Die fortschreitende Digitalisierung nahezu aller Lebensbereiche schafft seit Jahren neue Tatgelegenheiten für Cyberkriminelle.
Diese Entwicklung geht einher mit der zunehmenden Bedeutung digitaler Infrastrukturen für das öffentliche Leben.
Die in diesem Kontext, nicht zuletzt seit Beginn des russischen Angriffskrieges gegen die Ukraine, gestiegene Bedrohungslage im Cyberraum bildet sich auch im Bundeslagebild Cybercrime 2024 ab. Cyberstraftaten erreichten im Jahr 2024 einen neuen Höchststand. Den Schwerpunkt bildeten hierbei die sogenannten Auslandstaten.
Prägend waren im Berichtsjahr vor allem schwere Straftaten wie Ransomware-Angriffe, eine zunehmende Zahl von DDoS-Kampagnen hacktivistischer und staatlicher Akteure gegen kritische Infrastrukturen und politische Institutionen. Die Grenzen zwischen finanzieller und politischer Motivation verschwimmen dabei zusehends.
Die Bekämpfung von Cybercrime hat daher eine hohe Priorität für das Bundeskriminalamt, gerade auch als Beitrag zur Gewährleistung der Cybersicherheit in Deutschland.
Polizeiliche Maßnahmen dienen hierbei als Gegenpol zu cyberkriminellen Aktivitäten und wirken auf unterschiedlichen Ebenen erfolgreich gegen organisierte Täterstrukturen mit dem Ziel, ihnen Mittel und Möglichkeiten für künftige Tatbegehungen zu entziehen.
Neben einer Betrachtung dieser strafprozessualen Maßnahmen ist die Analyse der Kriminalitätslage wichtiger Bestandteil des Bundeslagebilds Cybercrime, um auf dieser Basis kriminalpolitische Ableitungen für die Zukunft zu ermöglichen.
Zentrale Erkenntnisse des Bundeslagebilds Cybercrime 2024:
- Die Bedrohungslage durch Cyberkriminalität ist in Deutschland anhaltend hoch. Ein Indikator dafür ist die Polizeiliche Kriminalstatistik (PKS), die 131.391 in Deutschland verübte Cybercrime-Fälle für das Jahr 2024 ausweist. Bei weiteren 201.877 Straftaten handelt es sich um sog. Auslandstaten, die vom Ausland oder einem unbekannten Ort aus verübt wurden.
- Cybercrime weist insofern in besonderem Maße internationale Bezüge auf, denen auch auf Ebene der Strafverfolgungsbehörden Rechnung zu tragen ist. Dies zeigt sich in einer deutlichen Zunahme international koordinierter (Takedown-)Maßnahmen, wie z. B. der vom BKA initiierten und maßgeblich verantworteten Operation Endgame (www.operation-endgame.com)
- Der durch den Bitkom e. V. im Jahr 2024 festgestellte jährliche Schaden durch Cyberattacken in Deutschland beträgt 178,6 Mrd. Euro und ist damit gegenüber dem Vorjahr nochmals angestiegen.
- Die Aufklärungsquote bei den Cybercrime-Delikten im Inland verharrt mit 32 Prozent deutlich unterhalb der Aufklärungsquote der Gesamt-PKS von 58 Prozent.
- Im Fokus des Bundeskriminalamts steht die Verfolgung herausragender Cyberstraftaten. Im Berichtsjahr 2024 besonders hervorzuhebende Phänomenentwicklungen:
- Ransomware bleibt die prägende Bedrohung im Cyberraum und verursacht weiterhin erhebliche Schäden bei Unternehmen und Privatpersonen. Im Jahr 2024 führten polizeiliche Maßnahmen, die sich gezielt gegen Ransomware-Gruppierungen richteten, zu einem spürbaren Rückgang der Angriffe. Zum anderen trugen operative Maßnahmen gegen Cybercrime-as-a-Service-Angebote zu einem allgemeinen Einbruch der Fallzahlen bei und störten die Geschäfte der Ransomware-Akteure und ihr Vertrauensverhältnis untereinander erheblich. Das zeigt sich auch an Zahlen: Laut Chainalysis (2025) wurden umgerechnet rund 800 Mio. US-Dollar Lösegeldzahlungen festgestellt - ein starker Rückgang von 35 Prozent. In einer bundesweiten Fallerhebung gaben zudem ca. 90 Prozent der Geschädigten an, kein Lösegeld gezahlt zu haben. Die Eindämmung der Aktivitäten von Ransomware-Akteuren hat also auch ein Sinken der illegalen Profite zur Folge. Deutschlandweit wurden 950 Ransomware-Angriffe angezeigt - ein Rückgang der angezeigten Fälle mit Verschlüsselungstrojanern im Vergleich zu 2023 (1.018 Fälle). Trotz dieser Erfolge bleibt die Gefahr durch Ransomware groß: Im internationalen Vergleich ist Deutschland weiterhin das am vierthäufigsten betroffenen Land. Jeden Tag werden der Polizei in Deutschland zwei bis drei schwere Ransomware-Angriffe angezeigt. Sie können Unternehmen in ihrer Existenz bedrohen, die öffentliche Verwaltung lähmen oder auch Kunden von Verkehrsbetrieben betreffen.
