Bitkom: Immense Schäden durch bandenmäßige Cyberattacken für die deutsche Wirtschaft
Jedes zweite Unternehmen sieht sich durch Cyberkriminalität existentiell bedroht. Die jährlich Schäden für die deutsche Wirtschaft gehen in die 200 Milliarden Euro. Die meisten Angriffe kommen aus Russland und China. Das sind Ergebnisse einer neuen Bitkom-Studie.
Ob Zufall oder nicht, hat die Bundesregierung kurz nach der Erfolgsserie „4 Blocks“ der Clankriminalität den Kampf angesagt. Aber im Vergleich zu dem internationalen organisierten Verbrechen scheint diese, was den Schaden für die deutsche Wirtschaft angeht, noch harmlos zu sein. Die Angreifer, darunter im kleineren Ausmaß auch Nachrichtendienste, sitzen meist in Russland (46 %) und China (42 %), aber auch in Deutschland (29 %), in osteuropäischen Ländern wie Weißrussland (25 %) und in den USA (18 %), so das Ergebnis einer zusammen mit dem Bundesamt für Verfassungsschutz vorgestellten Bitkom-Umfrage unter 1002 Unternehmen in der Bundesrepublik.
Wie der Digitalverband Bitkom mitteilt, belaufen sich die für die deutsche Wirtschaft entstehenden Schäden durch IT-Hardware- und Datendiebstahl, durch Industriespionage und Sabotage auf 206 Milliarden Euro, ein leichter Anstieg gegenüber 203 im Vorjahr, aber noch deutlich unter den 233 Milliarden Euro im zweiten Coronajahr 2021. Jeweils 200 Milliarden Euro in drei Folgejahren hintereinander geben aber zur Sorge Anlass, noch viel mehr vor allem, dass gerade Angriffe aus dem Osten stark zugenommen haben, denn in Russland und China ist es besonders schwer, der organisierten Banden habhaft zu werden und sie dingfest zu machen, zumal die Behörden dort oft selbst machtlos gegen sie sind.
Angriffe aus Russland und China stark steigend
Allerdings gab es 2021 den beiden Ländern mit 23 und 30 Prozent noch deutlich weniger Angriffe als 2022. Russland ist damit erstmals vor China, aber drei Viertel der befragten Unternehmen (75 %) denken, dass die Gefahr, die vom Land der Mitte für die Cybersicherheit ausgeht, noch unterschätzt wird. Und 61 Prozent halten die hiesigen Sicherheitsbehörden derzeit für machtlos, gegen solche Cyberattacken aus dem Ausland vorzugehen. Hinzu kommt, dass die Grenzen zwischen organisierter Kriminalität und staatlichen Akteuren in den Ländern oft fließend sind, wie Bitkom-Präsident Dr. Ralf Wintergerst sagt.
72 Prozent oder rund drei Viertel der befragten Unternehmen waren in den vergangenen zwölf Monaten nach eigenen Aussagen schon Opfer analoger oder digitaler Angriffe, weitere acht Prozent vermuten das, können das aber nicht konkret nachweisen. 61 Prozent machen mittlerweile organisierte Kriminalität dafür verantwortlich, während es 2021 nur 29 Prozent waren. 52 Prozent der Unternehmen oder 9 Prozentpunkte mehr als im Vorjahr sehen sich durch Cyberattacken heute sogar in ihrer Existenz bedroht.
Verfassungsschutz-Vizepräsident Sinan Selen sagte bei Präsentation der Bitkom-Studie: „Die Ergebnisse der aktuellen Bitkom-Studie fügen sich nahtlos in unsere Lageeinschätzung ein. Wir sind mit einer verstetigten hohen Bedrohung durch staatliche und nicht-staatliche Cyberakteure konfrontiert. Regionale Schwerpunkte sind deutlich erkennbar. Wir sehen, dass staatliche Akteure sich auch Cyberakteuren bedienen und eine hohe Bandbreite von Zielen angreifen. Diese reichen von Angriffen auf politische Institutionen über die Wirtschaft – von spezialisierten kleinen Tech-Unternehmen bis hin zu Großkonzernen – und betrifft ebenso Forschungseinrichtungen. Die Gegner haben einen langen Atem und gehen immer aggressiver, professioneller und agiler vor. Unsere Antwort auf diese verstetigte Bedrohung ist eine deutliche Stärkung der Kooperation mit unseren Partnern, die schnelle Detektion und Reaktion auf erkannte Angriffe und fortlaufende Anpassung unserer Abwehrmechanismen.“
Phishing ist Angriffsmuster Nummer 1
Die Ergebnisse der Studie zeigen, dass die Angriffe auf die deutsche Wirtschaft zunehmend digital erfolgen, während analoge Angriffe tendenziell rückläufig sind.
