Zu den Kommentaren springen

Wenn Opfer keine Hilfe suchen – Eine Online-Befragung zu Viktimisierung und Anzeigeverhalten bei Cyberkriminalität

von Jana Bader, Wiss. Mit. Benedikt Iberl und Wiss. Mit. Sarah Schreier, M.A.

Beitrag als PDF Version 

Abstract
Cyberkriminalität ist ein aktuelles und allgegenwärtiges Thema, bei dem nach wie vor großer Forschungsbedarf besteht; insbesondere das Anzeigeverhalten der Opfer stellt derzeit eine Forschungslücke dar. Die vorliegende Studie untersucht die Prävalenz von Cyberkriminalität und das Anzeigeverhalten nach Opferwerdung bei einer universitären Stichprobe. Es resultieren eine Viktimisierungshäufigkeit von 44 % und eine Anzeigehäufigkeit von 13 %. Neben der Einordnung der Ergebnisse in den Forschungsstand werden Gründe für die niedrige Anzeigebereitschaft diskutiert.

Cybercrime is a current and omnipresent phenomenon and as such is still in need of further research. In fact, research on the reporting behavior of victims particularly represents a gap in research. Using a university sample, the present study examines the prevalence of cybercrime and the reporting behavior after victimization. The study reveals a victimization frequency of 44 % and a reporting frequency of 13 %. In addition to linking the results of this study into the wider state of research, reasons for the low willingness to report are discussed.

I. Einleitung

„Zu sorglos im Home-Office: Pandemie öffnet Hackern neue Einfallstore“,[1] oder „Alarmstufe Rot: Zahl der Cyberangriffe weiter gestiegen“[2] – solche Überschriften sind in der medialen Berichterstattung zu Cyberkriminalität allgegenwärtig. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet die IT-Sicherheitslage in Deutschland als kritisch und sieht die Entwicklung der Cyberkriminalität als „größte Bedrohung“.[3] Besonders durch die Corona-Pandemie wurde in vielen gesellschaftlichen Lebensbereichen verstärkt auf digitale Infrastrukturen zurückgegriffen, was Cyberkriminellen eine größere Angriffsfläche bietet. Das Bundeskriminalamt (BKA) berichtet etwa von bundesweiten Phishing-Kampagnen und Fake-Webseiten für „Corona-Soforthilfen“ sowie von maliziösen Onlineshops, welche mitunter angebliche Schnelltests und gefälschte Medikamente zum Kauf anboten.[4] Auch im Dunkelfeld finden sich Hinweise auf einen Anstieg von Cyberkriminalität während der Pandemie.[5]

Insgesamt ist die Bandbreite der Cyberkriminalität groß, was die begriffliche Eingrenzung und Erforschung dieses Phänomens erschwert. Klassischerweise zählt das Infizieren digitaler Endgeräte durch Malware (z.B. Trojaner oder Viren) zur Cyberkriminalität.[6] Im Jahr 2020 wurden ca. 1,15 Milliarden Malware-Varianten identifiziert, wobei täglich rund 314 000 neue Varianten programmiert und verbreitet werden.[7] Eine weitere Cyberkriminalitätsform ist der digitale Identitätsdiebstahl, bei dem über verschiedene Wege personenbezogene Daten des Opfers (z.B. Bankdaten) abgegriffen werden.[8] SPAM- und Phishing-Mails dienen oft als Vehikel für eine Vielzahl an Betrugsmaschen, wobei Ähnlichkeiten zu „klassischen“ Betrugsdelikten wie dem „Enkeltrick“ bestehen können. Darüber hinaus zählen der Handel auf digitalen Schwarzmärkten oder auch Cybermobbing zur Cyberkriminalität. Selbstverständlich befindet sich dieser Phänomenbereich jedoch in stetigem Wandel.[9]

Bis dato gibt es nur wenige kriminologische Dunkelfeldstudien zum Ausmaß der Cyberkriminalität, wobei insbesondere Studien rar sind, die sich auf Privatpersonen beziehen. Das BSI hat 2019 eine solche Studie durchgeführt, bei der 2 000 Personen zu Cybersicherheit befragt wurden. Dabei gaben 24 % der Befragten an, bereits Opfer von Cyberstraftaten geworden zu sein.[10] Im Rahmen des „WISIND-Surveys“ wurden knapp 12 000 Personen in Deutschland befragt, wobei etwa jede*r Fünfte angab, zwischen 2012 und 2014 von Internetkriminalität betroffen gewesen zu sein.[11] Auch das Landeskriminalamt (LKA) Schleswig-Holstein hat eine derartige Studie durchgeführt, wobei eine Jahresprävalenz von ca. 23,6 % für die Viktimisierung durch Cyberkriminalität nachgewiesen werden konnte.[12]  Die Entwicklung der Prävalenz von Cyberkriminalität kann beispielsweise anhand der regelmäßigen Umfragen des Marktforschungsunternehmens Bitkom Research beurteilt werden. Seit 2014 werden dabei jährlich rund 1 200 deutsche Internetnutzer*innen zu Themen rund um das Internet und IT-Sicherheit befragt. Im Jahr 2020 gaben rund 61 % der Befragten an, innerhalb des letzten Jahres Erfahrungen mit „kriminellen Vorfällen im Internet“ gemacht zu haben,[13] wohingegen dies 2019 nur von 55 %[14] und 2018 nur von ca. 50 %[15] der Befragten angegeben wurde. Zusammenfassend lassen sich also durchaus große Unterschiede in der ermittelten Verbreitung von Cyberkriminalität feststellen, wobei die jeweils unterschiedlichen Operationalisierungen und Prävalenzzeiträume in den einzelnen Studien zu beachten sind. Festzustellen ist dabei, dass Cyberstraftaten weit verbreitet sind und in den letzten Jahren stetig zuzunehmen scheinen.