- Hacktivistische DDoS-Angriffe auf Ziele in Deutschland nehmen im Kontext mit geopolitischen Entwicklungen weiter zu. Deutschland stellt hierbei eines der primären Ziele der Gruppierungen dar.
- Phishing ist und bleibt ein relevanter Eintrittsvektor - im Berichtsjahr sind Kampagnen mittels Smishing (Phishing per SMS) besonders auffällig.
- KI hat das Potenzial, nicht nur bei Phishing-Straftaten, eine weitere Zunahme von Cyberstraftaten in Deutschland zu begünstigen.
Cybercrime im engeren Sinne
Das Bundeslagebild Cybercrime befasst sich mit „Cybercrime im engeren Sinne“. Dabei handelt es sich um Straftaten, die sich gegen das Internet, weitere Datennetze, informationstechnische Systeme oder deren Daten richten. Dazu zählen auch schwere Straftaten wie Ransomware-Angriffe oder DDoS-Attacken mit erheblichen Störungen.
Cybercrime im weiteren Sinne
Unter diesem Begriff versteht man alle Straftaten, bei denen Informationstechnik eingesetzt wird. Darunter können Betrugsdelikte fallen, aber auch Straftaten wie Cyber-Grooming oder die Verbreitung von Kinderpornografie. Diese Arten von Straftaten werden im „Bundeslagebild Cybercrime“ nicht betrachtet.
Inlandsdaten
Die Zahlen der sogenannten Inlandstaten basieren auf der Polizeilichen Kriminalstatistik. Dabei handelt es sich um Cyberstraftaten, die in Deutschland verübt werden und Schäden in Deutschland verursacht haben. Für ein umfassendes Bild, müssen zur Beurteilung der Lage aber auch die Auslandstaten berücksichtigt werden.
Auslandsdaten
Hierbei handelt es sich um Cyberstraftaten, die aus dem Ausland oder von einem unbekannten Ort aus verübt werden und zu Schäden in Deutschland führen.
Fokus: Cyberkriminelle agieren meist aus dem Ausland
Die Anzahl polizeilich bekannt gewordener Cyberdelikte steigt. Maßgeblich hierfür sind vor allem Fälle, bei denen der Handlungsort des Täters unbekannt oder im Ausland ist (sog. Auslandstaten).
Während Cybercrime-Delikte in der Inlands-PKS nur einen Anteil von 2,3 Prozent an den Gesamtstraftaten darstellen, machen sie in der Auslands-PKS beinahe ein Drittel aller Taten aus (31,4 Prozent).
Phänomenbereiche der Cybercrime
Die Ziele von cyberkriminellen Akteuren sind äußerst vielfältig: Neben finanzstarken Unternehmen stehen staatliche Einrichtungen und Institutionen genauso im Fokus, wie auch leicht verwundbare kleine und mittelständische Unternehmen. Die jeweiligen Motivationen der Tätergruppierungen verschwimmen hierbei zunehmen, sodass eine eindeutige Abgrenzung von rein finanziell und politisch motivierten Cybergruppierungen zunehmend schwieriger wird.
Insgesamt war die hohe Bedrohungslage für das Jahr 2024 geprägt von einer zunehmenden Zahl hacktivistischer DDoS-Kampagnen und einer Vielzahl an Ransomware-Angriffen, die teils weitreichende Auswirkungen auf IT-Supply-Chains (dt. IT-Lieferketten) hatten. Dabei konnten sowohl Aktivitäten etablierter Täter, sog. „Rebrandings“ bestehender Gruppierungen als auch gänzlich neue Gruppierungen festgestellt werden.
