Im Dark Web hat sich ein eigenständiger Jobmarkt etabliert, in dem überwiegend Tätigkeiten mit Bezug zu Cyberkriminalität angeboten und nachgefragt werden. Eine Analyse des Kaspersky Digital Footprint Teams zeigt, dass sich die Zahl der veröffentlichten Lebensläufe und Stellenangebote zwischen Q1 2023 und Q1 2024 etwa verdoppelte und im Q1 2025 auf hohem Niveau stabil blieb. [...]
Die Untersuchung stützt sich auf mehrere Tausend jobbezogene Beiträge in einschlägigen Untergrundforen, in denen Nutzer entweder Lebensläufe (CVs) oder Stellenangebote veröffentlichen. Im Jahr 2025 überwiegen mit 55 Prozent die Lebensläufe gegenüber 45 Prozent Stellenanzeigen, was auf ein Überangebot an potenziellen Arbeitskräften im illegalen Sektor hinweist. Kaspersky führt diesen Trend unter anderem auf globale Entlassungswellen sowie einen Zustrom jüngerer Bewerber zurück.
Auffällig ist das Altersprofil der Jobsuchenden: Das mittlere Alter liegt bei lediglich 24 Jahren, wobei in den Foren eine klar erkennbare Präsenz von Teenagern sichtbar wird. Nach Angaben der Analysten gibt es auch einige legitime Positionen, der überwiegende Teil der ausgeschriebenen Rollen ist jedoch direkt mit Cyberkriminalität oder anderen illegalen Aktivitäten verknüpft.
Offene Rollenprofile und Geschlechterunterschiede
Laut Analyse geben 69 Prozent der Jobsuchenden kein bevorzugtes Tätigkeitsfeld an und signalisieren damit ausdrücklich die Bereitschaft, grundsätzlich jede bezahlte Aufgabe zu übernehmen. Dazu zählen einfache Betrugsschemata ebenso wie programmiertechnische Arbeiten oder Beteiligung an komplexen Cyberoperationen.
In den Lebensläufen zeigen sich zudem geschlechtsspezifische Muster: Bewerberinnen konzentrieren sich laut Kaspersky häufiger auf Rollen mit starkem zwischenmenschlichem Kontakt, etwa im Support, in Callcentern oder in technischen Assistenzfunktionen. Männliche Bewerber orientieren sich dagegen eher an technischen und finanzkriminellen Tätigkeiten, etwa als Entwickler, Geldboten oder Koordinatoren entsprechender Strukturen.
Gefragte Rollen im Untergrund
Die Analyse beschreibt ein differenziertes Rollenbild, das einer etablierten Schattenökonomie ähnelt. Besonders gefragt sind Entwickler, die Angriffstools programmieren und 17 Prozent der ausgeschriebenen Stellen ausmachen. Hinzu kommen Penetrationstester (Pen-Tester), die Netzwerke systematisch auf Schwachstellen prüfen und 12 Prozent der Stellen abdecken.
Weitere gesuchte Profile sind Geldwäscher (11 Prozent), die unrechtmäßig erlangte Gelder über verschachtelte Transaktionen in den legalen Finanzkreislauf überführen, sowie sogenannte Carder (6 Prozent), die gestohlene Zahlungsdaten missbrauchen und monetarisieren. Ebenfalls vertreten sind Traffer (5 Prozent), die potenzielle Opfer auf Phishing-Seiten lenken oder zu infizierten Downloads verleiten und damit Angriffsketten initiieren.
Gehaltsstrukturen und Gewinnbeteiligung
Die Vergütung variiert deutlich nach Spezialisierung und spiegelt die Knappheit bestimmter Fähigkeiten im Schattenökosystem wider. Reverse-Engineering-Spezialisten, die Software und Schutzmechanismen analysieren und auseinandernehmen, erzielen mit durchschnittlich über 5.000 US-Dollar pro Monat die höchsten Einkommen. Penetrationstester folgen mit rund 4.000 US-Dollar, während Entwickler trotz hoher Nachfrage im Mittel etwa 2.000 US-Dollar monatlich erhalten.
Ergänzend zu Fixgehältern spielen Gewinnbeteiligungen eine wichtige Rolle, insbesondere bei Betrugsdelikten. Geldwäscher erhalten demnach im Schnitt rund 20 Prozent des Teamergebnisses, Carder etwa 30 Prozent und Traffer rund 50 Prozent des Gesamterlöses. Diese Anteile verdeutlichen, dass seltene und unmittelbar umsatzrelevante Fähigkeiten überproportional vergütet werden.
Schattenarbeitsmarkt als Alternative zum regulären Job
Der Bericht zeichnet das Bild eines Schattenarbeitsmarkts, der zunehmend Menschen anspricht, die in der offiziellen Wirtschaft Schwierigkeiten haben, eine Beschäftigung zu finden. „Der Schattenarbeitsmarkt im Dark Web ist längst kein Randphänomen mehr; er zieht entlassene Angestellte, technikaffine Teenager und hochqualifizierte Fachkräfte gleichermaßen an“, sagt Alexandra Fedosimova, Digital Footprint Analyst bei Kaspersky.
Viele Bewerber gingen davon aus, dass sich dieser Markt in seiner Funktionsweise kaum von der legalen Arbeitswelt unterscheide, so Fedosimova. Fähigkeiten würden stärker gewichtet als formale Abschlüsse, Rückmeldungen erfolgten teils innerhalb von 48 Stunden und klassische HR-Prozesse spielten kaum eine Rolle. „Was jedoch häufig übersehen wird, sind die erheblichen strafrechtlichen und langfristigen persönlichen Konsequenzen einer cyberkriminellen Tätigkeit im Dark Web“, warnt Fedosimova.
Risiken für Jugendliche und Arbeitslose
Die relativ niedrige Einstiegsschwelle und die Aussicht auf vergleichsweise hohe Einkommen wirken insbesondere auf Jugendliche und arbeitslose Bewerbergruppen anziehend. Kaspersky weist darauf hin, dass viele junge Menschen das rechtliche Risiko unterschätzen und kurzfristige finanzielle Vorteile über langfristige Konsequenzen für Karriere und Strafregister stellen. Eltern und Erziehungsberechtigte sollten daher aufmerksam auf vermeintliche Jobangebote in sozialen Netzwerken und Messengern reagieren.
Die Empfehlung lautet, auffällige Beiträge und dubiose Jobversprechen den Eltern oder direkt den zuständigen Behörden zu melden. Ein vermeintlich hoher Lohn könne die Gefahr strafrechtlicher Verfolgung und nachhaltiger Reputationsschäden nicht aufwiegen.
Implikationen für Unternehmen
Für Unternehmen stellt der wachsende Schattenarbeitsmarkt im Dark Web ein zusätzliches Risiko dar, da dort Rekrutierung für Rollen erfolgt, die in komplexen Angriffsketten eine zentrale Funktion einnehmen. Dazu zählen insbesondere Geldboten und Carder, die als Einstiegspunkte für weitergehende Angriffe auf Unternehmensnetze fungieren können.
Kaspersky empfiehlt Organisationen, Mitarbeiter regelmäßig zu schulen, um Phishing-Versuche und verdächtige Links besser zu erkennen. Zudem sollten Unternehmen Monitoring-Lösungen einsetzen, die Surface-, Deep- und Dark-Web-Ressourcen abdecken und Hinweise auf kompromittierte Zugangsdaten, Erwähnungen des Unternehmens oder Aktivitäten bekannter Bedrohungsakteure liefern.
Be the first to comment