Da Cyberkriminalität vielfach als die Kriminalitätsform bezeichnet wird, die die mit Abstand höchste Dunkelziffer aufweist, kann von einer großen Diskrepanz zwischen Hellfeld und Dunkelfeld ausgegangen werden.[16] Dieses große Dunkelfeld dürfte auch durch die geringe Anzeigebereitschaft der Opfer bedingt sein. So ermittelten Dreißigacker und Riesner eine Anzeigebereitschaft von ca. 9,7 % im Jahr 2014,[17] wohingegen das LKA Niedersachsen eine Anzeigequote von 12 % für den Zeitraum zwischen 2012 und 2014 angibt.[18] Gründe für dieses zurückhaltende Anzeigeverhalten könnten einerseits in der vergleichsweise geringen Aufklärungsquote auf diesem Gebiet (29,3 %)[19] liegen, die möglicherweise die Hoffnung der Betroffenen auf eine erfolgreiche Strafverfolgung schmälert. Andererseits ist auch denkbar, dass Betroffenen oftmals nur ein vergleichsweise geringer Schaden entsteht, weshalb eine Anzeige nicht lohnenswert erscheint.

Das Forschungsanliegen der vorliegenden Studie bestand darin, herauszufinden,  wie Cyberkriminalität von Privatpersonen wahrgenommen und erfahren wird. Dabei wurden mithilfe einer Online-Befragung Prävalenzen ermittelt, um die Verbreitung von Cyberkriminalität zu beziffern. Außerdem lag ein Fokus auf den Fragen danach, wie Betroffene mit erlebten Straftaten umgehen und ob diese zur Anzeige gebracht werden. Methodisch erschien ein explizit exploratives Vorgehen (unter Verzicht auf konkrete Hypothesen) geeignet. Aus forschungsökonomischen Gründen wurde eine Stichprobe aus Studierenden und Mitarbeitenden der Eberhard Karls Universität Tübingen befragt.

II. Methoden

1. Stichprobe

Alle Studierenden und Mitarbeitenden[20] der Universität Tübingen wurden über den universitätsinternen E-Mail-Verteiler zur Teilnahme an der Umfrage eingeladen.[21] Insgesamt nahmen 610 Personen an der Befragung teil. 51 Teilnehmende wurden von der Auswertung ausgeschlossen, da sie die Umfrage beendeten, ohne den Großteil der zentralen Fragen zu beantworten. Die realisierte Stichprobe (N = 559) besteht aus 207 Männern, 332 Frauen und sechs non-binären Personen.[22] 342 Teilnehmende sind Studierende, 200 Beschäftigte. Das durchschnittliche Alter beträgt 30,6 Jahre (SD = 12,70) mit einer Altersspanne zwischen 18 und 84 Jahren.

2. Material und Ablauf

Im Rahmen dieser Studie wurden fünf Kategorien von Cyberstraftaten identifiziert, durch welche die Bandbreite der Cyberkriminalität vereinfacht werden soll: „Phishing/SPAM“, „Hacking von Online-Konten“, „Computersabotage“, „Kreditkartenbetrug oder sonstiger Betrug mit digitalen Zahlungsmitteln“ (nachfolgend nur „Kreditkartenbetrug“) und „Identitätsfälschung“. Diese Kategorienbildung orientiert sich an den Cyberkriminalitätsbezeichungen in der polizeilichen Kriminalstatistik (PKS).[23] Phishing und SPAM-E-Mails beziehen sich hierbei primär auf den Datendiebstahl bzw. das Ausspähen von Daten nach § 202a StGB.[24] Die Kategorien „Hacking von Online-Konten“ sowie „Kreditkartenbetrug“ orientieren sich am Straftatbestand „Computerbetrug als Cybercrime im engeren Sinne“.[25] Die „Computersabotage“ basiert auf den Straftatbeständen „Datenveränderung“ und „Computersabotage“[26] und umfasst jeglichen Computerbetrug, beispielsweise durch Malware. Die letzte Erscheinungsform, „Identitätsfälschung“, soll die Straftatbestände „Fälschung beweiserheblicher Daten“ und „Täuschung im Rechtsverkehr“ abbilden.[27]  Den Befragten wurden zur besseren Verständlichkeit Begriffserklärungen zu jeder der fünf Cyberkriminalitätsformen präsentiert.