Cybercrime ist geprägt von einer Underground Economy, die ihre kriminellen Dienstleistungen inzwischen in einem industriellen Maßstab anbietet. Auch 2024 bleibt das Geschäftsmodell „Cybercrime-as-a-Service“ von zentraler Bedeutung und unterliegt einer weiteren Professionalisierung. Der Einsatz von KI dürfte diesen Trend weiter befeuern.
Initial Access Broker
Cyberkriminelle verschaffen sich besonders häufig über Phishing, Social Engineering oder kompromittierte Zugangsdaten Zutritt in ihre jeweiligen Zielsysteme. Die Vermittlung solcher kriminell erlangten Zugänge an andere Cyberakteure erfolgt durch sogenannte Initial Access Broker (IAB). Diese bieten ihre Dienstleitung in der Regel mehreren Akteuren an. Infektionen können über mehrere Monate unbemerkt bleiben und in diesem Zeitraum verkauft werden. Neben kompromittierten Zugangsdaten umfassen die Angebote von IABs auch die Kenntnisse über (Zero-Day-)Schwachstellen. Software-Schwachstellen stellten besonders häufig den Eintrittsvektor in Unternehmensnetzwerke dar und zogen eine Vielzahl an kompromittierten Systemen mit sich.
Phishing
Das „Abfischen“ von Daten war auch 2024 ein häufig genutztes Mittel, um Straftaten im Internet zu begehen. Dabei handelt es sich um betrügerische Webseiten oder E-Mails, mit denen Cyberkriminelle das Ziel verfolgen, Schadsoftware zu verbreiten und Daten zu stehlen. Betroffen sind nicht nur Unternehmen, sondern auch Privatpersonen. Von den Cyberkriminellen wurden auch 2024 zeitkritische oder emotionalisierende Inhalte beim Verfassen der Mails verwendet, um Druck auf die Empfänger auszuüben und diese zu weiteren Handlungen, wie z. B. dem Herunterladen von Anhängen, zu verleiten. Nachgeahmt werden u.a. bekannte und weit verbreitete Marken und Unternehmen aus der Finanz- und Logistikbranche wie auch Streaming-Dienstleister.
Neue Erkenntnisse zeigen: Phishing-Mails werden durch den Einsatz von KI sprachlich gesehen professioneller und persönlicher. Dadurch steigt das Risiko, dass die Empfänger sie nicht als schadhafte Phishing-Mail erkennen.
Malware
Die Herstellung und Verbreitung von Schadsoftware ist ein zentrales Delikt im Bereich Cybercrime. Besonders hervorzuheben sind dabei Computerprogramme, die Schadsoftware freisetzen und sogar nachladen können. Diese nennt man Dropper bzw. Loader. Eine bedeutende Entwicklung im Bereich Malware ist außerdem der multifunktionale Einsatz von Schadsoftware. Loader wie Qakbot oder Pikabot haben etwa auch Fähigkeiten, Daten zu sammeln oder zu exfiltrieren, während Info-Stealer wie Truebot ebenfalls als Remote Access Tool dienen und Fernzugriff auf die befallenen Systeme etablieren können. Loader bzw. Dropper werden auch im Vorfeld von Ransomware-Angriffen eingesetzt.
Ransomware
Angriffe mit Ransomware sind weit verbreitet. Das Ziel der Cyberkriminellen ist es dabei, die Systeme von Unternehmen zu verschlüsseln oder zu sperren, um Lösegeld zu fordern.
DDoS-Attacken
In den vergangenen Jahren übertrugen sich geopolitische Konflikte in die digitale Welt und mündeten in einem starken Aufschwung hacktivistischer Aktivitäten, die sich am offensichtlichsten in DDoS-Angriffen niederschlugen. Die Grenze zwischen politisch-ideologischer und finanziell motivierter Cyberkriminalität verschwimmt dabei zunehmend. Zu den häufigsten Zielen von Hacktivisten zählten 2024 (Bundes-)Behörden, öffentliche Einrichtungen, das Finanzwesen und Verkehrsbetriebe. Für die konkrete Auswahl der Ziele von DDoS-Attacken ist eine hohe öffentliche Reichweite entscheidend, sodass ein Ausfall der angegriffenen Webseiten von einem großen Teil der Bevölkerung wahrgenommen werden kann.
