Crime as a service

Cybercrime verursacht in der deutschen Wirtschaft jährlich einen Schaden in Höhe von rund 223 Miliarden Euro. Das geht aus dem Wirtschaftsschutzbericht des Branchenverbands Bitkom hervor. Das Thema an sich ist nicht neu. Neu ist die Professionalisierung, die sich vor allem in der Organisation der Kriminalität, in der Arbeitsteilung sowie Vernetzung Bahn bricht. Cybercrime ist heute ein eigener Geschäftsbereich.
vom 4. August 2022
image

Wie rasant die Fortschritte sind, belegen Statistiken. Der vom Bitkom ermittelte Schaden hat sich gegenüber der letzten Erhebung in den Jahren 2018/2019 mehr als verdoppelt. Da lag dieser noch bei rund 103 Milliarden Euro. Auch aus dem Bundeskriminalamt kommt nichts Mutmachendes. Die Ermittlungsbehörde meldet in ihrem „Bundeslagebild Cybercrime 2021“, dass die Anzahl erfasster Cyber-Straftaten einen neuen Höchstwert erreicht hat. So verzeichnet die Polizeiliche Kriminalstatistik (PKS) in diesem Phänomenbereich knapp 147.000 Delikte. Das entspricht einem Anstieg um mehr als zwölf Prozent gegenüber 2020. Und: Überdurchschnittlich groß ist im Bereich Cybercrime typischerweise das Dunkelfeld. Auf bescheidenem Niveau – gut 29 Prozent – bewegt sich hingegen die Aufklärungsquote. Als Gründe dafür führt das BKA die verstärkte Anonymisierung im Netz sowie die komplexe Ermittlung der vielfach im Ausland befindlichen Täter an. Drei Viertel der deutschen Unternehmen waren bereits vor drei Jahren Opfer von Cybercrime. Mittlerweile melden neun von zehn Betrieben entsprechende Vorfälle. Mehr als 1.000 Unternehmen machten im Rahmen einer repräsentativen Umfrage des Bitkom Angaben. Besonders auf dem Vormarsch sind sogenannte Ransomware-Attacken. Täter dringen auf digitalen Wegen in Firmennetzwerke ein, blockieren Computer und andere Systeme – und sind so in der Lage, ganze Produktionsketten und Betriebsabläufe lahmzulegen. Wenn das geschehen ist, erpressen sie Unternehmen und verlangen hohe Lösegelder für die Rückgabe von Daten beziehungsweise Zugänge in die Systeme, um selbige wiederherstellen zu können. Im Vergleich zu 2018/2019 hat sich der jährliche Schaden für die deutsche Wirtschaft allein im Bereich Ransomware fast verfünffacht. Er liegt nunmehr bei über 24 Milliarden Euro. „Die Wucht, mit der Ransomware-Angriffe unsere Wirtschaft erschüttern, ist besorgniserregend und trifft Unternehmen aller Branchen und Größen“, warnt Bitkom-Präsident Achim Berg. Auf über rein finanzielle Elemente hinausgehende Konsequenzen weist die BKA-Vizepräsidentin Martina Link hin: „Das Bundeslagebild zeigt, dass die Bedrohungslage durch Cyercrime weiterhin sehr hoch ist. Neben den rein monetären Schäden beeinträchtigen Ransomware-Angriffe auf Unternehmen, kritische Infrastrukturen und die öffentliche Verwaltung, beziehungsweise ganze Lieferketten auch die Funktionsfähigkeit des Gemeinwesens im In- und Ausland. Insbesondere im Bereich Ransomware ist damit das Bedrohungspotenzial im Jahr 2021 nochmals deutlich angestiegen.“

Placeholder_diruj

„Die Stärkung des Wirtschaftsschutzes und der Aufbau notwendiger Cyber-Resilienz können nur gelingen, wenn die Bundesregierung den Schulterschluss mit der Wirtschaft sucht.“

Achim Berg, Präsident des Bitkom

„Letztendlich kann die Bekämpfung von Cybercrime nur gemeinsam gelingen: im Dreiklang von gefahrenabwehrenden und repressiven Maßnahmen, präventiven IT-Sicherheitsvorkehrungen und einer hinreichenden Sensibilisierung von Bürgern und Unternehmen.”

