Cyberkriminalität subjektiv und objektiv – Neue Umfrage und neue Statistik zeigen weiterhin unzureichende Schutzbereitschaft
Diese Woche sind die Ergebnisse des diesjährigen Cybersicherheitsmonitors vorgestellt worden. Sie stammen aus einer Umfrage, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit 2023 jährlich zusammen mit dem Programm Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK) durchführt. Im Großem und Ganzen zeigen sich keine signifikanten Veränderungen gegenüber den Vorjahren in den Angaben der befragten Bürgerinnen und Bürger. Ebenfalls in dieser Woche hat das Bundeskriminalamt das "Bundeslagebild Cybercrime 2025" veröffentlicht. Bei einzeln Straftaten wird ein Anstieg um 25% festgestellt. Hat sich doch was verändert? Und es gibt weitere Unterschiede zwischen den Umfrageergebnissen und den statistischen Daten. Aber man kann auch eine Gemeinsamkeit sehen: Betroffene und Geschädigte tragen eine Mitschuld, weil sie trotz jahrelanger Warnungen und Empfehlungen zu wenig zu ihrem Schutz und dem ihrer Systeme tun.
Der Cybersicherheitsmonitor
Seit 2023 erscheint jährlich eine Studie des Programms Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK) und des BSI. Dazu wurden in diesem Jahr 3.060 deutschsprachige Bürgerinnen und Bürger ab 16 Jahre zu ihrem Informations-und Schutzverhalten sowie den persönlichen Erfahrungen mit Cyberkriminalität befragt.
Persönliche Betroffenheit
Die Schlagzeile in den Medien, entsprechend der Pressemitteilung lautete: „Jede bzw. jeder Zehnte hat im Vorjahr Cyberkriminalität erlebt." Schwer zu sagen, ob das viel oder nicht so viel ist. Aber man kann eindeutig feststellen, ob das mehr oder weniger ist als in den Vorjahren. Die Antwort: Beides! Ein Prozentpunkt mehr als im Vorjahr, ein Prozentpunkt weniger als vor drei Jahren. Der gleitende Durchschnitt über die vier Jahre liegt bei zehn Prozent.
Deutlichere Veränderungen gibt es bei der Art der Straftaten, die die Betroffenen angegeben haben. Zur Auswahl standen 22 verschiedene Straftaten. Bei den am häufigsten genannten Straftaten sind die Prozentwerte von 2026 gegenüber 2023 leicht rückläufig:<
- Betrug beim Onlineshopping: 23% gegenüber 27%,
- Fremdzugriff auf einen Account: 14% gegenüber 20%,
- Betrug beim Onlinebanking / Missbrauch von Kontodaten: 13 % gegenüber 15% (2024),
- Phishing: 12% gegenüber 15%,
Leichte Zuwächse gab es bei Identitätsdiebstahl, Love Scaming, Schadsoftware, Deep Fakes, Smishing und Manipulationen von KI-Anwendungen.
Bemerkenswert finde ich:
- Betrug beim Onlineshopping wird häufiger genannt als Betrug beim Onlinebanking, weil dabei mehrere Schädigungen eintreten können: Falsche Angaben, Fake Shops, Lieferung falscher Ware, Beschädigungen auf dem Transportweg, keine Reaktion auf Rückerstattungsansprüche u.a.m.
- In den leichten Rückgängen kann man eine gewisse Wirkung von Aufklärungsmaßnahmen sehen.
- Bei der Frage nach der Art des Schadens haben finanzielle Schäden mit 33% gegenüber 18% deutlich zugenommen, obwohl die Häufigkeit finanziell relevanter Straftaten wie oben gezeigt abgenommen hat.
- Dementsprechend haben zwei Drittel der Befragten immaterielle Schäden genannt, wie Vertrauensverlust, zeitliche Schäden, emotionale Schäden u.ä.
- Cybermobbing und sexuelle Belästigung sind mit 3 bis 4 bzw. 5 bis 6% anscheinend nicht so häufig sind, wie es manchmal dargestellt wird. Anders als bei Strafanzeigen ist in einer solchen anonymen Befragung mit keiner hohen Dunkelziffer zu rechnen.
- Mit Love Scamming (7 – 8%), Sextortion (3 – 5%) und Smishing (2 – 3%) wurde nach Straftaten gefragt, von denen ich bisher nichts wusste. (Falls es Ihnen auch so geht: Smishing ist Phishing bei SMS, Love Scamming ist Liebesbetrug, Sextortion ist Erpressung mit ins Netz gestellten sexuellen Fotos der Opfer – müssen das Englische Ausdrücke in einer solchen Umfrage sein?).
Über die statistischen Erkenntnisse hinaus eignet sich diese Liste mit den 22 Straftaten m.E. auch sehr gut als eine Diskussionsgrundlage in Seminaren, Übungsgruppen und Beratungsgesprächen.
