Die Bedrohung im Cyberraum ist so hoch wie noch nie. Aber es gibt auch wirksame Präventionsmöglichkeiten und hervorragende Bekämpfungserfolge. All das lässt sich an der aktuellen Entwicklung in den Jahren 2023/2024 nachweisen.
Statistiken und Lagebilder der Fachbehörden
Vor wenigen Wochen ist die Polizeiliche Kriminalstatistik (PKS) 2023 vom BKA veröffentlicht worden. Sie registriert ca. 134.400 Fälle von Cybercrime im engeren Sinne. Gegenüber der PKS 2022 hat die Anzahl der Fälle um 1,8 % abgenommen. Weil aber in dieser Statistik weder aus dem Ausland heraus begangene Taten werden noch das unermesslich große Dunkelfeld erfasst wird, lässt diese Statistik keinen definitiven Schluss auf den tatsächlichen Umfang dieses Kriminalitätsbereichs zu. Die meisten in der PKS 2023 erfassten Fälle sind Delikte des Computerbetrugs (ca. 111.000). Fast 10.900 Taten betrafen das Ausspähen und Abfangen von Daten sowie Datenhehlerei, nahezu 10.300 Delikte waren Datenfälschungen und Täuschungen im Rechtsverkehr bei der Datenverarbeitung. Und etwa 2.300 Fälle betrafen die strafbare Datenverarbeitung sowie Computersabotage. Der Bericht des BSI über die Lage der IT-Sicherheit in Deutschland 2023 vom Oktober 2023 mit dem Berichtszeitraum 2. Halbjahr 2022/1. Halbjahr 2023 registriert in diesem Zeitraum bekannt gewordene Bedrohungs- und Angriffsphänomene: 68 erfolgreiche Ransomware-Angriffe auf Unternehmen, durchschnittlich monatlich zwei Ransomware-Attacken auf Kommunalverwaltungen und Kommunalbetriebe, rund 21.000 infizierte Systeme, mehr als 2.000 Schwachstellen durchschnittlich im Monat in Softwareprodukten, eine Viertelmillion täglich gefundener neuer Schadprogramm-Varianten, durchschnittlich 750 Emails mit Schadprogrammen täglich und ebenfalls täglich ca. 370 für den Zugriff aus Regierungsnetzwerken wegen enthaltener Schadprogramme gesperrte Webseiten.
Am 13.5.2024 hat das BKA das Bundeslagebild Cybercrime 2023 vorgelegt, das über die PKS hinaus auch polizeiexterne Erkenntnisse einbezieht. Die auffälligste Botschaft ist die Zunahme der (nicht in die PKS aufgenommenen) Cyberangriffe aus dem Ausland um 28 %. Besonders bedrohlich ist diese Tendenz deshalb, weil es in diesen Fällen kaum Möglichkeiten gibt, die Täter zu identifizieren, so dass die AQ im niedrigen einstelligen Bereich liegt. Insbesondere Cyberattacken auf IT-Dienstleister führten 2023 zu weitreichenden Folgen über die IT-Supply-Chain (Bundeslagebild S.3). Über 800 Unternehmen haben 2023 Ransomware-Angriffe angezeigt. Die Gesamtsumme der durch Chainalysis festgestellten Lösegeldzahlungen überstieg 2023 erstmals eine Milliarde Dollar, aber die Zahlungsbereitschaft betroffener Organisationen war mit 29 % weiterhin rückläufig (Bundeslagebild S. 15 ff).
Ergebnisse von Opferbefragungen
Das Dunkelfeld nicht gemeldeter Fälle und die Betroffenheit angegriffener Organisationen lässt sich am ehesten durch repräsentative Befragungen erforschen. Und davon gibt es eine ganze Reihe. Genannt seien aus den Jahren 2023/2024:
- Eine Ipsos-Umfrage im Auftrag des TÜV-Verbandes bei rund 500 Unternehmen ab zehn Mitarbeitern mit dem Ergebnis von rund 50.000 Cyberangriffen, Sabotageakten oder Hardwarediebstählen 2022, wobei am häufigsten (62 %) das Phishing, von 29 % der Befragten Ransomware-Angriffe und von 26 % Social Engineering genannt wurden.
