1.jpeg "Eine Post-Incident Review (PIR) ist eine strukturierte Nachbetrachtung eines (Cyber-)Vorfalls, um die Ursachen zu verstehen und ähnliche Ereignisse zukünftig zu verhindern. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/5b/d3/5bd3c9c31eab13525adb69bd1759f278/0126593157v1.jpeg "Initial Access Broker (IAB) sind die Türöffner der Cyberkriminalität. Sie beschaffen sich Zugangsdaten zu Netzwerken oder Systemen und verkaufen diese an andere Cyberkriminelle weiter. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/cd/13/cd1309d9648d848acb578b4f9e27719a/0124693211v1.jpeg "Die Bedrohung durch Cyberkriminelle steigt durch automatisierte Angriffe. Cybercrime-as-a-Service macht den Angreifern die Arbeit leichter als je zuvor. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b7/4c/b74c0a8e1cc7def4fc8188cc5ab5001e/0126383379v2.jpeg "Cyberkriminelle nehmen die Fertigungsindustrie verstärkt ins Visier. Ransomware, Datendiebstahl und OT-Angriffe bedrohen Produktion und Versorgungssicherheit. (Bild: © panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cd/13/cd1309d9648d848acb578b4f9e27719a/0124693211v1.jpeg "Die Bedrohung durch Cyberkriminelle steigt durch automatisierte Angriffe. Cybercrime-as-a-Service macht den Angreifern die Arbeit leichter als je zuvor. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d2/75/d27592bd6cbf7e827111c8dc09538753/0125538589v2.jpeg "Ransomware trifft selten aus heiterem Himmel. Fast immer beginnt der Angriff mit einer kompromittierten Identität. (Bild: © Tomasz Zajda - stock.adobe.com)")