Kein Land der Erde verliert durch Computerverbrechen prozentual so viel vom Bruttoinlandsprodukt

Berlin. Nirgendwo auf der Welt ist der Schaden durch Verbrechen unter Ausnutzung von Informations- und Kommunikationstechnik („Cybercrime“) gemessen am Bruttoinlandsprodukt (BIP) so hoch wie in Deutschland. Mit einem Schadensumfang von 1,6 Prozent des BIP liegt die Bundesrepublik damit vor den Niederlanden (1,5 Prozent), den USA und Norwegen (je 0,64 Prozent) sowie China (0,63 Prozent). Das geht aus einer Studie des unabhängigen Centers for Strategic and International Studies (CSIS) hervor, die in Zusammenarbeit mit dem IT-Security-Anbieter McAfee erstellt wurde und die an diesem Dienstag unter dem Titel „Die globalen Kosten von Cybercrime“ in London vorgestellt wird.

Der Studie zufolge werden in der Europäischen Union pro Jahr 150.000 Jobs durch Verbrechen im Zusammenhang mit Datenverarbeitung vernichtet. In der Gruppe der G20-Staaten entsteht ein Schaden von 200 Milliarden US-Dollar. Weltweit wird die Schadenssumme durch Cyberkriminalität mit über 400 Milliarden US-Dollar pro Jahr veranschlagt. In der Rangfolge der geschädigten Volkswirtschaften folgen Singapur (0,41 Prozent des BIP), Brasilien (0,32 Prozent) und Irland (0,2 Prozent). Das Schlusslicht dieser Aufstellung bilden Japan (0,02 Prozent) und Kenia (0,01 Prozent).

Von mindestens 800 Millionen Menschen weltweit wurden im Jahr 2013 persönliche Informationen gestohlen, darunter allein von 16 Millionen Deutschen. „Cybercrime ist eine wachsende Industrie. Der Ertrag ist groß, und die Risiken sind klein“, resümieren die Autoren der CSIS-Studie. Cybercrime sei eine Art Preis des Fortschritts und verzögere das Tempo der globalen Innovation durch die Schmälerung der Profite derjenigen, die in Innovationen investieren würden. Bei den weltweiten Recherchen der CSIS-Studiengruppe wurden offizielle Regierungsberichte ebenso herangezogen wie von Wirtschaftsunternehmen aufgestellte Schadensbilanzen.

Zu den CSIS-Quellen gehören auch Geheimdienstmitarbeiter. So wird in dem Report eine deutsche Geheimdienstquelle mit den Worten zitiert: „Zuerst haben die Hacker unsere Industrie für erneuerbare Energien abgeschöpft, und jetzt sind sie hinter unserer Automobilindustrie her.“ Die am meisten verbreiteten Methoden bei Cyber-Verbrechen sind die Ausforschung des Opferumfeldes im weitesten Sinne und das Ausnutzen von Programmier- und Implementationsfehlern bei IT-Systemen. Beides sei mit relativ geringem materiellen Aufwand von den Tätern zu bewerkstelligen.

Die Autoren der Studie analysierten Hunderte von Berichten gehackter Firmen; so habe die US-Regierung beispielsweise 3000 Unternehmen gezählt, die im Jahr 2013 gehackt worden seien. Allein zwei Banken am Persischen Golf seien innerhalb weniger Stunden 45 Millionen US-Dollar abhandengekommen; eine britische Firma habe vom Verlust von 1,3 Milliarden US-Dollar auf einen Schlag berichtet. Zehn brasilianische Banken hätten gestanden, dass ihre Kunden jährlich Millionen durch Cyberbetrug verlieren würden. Nach Raub (1,5 Prozent des Weltbruttoinlandprodukts), transnationalen Verbrechen (1,2 Prozent), Drogenhandel (0,9 Prozent) und Fälschung/Piraterie (0,89 Prozent) rangiert Cybercrime der Studie zufolge mit einer Schadenssumme von 0,8 Prozent im Verhältnis zum Weltbruttoinlandsprodukt bereits auf Platz fünf der „teuersten“ Verbrechensarten.

Die Toleranzschwelle liege den Untersuchungen zufolge bei einer Schadensrate von zwei Prozent des Nationaleinkommens. Jenseits dieser Grenze würden die Rufe nach einschneidenden Maßnahmen lauter, weil die gesellschaftliche Akzeptanz für die mit solchen Verbrechen verbundenen Lasten rapide abnehmen würde. Insofern ist zumindest in Deutschland und den Niederlanden, wo die Schäden schon oberhalb von 1,5 Prozent des Bruttoinlandprodukts beziffert werden, in naher Zukunft mit offensiveren Maßnahmen des Gesetzgebers und der Strafverfolgungsbehörden gegen Cybercrimes zu rechnen. Erstes Anzeichen strengeren Verfolgungsdrucks ist in diesen beiden Ländern bereits die relativ aufwendige und verhältnismäßig breitflächige Erfassung von Vorfällen.

