Zweifel an den Berichten zur Cyberkriminalität bestärkt - Untaugliche Eklärungsversuche für die Unterschiede zwischen zwei Umfragen

In meinem Beitrag zur Cyberkriminalität vom 13. Mai habe ich eine Studie des BSI und des Programm Polizeiliche Kriminalprävention der Länder und des Bundes empfohlen, weil sie viele praktische Anhaltspunkte für die dringend notwendige Diskussion zu diesemThema beinhaltet. Am Ende des Beitrags habe ich einige Daten zur individuellen Betroffenheit aus der zugrundliegenden Umfrage mit ähnlichen Daten aus einem BITKOM-Bericht aus dem Jahr 2025 verglichen und erstaunliche Unterschiede festgestellt und angekündigt, die beiden Pressestellen um eine Erklärung zu bitten.
Das habe ich getan (Mail-Verkehr als pdf). Die Erklärungsversuche waren jedoch nicht überzeugend und auch andere Unstimmigkeiten stärken meine Zweifel an der Validität dieser Umfragen und der Aussagekraft dieser Berichte, die von den Medien und dann in der politischen Debatte - und bisher auch von mir - zu unkritisch übernommen wurden. So wie beim Verdacht auf Fakenews ein Faktencheck angebracht ist, erscheint bei Berichten mit Umfrageergebnissen ein Methodencheck sinnvoll, bevor man sich darauf beruft. Daher lohnt sich eine genauere Betrachtung der offensichtlichen Unstimmigkeiten, des Kleingedruckten zu den Bezugsgrößen der Prozentangaben und der Erklärungsversuche im Namen der Verantwortlichen.
Unterschiede in den beiden Pressemeldungen
Die Schlagzeile der Pressemeldung des BSI zum Cybersicherheitsmonitor vom Mai 2026 lautet: “Cybersicherheitsmonitor 2026: Jede zehnte Person allein im Vorjahr betroffen davon“.Im Text: „In den vergangenen zwölf Monaten wurden 11 Prozent der Internetnutzerinnen und -nutzer in Deutschland Opfer von Cyberkriminalität. Besonders häufig erlebten Betroffene Betrug beim Onlineshopping sowie -banking (22 % bzw. 13 %)
In der BITKOM-Studie 2025 lautete die Überschrift der Pressemitteilung: Cybercrime-Bilanz: 6 von 10 Internetnutzern sind betroffen. Im Text: "Die Mehrheit der Internetnutzerinnen und -nutzer in Deutschland ist in den vergangenen 12 Monaten Opfer von Cyberkriminalität geworden. 61 Prozent haben damit persönlich Erfahrung machen müssen. …. Von drei Delikten sind Internetnutzerinnen und -nutzer am häufigsten betroffen: 36 Prozent wurden beim Online-Kauf betrogen….."
11 % oder 61 % selbst betroffen in den letzten 12 Monaten, 22% oder 36% beim Onlineshopping betrogen – können zwei als repräsentativ ausgegebene Studien Gültigkeit für so unterschiedliche Ergebnisse beanspruchen?
Die Erklärungsversuche der Pressestellen
Beide Pressestellen sehen den Grund für die Unterschiede in einer unterschiedlichen Frageabfolge.
Der Pressesprecher des BITKOM e.V. schrieb:“Der größte Unterschied beider Befragungen liegt soweit wir das einschätzen können in der Frageabfolge. Im CyMon wird zunächst gefragt, ob jemand Opfer von Cyberkriminalität im Internet geworden ist. Erst wer das bejaht, bekommt die Liste der konkreten Delikte vorgelegt.
In der Bitkom-Befragung werden zunächst die einzelnen Erfahrungen ohne vorgeschaltete Filterfrage konkret und alltagsnah abgefragt, etwa, ob man beim Online-Kauf betrogen wurde, ob Schadprogramme aufgetaucht sind, ob Phishing-Nachrichten empfangen wurden. Der Wert von Betroffenheit durch Cyberkriminalität ergibt sich dann aus diesen Nennungen.
