zum Hauptinhalt
Attacke aus dem Netz: Viele Angriffe bleiben unbemerkt.

© dpa

Cyberkriminalität: Verfassungsschutz und Wirtschaft schlagen Alarm: 50 Milliarden Schaden

Cyberattacken kosten die deutsche Wirtschaft 50 Milliarden Euro im Jahr, schätzt der Verfassungsschutz. Anzeigen gibt es aber kaum.

Von

Die deutsche Wirtschaft wird offenbar massiv durch Cyberattacken und andere Formen von Spionage und Sabotage getroffen. Jährlich entstehe ein Schaden von schätzungsweise 50 Milliarden Euro, sagte der Präsident des Bundesamtes für Verfassungsschutz (BfV), Hans-Georg Maaßen, am Donnerstag in Berlin. Eine genaue Zahl lasse sich nicht nennen, da viele Angriffe erst spät entdeckt würden. Maaßen äußerte sich auf der Sicherheitstagung des BfV und des Bundesverbandes der „Allianz für Sicherheit in der Wirtschaft“ (ASW).

Auch der Vorstandsvorsitzende des ASW-Bundesverbandes, Volker Wagner, sieht enorme Risiken. Die „Bedrohungslage“ habe sich verschärft. Aus Wagners Sicht ist die deutsche Wirtschaft nicht hinreichend gegen die Attacken gewappnet. Die Gefahren für IT-System und -Prozesse seien zumindest in Teilen „ein Stück weit unterschätzt“ worden, sagte der ASW-Chef. Maaßen ergänzte, viele Unternehmen sähen bei der Entwicklung neuer Produkte „Sicherheit als eine Bremse“. Mitverantwortlich seien Kunden, „die lieber ein komfortables Produkt haben wollen als ein sicheres“. Auch die Mentalität der Kunden müsse sich ändern, forderte der BfV-Präsident. „Nicht das günstigste Produkt, sondern Sicherheit muss ein Faktor sein.“

Viele Unternehmen registrierten erst spät, dass sie angegriffen wurden, sagte Maaßen. Das dauere teilweise ein halbes oder dreiviertel Jahr. Oft bemerkten die Firmen sogar überhaupt nicht, dass eine Attacke stattfand, weil ein ausländischer Nachrichtendienst den von ihm gesteuerten Angriffstrojaner vernichte. Der Schaden für das Unternehmen sei erst sichtbar, wenn eine ausländische Firma „baugleiche Produkte auf den Markt bringt“.

Die umfassende Digitalisierung der Wirtschaft eröffne neue Chancen, rufe aber auch „bislang unbekannte oder unvorstellbare Risiken und Verwundbarkeiten hervor“, warnte Maaßen. Deutschland als Hochtechnologie- und Wirtschaftsstandort gerate „immer stärker in den Fokus von Spionageaktivitäten staatlicher und nichtstaatlicher Akteure“. Der BfV-Präsident nannte Cyber-Attacken aus Russland, China, Indien und Iran.

Von Russland gesteuerte Hackergruppen

Ein Beispiel: Das Bundesamt für Verfassungsschutz hatte vor einem Jahr gewarnt, die mutmaßlich vom russischen Militärgeheimdienst GRU gesteuerte Hackergruppe „Sofacy“ bereite Angriffe auf deutsche Unternehmen der Energiebranche vor. Wie der Tagesspiegel erfuhr, haben die Attacken auch tatsächlich stattgefunden. Die Namen betroffener Firmen nennt das BfV aber nicht. Eine Veröffentlichung könnte Kunden eines Unternehmens abschrecken und wäre geschäftsschädigend.

Die Behörde nennt die „Sofacy“-Aktivitäten „APT 28“. Die Abkürzung steht für „Advanced Persistant Threat“ (fortgeschrittene, andauernde Bedrohung). Mit der Zahl 28 wird die Hackerkampagne gelistet. Maaßen sagte, „APT 28“ versuche flächendeckend, Server zu infizieren. Betroffen war auch der Bundestag, bei dem im Frühjahr 2015 insgesamt 14 Server attackiert und Daten im Volumen von 16 Gigabyte abgesaugt wurden.

Wagner appellierte an die Wirtschaft, „wir müssen uns darauf konzentrieren, Anomalien rechtzeitig zu entdecken“. Nach dem Grundsatz „detect and response“ müssten dann auch Maßnahmen ergriffen werden, den Schaden zu reduzieren. Wagner mahnte zudem, Unternehmen und Sicherheitsbehörden bräuchten „Wirtschaftsschutzbeauftragte“. Maaßen ging noch einen Schritt weiter. Er hält es für nötig, dass ein Angreifer „gestohlene Daten verliert“. Es müsse möglich sein, diese zu vernichten.

Nicht nur der Bundesverfassungsschutz, auch das Bundeskriminalamt warnt schon seit Langem vor Cyberangriffen. „Dieses Phänomen wird uns mit der fortschreitenden Technisierung und Digitalisierung unseres Alltags sicherlich noch stärker fordern“, glaubt der Präsident des Bundeskriminalamts, Holger Münch. Nach einer Studie des Deutschen Instituts für Wirtschaftsforschung (DIW) aus dem Jahr 2015 gibt es pro Jahr rund 14,7 Millionen Fälle von Cyberkriminalität, das Bundeskriminalamt meldete 2015 aber nur 40 Millionen Euro an Schäden durch Cyberattacken. „Die Dunkelziffer ist hoch“, räumt Münch ein. Wie Maaßen weist auch Münch darauf hin, dass viele Angriffe von den Firmen nicht bemerkt werden würden. Und selbst wenn die Unternehmen aufmerksam werden, sehen viele Firmenchefs von Anzeigen ab. Sie haben Angst vor dem Reputationsverlust, weiß der BKA-Präsident.

Gefährdet sind nicht nur die Großen, sondern zunehmend auch mittelständische Unternehmen. Nach einer repräsentativen Forsa-Erhebung im Auftrag des Versicherungsverbands GDV hat mehr als jeder vierte Mittelständler bereits finanzielle und materielle Schäden durch Attacken aus dem Netz erlitten. Die Versicherungsbranche sieht hier ein wachsendes Aufgaben- und Umsatzfeld. Sie hat daher Musterbedingungen für eine Cyberversicherung entwickelt, die sich speziell an Unternehmen mit einem Umsatz bis 50 Millionen Euro und einer Größe bis 250 Mitarbeiter richtet.

Zur Startseite