Zunächst wurden die Befragten nach einer Einschätzung der medialen Präsenz des Themas gefragt, bevor sie aufgefordert wurden, die fünf Cyberkriminalitätsformen nach dem Grad der Verwerflichkeit zu beurteilen. Bei beiden Fragen sollten sie ihre Einstellungen anhand einer zehnstufigen Likert-Skala zum Ausdruck bringen. Daneben erfolgte eine Abfrage der Einschätzung zur eigenen Kompetenz im Umgang mit Datenschutz und IT-Sicherheit anhand einer fünfstufigen Likert-Skala. Drei weitere Items erfassten die Häufigkeit von Cyberstraftaten, wobei die Prävalenzen für versuchte und vollendete Straftaten (d.h. mit entstandenen Schäden) ermittelt wurden. Dabei waren sowohl eine Frage nach selbst erlebten vollendeten Straftaten als auch eine Frage nach solchen Vorfällen im Bekanntenkreis enthalten. Die folgenden Antwortmöglichkeiten standen zur Auswahl: „Mehrmals in der Woche“, „Mehrmals im Monat“, „Mehrmals im Jahr“, „ca. 1x pro Jahr oder seltener“, „Noch nie“ oder „Weiß nicht“.

Weiterhin konnten die bereits betroffenen Personen mitteilen, ob sie mindestens eine der erlebten Straftaten „bei der Polizei oder Staatsanwaltschaft“, „bei den zuständigen Dienstleistern“, „bei beiden“ oder „gar nicht“ gemeldet hatten. Falls keine Anzeige bei der Polizei oder Staatsanwaltschaft erfolgt war, wurde nach den Gründen dafür gefragt. Als Antwortmöglichkeiten standen zur Auswahl: „Ich habe mich geschämt“, „Eine Anzeige erschien mir sinnlos aufgrund der vermuteten geringen Aufklärungsquote“, „Der Schaden war eher gering“, „Ich hatte Angst vor Racheakten“, „Weiß nicht“ oder „Sonstiges“ (freies Antwortfeld). Auch das Anzeigeverhalten der Bekannten mit Opfererfahrung wurde erfragt. Kurz vor Ende des Fragebogens war es den Teilnehmenden möglich, in einer Freitextantwort Anmerkungen oder Erfahrungsberichte mitzuteilen. Die Umfrage schloss mit Fragen zu demographischen Merkmalen. Bei jedem Item des Surveys wurde eine ausweichende Antwort (z.B. „keine Angabe“) angeboten.

Nach Durchführung der Pretest-Phase und Fertigstellung des Fragebogens erhielten alle Studierenden und Beschäftigten der Universität Tübingen am 13.7.2021 eine E-Mail mit dem Link zur Umfrage. Auf der ersten Umfrageseite fanden sich Informationen über die rechtlichen Rahmenbedingungen (Freiwilligkeit der Teilnahme, Anonymität der Umfrage und Nutzung der Daten nur für Forschungszwecke). Nach Beendigung der Umfrage wurde die Teilnahme an einer Gutscheinverlosung ermöglicht. Die Datenerhebung endete am 28.07.2021. 

III. Ergebnisse

1. Deskriptive Auswertungen

Die eigene technische Kompetenz beurteilen 12,5 % der Personen als „eher schlecht“ und „sehr schlecht“, wohingegen 47,6 % der Befragten ihre Kompetenzen im Umgang mit Datensicherheit als „eher gut“ bzw. „sehr gut“ klassifizieren; 39,4 % ordnen sich als „mittelmäßig“ ein. Die Antworten auf die Frage, wie präsent Cyberkriminalität in den Medien wahrgenommen wird, ergeben eine annähernd symmetrische bimodale Verteilung um den Median MED = 5 mit Q1 = 3 und Q3 = 6, wobei die volle Spannweite der zehnstufigen Skala ausgenutzt wurde.[28]

Alle fünf thematisierten Cyberstraftaten wurden von den befragten Personen als sehr verwerflich eingestuft, wobei der Kreditkartenbetrug durchschnittlich den höchsten Wert auf der Skala aufweist (MED = 10). Bei der Beurteilung von Hacking von Online-Konten, Computersabotage, Kreditkartenbetrug und Identitätsfälschung war der höchstmögliche Wert 10 die jeweils am häufigsten ausgewählte Antwort (s. Abb. 1). Phishing/SPAM wurde als etwas weniger verwerflich eingestuft, was sich in einer bimodalen Verteilung widerspiegelt.

Abbildung 1: Antwortverteilungen der Teilnehmenden auf die Frage „Für wie verwerflich halten Sie die folgenden Arten von Cyberkriminalität?“ (N = 559).

                   

        

 

In Tabelle 1 werden die Häufigkeiten der persönlich erlebten Versuche von Cyberkriminalität, in Tabelle 2 die der eigenen Opferwerdung und der Opferwerdung im persönlichen Umfeld der Befragten dargestellt. 98,7 % der Befragten gaben an, bereits Versuche erlebt zu haben, 36,3 % berichteten für mindestens eine Deliktart, „mehrmals in der Woche“ Versuche festzustellen. Versuche von Phishing/SPAM scheinen mit Abstand am häufigsten zu sein, während die Teilnehmenden Kreditkartenbetrugsversuche am seltensten feststellten (s. Tab. 1). 44 % der Teilnehmenden schilderten, Opfererfahrungen durch Cyberkriminalität gemacht zu haben. Jede*r vierte Befragte (26,8 %) wurde bereits mehrmals Opfer. Weiterhin berichteten 75,1 %, mindestens eine/n Bekannte/n mit Opfererfahrungen zu kennen, 63,3 % nennen mehrere Fälle in ihrem Umfeld.

