Opinion & Facts

Unterschätzen wir die Gefahren durch Internetkriminalität?


Unterschätzen wir die Gefahren durch Internetkriminalität? News

So viele Menschen wie nie zuvor sind heute online: 49 Millionen deutschsprachige Nutzer über 14 Jahren waren 2010 im Internet unterwegs. Millionen Bundesbürger sind Mitglieder in sozialen Netzwerken. Sie erledigen ihre Bankgeschäfte auch mit Hilfe von mehr als 97 Millionen ausgegebenen Bankkarten mit Zahlungsfunktion, 44 Prozent aller Internetnutzer betrieben Online-Banking; über 60.000 Geldautomaten stehen in Deutschland zur Verfügung. Für mehr als 26 Milliarden Euro kauften Konsumenten 2011 im Online-Einzelhandel ein.

Schöne neue Online-Welt? Bequem und sicher? Genau an diesem Punkt gibt es Bedenken. Die Verbraucher haben lernen müssen, skeptisch zu sein. Nun schlägt ein Pendel aber immer in die Extreme: Sind also die Konsumenten heute zu misstrauisch oder – immer noch – zu naiv gegenüber den Gefahren von Internet- und IT-Anwendungen? Der Softwarehersteller SAS stellt im Rahmen des neuen Informationsprojekts "Opinion & Facts“ erfragte Meinungsbilder recherchierbaren Fakten gegenüber.

Zur "gefühlten Bedrohung" durch Cybercrime: 88 Prozent meinen "Ja“: Internetkriminalität hat zugenommen

Das Marktforschungsinstitut Emnid befragte im Januar 2012 im Auftrag von SAS Onliner und Offliner zu ihren Erfahrungen beziehungsweise Einschätzungen der Bedrohung durch verschiedene Aspekte der Internetkriminalität.

Grundsätzlich glauben fast 90 Prozent (88%) der Befragten, dass die Bedrohung durch Internetkriminalität in den beiden letzten Jahren zugenommen hat. Ein wenig mehr Vertrauen in die gute Natur des Menschen hatten die Befragten im Südwesten und Nordosten der Bundesrepublik, wo etwa jeder Siebte davon überzeugt war, dass es keinen Anstieg der Cyberkriminalität gegeben hat.

Gnadenloses Internet?

Das Niveau der Bedrohung schätzen die befragten Internetnutzer im Durchschnitt dramatisch hoch ein: 42 Prozent der privaten Internetrechner seien durch Viren oder Trojaner bedroht worden, fast 30 Prozent der Rechner durch Zugriff von außen manipuliert. Mehr als jeder vierte Nutzer sei von PIN-Phishing betroffen und durch Online-Warenbetrug geschädigt, die Kreditkarte jedes Fünften beim Online-Einkauf missbraucht worden. Wer sich da noch ins Netz traut, muss überdurchschnittlich gewieft – oder bodenlos leichtsinnig sein (Tabelle 1).

Überdurchschnittlich misstrauisch ist die Altersgruppe der 30-39-Jährigen: Sie glaubt, jeder zweite Nutzer sei schon durch Viren oder Trojaner angegriffen worden – die über 60jährigen sehen das wesentlich entspannter.
Wiegt eine höhere Bildung in Sicherheit – oder erlaubt sie ein besseres Urteil? Akademiker und Befragte mit Abitur schätzten die Cybercrime-Gefahren systematisch geringer ein als Volksschüler ohne Lehre. Analog vermuten Befragte mit einem Nettoeinkommen von weniger als 1.000 € im Monat Internet-Kriminalität häufiger als Befragte in der höchsten befragten Einkommensklasse. Soweit die gefühlte Bedrohung.

TNS Emnid hat zusätzlich 'Offliner', also Personen ohne Zugang zum Internet, befragt, ob sie in ihrem direkten Umfeld Opfer von Internetkriminalität kennen. Lediglich 5 Prozent dieser 255 Befragten, überwiegend nicht mehr berufstätig, allein oder zu zweit lebend und über 50 Jahre alt, gaben an, konkret von Cybercrime Betroffene zu kennen.

