Indikator 123: Vorhandensein einer Cybersicherheitsstrategie mit Beteiligung mehrerer Interessengruppen, die mit internationalen Rechten und Normen im Einklang steht.

Seit 2016 gibt es in Deutschland eine nationale Cyberstrategie.1 Außerdem besteht ein nationalen Cyber-Sicherheitsrat, dieser wird seit Juli 2017 durch einen Fachbeirat unterstützt.2 Leitbild der Strategie ist, dass „die Handlungsfähigkeit und Souveränität Deutschlands (...) auch im Zeitalter der Digitalisierung gewährleistet sein [müssen.]"3

Im nationalen Cyber-Abwehrzentrum (Cyber-AZ), tauschen die für Cyber-Sicherheitsfragen zuständigen Bundesbehörden Informationen zu Cyber-Vorfällen aus und teilen ihre Bewertungen und Analysen.4 Mit Cybersicherheit befasste Behörden bestehen auf Ebene der EU, des Bundes und der Länder.

Mit dem IT-Sicherheitsgesetz und dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden 2015 wichtige Schritte in Richtung einer Verbesserung der Sicherheit und eines Voranschreitens der Digitalisierungspolitik in Deutschland unternommen. Das Gesetz schafft verbindliche Mindestanforderungen und Meldepflichten für die kritische Infrastruktur betreibenden Unternehmen. Außerdem wurde die Rolle des BSI als Organisation gestärkt.5

Indikator 124: Einrichtung eines nationalen CERT oder eines gleichwertigen Systems und Nachweis über dessen Wirksamkeit

Auf Bundesebene gibt es ein nationales Computer-Notfallreaktionsteam (Computer Emergency Response Team), das kurz CERT-Bund genannt wird. Innerhalb seiner Zuständigkeit für die Einrichtungen des Bundes ist es verantwortlich für die Erstellung und Veröffentlichung präventiver Handlungsempfehlungen zur Schadensvermeidung bei Hardware- und Softwareprodukten sowie zur Unterstützung von Maßnahmen zu Schadensbegrenzungen bei IT-Sicherheitsvorfällen. Er arbeitet eng mit dem IT-Lagezentrum und dem IT-Krisenreaktionszentrum zusammen und unterstützt diese in personeller Hinsicht.6

Zur Erfüllung dieser Aufgaben bietet das CERT-Bund einen 24-Stunden-Bereitschaftsdienst, der eingehende Meldungen über ungewöhnliche Vorfälle analysiert und daraus Empfehlungen ableitet, einen Warn- und Informationsdienst betreibt und die Bundesverwaltung bei akuten Gefährdungen alarmiert.7 Darüber hinaus stellt das CERT-Bund für Privatpersonen kostenlose Informationen auf der Plattform Bürger-CERT zur Verfügung, mit der alle Informationen über aktuelle Attacken durch Schadsoftwares und Sicherheitslücken in Computeranwendungen einsehen und abonnieren können.8

Der Bereich der öffentlichen Verwaltung in Deutschland organisiert sich innerhalb des Verwaltungs-CERT-Verbundes (VCV)9 auf Bundes- und Länderebene. Mittlerweile entstehen die ersten CERTs im kommunalen Bereich. Zusammen mit anderen deutschen Sicherheits- und Computer-Notfallteams – vor allem aus der Kreditwirtschaft – bildet der CERT-Bund den CERT-Verbund, der der Verbesserung der operativen Sicherheit dienen soll.10

Indikator 125: Häufigkeit und Art der gemeldeten Verstöße sowie Anzahl der betroffenen Einzelpersonen und Unternehmen

Das Bundeskriminalamt (BKA) veröffentlicht jährlich ein Lagebild über die Cyberkriminalität in Deutschland; zuletzt im September 2020. Es berichtet, dass es im Jahre 2019 in Deutschland 100.514 Cybercrimes im engeren Sinne1 gab, was einen Anstieg um 15,4 % im Vergleich zu 2018 bedeutet. Bei einer Aufklärungsquote von 32,3 % gab es dabei 22.574 Tatverdächtige. Neben den erhobenen Daten wird von einer hohen Dunkelziffer ausgegangen, da viele Fälle nicht gemeldet werden, weil die Taten nicht über das Versuchsstadium hinausgehen oder die Betroffenen sie nicht erkennen oder aus Scham oder Ängsten vor Reputationsverlusten oder wegen des Ausbleibens eines finanziellen Schadens nicht anzeigen.2