Die Computersabotage stellt sich mit 22,7 % als die Cyberstraftat heraus, durch die die Befragten am häufigsten Opfer von Kriminellen wurden, gefolgt von Phishing/
SPAM (20 %) und Hacking von Online-Konten (15,2 %; s. Tab. 2). Mehrfacher Schaden durch die gleiche Art der Cyberkriminalität scheint besonders häufig durch Phishing-/SPAM entstanden zu sein (13,6 %). Am seltensten wurden Opfererfahrungen durch Kreditkartenbetrug (8,7 %) und Identitätsfälschung (5,9 %) berichtet. Bei der Häufigkeitsverteilung der Opferwerdung aus dem persönlichen Umfeld der Befragten ist ein ähnliches Muster zu beobachten. Allerdings liegen die Prävalenzen deutlich über denen der eigenen Opferwerdung. Bei Phishing/SPAM, Hacking von Online-Konten und Computersabotage wurde sogar häufiger angegeben, mehrere betroffene Personen zu kennen, als nur eine/n Bekannte/n mit Opfererfahrung.

 

Tabelle 1: Häufigkeitstabelle zum Erleben versuchter Cyberstraftaten

Antwortverteilungen der Teilnehmenden auf die Frage „Wie häufig erleben oder erlebten Sie persönlich Versuche der folgenden Cyberstraftaten?“. Prozentuale Angaben in Klammern (berechnet in Bezug auf die Gesamtstichprobe mit N = 559).

  

Tabelle 2: Häufigkeitstabelle zur Opferwerdung (persönlich und im Umfeld)

Antwortverteilungen der Teilnehmenden auf die Fragen „Wurden Sie persönlich bereits Opfer der folgenden Cyberstraftaten?“ und „Kennen Sie jemanden aus Ihrem persönlichen Umfeld, der/die bereits Opfer der folgenden Cyberstraftaten wurde?“. Prozentuale Angaben in Klammern (berechnet in Bezug auf die Gesamtstichprobe mit N = 559).

Bei Betrachtung des Anzeigeverhaltens zeigt sich, dass 73,6 % der Befragten mit eigener Opfererfahrung die Taten weder bei der Polizei noch beim zuständigen Dienstleister meldeten (s. Tab. 3). 13 % der Betroffenen erstatteten Anzeige bei der Polizei oder der Staatsanwaltschaft, wohingegen sich ca. 18 % der Geschädigten an den zuständigen Dienstleister wandten. Rund 7 % meldeten die Tat sowohl den Strafverfolgungsbehörden als auch dem jeweiligen Dienstleister. Die Antwortmuster in Bezug auf das Anzeigeverhalten der geschädigten Bekannten weisen dazu Ähnlichkeiten auf. Etwa ein Drittel (34,5 %) machte hierzu „keine Angabe“.

Als häufigsten Grund für das Absehen einer Anzeige bei den Strafverfolgungsbehörden nannten die Befragten, dass eine Anzeige aufgrund der vermuteten geringen Aufklärungsquote sinnlos erschien (71 %). 59,4 % begründeten ihre Untätigkeit mit geringen Schäden. Die weiteren Auswahloptionen, „Ich habe mich geschämt“ und „Ich hatte Angst vor Racheakten“, wurden nur von 3,9 % bzw. 1,9 % ausgewählt. Ungefähr 5 % der Teilnehmenden, die trotz Opfererfahrungen keine Anzeige erstatteten, äußerten unter der offenen Antwortkategorie „Sonstiges“ weitere Gründe. Dabei berichteten elf Personen, dass sie in der Lage waren, die entstandenen Schäden selbst zu beheben. Neun weitere Personen schrieben, es sei ihnen nicht bewusst gewesen, dass man Cyberstraftaten anzeigen könne.

 

Tabelle 3: Häufigkeitstabelle zum Anzeigeverhalten nach entstandenem Schaden (persönlich und im Umfeld)
Antwortverteilungen der Teilnehmenden auf die Fragen, ob sie selbst bzw. die bekannten Betroffenen die Tat/Taten „beim zuständigen Dienstleister (z. B. Bank, Firma)“, „bei der Polizei oder Staatsanwaltschaft“ oder „bei beiden“ gemeldet bzw. angezeigt haben. Prozentuale Angaben in Klammern (berechnet in Bezug auf die Anzahl der Personen mit mindestens einer eigenen Opfererfahrung, N = 246, bzw. auf die Anzahl der Personen mit mindestens einer betroffenen Person im Umfeld, N = 420).

 

2. Darstellung der Freitext-Antworten

Um die explorative Ausrichtung der vorliegenden Studie zu stärken, erhielten die Teilnehmenden am Ende der Befragung die Möglichkeit, ihre Einschätzungen und persönlichen Erfahrungen in einem freien Textfeld zu schildern. Insgesamt nahmen 8,2 % der Teilnehmenden diese Möglichkeit wahr.

