Zentrale Erkenntnisse des Bundeslagebilds Cybercrime 2023
- Straftaten im Bereich Cybercrime liegen in Deutschland weiter auf einem hohen Niveau. Das zeigt sich insbesondere mit Blick auf Cyberstraftaten, die zu Schäden in Deutschland führen, jedoch aus dem Ausland oder von einem unbekannten Ort aus verübt werden. Die Zahl dieser sogenannten Auslandstaten steigt seit ihrer Erfassung im Jahr 2020 kontinuierlich an – 2023 um 28% gegenüber dem Vorjahr. Die Zahl der Auslandstaten im Phänomenbereich Cybercrime übersteigen damit erneut die der Inlandstaten, also jene Cyberstraftaten, bei denen Deutschland gleichermaßen Handlungs- und Schadensort ist. Die Inlandstaten stagnieren auf hohem Niveau (134.407 Fälle bzw. -1,8% gegenüber 2022).
- Cybercrime richtet jedes Jahr einen hohen wirtschaftlichen Schaden an. Laut Erhebung des Branchenverbandes Bitkom e. V. lagen die im Jahr 2023 direkt durch Cyber-Angriffe verursachten gesamtwirtschaftlichen Schäden bei 148 Milliarden Euro.
- Die Aufklärungsquote bei den Cybercrime-Delikten ist 2023 um drei Prozentpunkte angestiegen und liegt nun bei 32,2 Prozent.
Inlandstaten
Die Zahlen der sogenannten Inlandstaten basieren auf der Polizeilichen Kriminalstatistik. Dabei handelt es sich um Cyberstraftaten, die in Deutschland verübt werden und Schäden in Deutschland verursacht haben. Für ein umfassendes Bild, müssen zur Beurteilung der Lage aber auch die Auslandstaten berücksichtigt werden.
Auslandstaten
Hierbei handelt es sich um Cyberstraftaten, die aus dem Ausland oder von einem unbekannten Ort aus verübt werden und zu Schäden in Deutschland führen.
Cybercrime im engeren Sinne
Das Bundeslagebild Cybercrime befasst sich mit „Cybercrime im engeren Sinne“. Dabei handelt es sich um Straftaten, die sich gegen das Internet, weitere Datennetze, informationstechnische Systeme oder deren Daten richten.
Cybercrime im weiteren Sinne
Unter diesem Begriff versteht man alle Straftaten, bei denen Informationstechnik eingesetzt wird. Darunter können Betrugsdelikte fallen, aber auch Straftaten wie Cyber-Grooming oder die Verbreitung von Kinderpornografie. Diese Arten von Straftaten werden im „Bundeslagebild Cybercrime“ nicht betrachtet.
Bundeslagebild Cybercrime
Phänomenbereiche der Cybercrime
Die Ziele von cyberkriminellen Akteuren sind äußerst vielfältig. Neben finanzstarken Unternehmen standen 2023 auch Einrichtungen und Institutionen mit hoher Öffentlichkeitswirksamkeit im Fokus. Aber auch leicht verwundbare kleine und mittelständische Unternehmen waren stark betroffen.
Insgesamt war die hohe Bedrohungslage für das Jahr 2023 geprägt von hacktivistischen DDoS-Kampagnen und einer Vielzahl an Ransomware-Angriffen, die teils weitreichende Auswirkungen auf IT-Supply-Chains (dt. IT-Lieferketten) hatten. Dabei konnten sowohl Aktivitäten etablierter Täter als auch neue Gruppierungen und Rebrandings festgestellt werden.
Cybercrime ist geprägt von einer Underground Economy, die ihre kriminellen Dienstleistungen inzwischen in einem industriellen Maßstab anbietet. Auch 2023 bleibt das Geschäftsmodell „Cybercrime-as-a-Service“ von zentraler Bedeutung und unterliegt einer weiteren Professionalisierung.
Ein Beispiel für Angebote der Underground Economy sind die Initial Access Broker, die anderen Kriminellen den Zugang zu IT-Systemen verschaffen.
