Cyberattacken sind eine kriminelle Boombranche, die Täter im Ausland müssen keine große Angst vor der Justiz haben. Der Digitalverband mahnt zur Selbsthilfe.
München - Angesichts der anhaltenden Welle der Cyberkriminalität und häufig machtloser Strafverfolgung setzt die deutsche Wirtschaft zunehmend auf vorbeugenden Selbstschutz. Cyberattacken sind nach Einschätzung des Digitalindustrieverbands Bitkom aktuell eine der größten Bedrohungen für die deutsche Wirtschaft und Gesellschaft.
"Eine Entspannung der Bedrohungslage ist derzeit nicht absehbar", sagt Verbandspräsident Ralf Wintergerst. Nicht nur die Politik, auch die Unternehmen selbst seien gefordert. "Das bedeutet, IT-Sicherheit muss mit ganz oben auf die Agenda in den Unternehmen gesetzt und mit den notwendigen Ressourcen ausgestattet werden."
Nach Bitkom-Schätzung haben Diebstahl von IT-Ausrüstung und Daten, digitale und analoge Industriespionage sowie Sabotage im vergangenen Jahr Schäden von insgesamt 206 Milliarden Euro verursacht. Fast drei Viertel dieser Summe - rund 148 Milliarden - gingen demnach auf Cyberangriffe zurück. "Fast zwei Drittel der Unternehmen in Deutschland haben zuletzt angegeben, dass sie damit rechnen, in den kommenden zwölf Monaten Opfer von Cyberangriffen zu werden", sagt Wintergerst, im Hauptberuf Vorstandsvorsitzender des Münchner Sicherheitstechnik- und Banknotenherstellers Giesecke + Devrient.
Die tatsächlichen Schäden könnten noch höher sein. "Es gibt auch ein Mehrfach-Dunkelfeld", sagt Martin Kreuzer, der Cyber-Fachmann des Rückversicherers Munich Re. "Nicht nur Täter wollen anonym bleiben, sondern auch viele Opfer. Das macht Strafverfolgung schwierig."
Kaum Aufklärung bei ausländischen Tätern
Ermittlungsverfahren führen häufig ins Leere, denn sehr viele Täter greifen aus dem Ausland an. Laut dem im Sommer 2023 veröffentlichten "Bundeslagebild Cybercrime" des BKA liegt die Aufklärungsquote bei Auslandstaten im unteren einstelligen Bereich.
Für bessere internationale Kooperation der Strafverfolger plädieren daher sowohl Wintergerst als auch Jörg Asmussen, der Hauptgeschäftsführer des Gesamtverbands der deutschen Versicherungswirtschaft (GDV). Doch mit Mitteln der Strafverfolgung allein werde sich das Problem nicht lösen lassen, sagt Asmussen. "Stattdessen müssen wir zur Bekämpfung der Cyberkriminalität an mehreren Stellen ansetzen: Die Politik muss die Rahmenbedingungen für mehr Cybersicherheit schaffen, etwa mit Bedrohungsanalysen, konkreten Warnungen und klarer Benennung der Täter."
Großflächige Angriffe auf Privatpersonen und Unternehmen müssten schnell erkannt und bekannt gemacht werden, idealerweise verbunden mit Hinweisen zur Abwehr des Angriffs. "Zudem muss die Wirtschaft dringend ihr Schutzniveau verbessern", sagt Asmussen. Gerade der deutsche Mittelstand wiegt sich hinsichtlich seiner Cyberrisiken in falscher Sicherheit."
Neue Behörde geplant
Dabei sind Politik und Strafverfolgungsbehörden keineswegs untätig. Der Bund baut derzeit das Bundesamt für die Bekämpfung von Finanzkriminalität auf, das 2025 seine Arbeit aufnehmen soll. Die neue Ermittlungsbehörde ist nicht speziell zur Bekämpfung der Cyberkriminalität gedacht, doch spielt Geldwäsche - das Einschleusen krimineller Profite in den legalen Geldkreislauf - naturgemäß auch bei Cyberbanden eine große Rolle.
Und ein Beispiel aus Bayern: Die Staatsregierung hat die Zentralstelle Cybercrime der Bamberger Generalstaatsanwaltschaft in den vergangenen Jahren personell aufgestockt, die Zahl der Ermittlungsverfahren ist stetig gestiegen: 2019 waren es 14.198, im vergangenen über 18.400. Dabei handelt es sich allerdings nicht nur um Cyberangriffe, in den Zahlen enthalten sind beispielsweise auch die Online-Verbreitung von Kinderpornografie oder Anlagebetrug im Netz.
"Im Zusammenspiel von Risikoträgern, Justiz und Intermediären wie den Versicherungen kann man etwas bewirken", meint Munich Re-Cyberexperte Kreuzer. "Viele Unternehmen investieren mehr in die Prävention. Es tut sich schon etwas, und es gibt durchaus internationale Strafverfolgungs-Operationen, die erfolgreich sind."
Viele Angriffe aus der organisierten Kriminalität
Dennoch sind die Ermittler häufig ohnmächtig. Laut Bitkom-Wirtschaftsschutzbericht 2023 führten die elektronischen Spuren häufig nach Russland oder China. "Also Länder, die mit deutschen oder europäischen Sicherheitsbehörden kaum oder gar nicht kooperieren", sagt Bitkom-Präsident Wintergerst. "Die Grenzen zwischen organisierter Kriminalität und staatlich gesteuerten Akteuren sind dabei oft fließend." Der Anteil der Angriffe, die der organisierten Kriminalität zuzurechnen seien, steige kontinuierlich. 2023 berichteten demnach 61 Prozent der von Hackern attackierten Unternehmen, dass die Angriffe aus dem Bereich organisierte Kriminalität kamen.
"Für die Täter ist die Einstiegsschwelle sehr niedrig, für simple Cyberangriffe braucht es nicht viel mehr als einen Rechner, Strom und einen Internetzugang", sagt Munich Re-Cyberexperte Kreuzer. Programmierkenntnisse sind demnach kaum oder gar nicht mehr erforderlich: "Sie finden für wenig Geld im Internet Anleitungen und Tools." Die Cyberkriminalität sei eine Hydra: "Sobald man einen Kopf abschlägt, wächst ein anderer nach."
Bitkom mahnt zu Investitionen in Cybersicherheit
Fazit: "Prävention ist die beste Methode, um Cyberkriminalität zu bekämpfen", meint Matthias Baumhof, Manager beim IT-Sicherheitsdienstleister Lexis Nexis Risk Solutions. "Die Vorbeugung von Cyberkriminalität würde die Arbeit der Strafverfolgungsbehörden, die aufgrund begrenzter Ressourcen bereits jetzt mit deren Ausmaß überfordert sind, erheblich erleichtern."
Prävention bedeutet für Unternehmen neben Schulung der Belegschaft vor allem technische Aufrüstung. Baumhof ist Technologiechef für "Threat Metrix", eine Plattform zur Identitätsüberprüfung. "Moderne Analyseverfahren und maschinelles Lernen helfen dabei, Betrug vorherzusehen und zu verhindern."
Der Branchenverband Bitkom empfiehlt Unternehmen, nicht weniger als 20 Prozent der gesamten IT-Ausgaben für die IT-Sicherheit bereitzustellen. "Und schließlich braucht jedes Unternehmen einen Notfallplan für Cyberangriffe", sagt Wintergerst. "Der muss klar regeln, wer im Ernstfall was tut. Wenn man sich diese Gedanken erst nach einem erfolgreichen Angriff macht, ist es zu spät."