Cyberkriminelle und ihre Vorgehensweisen

Wer sich zum Thema Cybersicherheit informiert, begegnet zwangsläufig dem Begriff der «Resilienz» – ein der Psychologie entlehntes Wort, das dort die Widerstandskraft umschreibt mit der man schwierige Lebenssituationen ohne anhaltende Beeinträchtigung überstehen kann. Auf die Cybersicherheit umgemünzt meint Resilienz die Fähigkeit von Systemen der Informations- und Kommunikationstechnologie (IKT), trotz Störungen, Angriffen oder anderen widrigen Umständen ihre Funktionalität aufrechtzuerhalten und sich schnell und effektiv von solchen Ereignissen zu erholen. Zur Erreichung der IKT-Resilienz, konzentriert man sich in der Informationssicherheit auf drei elementare Schutzziele:

• Vertraulichkeit: Die Fähigkeit, Informationen vor unbefugter Offenlegung zu schützen.
• Integrität: Die Fähigkeit, Informationen vor unbefugter Veränderung (inkl. Vernichtung) zu schützen.
• Verfügbarkeit: Die Fähigkeit, den berechtigten Zugang zu Informationen und den kontinuierlichen und zuverlässigen Betrieb von Anwendungen stets aufrechtzuerhalten.

Der Schweizer IKT-Minimalstandard – ein Standard mit Hilfestellungen und konkreten Handlungsanweisungen zur Verbesserung der eigenen IKT-Resilienz – verweist auf die Notwendigkeit, in einem ersten Schritt die eigenen IKT-Risiken zu kennen bzw. einzuschätzen. Andererseits ist es genauso wichtig, die eigenen Systeme und Geschäftsprozesse genau zu kennen, um gezielt Schwachstellen zu identifizieren und Massnahmen zur Resilienzsteigerung ableiten zu können.

Um abschätzen zu können, welche IKT-Risiken auftreten können, ist es informativ, sich anzuschauen, wie mit unterschiedlichen Arten der digitalen Kriminalität versucht wird digitale Systeme, Daten oder Personen zu manipulieren oder zu schädigen.

Straftaten im digitalen Raum

Im juristischen Sinne existiert kein Straftatbestand der digitalen Kriminalität. Aber es gibt im Strafgesetzbuch festgehaltene Straftaten, die dadurch, dass die Tat im digitalen Raum stattfindet, zur digitalen Kriminalität werden. Um dies an einem Beispiel festzumachen: Im Jahr 2023 wurden insgesamt 29'314 Fälle registriert, die den Straftatbestand des Betrugs (Art. 146 Strafgesetzbuch) erfüllen. Davon wurden fast 80% der Fälle im digitalen Raum verübt und entsprechend als Cyberbetrug registriert.

Leider gibt es keine systematische Statistik zu den Fallzahlen von Cyberkriminalität in der Bildung. Die untenstehende, interaktive Abbildung zeigt aber für die gesamte Schweiz die verschiedenen Arten der Cyberkriminalität. Sie basiert auf Daten des Bundesamts für Statistik (BFS), welches jährlich eine detaillierte Statistik zur digitalen Kriminalität publiziert. Aus der Grafik wird ersichtlich, dass es im Wesentlichen drei Hauptgruppen für Tatvorgehen der digitalen Kriminalität gibt. Cyber-Wirtschaftskriminalität ist die mit rund 32'300 jährlichen Straftaten verbreitetste Form der digitalen Kriminalität. Daneben gibt es rund 2670 Fälle von Cyber-Sexualdelikten und knapp 900 Fälle von Cyber-Rufschädigung und unlauterem Verhalten. Zwei weitere Tatvorgehen – nämlich Data Leaking und Illegaler Handel im Darknet – fallen zahlenmässig deutlich weniger ins Gewicht.

Tatvorgehen und Geschädigte der digitalen Kriminalität

Um aus diesen Zahlen zur Cyberkriminalität Informationen hinsichtlich möglicher IKT-Risiken zu gewinnen, ist es aber vor allem wichtig noch eine Ebene tiefer zu tauchen und sich das konkrete Vorgehen der Cyberkriminellen anzuschauen. Durch Klicken auf die unterschiedlichen Ebenen sind interessante Einblicke möglich, einerseits zur enormen Vielfalt, andererseits aber auch zur relativen Häufigkeit der einzelnen kriminellen Vorgehensweisen. Ausserdem sind zu allen Vorgehensweisen – mit teilweise wenig sprechenden Namen – die jeweiligen Definitionen hinterlegt.