Etwa die Hälfte der Freitext-Antworten beinhalten persönliche Berichte über Opferwerdungen durch Cyberkriminalität. Die berichteten Viktimisierungserfahrungen umfassen dabei Trojanerangriffe,[29] Kreditkartenmissbrauch,[30] „Phishing-SMS“,[31] Identitätsdiebstahl,[32] gefälschte Wohnungsanzeigen,[33] Hacking-Angriffe auf einen WLAN-Router zur Tätigung illegaler Downloads,[34] sowie einen Bericht über „Fakeshops“ im Internet[35] und illustrieren damit die große Bandbreite des Phänomens. Im Zuge dieser Erfahrungsberichte wird in einigen Fällen explizit Unmut über die Strafverfolgungsbehörden geäußert, da man auf entsprechende Anzeigen „nie Rückmeldung bekomme“,[36] was einen „schlechten Eindruck“[37] mache. Außerdem fehle eine „gesamtdeutsche Anlaufstelle“, die Anzeigemöglichkeiten insgesamt seien „schlecht“.[38]

Darüber hinaus wird bemängelt, dass „mehr Aufklärung über Cyberkriminalität […] nötig“ sei,[39] da Unklarheit darüber herrsche, wie man sich „gegen Cyberangriffe wehren“ könne, zumal in diesem Kontext „die Aufklärung bzw. das Know-how“[40] fehlten. Auch wird mehr Aufklärung über die Gefahren des Internets gefordert. So könne in den Augen einer befragten Person „[d]igitale Kompetenz/Mündigkeit als Schulfach […] präventiv vermutlich viel bewirken“.[41] Vielen Antworten ist daher der Ruf nach einer stärkeren Medienpräsenz der Thematik gemein, da dies in Medien und Politik nur „oberflächlich“ behandelt werde.[42] In Anbetracht der weiter steigenden Internetnutzung und der abzusehenden weiteren Ausbreitung der Cyberkriminalität erscheint den Teilnehmenden mehr Medienpräsenz auch aus präventiven Gründen sinnvoll.[43]

In einigen Beiträgen wird explizit auf die Eigenverantwortung der Zivilbevölkerung eingegangen. Die Aussage einer Person, „man sollte mit seinen Angaben im Netz vorsichtig umgehen“,[44] legt beispielsweise nahe, dass das Risiko der Opferwerdung durch eine gewisse Vorsicht minimiert werden kann. Dabei wird von mehreren Seiten angeführt, dass insbesondere Phishing-Mails „zumeist gut erkennbar“ seien,[45] weshalb man „auf so etwas nicht reinfallen würde“.[46] Dazu im Widerspruch stehen allerdings Äußerungen, denen zufolge man SPAM-Nachrichten inzwischen nicht mehr so einfach als Phishingversuche erkennen könne, da solche Mails mittlerweile auch „im Deutschen gut gemacht“ seien.[47] So schütze letztlich nur eine gewisse Kompetenz vor der Viktimisierung im Internet, denn „Phishingmails sehen mittlerweile so echt aus, dass es für weniger kundige Menschen kaum mehr erkennbar“ sei.[48]

IV. Diskussion 

In Anbetracht der Tatsache, dass sich die weltweite Internetnutzung in den letzten drei Jahrzehnten stark erhöht hat,[49] ist es nicht überraschend, dass auch die Kriminalität in diesem Raum an Bedeutung gewinnt. Wie unsere Ergebnisse zeigen, spielt das Thema eine große Rolle im Alltag der befragten Menschen. So berichten fast alle Befragten, bereits versuchte Cyberstraftaten erlebt zu haben. Fast die Hälfte der Befragten hat Viktimisierungserfahrungen im Kontext von Cyberkriminalität gemacht, wobei jedoch nur wenige Vorgänge angezeigt wurden. Als Gründe hierfür werden geringe Schäden und eine niedrige Erwartung gegenüber der Aufklärung durch die Strafverfolgungsbehörden angegeben. Infolgedessen fordern mehrere Befragte mehr Aufklärungsarbeit auf diesem Gebiet. Da insbesondere Kinder und Jugendliche immer früher und häufiger das Internet nutzen,[50] erscheint der Ruf nach mehr Vermittlung von Medienmündigkeit nachvollziehbar, um die Bevölkerung zukünftig besser vor Cyberkriminalität zu schützen.

1. Einordnung in den Forschungsstand

Beim Vergleich der hier ermittelten Prävalenzen mit Ergebnissen ähnlicher Studien ist zu beachten, dass in jeder Untersuchung eigene thematische Schwerpunkte gesetzt werden. Wie bereits erläutert, fällt eine klare Abgrenzung der Unterformen im Phänomenbereich der Cyberkriminalität schwer, weshalb in verschiedenen Studien jeweils unterschiedliche Fokusse gesetzt und Definitionen angelegt werden. Hinzu kommt, dass die Erfahrungen einer universitären Stichprobe systematisch von denen einer für die Gesamtbevölkerung repräsentativen Stichprobe abweichen könnten. Auch die Erhebung während der Corona-Pandemie erschwert die Vergleichbarkeit mit älteren Studien.[51] Wenig überraschend ist deshalb, dass bei einem Vergleich der vorliegenden Erhebung mit anderen Ergebnissen aus der Literatur teilweise deutliche Unterschiede festzustellen sind.

