Das organisierte Ökosystem „The Com” ist ein Netzwerk von überwiegend in Nordamerika ansässigen Cyberkriminellen, das sich in drei Funktionsbereiche unterteilt: das „IRL Com” (für physische Anschläge wie Überfälle und Brandstiftung), das „Extortion Com” (für Erpressung, Grooming und Sextortion von Kindern) und das „Hacker Com” (für Unternehmensbreaches und weitere Cybercriminalität). Entgegen der oft fragmentierten Wahrnehmung von Ermittlungsbehörden sind diese Bereiche stark miteinander verflochten und nicht voneinander isoliert.
Die Sicherheitsforscherin Allison Nixon von Unit 221B, die The Com seit 15 Jahren verfolgt, weist auf die verheerenden Konsequenzen dieser Überschneidungen hin: „Jeder durchschnittliche Hacker aus The Com hat eine deutlich höhere Wahrscheinlichkeit, Kindesmissbrauchsmaterial zu besitzen oder dessen Erstellung zu erzwingen, als Sextortionisten haben eine höhere Wahrscheinlichkeit für Betrugstaten.” Die Einnahmen aus Hacker-Aktivitäten werden systematisch in die kriminelle Infrastruktur zurückfließen — zur Bezahlung von IT-Ressourcen und zur Finanzierung physischer Anschläge gegen Konkurrenten oder Ziele.
Die Rekrutierungsstrategie dieser Gruppen ist besonders beunruhigend: Sie werben gezielt aus Gaming-Communities und sozialen Medien ab, häufig mit Fokus auf junge Menschen. Opfer von Sextortion werden oft zu Tätern indoktriniert und in das kriminelle Netzwerk verstrickt — ein Radikalisierungsprozess, der junge Menschen in „eine furchtbare Welt aus Leid und Elend” zieht.
Aus Sicht des Datenschutzes und der Cybersicherheit offenbaren sich hier neue Dimensionen: Deutsche Unternehmen, die ihre Cloud-Infrastruktur nicht ausreichend sichern, tragen unwissentlich zur Finanzierung von Verbrechen bei, die über die reine Datenkompromittierung hinausgehen. Das BSI und der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) sollten dies als zusätzliches Argument für strengere Compliance-Anforderungen im Umgang mit SaaS-Plattformen bewerten.
Zwar hat die bekannte Gruppe Scattered Spider seit dem Anschlag auf Jaguar Land Rover operativ weniger sichtbar agiert, doch Experten warnen vor Trugschlüssen: Diese Akteure arbeiten parallel für mehrere Gruppen und wechseln je nach Erfolgschancen. Neue Taktiken und Techniken entstehen „ständig”. Besonders besorgniserregend ist die wachsende Fähigkeit dieser Netzwerke, physische Assets gezielt zu mobilisieren — um Jugendliche aus ihren kriminellen Netzwerken zu Überfällen, Einbrüchen oder zur Manipulation von Wi-Fi-Verbindungen zu entsenden.