Das Bundeskriminalamt (BKA) hat am 11. November sein Cybercrime Bundeslagebild veröffentlicht. Darin wertet die Behörde alle polizeilich erfassten Cyberdelikte des Jahres 2018 in Deutschland aus. Tatsächlich ergibt sich aus diesen Zahlen kein realistisches Bild über den deutschen Status quo in Sachen Cybercrime. Als Grundlage diente den Beamten die Polizeiliche Kriminalstatistik (PKS), die 2018 unter anderem folgende Zahlen registrierte:
87.106 Fälle von Cybercrime im engeren Sinne
271.864 Fälle von Straftaten mithilfe des Internets
61,4 Millionen Euro Schaden durch Computerbetrug und missbräuchlichen Nutzung von Telekommunikationsdiensten
723 Fälle von Phishing im Onlinebanking
Foto: Blackboard - shutterstock.com
Nur spezielle Verbrechen wurden erfasst
Mit Cybercrime im engeren Sinne sind Straftaten gemeint, die Datennetze, IT-Systeme oder deren Daten als Ziel haben. Darunter fallen:
Computerbetrug in Form von gefälschten Abrechnungen, Kreditbetrug, digitaler Fahrzeugdiebstahl etc.;
Ausspähen/Abfangen von Daten und Hehlerei mit gestohlenen Daten;
Datenfälschung und Täuschung bei der Datenverarbeitung;
Datenveränderung und Computersabotage;
missbräuchliche Nutzung von Telekommunikationsdiensten (Schwachstellen und schwache Zugangssicherung ausnutzen, um unberechtigt Zugang zu Systemen zu erlangen).
Computerbetrug machte laut der Statistik etwa drei Viertel aller Fälle von Cybercrime im engeren Sinne aus. Die Statistik erfasste jedoch nur die Schadenssummen von Computerbetrug (60,7 Millionen Euro) und des Missbrauchs von Telekommunikationsdiensten (400.000 Euro).
Ransomware und DDoS gelten als klassische Delikte
Unter Cybercrime im weiteren Sinne sind Straftaten zusammengefasst, bei denen Informations- und Kommunikationstechnik zum Einsatz kam, um Straftaten zu planen, vorzubereiten und auszuführen. Hier kommt das "Tatmittel Internet" ins Spiel. Davon spricht der Report, wenn das Internet bei der Umsetzung eine wesentliche Rolle spielte. Dazu zählen beispielsweise Erpressung im Zusammenhang mit DDoS-Attacken oder Abwicklung von illegalen Geschäften bei Online-Versandhäusern.
Die Schadenssummen für Cybercrime im weiteren Sinne wurden in der Statistik nicht erfasst. Erpressungen im Zusammenhang mit gezielten DDoS-Attacken oder Ransomware gelten als spezielle Art klassischer Delikte, in diesem Fall als Erpressung.
Die Zahlen im Kontext
Im Vergleich zu anderen Hochrechnungen für Schadenssummen in Deutschland klingen die vom BKA erhobenen Beträge sehr gering. Laut dem Digitalverband Bitkom erleidet die deutsche Wirtschaft durch digitale und analoge Angriffe jährlich 102,9 Milliarden Euro Schaden. Welchen Anteil an dieser Summe rein digitale Attacken ausmachen, konnte der Bitkom auf Nachfrage der COMPUTERWOCHE jedoch nicht beziffern. Allerdings gaben 70 Prozent der befragten Unternehmen an, einen digitalen Angriff erlebt zu haben.
Die durchschnittlichen Kosten für Cyberangriffe pro Unternehmen untersucht die von Accenture beim Ponemon Institute regelmäßig in Auftrag gegebene "Cost of Cybercrime"-Studie. Befragt wurden 289 Führungskräfte aus 40 deutschen Unternehmen. Demnach beliefen sich die Kosten 2018 im Schnitt auf 13 Millionen Euro pro Unternehmen. Hochgerechnet ergibt das für diese 40 Firmen allein bereits eine Summe von 520 Millionen Euro.
Hohe Dunkelziffer
Dem BKA ist die Diskrepanz zwischen den eigens erhobenen Daten und der erlebten Wirklichkeit in den Unternehmen bewusst. Der Bericht stellt fest, dass der tatsächliche monetäre Gesamtschaden durch Cybercrime nicht allein auf Basis der polizeilichen Kriminalstatistik festgestellt werden könne. Das liege zum einen an der engen Auswahl an erfassten Schadenssummen. Zum anderen bemerkten Unternehmen oft nicht, dass sie Opfer von Cyberkriminalität geworden sind, oder der Angriff kommt über das Versuchsstadium nicht hinaus. Des Weiteren sind eventuelle Folgeschäden schwer zu beziffern. Dazu zählen etwa Gewinnverluste durch Reputations- und Imageschäden.
Die Dunkelziffer sei auch deshalb hoch, weil Unternehmen die Delikte nicht anzeigten. Als Gründe dafür nennt der Bericht:
Es ist noch kein finanzieller Schaden entstanden oder der eingetretene Schaden wird beispielsweise von einer Versicherung reguliert.
Firmen wollen ihre Reputation im Kundenkreis nicht zu verlieren.
Geschädigte erstatten bei Ransomware-Angriffen nur dann Anzeige, wenn ihre Systeme trotz Lösegeldzahlung nicht entschlüsselt würden.
Laut BKA sollten Betriebe jede Tat zur Anzeige bringen. Für das Amt ergäben sich daraus nicht nur neue Ermittlungsansätze für eine effektivere Bekämpfung. Nur mit einer Anzeige sei es möglich, die Täter zu identifizieren und zu verfolgen. Es gelte, die Urheber der Cyberangriffe zu identifizieren, zu sanktionieren und weitere Angriffe zu verhindern. Die abschreckende Wirkung auf potenzielle Täter spiele dabei eine wichtige Rolle.
Unternehmen können Delikte bei der jeweiligen Landespolizei anzeigen. Dazu gibt es in jedem Bundesland eine zentrale Ansprechstelle für Cybercrime. Die Telefonnummern und E-Mail-Adressen sowie Handlungsempfehlungen der Polizei finden Unternehmen hier.