Das sind zwei unterschiedliche Konstrukte: Selbstetikettierung als Cybercrime-Opfer auf der einen Seite, berichtete Einzelerfahrungen auf der anderen. Wer ein Paket nicht erhalten hat und später über den Käuferschutz schadlos geblieben ist, würde sich auf die Eingangsfrage des CyMon womöglich nicht als Opfer einer Straftat bezeichnen, bei uns in der Einzelfrage zum Online-Kauf aber „Ja“ sagen.“
Eine Sprecherin des BSI schrieb: “Nach unserem gegenwärtigen Informationsstand unterscheiden sich die Studien im Aufbau des Fragebogens, was entsprechende Auswirkungen auf die Ergebnisse hat.
Der Cybersicherheitsmonitor fragt Befragte zuerst, ob sie im Vorjahr von Cyberkriminalität betroffen waren, und lässt anschließend jene, die diese Frage bejahen, auswählen, um welche Straftat oder welche Straftaten es sich dabei handelte. ….
Soweit aus den öffentlich zugänglichen Dokumenten erkennbar ist, fragt die Studie des Bitkom e.V. im ersten Schritt, welche Szenarien, etwa Phishing-Mails im eigenen E-Mail-Postfach, Befragte bereits erlebt haben. Daraus wird anschließend aggregiert, wie viele Befragte mindestens eine der zur Auswahl stehenden Erfahrungen gemacht haben. Demnach konzentriert sich der Cybersicherheitsmonitor auf das Ausmaß tatsächlicher Betroffenheit und die Studie vom Bitkom e.V., soweit aus den öffentlich zugänglichen Dokumenten erkennbar, auf das Ausmaß, mit dem Internetnutzerinnen und -nutzer mit Angriffen konfrontiert sind. Aus Sicht des BSI ergänzen sich die Studien damit.“
Das von beiden beschriebene Vorgehen der BITKOM Studie, aus den einzelnen Erfahrungen eine aggregierte Betroffenheit zu bilden, ist in dem Bericht nicht erkennbar. Auf der entsprechenden Seite in dem Bericht (Screenshot in Abb. 1) sieht es so aus, als handele es sich in Abb. 6 um eine wörtlich so gestellte Frage mit einem entsprechenden Prozentwert von 61% Ja-Anteil. Sollte den Erläuterungen zu Folge diese Frage so gar nicht gestellt worden sein, hätte das in der Bezeichnung und einer Erläuterung deutlich gemacht werden müssen. Wenn nur die Einzelerfahrungen in Abb. 7 abgefragt worden sind, besteht eine Unstimmigkeit darin, dass dort die Antwortmöglichkeiten „keine“ und „weiß nicht“ fehlen, die in Abb. 6 ausgewiesen sind. Ausserdem hätte die Antwortmöglichkeit "andere" angeboten werden müssen, wie dies in der ähnlichen Liste der BSI-Umfrage der Fall st, weil die Liste nicht vollständig ist und die Befragten nicht gedrängt werden dürfen, aus den vorgegebenen Antwortmöglichkeiten eine auszuwählen zu müssen.. Dann kann es gut sein, dass manche die erste, oben stehende Möglichkeit wählen - den Betrug beim Onlineshopping - wie man es aus der Wahlforschung kennt.