Zunächst ist ein Vergleich der hier vorgestellten Resultate mit dem Digitalbarometer 2019 naheliegend, da in beiden Erhebungen Lebenszeitprävalenzen zu einer breiten Palette von Cyberstraftaten erhoben wurden. Das Digitalbarometer berücksichtigt durch die Abfrage von Erfahrungen mit „Cybermobbing“ sogar mehr Cyberstraftaten. Obgleich davon ausgehend eine höhere Prävalenz im Digitalbarometer zu erwarten wäre, gab dort nur ca. ein Viertel der repräsentativen Stichprobe an, bereits Opfer von Cyberkriminalität geworden zu sein,[52] wohingegen dies in unserer Studie auf 44 % der Teilnehmenden zutrifft. Besonders bemerkenswert ist ein Vergleich mit der Bitkom-Studie. Obwohl dort der Fokus auf Jahresprävalenzen liegt, fällt die Opferzahl mit 61 %[53] deutlich höher aus als bei den hier vorgestellten Resultaten. Dies könnte daran liegen, dass neben studienübergreifend vergleichbaren Delikten (Computersabotage, Banking-Betrug, Identitätsfälschung) auch die Verbreitung von Datenmissbrauch und sexueller Belästigung untersucht wurde

Aus den einschlägigen Studien lässt sich trotz unterschiedlicher Operationalisierungen von Cyberkriminalität sowie abweichender Prävalenzen und Stichproben stets schlussfolgern, dass ein enormes Dunkelfeld der Cyberkriminalität existiert. Auch die vorliegende Studie fügt sich in dieses Gesamtbild ein und unterstreicht die Allgegenwärtigkeit von Cyberstraftaten; hier ist etwa die Prävalenz der versuchten Fälle zu nennen, die mit 98,7 % fast ubiquitär sind. Dieser Eindruck wird mit Blick auf das persönliche Umfeld der Befragten bestätigt; 75,1 % kennen zumindest ein Opfer von Cyberkriminalität.

Den wohl größten Beitrag zum Forschungsstand liefern die vorgestellten Erkenntnisse zum Anzeigeverhalten: Rund drei Viertel der Befragten mit Opfererfahrung meldeten die Taten weder den Strafverfolgungsbehörden noch dem zuständigen Dienstleister. Die Anzeigequote aus der Dunkelfeldstudie des LKA Schleswig-Holstein (10 % bezogen auf ein Jahr)[54] ähnelt der hier ermittelten Anzeigequote von 13 % (Lebenszeitprävalenz) stark, wobei die Differenz durch den unterschiedlichen Zeitraum, auf den sich die Fragen beziehen, verursacht worden sein könnte. Bezieht man diese geringe Anzeigebereitschaft auf die Hellfelddaten der PKS (383 469 Straftaten mit „Tatmittel Internet“, 146 363 Fälle von „Cyberkriminalität“)[55], lässt sich das wahre Ausmaß der Cyberkriminalität in Deutschland in etwa erahnen.

Zusammenfassend reiht sich die vorliegende Studie also – trotz Corona-Lage und Problemen bei der Vergleichbarkeit – in den bestehenden Forschungsstand ein und liefert weitere Belege für das Bestehen eines immensen Dunkelfelds für Cyberstraftaten in Deutschland. Dadurch stellt sich die Frage, ob die Strafverfolgungsbehörden auf diesem Gebiet (noch) Herr der Lage sind. Freilich dürfte das Ausmaß des Dunkelfelds auch dadurch bedingt sein, dass viele Opfer offenbar nicht dazu bereit sind, Cyberstraftaten anzuzeigen – und wenn keine Anzeigen erfolgen, lassen sich Straftaten nur schwer ermitteln. Unsere Ergebnisse lassen für den Bereich der Cyberkriminalität jedoch zweifelsohne auf ein begrenztes Vertrauen der Betroffenen in die Strafverfolgungsbehörden schließen.

2. Limitationen

Bei der Bewertung unserer Ergebnisse muss berücksichtigt werden, dass im Rahmen der Studie eine universitäre Stichprobe befragt wurde. Daher können die ermittelten Prävalenzen selbstverständlich nicht ohne weiteres auf die Gesamtbevölkerung übertragen werden. Im Vergleich zur Allgemeinbevölkerung sind die Befragten im Durchschnitt deutlich jünger, auch wenn im Verhältnis zu den Studierenden eine erstaunlich hohe Teilnahmebereitschaft durch Beschäftigte zu verzeichnen ist. Zudem könnten die Befragten aufgrund ihres Berufs-/Studienalltags häufiger im Internet aktiv sein.[56] Dies ist möglicherweise relevant, da auch die Frequenz der Internetnutzung mit der Wahrscheinlichkeit der Opferwerdung zusammenhängen kann.[57] Dementsprechend könnte die wahre Prävalenz bei der untersuchten Population tatsächlich größer sein als in der Gesamtbevölkerung. Darüber hinaus kann auch das Auftreten eines Selektionseffekts nicht ausgeschlossen werden. Möglicherweise waren vermehrt Personen an der Befragung interessiert, die bereits Erfahrungen mit Cyberkriminalität gemacht haben, während noch nicht betroffene Personen weniger Teilnahmemotivation aufwiesen. Dies könnte eine Überschätzung der Prävalenz zur Folge haben. Gemessen an ähnlichen Studien liegen die hier ermittelten Ergebnisse allerdings im plausiblen Bereich.

