Spionage, Sabotage, Datendiebstahl: 55 Milliarden Euro Schaden im Jahr durch Cyberkriminalität

Cyberkriminelle nehmen immer häufiger Unternehmen in Deutschland ins Visier. Allein in den vergangenen beiden Jahren verursachten Wirtschaftsspionage, Sabotage oder Datendiebstahl einen Schaden von jährlich rund 55 Milliarden Euro.

Schaden in mehrstelliger Milliardenhöhe entsteht deutschen Unternehmen jährlich durch Cyberangriffe.
(Foto: @nt - Fotolia)

Über die Hälfte der Unternehmen in Deutschland (53 Prozent) sind in den vergangenen beiden Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Der dadurch entstandene Schaden liegt bei rund 55 Milliarden Euro pro Jahr. Zu diesem Ergebnis kommt eine Studie des Bitkom, für die 1.069 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Branchen repräsentativ befragt wurden sind.

Zwar ist – verglichen mit der Studie vor zwei Jahren – der Anteil der Betroffenen nur leicht von 51 auf 53 Prozent gestiegen, der Schaden ist allerdings um rund acht Prozent von 51 auf 55 Milliarden Euro gewachsen. »Unternehmen müssen viel mehr für ihre digitale Sicherheit tun«, sagt Bitkom-Präsident Achim Berg. Die Studie zeigt, dass die Gefahr für Unternehmen aller Branchen und jeder Größe real ist. In Zeiten von Digitalisierung und Industrie 4.0 müsse ein besonderes Augenmerk auf der Abwehr von Spionageangriffen auf die deutsche Wirtschaft liegen. »Im Sinne eines ganzheitlichen und nachhaltigen Wirtschaftsschutzes gehören dazu nicht allein IT-bezogene Maßnahmen, sondern risikominimierende Pläne in den Bereichen Organisation, Personal und Sensibilisierung«, so Dr. Hans-Georg Maaßen, Präsident des Bundesamtes für Verfassungsschutz (BfV). Wichtig sei aber auch die intensive Zusammenarbeit zwischen Wirtschaft und Behörden sowie der Behörden untereinander - wie in der »Initiative Wirtschaftsschutz«.

Der Studie zufolge wurden 17 Prozent der Unternehmen in den vergangenen zwei Jahren demnach sensible digitale Daten gestohlen. Vor allem Kommunikationsdaten wie E-Mails (41 Prozent) oder Finanzdaten (36 Prozent) fielen dabei in die Hände der Angreifer. In 17 Prozent der Fälle von Datendiebstahl wurden Kundendaten entwendet, in elf Prozent Patente oder Informationen aus Forschung und Entwicklung, in 10 Prozent Mitarbeiterdaten.

Nicht immer haben es die Angreifer jedoch ausschließlich auf digitale Daten abgesehen. Häufigstes Delikt ist der Diebstahl von IT- oder Telekommunikationsgeräten wie Notebooks oder Smartphones. 30 Prozent der Unternehmen wurden in den vergangenen zwei Jahren Opfer solcher Diebstähle. In der Regel ist bei diesen Delikten unklar, ob die Täter es auf die Geräte an sich oder auf die darauf gespeicherten Daten abgesehen haben. Rund jedes fünfte Unternehmen berichtet von Social Engineering (Analoges Social Engineering 20 Prozent, Digitales Social Engineering 18 Prozent). Dabei werden Mitarbeiter manipuliert, um an sensible Informationen zu gelangen. In einem zweiten Schritt wird mit den erschlichenen Informationen dann zum Beispiel Schadsoftware ins Firmennetz geschleust.

Jedes achte Unternehmen (zwölf Prozent) ist Opfer von digitaler Sabotage geworden, durch die zum Beispiel die Produktion gestört wurde. Acht Prozent berichten vom Ausspähen der digitalen Kommunikation wie E-Mails und sieben Prozent vom Abhören von Telefonaten oder Besprechungen. Verglichen damit kommen klassische analoge Angriffe eher selten vor. So wurden 17 Prozent der Unternehmen Opfer eines klassischen Diebstahls von Dokumenten wie Papieren, Mustern oder Bauteilen, in lediglich vier Prozent der Unternehmen wurden Produktionssysteme oder Betriebsabläufe auf analogem Weg sabotiert und lahmgelegt.