- Die Cybersecurity-Studie 2023 des TÜV, bei der ebenfalls 500 Unternehmen ab zehn Mitarbeitern befragt wurden; danach waren 11 % im Jahr 2022 von einem Sicherheitsvorfall betroffen. Die Zunahme gegenüber dem Vorjahr ließ den DsiN (Deutschland sicher im Netz)-Index auf den tiefsten Wert seit seiner Erhebung vor 10 Jahren sinken.
- Der Sophos Threat Report 2024 mit der Befragung von Unternehmen unter 500 Mitarbeitenden. Sie ergab einen Anstieg von Ransomware-Attacken mit Remote-Verschlüsselung von 62 % im Jahr 2023 gegenüber dem Vorjahr und als zweithäufigstes Angriffsphänomen auf Unternehmen abzielende Scam-Emails.
- Der Cybersecurity Readiness Index 2024 von Cisco mit einer Befragung von 8.000 Führungskräften weltweit – 300 in Deutschland -. Danach sind Phishing-Attacken derzeit das größte Risiko. Dabei wird von Hackern auch künstliche Intelligenz gezielt eingesetzt.
- Eine repräsentative Umfrage von Bitkom von über 1.000 Unternehmen verschiedener Branchen, die ergeben hat, dass 42 % über Server in China angegriffen worden seien und drei Viertel der Befragten meinen, die Gefahr aus China werde unterschätzt.
Herausragende Sicherheitsvorfälle
Angegriffen von Cyberkriminellen werden sowohl Unternehmen wie Behörden und öffentliche Einrichtungen. Bei Ransomware-Attacken stehen Unternehmen, die in ihrem Geschäftsbetrieb auf ungestörte Datenverarbeitung in besonderem Maße angewiesen und in der Lage sind, hohe Lösegeld- und Schweigegeldforderungen zu begleichen, im Focus. Hierfür einige Beispiele: Mutmaßliche chinesische „Staatshacker“ nahmen die VW-Gruppe ab 2010 für mehrere Jahre ins Visier. Es gelang ihnen mehrfach, tief in die Netzwerke von VW einzudringen und geistiges Eigentum zu stehlen. Insgesamt sollen die Hacker rund 19.000 Dokumente gestohlen haben. Der Fall spielte sich zwar zwischen 2010 und 2015 ab, doch er hat Folgen bis in die Gegenwart. Denn die Hacker hatten es u.a. auf E-Mobilität abgesehen. Als Auftraggeber wird der militärische Nachrichtendienst Chinas bezeichnet. Ein endgültiger Beweis fehlt aber. Ein schwerer Cyberangriff im Frühjahr 2023 beeinträchtigte die Produktivität des Biotech-Unternehmens Evotec im gesamten 1. Quartal, reduzierte die Umsätze um 70 % und kostete das Unternehmen 25 Millionen Euro. Im Mai 2023 hatten Hacker drei deutsche IT-Unternehmen ausgespäht, die für Bundesministerien und Behörden arbeiteten. Dabei wurden große Mengen der Email-Kommunikation abgegriffen. Auch die Strukturen des ITZ Bund lagen im Visier der Angreifer. Am 18. Mai 2023 informierte die Werkstattkette ATU, dass sie zum Ziel einen Angriffs auf die IT-Infrastruktur geworden sei. Anfang Juni 2023 war die von den Sparkassen getragene Deutsche Leasing Opfer einer Cyber-Attacke, so dass weder Mitarbeiter noch Kunden auf die Datensysteme zugreifen konnten. Am 22. Juni meldete heise.online einen Cyber-Angriff auf den IT-Dienstleister der Handelsblatt Media Group. Anfang Oktober 2023 erbeuteten Hacker bei dem Genanalyseunternehmen 23andMe Stammbaumdaten von fast sieben Millionen Menschen. Arbeitsunfähig war die Deutsche Energieagentur aufgrund einer Cyber-Attacke am 12. November 2023. Am 17. Januar 2024 griffen Cyberkriminelle beim Unternehmen Schneider Electric Daten ab und forderten Lösegeld. Und am 12. Februar 2024 wurde Varta Opfer eines Cyberangriffs. Die Aktie verlor sofort 5 % ihres Wertes.
