Teure Rufschädigung durch frustrierte frühere Kollegen

Wirtschaft und Sicherheitsbehörden warnen vor Milliardenschäden durch Cyberattacken

BERLIN, 21. Juli

Einmal das gesamte Budget des Freistaats Bayern: So viel sollen Datendiebstahl, Spionage und Sabotage deutsche Unternehmen kosten – im Jahr. Das ist das Ergebnis einer am Freitag in Berlin vorgestellten Studie des Branchenverbandes Bitkom. Die Zahl ist im Vergleich zur letzten Untersuchung vor zwei Jahren gestiegen. Dabei kommt die Gefahr meist nicht aus dem ominösen Weiten des Cyberspaces, sondern der eigenen, womöglich frustrierten Belegschaft.

Den Schadensbegriff haben die Studienautoren weit gefasst und über Selbsteinschätzungen der befragten Unternehmen ermittelt. Am teuersten sind Ermittlungen und Ersatzmaßnahmen (21 Milliarden) sowie Umsatzeinbußen durch den Verlust von Wettbewerbsvorteilen und Patentverletzungen. So hoch wie Letztere beziffern die Betroffenen aber den Imageschaden bei Kunden, Lieferanten und in den Medien: 15,4 Milliarden soll das kosten, fast doppelt so viel wie in der vorigen Untersuchung.

Cyberattacken sind offenbar peinlich. Viele Unternehmen schrecken deshalb auch davor zurück, sich an die Behörden zu wenden. Nur 31 Prozent der Vorfälle werden durch staatliche Stellen untersucht, das meiste machte man intern (46 Prozent). 41 Prozent derer, die den Staat lieber heraushalten, machen das aus Angst vor Imageschäden. Die Zurückhaltung liege aber auch daran, dass die wenigsten an einen Ermittlungserfolg glaubten, sagt Bitkom-Präsident Achim Berg. 34 Prozent der Unternehmen sehen deshalb vom Gang zur Polizei, Staatsanwaltschaft, Datenschutz oder Verfassungsschutz ab. Besonders gefährdet sind Berg zufolge kleinere und mittlere Unternehmen – sie sind besonders innovativ und daher interessante Ziele -, und anders als in Konzernen sei es dort nicht selbstverständlich, neben Virenschutz auch aufwendigere Gegenmaßnahmen zu ergreifen – etwa einen „Honeypot“, also absichtlich ausgelegte Ziele, um Angriffe zu erkennen und aus ihnen Schlüsse zu ziehen. Nur 20 Prozent der Unternehmen setzen auf solche Maßnahmen.

In 62 Prozent der Fälle seien es aktuelle oder ehemalige Mitarbeiter, die sich in den vergangenen zwei Jahren an Datendiebstahl, Industriespionage und Sabotage beteiligt haben. Den Ex-Mitarbeitern ginge es nicht um Geld, sagt Hans-Georg Maaßen, Präsident des Bundesamtes für Verfassungsschutz in Berlin. Sie seien von sich aus motiviert, da sie sich von der Unternehmensidentität ihres Arbeitgebers längst gelöst hätten und so leicht zu kriminellem Verhalten überredet werden könnten.

Dass nur 37 Prozent der Angriffe aus Deutschland kamen, aber jeweils um die 20 Prozent aus Osteuropa, Russland und China, steht nur scheinbar im Widerspruch zu diesem Befund. Maaßen warnt zudem, dass es nur ein „kleines Hellfeld“ gebe. Komplexere Angriffe, wie sie für Nachrichtendienste typisch sind, seien schwerer zu entdecken. Hinter den ehemaligen Mitarbeitern „kann ein mittelbarer Täter stecken“, warnt Maßen. Ihn wundere daher, dass die Unternehmen so wenig Geld in Schulung ihrer Mitarbeiter steckten. Der menschliche Faktor sei bedeutend. Es brauche eine Art „human Firewall“, also einen menschlichen Schutz gegen Hacker.

Bei manchen Angriffen könnten politische Erwägungen eine Rolle spielen, etwa wenn kritische Infrastrukturen ins Visier geraten, sagt Maaßen. Er beobachte eine stärkere Verschränkung der realen mit der virtuellen Welt. Dieser Trend werde sich durch die stärkere Vernetzung einzelner Geräte über das Internet („Industrie 4.0“) noch verstärken. „Die Angriffsfläche wird deutlich wachsen“, sagte Maaßen. Er mahnt daher andere Prioritäten für die vernetzte Gerätewelt an: Bisher seien Preis und Komfort entscheidend gewesen, nun müsse Priorität bei der Sicherheit liegen. Lücken im Unternehmensschutz bezeichnete Maaßen als „Kriegswaffe“.

Von Hendrik Wieduwilt

Alle Rechte vorbehalten © Frankfurter Allgemeine Zeitung GmbH, Frankfurt am Main
Vervielfältigungs- und Nutzungsrechte für F.A.Z.-Inhalte erwerben Sie auf www.faz-rechte.de