Am Freitag, den 1. September 2023 haben der Bitkom-Präsident Ralf Wintergerst und Sinan Selen, der Vizepräsident des Bundesamtes für Verfassungsschutz, die aktuelle Studie „Wirtschaftsschutz und Cyberkriminalität“ vorgestellt. Es wird davon ausgegangen, dass hierzulande in Unternehmen jährlich ein Schaden im Umfang von mehr als 200 Mrd. Euro durch Datendiebstahl, IT-Sabotage oder Industriespionage zu verzeichnen ist.
Die drei – im negativen Sinn – Spitzenplätze nehmen die folgenden Schadenskategorien ein:
- „Imageschäden bei Kunden oder Lieferanten, Negative Medienberichterstattung“ (35,3 Mrd. Euro)
- „Ausfall, Diebstahl oder Schädigung von Informations- und Produktionssystemen oder Betriebsabläufen“ (35,0 Mrd. Euro)
- „Kosten für Rechtsstreitigkeiten“ (29,8 Mrd. Euro)
Auffällig ist, dass vor allem Cyberangriffe, deren Urheber aus China und Russland stammen, signifikant zugenommen haben. Hier sind zwei Befragungsergebnisse – es wurden rund 1.000 in Deutschland ansässige Unternehmen befragt – besonders erwähnenswert. Drei Viertel gehen davon aus, dass die von China ausgehende Gefahr nach wie vor unterschätzt wird. Zudem hat – vor dem Hintergrund des Ukraine-Kriegs – knapp die Hälfte der Unternehmen die betrieblichen IT-Sicherheitsmaßnahmen verschärft, um sich vor Angriffen aus Russland zu schützen. Regelrecht besorgniserregend ist des Weiteren, dass gut 60 Prozent die Auffassung vertraten, die deutschen Sicherheitsbehörden seien gegenüber Cyberattacken aus dem Ausland weitgehend machtlos.
Unterschiedlichste Urheber und Absichten
Die Täter- bzw. Verursacherkreise sind extrem vielfältig. Am häufigsten handelt es sich um Protagonisten der Organisierten Kriminalität, um Privatpersonen und um unabsichtlich handelnde (aktuelle bzw. ehemalige) Beschäftigte. Weitere Urheber sind in der genannten Reihenfolge konkurrierende Unternehmen, vorsätzlich handelnde (aktuelle bzw. ehemalige) Mitarbeiter, fremde Nachrichtendienste sowie Kunden und Lieferanten.
Ein erhebliches Risiko besteht in Bezug auf den digitalen Diebstahl digitaler Daten und das Ausspähen von E-Mail-Kommunikation oder Messenger-Diensten mit digitalen Mitteln. Weitere Objekte der Begierde sind beispielsweise Kunden- und Mitarbeiterdaten, Zugangsdaten bzw. Passwörter zu persönlichen Bereichen, Finanzdaten und geistiges Eigentum wie Patente oder unternehmensinterne Informationen aus den Bereichen Forschung und Entwicklung.
Gefahrenbereich KRITIS
Ein weiteres, hoch relevantes Studienergebnis ist eine erhebliche Zunahme von Cyberangriffen auf die sogenannten „Kritischen Infrastrukturen“ (KRITIS). Dazu zählen die folgenden zehn Sektoren:
- Energie
- Informationstechnik und Telekommunikation
- Transport und Verkehr
- Gesundheit
- Medien und Kultur
- Wasser
- Ernährung
- Finanz- und Versicherungswesen
- Siedlungsabfallentsorgung
- Staat und Verwaltung
Unternehmen, die in diesen Sektoren tätig sind, sollten bzw. müssen sich ganz besonders vor Cyberattacken schützen.
Die Lage ist ernst – immerhin steigt die Sensibilität
Regelrecht schockierend ist das empirische Ergebnis, dass mehr als die Hälfte der Unternehmen die Frage, ob sie ihre geschäftliche Existenz durch Cyberangriffe bedroht sehen, mit „stimme voll und ganz zu“ oder „stimme eher zu“ beantworteten. Die größte Sorge bereitet übrigens Phishing, ein Phänomen, das in unserem letzten CRONIQ-Blog-Eintrag thematisiert wurde. Die Unternehmen wenden derzeit immerhin 14 Prozent ihres IT-Gesamtbudgets für die IT-Sicherheit auf. Dies war gegenüber 2022 eine Steigerung von fünf Prozent. Allerdings empfahlen Wintergerst und Selen im Zuge der Veröffentlichung der Studie einen diesbezüglichen Richtwert von 20 Prozent.
IT-Beratungsunternehmen sind unverzichtbar
Geradezu eine Bankrotterklärung für staatliche Akteure im Bereich IT-Sicherheit sind die folgenden drei Perzeptionen der befragten Unternehmen: Erstens artikulierten sie bis auf wenige Ausnahmen das Gefühl, nur unzureichend durch die Sicherheitsbehörden informiert bzw. gewarnt zu werden. Zweitens sprachen sich 84 Prozent dafür aus, dass die Meldung von Cyberangriffen für Unternehmen, Behörden und öffentliche Einrichtungen verpflichtend sein sollte. Schließlich gaben vier von fünf der Befragten an, der bürokratische Aufwand zur Meldung von Cyberangriffen an die zuständigen staatlichen Stellen sei zu hoch.
Unsere Meinung
Die Ergebnisse der Studie sind nicht nur höchst interessant und hilfreich. Sie sollten von allen, die unternehmerisch tätig sind, auch als Warnung und Handlungsaufruf empfunden werden. Zur Sicherung des unternehmerischen Erfolgs ist es unverzichtbar, die IT-Sicherheit als einen kontinuierlichen Prozess zu verstehen, der professionell begleitet und gemanagt werden sollte.
Viele Grüße,
Tilo Schneider
Quelle und weiterführende Informationen unter:
https://www.bitkom.org/sites/main/files/2023-09/Bitkom-Charts-Wirtschaftsschutz-Cybercrime.pdf