Abb. 1 Screenshot BITKOM Studie 2025, S. 13
Schaut man sich die Formulierungen an, ist auch das Beispiel des BITKOM-Sprechers nicht zutreffend. Denn auch in diesem Fall würde sich jemand als "betroffen“ bezeichnen, während es fraglich ist, ob diese Erfahrung in der BITKOM-Umfrage als „Betrug“ erwähnt würde. Insgesamt sind die Bezeichnungen in den Texten und den Fragen nicht konsistent, mal ist es Betroffenheit von Kriminalität, mal von Straftaten, mal sind es nur Erfahrungen, an anderer Stelle „Opfer“. Aber überhaupt nicht nachvollziehbar ist, dass auf einer Seite des BSI-Berichts drei verschiedene Prozentzahlen dafür angegeben werden (Abb. 2):
Abb. 2: Screenshot Cybersicherheitsmonitor S.11
Wie kann es sein, dass auf einer Seite eine Betroffenheit von 10 bzw 11 % in einer Abbildung angegeben wird und in dem Text zu Betroffenheit gleich darüber auch 27% und sogar 40% genannt werden? Das habe ich die Sprecherin im Nachgang gefragt und warte noch auf eine Antwort.
Unterschiedliche Interpretationsspielräume“
Betrogen worden sein als Erfahrung in der BITKOM Umfrage
Betrogen worden sein als Erfahrung in der BITKOM Umfrage
Wie oft bei Missverständnissen über Dokumente lohnt es sich, auf den genauen Wortlaut zu achten und in das Kleingedruckte zu schauen, hier die Angaben zu den n, der Anzahl der Antworten, auf die sich die Prozentangaben beziehen.
An der BITKOM-Umfrage haben 1.115 Personen teilgenommen, davon 1.021 Internetnutzende. Auf letztere beziehen sich die Prozentangaben in Abb. 6 und 7. Das kann man so machen und es bedeutet dann: Von allen Internetnutzenden in Deutschland über 16 Jahre sind 36 % beim Onlineshopping betrogen worden. Etwas mehr als jede(r) Dritte. Das heißt wir alle müssten mehrere Personen kennen, die in den letzten 12 Monaten beim Onlineshopping betrogen worden sind. Da nur 82 % der Internetnutzenden Onlineshopping machen, dürften die absoluten Zahlen für diese Antwort nur auf diese 82% der 1.021 Befragten bezogen werden, der Prozentsatz also noch größer sein. Aber auch die 36% widersprechen unserer eigenen Erfahrungswelt. In seiner Antwort meint der BITKOM-Sprecher, bei dieser Umfrage gehe es um „Erfahrungen", nicht um Selbsteinschätzung. In der BSI-Umfrage ist von "Straftaten" die Rede. Umgangssprachlich kann die Einschätzung betrogen worden zu sein entstehen durch
- Ware nie erhalten,
- Fälschung erhalten,
- deutlich minderwertige Ware,
- versteckte Kosten,
- Rückerstattung verweigert,
- Fake-Shop,
- Betrug über Kleinanzeigen,
- oder sogar lediglich ein enttäuschender Kauf.
Mir wurde bestätigt, dass in den Interviews nicht erläutert wurde, was unter „betrogen“ zu verstehen ist. Es seien aber auch keine Rückfragen von dem „Felddienstleister“ gemeldet worden. Das spricht für ein sehr weites Verständnis. Andererseits werden auch sehr hohe Zahlen für erlittene finanzielle Schäden genannt. 60% sollen einen finanziellen Schaden erlitten haben, also zwei von drei meiner und Ihrer Bekannten, die das Internet nutzen. Für die Höhe der erlittenen Schäden werden auf einer Seite zwei verschiedene Beträge genannt (Abb.3):
Abb.3: Erlittene finanzielle Schäden (NITKOM Studie 2025, S. 14)
Bei dieser Frage dürfte es eigentlich keinen großen Interpretationsspielraum geben. Aber dafür, dass 60% aller Internetnutzenden in den letzten 12 Monaten einen finanziellen Schaden durch die Internetnutzung erlitten haben sollen, gibt es keine weitere Evidenz.
Die Polizeiliche Kriminalstatistik (PKS) weist für 2024 71.622 Fälle von Warenbetrug aus, das sind 0,1% der Internetnutzenden. Nach der BITKOM-Umfragen wenden sich nur 26% bei Cybercrime an die Polizei, also eine Dunkelziffer von 400%, dementsprechend 0,4 % der Internetnutzenden. Aber können diese stark überhöhten Zahlen nur an Interpretationsspielräumen bei den verwendeten begriffen in den Interviews liegen?.
