Bundeslagebild Cybercrime: Die Lunte brennt – angezündet wird oft ganz woanders
Phishing, Ransomware und DDoS bleiben die größten Geißeln von Cyberkriminellen, sagt das BKA. Das BSI vergleicht das mit vielen Lagerhäusern voll mit Dynamit.
Das Bundeskriminalamt (BKA) gibt keine Entwarnung an der Cyberfront. Die von der Behörde erfassten Straftaten im Bereich Cyberkriminalität liegen weiter auf dem seit Jahren konstatierten "hohen Niveau", geht aus dem am Montag veröffentlichten Bundeslagebild Cybercrime 2023 hervor. Das zeigt sich demnach vor allem mit Blick auf Straftaten gegen das Internet, weitere Kommunikationsnetze, IT-Systeme und Daten, die zu Schäden in Deutschland führen, aber aus dem Ausland oder von einem unbekannten Ort aus verübt werden. Die Zahl dieser sogenannten Auslandstaten steigt seit ihrer Erfassung im Jahr 2020 kontinuierlich an – 2023 um 28 Prozent gegenüber dem Vorjahr.
Das BKA gibt in dem Bericht nur einen Indexwert für solche Cybercrime-Delikte an. Absolute Zahlen sollen in Abstimmung mit den Ländern erstmals für das Berichtsjahr 2024 publiziert werden. Schon jetzt gibt die Behörde aber bekannt, dass die Menge der Auslandstaten erneut die der Inlandstaten übersteigt, bei denen Deutschland "Handlungs- und Schadensort" ist. Die Summe letzterer ist gegenüber 2022 leicht um 1,8 Prozent auf 134.407 Fälle gesunken. Bei 82 Prozent davon handelt es sich um Computerbetrug. Es folgen Fälschungen und Täuschungen mit Daten sowie deren Ausspähung nebst Datenhehlerei mit je 8 Prozent. Die Aufklärungsquote im Inland ist mit 32 Prozent leicht angestiegen. Im Vorjahr lag sie bei rund 29 Prozent.
Laut dem Branchenverband Bitkom entstehen der deutschen Wirtschaft mittlerweile pro Jahr 206 Milliarden Euro Schäden durch Diebstahl von IT-Ausrüstung und Daten sowie digitale und analoge Industriespionage und Sabotage. Rund drei Viertel (72 Prozent) aller Unternehmen hierzulande seien davon betroffen. Inzwischen entfallen davon 148 Milliarden Euro, also 72 Prozent, auf reine Cyberangriffe. 2021 lag der Anteil noch bei 59 Prozent. 48 Prozent der hiesigen Firmen befürchteten, dass eine erfolgreiche Cyberattacke bei ihnen existenzgefährdend sein könnte.
Takedowns von Infrastruktur als Gegenmittel
Als häufig genutztes Einfallstor nennt das BKA erneut Phishing. Cybergauner setzten dabei vielfach auf "zeitkritische oder emotionalisierende Inhalte", um Druck auf die Empfänger auszuüben und diese zu Aktivitäten wie dem Öffnen von Anhängen zu verleiten. Als wichtige Eintrittsvektoren beschreibt die Behörde auch "Initial Access Broker", die anderen Kriminellen Zugang zu IT-Systemen verschaffen. Sie seien ein Beispiel für Angebote der arbeitsteiligen "Underground Economy", die ihre kriminellen Dienstleistungen inzwischen in einem industriellen Maßstab nach dem Modell Cybercrime as a Service anbiete. In diesem Kontext seien zudem bislang unbekannte Zero-Day-Schwachstellen sowie spezifische Malware-Varianten hervorzuheben.
Insgesamt war die hohe Bedrohungslage dem Lagebild zufolge 2023 geprägt von hacktivistischen DDoS-Kampagnen und einer Vielzahl an Ransomware-Angriffen, die teils weitreichende Auswirkungen auf IT-Lieferketten hatten. Als Top 5 der Erpresser-Trojaner listet das BKA dieses Mal LockBit, Phobos, BlackBasta, Akira und BlackCat auf. Künstliche Intelligenz (KI) könnte im Bereich Cybercrime als Katalysator wirken und einen enormen Anstieg auslösen. Dieselben Fähigkeiten seien aber auch in der Lage, zur Stärkung der IT-Sicherheit beizutragen, also etwa Phishing, Malware und Angriffsversuche frühzeitig zu erkennen.
Die oft nur lose verbundene Täterschaft ist laut dem Bericht "nicht nur im Bereich Ransomware weltweit verteilt". Sie befinde sich "zudem häufig in Staaten, in denen sie geduldet oder sogar geschützt" werde. Polizeiliche Maßnahmen gegen die von den Tätern genutzte und für Strafverfolgungsbehörden erreichbare Infrastruktur bildeten daher neben personellen Ermittlungen "eine effektive Strategie, um der Cyberkriminalität nachhaltiger zu begegnen". BKA-Präsident Holger Münch verwies dabei vor allem auf den erfolgreichen Zugriff auf die Serverinfrastruktur des Bitcoin-Mixers Chipmixer, durch den der Untergrund-Ökonomie 90 Millionen Euro entzogen worden seien.
Ständige Jagd nach Befugnissen
Teils habe das BKA Maßnahmen nicht umsetzen können, da primär die Polizeien der Länder zuständig seien, monierte Münch. Die Zuständigkeit für die Abwehr schwerwiegender Cybergefahren sollte künftig beim Bund liegen. Er appellierte zudem an Firmen und Bürger, Cyberstraftaten anzuzeigen. Bisher erfolge das in über 90 Prozent der Fälle nicht.
Ransomware-Familien verglich Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), "superstark vereinfachend" mit einem Angreifer, der eine Dynamitstange in ein Lagerhaus lege. Die Lunte reiche dabei "ganz weit", teils "bis nach Russland". Werde nun ein Kommandozentrum für solche Schadsoftware zerstört, machten die Verfolger damit quasi das Streichholz kaputt. Das hiesige Notfallzentrum CERT-Bund benachrichtige pro Tag allein in Deutschland bis zu 20.000 betroffene Opfer, weltweit 400.000. Diese müssten alle ihre Server vom Netz nehmen und so die Lunte durchschneiden. Nötig seien generell Gegenmaßnahmen wie Patching, Authentifizierung, Backups und Prävention.
Bundesinnenministerin Nancy Faeser (SPD) nutzte die Gelegenheit, um erneut für eine Vorratsspeicherung von IP-Adressen vor allem im Kampf gegen Darstellungen sexuellen Kindesmissbrauchs zu werben. Das Lagebild bezieht sich aber gar nicht auf "Cybercrime im weiteren Sinne", zu dem laut BKA Grooming "oder die Verbreitung von Kinderpornografie" gehören. IT-Sicherheitsexperte Manuel Atug sieht die Sicherheitsbehörden und die Politik so in dem "ewigen Konflikt" gefangen, immer mehr Befugnisse zum Jagen von Tätern zu fordern, statt Deutschland und IT-Systeme wirklich defensiv abzusichern und Schwachstellen konsequent schließen zu lassen. Der Ruf der Wirtschaft nach Regulierung zeige zudem, dass die sonst ständig gepredigte Selbstregulierung versage und Unternehmen von sich aus viel zu wenig für IT-Security täten.
(olb)