Zuerst änderte sich das Profilbild auf Instagram, dann der Benutzername. Als Leon Hammerl (Name geändert) seinen Account zurückerobern wollte, hatten die Hacker bereits E-Mail-Adresse und Passwort geändert. „Das Profil habe ich schon tausend Mal melden lassen, aber keiner konnte mir helfen“, erzählt der 21-Jährige. Wahrscheinlich fehlt die Zeit: Jeder dritte Deutsche zwischen 19 und 29 Jahren war laut neuem „Digitalbarometer 2021“ bereits Opfer von Kriminalität im Internet. Am häufigsten wurden Fremdzugriffe auf den Online-Account (31 Prozent), der Download von Schadsoftware (28 Prozent) und Phishing (25 Prozent) genannt. 

„Gerade junge Menschen gehen oft zu leichtfertig mit ihren Daten um“, weiß die Chefin des Verbraucherausschusses im Bayerischen Landtag, Rosi Steinberger (Grüne). Sie macht dafür die fehlende Medienerziehung an Schulen verantwortlich. Zwar gibt es jedes Schuljahr gemeinsame Projekte des Verbraucherschutz- und Kultusministeriums zur Mediennutzung. Die Grünen-Fraktion fordert aber Medienpädagogik im Unterricht in jeder Klassenstufe. 

Allerdings sind nicht nur junge Menschen betroffen. Insgesamt wurde jeder vierte Deutsche bis 69 Jahre schon einmal Opfer von Internetbetrügern. 27 Prozent haben wichtige Daten, 11 Prozent sogar echtes Geld verloren. Am häufigsten fallen Menschen auf Fake-Shops, Anrufe vom angeblichen Kundensupport oder gefälschte SMS rein – beispielsweise Paketbenachrichtigungen mit Links zu einer Schadsoftware.

Der Bundesverband der Verbraucherzentralen (VZBV) sieht die Ursache für die hohen Zahlen auch bei der Politik beziehungsweise den zu laschen Vorgaben für die Hersteller von Smartphones, Routern und vernetzten Geräten. „Hersteller müssen nicht mal einen gewissen Mindeststandard an IT-Sicherheit einhalten“, heißt es von der VZBV. Sie seien auch nicht verpflichtet, bei Sicherheitslücken Updates anzubieten oder auch über Updates das Gerät über einen bestimmten Zeitraum sicherzuhalten. 

Cyberkriminalität nimmt aber auch in anderen Bereichen zu. „Im Bereich der Informationssicherheit haben wir – zumindest in Teilbereichen – Alarmstufe Rot“, sagte letzte Woche der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, bei der Vorstellung des Lageberichts 2021. Noch nie seien so viele neue Schadprogramm-Varianten gezählt worden wie dieses Jahr, jeden Tag kämen aktuell im Schnitt eine halbe Million neue dazu. 

Davon betroffen sind auch die kritischen Infrastrukturen. So musste sich dieses Jahr ein Krankenhaus nach einem Angriff für 13 Tage von der Notfallversorgung abmelden, obwohl bereits 2015 ein neues IT-Sicherheitsgesetz, 2019 sogenannte branchenspezifische Sicherheitsstandards und dieses Jahr das IT-Sicherheitsgesetz 2.0 die Schutzmaßnahmen der Krankenhäuser verbessern sollte. 

„Die allgemeine Bedrohungslage für Krankenhäuser hat sich in Bezug auf das Thema Cybersicherheit in den letzten Jahren verschärft“, sagt der Geschäftsführer der Deutschen Krankenhausgesellschaft, Markus Holzbrecher-Morys. Krankenhäuser seien aber nicht häufiger betroffen als andere kritische Infrastrukturen. Abhilfe soll jetzt das neue Patientendaten-Schutz-Gesetz schaffen. Ab 1. Januar 2022 sind alle Krankenhäuser verpflichtet, ihre Sicherheitsvorkehrungen noch weiter zu verbessern.

Eine halbe Million neuer Schadprogramme – pro Tag

Hacker haben auch immer öfter Kommunen im Visier. „Die Städte registrieren immer mehr Cyberattacken auf ihre Netzwerke“, bestätigt Helmut Dedy, Hauptgeschäftsführer des Deutschen Städtetags. Inzwischen werden bei den Angriffen nicht nur Daten verschlüsselt, sondern es wird auch damit gedroht, sie zu veröffentlichen, sollten die Kommunen nicht zahlen. 

Um sich gegen die Attacken zu wehren, haben die kommunalen Spitzenverbände ein IT-Grundschutzprofil veröffentlicht, das IT-Verantwortliche in den Kommunen wie eine Schablone verwenden können. „Besonders wirksam ist auch, wenn die IT-Abteilungen Cyberangriffe auf ihr System simulieren“, erklärt Dedy. Das sei zwar zeitaufwendig, aber nach einem realen Angriff könne es bis zu einem halben Jahr dauern, bis die Systeme wieder laufen. 

Auch die deutsche Wirtschaft befindet sich in einem noch nie da gewesenen Belagerungszustand. Offizielle Zahlen gibt es nicht. In Bayern stieg die Zahl der Straftaten im Internet aber laut Polizeistatistik um 20 Prozent an. „Betrüger nutzen Sicherheitslücken schonungslos aus“, bestätigt Bernhard Kux von der IHK für München und Oberbayern. Angreifer*innen geht es entweder um Kundendaten, Firmeninterna oder eben um das Lösegeld für die Freigabe der Daten. „Zu viele Unternehmen sehen IT-Sicherheit dennoch nur als Kostenblock“, klagt Kux. 

Zwar gibt es in Bayern für Unternehmen bei Fragen zur IT-Sicherheit bereits das Cyber-Allianz-Zentrum und die Zentrale Ansprechstelle Cybercrime. Die IHK wünscht sich von der Politik aber gerade für kleine und mittelständische Unternehmen mehr neutrale Lotsen zum Thema IT-Sicherheit. „Wie in anderen Bundesländern sollte es auch bayerischen Unternehmen erleichtert werden, offensichtlich illegale Praktiken zu melden oder online Strafanzeige zu stellen“, fordert Kux. Zudem sollte es eine zentrale Stelle geben, an der Angriffe auf freiwilliger Basis gemeldet werden können. 

In zwei Punkten hat das bayerische Innenministerium auf die jüngsten Entwicklungen reagiert. Seit Sommer gibt es zum einen unter 089/1212-4400 eine polizeiliche Hotline für IT-Notfälle für Bürgerinnen und Bürger, zum anderen gibt es die Cybercrime Quick-Reaction-Teams. Das sind polizeiliche IT-Spezialist*innen, die bei schweren Angriffen rund um die Uhr helfen. „Wir müssen davon ausgehen“, sagte der scheidende Bundesinnenminister Horst Seehofer (CSU), „dass die Gefährdungslage im Cyberraum dauerhaft so hoch bleibt oder sogar zunehmen wird.“ (David Lohmann)