Jedes zweite Unternehmen wurde schon Opfer von Cybercrime

Mehr als die Hälfte der Unternehmen (53 Prozent) in Deutschland sind einer Studie des Digitalverbands Bitkom zufolge in den vergangenen zwei Jahren Opfer von Sabotage, Spionage und Datendiebstahl geworden. Dabei sei ein geschätzter Schaden von rund 55 Milliarden Euro pro Jahr entstanden. „Das ist eine unglaubliche Schadensbilanz“, sagte Hans-Georg Maaßen, Präsident des Bundesamts für Verfassungsschutz (BfV) am Freitag bei der Vorstellung der Ergebnisse in Berlin. Die Summe käme fast an den gesamten Staatshaushalt des Freistaats Bayern mit 58 Milliarden Euro heran.

Es zeige sich, dass die Gefahr für Unternehmen aller Branchen und jeder Größe real sei, sagte Achim Berg, Präsident des Bitkom. Jeder könne Opfer werden. „Die Studie unterstreicht, dass wir in Zeiten von Digitalisierung und Industrie 4.0 unser besonderes Augenmerk auf die Abwehr von Spionageangriffen auf die deutsche Wirtschaft richten müssen“, sagte Maaßen. Sie zeichne auch ein wichtiges Lagebild darüber, wie die deutsche Wirtschaft den Wirtschaftsschutz wahrnehme und beschränke sich nicht auf IT-Angriffe, sondern rechne auch realweltliche Angriffe mit ein.

Ehemalige Mitarbeiter

Die Angreifer kommen der Studie zufolge zum überwiegenden Teil aus dem Kreis der aktuellen oder ehemaligen Mitarbeiter des Unternehmens, 62 Prozent der Betroffenen haben demnach die Täter in diesem Umfeld identifiziert. Die Unternehmen sollten sich nicht allein auf eine IT-Firewall verlassen, sondern benötigten auch eine humane Firewall, sagte Maaßen. Dazu gehöre eine Unternehmenskultur, die dazu beitrage, dass Informationsabflüsse durch Mitarbeiter soweit wie möglich reduziert würden.

Mit 41 Prozent folgen darauf Wettbewerber, Kunden, Lieferanten oder Dienstleister. Von Hobby-Hackern wurden 21 Prozent getroffen, lediglich 7 Prozent der Attacken stammten demnach aus der organisierten Kriminalität. Auf ausländische Nachrichtendienste entfielen 3 Prozent der Fälle. Kleine und mittelständische Unternehmen seien dabei oft das vordringliche Ziel, weil sie besonders innovativ seien, sagte Maaßen. Die Absichten der Angreifer reichten von der Spionage über die Sabotage, die gezielte Desinformation bis hin zur Schädigung der Reputation des Wettbewerbers.

Keine Meldungen

Allerdings schaltet nicht einmal jedes dritte betroffene Unternehmen staatliche Stellen nach einem entsprechenden Vorfall ein. Von den Unternehmen, die das überhaupt getan haben, wandten sich demnach 84 Prozent an die Polizei, 57 Prozent informierten die Staatsanwaltschaft. An die Datenschutz-Aufsicht oder an das Bundesamt für Sicherheit in der Informationstechnik, das sich als erste Anlaufstelle für solche Vorfälle versteht, wandten sich lediglich jeweils 15 Prozent der Unternehmen. Es sei jedoch von großer Bedeutung, entsprechende Informationen zu teilen. „Nur wenn Unternehmen Angriffe melden, können die Sicherheitsbehörden ein realitätsnahes Lagebild erstellen und Abwehrstrategien entwickeln“, sagte Maaßen.

Maaßen sprach sich für einen ganzheitlichen und nachhaltigen Schutz aus. Dazu gehörten nicht nur Maßnahmen in der IT, sondern auch entsprechende Pläne in der Organisation, beim Personal und der allgemeinen Sensibilisierung. „Wichtig ist aber auch die intensive Zusammenarbeit zwischen Wirtschaft und Behörden sowie den Behörden untereinander.“ Mit den Entwicklungen hin zur vernetzten Industrie 4.0 würden künftig die Angriffsflächen noch weiter wachsen. „Das ist kein Grund zum Pessimismus, aber ein Grund zur Sorge.“ Unternehmen müssten deshalb ihre Anstrengungen noch weiter verstärken.