[datensicherheit.de, 23.11.2025] Nach aktuellen Erkenntnissen des Digitalverbands Bitkom e.V. verwenden bereits 50 Prozent der Internetnutzer zumindest gelegentlich sogenannte KI-Chats – bei den 16- bis 29-jährigen Befragten sind es demnach sogar zwei Drittel. Die Recherche mit den klassischen Suchmaschinen hat also offenbar ihren Zenit inzwischen überschritten. Allerdings hätten 42 Prozent der Befragten durchaus auch schon falsche KI-Antworten geliefert bekommen und nur 57 Prozent prüften überhaupt die erhaltenen Ergebnisse.

Foto: Bitkom e.V.

Dr. Bernhard Rohleder rät Anwender bei der Web-Recherche, der KI nicht blind zu vertrauen und die Ergebnisse immer zu prüfen

25% nutzen noch überwiegend klassische Suchmaschinen

So war es bisher üblich: Suchbegriffe eingeben, Trefferlisten durchklicken, Informationen zusammentragen… – viele Internetnutzer gehen indes laut Bitkom aber neue Wege und lassen sich Antworten direkt von einer Künstlichen Intelligenz (KI) liefern. Die Hälfte (50%) nutze zumindest manchmal den Chat mit einer KI statt klassische Internetsuche.

• Ein Viertel (25%) nutze zwar weiterhin überwiegend die klassischen Suchmaschinen, 13 Prozent setzten etwa gleich häufig auf Online-Suche und KI-Chat, aber sieben Prozent nutzten bereits überwiegend KI, fünf Prozent sogar ausschließlich. 47 Prozent nutzten hingegen weiterhin ausschließlich die klassische Suche.

Dies seien Erkenntnisse auf Basis einer telefonischen Umfrage im Bitkom-Auftrag: Bitkom Research habe 1.156 Personen in Deutschland ab 16 Jahren telefonisch befragt, darunter 1.030 Internetnutzer, im Zeitraum der Kalenderwochen 39 bis KW 43 2025. Sie sei als Gesamtumfrage repräsentativ.

Kompakte Antworten aus KI-Chats triggern Bequemlichkeit

Unter den jüngeren Internetnutzern zwischen 16 und 29 Jahren sei die Suche mit KI sogar noch deutlich weiter verbreitet: Fünf Prozent nutzten sie ausschließlich, elf Prozent überwiegend, 20 Prozent etwa gleich häufig wie klassische Suchmaschinen und 30 Prozent zumindest hin und wieder.

• Nur 30 Prozent setzten ausschließlich auf Suchmaschinen. „Viele Menschen nutzen lieber die kompakte Antwort aus dem KI-Chat, statt sich selbst durch Suchergebnisse zu klicken und auf den Webseiten nach Hinweisen zu ihrer Frage zu suchen“, erläutert der Bitkom-Hauptgeschäftsführer, Dr. Bernhard Rohleder. Er rät indes: „Allerdings sollte man der KI nicht blind vertrauen und Ergebnisse immer prüfen!“

So gäben nämlich 42 Prozent derjenigen, welche eine KI für die Suche nutzen, an, dass sie schon einmal falsche oder schlicht erfundene Informationen von der KI erhalten hätten. Zugleich prüften aber nur 57 Prozent die KI-Antworten, bevor sie sie verwenden.

64% mit der KI-Nutzung zur Informationssuche zufrieden

Insgesamt hielten rund drei Viertel (73%) der Befragten die Ergebnisse der KI-Chats für hilfreich, rund zwei Drittel (64%) seien mit der KI-Nutzung zur Informationssuche zufrieden. Allerdings finde nur etwas mehr als ein Drittel (36%), dass die KI ihre Antworten ausreichend mit Links belege, und nur 33 Prozent fänden auf diese Weise schneller eine Antwort als mit der klassischen Suche.

• Inzwischen blendeten auch klassische Suchmaschinen wie „Google“ oder „Bing“ KI-Zusammenfassungen vor den Suchergebnissen ein. Nur drei Prozent der Internetnutzer hätten das noch nicht wahrgenommen, rund ein Viertel (26%) habe sie zwar schon einmal gesehen, aber nicht weiter beachtet.

Die Meinungen darüber gingen aber weit auseinander: So nutzten 24 Prozent häufig die KI-Zusammenfassung, ohne die Suchergebnisse zu betrachten. 43 Prozent hingegen klickten auf die Suchergebnisse, um sich selbst ein Bild zu machen. 45 Prozent sparten durch die Zusammenfassungen Zeit, aber 27 Prozent erschienen diese zu oberflächlich, 22 Prozent hätten darin schon einmal Fehler gefunden. Acht Prozent sind von den KI-generierten Texten einfach nur „genervt“.

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Dr. Bernhard Rohleder / Hauptgeschäftsführer Bitkom e.V.

datensicherheit.de, 17.11.2025
Werkzeuge für Phishing-Angriffe: ESET-Warnung vor Missbrauch von KI-Chatbots / Neue Betrugsmasche „Grokking“ nutzt Sprachmodelle aus – Angreifer manipulieren KI-Bots, um gefährliche Phishing-Links zu verbreiten

datensicherheit.de, 16.09.2025
GhostRedirector missbraucht Google: ESET entdeckte Manipulation von Suchergebnissen / Cyberkriminelle missbrauchen Server für Suchmaschinenbetrug, um manipulierte Websites im „Google“-Ranking nach oben zu bringen

[datensicherheit.de, 25.10.2025] Nach aktuellen Erkenntnissen des Branchenverbands Bitkom e.V. sind lokale Web-Communities, „facebook“ und „Instagram“ die beliebtesten Internet-Plattformen bei Handwerksunternehmen – ansonsten werden eigene Websites und Eintragungen in Online-Verzeichnisse genutzt.

Foto: Bitkom e.V.

Nastassja Hofmann: Social-Media-Plattformen bieten dem Handwerk große Chancen zur Adressierung von Kunden sowie Nachwuchs- und Fachkräften

Handwerksunternehmen setzen auf „Nebenan.de“, „Nachbarschaft.net“ sowie „facebook“ u.a.

„Ein Blick hinter die Kulissen auf der Baustelle, in der Bäckerei oder im Friseursalon, Erfahrungsberichte von Azubis oder 360-Grad-Aufnahmen des fertigen Produkts“ – solche Beiträge finden sich laut Bitkom typischerweise auf den Social-Media-Profilen deutscher Handwerksunternehmen.

• „Und das auch immer häufiger, denn inzwischen nutzt bereits mehr als die Hälfte der Unternehmen eine eigene Präsenz oder Werbung in Sozialen Medien, um auf sich aufmerksam zu machen (56%). Vor drei Jahren waren es erst 40 Prozent (2022).“ Dies seien Ergebnisse einer repräsentativen Studie im Auftrag des Digitalverbands Bitkom unter 504 Handwerksunternehmen in Deutschland. Die Befragung habe im Zeitraum der Kalenderwochen 23 bis 29 2025 stattgefunden.

Die Plattformen der Wahl bei den Unternehmen, welche in Sozialen Medien vertreten sind, seien dabei vor allem lokale Web-Communities wie „Nebenan.de“ oder „Nachbarschaft.net“ (65%) sowie „facebook“ (57%). Mit etwas Abstand folgten dann „Instagram“ (38%), „LinkedIn“ (35%) und „Xing“ (33%).