Initial Access Broker
Cyberkriminelle verschaffen sich besonders häufig über Phishing, Social Engineering oder kompromittierte Zugangsdaten Zutritt in ihre jeweiligen Zielsysteme. Die Vermittlung solcher kriminell erlangten Zugänge an andere Cyberakteure erfolgt durch sogenannte Initial Access Broker (IAB). Diese bieten ihre Dienstleitung in der Regel mehreren Akteuren an. Infektionen können über mehrere Monate unbemerkt bleiben und in diesem Zeitraum verkauft werden. Neben kompromittierten Zugangsdaten umfassen die Angebote von IABs auch die Kenntnisse über (Zero-Day-)Schwachstellen. Dieses Wissen stellte im Jahr 2023 eine besonders relevante Bedrohung dar, wobei vor allem die erste Jahreshälfte von der Ausnutzung mehrerer kritischer Schwachstellen geprägt war. Software-Schwachstellen stellten besonders häufig den Eintrittsvektor in Unternehmensnetzwerke dar und zogen eine Vielzahl an kompromittierten Systemen mit sich.
Phishing
Das „Abfischen“ von Daten war auch 2023 ein häufig genutztes Mittel, um Straftaten im Internet zu begehen. Dabei handelt es sich um betrügerische Webseiten oder E-Mails, mit denen Cyberkriminelle das Ziel verfolgen, Schadsoftware zu verbreiten und Daten zu stehlen. Von diesem Delikt sind Unternehmen, aber auch Privatpersonen betroffen. Ein Trend, den das „Bundeslagebild Cybercrime 2023“ aufzeigt, ist die steigende Bedeutung von Künstlicher Intelligenz (KI). Sie wird immer häufiger eingesetzt, um Phishing-Mails noch stärker zu personalisieren und sprachliche Fehler zu vermeiden. Hinzu kommt, dass Phishing-Kampagnen durch KI-Werkzeuge automatisiert erstellt und verbreitet werden können. Von den Cyberkriminellen wurden auch 2023 zeitkritische oder emotionalisierende Inhalte beim Verfassen der Mails verwendet, um Druck auf die Empfänger auszuüben und diese zu weiteren Handlungen, wie z.B. dem Herunterladen von Anhängen, zu verleiten. Nachgeahmt werden u.a. bekannte und weit verbreitete Marken und Unternehmen aus der Finanz- und Logistikbranche wie auch Streaming-Dienstleister.
Malware
Die Herstellung und Verbreitung von Schadsoftware ist ein zentrales Delikt im Bereich Cybercrime. Wie das „Bundeslagebild Cybercrime 2023“ aufzeigt, wird diese immer besser programmiert. Besonders hervorzuheben sind dabei Computerprogramme, die Schadsoftware freisetzen und sogar nachladen können. Diese nennt man „Dropper/Loader“. Loader wie Qakbot oder Pikabot haben etwa auch Fähigkeiten, Daten zu sammeln oder zu exfiltrieren, während Info-Stealer wie Truebot ebenfalls als Remote Access Tool dienen und Fernzugriff auf die befallenen Systeme etablieren können. Loader bzw. Dropper werden auch im Vorfeld von Ransomware-Angriffen eingesetzt.
Ein Beispiel: Der Trojaner Qakbot, der bereits seit 2007 im Umlauf ist und weltweit Schäden in Millionenhöhe verursacht hat, wurde am 26.08.2023 in Zusammenarbeit mehrerer internationaler Partner unter der Leitung US-amerikanischer Behörden erfolgreich vom Netz genommen. Die technische Infrastruktur konnte mithilfe des BKA übernommen und damit die Kompromittierung weiterer Endgeräte verhindert werden. Weitere Informationen in der Pressemitteilung vom 30.08.2023 dazu.
Ransomware
Angriffe mit Ransomware sind weit verbreitet. Das Ziel der Cyberkriminellen ist es dabei, die Systeme von Unternehmen zu verschlüsseln oder zu sperren, um Lösegeld zu fordern. Für das Jahr 2023 hat das BKA erstmals gemeinsam mit den Landeskriminalämtern eine Fallerhebung zum Thema Ransomware durchgeführt, zu der im „Bundeslagebild Cybercrime 2023“ berichtet wird. Sie zeigt, dass über 800 Unternehmen und Institutionen Ransomware-Angriffe zur Anzeige gebracht haben. Allerdings zeigen Studien immer wieder, dass es gerade im Bereich Cybercrime ein hohes Dunkelfeld gibt.