Als mögliche Schadenshöhe hat das BKA 88,0 Mio. Euro für die Cyberstraftaten im engeren Sinne berechnet, wobei dies – wie das BKA selbst anführt – dem tatsächlichen Schaden keineswegs entsprechen wird. Damit sei auch die große Diskrepanz zwischen den Berechnungen des BKA und den Berechnungen der Privatwirtschaft zu erklären.3

Aktuelle Ergebnisse einer stichprobenartigen Befragung von 1.070 deutschen Unternehmen im Auftrag von BITKOM zeigen, dass 75 % der befragten Unternehmen in den letzten zwei Jahren von einer Cyberstraftat betroffen waren und weitere 13 % es vermuten. Dies entspricht einem Anstieg zu 2017 von 9 %. 70 % der Unternehmen gaben an, dass sie durch die Cyberattacken finanzielle Schäden erlitten haben. In Bezug auf die entstanden Schäden berechnet BITKOM auf Basis einer Selbsteinschätzung der Unternehmen, dass durch die Cyberkriminalität pro Jahr Schäden in Höhe von 102,9 Mrd. Euro entstanden sind.4

Eine 2020 publizierte Erhebung des kriminologischen Forschungsinstituts Niedersachsen (KFN) zu Cyberangriffen gegen Unternehmen in Deutschland kommt zu einer kleineren Zahl an betroffenen Unternehmen. Hier haben lediglich 41,1 % der stichprobenartig befragten Unternehmen angegeben, in den letzten 12 Monaten Opfer von Cyberattacken gewesen zu sein; 67 % der Unternehmen gaben an, überhaupt schon einmal Opfer von Cyberkriminalität geworden zu sein.5 Ein großer Teil der Unternehmen wurde in den zwölf Monaten vor der Befragung von Angriffen durch eine Schadsoftware getroffen: 12,5 % wurden durch (mindestens) einen Ransomware-Angriff, 11,3 % durch einen Spyware-Angriff, 21,3 % durch einen sonstigen Schadsoftware-Angriff geschädigt und 22 % waren von einen Phishing-Angriff betroffen.6

Auffällig ist auch die Prävalenzrate in Bezug auf die Branchenzugehörigkeit. Von den Unternehmen aus der Land- und Forstwirtschaft gaben 23,6 % an, dass sie schon einmal Opfer von Cyberkriminalität waren; demgegenüber waren es 48,4 % der befragten Unternehmen aus der Branche wirtschaftlicher Dienstleistungen.7

Zwischen Oktober 2017 und Oktober 2018 gab es zudem 21 gemeldete Fälle von Cyberangriffen auf Kritische Infrastrukturen (KRITIS), die Unternehmen bzw. Einrichtungen in den Sektoren Wasser, Energie, Ernährung, Informations- und Telekommunikationstechnik, Finanz- und Versicherungswesen, Transport und Verkehr, Gesundheit, Medien und Kultur, Staat und Verwaltung umfassen. Aufgrund der Wichtigkeit des Funktionierens dieser Einrichtung und Unternehmen für die Gesellschaft im Allgemeinen ist der Schutz dieser von besonderer Priorität. Trotzdem sind sich Fachleute und Betroffene einig, dass es, auch als Folge einer immer weiter digitalisierten Welt und Gesellschaft, eine Zunahme solcher Angriffe geben wird.8

Indikator 126: Wahrnehmung der Internetsicherheit bei Nutzenden, Unternehmen und anderen Interessengruppen

Wie bereits unter Indikator 124 erörtert, haben viele staatliche Einrichtungen die Relevanz der Cybersicherheit erkannt und Computer Emergency Response Teams (CERTs) eingerichtet. Auf diesem Gebiet bzw. bei Unternehmen von mittlerer bis großer Größe herrscht eine gewisse Sensibilität für Herausforderungen der Cybersicherheit.9

