robsonphoto - stock.adobe.com

Angriffe auf Firmen verursachen 206 Milliarden Euro Schaden

Industriespionage, Diebstahl und Sabotage führen bei deutschen Unternehmen insgesamt zu Schäden ein einer Höhe von 206 Milliarden Euro, so der Branchenverband Bitkom.

Der deutschen Wirtschaft entsteht jährlich durch Diebstahl von Daten und IT-Equipment, analoge und digitale Industriespionage sowie Sabotage ein Schaden von 206 Milliarden Euro. Dies berichtet der Branchenverband Bitkom, der hierfür rund 1000 Unternehmen aus unterschiedlichen Branchen befragt hat. Demnach liege dieser Wert zum dritten Mal in Folge über 200 Milliarden Euro. Die entsprechende Befragung im Jahr 2022 hatte einen Wert von 203 Milliarden Euro ergeben und 2021 lag das Ergebnis sogar bei 223 Milliarden Euro. Bei der diesjährigen Befragung wurden Unternehmen mit mehr als 10 Beschäftigten und einem Umsatz von einer Million Euro oder mehr berücksichtigt.

In den vergangenen zwölf Monaten waren 72 Prozent der befragten Unternehmen von digitalen oder analogen Angriffen betroffen. Weitere acht Prozent gehen davon aus, dass dies der Fall war, können es jedoch nicht zweifelsfrei nachweisen. Damit fallen die Zahlen etwas geringer aus als bei der entsprechenden Befragung im Vorjahr. Deutlich zugenommen hätten allerdings die Angriffe, die der organisierten Kriminalität zugeordnet werden müssten. So würden 61 Prozent der betroffenen Unternehmen die Urheber der Angriffe in diesem Bereich sehen. Darüber hinaus würden sich seit Beginn des russischen Angriffskriegs auf die Ukraine Russland und China vermehrt zum Ausgangspunkt der Attacken auf deutsche Unternehmen entwickeln. So konnten 46 Prozent der betroffenen Unternehmen Angriffe nach Russland nachverfolgen, im Jahr 2021 lag dieser Wert bei 23 Prozent. 42 Prozent der betroffenen Organisationen wurden augenscheinlich aus China angegriffen, dieser Wert betrug zuvor 30 Prozent. Damit würde Russland erstmals an der Spitze der Länder stehen, von denen Angriffe auf deutsche Unternehmen gestartet werden.

Die Angreifer, die Unternehmen attackieren, würden immer häufiger aus der organisierten Kriminalität stammen.
Abbildung 1: Die Angreifer, die Unternehmen attackieren, würden immer häufiger aus der organisierten Kriminalität stammen.

Ein Großteil des Schadens entsteht durch Cyberangriffe

Inzwischen würde das Gros des Schadens durch Cyberattacken entstehen, und zwar in Höhe von rund 148 Milliarden Euro. Dies sei ein deutlicher Anstieg im Vergleich zum Vorjahr, als dieser Wert bei 128 Milliarden Euro lag und 63 Prozent des Gesamtschadens machte.

Insgesamt würden sich erstmals eine Mehrheit der Unternehmen (52 Prozent) durch Cyberangriffe in ihrer Existenz bedroht. Vor zwei Jahren habe dieser Wert bei nur neun Prozent gelegen, im Vorjahr bei 45 Prozent.

Dementsprechend haben sich die Angriffe in den vergangenen zwölf Monaten weiter in den digitalen Bereich verlagert. So gaben 70 Prozent der befragten Unternehmen an, dass sie von Diebstahl sensibler Daten betroffen oder vermutlich betroffen waren. Dies sei ein Anstieg um sieben Prozentpunkt im Vergleich zum Vorjahr. Bei 61 Prozent der Firmen wurde die digitale Kommunikation ausgespäht sowie digitale Sabotage von Systemen oder Betriebsabläufen registriert. Eher rückläufig sei hingegen der Diebstahl von IT- oder Telekommunikationsgeräten sowie von physischen Dokumenten oder Mustern.

Von Unternehmen wurde festgestellt, dass Angriffe häufiger in Russland oder China ihren Ursprung haben.
Abbildung 2: Von Unternehmen wurde festgestellt, dass Angriffe häufiger in Russland oder China ihren Ursprung haben.

