Damit liegt der Schaden zum dritten Mal in Folge über der 200-Milliarden-Euro-Marke, so das Ergebnis einer Studie im Auftrag des Digitalverbands Bitkom, die am Freitag in Berlin vorgestellt wurde. Dafür waren über 1.000 Unternehmen quer durch alle Branchen befragt worden.
Rund drei Viertel (72 Prozent) aller Unternehmen waren in den vergangenen zwölf Monaten von analogen und digitalen Angriffen betroffen, weitere 8 Prozent vermuten dies, ohne entsprechende Angriffe zweifelsfrei nachweisen zu können. Gegenüber dem Vorjahr mit 84 bzw. 9 Prozent ging die Zahl der Angriffe damit leicht zurück. Deutlich zugenommen haben allerdings jene Angriffe, die der organisierten Kriminalität zuzurechnen sind: 61 Prozent der betroffenen Unternehmen sehen die Täter in diesem Bereich, vor einem Jahr lag der Anteil noch bei 51 Prozent, vor zwei Jahren sogar nur bei 29 Prozent. Zugleich entwickeln sich seit Beginn des russischen Angriffskrieges auf die Ukraine Russland und China immer mehr zur Basis für Attacken auf die deutsche Wirtschaft: 46 Prozent der betroffenen Unternehmen konnten Angriffe nach Russland zurückverfolgen (2021: 23 Prozent), 42 Prozent wurden aus China angegriffen (2021: 30 Prozent).
Damit steht Russland erstmals an der Spitze der Länder, von denen Angriffe auf die deutsche Wirtschaft gefahren werden. Gleichzeitig sind drei Viertel aller Unternehmen (75 Prozent) der Meinung, dass die Gefahr unterschätzt wird, die von China für die Cybersicherheit ausgeht. Und 61 Prozent halten die Sicherheitsbehörden derzeit für machtlos gegenüber Cyberattacken aus dem Ausland. „Die deutsche Wirtschaft ist ein hoch attraktives Angriffsziel für Kriminelle und uns feindlich gesonnenen Staaten. Die Grenzen zwischen organisierter Kriminalität und staatlich gesteuerten Akteuren sind dabei fließend. Der leichte Rückgang der betroffenen Unternehmen ist ein positives Zeichen und deutet darauf hin, dass die Schutzmaßnahmen Wirkung entfalten“, sagte Bitkom-Präsident Ralf Wintergerst am Freitag in Berlin.
Erstmals fühlt sich eine Mehrheit von 52 Prozent der Unternehmen durch Cyberattacken in ihrer Existenz bedroht, vor einem Jahr waren es 45 Prozent, vor zwei Jahren sogar nur 9 Prozent. Verfassungsschutz-Vizepräsident Sinan Selen sagte bei der Vorstellung der Studie: „Die Ergebnisse der aktuellen Bitkom-Studie fügen sich nahtlos in unsere Lageeinschätzung ein. Wir sind mit einer verstetigten hohen Bedrohung durch staatliche und nicht-staatliche Cyberakteure konfrontiert. Regionale Schwerpunkte sind deutlich erkennbar. Wir sehen, dass staatliche Akteure sich auch Cyberakteuren bedienen und eine hohe Bandbreite von Zielen angreifen. Diese reichen von Angriffen auf politische Institutionen über die Wirtschaft – von spezialisierten kleinen Tech-Unternehmen bis hin zu Großkonzernen – und betrifft ebenso Forschungseinrichtungen. Die Gegner haben einen langen Atem und gehen immer aggressiver, professioneller und agiler vor. Unsere Antwort auf diese verstetigte Bedrohung ist eine deutliche Stärkung der Kooperation mit unseren Partnern, die schnelle Detektion und Reaktion auf erkannte Angriffe und fortlaufende Anpassung unserer Abwehrmechanismen.“
Die Angriffe auf Unternehmen haben sich in den vergangenen zwölf Monaten weiter in den digitalen Bereich verlagert: So waren 70 Prozent der Unternehmen von Diebstahl sensibler Daten betroffen oder vermutlich betroffen, ein Anstieg um 7 Prozentpunkte im Vergleich zum Vorjahr. 61 Prozent beklagen das Ausspähen digitaler Kommunikation (plus 4 Prozentpunkte) sowie die digitale Sabotage von Systemen oder Betriebsabläufen (plus 8 Prozentpunkte).