Im öffentlichen Bereich griffen Cyberkriminelle Bundes- und Landesbehörden, aber auch Kommunalverwaltungen an: so am 25. Juni 2023 Webseiten der Bundesregierung und am 16. Februar 2024 Internetseiten mehrerer deutscher Flughäfen. Im Januar 2024 wurden auch mehrere Universitäten und Hochschulen angegriffen. Im April 2023 trafen DDoS-Attacken Webseiten von mehreren Landesregierungen und Behörden. Über Twitter bezichtigte sich die prorussische Hackergruppe „NoName057“ der Tat. Ein internationales Netzwerk von Cyberkriminellen („Doppel Spider“) soll hinter Ransomware-Angriffen auf die Universitätsklinik Düsseldorf und auf den Landkreis Anhalt-Bitterfeld stecken. In der Fachzeitschrift Protector werden zehn Angriffe zwischen 2019 und 2023 auf Kommunen nach der Art des Angriffs und seinen Auswirkungen aufgelistet. Ransomware- und Phishing-Attacken waren und bleiben die größte Bedrohung. Bekannt geworden sind u.a. die Ransomware-Gruppen LockBit, Akira, Black-Cat, Blacktech und Basta. Nach einem Bericht von Allianz Commercial verfügen Ransomware-Gruppen über immer leistungsstärkere Tools und verbesserte Angriffsmechanismen. In mehr als der Hälfte der Fälle können trotz Lösegeldzahlung die verschlüsselten Daten nicht mehr vollständig hergestellt werden. Laut Bitkom beträgt der durch Datendiebstahl, Spionage und Sabotage verursachte Schaden für die deutsche Wirtschaft 2022 etwa 203 und 2023 ca. 206 Milliarden Euro.
Bekämpfungserfolge
Aber es gibt auch große Erfolge bei der Bekämpfung von Hackergruppen und der von Kriminellen eingerichteten und benutzten Internetplattformen zu vermelden. So haben Ermittler aus Deutschland und den USA Anfang 2023 die Hacker-Gruppe „ Hive“ ausgeschaltet, die weltweit mehr als 1.500 schwere Cyberangriffe – in Deutschland gegen 70 Unternehmen – begangen und dabei mehr als 100 Millionen $ erpresst hatte. Zusammen mit dem FBI hat das BKA im Herbst 2023 die Server-Infrastruktur von Qakbot zerschlagen. Nach Erkenntnissen des FBI hat die Schadsoftware dieser Gruppe 2022 rund 700.000 Computer infiziert. Über 42.000 kriminelle Angebote von „Kingdom Market“ sind nicht mehr verfügbar, weil das BKA zusammen mit der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) in einer international koordinierten Aktion die Server-Infrastruktur geschlossen hat. Ermittlern aus mehreren Staaten ist es im Februar 2024 gelungen, die kritische Infrastruktur der Hacker-Gruppe Lockbit abzuschalten. Die Bande war bisher „Marktführer“ für Ransomware-Angriffe. 200 Kryptowährungskonten wurden eingefroren. Tagesschau.de meldete am 1. März 2024, dass Ermittler mit mehr als 100 Durchsuchungen einen bundesweiten Schlag gegen die größte deutschsprachige kriminelle Handelsplattform im Internet mit mehr als 180.000 Nutzern geführt haben. Auf der Plattform seien detaillierte Anleitungen zu schweren Straftaten erhalten gewesen. Am 20. März wurde nach einer Mitteilung des BKA der global genutzte illegale Internetmarktplatz „Nemesis Market“ mit mehr als 150.000 Nutzerkonten abgeschaltet. 20 % der Verkäufer krimineller Dienstleistungen stammten aus Deutschland.