Deutschland steht zunehmend im Zielspektrum von Angriffskampagnen
Seit Jahren ist eine spürbare Dynamik im Bereich Cybercrime festzustellen: Die Tatgelegenheiten für Cyberkriminelle steigen in Folge von zunehmender digitaler Vernetzung, die Eintrittsschwellen sinken über Cybercrime-as-a-Service-Angebote in der Underground Economy, neue KI-Möglichkeiten und nicht zuletzt die geopolitischen Entwicklungen der letzten Jahre haben sich als erheblicher Treiber für Cyberdelikte erwiesen.
Insbesondere die nicht aufzuhaltende Entwicklung nahezu aller Lebensbereiche hin „zum Digitalen“ bedeutet aber nicht nur mehr Tatgelegenheiten, sondern vor allem auch eine deutlich höhere Verwundbarkeit wesentlicher Elemente des öffentlichen bzw. gesellschaftlichen Lebens. All das führt zu einer quantitativ wie qualitativ gestiegenen Bedrohungslage im Cyberraum, die sich mit Blick auf teils hohe Professionalität der Tätergruppierungen nur teilweise im Hellfeld der polizeilichen Kriminalstatistik abbildet.
Die Bedeutung von Cybersicherheit in Deutschland ist spätestens mit Beginn des Ukrainekriegs noch stärker in den Fokus der Öffentlichkeit gerückt. Aufgrund seiner Rolle als NATO-Mitglied, EU-Schlüsselstaat sowie maßgeblicher finanzieller und materieller Unterstützer der Ukraine steht Deutschland neben Angriffen durch finanziell motivierte Cyberakteure zunehmend auch im Zielspektrum aggressiver, hybrider Angriffskampagnen, die u. a. die Schwächung und Destabilisierung von Staat, Gesellschaft und Wirtschaft zum Ziel haben.
Bekämpfungsansätze müssen mit den Entwicklungen auf Täterseite Schritt halten – Polizeiliche Maßnahmen als Mittel der Aktiven Cybersicherheit
Cybersicherheit erschöpft sich nicht allein in einer möglichst umfassenden technischen Sicherung eigener IT-Systeme, sondern erfordert bei bereits bestehenden Bedrohungslagen konkrete Maßnahmen der polizeilichen Gefahrenabwehr sowie im Falle bereits erfolgter Cyberangriffe auch Maßnahmen der Strafverfolgung, um technische Ressourcen zur Begehung dieser Straftaten nachhaltig zu stören und zur Verunsicherung der Täterseite beizutragen („aktive Cybersicherheit“).
Da insbesondere professionelle Tätergruppierungen häufig aus so genannten „Safe Havens“ heraus agieren, also Staaten, die nicht oder nur sehr schlecht mit westlichen Strafverfolgungsbehörden zusammenarbeiten, läuft der klassisch personenbezogene Bekämpfungsansatz alleine vielfach ins Leere. Die personenbezogenen Ermittlungen müssen daher zwingend mit einem koordinierten Vorgehen gegen kriminelle technische Infrastrukturen (sog. Infrastrukturansatz) und dem Entzug finanzieller Mittel (sog. Finanzansatz) kombiniert werden. Ergänzt werden diese Maßnahmen durch die öffentliche Benennung, Fahndung oder Sanktionierung identifizierter Cyberkrimineller (sog. disruptive Kommunikation). In Kombination all dieser Werkzeuge kann den Angriffskampagnen von Tätern ein darauf abgestimmter Bekämpfungsansatz als Mittel der aktiven Cybersicherheit entgegengestellt werden.
Ein derartiges Vorgehen ist allerdings nur mit vereinten, internationalen Kräften permanent zu gewährleisten. Die Täterschaft agiert international und ihre inkriminierte Infrastruktur ist oftmals weltweit verteilt. Deshalb ist die internationale Zusammenarbeit bei der Bekämpfung der Cybercrime unverzichtbar.
Ermittlungserfolge 2024
Das zurückliegende Jahr zeigt erneut: Unsere polizeilicher Bekämpfungsansatz wirkt. Die Anzahl der operativen Maßnahmen nahm im Vergleich zu den Vorjahren weiter zu und setzte damit einen neuen Maßstab für die Bekämpfung der Cyberkriminalität.
Die primäre Zielrichtung ist es hierbei, den Cyberkriminellen die Mittel für künftige Tatbegehungen (technische Infrastrukturen und Finanzmittel) zu entziehen und Misstrauen in (etablierten) Arbeits- und Vertrauensverhältnissen der Underground Economy zu erzeugen. So wurden im Jahr 2024 sämtliche Bereiche der Cyberkriminalität wie Dropper, Stresser- und Crypting-Services, Marktplätze und Dienstleister der Underground Economy sowie Krypto-Exchange-Services und sonstige technische Infrastrukturen Ziel polizeilicher Maßnahmen.