Tabelle 1: Frage: Was glauben Sie: Wie viel Internetnutzer in Deutschland waren in den beiden letzten Jahren von Internetkriminalität betroffen? Gefragt war nach den Schätzungen der Befragten. (Quelle: TNS EMNID Januar 2011. Befragte: 754 Internetnutzer, auffällige Ergebnisse)
Tabelle 1: Frage: Was glauben Sie: Wie viel Internetnutzer in Deutschland waren in den beiden  letzten Jahren von Internetkriminalität betroffen? Gefragt war nach den Schätzungen der Befragten. (Quelle: TNS EMNID Januar 2011. Befragte: 754 Internetnutzer, auffällige Ergebnisse)


Was sagen nun die statistischen Fakten?

Der von TNS EMNID gemessenen subjektiven Wahrnehmung der Internetkriminalität in Deutschland haben wir Fakten aus Statistiken und Erhebungen gegenübergestellt. Insgesamt hat die Internetkriminalität zugenommen – insofern haben die Befragten durchaus Recht.

Im Jahr 2009 gab es etwa 75.000 Fälle von Computerkriminalität im weiteren Sinne, einschließlich Debitkartenbetrug, und weniger als 1.000 Fälle von Softwarepiraterie. 2010 waren es bereits fast 85.000 (84.377) Fälle – also 13 Prozent mehr. Das ist sicher ein beunruhigender Zuwachs, selbst wenn im gleichen Zeitraum die Anzahl der Internetnutzer um 5,5 Millionen prozentual gleich anstieg. Rein rechnerisch entfielen in beiden Jahren jeweils nur knapp zwei Fälle von Cybercrime auf 1.000 Internetnutzer. Allerdings: für das Jahr 2010 bedeutet das Äquivalent immerhin 172 Fälle je 100.000 User – und zu diesen Betroffenen möchte wohl niemand gehören.

Ein Mosaik aus Einzelinformationen bestätigt die Tendenz: Internetkriminalität boomt. "Die Kreativität und Flexibilität der Täter scheint keine Grenzen zu kennen“, erklärte BKA-Präsident Jörg Ziercke bereits Ende 2010.

172 Cybercrimes je 100.000 User

Wie schlagen sich die Fallzahlen weiterer Formen der Internetkriminalität statistisch nieder? Tragen die offiziellen Zahlen der Polizeilichen Kriminalstatistik (PKS) – die zwangsläufig nicht so schnell erhoben und publiziert sind wie Straftaten erfolgen – eventuell zur Beruhigung der Verbraucher bei?

Aus vielerlei Gründen kaum! Zunächst zählen Statistiken nur, was gemeldet wird oder registriert werden kann. Es gibt also ein unbestimmbares absolutes Dunkelfeld von Straftaten, die weder von Statistiken noch von Feldforschungen erfasst oder geschätzt werden können.7 Desweiteren ist es mühsam, die kriminelle Kreativität in statistische Schubladen zu sortieren: Es wäre verwegen anzunehmen, dass die Gesetzgebung und auch in der Folge die Polizeiliche Kriminalstatistik mit der kriminellen Energie und der Aktivität im Bereich Cybercrime Schritt halten könnten. Zwangsläufig müssen Erfassung, Aufklärung und Sanktionierung der Entwicklung hinterherhinken.

Selbst das BKA gesteht ein, dass gerade in so relevanten Cybercrime-Fallarten wie Phishing von Kundenbankdaten oder DDOS-Attacken auf Server "keine auf validen Daten basierenden Aussagen zum tatsächlichen Ausmaß“ möglich sind. Übergreifend wird für Delikte, die in irgendeinem Zusammenhang mit dem Internet stehen, auch eine besondere Kennung "Tatmittel Internet“ gesetzt, damit entsteht dann einen hübsch großer statistischer Eintopf für alle möglichen Straftaten. Wir betrachten hier jedoch nur die Internetkriminalität, wie in der PKS definiert.

Trotz dieser Einschränkungen: Wie ist denn nun der statistische Befund?
Grundsätzlich und langfristig kennt die Entwicklung der Fallzahlen der Internetkriminalität eine bevorzugte Richtung: Nach oben! Insofern wird das Stimmungsbild unserer Umfrage prinzipiell durch die Fakten bestätigt. Allerdings erscheinen die vermuteten Fallzahlen deutlich zu hoch. Für Verbraucher spielen insbesondere drei Fallkategorien eine wesentliche Rolle:

  • Betrug mit unerlaubt erlangten Debitkarten (mit PIN),
  • Computerbetrug (Vermögensschädigung durch Manipulation von Programmen oder unbefugte Verwendung von Daten) und
  • Ausspähen und Abfangen von Daten, worunter auch die Delikte Skimming und Phishing

fallen.