Mitarbeiter als Täter

Besonders häufig handelt es sich bei den Tätern um aktuelle oder ehemalige Mitarbeiter des Unternehmens. 62 Prozent der Unternehmen, die in den vergangenen zwei Jahren Opfer von Spionage, Sabotage oder Datendiebstahl wurden, haben die Täter in diesem Personenkreis identifiziert. 41 Prozent der betroffenen Unternehmen machen Wettbewerber, Kunden, Lieferanten oder Dienstleister für die Angriffe verantwortlich. 21 geben Prozent Hobby-Hackern die Schuld und sieben Prozent der Unternehmen vermuten hinter den Attacken Personen aus der organisierten Kriminalität. Ausländische Nachrichtendienste wurden in drei Prozent der Unternehmen als Täter identifiziert. Sieben Prozent der Unternehmen sind die Täter nach eigenen Angaben unbekannt. Jedes dritte von Angriffen betroffene Unternehmen (37 Prozent) berichtet, dass die Täter aus Deutschland kamen.

Der Großteil der Angriffe aber kommt aus dem Ausland: 23 Prozent der Unternehmen berichten von Tätern aus Osteuropa, 20 Prozent aus China und 18 Prozent aus Russland. Erst danach folgen die USA (15 Prozent), die Summe aller westeuropäischen Länder (12 Prozent) und Japan (7 Prozent).

Schweigen überwiegt

Nicht einmal jedes dritte betroffene Unternehmen (31 Prozent) schaltet staatliche Stellen ein. Hauptgrund dafür, sich nicht an die Behörden zu wenden, ist die Angst vor Imageschäden. Eine interne Untersuchung haben 46 Prozent der Unternehmen eingeleitet, externe Spezialisten wurden von 34 Prozent hinzugezogen. Überhaupt keine Untersuchung wurde nur von drei Prozent der Betroffenen veranlasst, vor zwei Jahren waren es noch zehn Prozent.

Wird eine externe Untersuchung veranlasst, dann ist erster Ansprechpartner bei den Behörden für die Unternehmen die Polizei. An sie haben sich 84 Prozent jener Firmen gewendet, die überhaupt staatliche Stellen einschalten. Die Staatsanwaltschaft informieren 57 Prozent. An die Datenschutz-Aufsicht oder an das Bundesamt für Sicherheit in der Informationstechnik wenden sich jeweils 15 Prozent, an den Verfassungsschutz drei Prozent.

Übersicht

Kommentare (1) Alle Kommentare

Antwort von PC-Flüsterer Bremen , 19:41 Uhr

Das Thema ist immer: Geld. Gute Leute kosten Geld! Gute Geräte kosten Geld! Hier ist von 55 Milliarden(!) Euro Schaden p.a. die Rede. Aber wenn es um vorbeugenden Schutz geht, dann wird eben doch Cisco, Fortinet oder ein anderes US-Gerät gekauft, weil das vielleicht etwas billiger ist als die Appliance von Lancom oder Bintec-Elmeg. Letztere beiden Hersteller sind beim BSI noch NIE mit einer Sicherheitsmeldung vertreten; Cisco hat deren hunderte, davon viele in der höchsten Gefahrenstufe; Fortinet und die anderen Hersteller entsprechend. Ganz abgesehen von den Hintertüren in US-Geräten. Die Konfiguration des Netzwerks (Segmentierung!) macht der Elektriker mit; die Administration kann ja der Hausmeister nebenbei erledigen. Guter Schutz gegen Cybercrime ist kein geheimes Herrschaftswissen, aber er kostet Geld einmal für Investition (Beratung(!), Hardware, Installation) und laufend für Administration. Das auszugeben sind viele Firmen immer noch nicht bereit, das ist die böse Wirklichkeit. Erst wenn das Kind dann - vorhersehbar - in den Brunnen gefallen ist, ist das Geschrei groß.