Prävention: Rechtspflichten und Möglichkeiten
IT-Sicherheit zu schaffen und Cyberangriffen vorzubeugen ist Aufgabe von Fachbehörden ebenso wie von Unternehmen und jedem IT-Nutzer. Zentralstelle für die Aufgaben der IT-Sicherheit ist das BSI. Dessen Aufgaben und Befugnisse sind im BSIG geregelt. In diesem Gesetz werden auch Anordnungen des BSI gegenüber Dienstanbietern, Berichts- und Sorgfaltspflichten der Betreiber kritischer Infrastrukturen, Anforderungen an Anbieter digitaler Dienste und Verpflichtungen von Unternehmen im besonderen öffentlichen Interesse geregelt. Eine Antwort auf die gegenwärtige Bedrohung durch Cybercrime ist die NIS2-Richtlinie der EU, die im Januar 2023 in Kraft getreten und von den Mitgliedstaaten bis 17.10.2024 in nationales Recht umzusetzen ist. Von dieser Richtlinie sind in Deutschland schätzungsweise 25.000 bis 40.000 Unternehmen betroffen, nicht nur Betreiber kritischer Infrastrukturen, sondern auch Online-Marktplätze oder Entsorgungsfirmen. Die Richtlinie verpflichtet solche Unternehmen zu umfangreichen Risikomanagementmaßnahmen, auch innerhalb der Lieferkette. Das deutsche Umsetzungsgesetz liegt als Referentenentwurf vor. Das Spektrum möglicher Prävention gegenüber Cyberangriffen ist breit, beginnt mit der erforderlichen Sensibilität für IT-Sicherheit und gipfelt in vielfältigen technischen Schutzvorkehrungen der IT-, Daten- und Kommunikationssicherheit, auch mit Unterstützung künstlicher Intelligenz. Die will z.B. der IT-Konzern Cisco einsetzen, auf einer Plattform bestehende IT-Sicherheitskomponenten zusammenfassen und damit die Sicherheitsbemühungen von Unternehmen vereinfachen. Die Sicherheitskontrollen sollen in Server und die Netzwerkstruktur selbst eingebettet, Sicherheitslücken sollen automatisiert erkannt und bewertet werden. Die Vielzahl sinnvoller präventiver Vorkehrungen wurde in der vorigen Ausgabe dieser Fachzeitschrift ausführlich beschrieben und sollte in jedem Anwendungsbereich je nach spezifischen Anforderungen in angemessener Weise kontinuierlich ausgeschöpft werden.
Kommunikationssicherheit
Auch die digitale Kommunikation, Video- und Audiokonferenzen sind bei weitem nicht frei von Schwachstellen und Angriffsflächen. Aufsehen erregte aktuell eine Videokonferenz von Bundeswehroffizieren am 19. Februar 2024, die aufgrund einer ungesicherten Einwahl eines Teilnehmers von Russland abgehört und im Staatssender Russia Today veröffentlicht werden konnte. Video- und Audiokonferenzsysteme von Teams, Zoom und Webex – mit einem Marktanteil in Deutschland von 85 % – erfüllen nach Aussage von Bert Weingarten, Vorstand der PAN AMP AG, einem Hersteller von Hochleistungstechnologie zur Aufklärung von Cybercrime, nicht die vom BSI geforderte durchgängige Verschlüsselung auf der gesamten Übertragungsstrecke. Nach einer G DATA-Umfrage nutzen 80 % der Deutschen auf Reisen freies WLAN mit ihrem Diensthandy und riskieren damit, dass vertrauliche Daten ihres Unternehmens in die Hände von Cyberkriminellen geraten. 5G verspricht einen großen Schritt für einen sicheren industriellen Datenaustausch. Das BMI will alle im 5G-Netz verbauten chinesischen Komponenten genau prüfen, um Gefahren frühzeitig erkennen und ausschließen zu können. Allein Bauteile von Huawei haben im deutschen 5G-Netz einen Anteil von 59 %.
Cyberversicherung
Je nach Ergebnis der Risiko- und Schwachstellenanalyse ist wegen der Schadensauswirkungen schwerer Cyberangriffe bis hin zur Insolvenz auch eine Cyberversicherung in Erwägung zu ziehen. Munich Re plädiert sogar für die Einführung eines Cyber-Schutzschildes für die Wirtschaft, weil die Schäden aus katastrophalen systemischen Ereignissen die Kapazität der Branche bei weitem übersteigen würden. Der Rückversicherer verweist auf Schätzungen von Statista, wonach die jährlichen Kosten von Cybercrime auf der Welt von 8,15 Billionen 2023 auf 13,8 Billionen 2028 steigen werden. Nach Angaben des Spezialversicherers Hiscox liegt die Einstiegsjahresprämie für eine Cyber-Versicherung derzeit bei 2.000 bis 3.000 Euro.
Literatur bei Verfasser.
Crisis Prevention 2/2024
MinDir a.D. Reinhard Rupprecht
Starnberger Straße 36D
82131 Gauting