Eine Limitation der Studie ist die vielleicht nicht optimal trennscharfe Aufteilung von Cyberkriminalität in die fünf Unterkategorien. Überschneidungen zwischen den präsentierten Unterformen sind dabei naheliegend (etwa: Kreditkartenbetrug nach erfolgtem Phishing). Aufgrund der Möglichkeit der Mehrfachauswahl und der Betrachtung der Opferwerdung als Indikatorvariable (Opfer Ja/Nein) dürfte dies aber keine schwerwiegenden Konsequenzen für die statistische Analyse haben. Probleme bei der Trennschärfe der Kategorien sind schwer zu vermeiden und auch in anderen Studien zu diesem Thema zu verorten. Durch die hier angewendeten Begriffserklärungen und Beispiele sollte deren Einfluss zu verringert werden. Problematisch für die Befragten könnte außerdem die Unterscheidung zwischen einer „versuchten“ und einer „erfolgreichen“ Cyberstraftat gewesen sein. Zwar wurden „erfolgreiche“ Cyberstraftaten hier als Vorfälle mit entstandenem finanziellem oder materiellem Schaden definiert, allerdings ist es durchaus möglich, dass bereits versuchte Cyberstraftaten Schäden verursachen, was die Trennschärfe ebenfalls beeinträchtigt haben könnte.

Vergleichsweise häufige Verständnisschwierigkeiten können bei „SPAM/Phishing“ vermutet werden. Der Unterschied zwischen SPAM und Phishing kann mitunter recht groß sein. Da SPAM-Nachrichten aber oft als Vehikel für Phishing-Versuche dienen, war hier die gemeinsame Gruppierung naheliegend. Die bimodale Verteilung bei der Verwerflichkeitseinschätzung dieser Art von Cyberkriminalität dürfte auf die Unschärfe in dieser Kategorie hindeuten. Eine Beeinflussung der Ergebnisse könnte auch dadurch entstehen, dass einzelne Teilnehmende bereits den Erhalt einer solchen Mail als vollzogene Cyberstraftat werten. Um sicherzustellen, dass diese möglicherweise unklare Kategorie die Ergebnisse nicht verzerrt, wurden die wichtigsten Häufigkeiten noch einmal nur für die vier anderen Kategorien berechnet. Dabei ergeben sich nur geringfügige Abweichungen: 85,3 % der Teilnehmenden sind Versuchen der vier übrigen Delikte begegnet. Immerhin 37,6 % der Befragten wurden mindestens einmal, 16,1 % gleich mehrfach Opfer von Hacking, Computersabotage, Kreditkartenbetrug oder Identitätsfälschung. Angaben über Personen aus dem Umfeld mit Opfererfahrungen in diesen vier Bereichen machten 70,5 % der Befragten. Knapp über die Hälfte (54,2 %) gab an, gleich mehrere betroffene Personen zu kennen. Der Einfluss der vermuteten Unschärfe der Kategorie „SPAM/Phishing“ auf die Ergebnisse ist daher zu vernachlässigen.

V. Fazit

Die Ergebnisse der vorliegenden Studie zu Viktimisierungserfahrungen im Kontext von Cyberkriminalität bele-gen die Allgegenwärtigkeit von Straftaten im digitalen Raum. Dabei ist aufgrund niedriger Hellfeldzahlen und einer geringen Anzeigebereitschaft von einem enormen Dunkelfeld auszugehen, was Fragen zur Angemessenheit der bislang von den Strafverfolgungsbehörden angewendeten Bekämpfungsansätze aufwirft. Erschwert wird die Bekämpfung durch ein zurückhaltendes Anzeigeverhalten der Opfer, welches durch geringes Vertrauen in die erfolgreiche Aufklärung bedingt sein dürfte.

Bei Cyberkriminalität handelt es sich noch immer um ein verhältnismäßig neues Kriminalitätsphänomen, weshalb viele Aspekte dieses Gebiets noch einer genaueren wissenschaftlichen Auseinandersetzung bedürfen. Insbesondere beim Anzeigeverhalten im Kontext von Cyberstraftaten besteht weiterhin Forschungsbedarf. Nicht zuletzt entstehen durch die größer werdende Abhängigkeit der Gesellschaft von der virtualisierten Welt, auch in hochsensiblen Bereichen wie dem Onlinebanking, immer mehr attraktive Ziele für Cyberkriminelle. Daraus lässt sich zweifelsohne ein Reformbedarf der Verfolgungsansätze auf dem Feld der Cyberkriminalität ableiten. Darüber hinaus erscheint eine Diskussion auf medialer und politischer Ebene über umfassende und zielgerichtete Präventionsangebote für alle Altersgruppen dringend angezeigt.