Angriffe erfolgen häufig per Phishing

Zu den häufigsten Angriffsarten zählt mit einem Anteil von 31 Prozent Phishing. Angriffe auf Passwörter traten bei 29 Prozent der Fälle auf, die Infizierung von Schadsoftware bei 28 Prozent der Angriffe. Derlei tritt ja vermutlich häufig auch in Kombinationen auf. Wenn es Angreifern erst einmal gelungen ist an Zugangsdaten zu gelangen und/oder Zugang zu IT-Umgebungen der Unternehmen zu erlangen. Die Schäden, die durch Ransomware entstanden sind, seien deutlich gestiegen. Hiervon würden 23 Prozent der Unternehmen berichten. Hingegen seien DDoS-Attacken (Distributed Denial-of-Service) rückläufig, diese würden nur noch bei zwölf Prozent der Unternehmen Schäden verursachen. Vor einem Jahr sei dies noch bei 21 Prozent der Firmen der Fall gewesen.

Beim Thema Datendiebstahl sei hingegen eine steigende Tendenz zu verzeichnen. So würden 56 Prozent der betroffenen Unternehmen berichten, dass Daten von Kundinnen und Kunden entwendet wurden. Im Jahr 2021 habe dieser Anteil noch bei 31 Prozent gelegen. Ebenfalls gestiegen sei auch der Diebstahl der Daten von Mitarbeitenden, dieser läge jetzt bei 33 Prozent (2022: 25 Prozent, 2021: 17 Prozent). Sind persönliche beziehungsweise personenbezogene Daten von dem Diebstahl betroffen, kann dies mit erheblichen Folgeschäden verbunden sein. Zum einen für die davon betroffenen Opfer und Personen und zum anderen auch für das Unternehmen, dem die Daten gestohlen wurden. Denn hier können Bußgelder verhängt werden und häufig entsteht für das Unternehmen auch ein Reputationsverlust.

Am häufigsten würden Kommunikationsdaten wie E-Mails gestohlen. Bei einem Viertel der von Datendiebstahl betroffenen Unternehmen wurden Zugangsdaten oder Passwörter entwendet. Bei 17 Prozent der Vorfälle wurde geistiges Eigentum – etwa aus der Entwicklungsabteilung – entwendet und bei 20 Prozent Finanzdaten.

Viele der befragten Unternehmen (82 Prozent) gehen davon aus, dass in den kommenden zwölf Monaten mit vermehrten Angriffen auf das eigene Unternehmen zu rechnen ist. 54 Prozent erwarten sogar, dass die Attacken stark zunehmen. Kein einziges der 1000 befragten Unternehmen gehe davon aus, dass die Angriffe abnehmen werden.

Im Hinblick auf das Zusammenspiel mit den Behörden zeigt sich ein differenziertes Bild. So sind 84 Prozent der befragten Unternehmen der Meinung, dass die Meldung von Cyberangriffen für Unternehmen, Behörden und öffentliche Einrichtungen verpflichtend sein sollte. Für eine ganze Reihe von Vorfällen existieren ja bereits Meldepflichten. Aber zugleich beklagen 80 Prozent der Unternehmen, dass der bürokratische Aufwand bei den Meldungen von Vorfällen zu hoch sei.

Unternehmen erhöhen IT-Budgets für Cybersicherheit

Die Bedrohungslage hat Auswirkungen darauf, wie Unternehmen ihre IT-Budgets verteilen. Derzeit würden 14 Prozent der IT-Budgets in Unternehmen für IT-Sicherheit ausgegeben, während es im Vorjahr noch neun Prozent waren. 30 Prozent der befragten Unternehmen kommt sogar auf einen Anteil von 20 Prozent ihres IT-Budgets, den sie für Cybersicherheit aufwenden. Damit würden sie auch den Wert erreichen, den das BSI für die Investition in Cybersicherheit empfiehlt.

Jedes 20. Unternehmen wendet weniger als fünf Prozent seines IT-Budgets für IT Security auf. Bei 16 Prozent der befragten Firmen liegt der Anteil zwischen fünf bis 10 Prozent und 42 Prozent der Unternehmen geben zwischen zehn und zwanzig Prozent ihres Etats für Cybersicherheit aus. „Im Management der Unternehmen setzt sich zunehmend die Erkenntnis durch, dass nachhaltige Digitalisierung nur mit einem professionellen Sicherheitsmanagement gelingt. Digitale Transformation und IT-Sicherheit müssen Hand in Hand gehen.“, so Bitkom-Präsident Dr. Ralf Wintergerst.

Erfahren Sie mehr über Bedrohungen

ComputerWeekly.de
Close