Das US-Justizministerium (Department of Justice, DoJ) hat zwei Cybersicherheits-Spezialisten zu jeweils vier Jahren Haft verurteilt, weil sie die Ransomware-Gruppe BlackCat (ALPHV) im Jahr 2023 unterstützt haben sollen. Der Fall zeigt in bemerkenswerter Deutlichkeit, wie gefährlich Insider-Bedrohungen werden, wenn Fachwissen aus der IT-Sicherheit gezielt für kriminelle Zwecke eingesetzt wird.
Hintergrund: Wer hinter den BlackCat-Angriffen stand
Laut DoJ waren der 40‑jährige Ryan Goldberg aus Georgia und der 36‑jährige Kevin Martin aus Texas an mehreren Ransomware-Angriffen auf US-Unternehmen zwischen April und Dezember 2023 beteiligt. Sie agierten gemeinsam mit dem 41‑jährigen Angelo Martino aus Florida, der seine Schuld bereits eingeräumt hat und dessen Urteil für Juli 2026 erwartet wird.
Das Trio arbeitete als sogenannte Affiliates der Gruppe ALPHV/BlackCat. In diesem Modell zahlten sie den Betreibern der Plattform 20 % der erpressten Lösegelder, um im Gegenzug Zugriff auf die Ransomware, die Infrastruktur und eine Verwaltungsoberfläche zu erhalten. Über diese „Erpresser-Panel“ genannte Plattform wurden Opfer kontaktiert, Zahlungsforderungen gesteuert und die Veröffentlichung gestohlener Daten koordiniert.
In einem dokumentierten Fall zwangen die Täter ein Unternehmen zur Zahlung von rund 1,2 Millionen US‑Dollar in Bitcoin. Davon verblieben 80 % bei den Affiliates, die ihre Anteile anschließend über eine Kette von Transaktionen verschleierten, um die Herkunft der Mittel zu tarnen.
Wie BlackCat arbeitet: Ransomware-as-a-Service im industriellen Maßstab
BlackCat (ALPHV) gilt als eine der technisch ausgereiftesten Ransomware-Gruppen, die das Modell Ransomware-as-a-Service (RaaS) nutzt. Dabei entwickeln Kernmitglieder die Schadsoftware, stellen Infrastruktur, Support und Zahlungsabwicklung bereit und geben diese „Dienstleistung“ an Partner weiter, die die eigentlichen Angriffe durchführen.
Nach Angaben von Strafverfolgungsbehörden und Sicherheitsforschern attackierte BlackCat im Rahmen dieses Modells mehr als 1000 Organisationen weltweit, darunter Unternehmen aus Finanzwesen, Gesundheitssektor, Industrie und kritischer Infrastruktur. Branchenberichte wie der Verizon Data Breach Investigations Report und der ENISA Threat Landscape Report bestätigen seit Jahren, dass Ransomware zu den dominierenden Bedrohungen für Unternehmen gehört – sowohl hinsichtlich Häufigkeit als auch Schadenshöhe.
Insider-Bedrohung: Wenn Cybersicherheitsexperten zu Angreifern werden
Besonders brisant ist, dass alle drei Verurteilten beruflich in der Cybersicherheit tätig waren. Nach Angaben der Anklage arbeiteten Martino und Martin beim Kryptodienstleister DigitalMint, während Goldberg als Incident-Response-Manager bei der Sicherheitsfirma Sygnia beschäftigt war.
Statt ihre Kenntnisse zum Schutz von Systemen einzusetzen, nutzten sie ihr Fachwissen für Angriffe. Wie der zuständige Staatsanwalt des Southern District of Florida hervorhob, wurden Fähigkeiten zur Analyse von Sicherheitsvorfällen, zum Umgehen von Schutzmechanismen und zum Verhandeln mit Erpressern gezielt missbraucht, um kritische Systeme zu verschlüsseln, vertrauliche Daten zu stehlen und Unternehmen zur Zahlung zu zwingen.
Ein besonders gravierender Aspekt ist Martinos Rolle als Ransomware-Verhandlungsführer. Laut Ermittlern nutzte er Einblick in vertrauliche Informationen zu Cyber-Versicherungslimits seiner Kunden und übermittelte diese an die BlackCat-Operatoren. Damit konnten die Erpresser Lösegeldforderungen exakt an den finanziellen Spielraum der Opfer anpassen und bewusst höher ansetzen.
Lehren für Unternehmen: Insider-Risiken und Steuerung von Dienstleistern
Der Fall macht deutlich, dass Cyberrisiken nicht allein durch technische Schutzmaßnahmen adressiert werden können. Unternehmen müssen Insider-Bedrohungen und den möglichen Missbrauch privilegierter Rollen systematisch in ihr Risikomanagement integrieren.
Wesentliche Handlungsfelder sind:
1. Strenge Prüfung und kontinuierlicher Abgleich von Vertrauenspositionen. Mitarbeitende in sicherheitskritischen Funktionen – etwa in Finanzinstituten, Managed-Security-Services (MSSP), Kryptodienstleistern oder Incident-Response-Teams – sollten einem strukturierten Background-Check, regelmäßigen Re-Zertifizierungen und einer engmaschigen Überwachung ihrer administrativen Aktivitäten unterliegen.
2. Durchsetzung des Least-Privilege-Prinzips. Selbst Sicherheitsexperten sollten nur minimal notwendige Rechte erhalten. Granulare Rollenmodelle, konsequente Protokollierung, das Vier-Augen-Prinzip und regelmäßige Audits helfen, Missbrauch frühzeitig zu erkennen.
3. Kontrolle von Verhandlungen mit Ransomware-Gruppen. Externe Verhandlungsführer, Versicherer und Broker benötigen häufig Einblick in sensible Finanz- und Resilienz-Daten. Unternehmen sollten den Zugriff auf Informationen wie Versicherungslimits, Liquiditätsreserven oder Wiederanlaufzeiten strikt begrenzen und vertraglich sowie technisch absichern.
Praktische Maßnahmen gegen Ransomware und interne Angreifer
Angesichts der anhaltend hohen Zahl von Ransomware-Fällen empfehlen Sicherheitsbehörden und Branchenstandards (u. a. NIST, BSI) ein mehrschichtiges Sicherheitskonzept:
– Aufbau einer Defense-in-Depth-Strategie mit regelmäßigen, isolierten Backups, Netzwerksegmentierung, Multi-Faktor-Authentifizierung und modernen EDR/XDR-Lösungen;
– regelmäßige Incident-Response-Übungen und Tests der Business-Continuity- und Disaster-Recovery-Pläne;
– kontinuierliche Security-Awareness-Schulungen, insbesondere zu Phishing, Social Engineering und typischen Anzeichen von Ransomware-Angriffen;
– unabhängige Sicherheitsaudits von Dienstleistern, insbesondere von Cybersicherheitsfirmen und Kryptodienstleistern, die in Vorfallreaktion und mögliche Lösegeldzahlungen eingebunden sind.
Der BlackCat-Fall zeigt eindrücklich, dass selbst hochqualifizierte Sicherheitsexperten zu einem erheblichen Risiko werden können, wenn Kontrollmechanismen, Compliance-Strukturen und gelebte Ethik fehlen. Unternehmen sollten diese Entwicklung als Anlass nehmen, ihre Governance-, Risiko- und Compliance-Prozesse zu überprüfen, Insider-Risikoprogramme aufzubauen und technische wie organisatorische Sicherheitsmaßnahmen zu stärken, um Ransomware-Angriffe frühzeitig zu erkennen, ihre Auswirkungen zu begrenzen und die eigene digitale Resilienz nachhaltig zu erhöhen.
