Bitkom-Studie: Cyberangriffe sorgen für 203 Milliarden Euro Schaden pro Jahr bei deutschen Unternehmen
Es sind erschreckende Zahlen, die eine aktuelle Bitkom-Studie aufzeigt: Durch Cyberangriffe ist den deutschen Unternehmen im Jahr 2022 ein Schaden von 203 Milliarden Euro Schaden entstanden. Damit setzt sich (leider) ein langfristiger Trend fort, der aufzeigt, dass Angriffe auf die IT ein anhaltendes Risiko darstellen. In unserem Blogbeitrag präsentieren wir Ihnen die Ergebnisse der aktuellen Studie, ordnen die Gefahrenlage ein und geben einen Ausblick auf die Zukunft.
Cyberangriffe auf deutsche Unternehmen: Trend setzt sich nahtlos fort
203 Milliarden Euro sind den deutschen Unternehmen laut der Studie „Wirtschaftsschutz 2022“ entstanden – eine gigantische Zahl, deren Größe schwierig zu greifen ist. Zum Vergleich: Das gesamte Bruttoinlandsprodukt von Griechenland lag im vergangenen Jahr etwa auf diesem Niveau. Das Ausmaß des Schadens durch Cyberangriffe bewegt sich mittlerweile in den Dimensionen ganzer Volkswirtschaften. Verglichen mit dem Rekordjahr 2021, in dem der Schaden sogar 223 Milliarden betrug, ist der Schaden zwar etwas rückläufig gewesen, doch bei langfristiger Betrachtung ist der Trend zur Cyberkriminalität ungebrochen. In den Jahren 2018/2019 lag dieser noch bei 103 Milliarden Euro und hat sich in wenigen Jahren damit etwa verdoppelt.
Ob KMU oder großer Konzern – praktisch jedes Unternehmen in Deutschland ist betroffen. Laut der Studie des Branchenverbandes Bitkom, in der 1.000 Führungskräfte quer durch alle Branchen befragt wurden, sind 9 von 10 Unternehmen Opfer von Datendiebstahl, Spionage oder Sabotage geworden. Vor allem die Betreiber von kritischen Infrastrukturen waren wieder vermehrt betroffen.
Attacken aus dem Ausland sind stark angestiegen
Die Ergebnisse der Befragten legen dar, dass Cyberangriffe aus dem Ausland – vor allem aus Russland und China – sprunghaft angestiegen sind. Demnach gaben 41 Prozent der Unternehmen an, dass mindestens ein Angriff aus China kam (2021: 30 Prozent) und 36 Prozent haben mindestens eine Cyberattacke aus Russland ausgemacht (2021: 23 Prozent). Im Vergleich dazu: Aus dem Inland kamen etwa 32 Prozent der Angriffe und damit weniger als aus China und Russland. Ein weiterer Trend, der zu erkennen ist, ist die zunehmende Professionalisierung der Täter: Zum ersten Mal liegt das organisierte Verbrechen auf Platz 1 der Tätergruppen.
Bitkom-Präsident Achim Berg fügt hierzu an:
„Die Angreifer werden immer professioneller und sind häufiger im organisierten Verbrechen zu finden, wobei die Abgrenzung zwischen kriminellen Banden und staatlich gesteuerten Gruppen zunehmend schwerfällt. Allerdings zeigen die Ergebnisse in diesem Jahr auch, dass Unternehmen mit geeigneten Maßnahmen und Vorsorge dafür sorgen können, dass Angriffe abgewehrt werden oder zumindest der Schaden begrenzt wird.“
Daten von Dritten sind besonders von Cyberangriffen betroffen
Zunehmend in den Fokus gerückt sind bei Cyberangriffen vor allen Dingen Daten von Dritten: 68 Prozent der Befragten gaben an, dass Kommunikationsdaten wie z.B. E-Mails gestohlen wurden. Bei fast der Hälfte (45 Prozent) wurden Kundendaten erbeutet. Ebenfalls vermehrt betroffen waren Zugangsdaten für Cloud-Dienste, bei denen mit 32 Prozent ein starker Anstieg zu verzeichnen ist (19 Prozent im Jahr 2021). Weitere Daten, die infolge von Attacken erbeutet wurden, waren laut den befragten Führungskräften kritische Business-Informationen wie z.B. Marktanalysen, Mitarbeiterdaten oder auch geistiges Eigentum wie Patente.