Informations- und Schutzverhalten
Das gilt auch für die Fragen zum Informations-und Schutzverhalten. Zum Informationshalten heißt es:
- „Das Informationsverhalten rund um Cybersicherheit zeigt sich über die Jahre recht stabil: Etwa 14 Prozent informieren sich regelmäßig über Cybersicherheit, ungefähr jede bzw. jeder Vierte jedoch nie (24 %). Ein Großteil informiert sich zudem nur hin und wieder (40 %).
- Diejenigen, die in den letzten 12 Monaten betroffen waren, informieren sich etwas häufiger". Aber von ihnen sagen noch 14 %, dass sie sich nie informieren, also auch nicht, als sie betroffen waren.
Die genutzten Informationsquellen sind über die vergangenen vier Jahre unverändert:
- Zwei Drittel der Befragten, also unabhängig von der Betroffenheit, informieren sich im Internet,
- jeweils ein Drittel bei Familie, Freunden, Bekannten bzw. in Sozialen Netzwerken,
- von den klassische Medien nutzen 26% das Fernsehen, 13% Zeitungen und 11% das Radio,
- bemerkenswert finde ich die geringe Nutzung von Broschüren (6%) und Fortbildungen bzw. Informationsveranstaltungen (4%), die somit etwas überschätzt werden.
Schutzmaßnahmen
Zum praktischen Verhalten wurde für 19 verschiedene Schutzmaßnahmen gefragt, ob diese bekannt sind und ob sie genutzt werden. Wie in den Vorjahren sind rund sechs Maßnahmen bekannt, von denen aber nur vier genutzt werden.
Bei vielen Maßnahmen ist ein bedenklicher Rückgang gegenüber der Befragung von 2023 zu verzeichnen:
- Bei sicheren Passwörtern von 53 auf 46%,
- bei aktuellen Virenprogrammen sogar von 54 auf 40%,
- aktuelle Firewall von 36 auf 28%,
- automatische Installation verfügbarer Updates von 36 auf 26%.
- Die Nutzung der Zwei-Faktor-Anmeldung war 2025 von 42 auf 34% zurückgegangen, 2026 aber wieder auf 40% angestiegen.
Die Nutzung von Passwortmanagern ist mit 14 bis 15% über die Jahre gleich niedrig geblieben. 7% schützen sich, indem sie auf Onlinebanking verzichten und 3% auf Onlineshopping.
Gründe für den Verzicht auf Schutzmaßnahmen
Die größte praktische Relevanz haben de Antworten auf die Frage, warum nicht alle Schutzmaßnahmen genutzt werden:
- Rund 30% sehen keinen Grund, sie fühlen sich sicher,
- ein Viertel sagt, das ist zu kompliziert, 23% fühlen sich überfordert, 20% sind irritiert, weil überall etwas anderes empfohlen wird, 8% verstehen nicht, wie sie sich schützen können.
- 14% wissen nicht, wo sie seriöse Empfehlungen bekommen,
- bei 12% kümmert sich jemand anderes darum,
- 7% interessiert das Thema nicht, für 6% ist es nicht wichtig.
Diese Befunde passen m.E. nicht zu dem Eigenlob der Präsidentin des BSI, die in einem Geleitwort sagt:"Viele Menschen wollen sich sicher online bewegen, brauchen dafür aber niedrigschwellige Informationen. Diese liefern wir – etwa indem wir Anleitungen für Sicherheitsmaßnahmen im digitalen Alltag bereitstellen und Lehrkräfte befähigen, das Thema in ihren Unterricht zu holen." Auch die Hinweise im Ausblick ziehen m.E. nicht die notwendigen Konsequenzen: "Wie schon im Vorjahr zeigte sich zudem: Am häufigsten benötigen Informationssuchende Handlungsempfehlungen für den Ernstfall. BSI und ProPK setzen daher ihre "Checklisten für den Ernstfall" fort: Zwei neue Checklisten erklären die wichtigsten Schritte für Betroffene von Identitätsdiebstahl sowie Betrug beim Online-Shopping. Auf den Websites von BSI und ProPK finden Betroffene zudem auch Hilfestellungen im Fall von u. a. einer Infektion mit Schadsoftware, Erpressung mit sexualisierten Inhalten oder Cybermobbing." Ich würde aus den Ergebnissen eher ableiten, dass die Daten zeigen, dass es nicht nur darum geht, Wissen zu verbreiten, sondern Verhalten zu ändern, was – wie wir aus den Bereichen Gesundheit und Umwelt wissen, mit Broschüren, Web-Seiten und Unterricht alleine nicht gelingt. Wie es gelingen könnte, weiss ich auch nicht. Aber ich würde Gesundheits- und Umweltpsychologen fragen.