Martina Link, Vizepräsidentin Bundeskriminalamt

Placeholder_diruj

LÖSEGELDZAHLUNGEN HELFEN NICHT WIRKLICH

 

Was tun bei einem Ransomware-Angriff? Zahlen? Das birgt Risiken. Das in Las Vegas beheimatete Tech-Unternehmen Veeam ließ 1.000 IT-Führungskräfte von Unternehmen aller Größenordnungen in 16 Ländern weltweit befragen. Im auf dieser Basis veröffentlichten „2022 Ransomware Trends Report“ ist nachzulesen, dass 72 Prozent der teilnehmenden Organisationen über Angriffe auf Backupsysteme zu beklagen hatten. Damit erschweren Angreifer die Möglichkeiten zur Wiederherstellung von Daten und Prozessen. Was laut Angaben der Studienherausgeber dazu führte, dass gut drei Viertel der an der Studie teilnehmenden Betriebe das Lösegeld bezahlt haben, um ihre Systeme wieder zum Laufen zu bringen. Indes war nur gut die Hälfte im Anschluss in der Lage, genau das zu erreichen. Knapp ein Viertel der Betriebe konnte das trotz Lösegeldzahlung nicht. „Tätern Lösegeld zu zahlen, kann keine Strategie zum Schutz von Firmendaten sein. Es gibt nicht einmal die Garantie für ein erfolgreiches Recovery – und das Risiko, einen Imageschaden zu erleiden und das Vertrauen der Kunden zu verlieren, ist hoch“, sagt Veeam-CTO Danny Allan. „Und es belohnt kriminelle Aktivität.“ Besonders unter Druck setzt die deutsche Wirtschaft auch die Infizierung mit Schadsoftware. Laut Bitkom ist ein gutes Viertel der Betriebe hierzulande betroffen. Sogenannte DDos-Attacken zielen darauf ab, Server und Netzwerke zu überlasten, so dass viele Dienste nicht erreichbar oder nutzbar sind. Spoofing, das Vortäuschen einer falschen Identität, und Phishing, das Abfangen persönlicher Daten, haben in 20 beziehungsweise 18 Prozent der Unternehmen Schäden verursacht. Zur bevorzugten Beute zählen Kommunikationsdaten, geistiges Eigentum wie Patente oder Forschungsinformationen, Kundendaten, Finanzdaten und Markt- sowie Konkurrenzanalysen. Erstaunlich ist, dass neben der organisierten Kriminalität und der arbeitsteiligen Vorgehensweise der Täter noch immer die mangelnde Sensibilisierung auf das Thema zu den Hauptursachen von Problemen im Zusammenhang mit der IT-Sicherheit zählt. Hohe Erwartungen hat die Wirtschaft an die Politik. Praktisch jedes Unternehmen – so der Bitkom – verlangt ein energischeres Vorgehen gegen Cyberattacken aus dem Ausland, Zusammenarbeit auf EU-Ebene und den Austausch zwischen Staat und Wirtschaft. Ob neue Gesetze helfen? Der Bundesrat hat einen Gesetzesentwurf zur wirksameren Bekämpfung von Cyberkriminalität eingebracht, darin der Straftatbestand „Digitaler Hausfriedensbruch“. Der neue § 202 e des Strafgesetzbuches (StGB) stellt den unerlaubten Zugriff auf fremde Computer, Smartphones, Webcams und Navigationssysteme unter Strafe. Die Regelung sei bewusst technikoffen formuliert, heißt es in einer Erklärung des Länderorgans, „um sie auch in Zukunft gut handhaben zu können.“ Ziel sei „ein lückenloser strafrechtlicher Schutz aller Systeme und die Strafbarkeit nahezu aller Angriffsarten“. Im Fokus stehen Infiltrationen durch Botnetze und Schadenssoftware. Die Bundesregierung steht dem Entwurf kritisch gegenüber. Sie sieht schon keine Regelungslücke, zum anderen verursacht die Weite des Tatbestands und die Höhe der Strafandrohung Unbehagen. Ob das neue Gesetz kommt ist fraglich.

Alexander Pradka

Beitrag von Alexander Pradka

Dies könnte Sie auch interessieren

DieKunstLückenzuschließen
Die Kunst, Lücken zu schließen
Erstaunlich, dass immer noch der Faktor Mensch und die Sensibilisierung Ansatzpunkt quasi jeder Diskussion zu IT-Sicherheit und Cybercrime sind. Das war...
diruj_IHC_IT-Fachkräftedringendgesucht
IT-Fachkräfte dringend gesucht
Cybersicherheit gehört in die Hände von Fachkräften, am besten auf Führungsebene. Auf IT-Security-Spezialisten sollten Unternehmen auf keinen Fall verzichten...
BesserSchutzwenigerFreiheit
Besserer Schutz, weniger Freiheit
Unter dem Eindruck einer veränderten geopolitischen Lage arbeitet Deutschland an einer neuen Sicherheitsarchitektur. Sie soll vor allem kritische Infrastrukturen...