Cyberkriminalität bleibt in Deutschland auf hohem Niveau. Im vergangenen Jahr registrierte die Polizei 136.865 Fälle von Cybercrime und damit 6,5 Prozent weniger als 2021. Dies spiegelt die Entwicklung aber nicht genau wider. Denn zugleich nahm die Zahl von Cyber-Straftaten, die aus dem Ausland heraus begangen wurden und in Deutschland einen Schaden verursachten, um acht Prozent im Vergleich zum Vorjahr zu. Das geht aus Bundeslagebild Cybercrime 2022 hervor, das das Bundeskriminalamt (BKA) am Mittwoch veröffentlicht hat.

Anzeige

Die Aufklärungsquote für Cybercrime im Inland bewegt sich demnach mit circa 29 Prozent auf dem Niveau des Vorjahres, im Ausland liegt sie deutlich darunter im unteren einstelligen Bereich.

Schadenssummen durch Ransomware deutlich gesunken

Laut der um diverse externe Quellen angereicherten Sonderauswertung der Polizeilichen Kriminalstatistik (PKS) gehört Cyberkriminalität weiter zu den Phänomenbereichen mit dem höchsten Schadenspotenzial in Deutschland. Die Cybercrime-Schäden in Deutschland beliefen sich laut dem Wirtschaftsschutzbericht 2022 des IT-Verbands Bitkom auf 203 Milliarden Euro. Das sind deutlich weniger als 2021 mit einem Rekordwert von 223 Milliarden Euro. Vor allem die Schadenssumme durch Erpressung mit gestohlenen oder verschlüsselten Daten ist von 24 auf 11 Milliarden Euro gesunken. Trotzdem ist die Gesamtzahl noch rund doppelt so hoch wie 2019.

Schwerpunkt des Bundeslagebilds sind Delikte, die sich gegen das Internet und IT-Systeme richten – die sogenannte Cyberkriminalität im engeren Sinne. Außen vor bleiben Straftaten, die mit IT-Einsatz begangen werden und bei denen das Internet vorwiegend Tatmittel ist.

Cybercrime: Dunkelfeld wird auf bis zu 90 Prozent geschätzt

Die rückläufige Entwicklung der einschlägigen Fallzahlen im Inland begründet das BKA mit der Lockerung der Coronaschutzmaßnahmen: Während die starke Zunahme des Onlinehandels und des mobilen Arbeitens in den Vorjahren zusätzliche Angriffsmöglichkeiten für Cybertäter boten, verlagerten sich 2022 Teile des Kriminalitätsgeschehens wieder zurück in die analoge Welt.

Anzeige

Die PKS weise nur das Hellfeld der von der Polizei registrierten Straftaten aus, gab BKA-Vizepräsidentin Martina Link bei der Präsentation des Berichts in Wiesbaden zu bedenken. Das Dunkelfeld werde bei Cybercrime auf bis zu 90 Prozent geschätzt, die Ermittler erführen also nur von zehn Prozent der Delikte. Cyberkriminalität habe sich "zu einem Wirtschaftszweig" entwickelt. Die Täter passten sich ständig an technische und gesellschaftliche Entwicklungen an. Dabei spiele "Cybercrime as a Service" eine wichtige Rolle: Über solche Angebote könnten auch Kriminelle, die keine eigenen Hackerfähigkeiten haben, die erforderlichen Instrumente im Darknet erstehen.

Ransomware hat größtes Schadenspotenzial – dank KI

Das nach wie vor größte Schadenspotenzial habe Ransomware, berichtete Link. Dabei würden Verschlüsselungstrojaner oft über Phishing-Seiten auf die Rechner der Opfer gespielt. Diese Angriffe "werden zunehmend überzeugend und zielgerichteter erstellt". Dabei spiele offenbar auch die Entwicklung der Künstlichen Intelligenz (KI) mit allgemein verfügbaren Diensten wie ChatGPT offenbar eine wichtige Rolle. 2022 sei pro Tag mindestens ein deutsches Unternehmen mit entsprechender Malware angegriffen worden. Seit Ende 2022 seien verstärkt der Bildungs- und Forschungssektor Ziel.

Als Top 5 der Ransomware listet das BKA LockBit, Phobos, Deadbolt, BlackCat beziehungsweise AlphV und Hive auf. Die Arbeitsteilung innerhalb einer Cybercrime-Gruppierung vergleicht es mit der Struktur eines mittelständischen Unternehmens mit rund 30 bis 100 Mitarbeitern. Häufig betrieben etablierte Banden wie LockBit, BlackBasta und Conti zusätzlich "Dedicated Leak Sites" (DLS) im Darknet, um zuvor erbeutete Daten der Geschädigten bei Nichtzahlung zu veröffentlichen ("Double Extortion"). Auswertungen großer DLS zeigten, dass 2022 137 Unternehmen mit Sitz in Deutschland darüber erpresst worden seien. Damit sei die Bundesrepublik nach den USA und Großbritannien am dritthäufigsten betroffen gewesen.