94 Prozent der Handwerksunternehmen mit eigener Website

Plattformen wie „X“ (vormals „twitter, 12%), „TikTok“ (7%) und „YouTube“ (6%) seien bei den Handwerksunternehmen derzeit eher weniger verbreitet. „Social-Media-Plattformen bieten für das Handwerk große Chancen – nicht nur, um neue Kundinnen und Kunden zu gewinnen, sondern auch, um gezielt Nachwuchs- und Fachkräfte anzusprechen“, kommentiert Nastassja Hofmann, Handwerks-Expertin beim Bitkom.

• Neben den Sozialen Medien kämen aber auch noch andere Möglichkeiten des Online-Auftritts im Handwerk zum Einsatz: Fast jedes Unternehmen besitze eine eigene Website (94%); viele hätten sich außerdem in Verzeichnisse wie „GelbeSeiten.de“ oder „DasOertliche.de“ eintragen lassen (88%). Zudem seien auch auf Bewertungsplattformen wie „Yelp“ oder „Trustpilot“ Eintragungen von Handwerksunternehmen keine Seltenheit – vier von zehn deutschen Handwerksunternehmen seien dort zu finden (40%).

Um die eigenen Leistungen zu bewerben, schalte zudem über ein Drittel Werbeanzeigen im Netz (37%), jeweils etwa drei von zehn Unternehmen bedienten sich der Möglichkeit des E-Mail- bzw. Newsletter-Marketings (32%) oder seien auf Online-Plattformen wie „MyHammer“, „Treatwell“ oder „Kleinanzeigen“ vertreten (31 Prozent).

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Nastassja Hofmann: Referentin Retail & PropTech Bitkom e.V.

datensicherheit.de, 23.12.2021
Social Media eines der Hauptziele von Hackern / Social Media-Plattformen wachsen ununterbrochen

datensicherheit.de, 20.10.2025
Künftig einfacher und sicherer: Neue C1-Klasse eröffnet Handwerk erweiterte Chancen beim Drohneneinsatz / Wärmebild-Drohnen können fortan einfacher und rechtssicher eingesetzt werden – C1-Klassifizierung senkt Hürden für deren Einsatz zur Dachinspektion, PV-Prüfung und Energieberatung

[datensicherheit.de, 24.10.2025] Die Zeit vor „Halloween“ ist offenbar auch in Deutschland wieder einmal Zeit für saisonale Phishing- und Scam-Kampagnen: Eine Analyse der „Bitdefender Labs“ zeigt demnach, dass Deutschland ein wichtiger Schauplatz sowohl als Empfänger- als auch als Absenderland ist. Die Taktiken der Cyberkriminellen seien komplex und für eine schnelle Verbreitung mittels Online-Ads konzipiert. Augenmaß und Abwehrtools könnten aber Nutzern helfen, eine Vielzahl von Betrugsversuchen rasch zu erkennen.

Abbildung: Bitdefender

„Bitdefender Labs“-Analyse 2025: Zielländer für „Halloween“-Spam

Betreffzeilen mit „Halloween“-Bezug sollten Verbraucher zur Vorsicht mahnen

Die „Bitdefender Labs“ haben anhand ihrer Telemetrie in der Zeit vom 15. September bis zum 15. Oktober 2025 einen globalen Anstieg von Phishing- und Scam-Aktivitäten mit Bezug auf „Halloween“ verzeichnen können.

• „73 Prozent der Angriffe zielten auf Mailboxen in den USA. Deutschland lag mit 13 Prozent weltweit auf Rang 2 – mit deutlichem Abstand zu anderen Ländern.“

Die Cyberkriminellen hätten hierzulande mit Betreffzeilen wie „Exklusive Amazon-Prämie“ oder „Ihre Chance, ein brandneues Halloweenkostüm zu kreieren!“ geworben. Eine Kampagne in Tschechien habe Anzeigen zu angeblichen Rabattaktionen des Schuhhändlers Deichmann genutzt.

Verborgenes Netz von „Halloween“-Anzeigen bei Meta-Plattformen „facebook“ und „Instagram“

Experten der „Bitdefender Labs“ hätten zudem ein verborgenes Netz von „Halloween“-Anzeigen über die Meta-Plattformen „facebook“ und „Instagram“ entdeckt: „Hier erwarben die Betrüger gesponsorte Anzeigenplatzierungen für ihre betrügerischen Angebote oder sogar mit direktem Link auf Malware.“

• Eine der wichtigsten Taktiken, um Malware zu vertreiben, seien gesponserte Anzeigen in Sozialen Medien, welche sich als Werbeangebote tarnten.

Nutzer gelangten, wie in solchen Kampagnen üblich, auf kompromittierten Links und sollten dort persönliche Informationen und Kontodaten eingeben. Manche Kampagnen lockten auf Abo-Fallen.

Scheinbar banale Angriffe im „Halloween“-Kontext komplex und anspruchsvoll

Einige Kampagnen hätten sich gezielt an Besitzer von „Krypto-Währungen“ gerichtet. Viele Infektionsketten seien komplex und anspruchsvoll, um Browser-Cookies, Authentifikation-Token oder Daten für Krpto-Wallets zu stehlen. Die Konnektivität der Malware mit den Command-and-Control-Servern (C2) ermögliche das Update neuer bösartiger Module für Datenexfiltration und persistenten Zugang.

• Malware zeichne sich durch Tarnmechanismen, häufige Updates der Codes und das Erkennen von Sandboxing-Verfahren aus. In letzterem Fall bemerke die Malware Abwehrtechnologien und spiele dann etwa anstatt der kompromittierten Seiten harmlose Links aus.

Nutzer könnten mit sicherheitsbewusstem Augenmaß viele Gefahren vermeiden: „So sollten sie saisonale Links zu Belohnungen, Rabatten und Giveaways nicht anklicken!“ Ein Überprüfen der Absender-Domain und der URLs könne bösartige Angebote enttarnen. Nutzer sollten keine Downloads von Online-Anzeigen starten: „Einzelhändler oder Verkaufsplattformen gehen in der Regel nicht so vor.“ Lösungen zu Anti-Spam und Echtzeit-Schutz blockierten zudem Phishing, gefälschte Seiten und Malware-Payload. Kostenlose KI-Tools (wie z.B. „Bitdefender Scamio“) überprüften verdächtige Links, E-Mails und Screenshots.

Weitere Informationen zum Thema:

Bitdefender
Bitdefender Labs

Bitdefender, Alina BÎZGĂ, 23.102.205
Trick or Treat: Bitdefender Labs Uncovers Halloween Scams Flooding Inboxes and Feeds

Bitdefender
Bitdefender Scamio: Der KI-Betrugsdetektor der nächsten Generation

datensicherheit.de, 15.11.2024
Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet / Hochzeit des Kaufens und Schenkens sei auch die Hochzeit des Online-Betrugs, warnt Proofpoint

datensicherheit.de, 31.10.2012
Saures statt Süßes zu Halloween: Kommerzielle Spam-Kampagnen zum Datendiebstahl / 70 % des Halloween-Spams möchte Online-Shopper in die Irre führen

[datensicherheit.de, 15.09.2025] Die Landesbeauftragte für Datenschutz Schleswig-Holstein / Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) betont in ihrer aktuellen Stellungnahme, dass seit dem 12. September 2025 nach einer Übergangsphase endgültig die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ gilt, kurz: „Datenverordnung“ („Data Act“). Nutzer sollen fortan leichter zwischen genutzten Diensten wechseln können, welche mit Produkten im Kontext des „Internet of Things“ (IoT) zusammenhängen. Für den Datenschutz besonders wichtig ist demnach, dass Anbieter den Nutzern auf Anforderung Produktdaten und verbundene Dienstdaten bereitstellen müssen. Das ULD – seit jeher für Beschwerden bei vermuteten Datenschutzverstößen zuständig – werde nun ebenfalls zuständig für solche Beschwerden, die mit der Verarbeitung personenbezogener Daten und den Rechten nach dem „Data Act“ zusammenhängen.

„Data Act“ verschafft Nutzern neue Rechte auf Datenzugang, -nutzung und -weitergabe

„Vernetzte Produkte sind insbesondere Gegenstände, die mit dem Internet verbunden sind und Daten über ihre Nutzung und deren Umgebung verarbeiten. Verbundene Dienste sind digitale Dienste mit deren Hilfe die vernetzten Produkte ihre Funktionen ausführen können.“

• Erfasst seien zum Beispiel elektronische Haushaltsgeräte, Fahrzeuge oder auch Produktionsmaschinen, die Daten speichern. Nutzer, die ein vernetztes Produkt besitzen oder denen zeitweilig vertragliche Rechte für die Nutzung des Produkts übertragen wurden oder die verbundene Dienste in Anspruch nehmen, erhielten mit dem „Data Act“ neue Rechte auf Zugang zu den Produktdaten.

Zusätzlich bestehen laut ULD „Weitergaberechte“, welche einen Dateninhaber verpflichten, verfügbare Produktdaten sowie die für die Auslegung und Nutzung dieser Daten erforderlichen Metadaten einer anderen Stelle zur Verfügung zu stellen.

ULD-Zuständigkeit nach „Data Act“ im Falle der Verarbeitung personenbezogene Daten

„Soweit im Zusammenhang vor allem mit der Wahrnehmung der Nutzungsrechte der Zugang, die Nutzung oder Weitergabe personenbezogener Daten zu prüfen ist, übernimmt das ULD nunmehr für die in Schleswig-Holstein verpflichteten Stellen die Datenschutzaufsicht.“ Die zugrundeliegende Aufgabenzuweisung ergebe sich aus Art. 37 Abs. 3 „Data Act“.

• „Sollten Personen der Ansicht sein, dass Unternehmen in Schleswig-Holstein ihre Rechte nach dem ,Data Act’ in Bezug auf die Verarbeitung personenbezogener Daten verletzen, haben diese die Möglichkeit, beim ULD eine Beschwerde einzureichen.“

Das ULD prüfe dann den vorgetragenen Sachverhalt und wirk im Falle einer Verletzung mit den bestehenden Befugnissen auf die Einhaltung der Vorgaben des „Data Act“ hin. Das Beschwerdeformular des ULD, das auch für Beschwerden nach dem „Data Act“ verwendet werden kann, steht online zur Verfügung.

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Das Unabhängige Landeszentrum für Datenschutz (ULD) ist die Dienststelle der Landesbeauftragten für Datenschutz und für Informationszugang / Wir über uns

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Meldungen an das ULD

datensicherheit.de, 14.09.2025
Data Act seit 12. September 2025 endgültig in Kraft – doch viele Fragen bleiben offen / Nach 20 Monaten Übergangsfrist fehlt es in Deutschland weiter an Verfahrensvorgaben und Aufsichtsbehörden zum „Data Act“ der EU

datensicherheit.de, 10.09.2025
Data Act: Geltungsbeginn am 12. September 2025 mit neuen Aufgaben für den HmbBfDI / Verbraucher und Wirtschaftsakteure profitieren von neuen Zugangsansprüchen auf Daten vernetzter Geräte, denn der „Data Act“ ermöglicht es sowohl Benutzern als auch Dritten, Sensordaten anzufordern

datensicherheit.de, 30.05.2025
Data Act – Frank Lange sieht Herausforderungen und Chancen für Unternehmen / „Data Act“ betrifft nahezu alle Branchen und wird weitreichende Veränderungen im Datenmanagement und der IT-Sicherheitsarchitektur nach sich ziehen

datensicherheit.de, 16.03.2025
Data Act: Kritik an geplanter Aufsichtsstruktur für die Durchsetzung / Landesdatenschutzbeauftragten sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus

[datensicherheit.de, 10.09.2025] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) weist in seiner aktuellen Stellungnahme darauf hin, dass angefangen z.B. bei elektronischen Zahnbürsten bis hin zu Windkraftturbinen viele Gebrauchsgegenstände und Maschinen Sensordaten über das Internet an ihre Hersteller senden. Ab dem 12. September 2025 profitieren demnach Verbraucher und Wirtschaftsakteure von neuen Zugangsansprüchen auf die Daten solcher vernetzter Geräte, denn der „Data Act“ ermögliche es sowohl den Benutzern dieser Geräte als auch Dritten, solche Sensordaten anzufordern – Voraussetzung sei, „dass die Anspruchsvoraussetzungen nach dem ,Data Act’ erfüllt sind, das Datenschutzrecht dem nicht entgegensteht und Geschäftsgeheimnisse gewahrt bleiben“.

Foto: Bildwerkstatt Nienstedten

Thomas Fuchs unterstreicht: Datenzugang und Datenschutz sind kein Widerspruch!

Bei Personenbezug sind Datenschutzbehörden fortan „Data Act“-Aufsicht

„Handelt es sich bei den zu übermittelten Daten um personenbezogene, setzt das Europarecht die Datenschutzbehörden als Aufsicht für die Einhaltung der Bestimmungen des ,Data Acts’ ein.“ Diese Aufgabe folge unmittelbar aus Artikel 37 Abs. 3 „Data Act“.

Der HmbBfDI unterstütze Anspruchsberechtigte bei der Geltendmachung ihrer Rechte – „soweit sie personenbezogene Daten betreffen“. Darunter fielen insbesondere:

• Zugang zu personenbezogenen Daten beim Hersteller
• Wechsel des Anbieters von Datenverarbeitungsdiensten (sogenanntes Cloud-Switching)
• Schutz der Vertraulichkeit durch technisch-organisatorische Maßnahmen bei der empfangenden Stelle
• Transparenzpflichten

Diese Rechte könne der HmbBfDI gegebenenfalls mit Anordnungen durchsetzen. Verstöße könnten teilweise mit Geldbußen geahndet werden. Alternativ könnten die Ansprüche selbständig über den Zivilrechtsweg verfolgt werden. „Zu den Rechten und Pflichten aus dem ,Data Act’, dem Zusammenspiel mit dem Datenschutzrecht und der aufsichtsbehördlichen Durchsetzung hat der HmbBfDI eine ausführliche Handreichung veröffentlicht.“

Beschwerde möglich, wenn Rechte aus dem „Data Act“ in Bezug auf personenbezogene Daten verletzt wurden

Jede natürliche und juristische Person könne nun Beschwerde beim HmbBfDI einlegen, „wenn sie Grund zur Annahme hat, dass ein Hamburger Unternehmen ihre Rechten aus dem ,Data Act’ in Bezug auf personenbezogene Daten verletzt“.

• Die Beschwerden könnten formlos an das Funktionspostfach „dataact [at] datenschutz [dot] hamburg [dot] de“ gerichtet werden. Alternativ könnten die Postanschrift der Behörde oder das allgemeine Beschwerdeformular verwendet werden.

Jeder Beschwerde werde federführend in dem Referat nachgegangen, „das auch die datenschutzrechtliche Aufsicht über die jeweilige verantwortliche Stelle hat“. Damit werde der Zielrichtung des Art. 37 Abs. 3 „Data Act“ gefolgt, Datenverwendungen nach der „Datenschutz-Grundverordnung“ (DSGVO) und nach dem „Data Act“ einheitlich zu beurteilen. Das Fachreferat führe seine Ermittlungen in enger Abstimmung mit dem Fachbereich für Informationsfreiheit, um die Expertise zu Geschäftsgeheimnissen als Hinderungsgrund für einen Informationszugang einzubeziehen.

„Data Act“ soll helfen Datenmonopole aufzubrechen und Privatsphäre-Interessen zu wahren

Die Zuständigkeit des HmbBfDI als „Data Act“-Aufsicht sei auf Fälle mit personenbezogenen Daten beschränkt. Für alle übrigen Konstellationen müsse der Bundesgesetzgeber eine oder mehrere Aufsichtsbehörden für Deutschland benennen. Dies sei bislang nicht geschehen.

• Ansprüche in Bezug auf nicht personenbezogene Daten könnten deshalb bis auf Weiteres nur eigenständig auf dem Zivilrechtsweg erfolgen.

Der HmbBfDI, Thomas Fuchs, stellt abschließend klar: „Datenzugang und Datenschutz sind kein Widerspruch! Wir werden uns im Rahmen des ,Data Acts’ dafür einsetzen, dass Datenmonopole aufgebrochen werden und zugleich Privatsphäre-Interessen gewahrt bleiben. Für die Unternehmen in Hamburg ist es gut, dass die für sie zuständige Datenschutzaufsichtsbehörde auch nach gleichen Maßstäben die Datenschutzfragen im Rahmen des ,Data Acts’ klärt.“

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Unsere Dienststelle

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Thomas Fuchs

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, 29.04.2025
INFORMATION: Der Data Act als Herausforderung für den Datenschutz

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Elektronische Beschwerde

datensicherheit.de, 30.05.2025
Data Act – Frank Lange sieht Herausforderungen und Chancen für Unternehmen / „Data Act“ betrifft nahezu alle Branchen und wird weitreichende Veränderungen im Datenmanagement und der IT-Sicherheitsarchitektur nach sich ziehen

datensicherheit.de, 16.03.2025
Data Act: Kritik an geplanter Aufsichtsstruktur für die Durchsetzung / Landesdatenschutzbeauftragten sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus

[datensicherheit.de, 08.09.2025] Das Konvertieren von Dokumenten in PDF-Dateien ist eine alltägliche Sache – unzählige kostenfreie „Tools“ stehen dafür im Internet zum Download bereit. Aber nicht alle solche Anwendungen sind harmlos – die G DATA CyberDefense AG hat Anfang September 2025 in einer Stellungnahme eine aktuelle Warnung ausgesprochen: Demnach rät G DATA vom Download der Anwendungen „AppSuite PDF Editor” und „OneStart PDF Editor” ab. Nach Erkenntnissen des „Security Team“ von G DATA CyberDefense enthalten diese Schadsoftware und installieren dauerhaft eine „Hintertür“ im System.

Foto: G DATA

Tim Berghoff: Wer sich einen kostenfreien PDF-Editor herunterlädt, sollte genau darauf achten, ob und wann die Sicherheitssoftware anschlägt!

„AppSuite PDF Editor” und „OneStart PDF Editor” offenbar Köder derselben Bedrohungsaktuere

Viele Internetnutzer suchten nach Gratis-Software zum Bearbeiten ihrer PDF-Dateien. Kein Wunder also, dass es darunter auch Malware gebe. In einem aktuellen Fall habe sich im „AppSuite PDF Editor“ eine „Backdoor“ in einer solchen Software versteckt.

• „Was hier jedoch besonders ist: Die Cyberkriminellen haben in diesem Fall ihr bösartiges Programm an Sicherheitshersteller gesandt, um es von ihnen auf die ,Erlaubt’-Liste setzen und ,zu Unrecht’ erfolgte Meldungen über bösartiges Verhalten beseitigen zu lassen.“

Analysten von G DATA hätten sich davon aber nicht in die Irre führen lassen und dafür gesorgt, „dass die Software als ,bösartig’ erkannt wird“. Auch der „OneStart PDF Editor“ sei betroffen. G DATA habe Hinweise gefunden, dass dieselben Akteure hinter dieser Anwendung steckten.

Neuinstallation des Systems nach Wirksamwerden bösartiger PDF-Editoren erforderlich

„Wer sich einen kostenfreien PDF-Editor herunterlädt, sollte genau darauf achten, ob und wann die Sicherheitssoftware anschlägt!“, betont Tim Berghoff, „Security Evangelist“ bei G DATA CyberDefense.

• Er erläutert die Warnung: „Ansonsten öffnet das Programm eine dauerhafte ,Hintertür’ ins System. Über diese können Kriminelle beliebige Befehle und Programme auf dem Rechner ausführen!“

Das Einzige, was an dieser Stelle dann noch helfe, sei eine Neuinstallation des Systems. Obwohl derartige PDF-Editoren über Deinstallationsroutinen verfügten, entferne eine Deinstallation die „Backdoor“ indes nicht in jedem Fall vollständig.

Weitere Informationen zum Thema:

G DATA CyberDefense
IT security from the inventor of the antivirus

G DATA CyberDefense, 28.08.2025
AppSuite PDF Editor Backdoor: A Detailed Technical Analysis

G DATA CyberDefense
Tim Berghoff / Security Evangelist

datensicherheit.de, 11.12.2024
Deepnude AI Image Generator: Cyber-Kriminelle lockten Opfer mit speziellem Köder / Cyber-Sicherheitsexperten von Silent Push haben in einem Blogbeitrag eine neue Angriffstaktik der Bedrohungsgruppe „FIN7“ vorgestellt

datensicherheit.de, 10.11.2021
Köder-Angriffe: Hacker werfen ihre Phishing-Netze aus / Dr. Klaus Gheri benennt Best Practices zum Schutz vor Köder-Angriffen

datensicherheit.de, 14.06.2021
Streaming-Dienste: Hintertüren für Cyber-Kriminelle / 2020 erfuhren Streaming-Dienste einen wahren Boom

datensicherheit.de, 08.12.2017
Expertenwarnung: Hintertüren in der Verschlüsselung bereiten Cyber-Kriminalität den Weg / Staatliche Sicherheitsorgane sind selbst verwundbar – ihre enthüllten Cyber-Tools können missbraucht werden

[datensicherheit.de, 27.08.2025] Die Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH weist in ihrer Stellungnahme vom 26. August 2025 darauf hin, dass Kreditkartenbetrug im Internet demnach ein wachsendes Problem für Verbraucher ist. Eine Analyse des Bankensoftware-Spezialisten Tietoevry habe für 2024 einen Anstieg digitaler Zahlungsbetrugsfälle um 43 Prozent aufgezeigt – Phishing habe um 77 Prozent zugenommen, Social-Engineering-Scams sogar um 156 Prozent. In Deutschland hätten 24 Prozent der Verbraucher angegeben, in den vergangenen zwölf Monaten Opfer von Online-Betrug geworden zu sein – 15 Prozent durch Kreditkarten-Missbrauch. Laut Europäischer Zentralbank entstanden allein im ersten Halbjahr 2023 im sogenannten Europäischen Wirtschaftsraum (EWR) Schäden von rund zwei Milliarden Euro durch betrügerische Kreditkarten-Transaktionen, mehr als 60 Prozent davon bei Online-Zahlungen („card not present“). Die Täter agierten zunehmend professionell und nutzten gezielt Schwachstellen im digitalen Zahlungsverkehr aus. „Dr. Stoll & Sauer bietet Opfern eine kostenlose Ersteinschätzung im ,Kreditkartenbetrug-Online-Check’ an und informiert, was jetzt zu tun ist.“

Stärkung der Verbraucherrechte beim Kreditkartenbetrug durch BGH und BGB

Wer feststellt, dass eine Kreditkartenzahlung ohne eigene Freigabe erfolgte – etwa ohne Zwei-Faktor-Authentifizierung (2FA) oder bei unbekannten Beträgen – könne bei der Bank eine Rückerstattung verlangen. Erfahrungsgemäß verweigerten Banken die Rückzahlung jedoch häufig mit dem Hinweis auf angebliche „grobe Fahrlässigkeit“ des Kunden. Zur Rechtslage:

• Der Bundesgerichtshof (BGH) habe im Urteil vom 26. Januar 2016 (Az. XI ZR 91/14) die Rechte von Kreditkarteninhabern deutlich gestärkt. Nach § 675u BGB sei die Bank verpflichtet, eine nicht autorisierte Zahlung unverzüglich zu erstatten – „außer er handelt grob fahrlässig“. Dies gelte insbesondere dann, wenn der Karteninhaber die Zahlung nicht freigegeben habe oder bei der Transaktion keine starke Kundenauthentifizierung (wie z.B. 2FA) erfolgt sei.
• Gemäß § 675v Bürgerliches Gesetzbuch (BGB) hafte der Kunde für Schäden aus missbräuchlichen Zahlungen grundsätzlich nur bis maximal 50 Euro – „und auch das nur, wenn ihm keine grobe Fahrlässigkeit nachgewiesen werden kann“. Die Beweislast für ein mögliches Fehlverhalten des Kunden liege nach § 675w BGB ausdrücklich bei der Bank.
• „Wichtig: Die Bank darf eine Rückzahlung nur dann verweigern, wenn sie belegen kann, dass der Kunde ,grob fahrlässig’ oder vorsätzlich gehandelt hat – etwa indem er Zugangsdaten leichtfertig weitergegeben hat!“

Dieses Zusammenspiel aus aktueller BGH-Rechtsprechung und den klaren Vorgaben des BGB (§§ 675u, 675v, 675w BGB) stelle sicher, „dass Verbraucher bei Kreditkartenbetrug umfassend geschützt sind“. Im Zweifel sollte der Anspruch auf Rückerstattung stets anwaltlich geprüft und durchgesetzt werden. „Dr. Stoll & Sauer bietet Opfern eine kostenlose Ersteinschätzung im Kreditkartenbetrug-Online-Check an und informiert, was jetzt zu tun ist.“

Verbraucher besonders geschützt bei Datenlecks als Auslöser von Kreditkartenbetrug

Kreditkartenbetrug im Internet sei häufig die Folge von Datenlecks bei Unternehmen, Banken oder Zahlungsdienstleistern. „Gelangen Kreditkartendaten oder Zugangsdaten in falsche Hände, können Cyberkriminelle diese für Kreditkartenbetrug und betrügerische Transaktionen nutzen.“

Die Rechtslage bei Kreditkartenbetrug nach einem Datenleck sei für Betroffene besonders günstig: Sowohl der Europäische Gerichtshof (EuGH) mit Urteil vom 14. Dezember 2023 (C‑340/21) als auch der Bundesgerichtshof (BGH) mit Leitentscheidung vom 18. November 2024 (Az. VI ZR 10/24) hätten die Verbraucherrechte deutlich gestärkt.

• EuGH, C‑340/21 (14.12.2023): Bereits die berechtigte Angst vor Missbrauch der eigenen Kreditkartendaten reiche aus, um Schadensersatz nach Art. 82 DSGVO geltend zu machen. Unternehmen müssten belegen, „dass sie ausreichende Schutzmaßnahmen ergriffen haben“.
• BGH, VI ZR 10/24 (18.11.2024): Ein kurzfristiger Kontrollverlust über persönliche Daten – etwa durch ein Datenleck – könne bereits für einen Anspruch auf immateriellen Schadensersatz ausreichen.

Gefahr des Kreditkartenbetrugs: Insbesondere Datenlecks zentraler Risikofaktor

Dr. Stoll & Sauer vertritt nach eigenen Angaben zahlreiche Verbraucher, welche Opfer von Datenlecks und anschließendem Kreditkartenbetrug wurden – etwa bei Banken, Zahlungsdienstleistern oder großen Onlinehändlern – und setzt deren Ansprüche auf Schadensersatz und Erstattung konsequent durch.

• „So wurde beispielsweise vor dem Landgericht München I (Urteil vom 30. April 2025, Az. 4 O 177/23) bereits ein Schadensersatz von bis zu 3.000 Euro für Mandanten erstritten.“

Gerade Datenlecks stellten somit einen zentralen Risikofaktor für Kreditkartenbetrug dar – und böten zugleich umfassende rechtliche Ansatzpunkte für den Verbraucherschutz.

Methoden des Kreditkartenbetrugs im Internet

Kreditkartenbetrug könne auf verschiedene Arten erfolgen. Die wichtigsten Betrugsmaschen bei Kreditkartenbetrug im Internet sind laut Dr. Stoll & Sauer:

• Phishing
  Betrüger verschickten gefälschte E-Mails – scheinbar von Banken stammend – und forderten zur Eingabe von Kreditkartendaten auf gefälschten Websites auf.
• Formjacking
  Schadsoftware manipuliere Formularfelder in Webshops, um Kreditkartendaten beim Einkauf abzufangen.
• Pharming
  Nutzer würden durch Schadsoftware auf täuschend echte, gefälschte Bank-Webseiten geleitet, obwohl sie die korrekte Adresse eingegeben haben.
• Social Engineering
  Betrüger gäben sich am Telefon als Bankmitarbeiter aus und versuchten, an Kreditkartendaten oder Sicherheitsinformationen zu gelangen.
• Suchmaschinen-Betrug
  Falsche Werbeanzeigen in Suchmaschinen führten auf gefälschte Login-Seiten, auf denen Kreditkartendaten abgegriffen würden.

Cyberkriminelles Vorgehen beim Kreditkartenbetrug im Internet

Cyberkriminelle versuchten zuerst, an einen Zugang zu Kreditkartendaten oder Onlinebanking zu kommen – z.B. durch Phishing, Schadsoftware oder „Social Engineering“. „Gelingt der Zugriff, werden Kreditkartenkonten und Limits schnell ausgeschöpft, Überweisungslimits erhöht und Echtzeitüberweisungen ausgeführt.“

• Das gestohlene Geld werde meist rasch weitergeleitet oder in „Krypto-Währungen“ umgewandelt, um die Nachverfolgung zu erschweren. Für Betroffene bedeute Kreditkartenbetrug häufig nicht nur den Verlust des Guthabens, sondern auch hohe Schulden bei der Bank.