Diese drei Kategorien zusammen machen 78,3 Prozent der fast 85.000 Fälle von Computerkriminalität (ohne Viren/Trojaner) im Jahre 2010 aus (Tabelle 2). Demgegenüber standen ca. 49 Millionen Internetnutzer als potentielle Opfer.

Tabelle 2:Computerkriminalität: Anteile der Fälle 2010 in Prozent (Quelle: Polizeiliche Kriminalstatistik - PKS Grundtabelle, * als Cybercrime im engeren Sinne in der PKS definiert)
Tabelle 2:Computerkriminalität: Anteile der Fälle 2010 in Prozent (Quelle: Polizeiliche Kriminalstatistik - PKS Grundtabelle, * als Cybercrime im engeren Sinne in der PKS definiert)


Debitkarten mit PIN: Kriminalität stagniert auf hohem Niveau

Eine gute Nachricht ist, dass der Betrug mit unerlaubt erlangten Debitkarten (mit PIN) seit drei Jahren in der Größenordnung von 23.000 Fällen stagniert und gegenüber 2006 sogar um etwa ein Siebtel abgenommen hat. Das sollte Konsumenten jedoch nicht beruhigen, denn die aufgehenden Stars der Computerkriminalität sind "Computerbetrug“ und "Ausspähen/Abfangen von Daten“.

Skimming und Phishing nehmen rasant zu

Straftaten wie Phishing (Erschleichen von Identitätsdaten über Fake-Websites) und Skimming (Auslesen von Kartendaten von Magnetstreifen und Kopieren auf gefälschte Karten) werden (auch) als Straftat "Ausspähen und Abfangen von Daten" erfasst. Das Phänomen Phishing wird zum Beispiel in der Polizeilichen Kriminalstatistik nicht gesondert erfasst. Delikt-typisch werden Fälle dieser Art unter "Ausspähen von Daten“ beziehungsweise "Computerbetrug“ erfasst. Computerbetrug nahm gegenüber 2008 um 60 Prozent auf etwa 27.300 Fälle zu, die Anzahl der Ausspähungen verdoppelte sich in diesem Zeitraum auf 15.190.

Spezifisch zum Delikt "Phishing“ geht das Bundeskriminalamt in gesonderten Veröffentlichungen von 5.331 Fällen (2010) aus – 70 Prozent mehr als 2006 und 200 Prozent (!) mehr als im Vorjahr. Und wie 2011 das Beispiel des Schadprogramms DNS-Changer zum Falschrouten von Internetadressen und anschließendem Phishing von Bankdaten zeigte, werden die Methoden der Manipulierer immer raffinierter.

"Skimming“, dem illegalen Ausspähen der Daten von Kreditkarten oder Bankkarten am Geldautomaten, kann prinzipiell jeder zum Opfer fallen. Diese Angriffe auf Geldautomaten haben seit 2006 um den Faktor 10 auf etwa 3.200 (2010) zugenommen. Dies bedeutet eine Steigerung von 55 Prozent gegenüber dem Vorjahr 2009.

Beunruhigend für das individuelle Sicherheitsgefühl wird man den Befund werten können, dass die 3.183 bekanntgewordenen Fälle im Jahr 2010 "nur“ 1.765 Geldautomaten betrafen – also statistisch jeder manipulierte Automat gleich zweimal heimgesucht wurde.12 Von den 60.000 Geldautomaten in Deutschland waren also 2010 immerhin knappe drei Prozent – zeitweise – manipuliert.

Auch hier ist von einer hohen Dunkelziffer auszugehen, da die Geldinstitute vermutlich nicht jeden Vorgang melden, der in Einvernehmen mit dem Kunden diskret geregelt werden kann.

Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten

Zu einer Art Hidden Champion unter den Cybercrimes könnte sich in einer fortschreitend digitalisierten und vom Internet geprägten Welt der Betrug mit Zugangsberechtigungen zu Telekommunikationsdiensten entwickeln. Vor einigen Jahren waren es wohl noch Dialer, die dem geplagten Telekommunikationskunden hohe Rechnungen durch unbefugtes Wählen kostenpflichtiger Nummern bescherten. Morgen könnten sich sozusagen die Flatrate-Crimes ausbreiten.

