Die internationale Cybercrime-Landschaft ist zunehmend geprägt von geopolitischer Rivalität, wirtschaftlich motivierten Hackergruppen und staatlicher Toleranz gegenüber digitalen Straftätern. Die jüngste Identifikation eines russischen Hackers als Gründer des illegalen Cybercrime-Forums Ramp wirft ein scharfes Licht auf Russlands ambivalente Rolle im globalen Cyberuntergrund.
Ramp: Cybercrime-Hub mit russischen Wurzeln
Im Jahr 2023 offenbarte eine internationale Ermittlung, dass ein russischer Staatsbürger unter dem Alias „Administrator Ramp“ als Gründer und Betreiber des Darknet-Marktplatzes Ramp (Russian Anonymous Marketplace) identifiziert wurde. Das Forum diente seit mindestens 2020 als zentrale Austauschplattform für Schadsoftware, gestohlene Zugangsdaten, Exploits und DDoS-Dienste. Ramp gilt als Nachfolgeprojekt mehrerer zerschlagener russischsprachiger Foren wie Hydra und RAMP (Russian Anonymous Marketplace, nicht zu verwechseln mit dem gleichnamigen Projekt aus dem Jahr 2015).
Cyberkriminelle nutzten Ramp nicht nur für den Austausch von Malware wie infostealern oder Ransomware-as-a-Service (RaaS), sondern auch zur Personalakquise. Der Marktplatz konnte ausländische Strafverfolger schwer erreichen – nicht zuletzt dank technischer Verschleierung und mutmaßlich staatlicher Duldung.
Laut einer Analyse des Cybersicherheitsunternehmens Group-IB waren bis November 2023 über 100.000 registrierte Konten auf Ramp aktiv. Besonders auffällig: Über 70 % der Nutzer stammten aus GUS-Staaten, insbesondere Russland, der Ukraine und Belarus.
Russlands Rolle – Ökosystem oder Schutzzone für Cybercrime?
Die Ermittlungen gegen den Ramp-Gründer werfen erneut die Frage nach der politischen und institutionellen Verantwortung Russlands für Cyberangriffe auf westliche Infrastrukturen auf. Moskauer Behörden gehen selektiv gegen inländische Cyberkriminelle vor – häufig nur, wenn sie Interessen des russischen Staates gefährden oder Druck aus dem Ausland entsteht.
Die USA und Europol werfen Russland seit Jahren vor, ein tolerierendes wenn nicht förderndes Umfeld für Cyberkriminalität zu bieten. Russischsprachige Foren wie XSS.is, Exploit.in oder bis zu ihrem Niedergang RaidForums sind tief in transnationale Cybercrime-Vernetzungen eingebunden, etwa durch den Austausch von Zero-Day-Lücken oder verketteten Ransomware-Operationen, wie sie etwa bei REvil oder Conti beobachtet wurden.
Cybersicherheitsforscher sehen Russland damit weniger als Einzelakteur, sondern vielmehr als Katalysator mit strukturell permissivem Umgang gegenüber bestimmten Hackergruppierungen. Der Digitalforensik-Experte Chris Krebs brachte es 2022 auf den Punkt: „In Russland können Cyberkriminelle operieren – solange sie keine russischen Ziele angreifen.“
Statistiken zeigen russische Dominanz im Untergrund
Quantitative Analysen unterstreichen Russlands Einfluss: Eine Untersuchung von Chainalysis aus dem Jahr 2024 zeigt, dass rund 74 % aller Ransomware-Einnahmen weltweit (gemessen an bekannten Wallets) an Gruppen mit mutmaßlichem Ursprung in Russland flossen. Dies entspricht einem Volumen von über 800 Millionen US-Dollar pro Jahr.
Der jährliche Verizon Data Breach Investigations Report 2025 benennt Russland als Ursprung bei etwa 33 % aller attributierbaren, staatlich unterstützten Cyberangriffe auf kritische Infrastrukturen in Europa und Nordamerika.
Besonders aktiv sind dabei bekannte Gruppen wie Sandworm, APT28 (Fancy Bear), Conti und LockBit – Letztere operierte sogar über eine Franchise-Struktur, die internationalen Ablegern erlaubte, ihre eigenen Angriffe im LockBit-Ökosystem durchzuführen.
Geopolitische Spannungen und digitale Eskalation
Mit dem fortschreitenden Krieg in der Ukraine verschärfte sich die digitale Front. Viele Gruppierungen positionierten sich offen – so etwa Killnet, das DDoS-Angriffe auf NATO-Staaten rechtfertigte. Der Austausch von Know-how, Exploits und Botnets innerhalb des russischsprachigen Cybercrime-Territoriums erhielt mit dem Rückzug westlicher Plattformen zusätzliche Dynamik.
