Neue Studie „Wirtschaftsschutz und Cyberkriminalität“

Am Freitag, den 1. September 2023 haben der Bitkom-Präsident Ralf Wintergerst und Sinan Selen, der Vizepräsident des Bundesamtes für Verfassungsschutz, die aktuelle Studie „Wirtschaftsschutz und Cyberkriminalität“ vorgestellt. Es wird davon ausgegangen, dass hierzulande in Unternehmen jährlich ein Schaden im Umfang von mehr als 200 Mrd. Euro durch Datendiebstahl, IT-Sabotage oder Industriespionage zu verzeichnen ist.

Die drei – im negativen Sinn – Spitzenplätze nehmen die folgenden Schadenskategorien ein:

„Imageschäden bei Kunden oder Lieferanten, Negative Medienberichterstattung“ (35,3 Mrd. Euro)
„Ausfall, Diebstahl oder Schädigung von Informations- und Produktionssystemen oder Betriebsabläufen“ (35,0 Mrd. Euro)
„Kosten für Rechtsstreitigkeiten“ (29,8 Mrd. Euro)

Data protection privacy concept and Internet Security and Cyber Network. data protection programmer with laptop computer with padlock icon. Hackers’ digital crimes. customer confidential information.

Auffällig ist, dass vor allem Cyberangriffe, deren Urheber aus China und Russland stammen, signifikant zugenommen haben. Hier sind zwei Befragungsergebnisse – es wurden rund 1.000 in Deutschland ansässige Unternehmen befragt – besonders erwähnenswert. Drei Viertel gehen davon aus, dass die von China ausgehende Gefahr nach wie vor unterschätzt wird. Zudem hat – vor dem Hintergrund des Ukraine-Kriegs – knapp die Hälfte der Unternehmen die betrieblichen IT-Sicherheitsmaßnahmen verschärft, um sich vor Angriffen aus Russland zu schützen. Regelrecht besorgniserregend ist des Weiteren, dass gut 60 Prozent die Auffassung vertraten, die deutschen Sicherheitsbehörden seien gegenüber Cyberattacken aus dem Ausland weitgehend machtlos.

Unterschiedlichste Urheber und Absichten

Die Täter- bzw. Verursacherkreise sind extrem vielfältig. Am häufigsten handelt es sich um Protagonisten der Organisierten Kriminalität, um Privatpersonen und um unabsichtlich handelnde (aktuelle bzw. ehemalige) Beschäftigte. Weitere Urheber sind in der genannten Reihenfolge konkurrierende Unternehmen, vorsätzlich handelnde (aktuelle bzw. ehemalige) Mitarbeiter, fremde Nachrichtendienste sowie Kunden und Lieferanten.

Ein erhebliches Risiko besteht in Bezug auf den digitalen Diebstahl digitaler Daten und das Ausspähen von E-Mail-Kommunikation oder Messenger-Diensten mit digitalen Mitteln. Weitere Objekte der Begierde sind beispielsweise Kunden- und Mitarbeiterdaten, Zugangsdaten bzw. Passwörter zu persönlichen Bereichen, Finanzdaten und geistiges Eigentum wie Patente oder unternehmensinterne Informationen aus den Bereichen Forschung und Entwicklung.

Mooserboden reservoir is located above the municipality of Kaprun in the Hohe Tauern in the state of Salzburg in Austria .

Gefahrenbereich KRITIS

Ein weiteres, hoch relevantes Studienergebnis ist eine erhebliche Zunahme von Cyberangriffen auf die sogenannten „Kritischen Infrastrukturen“ (KRITIS). Dazu zählen die folgenden zehn Sektoren:

Energie
Informationstechnik und Telekommunikation
Transport und Verkehr
Gesundheit
Medien und Kultur
Wasser
Ernährung
Finanz- und Versicherungswesen
Siedlungsabfallentsorgung
Staat und Verwaltung

Unternehmen, die in diesen Sektoren tätig sind, sollten bzw. müssen sich ganz besonders vor Cyberattacken schützen.

Die Lage ist ernst – immerhin steigt die Sensibilität

Regelrecht schockierend ist das empirische Ergebnis, dass mehr als die Hälfte der Unternehmen die Frage, ob sie ihre geschäftliche Existenz durch Cyberangriffe bedroht sehen, mit „stimme voll und ganz zu“ oder „stimme eher zu“ beantworteten. Die größte Sorge bereitet übrigens Phishing, ein Phänomen, das in unserem letzten CRONIQ-Blog-Eintrag thematisiert wurde. Die Unternehmen wenden derzeit immerhin 14 Prozent ihres IT-Gesamtbudgets für die IT-Sicherheit auf. Dies war gegenüber 2022 eine Steigerung von fünf Prozent. Allerdings empfahlen Wintergerst und Selen im Zuge der Veröffentlichung der Studie einen diesbezüglichen Richtwert von 20 Prozent.

IT-Beratungsunternehmen sind unverzichtbar

Geradezu eine Bankrotterklärung für staatliche Akteure im Bereich IT-Sicherheit sind die folgenden drei Perzeptionen der befragten Unternehmen: Erstens artikulierten sie bis auf wenige Ausnahmen das Gefühl, nur unzureichend durch die Sicherheitsbehörden informiert bzw. gewarnt zu werden. Zweitens sprachen sich 84 Prozent dafür aus, dass die Meldung von Cyberangriffen für Unternehmen, Behörden und öffentliche Einrichtungen verpflichtend sein sollte. Schließlich gaben vier von fünf der Befragten an, der bürokratische Aufwand zur Meldung von Cyberangriffen an die zuständigen staatlichen Stellen sei zu hoch.

Unsere Meinung

Die Ergebnisse der Studie sind nicht nur höchst interessant und hilfreich. Sie sollten von allen, die unternehmerisch tätig sind, auch als Warnung und Handlungsaufruf empfunden werden. Zur Sicherung des unternehmerischen Erfolgs ist es unverzichtbar, die IT-Sicherheit als einen kontinuierlichen Prozess zu verstehen, der professionell begleitet und gemanagt werden sollte.

Viele Grüße,

Tilo Schneider

Quelle und weiterführende Informationen unter:

https://www.bitkom.org/sites/main/files/2023-09/Bitkom-Charts-Wirtschaftsschutz-Cybercrime.pdf