Abbildung: Arten und Häufigkeiten von verschiedenen Vorgehensweisen der digitalen Kriminalität (eigene Darstellung mit Zahlen vom BFS 2024).

Durch Klicken auf die jeweiligen Kreise finden sich weiterführende Informationen zu den Tatvorgehen. 

Bei der Cyber-Wirtschaftskriminalität zum Beispiel erfolgen die Taten vorwiegend über Kleinanzeigenplattformen, den Missbrauch von fremden Zahlungssystemen oder Identitäten sowie über Phishing. Dabei zeigen die verschiedenen Vorgehensweisen, dass Cyber-Wirtschaftskriminalität sowohl für Private wie auch für Unternehmen bzw. Institutionen und deren Angestellte eine Gefahr darstellt. Während sich sogenannte Romance Scams eher an Private richten, werden mit DDoS-Attacken oder Hacking ganze IKT-Systeme von Unternehmen oder Institutionen – darunter auch Bildungsinstutitonen – angegriffen. Mit Malware oder betrügerischem technischem Support wiederum wird versucht über Mitarbeitende in die IKT-Systeme von Organisationen einzudringen.

Deutlich stärker im Zentrum stehen private Individuen, wenn es um «Cyber-Rufschädigung und unlauteres Verhalten» oder Cyber-Sexualdelikte geht. Bei diesen Vorgehensweisen sind mit Ausnahme der geschäftlichen Cyber-Rufschädigung und dem Cybersquatting ausschliesslich Individuen betroffen. Spitzenreiter bei den Tatvorgehen sind hier das Cyberbullying und Cybermobbing sowie verbotene Pornografie. Besonders erschreckend: Bei den Cyber-Sexualdelikten sind knapp 90% der Geschädigten unter 21 Jahren (vgl. BFS 2024). Die von «Cyber Rufschädigung und unlauterem Verhalten» sowie von Cyber-Sexualdelikten betroffenen Individuen dürften somit überwiegend oft auch Schülerinnen und Schüler sein.

Diese Fülle an kriminellen Strategien macht deutlich: IKT-Risiken und IKT-Resilienz müssen immer ganzheitlich gedacht werden. Auf Ebene der Organisation mit ihrer Technik und ihrer (physischen) Infrastruktur aber eben auch auf Ebene des einzelnen Menschen, sei dies im Unternehmen oder im Privatleben. 

Bedeutung von Cyberkriminalität für die Bildung 

Leider haben die letzten Jahre gezeigt, dass Bildungseinrichtungen keineswegs vor Cyberkriminalität gefeit sind (siehe auch «Cybervorfälle im schweizerischen Bildungssystem»). Die mannigfaltigen Cyberrisiken, die sich aus dieser digitalen Kriminalität ergeben, stellen also auch das Bildungssystem vor grosse Herausforderungen.

Betreffend die menschliche Komponente von Cyber-Risiken hat das Bildungssystem eine grosse Verantwortung in der Sensibilisierung für und der Vermittlung von Verhaltensweisen, die zu mehr Cyber-Resilienz beitragen. Diese Verantwortung bezieht sich gleichermassen auf Schülerinnen und Schüler wie auch auf Mitarbeitende. Das Bundesamt für Cybersicherheit (BACS) bietet diesbezüglich umfassendes Informationsmaterialien an – zugeschnitten auf Schülerinnen und Schüler wie auch auf Mitarbeitende, zum Beispiel von Schulen und Gemeinden. Ausserdem stellt die Konferenz der kantonalen Justiz- und Polizeidirektorinnen und -direktoren (KKJPD) eine frei zugängliche «Grundausbildung im Bereich Cybersicherheit für Behörden» zur Verfügung. Des Weiteren veröffentlicht die Datenschutzbeauftragte des Kantons Zürich eine Anleitung zur «Sensibilisierung der Mitarbeitenden für Informationssicherheit».

Auf der Ebene der Organisationen geht es darum, die Technik und Infrastruktur der über 10'000 Bildungsinstitutionen (obligatorische Schule und Sekundarstufe II), den deutlich über 2'000 Verwaltungseinheiten mit Bildungsbezug und allen weiteren Akteuren (z.B. schulpsychologische Dienste, Organisationen der Arbeitswelt, Lehrbetriebe) resilient zu gestalten. Diesbezüglich sind Organisationen im Bildungssystem in den meisten Fällen Einzelkämpferinnen. Dies führt je nach Grösse, Ressourcenverfügbarkeit oder Sensibilität für das Thema dazu, dass die Resilienz der Organisationen sehr unterschiedlich ausfällt.