Die statistische Basis für Cybercrime-Raten schwankt allerdings von Land zu Land sehr stark. Das Hauptproblem der Bilanzierung von Schäden durch Cybercrime ist die fehlende Bereitschaft von Wirtschaftsunternehmen, solche Schäden zu melden. Als beispielsweise im Jahr 2010 Google und 34 weitere „Fortune 500“-Firmen (Rangfolge der 500 umsatzstärksten Unternehmen erstellt vom US-Wirtschaftsmagazin „Fortune“) gehackt wurden, seien nur wenige Informationen über 13 betroffene Unternehmen zufällig durch das Enthüllungsportal WikiLeaks bekannt geworden. Nur eines der geschädigten Unternehmen habe – abgesehen von Google – seinerseits Öffentlichkeit darüber hergestellt und Details genannt.

Neben Identitätsdiebstahl und Diebstahl von Geschäftsgeheimnissen sind Finanzverbrechen der zweithäufigste Grund für finanzielle Verluste durch Cybercrime. Auch die vollständigsten Daten bezüglich der Schadenssummen durch Cybercrime kommen aus den streng regulierten Teilen des Finanzsektors. So verlören mexikanische Banken 93 Millionen US-Dollar jährlich allein durch Betrug beim Onlinebanking. Die japanischen Polizeibehörden schätzen den Verlust im Bankensektor auf etwa 110 Millionen US-Dollar jährlich.

Ein beliebtes Ziel für Cyberkriminelle sind außerdem Einzelhändler. So wurden der Studie zufolge unter anderem T.J. Maxx und Sony zum Ziel von Angriffen mit sehr hohen Verlusten. Das Gleiche gilt für Hotelketten, Medienunternehmen und Fluglinien, mit Durchschnittsverlusten von 100 Millionen US-Dollar pro Unternehmen. Cyberspionage wird auch anderen Untersuchungen zufolge weltweit zu einem immer größeren Problem von Wirtschaftsunternehmen. Laut einer erst im April veröffentlichten globalen Studie des US-Telekommunikationskonzerns Verizon sogar zum größten. Und die Angreifer gehen dabei immer professioneller und vor allem zielgerichteter vor. 2013 sei das Jahr der bislang heftigsten Cyberattacken gewesen. Als am häufigsten angegriffenes Land wurden dabei die USA (54 Prozent aller Angriffe) ausgewiesen. Die Angreifer sitzen dabei oft in Asien (49 Prozent) und arbeiten zumeist mit der Unterstützung lokaler staatlicher Stellen.

Auch laut der offiziellen deutschen Kriminalstatistik für 2013 ist die Zahl der Cyberattacken mit gut 64.400 im vergangenen Jahr auf ein neues Rekordniveau geklettert. Das sind 0,7 Prozent mehr als im Vorjahr. Aufgeklärt werden konnte demnach aber nur gut jeder vierte Fall. Erschwert wird die Verfolgung von Cybercrime weltweit vor allem durch die Möglichkeit der anonymen Nutzung des Internets. Darüber hinaus gibt es Bereiche des Netzes, die dem Fahndungszugriff von Polizei und Geheimdiensten weitgehend entzogen sind – das Darknet. Das ist ein virtueller Rückzugsraum für all jene, die auf Anonymität beim Surfen im Internet angewiesen sind. Hier sind Kriminelle ebenso wie Waffenhändler und Pädophile aktiv. Aber auch Datenschützer und Dissidenten, die um ihr Leben fürchten, sind darauf angewiesen. Denn nur hier können sie sich sicher fühlen. Darknet-Seiten kann man nur dann sehen, wenn man eine bestimmte Verschlüsselungssoftware benutzt.

CSIS ist eine in Washington D.C. ansässige Non-Profit-Organisation mit 220 Vollzeitangestellten, die sich mit Globalökonomie und internationaler Sicherheit befasst und mit Wirtschaftswissenschaftlern, Security-Forschern und Experten im Bereich geistiges Eigentum zusammenarbeitet. Seit September 2011 arbeitet auch der ehemalige deutsche Verteidigungsminister Karl-Theodor zu Guttenberg (CSU) für die Organisation.