Dennoch hat sich bei einer stichprobenartigen Befragung von Unternehmensvertretungen gezeigt, dass je größer das Unternehmen ist, desto geringer wird das allgemeine Risikobewusstsein der Belegschaft eingeschätzt. Demgegenüber wird von den Unternehmensvertretungen davon ausgegangen, dass die Geschäftsführung ihres Unternehmens die IT-Risiken besser einschätzen als die Belegschaft.10

Während in einer Studie der BITKOM eine breite Mehrheit von 82 % der Unternehmen davon überzeugt ist, dass künftig noch mehr Cyberattacken auf ihr Unternehmen verübt werden,11 halten in der Studie von PWC 31,5 % der Befragten das Risiko eines ungezielten Cyberangriffs im nächsten Jahr für eher hoch oder sehr hoch und nur 7 % das Risiko eines gezielten Cyberangriffs für eher hoch oder sehr hoch.12

Bezüglich der Wahrnehmung der Internetsicherheit durch die einzelnen Internetnutzenden ist ein aussagekräftiger Maßstab das Unterlassen verschiedener Internetaktivitäten aufgrund von Sicherheitsbedenken. 35 % der Internetnutzenden haben aufgrund von Sicherheitsbedenken die Pflege von beruflichen oder sozialen Netzwerken vernachlässigt und 25 % öffentliche WLAN-Netze gemieden, während lediglich 15 % der Nutzenden keine Waren oder Dienstleistungen über das Internet aufgrund von Sicherheitsbedenken bestellt haben. Lediglich 36 % der Internetnutzenden geben an, dass sie keine Aktivitäten im Internet aus Sicherheitsgründen unterlassen haben.13

Vor einem Verlust ihrer Daten schützen sich 59 % der Internetnutzenden durch die Datensicherung auf einem externen Speichermedium oder in einer Cloud. 34 % der Nutzenden sichern ihre Daten nicht, während 7 % es überhaupt nicht wissen, ob sie ihre Daten speichern.14

Indikator 127: Daten zu Phishing, Spam und Bots in Domänen auf nationaler Ebene

Hinsichtlich schädlicher Cyberangriffe bei Unternehmen durch Phishing kommen die aktuellen, von BITKOM und dem kriminologischen Forschungsinstitut Niedersachsen (KFN) publizierten Studien zu ähnlichen Ergebnissen. Laut BITKOM ist der Anteil der durch Phishing-Angriffe betroffenen Unternehmen von 15 % in 2017 auf 23 % in 2019 angestiegen; nach der Studie des KFN waren 22 % der befragten Unternehmen von Phishing betroffen.15

In der Studie des kriminologischen Forschungsinstituts Niedersachsen (KFN) wird auch auf andere Arten der Cyberkriminalität wie Ransomware, Spyware oder DDoS eingegangen.16 Von Ransomware-Angriffen waren nach dieser Studie 12,5 % der Unternehmen betroffen, von Spyware 11,3 %. Außerdem wurden 2,8 % der Unternehmen von manuellem Hacking betroffen, 8,1 % von CEO-Fraud17 und 3,1 % von Defacing.18

Bezüglich des Anteils der von Malware betroffenen Unternehmen haben beide Studien mit 21,3 % (KFN), bzw. 23 % (BITKOM) ähnliche Befunde. Ganz unterschiedlich ist der Befund zu (D)DoS-Attacken19 auf Unternehmen. Während KFN nur einen Anteil der betroffenen Unternehmen von 6,4 % ausweist, gaben in der Studie von BITKOM 18 % der Unternehmen an, von (D)DoS Attacken betroffen gewesen zu sein.20

Hinsichtlich der Schädigungen durch Spam gibt es Daten der beiden E-Mail-Anbieter GMX.de und Web.de, bei denen nach eigenen Angaben die Hälfte der Deutschen ein E-Mail-Konto hat. Zusammen haben sie 2018 pro Tag durchschnittlich 150 Mio. E-Mails erkannt, die als Spam klassifiziert worden sind.21