Betrogenwordensein als Straftat im Cybersicherheitsmonitor
Im Cybersicherheitsmonitor steht „Betrug beim Onlineshopping“ als Fall einer Straftat (Abb.4), also deutlich konkreter und dementsprechend auch weniger häufig. In der Abbildung 22%, für 2026 ebenso wie für 2025.
Abb. 4: Cybersicherheitsmonitor 2026, S. 12
Im Kleingedruckten kann man sehen, dass ich diese 22% nur auf die 321 Personen oder 11 % beziehen, die angegeben haben, in den letzten 12 Monaten von Kriminalität im Internet betroffen gewesen zu sein (oben Abb.2). also 71 Personen. Würde man diese auf die 3.060 befragten Internetnutzenden beziehen, wie s die BITKOM-Studie macht, dann wären das 0,23 %., etwas weniger als die 0,4% in der Kriminalstatistik mit vierfacher Dunkelziffer. Das scheint mir plausibel.
Zwischenfazit
Ich denke nicht, dass die beiden Pressestellen nicht richtig liegen, wenn Sie die Unterschiede auf die Abfolge der Fragen zurückführen, sondern dass es an dem sprachlichen Kontext liegt, in dem die Frage nach dem Betrug steht. Ob ich erst nach allgemeinen Erfahrungen mit Internetkriminalität gefragt werde und dann nach verschiedenen Beispielen, unter anderem Betrug beim Onlineshopping, oder direkt nach Beispielen und auch diesem, macht für mein Verständnis keinen Unterschied., wenn ich etwas in dieser Art erlebt habe. Aber es macht sehr wohl einen Unterschied, ob ich nach „Erfahrungen“ gefragt werde, die ich mit diesen Worten verbinde oder nach „Straftaten“. Aber kann das der alleinige Grund für die gravierenden Unterschiede sein?
Repräsentativität und Gewichtung
Neben der Semantik der Fragestellung gibt es noch einen weiteren methodischen Einflussfaktor auf die Ergebnisse, die Größe und Zusammensetzung der Stichprobe.
- Die Grundgesamtheit ist für die BSI Umfrage die deutschsprachige Bevölkerung im Alter ab 16_Jahren, die in einem Privathaushalt in Deutschland lebt und über einen Internetzugang verfügt. Anzahl der Im BITKOM-Bericht steht nur „Personen ab 16 Jahren „ auf Nachfrage konkretisiert „Grundgesamtheit ist die deutschsprachige Wohnbevölkerung im Alter ab 16 Jahren am Hauptwohnsitz mit Festnetztelefonanschluss, erweitert um Mobilfunknutzer, innerhalb der politischen Grenzen der Bundesrepublik Deutschland.“, etwa
- Die Größe der Stichprobe ist bei der BITKOM Umfrage 1.115, bei der BSI Umfrage 3.060.Die kleinere Stichprobe reicht statistisch grundsätzlich aus, um repräsentative und damit verallgemeinerbare Ergebnisse zu erzielen. Es kommt aber entscheidend auf die Zusammensetzung an. Dazu muss sie die Grundgesamtheit in ihren relevanten Merkmalen strukturgleich abbilden. Das sind üblicherweise Alter, Geschlecht und Bildung. Im Kontext von Betroffenheit von Kriminalität wichtige Merkmale wie Digitale Kompetenzen sowie körperliche und geistige Fähigkeiten, wie sie in der Bremer Umfrage 202 erhoben wurden, werden regelmäßig nicht erfasst.