So sei ein Mandant der Kanzlei Dr. Stoll & Sauer nach einem Online-Einkauf Opfer von Kreditkartenbetrug geworden. „Nach der Bezahlung mit Kreditkarte entdeckte er mehrere unberechtigte Abbuchungen aus dem Ausland – der Schaden lag bei 2.800 Euro.“ Durch schnelle Reaktion – Kartensperrung, Reklamation und Anzeige bei der Polizei – habe der Mandant mit Hilfe der Kanzlei Dr. Stoll & Sauer schließlich die volle Erstattung durchsetzen können.

Meldung eines Kreditkartenbetrugs zur Rückerstattung unberechtigter Zahlungen

„Wenn Sie Kreditkartenbetrug bemerken – z. B. eine Abbuchung, die Sie nicht autorisiert haben – können Sie bei Ihrer Bank oder dem Kreditkartenunternehmen eine Rückerstattung verlangen!“

Die Bank müsse jede nicht autorisierte Kreditkartenzahlung sofort erstatten, besonders wenn keine 2FA erfolgt sei. Die Haftung liege grundsätzlich nicht beim Verbraucher. Oft lehnten Banken die Rückerstattung ab und behaupteten „grobe Fahrlässigkeit“. Doch sie müssten dies beweisen – der bloße Einsatz der Kreditkarte oder die Verwendung der Daten reiche nicht aus.

Dr. Stoll & Sauer benennt hierzu wichtige Hinweise:

• Beweis der fehlenden Autorisierung
  „Sie müssen nur darlegen, dass die Zahlung nicht von Ihnen freigegeben wurde (z.B. durch Screenshots von Phishing-Mails).“
• Beachtung der Fristen
  „Kreditkartenbetrug muss der Bank innerhalb von 13 Monaten nach Kenntnis angezeigt werden.“
• Unterlassung grob fahrlässigen Verhaltens
  „Wer TANs am Telefon weitergibt oder mehrere TANs für eine Überweisung eingibt, kann den Erstattungsanspruch verlieren.“

Handlungsempfehlungen bei Verdacht auf Kreditkartenbetrug:

• Sofortige Sperrung der Karte
  „Über den Sperrnotruf 116 116 oder direkt bei der Bank / Kreditkartenfirma.“
• Reklamation unberechtigter Zahlungen
  „Die Buchungen der Bank melden und Rückbuchung verlangen.“
• Erstattung einer Anzeige
  „Den Betrug der Polizei melden – oft auch für die Rückerstattung erforderlich.“
• Prüfung von Schadensersatzansprüchen
  „Verbraucher haben meist Anspruch auf Erstattung, wenn sie nicht ,grob fahrlässig’ gehandelt haben.“
• Sicherung der Dokumentation
  „Kontoauszüge, Korrespondenz und den Verlauf der Reklamation aufbewahren.“
• Nutzung einer kostenlosen Ersteinschätzung
  „Dr. Stoll & Sauer bietet schnelle rechtliche Bewertung im ,Kreditkartenbetrug-Online-Check’.“

Hinweise zum Schutz vor Kreditkartenbetrug:

• Verwendung sicherer Passwörter und 2FA für Online-Zahlungen und Konten!
• Regelmäßige Kontrolle der Abrechnungen: Ungewohnte oder kleine Abbuchungen könnten Hinweise auf Betrug sein!
• Keine Eingabe von Kreditkartendaten auf unsicheren Websites – immer auf „HTTPS“ und sichere Anbieter achten!
• Misstrauen bei Phishing-Mails und -SMS: Niemals Zahlungsdaten über unsichere Links eingeben!
• Bei Verdacht Bankkontakt suchen: Im Zweifel lieber einmal mehr nachfragen!
• Festlegung eines Kartenlimits: Ein niedriges Ausgabenlimit verringert den Schaden bei Missbrauch!
• Niemals Weitergabe von Zugangsdaten – auch nicht telefonisch!

Häufige Fragen zum Thema Kreditkartenbetrug:

• Erkennen des Kreditkartenbetrugs
  „Unbekannte Abbuchungen, kleine Testbuchungen oder Rückbuchungen, die Sie nicht veranlasst haben, sind oft ein Zeichen für Kreditkartenbetrug.“
• Meldung eines Kreditkartenbetrugs
  „Sperren Sie sofort Ihre Karte, reklamieren Sie die Buchung bei der Bank und nutzen Sie den ,Kreditkartenbetrug-Online-Check’ von Dr. Stoll & Sauer für eine rechtliche Ersteinschätzung.“
• Rückforderung des Geldes nach Kreditkartenbetrug
  „Ihre Bank ist gesetzlich verpflichtet, jede nicht autorisierte Zahlung unverzüglich zu erstatten, sofern Sie nicht ,grob fahrlässig’ gehandelt haben.“

Weitere Informationen zum Thema:

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Starke Vertretung, klare Lösungen – Ihr Recht ist unser Ziel

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Kreditkartenbetrug-Online-Check

tietoevry, 18.06.2024
Tietoevry Banking reveals digital fraud methods in new report covering analysis of 3.4 billion transactions

EUROPÄISCHE ZENTRALBANK | EUROSYSTEM
EZB-Jahresbericht 2023

datensicherheit.de, 07.06.2025
Verbraucherzentrale NRW: Erste Hilfe bei Datendiebstahl und Geldverlust / Die Verbraucherzentrale NRW erläutert häufige Betrugsmaschen und gibt Tipps zur Rettung von Daten und Geld

datensicherheit.de, 15.11.2020
Bei Bank- oder Kreditkartenverlust: Schnelles Handeln gefragt / Für Zahlungen mit Unterschrift bedarf es einer zweiten Sperrung der Karte

[datensicherheit.de, 16.06.2025] Die digitale Bedrohungslage in Deutschland wächst offensichtlich weiter – doch immer weniger Menschen schützen sich aktiv: „Das zeigt der neue ,DsiN-Sicherheitsindex 2025‘, den Deutschland sicher im Netz e.V. (DsiN) gemeinsam mit dem Bundesministerium der Justiz und für Verbraucherschutz (BMJV) vorgestellt hat.“ Über die Hälfte der Internetnutzer in Deutschland verfügen demnach über ein Schutzniveau, welches unter ihrer individuellen Bedrohungslage liegt. Der Index verharre auf einem historischen Tiefstand von 55,7 Punkten, während die Zahl erlebter Sicherheitsvorfälle einen neuen Höchststand erreiche.

Abbildung: DsiN

„DsiN-Sicherheitsindex“: Der Gesamtindex 2025

„DsiN-Sicherheitsindex“ gibt seit 2014 Auskunft über Sicherheitswissen, Schutzniveau, Sicherheitsvorfälle und Verunsicherungsgefühl

Der „DsiN-Sicherheitsindex“ ist nach Angaben des Vereins eine repräsentative Erhebung zur digitalen Sicherheitslage von Verbrauchern in Deutschland. Seit 2014 gebe diese Studie auf Basis einer Befragung durch Arix Research Auskunft über Sicherheitswissen, Schutzniveau, Sicherheitsvorfälle und Verunsicherungsgefühl von Internetnutzern und zudem Handlungsempfehlungen für die digitale Aufklärungsarbeit.

