Nie war die Gefahr durch Cyberangriffe so hoch wie heute. Laute Alarmrufe stoßen nicht nur Bundesinnenministerin Nancy Faser (SPD) und das ihr unterstellte Bundesamt für Sicherheit in der Informationstechnik (BSI) aus. Auch Katharina Korczok von der Verbraucherzentrale Bundesverband warnt vor Angriffen auf digitale Türschlösser, Smartphones oder ferngesteuerte Saugroboter. "Leider ist die Stellschraube, um sich cybersicher aufzustellen, für Verbraucher*innen sehr klein. Sichere Passwörter und Firewalls helfen, aber letztlich liegt der Ball bei den Herstellern", so die Position der Digital-Expertin.

Immerhin tut sich auf politischer Ebene nun etwas. In Brüssel verhandeln EU-Kommission, Parlament und Rat einen Gesetzentwurf zu Cybersicherheit vernetzter Produkte. Erstmals soll es verpflichtende Mindestanforderungen für smarte Gerätschaften und digitale Dienste geben. Bisher sind ferngesteuerte Lampen, Fitness-Tracker und manche Babyphones ein weit geöffnetes Einfallstor für Datenmissbrauch oder Identitätsdiebstahl. Die Folgen können fatal sein: Intime Informationen stehen für alle Welt sichtbar im Netz, oder jemand nutzt erbeutete Passwörter, um Konten zu plündern oder falsche E-Mails zu verschicken.

2022 registrierte die Polizei in Deutschland fast 140.000 Fälle von Cyberkriminalität

So wie es aussieht, werden die EU-Vorschriften aber weit hinter den Vorstellungen von Verbraucherschutzorganisationen zurückbleiben. So sollen die Hersteller selbst prüfen, ob ihre Produkte den gesetzlichen Anforderungen entsprechen. Nur bei Geräten, die als besonders kritisch eingeschätzt werden, sind unabhängige Kontrollen vorgesehen.

Darüber hinaus hat die Industrie erfolgreich darauf gedrängt, dass die Anfang des kommenden Jahres in Kraft tretende Verordnung erst drei Jahre später wirksam wird. "Damit wären die Cybersicherheitsanforderungen voraussichtlich erst im Jahr 2027 verpflichtend einzuhalten. Angesichts der enorm hohen Anzahl von Cybersicherheitsvorfällen und den damit einhergehenden Schäden ist eine so lange Übergangszeit nicht gerechtfertigt", sagt Johannes Kröhnert, Leiter des TÜV-Büros in Brüssel.

Gehackt: Bitter für Bitterfeld

Nicht nur Privatleute, sondern auch Unternehmen, Behörden und Krankenhäuser sind in den vergangenen Jahren Opfer von Angriffen geworden. So griffen Hacker beim Autozulieferer Continental in diesem Frühjahr 40 Terabyte Daten ab. Auch die Hotelkette MotelOne und der Flugzeughersteller Boeing wurden Opfer von Hackern. Nicht selten geht es darum, Betriebe zu erpressen.

Der erste Landkreis in Deutschland, der diese schockierende Erfahrung machte, war Anhalt-Bitterfeld, wo im Sommer 2021 plötzlich alle Daten verschlüsselt waren. Alle Computer vom Sozialamt über die Behörde für Baugenehmigungen bis hin zur Autoanmeldestelle waren betroffen. Die Erpresser verlangten eine halbe Million Euro Lösegeld. Die Kommune weigerte sich zu zahlen und rief BSI und Bundeswehr zur Hilfe. Über ein halbes Jahr dauerte der Cyber-Katastrophenalarm im Landkreis, der Neuaufbau der IT kostete letztlich rund 2,5 Millionen Euro.

Ransom-Ware heißt solche Schadsoftware im Fachjargon. Das Bundeskriminalamt zählt sie zu den stärksten Bedrohungen für Firmen und öffentliche Einrichtungen. 2020 sah sich die Düsseldorfer Uniklinik damit konfrontiert. Sie hatte keinen Zugriff mehr auf Patientendaten und E-Mails; auch die Telefonanlage war tot. Zwar schickten die Erpresser in diesem Fall bald einen Entschlüsselungscode; offenbar hatten sie eigentlich die Universität selbst angreifen wollen. Doch die Folgen für Belegschaft und viele Patient*innen waren erheblich. Und das ist kein Einzelfall. Erst im Oktober wurden Computer der Uniklinik in Frankfurt am Main attackiert.

89 kritische Sicherheitslücken

Manchmal reicht schon der Klick auf einen Link oder das Öffnen eines E-Mail-Anhangs, um ein ganzes Unternehmensnetzwerk zu gefährden. Dabei hilft den Angreifern inzwischen auch KI. Während sich sogenannte Pishing-Mails früher durch falsche Rechtschreibung und merkwürdige Formulierungen oft rasch erkennen ließen, erscheinen sie inzwischen immer authentischer von einer zuverlässigen Quelle zu stammen. Und noch etwas macht es vielen Angreifern leicht: Etwa 70 Prozent der Desktops laufen mit Microsoft-Software. Allein im Jahr 2022 verzeichneten Experten darin 89 kritische Sicherheitslücken.

Oft ist unklar, wer hinter den Angriffen steckt. Neben kriminellen Banden und jugendlichen Spielern sind es zunehmend auch politisch motivierte Gruppen oder Söldner, die im Auftrag von Regierungen handeln. Die Strukturen solcher Hackernetzwerke haben sich mit den Jahren immer stärker professionalisiert. Manche Beteiligte forschen die Sicherheitslücken von Unternehmen aus, andere bauen Websites, die den Originalen äußerst ähnlich sehen oder entwickeln psychologische Strategien, um Beschäftigte zum Anklicken der Schadsoftware zu verführen. Für Nutzung und Verkauf der Daten sind wieder andere zuständig.

2022 registrierte die Polizei in Deutschland fast 140.000 Fälle von Cyberkriminalität. Dabei ist die Dunkelziffer sehr hoch – denn nur Unternehmen mit kritischer Infrastruktur sind verpflichtet zu melden, wenn sie Opfer eines Cyberangriffs geworden sind. Oft verzichten Firmen darauf, um die Kundschaft nicht zu beunruhigen. Der Branchenverband Bitkom schätzt, dass in Deutschland inzwischen Schäden von 200 Milliarden Euro im Jahr durch Cyberkriminalität entstehen. Was die Aufklärung oft sehr schwierig macht, ist der Einsatz von Würmern und Viren, die viele Computer infizieren und den Hackern ermöglichen, riesige Rechnerkapazitäten für die eigenen Zwecke zu nutzen. Wo die Drahtzieher sitzen, ist dann kaum noch rauszufinden.

Immerhin gelang den Fahndern im Februar 2023 ein großer Schlag gegen eine der größten Ransomware-Gruppen. Die kriminelle Bande namens Hive hatte zuvor tausende von Unternehmen erpresst. Durch internationale Kooperation konnte ein Großteil ihrer Infrastruktur beschlagnahmt werden. Auf den Seiten von Hive im Darknet prangen nun die Logos der erfolgreichen Behörden und signalisieren: Game over.