Die wirtschaftlichen Sanktionen gegen Russland führten zudem zu einer verstärkten Nutzung von Kryptowährungen – nicht nur durch staatliche Stellen, sondern auch durch Hackergruppen. Laut dem Kaspersky Labs Threat Intelligence Report von Q3 2025 wurden über 60 % der illegalen Transaktionen über russische oder belarussische Vermittler abgewickelt.
Diese Verschmelzung von Geopolitik, Ökonomie und Digitalisierung schafft ein komplexes Bedrohungsklima, in dem klassische Strafverfolgung kaum greift. Russland nutzt hier strategische Ambiguität: Einerseits bestreitet das Land die Verbindungen zu Gruppen wie Conti oder LockBit. Andererseits profitieren wirtschaftliche oder sicherheitspolitische Ziele indirekt von deren Aktivitäten.
Herausforderungen für internationale Strafverfolgung
Die effektive Verfolgung russischer Cyberkrimineller scheitert an zahlreichen Faktoren: fehlenden Auslieferungsabkommen, mangelnder Kooperation der Behörden, transnationale Infrastruktur und ausgeprägte Verschleierungstechniken. Zudem nutzen viele Täter sogenannte proxies: Abgesicherte Maschinen oder kompromittierte Server in Drittstaaten, um ihre Herkunft zu verwischen.
Selbst bei identifizierten Tätern ist eine juristische Verfolgung selten erfolgreich. So betrachtet Interpol über 380 Cyberkriminalitäts-Akteure aus GUS-Staaten als „high priority“ – ohne Aussicht auf Auslieferung.
Ein weiteres Problem: Viele der genutzten Plattformen liegen im Tor-Netzwerk oder auf technisch komplex gesicherten Bulletproof-Hostern. Eine 2025 veröffentlichte Studie der Carnegie Endowment zeigt, dass über 62 % russischsprachiger Darknet-Marktplätze auf Hosting-Strukturen basieren, die absichtlich im regulatorischen Niemandsland angesiedelt sind.
Empfehlungen für Unternehmen und Sicherheitsteams
Die Erkenntnisse über Russlands Rolle im Cybercrime-Ökosystem erfordern systematische Anpassungen auf operativer und strategischer Ebene. Unternehmen mit kritischen Systemen und digitalen Lieferketten sollten proaktiv handeln:
- Zero-Trust-Architektur implementieren: Interne und externe Netzwerke segmentieren und alle Zugriffsversuche verifizieren – unabhängig vom Ursprungsort oder Nutzerstatus.
- Threat Intelligence mit geopolitischem Fokus nutzen: Nutzung von Anbieterplattformen wie Recorded Future, Mandiant oder Sekoia.io für aktuelle Bedrohungslagen, besonders aus Osteuropa.
- Red Teaming mit Osteuropa-Schwerpunkt durchführen: Simulation realistischer Angriffsszenarien auf Basis von TTPs russischer APT-Gruppen wie APT29, EvilCorp oder Killnet.
Zugleich wächst die Verantwortung der Gesetzgeber und Branchenverbände, international abgestimmte Initiativen zu schaffen. Das Budapest-Übereinkommen zur Cyberkriminalität bietet einen multilateralen Rahmen, muss aber konsequenter durchgesetzt werden – auch durch politische Druckmittel.
Fazit: Digitale Verantwortung und kollektive Widerstandsfähigkeit
Russland spielt im globalen Cybercrime-Gleichgewicht eine zentrale Rolle – sei es als Ausgangspunkt, Schutzraum oder Kooperationsdrehscheibe. Der Fall Ramp verdeutlicht einmal mehr, dass technische Expertise, kriminelle Energie und geopolitische Interessen in Russland eine besonders gefährliche Mischung bilden.
Nationale Alleingänge bei der Cyberabwehr reichen nicht mehr aus. Nur durch Kooperation, Wissenstransfer und proaktive Schutzmaßnahmen kann die digitale Souveränität gesichert werden. Organisationen sind daher aufgerufen, ihre Strategien ständig zu aktualisieren, grenzübergreifend zu denken – und Verantwortung zu übernehmen.
Diskutieren Sie mit: Wie können wir mit Staaten umgehen, die digitale Straftaten dulden oder fördern? Teilen Sie Ihre Meinung, Erfahrungen oder Lösungen mit der Community.
