BKA-Bericht Cybercrime: Ransomware beeinträchtigt die Funktion des Gemeinwesens

Das Bedrohungs- und Schadenspotenzial von Verschlüsselungstrojanern ist 2021 laut dem BKA erneut spürbar angestiegen. Ganze Lieferketten seien gefährdet.

Lesezeit: 6 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 63 Beiträge
Cyber,Hacker,Attack,Background,,Skull,Vector

(Bild: Titima Ongkantong/Shutterstock.com)

Von
  • Stefan Krempl

Ransomware war auch 2021 "die primäre, gesamtgesellschaftliche Bedrohung" im Bereich der Internetkriminalität. Das Potenzial von Verschlüsselungstrojanern sei dabei im vorigen Jahr nochmals "spürbar angestiegen". Zu diesem Schluss kommt das Bundeskriminalamt (BKA) in seinem am Montag veröffentlichten "Bundeslagebild Cybercrime 2021".

Die durchschnittlich erpressten Summen seien gegenüber 2020 um 21 Prozent auf 204.695 US-Dollar angestiegen. Der jährliche Schaden werde auf 24,3 Milliarden Euro geschätzt, während es 2019 noch 5,3 Milliarden gewesen seien. 2021 sei als "Jahr der Ransomware" geprägt gewesen von eklatanten Angriffen auf kritische Infrastrukturen, die öffentliche Verwaltung und internationale Lieferketten, heißt es in dem Bericht. Neben monetären Schäden beeinträchtigen derartige Angriffe so mittlerweile "auch die Funktionsfähigkeit des Gemeinwesens".

Als "herausragende Sachverhalte" nennt die Polizeibehörde in diesem Bereich etwa die Hackerattacke auf den US-Konzern Colonial Pipeline mit Versorgungsengpässen, den das FBI der Gang DarkSide (CarbonSpider) zuordne. Im Juli sei der IT-Dienstleister Kaseya durch einen Supply-Chain-Angriff als Distributor für den Erpressungstrojaner REvil missbraucht worden. Fast gleichzeitig habe ein Ransomware-Angriff durch die Bande Grief auf die Landkreisverwaltung Anhalt-Bitterfeld den ersten Cyber-Katastrophenfall in Deutschland ausgelöst. Dabei hat sich laut dem BKA inzwischen die "Double Extortion" als standardmäßiger Modus-Operandi etabliert. Hierbei erfolge die Erpressung durch Verschlüsselung der Systeme bei gleichzeitiger Drohung mit der Veröffentlichung abgeflossener, sensibler Daten. In 81 Prozent der eklatanten Fälle gingen die Cyberkriminellen so vor.

Insgesamt hat die Zahl erfasster Cyber-Straftaten 2021 einen neuen Höchstwert erreicht. Die Polizeiliche Kriminalstatistik (PKS) verzeichnet für voriges Jahr im Phänomenbereich Cybercrime im engeren Sinne, der etwa Identitätsdiebstahl sowie Malware-Angriffe einschließt, 146.363 Delikte. Dies entspricht einem Plus von 12,2 Prozent gegenüber 2020. Parallel ist die Gesamtzahl der in der PKS auftauchenden Straftaten 2021 im Vergleich zum Vorjahr aber um 4,9 Prozent zurückgegangen.

Demgegenüber steht auch eine umgekehrte Entwicklung im Bereich der Aufklärungsquote: Während diese im PKS-Durchschnitt leicht um 0,3 Prozent auf 58,7 Prozent angestiegen ist, sank sie bei allen Cyberdelikten um 2,7 Prozent auf 29,3 Prozent. "Dieser Trend ist unter anderem durch die zunehmende Digitalisierung der Gesellschaft, die verstärkte Anonymisierung im Netz und die komplexe Ermittlung und Attribuierung von vielfach im Ausland befindlichen Tätern bedingt", meint das BKA. Er stelle "eine besondere Herausforderung für alle mit Cybercrime befassten Dienststellen dar".