Diese Arten von Cyberangriffen haben großen Schaden verursacht
Cyberkriminelle greifen durch verschiedenen Angriffsvektoren an, weshalb es für Betroffene immer schwieriger wird, sich auf Bedrohungen einzustellen. Ganz vorne dabei waren vor allem Attacken auf Passwörter, Phishing und Infizierung mit Schadsoftware bzw. Malware, von denen circa jedes vierte Unternehmen betroffen war. Dicht dahinter rangieren Distributed Denial of Service (DDoS) Angriffe mit 21 Prozent. Vor allem das Thema Social Engineering hat für die Unternehmen eine wesentliche Rolle gespielt: Bei jedem zweiten Unternehmen gab es Versuche von Social Engineering, bei dem die menschliche Komponente genutzt wird, um relevante Informationen zu sammeln.
Kanäle, über die Social Engineering bei Mitarbeitenden versucht wurden, waren unter anderem:
• Am Telefon
• Per E-Mail
• Im privaten Umfeld
• In beruflichen sozialen Netzwerken
• In privaten sozialen Netzwerken
Der größte Schaden ist den Unternehmen dabei durch den Ausfall, Diebstahl oder die Schädigung von Informations- und Produktionssystemen oder Betriebsabläufen entstanden. Dieser wird auf 41,5 Milliarden Euro beziffert. Die Erpressung mit gestohlenen oder verschlüsselten Daten, beispielsweise durch Ransomware, hat insgesamt für einen Schaden von 10 Milliarden Euro gesorgt.
Unternehmen wenig optimistisch für das kommende Jahr
Die meisten Unternehmen sind angesichts zukünftiger Angriffswellen von Cyberangriffen weiterhin skeptisch eingestellt: Demnach rechnen 42 Prozent der Unternehmen mit einer starken Zunahme der Cyberattacken in den kommenden 12 Monaten und weitere 36 Prozent mit einer eher starken Zunahme. Noch stärker sehen es Betreiber kritischer Infrastrukturen (KRITIS), die zu 51 Prozent mit einem großen Anstieg rechnen.
Erhöhung des Budgets für IT-Sicherheit
Verglichen mit dem Vorjahr haben die Unternehmen die Ausgaben für IT-Sicherheit zwar gesteigert – diese könnte aber nach wie vor zu gering ausfallen. Insgesamt lag der Anteil des Budgets für IT-Sicherheit am gesamten IT-Budget des Unternehmens bei 9 Prozent, in 2021 waren es noch 7 Prozent.
In Bezug auf die IT-Sicherheit betont Berg Folgendes:
„Bei den Ausgaben für IT-Sicherheit müssen die Unternehmen dringend zulegen. Die Erkenntnis, welche dramatischen Folgen ein erfolgreicher Angriff haben kann, ist längst da – den notwendigen Schutz davor gibt es aber nicht zum Nulltarif. Hier müssen Vorstände und Geschäftsleitungen umgehend aktiv werden.“
Einen wichtigen Ansatzpunkt sieht ein überwiegender Teil der Unternehmen bei der Politik: Diese soll sich vermehrt für eine EU-weite Zusammenarbeit bei Cybersicherheit einsetzen und stärker gegen Cyberangriffe aus dem Ausland vorgehen.
Fazit: Wettlauf zwischen IT-Sicherheit und Cyberkriminellen
Cyberangriffe bedrohen mittlerweile die Existenz von immer mehr Unternehmen. Fernab von Unternehmensgröße, Branche oder Region ist es für Betroffene immer schwieriger geworden, sich effektiv zu schützen. Ob kurz- oder langfristig: Es wird weiterhin einen Wettlauf zwischen IT-Sicherheit auf der einen und Cyberkriminellen auf der anderen Seite geben. Um diesen Wettlauf aufseiten der Unternehmen zu gewinnen, werden zukünftig vor allem die Schulung und Sensibilisierung von Mitarbeitenden eine große Rolle spielen, denn der Mensch bleibt weiterhin der wesentliche Erfolgsfaktor.
Schreibe einen Kommentar