Tendenziell rückgängig sind dagegen analoge Angriffe wie der Diebstahl von IT- oder Telekommunikationsgeräten (67 Prozent, minus 2 Prozentpunkte) sowie von sensiblen physischen Dokumenten oder Mustern (35 Prozent, minus 7 Prozentpunkte), das Abhören von Besprechungen oder Telefonaten vor Ort, etwa mit Wanzen (17 Prozent, minus 11 Prozentpunkte) sowie die physische Sabotage (17 Prozent, minus 5 Prozentpunkte). Bei den Cyberattacken steht Phishing mit 31 Prozent (2022: 25 Prozent) an der Spitze, dahinter folgen Angriffe auf Passwörter (29 Prozent, 2022: 25 Prozent) sowie die Infizierung mit Schadsoftware (28 Prozent, 2022: 25 Prozent). Deutlich angestiegen sind Schäden durch Ransomware, von denen rund ein Viertel (23 Prozent) der Unternehmen berichten, vor einem Jahr waren es nur 12 Prozent. Rückläufig sind dagegen Schäden durch Distributed Denial of Service (DDoS) Attacken, die nur noch in 12 Prozent der Unternehmen Schäden verursacht haben, vor einem Jahr waren es mit 21 Prozent noch fast doppelt so viele. Inzwischen sind Cyberattacken für fast drei Viertel (72 Prozent) des gesamten Schadens verantwortlich, der der deutschen Wirtschaft durch Datendiebstahl, Sabotage und Industriespionage entsteht – das entspricht rund 148 Milliarden Euro und ist ein deutlicher Anstieg zum Vorjahr, als nur 63 Prozent und damit rund 128 Milliarden Euro Cyberangriffen zugerechnet werden konnten. Einen eindeutigen Trend gibt es auch beim Daten-Diebstahl: So berichtet eine Mehrheit der betroffenen Unternehmen (56 Prozent), dass Daten von Kunden betroffen waren, 2022 lag der Anteil erst bei 45 Prozent, 2021 bei 31 Prozent. Ebenfalls deutlich gestiegen ist der Diebstahl von Daten der Mitarbeiter mit aktuell 33 Prozent nach 25 Prozent im Jahr 2022 und 17 Prozent im Jahr 2021. Am häufigsten werden weiterhin Kommunikationsdaten wie E-Mails gestohlen (62 Prozent, 2022: 68 Prozent). Einem Viertel der von Datendiebstahl betroffenen Unternehmen (23 Prozent) wurden Zugangsdaten oder Passwörter entwendet, 20 Prozent Finanzdaten und 17 Prozent Daten rund um geistiges Eigentum wie etwa Patente oder Informationen aus Forschung und Entwicklung. In den kommenden zwölf Monaten erwartet die große Mehrheit der Unternehmen (82 Prozent) eine Zunahme von Cyberangriffen auf das eigene Unternehmen; Dabei rechnen 54 Prozent sogar damit, dass die Attacken stark zunehmen, 28 Prozent glauben, dass sie eher zunehmen werden, 15 Prozent gehen von einer unveränderten Situation aus – kein einziges der rund 1.000 befragten Unternehmen rechnet mit einem Rückgang der Angriff. Die große Mehrheit der Unternehmen (97 Prozent) wünscht sich daher, dass die Sicherheitsbehörden besser über die Cybersicherheitslage informieren, zum Beispiel auch über bekannte Schwachstellen. 84 Prozent sind der Meinung, die Meldung von Cyberangriffen sollte für Unternehmen, aber auch für Behörden und öffentliche Einrichtungen verpflichtend sein. Zugleich beklagen aber 80 Prozent, dass derzeit der bürokratische Aufwand bei der Meldung von Cyberangriffen zu hoch ist. Angesichts dieser Bedrohungslage haben die Unternehmen Ihre Investitionen in die IT- Sicherheit hochgefahren: Im Durchschnitt gehen derzeit 14 Prozent des IT-Budgets eines Unternehmens in die IT-Sicherheit, nach 9 Prozent im Vorjahr, rund ein Drittel der Unternehmen (30 Prozent) kommt auf einen Anteil von 20 Prozent oder mehr am IT- Budget und erfüllt damit die Empfehlung des Bitkom und des Bundesamts für Sicherheit in der Informationstechnologie (BSI). 42 Prozent wenden 10 bis unter 20 Prozent auf, 16 Prozent 5 bis unter 10 Prozent und jedes 20. Unternehmen sogar weniger als 5 Prozent.