Hacker arbeiten vorzugsweise allein in dunklen Kellern, mit der Kapuze tief im Gesicht und dem grünlich fluoreszierenden Leuchten kryptischer Zahlenreihen auf dem Bildschirm als einziger Lichtquelle. So will uns das zumindest die Filmindustrie glauben machen und hat das Bild des "Hackers" kreiert, der als einsamer Alleingänger agiert. Ein Leak aus dem Cybercrime-Untergrund zeigt jetzt aber: Hackergruppen arbeiten wie moderne Unternehmen mit einer Finanz- und Human-Resources-Abteilung sowie streng organisierten Teams. In einem Fall gibt es sogar Mitarbeiterboni wie bezahlten Krankenstand und ein 13. Monatsgehalt im ersten Jahr.

Wie ein ganz normales Unternehmen

Dies geht aus einem Leak hervor, den Unbekannte innerhalb der Trickbot-Bande an die Öffentlichkeit gespielt haben. Dutzende Seiten Chatprotokolle wurden mittlerweile von der Sicherheitsfirma Cyjax ausgewertet und zu einem Bericht zusammengefasst. Nicht nur gibt der Leak spannende Einblicke in die technische Arbeitsweise, sondern offenbart auch, dass die Gruppe offenbar wie ein großes – man könnte fast sagen "gewöhnliches" – Unternehmen organisiert ist.

Nicht nur gibt es regelmäßigen Austausch zwischen den mindestens 133 Mitarbeitern. In Meetings werden Ideen gewälzt, Manöverkritik geübt und erfahrene Kollegen geben Neulingen Tipps für ihre ersten Arbeitstage. Es gibt scheinbar sogar interne Richtlinien, wie Schadsoftware erstellt werden muss – ein gemeinsamer Qualitätsstandard sozusagen.

Bewerbungsgespräche und Mitarbeiter-Boni

Jede Gruppe in "Tricknet" hat einen eigenen Teamleiter. Darüber steht ein Management, das Strategie und Richtung vorgibt. Ein gewisser "Silver" ist für Technik und Entwicklung zuständig, während sich "Frances" um Gehälter und Neueinstellungen kümmert – also quasi der Leiter der Abteilung Human Resources ist.

Ein geleaktes Bewerbungsgespräch gibt darüber hinaus noch detailreicheren Aufschluss über die Goodies für Mitarbeiter des kriminellen Netzwerkes. Im Gespräch wird ein Leiter für eine neue OSINT-Gruppe, also für "Open Source Intelligence", wohl eine Art "Aufklärungsgruppe", gesucht. Der Interessent ist sich unsicher, doch "Frances" preist das eigene "Unternehmen" an: Er verspricht regelmäßige Bezahlung im Zweiwochentakt, bezahlten Krankenstand und Urlaubsgeld. Außerdem legt das Netzwerk nach dem ersten Jahr ein 13. Monatsgehalt oben drauf. Aus der Analyse von Cyjax geht darüber hinaus hervor, dass Trickbot eigene Firmenanwälte beschäftigt.

"Der Boss mit der Knete"

Die Identität des Geschäftsführers oder Eigentümers ist nicht bekannt. "Der Boss mit der Knete" – so eine interne Bezeichnung – schützt seine Identität offenbar gekonnt, denn selbst die eigenen Mitarbeiter scheinen ihn nicht zu kennen. "Der Boss selbst kommt selten, übergibt die Kohle und haut dann wieder ab", so "Silver" zu einem Mitarbeiter.

Das Einstiegsgehalt bei dem kriminellen Netzwerk dürfte etwa bei 2.000 Dollar im Monat liegen. Bezahlt werden die Mitarbeiter ausschließlich in Kryptowährungen – hauptsächlich in Bitcoin. HR-Chef Frances sammelt dafür die Wallet-Adressen sämtlicher Mitarbeiter ein. Dafür wird von den Mitarbeitern auch einiges verlangt: Die Entwickler von Schadsoftware müssen strikte Deadlines einhalten. Dabei operiert "Trickbot" nicht allein, sondern dürfte Teil eines ganzen kriminellen Firmengeflechts sein. Dieses Geflecht wird "Wizard Spider" genannt.

Die professionelle Organisation und stringente Mitarbeiterführung überraschte selbst die Cybersicherheitsexperten bei Cyjax: "Was früher als loses Netzwerk aus Cyberkriminellen war, ist jetzt ein Unternehmen, das sich mit anderen in Konkurrenzkampf befindet." (pez, 19.7.2022)