Die Fallzahl des Betrugs mit Zugangsberechtigungen ist in den fünf Jahren bis 2010 um jährlich acht Prozent gestiegen – und lag dann bei knapp 8.000. Das ist eher bescheiden, gemessen an den im Jahr 2009 etwa 39 Mio. Festnetzanschlüssen, 25 Millionen Breitbandabonnenten und rechnerisch 108 Millionen Mobilfunkteilnehmern.15Aber die Betrugsvariante kann sich ja noch entwickeln.

Jenseits der Statistik: Spam – zwischen lästig und gefährlich

Zunächst zum Spam, der unerwünschten, aber in der Regel harmlosen Werbepest auf dem heimischen Computer. Gemessen wird das Aufkommen von Spam-Messages in Milliarden Stück – und zwar pro Tag. Hier ist die gute Nachricht, dass Cisco Security Intelligence Operations in jüngerer Zeit global einen dramatischen Rückgang verzeichnet: von fast 380 Milliarden Messages auf "nur noch“ 124 Milliarden Stück pro Tag (November 2011).16 Auch besteht die Hoffnung, dass diese positive Entwicklung anhält aufgrund verschärfter Ländergesetzgebungen und der Eindämmung der Aktivität großer Bot-Netze – also Clustern von gekaperten Rechnern zur Versendung von Spam ohne Wissen der Eigentümer. Private Verbraucher würden entlastet, wenn professionelle Täter ihre Ressourcen auf Unternehmen konzentrierten. Dort verursachen allerdings beispielsweise immer mächtigere Distributed-Denial-of-Service-(DDOS)-Angriffe und darauf zurückzuführende Zusammenbrüche von Unternehmens-Servern ernsthafte wirtschaftliche Einbußen.

Computerviren und Datenmissbrauch: Mehr und teurer als gedacht

Wer sich an den Sasser-Computer-Wurm erinnert, der 2004 von einem minderjährigen Informatikschüler aus Niedersachsen programmiert wurde und infizierte Rechner willkürlich ein- und ausschaltete, erahnt auftretende Probleme in Produktion und Kommunikation. Insgesamt waren damals rund zwei Millionen Rechner befallen, unter anderem Rechner der Postbank, der Europäischen Kommission und von Fluggesellschaften. Microsoft setzte sogar eine Fangprämie aus, die schließlich zur Festnahme des Täters führte.

Nach einer Untersuchung des statistischen Amtes der Europäischen Union (Eurostat) waren im Jahr 2010 in Deutschland 22 Prozent der Nutzer von einem Computervirus oder einer anderen Computerinfektion betroffen. 2 Prozent beklagten den Missbrauch persönlicher Daten, die über das Internet verwendet wurden, oder eine andere Verletzung der Privatsphäre. Finanzielle Verluste aufgrund missbräuchlicher Benutzung von Bankdaten, zum Beispiel der Bank-oder Kreditkarte, erlitten drei Prozent der Befragten.

Der Symantec Crime-Report 2011 schätzt den direkten finanziellen Schaden von gestohlenen Geldbeträgen und die Kosten für die Klärung von Cyberangriffen allein in Deutschland auf 16,4 Milliarden Euro. Hinzu kommt der Zeitaufwand, der Opfern von Internetstraftaten entsteht und der auf 7,9 Milliarden Euro beziffert wird.

Wie geht es weiter?

Die Tendenz ist offensichtlich. Informationstechnologie und Kommunikationstechnologie durchdringen die physische Welt. Immer mehr Menschen sind immer länger online – zunehmend breitbandig verbunden und mit vielen unterschiedlichen Endgeräten, wie Desktops, Laptops, Tablets, PDAs oder Smartphones ausgerüstet. Für Internetkriminelle besteht kein Anlass, die für sie lukrative Beute ziehen zu lassen. Cybercrime ist im Alltag angekommen. Gegenmaßnahmen der Verbraucher, Unternehmen, Behörden und des Gesetzgebers sind nötig.

 


[Text basierend basierend auf SAS – Opinion & Facts: Internetkriminalität vom 20.02.2012, Bildquelle: iStockPhoto]

Themengebiete
In Verbindung stehende Artikel
Themenverwandte Artikel
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.