DDoS-Angriffe seltener – aber sehr viel früher auf kritischem Niveau

Das Lagebild verzeichnet zudem unter anderem zahlreiche Überlastungsangriffe auf Institutionen in Deutschland. Entsprechende DDoS-Attacken treten demnach quantitativ zwar mit rund 2172 pro Monat geringer auf und dauern mit durchschnittlich 53 Minuten kürzer, erreichen aber sehr viel früher ein kritisches Niveau: Der durchschnittliche Bandbreiten-Peak lag bei 2,9 GBit/s. Vor allem Hacktivisten etwa aus Russland solidarisierten sich mit Kriegsparteien und setzten vorrangig auf DDoS-Angriffe, erklärte Link. Auch diese hätten teils zu erheblichen Schäden in Deutschland geführt. Digitale Angriffe auf Geldautomaten sind hierzulande dagegen stark zurückgegangen. Diese verfügen dem Bericht nach mittlerweile größtenteils über aktuelle Firmware, was Jackpotting-Angriffe erschwere.

Einer begleitenden Unternehmensumfrage durch den Bitkom zufolge erwarten 63 Prozent der Befragten einen Cyberangriff in den kommenden 12 Monaten, aber nur 43 Prozent sieht sich gut genug dafür gerüstet. Zugleich befürchten 48 Prozent, dass bei einer erfolgreichen Cyberattacke ihre Existenz bedroht sein könnte. 91 Prozent fordern daher eine bessere Ausstattung der Strafverfolgungsbehörden, 90 Prozent mehr Befugnisse für die Polizei. 80 Prozent gehen davon aus, dass den Ermittlern die nötigen Fähigkeiten im Bereich Cybercrime noch fehlen. Ebenso viele plädieren für den polizeilichen Einsatz neuer Technologien wie KI.

Internationale Strafverfolgung problematisch

Vor allem der hohe Anteil an Auslandstaten stelle die Behörden vor "große Herausforderungen", räumt das BKA ein. So fehlten in der digitalen Welt häufig geeignete Ermittlungsansätze zur Täteridentifizierung. Zugleich könnten juristische Hürden und mangelnde Kooperationsbereitschaft im Ausland die Strafverfolgung teils sogar gänzlich verhindern. Dies verschaffe Cybertätern einen Rückzugsraum.

Zur umfassenden Bekämpfung von Cyberkriminalität will das BKA daher verstärkt auf die Zerschlagung krimineller Infrastrukturen abzielen. Der "Takedown" der Darknet-Plattform Hydra Market, das Abschalten von DDoS-Booter-Diensten durch die Operation Power Off und die Zerschlagung von Emotet zeigten, dass eine Wiederinbetriebnahme hier in der Regel kurzfristig nicht möglich und für die Täter sehr "teuer" sei. Dazu komme der Zugriff auf illegale Gewinne der Banden. Beide Elemente vereint habe der erfolgreiche Zugriff auf die Serverinfrastruktur des Bitcoin-Mixers Chipmixer im März.

"Zuständigkeit für die Gefahrenabwehr"

Bestätigt sieht sich die Behörde mit ersten Zahlen nach der Einführung des neuen Straftatbestands zum Betreiben krimineller Handelsplattformen im Internet mit Paragraf 127 Strafgesetzbuch (StGB). Bemerkenswert an den Daten dazu sei, dass zehn der 13 registrierten Fälle aufgeklärt werden konnten, was einer Quote von 76,9 Prozent entspricht.

Link forderte, für das BKA zusätzlich eine "Zuständigkeit für die Gefahrenabwehr" zu schaffen, die unter dem Stichwort der umstrittenen Hackbacks diskutiert wird. BKA-Chef Holger Münch kündigte an, massiv aufstocken und Hunderte Stellen neu besetzen zu wollen. Der innenpolitische Sprecher der FDP-Fraktion, Manuel Höferlin, betonte, die Ampel-Koalition treibe den strukturellen Umbau der IT-Sicherheitsarchitektur voran. Sie werde die Cybersicherheitsstrategie und das IT-Sicherheitsrecht anpassen und das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer zentralen und unabhängigen Stelle ausbauen. Bitkom-Präsident Ralf Wintergerst mahnte Schulungen auf allen Seiten an. Firmen sollten einen Notfallplan erstellen, falls Festplatten "abgesperrt" würden und IT-Systeme nicht mehr für die Produktion nutzbar seien.

(bme)