Cybercrime, vereinfacht formuliert: Straftaten, die mithilfe von moderner Informations- und Kommunikationsstrukturen verübt werden, sind seit Jahren ein florierender Sektor des globalen Verbrechens. Trotz steigender Fallzahlen muss man davon ausgehen, dass die Dunkelziffer nicht gemeldeter bzw. angezeigter Fälle von Internetkriminalität wesentlich höher liegt als die Zahl bekannter Fälle. So veröffentlichte der Digitalverband Bitkom im Herbst 2017 eine Untersuchung, wonach jeder zweite Internetnutzer bereits Opfer von Cybercrime wurde, aber nur 18 Prozent der Geschädigten hatten auch eine Anzeige bei der Polizei erstattet. 

Vor diesem Hintergrund sind die Zahlen der Polizeilichen Kriminalstatistik mit gewissen Einschränkungen zu betrachten. Das Bundeskriminalamt (BKA) stellte nun in Wiesbaden sein aktuelles „Cybercrime Bundeslagebild“ für 2017 vor. Darin wurden 85.960 Fälle von Cybercrime „im engeren Sinn“ erfasst, eine Steigerung um 4 Prozent gegenüber 2016. Gestiegen ist auch die Aufklärungsquote, sie liegt aktuell bei 40,3 Prozent. Zum Tatbild „Cybercrime im engeren Sinne“ gehören Delikte im Rahmen des Computerbetrugs (u. a. Datenklau bei Kreditkarten, Überweisungsbetrug oder Abrechnungsbetrug im Gesundheitswesen), Ausspähen, Abfangen und Hehlerei von Daten, Computersabotage, Datenveränderung, Fälschung von beweisrelevanten Daten und noch einiges mehr. 

Der „typische“ Täter ist dabei deutsch, männlich und zwischen 21 und 39 Jahren alt: Von den insgesamt 22.296 Tatverdächtigen aus dem Jahr 2017 waren 68 Prozent männlich, 77 Prozent besaßen die deutsche Staatsangehörigkeit und 58 Prozent sind im genannten Altersfenster. Nach den deutschen Staatsbürgern sind türkisch, rumänisch und polnisch die meistvertretenen Nationalitäten. Dabei ist vom Einzeltäter, der im alleine daheim programmiert, bis hin zu international organisierten Gruppen eine heterogene Tätergruppe vertreten. Das Spektrum reicht bis zu kriminellen Marktplätzen, wo „Cybercrime-as-a-Service“-Modelle florieren und entsprechende Produkte und Services in einer „Underground Economy“ angeboten werden.

Die bekannte Schadensumme stieg von 50,9 Mio. Euro 2016 auf nunmehr 71,4 Mio. Euro, wobei die Summe pro Fall bei unveränderten 4.000 Euro blieb. Das Hauptbeschäftigungsfeld der Internet-Kriminellen ist die digitale Erpressung, sprich die Verbreitung von Ransomware, wobei Daten verschlüsselt werden bzw. der Zugriff darauf verwehrt wird und nur gegen Zahlung von Lösegeld – meist in digitalen Währungen –eine Freigabe erfolgt. Das BKA zitiert in diesem Zusammenhang eine Studie des BSI, wonach im letzten Jahr 70 Prozent der befragten Wirtschaftsunternehmen in Deutschland von Cyber-Angriffen betroffen waren. Außerdem wurden viele weitere Arten von Schadsoftware registriert, wie Keylogger, Spyware und Banking-Trojaner.

Das BKA hat für die Erstellung des aktuellen Lagebilds intensiv mit dem G4C zusammengearbeitet. Das German Competence Centre against Cyber Crime e.V. ist ein Zusammenschluss, in dem neben dem BKA und dem BSI Banken (Commerzbank, ING-DiBa, HVB und KfW) auch Computer- und Softwareunternehmen sowie der Kölner Bank-Verlag ihre Erkenntnisse im Kampf gegen Internetkriminalität vernetzen. Diese Zusammenarbeit trug zu einer qualitativen Verbesserung des diesjährigen Lagebilds bei. 

Auffällig ist der massive Anstieg bei mobiler Malware. Bei einer flächendeckenden Verbreitung von Smartphones und Tablets, die ständig online sind und E-Commerce-Aktivitäten ebenso abwickeln wie Transaktionen im Online-Banking, sind diese Geräte ein attraktives Angriffsziel für Kriminelle. G4C-Mitglied Symantec analysierte eine Zunahme von mobiler Malware um 54 Prozent im letzten Jahr mit 27.000 bekannten Varianten. Das BSI bestätigt diese Tendenz. Die größte Schwachstelle sind die Nutzer selbst, die Apps aus unseriösen Quellen installieren, Sicherheitsupdates nicht ausführen und ihre Daten nicht genügend schützen und so den Cybergangstern den Angriff leicht machen.

Eine erfreuliche Veränderung zeigte sich im Bereich Phishing im Online Banking. Die Fallzahl sank im letzten Jahr um 34 Prozent auf 1.425 Fälle, das ist der niedrigste Stand seit fünf Jahren und bestätigt eine auch von Europol bereits festgestellte Tendenz. Außerdem darf man für diesen Deliktbereich davon ausgehen, dass das Dunkelfeld sehr gering ist. Der betrogene Kunde hat ein starkes Interesse, den Fall bei der Polizei anzuzeigen, denn nur in diesem Fall erstatten die Banken den durch das Phishing entstandenen Schaden. 

Kampf der Banken erfolgreich – BaFin kündigt weitere Sicherheitstests an 

Die Banken sind maßgeblich verantwortlich für den Rückgang dieser Angriffe. Sie haben die Möglichkeiten zum Entdecken solcher Angriffe konsequent weiterentwickelt und verfeinert und dabei auch Erkennungsmöglichkeiten zur Abwehr von malwarebasierten Abgriffen beim Online Banking installiert. Sie hatten viele Anforderungen aus den BAIT (Bankaufsichtliche Anforderungen an die IT) bereits antizipiert.  

Im Rahmen einer BAIT-Konferenz in Frankfurt kündigte BaFin-Exekutivdirektor Raimund Röseler am gleichen Tag in Frankfurt an, künftig noch stärker auf die Effektivität von Schutzmaßnahmen und auf geeignete Krisenreaktionsmechanismen zu achten. Die Behörde überlege, mit umfangreichen Sicherheitstests („Penetrationstests“) die IT-Sicherheitssysteme der Banken auf Herz und Nieren zu testen, denn: „Software- oder Hardwarestörungen und Mängel in der ‚Cyber-Hygiene‘ sind viel häufiger die Ursache von Sicherheitsvorfällen als Attacken von außen“, so Röseler.

Ebenfalls im Fokus von Cyber-Angriffen stehen die Betreiber Kritischer Infrastrukturen. Das potenziell hohe Schadenniveau, das beim Ausfall dieser Strukturen droht, ist nicht nur finanziell erheblich, sondern auch für politisch motivierte Täter interessant. KRITIS-Unternehmen sind nach dem IT-Sicherheitsgesetz verpflichtet, festgestellte Vorfälle an das BSI zu melden. Dem Bundesamt für Sicherheit in der Informationstechnik lagen bis zum 30. Juni 2017 insgesamt 34 Meldungen vor, Schwerpunkt dabei war der Sektor Informationstechnik und Telekommunikation. 

Die komplette Statistik finden Sie hier »

Artikelbild: ©iLexx | istockphoto.com