 

[1]      Henrich, IT-Sicherheit oft mangelhaft. Zu sorglos im Home-Office: Pandemie öffnet Hackern neue Einfallstore, 2021, Focus Online, online abrufbar unter: https://www.focus.de/finanzen/boerse/konjunktur/it-sicherheit-oft-mangelhaft-hacker-greifen-homeoffice-an_id_13045613.html (zuletzt angerufen am 7.11.2021).
[2]      Bubrowski, Zahl der Cyberangriffe weiter gestiegen, 2021, Frankfurter Allgemeine, online abrufbar unter: https://www.faz.net/aktuell/politik/inland/bsi-zahl-der-cyberangriffe-weiter-gestiegen-17596006.html (zuletzt angerufen am 7.11.2021).
[3]      BSI, Die Lage der IT-Sicherheit in Deutschland 2021, 2021, S. 87.
[4]      BKA, Polizeiliche Kriminalstatistik 2022, Grundtabelle T 01 Fälle, Berichtszeitraum 1.1.2021 bis 31.12.2021, S. 1.
[5]      Baier, KrimOJ 2020, 445 (451).
[6]      Horten/Gräber, Forensische Psychiatrie, Psychologie, Kriminologie, 2020, S. 233 (240); BKA, Cybercrime, Bundeslagebild 2020, 2021, S. 4 ff.
[7]      BKA, 2021, S. 19.
[8]      BKA, 2021, S. 15.
[9]      Horten/Gräber, S. 236 f.
[10]    Zindler/Bolz, Digitalbarometer: Bürgerbefragung zur Cyber-Sicherheit, 2019, S. 4.
[11]    Rieckmann/Kraus, DIW Wochenbericht 295 (295 f.).
[12]    Dreißigacker/Riesner, Private Internetnutzung und Erfahrung mit computerbezogener Kriminalität, 2018, S. 35.
[13]    Bitkom, Vertrauen und Sicherheit in der digitalen Welt, 2021, S. 12.
[14]    Bitkom, Vertrauen und Sicherheit in der digitalen Welt, 2020, S. 11.
[15]    Bitkom, Vertrauen und Sicherheit in der digitalen Welt, 2021, S. 8.
[16]    BKA, Sonderauswertung, Cybercrime in Zeiten der Corona-Pandemie, 2020a, S. 3 ff.; Huber/Pospisil, in: Rüdiger/Bayerl, Cyberkriminologie, Kriminologie für das digitale Zeitalter, 2020, S. 130 f.
[17]    Dreißigacker/Riesner, S. 37.
[18]    LKA Niedersachsen, Befragung zu Sicherheit und Kriminalität in Niedersachsen 2015. Ergebnisse zum Schwerpunktfragenkomplex Computerbezogene Kriminalität, 2020, S. 29.
[19]    BKA, 2022a, S. 1.
[20]    Zum Zeitpunkt der Erhebung: 38 450 Personen.
[21]    Die Umfrage wurde mit der Software LimeSurvey, Version 3.25.19, erstellt und auf einem universitätsinternen Webserver gehostet.
[22]    Die demographischen Variablen summieren sich nicht zu 559 auf, da einige Befragte hier keine vollständigen Angaben machten oder die Umfrage zuvor beendeten.
[23]    BKA, 2022, S. 1.
[24]    Horten/Gräber, S. 235 f.
[25]    BKA, 2021, S. 41 (§ 263a StGB).
[26]    BKA, 2021, S. 42 (§ 303b StGB).
[27]    BKA, 2021, S. 42 (§ 270 StGB, § 269 StGB, § 238 StGB).
[28]    Sämtliche Berechnungen wurden mit der freien Software R (Version 4.1.0) durchgeführt.
[29]    ID 187; ID 212.
[30]    ID 24.
[31]    ID 614.
[32]    ID 211.
[33]    ID 296.
[34]    ID 243.
[35]    ID 229.
[36]    ID 25.
[37]    ID 212.
[38]    ID 25.
[39]    ID 136.
[40]    ID 136
[41]    ID 399.
[42]    ID 284.
[43]    ID 284; ID 332; ID 493.
[44]    ID 486.
[45]    ID 454.
[46]    ID 589.
[47]    ID 454.
[48]    ID 284.
[49]    Eckert, Digitale Welt 2021, 3 (3).
[50]    Nolden, JMS 2020, 7 (7).
[51]    Baier, S. 464.
[52]    Zindler/Bolz, S. 4.
[53]    Bitkom, 2021, S. 12.
[54]    Dreißigacker/Riesner, S. 37.
[55]    BKA, 2022a, S. 1; BKA, 2022b, S. 1.
[56]    Baur/Florian, in: Jackob/Schoen/Zerback, Sozialforschung im Internet, 2009, S. 116 ff.
[57]    Dreißigacker/von Skarczinski/Bergmann/Wollinger, in: Rüdiger/Bayerl, Cyberkriminologie. Kriminologie für das digitale Zeitalter, 2020, S. 335.

 

 

Schreiben Sie einen Kommentar

Durch Abschicken des Formulares wird dein Name, E-Mail-Adresse und eingegebene Text in der Datenbank gespeichert. Für weitere Informationen lesen Sie bitte unsere Datenschutzerklärung.

Unsere Webseite verwendet sog. Cookies. Durch die weitere Verwendung stimmen Sie der Nutzung von Cookies zu. Informationen zum Datenschutz

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen.
Wenn Sie diese Website ohne Änderung der Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Weitere Informationen zum Datenschutz entnehmen Sie bitte unserer Datenschutzerklärung. Hier können Sie der Verwendung von Cookies auch widersprechen.

Schließen