- Ob die klassische Repräsentativität erreicht wird, hängt davon ab, wie die Befragung erfolgt. Die BITKOM-Befragung beruht auf dem üblichen Computergestützten telefonischen Interview (Computer Assisted Telephone Interview (CATI), die BSI Umfrage wurde als Computer Assisted Web Interviewing (CAWI) durchgeführt. (Erläuterung in der Mail der Pressesprecherin). Dabei wird ausgewählten Personen aus einem bestehenden Panel ein Link zu einem Online-Fragebogen geschickt. Das telefonische Interview kann bei Hörschwierigkeiten Probleme machen, der Online-Fragebogen bei Sehproblemen. Noch wichtiger ist jedoch, dass bei den Telefoninterviews viele Personen, die angerufen werden, eine Teilnahme ablehnen. Das macht es vor allem schwierig, in den höheren Altersgruppen und unteren Bildungsschichten die Strukturgleichheit mit der Grundgesamtheit herzustellen.
- Beide Berichte beanspruchen nicht, eine repräsentative Stichprobe gewonnen zu haben, sondern geben an, die Repräsentativität durch Gewichtung herzustellen. Wenn nicht die erforderlichen 66 Personen mit niedrigem Bildungsstand über 70 Jahre befragt werde konnten, sondern nur 44 , dann werden deren Angaben mit dem Faktor 1,5 gewichtet, wenn dabei zu viele Frauen sind, wird wieder etwas abgezogen. Statistiker halten das für zulässig. Nach meiner Auffassung haben die Umrechnungen nicht nachweisbare Nebeneffekte und können Einzelergebnisse verfälschen. Wenn in dem Beispiel von den 44 Personen11 Betrug erlebt haben, werden daraus 16. Fünf echte Teilnehmende mit denselben Merkmalen hätten vielleicht keinen Betrug erlebt und der Wert würde niedriger ausfallen. So kann die Gewichtung ungewollt und unerkannt Einzelergebnisse verfälschen. Die Gewichtung gewährleistet daher nach meiner Überzeugung keine valide Repräsentativität. Für die Stichprobengröße werden Fehlertoleranzen von +/- 2 bis 3 Prozent genannt. Da man nicht weiß, was bei der Gewichtung im Hinblick auf einzelne Ergebnisse passiert, kann man dafür keine Fehlerquoten berechnen. Man kann jedoch sagen, dass je kleiner die Stichrobe, um so mehr gewichtende Veränderungen sind erforderlich. Und auch das könnte Unterschiede zwischen der BITKOM Umfrage und der BSI Umfrage erklären.
Fazit und Konsequenzen
Diese methodischen Überlegungen bestärken meine Zweifel an der Validität der hohen Prozentzahlen aus dem Zwischenfazit. Unpräzise bzw. nicht erläuterte Begriffe lassen einen zu hohen Interpretationsspielraum bei den Befragten. Statt darauf hinzuweisen werden in den Texten unterschiedliche Termini verwendet. Die nicht offen gelegte Aggregation der Einzelwerte zu einem Gesamtprozentsatz kostet zusätzlich Vertrauen. Ich vertraue keiner BITKOM-Umfrage. Bei der eigenen Risiko-Einschätzung, betrogen zu werden, verlasse ich mich auf meine langjährige Erfahrung und darauf was ich aus dem Bekannten- und Kollegenkreis höre. Als Käufer bin ich noch nie betrogen worden und als Verkäufer mit meine Schallplattenhandel habe ich in mehr als 10 Jahren nur einen Betrugsversuch erlebt, der über den Käuferschutz nur Ärger, aber keinen finanziellen Schaden verursacht hat.
Aber daraus einem geringeren statistischen Risiko ergeben sich keine anderen praktischen Konsequenzen für das Sicherheitsverhalten. Auch wenn Betrugsversuche seltener sind als die Zahlen behaupten, ist das kein Grund weniger umsichtig und bei Neuem skeptisch zu sein. Ich habe vielleicht deswegen wenig eigene Erfahrungen mit Internetkriminalität weil ich vorsichtig und kritisch bin und kann das nur empfehlen Und ich glaube den BSI-Zahlen, dass das noch zu viele zu wenig tun.
Weitere Infos:
