Internetverbrechen in Deutschland : Bundeskriminalamt legt Bericht zur Cyberkriminalität vor

Warum das Bundeskriminalamt die Schäden durch Cybercrime auf 60 Millionen Euro berechnet, obwohl sie bei über hundert Milliarden angekommen sein dürften. Und was durch die Digitalisierung noch alles droht.

Was das Bundeskriminalamt an diesem Montag in Wiesbaden zur Lage der Internetverbrechen in Deutschland präsentiert, mutet fast an wie die Familie am Strand, die sich darüber freut, dass der Windschutz ihnen mehr Sicherheit bietet - bis ihr Blick auf die Monsterwelle fällt, die sie Sekunden später unter sich begraben wird.

Die vom BKA ermittelten Schäden durch Cybercrime seien im Vergleich zum Vorjahr von 71,4 auf 60 Millionen Euro zurückgegangen, hält die aktuelle BKA-Statistik fest. Realistischer sind aktuelle Schätzungen des Digitalverbandes Bitcom unter Berufung auf Erfahrungen der Unternehmen: Danach hat der Umfang der Schäden sich binnen zwei Jahren auf über hundert Milliarden Euro verdoppelt.

Hier der Windschutz, der die offiziell registrierten Auswirkungen auf 60 Millionen fallen lässt. Da die Monsterwelle, die zugleich von 50 auf 103 Milliarden angewachsen ist. Die Wirklichkeit weicht also um mehr als das Zweitausendfache von der Statistik ab.

Wie kommt es zu solchen Wahrnehmungsdefiziten? Und was blüht den Volkswirtschaften noch, wenn die Digitalisierung so weiter geht? Ein paar Gründe für das winzige Hell- und das riesige Dunkelfeld kennt das BKA selbst. Das sind etwa die Fälle, die von den Geschädigten zunächst nicht einmal bemerkt werden. Oder die Ereignisse, bei denen Rechner ungeahnt gekidnappt und als Teil von Angriffen verwendet werden. Manche zeigen die Schäden auch nicht an, wenn sie von Versicherungen reguliert werden. Oder sie reagieren erst dann, wenn sie trotz Zahlung eines Lösegeldes nicht wieder an ihr verschlüsseltes System herankommen. Schließlich fürchten viele Firmen um ihre Reputation als „sicherer und zuverlässiger Geschäftspartner“, wenn ihre Kunden erfahren, wie sehr ihre Sicherheitssysteme versagt haben.

Dazu zwei beispielhafte gegenläufige Trends. Einerseits wird der Zahlungsverkehr immer sicherer, die weit bekannten Phishing-Attacken zum Abfischen von Kontodaten und Passwörtern, immer erfolgloser, je ausgeklügelter die Authentifizierung wird. Auch in der Statistik des BKA gibt es hier einen deutlichen Rückgang um fast 50 Prozent auf 723 gemeldete Fälle. Andererseits tritt das so genannte „Formjacking“ immer mehr in den Vordergrund. Dabei werden bösartige Codes auf die Webseiten von Online-Shops geschmuggelt. Wenn dann ein Kunde seine Kreditkartendetails eintippt, gehen die nicht nur an den Händler, sondern auch an den Dieb.

Nach BKA-Erkenntnissen konnten binnen eines Jahres 3,7 Millionen derartiger Formjacking-Attacken abgewehrt werden. Aber es wurden auch von einem einzigen Dienstleister rund 4800 infizierte Formulare entdeckt, und zwar Monat für Monat. Das BKA rechnet nach den Erfahrungen des vergangenen Jahres damit, dass hier auch in diesem Jahr wieder vermehrt im Weihnachtsgeschäft abkassiert werden dürfte. Wenn das dem Staat bekannt werdende Ausmaß der Schäden lediglich einen winzigen Promillebereich des tatsächlichen Problems erfasst, stellt sich die Frage, ob die prognostizierten Gefahren des Netzes auch entsprechend potenziert werden müssen.

Der Chef des Bundesamtes für die Sicherheit in der Informationstechnik, Arne Schönbohm, sieht jedenfalls eine schnell fortschreitende Entwicklung. Was er vor einem Jahr noch als Möglichkeiten beschrieb, ist inzwischen eingetreten. Damit meint er zum Beispiel die rapide Zunahme von Identitätsdiebstählen. Bei diesem „Nicknapping“ dringen Dritte unter der Identität eines ahnungslosen Opfers in Systeme ein, heben Geld ab oder begehen Straftaten.

Nun sagt Schönbohm voraus: „Sich schnell und automatisiert ausbreitende Angriffe können in letzter Konsequenz auch weltweit zu massiven wirtschaftlichen Schäden oder zu gesundheitlichen Schäden bei Menschen führen.“ Damit meint er Angriffe auf das allmählich Marktreife gewinnende autonome Fahren und die wiederholt auch in Deutschland aufgetretenen Angriffe auf Krankenhäuser oder Energiezentralen.

Zu Ende gedacht bedeutet das im Extremfall auch, dass ganze Volkswirtschaften, ganze Staaten in die Knie gezwungen werden können. Es braucht dazu „nur“ ein koordiniertes Vorgehen gegen die jetzt schon genutzten Schwachstellen. Allen voran gegen die „kritische Infrastruktur“ wie Kraftwerke, Stromversorger, Kliniken oder Verkehrslenkungssysteme. Von 21 erfolgten Angriffen darauf weiß das BKA aus dem zurückliegenden Jahr. Die Wetten an den Börsen auf die Zahlungsfähigkeit von Staaten haben bin nen weniger Tage schon nationale Haushalte unter massiven Druck gebracht. Kombiniert mit dem fortschreitenden Hochfrequenzhandel, bei dem Computer in Sekunden Hunderttausende von Käufen und Verkäufen tätigen, sind massive Schäden durch Hacker denkbar.

Auch Banken können massiv getroffen werden, wenn sie einer Vielzahl potenzieller Hacker zum Opfer fallen. Im BKA-Bericht taucht ein Fall auf, bei dem binnen weniger Tage koordinierter Betrug in Millionenhöhe begangen wurde, weil die Täter in die Datenbanken eingedrungen waren und Abhebungen kontrollieren konnten. Selbst die sicher geglaubten Flugzeuge sind keine uneinnehmbare Festung mehr, seit es Sicherheitsexperten gelang, bei einem am Boden stehenden (ausgemusterten) Jet in die inneren System einzudringen, ohne selbst an Bord zu sein.

Im Frühsommer hat die Regierung den Startschuss für ein Cyberabwehrzentrum gegeben. Doch nicht nur beim Aufbau des schnellen Internets hinkt Deutschland hinterher. Auch bei der offensiven Abwehr (dem Angriff per „Hackback“) tun sich zwischen den Staaten Welten auf. Während die Amerikaner seit langem wissen, wie es geht, diskutieren die Deutschen noch, ob sie überhaupt dürfen, wenn sie es denn könnten.