Leak Bazaar will den bislang ungenutzten Wert gestohlener Datenberge erschließen, indem es das Material zu zielgerichteteren und potenziell gefährlicheren Informationen aufbereitet. Wie ein legitimer Datenverarbeiter verfolgt der Dienst das Ziel, aus großen, unübersichtlichen Datensätzen strukturierte, durchsuchbare Erkenntnisse zu machen.

Dass Kriminelle den Wert solcher Daten kennen, belegt für Will Lyne, Leiter für Wirtschafts- und Cyberkriminalität bei der Londoner Metropolitan Police, die Zerschlagung der Gruppe LockBit, an deren Bekämpfung er zuvor bei der britischen National Crime Agency mitwirkte. “Die Zerschlagung von LockBit hat bewiesen, dass die Gruppen die Daten nicht gelöscht haben, obwohl sie es versprochen hatten”, sagte Lyne. Er habe es immer für möglich gehalten, dass Kriminelle aus Ransomware-Operationen erbeutete Daten ausbeuten und daraus ein tragfähiges Geschäftsmodell machen könnten – es gebe gewaltige Mengen weitgehend ungenutzter Daten.

Die Risiken sieht Lyne in drei Bereichen: Angreifer erhielten mehr Druckmittel, um Unternehmen zur Zahlung zu zwingen; Folgestraftaten wie Betrug und Business E-Mail Compromise würden erleichtert; und – für ihn am beunruhigendsten – Kriminelle könnten Einzelpersonen direkt erpressen, indem sie mit der Veröffentlichung sensibler Daten drohen. Dieses letzte Szenario werde seit Langem diskutiert, sei aber selten in größerem Maßstab beobachtet worden. Strukturiertere Datensätze könnten zudem gezieltes Phishing oder Betrug vereinfachen.

“Die Frage ist dann: Was macht man mit all diesen Daten?”, sagte Harper. Vieles davon sei letztlich nutzlos; solche Dienste versuchten, es zu filtern, zu bündeln und relevanter zu machen, sodass die Qualität des Datenlecks tatsächlich steige. Das Modell spiegele breitere Veränderungen im Ransomware-Ökosystem wider: Durch den Druck der Strafverfolgung sei die Szene fragmentiert, immer mehr Akteure experimentierten mit neuen Wegen, Geld zu verdienen. Ob das Sperren von Systemen oder der Diebstahl von Daten besser funktioniere, hänge vom jeweiligen Opfer ab.

Ob ausgerechnet persönliche Daten der Schlüssel zu dieser Verschiebung sind, bleibt unklar. Trotz des Ausmaßes der Datendiebstähle gibt es kaum Belege dafür, dass Kriminelle persönliche Informationen systematisch und in großem Maßstab ausbeuten. Jamie MacColl vom Royal United Services Institute, der 2024 eine Studie zu den Schäden durch Ransomware veröffentlichte, sieht hier wenig kriminelles Monetarisierungspotenzial: Angreifer interessierten sich weit mehr für Unternehmensdaten, die sie zur Erpressung oder für den Zugang zu weiteren Systemen nutzen könnten.

Das entspreche der Ökonomie der Ransomware, die auf Masse setze: Die meisten Gruppen zielten auf eine große Zahl von Opfern und nähmen in Kauf, dass nur ein Bruchteil zahle. “Sie gehen davon aus, dass sie nicht jedes Mal Erfolg haben, aber wenn sie in 20 Prozent der Fälle erfolgreich sind, sind das immer noch zweistellige Millionenbeträge”, sagte MacColl. Datensätze einzeln tief zu analysieren, passe nicht zu diesem Modell.

Harper verweist auf denselben Zwang aus anderer Richtung: Der Aufwand, aus gestohlenen Daten Wert zu ziehen, sei enorm – Zugang verschaffen, wertvolle Daten finden, exfiltrieren und schließlich die Erpressung durchführen, oft ohne Bezahlung. Gescheiterte Verhandlungen seien häufig und ließen Gruppen mit großen, teuer zu speichernden Datenmengen zurück. Genau dort setzten Dienste wie Leak Bazaar an.

Neben der Ökonomie nennen die Fachleute praktische Hürden: Auch mit neuer KI-Technik erfordere die Verarbeitung großer Datensätze teure Infrastruktur, Rechenleistung und Bandbreite. Anders als auf klassischen Märkten, wo Käufer gestohlene Zugangsdaten testen könnten, verlange ein Dienst wie Leak Bazaar zudem ein hohes Maß an Vertrauen in einem grundsätzlich misstrauischen Umfeld. “Warum sich die ganze Mühe machen, wenn man mit dem, was im Ökosystem bereits verfügbar ist, leichter mehr Geld verdienen kann?”, fragte Lyne.

Vorerst bleibt das Konzept weitgehend unbewiesen. Der eigentliche Test komme, so Harper, mit dem ersten nachweisbaren Fall, der zeige, dass die Verarbeitung der Daten auch zu lohnenden Erträgen führe: “Worauf wir warten, ist das erste Opfer.” Lyne rechnet nicht damit, dass sich das Modell durchsetzt – “aber es fühlt sich an, als ob es kommt”.