Malware-as-a-Service (MaaS) ist das kriminelle Pendant zu legalen Software-Abos wie Netflix oder Microsoft 365: Statt eigene Schadsoftware zu programmieren, können Kriminelle fertige Malware für eine monatliche Gebühr mieten – inklusive Dashboard, technischem Support und regelmäßigen Updates. Das hat die Einstiegshürde für Cyberkriminalität dramatisch gesenkt. Du musst heute kein Hacker mehr sein, um Hackerangriffe durchzuführen.
Wie funktioniert das?
Das Prinzip ist erschreckend ähnlich zu legitimem Software-as-a-Service (SaaS). Ein Entwicklerteam – in diesem Fall Cyberkriminelle – erstellt eine Schadsoftware und bietet sie als Dienstleistung an. Kunden, sogenannte „Affiliates", zahlen eine Gebühr und erhalten Zugang zu:
Fertige Schadsoftware, die regelmäßig aktualisiert wird, um Virenscanner zu umgehen. Der Kunde muss sich nicht um die technische Entwicklung kümmern. Die Malware wird „schlüsselfertig" geliefert, oft sogar mit einem Web-Dashboard, über das man Infektionen verwalten und gestohlene Daten einsehen kann.
Infrastruktur wie Command-and-Control-Server, Hosting für Phishing-Seiten und Zahlungsabwicklung für Lösegelder. Die Betreiber kümmern sich um alles Technische im Hintergrund.
Support und Dokumentation – ja, tatsächlich. Manche MaaS-Anbieter haben Support-Kanäle auf Telegram oder in Darknet-Foren, in denen Kunden Fragen stellen können. Es gibt Anleitungen, FAQs und sogar Video-Tutorials. Manche Anbieter versprechen sogar eine Geld-zurück-Garantie, wenn die Malware von Virenscannern erkannt wird.
Es gibt verschiedene Spielarten dieses Modells:
Ransomware-as-a-Service (RaaS) ist die lukrativste Variante. Die Entwickler stellen die Ransomware und die Infrastruktur bereit, die Affiliates führen die eigentlichen Angriffe durch. Der Gewinn wird geteilt – typischerweise bekommt der Affiliate 70 bis 80 Prozent des Lösegeldes, der Rest geht an die Entwickler.
Stealer-as-a-Service bietet Infostealer-Malware im Abo. Kunden erhalten Zugang zu einem Dashboard, in dem alle gestohlenen Daten – Passwörter, Cookies, Kreditkartennummern, Krypto-Wallets – übersichtlich aufgelistet werden.
Phishing-as-a-Service (PhaaS) liefert komplette Phishing-Kits: gefälschte Login-Seiten, E-Mail-Vorlagen und sogar Methoden zur Umgehung von Zwei-Faktor-Authentifizierung. Der Kunde muss die E-Mails nur noch versenden.
Die Preise sind erschreckend niedrig. Einen Infostealer gibt es ab 200 US-Dollar pro Monat. Phishing-Kits kosten wenige hundert Dollar. Ransomware-as-a-Service erfordert oft keine Vorabgebühr – man teilt sich einfach die Beute. Das bedeutet: Praktisch jeder mit krimineller Energie und einem Internet-Zugang kann zum Cyberkriminellen werden.
Beispiele aus der Praxis
Raccoon Stealer war eines der bekanntesten MaaS-Angebote. Für rund 200 US-Dollar pro Monat erhielten Kunden einen leistungsfähigen Infostealer, der Passwörter, Browser-Daten, Krypto-Wallets und mehr stehlen konnte. Das Dashboard zeigte übersichtlich alle infizierten Rechner und die erbeuteten Daten. Raccoon Stealer wurde millionenfach eingesetzt, bevor sein Hauptentwickler – ein Ukrainer – 2022 vom FBI verhaftet wurde. Die ganze Geschichte in unserem Schadenbeispiel zu Raccoon Stealer.
LockBit war das erfolgreichste Ransomware-as-a-Service-Programm der Geschichte. Die Gruppe betrieb ein ausgeklügeltes Affiliate-Programm mit strengen Regeln, einem Ruf-System für vertrauenswürdige Partner und sogar einem Bug-Bounty-Programm, bei dem Sicherheitsforscher Geld für das Melden von Schwachstellen in der LockBit-Ransomware bekamen. In Spitzenzeiten waren Dutzende Affiliates aktiv, die gleichzeitig weltweit Angriffe durchführten. Wie verheerend das LockBit-Netzwerk operierte, zeigt unser Schadenbeispiel zum LockBit-Angriff auf Royal Mail.
RaccoonO365 steht für die neueste Entwicklung: Phishing-as-a-Service, das gezielt auf Microsoft-365-Konten abzielt. Die Plattform bietet täuschend echte Nachbildungen von Microsoft-Login-Seiten und kann sogar Zwei-Faktor-Authentifizierung umgehen, indem sie als „Man-in-the-Middle" die Session-Cookies in Echtzeit abfängt. Kriminelle brauchen keinerlei technisches Wissen – sie buchen einfach das Paket und starten los. Mehr dazu in unserem Schadenbeispiel zu RaccoonO365.
Wie schützt Deep Freeze davor?
Malware-as-a-Service hat eine Explosion von Cyberangriffen ausgelöst. Es gibt mehr Malware-Varianten als je zuvor, und sie werden ständig aktualisiert, um Virenscanner zu umgehen. Signaturbasierte Erkennung kann mit diesem Tempo nicht mithalten – es erscheinen täglich neue Versionen, die noch nicht in den Signaturdatenbanken stehen.
Deep Freeze bietet hier einen entscheidenden Vorteil: Der Schutz ist unabhängig davon, welche konkrete Malware auf Deinem System landet. Ob es sich um Raccoon Stealer Version 2.4 oder 2.5 handelt, ob LockBit 2.0 oder 3.0, ob der Infostealer 200 Dollar kostet oder 2.000 – beim Neustart wird alles auf den eingefrorenen Zustand zurückgesetzt. Deep Freeze muss die Malware nicht erkennen, um sie zu eliminieren.
Das ist besonders relevant, weil MaaS-Malware darauf optimiert ist, Erkennungssysteme zu umgehen. Die Betreiber testen ihre Software regelmäßig gegen alle gängigen Virenscanner und passen sie an, sobald sie erkannt wird. Gegen Deep Freeze hilft diese Strategie nicht, denn der Schutz basiert nicht auf Erkennung, sondern auf dem grundlegenden Prinzip der Systemwiederherstellung.
Für die Infostealer-Kategorie gilt wie bei Phishing: Daten, die vor dem Neustart gestohlen werden, sind verloren. Aber der Stealer kann sich nicht dauerhaft einnisten, und sein Zeitfenster für den Datendiebstahl schrumpft auf die Dauer einer einzelnen Sitzung.
Malware-as-a-Service hat Cyberkriminalität demokratisiert – heute kann jeder für kleines Geld professionelle Angriffe starten. Umso wichtiger ist ein Schutz, der nicht von der Erkennung einzelner Malware-Varianten abhängt. Eine eingefrorene Systempartition schützt Dich vor der Masse, egal welche Malware gerade im Sonderangebot ist.