Der Wiederaufbau von Dienstleistungen und Infrastrukturen dauert häufig mehrere Monate und bindet erhebliche Ressourcen bei den Kriminellen. Maßnahmen der Strafverfolgungsbehörden, die sich zusätzlich gegen die entsprechende kriminelle finanzielle Infrastruktur richten, verzögern diesen weiter. Und auch wenn diese Dienstleistungen nach gewisser Zeit wieder angeboten werden, stellen sie häufig nicht mehr dasselbe Bedrohungspotential dar, wie vor den Maßnahmen: Wichtige Ressourcen sind nicht mehr zugänglich und Kunden sowie Partner verlieren Vertrauen in die Sicherheit und Zuverlässigkeit der angebotenen illegalen Services und dahinterstehender Anbieter.
Auswahl an Erfolgen zum Sliden
Aktive Cyberabwehr – Mit der Täterseite Schritt halten
Erzielte Erfolge bei der Bekämpfung der Cybercrime dürfen nicht über die dynamische Lage im Cyberraum und die sich stetig anpassenden Vorgehensweisen von Cyberkriminellen hinwegtäuschen. Insofern führt die aktuelle Bedrohungslage im Bereich Cybercrime zu zwei Schlussfolgerungen:
- Erstens: Polizeiliche Maßnahmen wirken und sollten daher ausgeweitet werden (Stärkung der Ermittlungsressourcen).
- Zweitens: Die rechtlichen Rahmenbedingungen müssen mit der Täterseite Schritt halten. Insbesondere im Bereich Gefahrenabwehr fehlen essentielle rechtliche Grundlagen, um herausragende Cyberangriffe auf Bundesebene wirksam abwehren zu können („aktive Cyberabwehr“).
Wie in der analogen Welt sind für die Abwehr von Gefahren grundsätzlich die Bundesländer mit einer heterogenen Befugnislandschaft zuständig. Eine zentrale Möglichkeit zur Abwehr von herausragenden Gefahren durch das Bundeskriminalamt (BKA) besteht im Bereich Cybercrime – anders als bei Terrorismus – bisher nicht. Eine effektive Bekämpfung schwerwiegender Bedrohungen aus dem und im Cyberraum sowie die Zerschlagung der dahinterstehenden kriminellen Strukturen erfordert allerdings, dass im Sinne eines ganzheitlichen und effizienten Bekämpfungsansatzes die Strafverfolgung und polizeiliche Gefahrenabwehr zentral und aus einer Hand erfolgen.
Das BKA verfügt über die notwendigen (technischen) Fähigkeiten, um diese Aufgabe zu übernehmen und unterstützt daher die im Koalitionsvertrag von CDU/CSU und SPD niedergelegte Forderung zum Ausbau von Fähigkeiten zur aktiven Cyberabwehr sowie der weiteren Stärkung der Sicherheitsbehörden.
Fokus: Cyberkriminalität und Künstliche Intelligenz
Die stetigen Fortentwicklungen im Bereich der Künstlichen Intelligenz (KI) kamen 2024 bereits zum Tragen. Seit Veröffentlichung des ersten ChatGPT-Modells im November 2023 wurden inzwischen zahlreiche generative KI-Modelle (weiter-)entwickelt, die nicht nur Wort und Schrift, sondern auch Bild, Ton und Video generieren und verarbeiten können. Viele kriminelle Akteure ergänzen bereits ihr bisheriges Repertoire durch generative KI.
Im Bereich Cybercrime im engeren Sinne sind davon vorwiegend die Phänomene Phishing und Malwareentwicklung betroffen. Da KI-Modelle für jegliche Bedarfe kontinuierlich weiterentwickelt werden, ist für das Jahr 2025 eine weitere Verschärfung KI-unterstützer Straftaten zu erwarten. Dabei gilt gerade für den Bereich Cybercrime im engeren Sinne: Auch wenn KI bestehende Modi Operandi bislang nicht revolutioniert hat, kann sie Cyberangriffe nicht nur professioneller gestalten, sondern durch Automatisierung auch schneller ein breiteres Ausmaß und folglich eine höhere Kritikalität erreichen.