Auch bei DDoS-Angriffen registrierte das BKA 2021 erneut einen qualitativen und quantitativen Zuwachs. Insbesondere ihre Komplexität nehme weiter zu. Von dieser Art von Überlastungsattacken seien eine Vielzahl verschiedener Branchen betroffen gewesen. Neben Finanzdienstleistern, Hosting-Anbietern, Lern- und Impfportalen hätten voriges Jahr öffentliche Einrichtungen und – primär in der Vorweihnachtszeit – der E-Commerce im Fokus gestanden.

2021 habe auch wieder die zunehmende Anpassungsfähigkeit von Cybercrime-Akteuren demonstriert, ist dem Bericht zu entnehmen. Sie agierten mit zunehmender Professionalität und hochgradig arbeitsteilig nach dem "Crime-as-a-Service"-Modell. Zu den Haupteintrittsvektoren für Schadsoftware habe erneut "klassisches Phishing" gehört, das auch der Grund für den massenhaften Abgriff sensibler personenbezogener Daten gewesen sei.

Für das Eindringen in Systeme bedienten sich Cybergangster ferner etwa dem Wissen um vorhandene Zero-Day-Exploits und nicht geflickte Schwachstellen. Der Sektor ist dem Lagebild zufolge zudem weiter von einem "überdurchschnittlich großen Dunkelfeld geprägt, da Straftaten sehr häufig nicht angezeigt werden". Erst durch die Meldung an die Polizei sei es den Strafverfolgungsbehörden aber überhaupt möglich, hinreichend aktiv zu werden. Ohne eine solche Aufhellung blieben die meisten Cyberdelikte straffrei, förderten weiter die "Underground Economy" und bildeten die Basis für weitergehende Straftaten.

Auch Zusammenhänge zwischen einzelnen Taten könnten ohne Anzeigen nicht erkannt werden. Die Bekämpfung von Cybercrime will das BKA daher "als gesamtgesellschaftliche Aufgabe" verstanden wissen: "Repressive Maßnahmen, präventive IT-Sicherheitsvorkehrungen und eine ausreichende Awareness bei Bürgern und Unternehmen sollten einen ausgewogenen Dreiklang in diesem Deliktsfeld bilden." Eine enge und vertrauenswürdige Kooperation zwischen staatlichen Behörden und privaten Unternehmen sei dabei "Grundvoraussetzung für die Implementierung effektiver Maßnahmen zur Eindämmung der Cybercrime".

Trotz der schwierigen Umstände seien den Ermittlungsbehörden "auch im vergangenen Jahr regelmäßig bedeutende Schläge gegen die Kriminalität im Cyberraum gelungen", erklärt das BKA. Bekannte Beispiele seien die Abschaltungen der Emotet-Infrastruktur, des VPN-Dienstleisters vpnlab.net und des Hydra Market im Darknet. National seien vor allem der "Cyberbunkerprozess" mit einer erstmaligen Verurteilung nach Paragraf 129 Strafgesetzbuch (StGB) in diesem Gebiet sowie die ersten Ermittlungen gegen kriminelle Gruppierungen hervorzuheben, die sich über den Messenger-Dienst Telegram organisierten.

"Prägenden Einfluss" sowohl auf das Phänomen der Online-Kriminalität als auch dessen Bekämpfung "dürfte der russische Angriffskrieg gegen die Ukraine haben", wirft das Amt einen Blick nach vorn. Es handele sich "um die erste kriegerische Auseinandersetzung, die zu einem erheblichen Teil auch im Cyberraum geführt wird". Diese habe das Potenzial, "nach der Corona-Pandemie als weiterer Katalysator für Cybercrime zu wirken".

Neben der Nutzung beziehungsweise Werbung für eigene "IT-Armeen" sei eine "erhebliche Solidarisierung von hacktivistischen oder bisher unabhängigen Gruppierungen mit einer der Kriegsparteien festzustellen", ist den Autoren nicht entgangen. "Aktivitäten jener Akteure machen dabei häufig nicht an Ländergrenzen halt und können schnell Auswirkungen auf Unternehmen, kritische Infrastrukturen und auf staatliche Einrichtungen in nicht direkt am Krieg beteiligten Staaten haben."

(kbe)