Besonders alarmierend sei die Erkenntnis, dass während 33,5 Prozent der Nutzer in den vergangenen zwölf Monaten einen Phishing-Vorfall per Messenger erlebt und 27,8 Prozent infizierte E-Mails erhalten hätten, das Risikobewusstsein weiter abnehme. „Der Indexwert für das Verunsicherungsgefühl fällt auf den niedrigsten Stand seit Beginn der Erhebung.“

Digitale Angebote sollten „by design“ und „by default“ verbraucherfreundlich gestaltet werden

Der aktuelle „Sicherheitsindex 2025“ zeige abermals ein ambivalentes Bild. Digitaler Selbstschutz müsse daher ein zentraler Baustein einer sicheren Nutzung digitaler Dienste und Produkte bleiben. Der Bundesregierung sei es daher ein wichtiges Anliegen, sich auf europäischer Ebene für Verbraucherinteressen im Digitalen Raum einzusetzen:

„Unser Ziel ist es, digitale Angebote schon ,by design’ und ,by default’ verbraucherfreundlich zu gestalten“, kommentiert Frank Schwabe, Parlamentarischer Staatssekretär im Bundesministerium für Justiz und Verbraucherschutz. Der im Oktober 2024 verabschiedete „Cyber Resiliance Act“ sei hierfür bereits ein wichtiger Schritt gewesen.

DsiN: Nur 15,6 Prozent halten ihre digitalen Kompetenzen für ausreichend

Im Fokus der diesjährigen Studie stehe das Vertrauen in digitale Angebote: 78,5 Prozent der Nutzer messen laut DsiN diesem Thema große Bedeutung bei – doch nur ein Viertel setze sich aktiv damit auseinander und nur 15,6 Prozent hielten ihre digitalen Kompetenzen für ausreichend. „Besonders hohes Vertrauen genießen öffentliche Stellen (63,1%), weniger hingegen Soziale Medien (24,7%) oder Künstliche Intelligenz (28,6%).“

Michael Weinzierl, „Senior Manager“ bei Arix Research und Studienleiter des „DsiN-Sicherheitsindex“, führt aus: „Besonders auffällig ist die wachsende Lücke zwischen dem nach wie vor hohen Sicherheitswissen und dem rückläufigen Sicherheitsverhalten!“ Obwohl viele Nutzer um Schutzmaßnahmen wüssten, wendeten sie diese im Alltag immer seltener an. „Diese Wissens-Verhaltens-Schere ist einer der zentralen Befunde des diesjährigen Index.“

Digitale Spaltung: Immer mehr Nutzer ohne digitale Schutzstrategien

Der Index offenbare ein wachsendes Gefälle. Während ein kleiner Teil der Bevölkerung sich bewusst schütze, gehörten über 50 Prozent zu Gruppen mit niedrigem oder fatalistischem Sicherheitsverhalten – Tendenz steigend. Dies mache deutlich: Ohne gezielte Aufklärung, insbesondere für vulnerable Nutzergruppen, drohe eine über Teilhabe und Resilienz entscheidende digitale Spaltung.

Die DsiN-Geschäftsführerin, Isabelle Rosière, hebt warnend hervor: „Digitale Risiken werden zur Normalität. Gleichzeitig stagniert das Schutzverhalten. Um eine sichere digitale Gesellschaft zu ermöglichen, müssen wir gezielt in digitale Bildung und Aufklärung investieren. Und das flächendeckend und alltagsnah. Digitale Mündigkeit braucht mehr als gutes Gefühl – sie braucht konkrete Kompetenz.“

„DsiN-Sicherheitsindex“ zeigt auf, wie dringend Präventionsarbeit ist

Auch digitale Plattformen sähen sich zunehmend in der Verantwortung, Nutzer aktiv vor Betrug und Angriffen zu schützen. Als Partner der Studie setze sich „Kleinanzeigen“ gezielt für mehr Prävention im digitalen Alltag ein: „Als einer der führenden digitalen Marktplätze sehen wir uns in der Verantwortung, nicht nur sichere Plattformstandards zu setzen, sondern auch zur Aufklärung über Online-Betrug beizutragen“, betont Pierre du Bois, „Head of Communications“ bei „Kleinanzeigen“.

Der „DsiN-Sicherheitsindex“ zeigt laut du Bois deutlich, wie dringend diese Präventionsarbeit ist: Auch wenn das Vertrauen der Nutzer steige, dürfe man sie nicht mit den Risiken allein lassen. „Deshalb unterstützen wir die Studie als Partner – für mehr digitale Souveränität im Alltag.“

Weitere Informationen zum Thema:

DsiN Deutschland sicher im Netz
Executive Summary: DsiN-Sicherheitsindex 2025

DsiN Deutschland sicher im Netz
SICHERHEITSINDEX 2025

datensicherheit.de, 23.03.2025
DsiN-Forderung: Digitale Kompetenzen und Verbraucherschutz in den Koalitionsvertrag / DsiN setzt sich seit der Gründung 2006 für die Vermittlung digitaler Kompetenzen und den Schutz der Verbraucher sowie KMU im Netz ein

datensicherheit.de, 27.02.2025
SiBa-App: Relaunch des Sicherheitsbarometers bei DsiN-Talk vorgestellt / DsiN engagiert sich für Digitalen Selbstschutz im Alltag gegen Betrug im Netz

datensicherheit.de, 01.02.2023
Neuer DsiN-Ratgeber für einfachen und sicheren Login / 5. Ausgabe der Ratgeber-Reihe in Zusammenarbeit mit Yubico entstanden

[datensicherheit.de, 15.06.2025] Laut einer aktuellen Warnung von ESET macht eine Sicherheitslücke privat und gewerbliche verwendete Kameras angreifbar: „Ein Blick ins Wohnzimmer, in den Laden oder auf den Parkplatz – bequem per App von unterwegs. Was vielen Menschen ein Gefühl von Sicherheit gibt, kann in Wahrheit zum Risiko werden.“ Weltweit sind laut ESET rund 40.000 Überwachungskameras offen im Internet zugänglich – schlecht gesichert und manchmal sogar ohne Passwort. Auch in Deutschland sollen etwa 1.000 Geräte betroffen sein – „wie aktuelle Recherchen von ,Bitsight‘ zeigen“.

Kein tiefes technisches Verständnis oder spezielle Ausrüstung erforderlich, um Kameras zu kapern

„Viele Geräte werden ohne standardmäßige Datenschutz- und Sicherheitsfunktionen entwickelt, hergestellt und ausgeliefert“, so Christian Lueg, IT-Sicherheitsexperte bei ESET. Er betont: „Das macht sie hochgradig anfällig für Angriffe von außen. Das Schlimme daran ist: Es bedarf keines tiefen technischen Verständnisses oder spezieller Ausrüstung, um die Geräte zu übernehmen!“

• Bei den meisten Überwachungskameras in Deutschland dürfte es sich demnach um HTTPS- und RTSP-basierte Kameras handeln. „Das sind verschiedene Protokolle, die ein Streaming von Videodaten über das Internet ermöglichen.“ Beide Standards kämen in unterschiedlichen Einsatzbereichen zur Anwendung:
• „HTTPS hat sich als Standard für die breite Masse durchgesetzt und findet vor allem bei Überwachungskameras für den privaten Bereich und Kleinunternehmen Verwendung.
• RTSP wird vor allem in professionellen Bereichen verwendet, die weiträumige Echtzeitüberwachung erfordern, z.B. Flughäfen und Bahnhöfen.“

Offene Kameras können Kriminellen Bewegungsprofile liefern

Generell gelte HTTPS als sicherer als RTSP. „Letzterer verfügt über keine eingebaute Verschlüsselung und bedarf weiterer Lösungen, um Daten sicher zu übertragen.“ Im aktuellen Fall könnten Hacker auf Kameras mit beiden Standards zugreifen.