DDoS-Attacken
In den letzten beiden Jahren übertrugen sich geopolitische Konflikte in die digitale Welt und mündeten in einem starken Aufschwung hacktivistischer Aktivitäten, die sich am offensichtlichsten in DDoS-Angriffen niederschlugen. Die Grenze zwischen politisch-ideologischer und finanziell motivierter Cyberkriminalität verschwimmt dabei zunehmend.
Zu den häufigsten Zielen von Hacktivisten zählten 2023 (Bundes-)Behörden, öffentliche Einrichtungen, das Finanzwesen und Verkehrsbetriebe. Für die konkrete Auswahl der Ziele von DDoS-Attacken und der dadurch betroffenen Webseiten ist eine hohe öffentliche Reichweite entscheidend, sodass ihr Ausfall von einem großen Teil der Bevölkerung wahrgenommen werden kann.
Trotz der hacktivistischen Aktivitäten im Bereich DDoS ist im Berichtszeitraum die Anzahl der durch die Deutsche Telekom AG erfassten DDoS-Angriffe erneut gesunken. Insgesamt konnten 22.496 DDoS-Angriffe verzeichnet werden. Dies stellt einen Rückgang von 13,7 Prozent im Vergleich zum Vorjahr dar. Allerdings steigen die verwendeten Angriffsbandbreiten und Paketraten, so dass DDoS-Angriffe innerhalb kürzerer Zeit eine hohe Angriffsintensität aufweisen.
Schwerpunkte in der Strafverfolgung 2023
Personelle Ermittlungen, d.h. die Identifizierung und erfolgreiche Verfolgung von Straftätern, sind ein effektiver Ansatz, um der Cyberkriminalität nachhaltig zu begegnen. Da sich Cyberkriminelle jedoch oftmals im Ausland aufhalten und von einigen Ländern geduldet oder sogar geschützt werden, bleiben sie für unsere Strafverfolgung oftmals unerreichbar. Daher sind die polizeilichen Maßnahmen ebenfalls darauf ausgerichtet, die Infrastruktur der Cyberkriminellen zu schwächen oder zu zerschlagen. Durch diesen Infrastrukturansatz konnte der Underground Economy 2023 teils beträchtliche Finanzmittel entzogen werden. Zudem wurden IT-Systeme und Daten sichergestellt, die zu weiteren Ermittlungsansätzen geführt haben. Unter anderem wurden ein Krypto-Mixer und mehrere kriminelle Marktplätze abgeschaltet, einer der relevantesten Trojaner in seiner Aktivität stark eingeschränkt sowie die Erpressungsaktivitäten einiger Ransomware-Gruppierungen gestoppt. Durch die Analysen sichergestellter Systeme und Daten erlangen die Strafverfolgungsbehörden weitere Ermittlungsansätze. Daraus können sich wertvolle Informationen zur eingesetzten Malware ergeben, die beispielsweise die Entwicklung von Ransomware-Decryptoren ermöglichen und bereits Geschädigten bei der Wiederherstellung ihrer Systeme helfen.
Um den dynamischen Entwicklungen im Bereich Cybercrime weiterhin erfolgreich zu begegnen, sind neben technischen und personellen Fähigkeiten bei den Strafverfolgungsbehörden vor allem auch der geeignete rechtlichen Rahmen entscheidend.
Zentralen Ansprechstellen Cybercrime (ZAC)
Unternehmen bemerken häufig nicht, dass sie Opfer von Cybercrime geworden sind. Selbst wenn solche Straftaten festgestellt werden, gelangen diese laut Studien nur in einem von zehn Fällen nur zur Anzeige und somit zur Kenntnis der Sicherheits- und Strafverfolgungsbehörden. Dabei ist es für die langfristige effektive Bekämpfung der Täter essentiell, dass Opfer von Cybercrime Anzeige bei der Polizei erstatten.
Die Zentrale Ansprechstellen Cybercrime (ZAC) der Polizeien des Bundes und der Länder bei Fragen rund um das Thema Cybercrime als kompetente und vertrauensvolle Partner zur Verfügung.
- Für Informationen und Beratung zur Vermeidung von Cybercrime-Angriffen (Prävention)
- Für richtiges Verhalten bei Cybercrime-Angriffen gegen Ihr Unternehmen (Intervention, Strafverfolgung)