Mehr als 250.000 Fälle mit dem „Tatmittel Internet“ hat das Bundeskriminalamt in 2017 gezählt. Von rund 43 Milliarden Euro Schaden für Unternehmen durch Cyberkriminalität in den vergangenen zwei Jahren spricht der Digitalverband Bitkom. Und als wären diese Zahlen nicht schon erschreckend genug: Sie stimmen nicht. Der tatsächliche Schaden ist viel größer. Denn die Dunkelziffer, darin sind sich BKA und Bitkom einig, ist riesengroß.

Genau ermitteln lassen sich weder Fallzahlen noch Schadenhöhe aus so verschiedenen wie fatalen Gründen: Unternehmen, deren Daten über ein Leck gestohlen werden konnten, halten dies unter der Decke, um neben dem Datendiebstahl selbst nicht auch noch die lädierte Reputation wirtschaftlich auffangen zu müssen. Für die Ermittler, klagt das BKA in der „Bundeslage Cyberkriminalität 2017“, ist dies keine gute Nachricht. Wie bei jedem geklauten Auto oder Wohnungseinbruch formt erst die Analyse der Zeugenaussagen zu verschiedenen Taten den entscheidenden Hinweis auf den Täter. Auch die Zahl der Taten ist die wenig schmackhafte Frucht der Statistiker: Das BKA zählt die Tat, nicht die Opfer. Das einmalige Verbreiten einer schädlichen Malware gilt als eine Tat. Auch wenn 1,3 Millionen DSL-Router, wie im November 2016, dadurch manipuliert wurden.

Vorsorge gegen Cyberrisiken

Ebenso beunruhigend sind die Ergebnisse einer jüngst veröffentlichten Bitkom-Studie: Zwar gehen fast 70 Prozent aller befragten Unternehmen davon aus, bereits Ziel einer Cyber-Attacke geworden zu sein. Weitere 19 Prozent „vermuten“ es aber nur. Vielen ist der unbefugte Zugriff gar nicht bewusst. Für Bitkom-Präsident Achim Berg ein geradezu sträflicher Fehler: „Mit ihren Weltmarktführern ist die deutsche Industrie besonders interessant für Kriminelle. Wer nicht in IT-Sicherheit investiert, handelt fahrlässig und gefährdet sein Unternehmen“, lässt sich Berg im Bitkom-Studienbericht 2018 zitieren. „Vorsorge tut Not“, sagte Thomas Torhala, TÜV zertifizierter Fachberater für Cyberrisiken des HDI, „und zwar Vorsorge nicht nur durch Technik und Schulung, sondern auch durch modernen, individuellen Versicherungsschutz. Und genau den bietet HDI im Bereich der Cyberkriminalität.

Smarte Geräte ermöglichen Wirtschaftsspionage

Die Gefährdung wächst auf zwei Wegen: Zum einen ist die Technik der Hacker inzwischen so weit ausgereift, wie das BKA es beschreibt, dass auch Kriminelle „ohne vertiefte IT-Kenntnisse“ die auf einem Schattenmarkt angebotene Infrastruktur zu nutzen wissen. Zum anderen lassen viele Unternehmen ganz freiwillig, allerdings unwissend, Dritte an ihrem Wissen teilhaben. Smarte TV-Geräte, die sich verführerisch bequem per Geste oder Sprache steuern lassen, hören und sehen mit. Einfach, weil die Technik ohne permanent angeschaltete Kamera und Mikrophon nicht funktionieren würde. Gleiches gilt für sprachgesteuerte Assistenzsysteme, ganz egal, ob sie die nächste Musik oder das Licht steuern sollen. Diese Geräte sind permanent auf Sendung - und immer öfter auch aus Besprechungsräumen von Unternehmen. Einfach, weil es schick ist. Vermeintlich günstige Hardware wie Webcams oder smarte stimmgesteuerte Türöffner entpuppen sich, weil ungeschützt und ungeprüft, als vollkommen legale Einfallstore für ungewollte Beobachter und Mithörer.

Datenschutz-Experte Peter Leppelt hat im Rahmen der MADSACK-Sicherheitswochen in Hannover einen Vortrag gehalten. Wir haben ihn zum Thema Cybersicherheit interviewt.

Insbesondere kleinere Unternehmen geraten auch auf diese Weise nichtsahnend in den Fokus der Täter: Bitkom lobt zwar ausgeklügelte Digitalstrategien der Globalplayer. Rund 20 Prozent der befragten Klein- und mittelständischen Betriebe verfügen darüber jedoch nicht. Als Zulieferbetriebe für die großen Konzerne gelten sie bei Branchenkennern als unbewachtes Schlüsselloch für Datendiebe, auch und gerade im Bereich der Wirtschaftsspionage.

Daten vermeiden

Was also tun? In der parallel ebenso rasant wachsenden Branche der als Datenschützer agierenden Beraterfirmen gilt eine so einfache wie pragmatische Maxime: der beste Datenschutz ist auch die Vermeidung von Daten. Auf der Website der in Hannover ansässigen Datenschützer „Praemandatum“ liest sich dies recht schlüssig: „Was man nicht hat, kann man nicht verlieren, und was man nicht weiß, nicht verraten.“