Bundeslagebild Cybercrime- Deutschland 2025
Das Bundeslagebild Cybercrime ist ein jährlicher Auszug aus der Polizeilichen Kriminalstatistik. Ich habe erwartet, dass man darin die statistischen Daten zu den in der BSI-Umfrage genannten Straftaten findet. Weit gefehlt. Gleiche Wörter bedeuten noch lange nicht gleiche Sachverhalte. Als Cybercrime in der Polizeistatistik werden vor allem Ransomeware und Data-Extortion sowie Distributed Denial-of-Service (DDoS) & Hacktivismus betrachtet. Da geht es um organisierte Kriminalität und feindliche Nachrichtendienste, massive Angriffe auf Kommunen, große und auch kleinere Unternehmen und Lösegeldzahlungen, alles mit einer großen Dunkelziffer in Bezug auf die Anzahl der Angriffe und vor allemd ie Täter, die überwiegend aus dem Ausland angreifen und polizeilich oft nicht zu ermitteln sind. Mit den in der BSI Umfrage behandelten Straftaten hat das alles nicht viel zu tun. Da haben von den Opfern von Cyberkriminalität nur 2% Ransomsoftware und andere Erpressersoftware genannt.
Es ist ohne Zweifel interessant sich dieses Lagebild Cyberkriminalität für Unternehmen und Verwaltungen näher anzuschauen. Für die digitale Teilhabe im Alter und auch die Cybersicherheit von allen Verbraucherinnen und Verbrauchern kann man aus dieser Statistik nur indirekt drei Dinge lernen:
- Man kann von dem in den Medien berichteten Anstieg bei der Cyberkriminalität in Bezug auf Unternehmen und Verwaltungen nicht auf einen ähnlichen Anstieg bei den Verbraucherinnen und Verbrauchern schließen.
- Die in der BSI- und ProPK-Umfrage als Straftaten bezeichneten Formen der Cyberkriminalität finden größtenteils gar keinen Eingang in die Kriminalstatistik.
- Das Bundeskriminalamt kritisiert in dem Bericht, dass die Unternehmen zu wenig gegen die behandelten Formen von Cyberkriminalität tun. Das sollte keine Entschuldigung für die Verbraucherinnen und Verbraucher sein.
Irritation durch die BITKOM-Studie
Anfang letzten Jahres hatte BITKOM bereits einen Bericht über eine Umfrage mit dem Titel „Cyberkriminalität – Bevölkerungsumfrage zu Wahrnehmung, Erfahrungen und Schutzverhalten“ veröffentlicht, die ich mir im Lichte der BSI-/ProPK-Umfrage noch einmal angeschaut habe. Thematisch ist sie breiter angelegt und deckt auch die Einstellungen und Meinungen zu den in der Kriminalstatistik behandelten Angriffe auf Unternehmen und Verwaltungen, Annahmen über mutmaßliche Täter und Länder aus denen diese kommen u.a.m. ab. Sehr irritierend finde ich die sehr unterschiedlichen Daten zu den Fragen nach persönlicher Betroffenheit.
- Danach haben 61% die Frage „Haben Sie in den vergangenen 12 Monaten Erfahrungen mit Cyberkriminalität im Internet gemacht?“ bejaht, statt 10% bei der fast gleichlautenden Frage in der BSI-/ProPK-Umfrage.
- 36% aller Befragten haben angegeben beim Onlinehandel betrogen worden zu sein. (Siehe auch die Pressemitteilung. In der anderen Umfrage waren es 23% der 10% Betroffenen.
- 30% haben gesagt, dass sich jemand persönliche Informationen von Ihnen beschafft hat (z.B. Passwörter). Diese Frage gibt es so in der anderen Umfrage nicht.
- Und bei 24% wurden Computer/Smartphone mit Schadsoftware infiziert.
Alle anderen Erfahrungen liegen im einstelligen Prozentbereich, wie bei der anderen Umfrage. Überraschend ist, dass nach Erfahrungen mit Cyberkriminalität beim Onlinebanking nicht ausdrücklich gefragt wurde.
Ich kann mir den riesigen Unterschied beim Onlinehandel nicht erklären. Auch die BITKOM-Umfrage gibt an, auf einer repräsentativen Stichprobe aus 1.115 Personen ab 16 Jahre zu basieren. Dass hier die Einschränkung „deutschsprachig“ fehlt, ist wohl nur ein redaktionelles Versehen. Ich kann mir nicht vorstellen, dass hier auch nicht-deutschsprachige Personen befragt wurden und diese so viel häufiger Opfer von Betrug beim Onlinehandel geworden sind. Ich werde bei der BITKOM-Pressestelle einmal nachfragen.