• Offene Kameras lieferten Kriminellen weit mehr als nur harmlose Einblicke. Sie könnten genutzt werden, um Bewegungsprofile zu erstellen, Objekte auszuspionieren oder sogar für gezielte Erpressung. In Unternehmen seien solche Geräte häufig Teil des IT-Netzwerks – „und werden so zur Einstiegslücke für größere Cyberangriffe“.

„Vor allem günstige Überwachungsgeräte werden mit Standardzugangsdaten ausgeliefert, die herstellerübergreifend gleich sind oder sich stark ähneln.“ Behalten Nutzer diese Zugangsdaten bei Inbetriebnahme bei, sei es für Hacker ein Leichtes, die Kamera zu übernehmen und sie für ihre eigenen Zwecke zu missbrauchen.

Unternehmen sollten beim Einsatz von Kameras u.a. auf verschlüsselte Übertragung setzen

Einige Modelle ließen sich sogar trotz geänderter Zugangsdaten auslesen – sie lieferten automatisch Livebilder, sobald eine bestimmte Webadresse (ein sogenannter „Uniform Resource Identifier“, kurz URI) aufgerufen wird. Dies funktioniere ähnlich wie bei einem direkten Link zu einer Datei im Netz. Folgende ESET-Tipps sollen dabei helfen, die eigene Überwachungskamera gegen Zugriffe von außen zu schützen:

• Standard-Benutzernamen und -Passwörter durch sichere, eindeutige Anmeldedaten ersetzen!
• Höherwertige Geräte bekannter Hersteller nutzen, welche meistens länger mit Sicherheitsupdates versorgt werden!
• Fernzugriff deaktivieren, sofern nicht unbedingt erforderlich, und Aufnahmen stattdessen lokal speichern!
• Firmware der Kamera regelmäßig aktualisieren, um bekannte Sicherheitslücken zu schließen!

„Unternehmen sollten beim Einsatz von Kameras auf verschlüsselte Übertragung setzen und Fernzugriffe nur über VPN-Verbindungen erlauben“, rät Lueg abschließend und unterstreicht: „Wer verdächtige Anmeldeversuche überwacht, kann viele Angriffe im Keim ersticken.“

Weitere Informationen zum Thema:

BITSIGHT, João Cruz, 10.06.2025
Bitsight Identifies Thousands of Security Cameras Openly Accessible on the Internet

datensicherheit.de, 04.05.2023
Wenn IoT-Haustürkameras zu Phishing-Fallen werden / IoT-System zu einer möglichen Schwachstelle für seine Nutzer geworden

datensicherheit.de, 18.02.2018
Computer und Smartphones: Jeder vierte Nutzer fürchtet Kamera-Spione / 27 Prozent der Befragten verdecken an ihren Geräten die Kamera

[datensicherheit.de, 18.03.2025] Aktuelle Erkenntnisse des Branchenverbands Bitkom e.V. deuten auf eine starke Zurückhaltung privater Internet-Nutzer in IT-Sicherheitsfragen hin: „Ob VPN-Zugang auf dem Smartphone oder Virenscanner auf dem PC – für den zusätzlichen Schutz der privaten digitalen Geräte gibt die Mehrheit der deutschen Internetnutzerinnen und -nutzer nur ein paar Euro im Monat aus, im Schnitt sind es 5,10 Euro.“

Abbildung: Bitkom e.V.

Ergebnisse einer Bitkom-Umfrage: Private Ausgaben für IT-Sicherheit

Repräsentative Befragung von 1.021 Internetnutzern Ende 2024 / Anfang 2025

Mehr als die Hälfte (56%) zahle weniger als fünf Euro monatlich, ein Viertel (25%) fünf bis zehn Euro und neun Prozent elf bis 20 Euro. Sechs Prozent nutzten kostenlose Sicherheitslösungen, Zwei Prozent wüssten es nicht oder wollten dazu nichts sagen. „Und weitere drei Prozent schützen ihre Geräte gar nicht.“

Dies seien Ergebnisse einer Befragung von 1.021 Personen ab 16 Jahren in Deutschland, die das Internet nutzen, im Auftrag des Digitalverbands Bitkom. Diese habe im Zeitraum von Kalenderwoche 49 2024 bis Kalenderwoche 2 2025 stattgefunden. Die Gesamtumfrage sei repräsentativ.

„Die Hersteller der Smartphone- und Computer-Betriebssysteme haben in der Vergangenheit viele Schutzfunktionen integriert. Dennoch sollte jeder zumindest seine Sicherheitseinstellungen prüfen und überlegen, an welchen Stellen auch kostenpflichtige Dienste einen Mehrwert bieten können – insbesondere wenn die Geräte für sensible Aufgaben wie etwa Online-Banking verwendet werden“, kommentiert Felix Kuhlenkamp, IT-Sicherheitsexperte beim Bitkom.

Internetnutzer machen es Cyber-Kriminellen oft zu leicht

Häufig machten es Internetnutzer Cyber-Kriminellen zu leicht: „So prüfen sieben Prozent ihre Online-Konten – wie etwa E-Mail, Online-Shopping oder Social-Media-Accounts – so gut wie nie auf verdächtige Aktivitäten, 24 Prozent seltener als einmal im Monat. Weitere 27 Prozent tun dies mindestens einmal im Monat, nur 29 Prozent mindestens einmal pro Woche und zehn Prozent täglich.“

Auch beim Installieren von Updates seien viele nachlässig: „Fünf Prozent machen das so gut wie nie, sechs Prozent nur dann, wenn es Probleme gibt, und weitere 20 Prozent unregelmäßig.“ Ein Drittel (35%) installiere hingegen regelmäßig Updates, 30 Prozent sogar unmittelbar nach Verfügbarkeit.

Kuhlenkamp führt aus: „So wie man zu Hause nicht Fenster und Türen offenlässt, so sollte man auch Smartphone und Computer vor unbefugten Eindringlingen schützen! Dazu gehört sowohl die Nutzung aktueller Softwareversionen als auch der Einsatz geeigneter Schutzsoftware gegen Phishing-Mails und Schadsoftware.“ Ebenso wichtig sei die regelmäßige Kontrolle von Accounts und Geräten auf verdächtige Aktivitäten.

Nur 37 Prozent der Internetnutzer in der Lage, ihre digitalen Geräte selbst ausreichend zu schützen

Viele fühlten sich mit dem Thema aber auch schlicht überfordert. Nur 37 Prozent sähen sich selbst in der Lage, ihre digitalen Geräte ausreichend vor Angriffen Cyber-Krimineller zu schützen.

„Und 54 Prozent wissen nicht, an wen sie sich wenden können, wenn sie Opfer von Cyber-Angriffen werden.“ Rund die Hälfte (48%) würde gerne eine Fortbildung zur Cyber-Sicherheit machen, um sich im Internet besser zu schützen.

„Wie man sich vor Cyber-Angriffen schützt, sollte bereits in der Schule vermittelt werden. Es gibt aber auch eine Vielzahl von Informations- und Schulungsmöglichkeiten, etwa bei Volkshochschulen oder in Online-Kursen. Wer sich schlecht vorbereitet fühlt, sollte sich dort anmelden“, rät Kuhlenkamp abschließend.

Weitere Informationen zum Thema:

bitkom
Oft hapert es bereits an einfachen Schutzmaßnahmen