Bei den Cyberattacken ist Phishing mit 31 Prozent gegenüber 25 Prozent vor einem Jahr mittlerweile an der Spitze, gefolgt von Angriffen auf Passwörter und Infizierung mit Schadsoftware jeweils mit einer Zunahme von 25 auf 29 respektive 28 Prozent. Angriffe in Form von Ransomware haben sich von 12 auf 23 Prozent sogar fast verdoppelt, während Schäden durch DDoS-Attacken (Distributed Denial of Services) in ähnlich starkem Ausmaß deutlich zurückgegangen sind.
Aufs Konto von Cyberattacken geht mit 148 Milliarden Euro mittlerweile fast 72 Prozent des wirtschaftlichen Gesamtschadens in Deutschland. Das ist deutlicher Anstieg gegenüber den rund 128 Milliarden Euro im Vorjahr. Wintergerst führt das darauf zurück, dass sich digitale Angriffe von überall auf der Welt lancieren lassen und die Strafverfolgung in vielen Ländern eher gering oder gar nicht vorhanden ist.
Trotz verstärkter Bemühungen um den Datenschutz seit Greifen der DSGVO im Jahr 2018 haben die Fälle von Datendiebstahl deutlich zugenommen. Über die Hälfte der Unternehmen (56 Prozent) berichteten von gestohlenen Kundendaten. 2022 lag der Anteil noch bei 45 Prozent, 2021 bei 31 Prozent. Ebenfalls stark gestiegen ist auch die Zahl der Fälle von Datendiebstahl Mitarbeiterinnen und Mitarbeiter betreffend. Lag der Anteil 2021 noch bei 17 Prozent, waren es 2023 zuletzt 33 Prozent. Am meisten werden mit einem Anteil von 62 Prozent Kommunikationsdaten wie E-Mails gestohlen, an zweiter Stelle folgt die Entwendung von Zugangsdaten und Passwörtern (23 Prozent), an dritter Stelle Finanzdaten (20 %) und Daten im Bereich geistiges Eigentum (17 %).
Unternehmen rüsten auf für die Cyberabwehr
„Wenn persönliche Daten Dritter entwendet werden, geht die Schadwirkung oft weit über das angegriffene Unternehmen hinaus und es kann zu erheblichen Folgeschäden bei den betroffenen Personen kommen. Und auch für die Unternehmen ist ein solcher Angriff meist besonders gravierend: Oft erwarten sie Bußgelder und zum Reputationsverlust kommt ein massiver Vertrauensverlust bei Mitarbeitenden, Kunden oder Partnern“, warnt Wintergerst.
8 von 10 Befragten (82 %) gehen derweil schon davon aus, dass die Cyberattacken auf ihr Unternehmen in den kommenden 12 Monaten noch zunehmen werden, 56 Prozent rechnen sogar mit einer starken Zunahme. Das Gros der Unternehmen (84 %) plädiert mittlerweile schon für eine Meldepflicht bei Cyberattacken für sie, aber auch für Behörden und andere öffentliche Einrichtungen. 80 Prozent der Befragten beklagen aber auch einen zu großen bürokratischen Aufwand bei der Meldung solcher Angriffe und Malware. Um diese abzuwehren, geben die Unternehmen im Schnitt 14 Prozent ihres IT-Budgets für die Cybersicherheit aus. Rund ein Drittel (30 %) folgt der Bitkom- und BSI-Empfehlung, 20 Prozent dafür auszugeben, 42 Prozent geben dafür 10 bis 20 Prozent aus, 16 Prozent der Unternehmen 5 bis 10 Prozent ihrer IT-Budgets.