Cybersicherheit: 52,5 Mrd. Euro Schaden durch Angriffe im Homeoffice

Seit Jahren steigt die Intensität, mit der deutsche Unternehmen angegriffen werden. Spionage, Sabotage und Erpressung finden inzwischen vor allem im digitalen Raum statt und haben in der Wahrnehmung der Unternehmen analoge Risiken längst übertroffen (Engels, 2017). Die Schäden, die durch Cyberkriminalität entstehen, erreichen jedes Jahr neue Rekordhöhen. Für das Jahr 2020 berichten deutsche Unternehmen laut einer repräsentativen Umfrage des Bitkom (2021) von 223,5 Mrd. Euro Schaden durch Datendiebstahl, Industriespionage und Sabotage, 120,6 Mrd. Euro mehr als noch im Vorjahr (Grafik). Die Wachstumsraten der finanziellen Schäden sind seit 2015 von 7 auf 117 Prozent gestiegen.

Dass viele Unternehmen in der Pandemie verstärkt Mitarbeitende im Homeoffice eingesetzt haben, hat zu der enormen Steigerung der Schäden beigetragen. Die höhere Zahl verteilter Angriffspunkte macht die unternehmenseigene IT vulnerabler. Zusätzlich zu den IT-Lösungen im Unternehmen vor Ort müssen auch die zahlreichen Systeme im Homeoffice und die Verbindungen der Systeme geschützt werden (BSI, 2021). Für die Angreifenden ergeben sich daraus deutlich mehr Einfallstore als vor der Corona-Pandemie.

Mit einigen Annahmen lässt sich dieser Corona-Homeoffice-Effekt quantifizieren. 59 Prozent der befragten 817 Unternehmen, bei denen Homeoffice generell möglich ist (also 45,18 Prozent aller 1.067 befragten Unternehmen mit mindestens zehn Mitarbeitenden) geben an, dass es seit Beginn der Corona-Pandemie IT-Sicherheitsvorfälle in ihrem Unternehmen gegeben hat, die auf die Arbeit im Homeoffice zurückzuführen sind (Bitkom, 2021, 8). 52 Prozent der betroffenen Unternehmen (23,49 Prozent aller Befragten) geben an, dass es durch diese Vorfälle zu Schäden gekommen sei. Für die weitere Berechnung wird davon ausgegangen, dass der Berichtszeitraum der Umfrageteilnehmenden (letzte zwölf Monate ausgehend vom Umfragezeitraum 11.1. bis 9.3.2021) in etwa deckungsgleich mit der Corona-Pandemie ist. Außerdem wird angenommen, dass der Umfang des finanziellen Schadens durch einen Angriff im Homeoffice identisch mit dem eines Angriffs außerhalb des Homeoffices, also beim Unternehmen vor Ort, ist. Entsprechend sind dann von 223,5 Mrd. Euro Schäden im Jahr 2020 52,50 Mrd. Euro auf Angriffe im Homeoffice zurückzuführen (Grafik).

Auch vor der Pandemie wurde bereits im Homeoffice gearbeitet, auch dort haben Cyberangriffe stattgefunden. Da deren Schäden aber unbekannt sind, muss man, um den Corona-Homeoffice-Effekt auszurechnen, in Betracht ziehen, wie viele Menschen während der Pandemie zusätzlich im Homeoffice gearbeitet haben, und die Schäden auf diese umrechnen. Laut Bitkom (2020) arbeiteten in der Pandemie 18,8 Mio. Berufstätige ganz oder teilweise im Homeoffice, während es vor der Pandemie lediglich 7,7 Mio. waren. Dabei wird außer Acht gelassen, dass es in der Pandemie eine starke Verschiebung hin zu gänzlich im Homeoffice arbeitenden Berufstätigen gab. Möglicherweise gibt es einen Zusammenhang zwischen der Zeit im Homeoffice und der Angriffswahrscheinlichkeit. Allerdings erscheint die Anzahl der Homeoffice-Arbeitenden als relevanter.

Wenn bei 18,8 Mio. Menschen im Homeoffice 52,50 Mrd. Euro Schäden entstehen, sind es bei 7,7 Mio. 21,50 Mrd. Euro Schäden (Grafik), wenn man annimmt, dass die Schäden sich proportional zu der Anzahl der Berufstätigen im Homeoffice verhalten. Dies ist insofern eine valide Annahme, als dass die Anzahl der Angriffspunkte proportional mit den Homeoffice-Arbeitenden steigt. Der Anstieg der Schäden durch Cyberangriffe im Homeoffice während der Pandemie im Vergleich zu 2019, der Corona-Homeoffice-Effekt, beträgt dementsprechend 31,00 Mrd. Euro oder 25,70 Prozent des Gesamtschadensanstiegs (Grafik). Ein Viertel der gesamten Schadenszunahme durch Cyberangriffe im Jahr 2020 ist also darauf zurückzuführen, dass in der Pandemie vermehrt Menschen im Homeoffice arbeiten.

Die Dunkelziffer der Schäden liegt vermutlich deutlich höher. Das liegt zum einen daran, dass Kleinstunternehmen mit weniger als 10 Beschäftigten nicht in der für die Berechnung verwendeten Umfrage berücksichtigt wurden. Dabei sind es besonders Kleinstunternehmen, die bei der Umsetzung technischer Sicherheitsmaßnahmen Nachholbedarf haben und für die Cyberangriffe am ehesten existenzbedrohend sind (BSI, 2021). Zum anderen werden viele Schäden gar nicht quantifiziert, weil sie entweder nicht direkt auf Cyberangriffe zurückgeführt werden (können) oder nur mittelbare finanzielle Auswirkungen haben, darunter Reputationsschäden (Engels, 2017).

Trotz der erhöhten Gefahr durch Angriffe haben nur 16 Prozent der vom BSI (2021, 13) befragten Unternehmen ihr IT-Sicherheitsbudget in der Corona-Krise erhöht. Gerade vor dem Hintergrund, dass auch nach der Pandemie Berufstätige verstärkt im Homeoffice arbeiten werden (s. auch Bitkom, 2020; Hammermann/Voigtländer, 2020), ist es dringend geboten, dass Unternehmen ihre IT besser absichern. Luft nach oben gibt es reichlich: Derzeit managen lediglich 38 Prozent der Unternehmen die Sicherheit von Handys, Laptops und weiteren mobilen Endgeräten mit Verbindung zum Firmennetzwerk (BSI, 2021,9).