3.3 Die tatsächliche Risiko-Lage im Internet

Die tatsächliche Risiko-Lage im Internet kann nur unzureichend abgebildet werden, da es nahezu unmöglich ist, die genaue Wahrscheinlichkeit des Eintritts aller möglichen Schäden und deren Ausmaße im Internet zusammenfassend zu ermitteln. Es gibt allerdings Statistiken, die als Indiz für das tatsächliche Risiko dienen können. Im Jahre 2011 wurden in der Polizeilichen Kriminalstatistik (PKS) rund 59.500 Fälle von Cyber-Kriminalität erfasst (Bundesministerium des Innern, 2011). Ein Vergleich mit den Zahlen vorangegangener Jahre zeigt, dass Cyber-Kriminalität stetig zunimmt. So waren es im Jahre 2000 noch 56.684 Fälle (Bundesministerium des Innern, 2000). Allerdings handelt es sich hier nur um die erfassten Fälle. Die Statistiken des Bundeskriminalamtes können keine genaue Auskunft darüber geben, wie viele Unternehmen tatsächlich von kriminellen Attacken betroffen sind, da die Dunkelziffer sehr hoch ist (Tagesspiegel, 2011).

Verfolgt man die Schlagzeilen in den Medien, stellt sich die Frage, ob man überhaupt noch im Internet sicher sein kann. Immer mehr Datenskandale werden publik und der IT-Industrie wird sogar vorgeworfen, die Sicherheit lange auf die leichte Schulter genommen zu haben. Es ist von einer Vertrauenskrise gegenüber dem Internet die Rede (Handelsblatt, 2012). Eine Umfrage der Initiative D21 drückt dies in Zahlen aus: 57 Prozent der Befragten haben schon negative Erfahrungen beim Online-Shopping gemacht. So waren beispielsweise die Waren defekt, wurden trotz Vorkasse gar nicht erst geliefert oder es wurden Daten an Dritte weitergegeben (D21 & bvh, 2012b). Bei einer von TNS Infratest durchgeführten Umfrage gaben 15 Prozent der Befragten an, bereits von einem Missbrauch persönlicher Daten im Internet betroffen gewesen zu sein (Microsoft, 2009). Während die Ängste der Internet-Nutzer immer größer werden, nimmt die Anzahl der Internet-Nutzer ab, die ihren PC mit speziellen Programmen schützen. Während 2010 noch über 80 Prozent der Befragten angaben, Sicherheitsprogramme zu nutzen, sind es aktuell noch 75 Prozent. (D21 & bvh, 2012a). Dieses fahrlässige Verhalten könnte das Risiko für Angriffe erhöhen. Ein Grund könnte darin liegen, dass der Umfrage zufolge nur zwei Prozent der Befragten durch eine Schadsoftware finanziell geschädigt wurden (D21 & bvh, 2012a).

Wenn es um die Sicherheit von Kundendaten geht, dann liegt ein Risiko hauptsächlich darin, dass Dritte über einen Hacker-Angriff auf Unternehmen an diese gelangen. Die Zahl der Hacker-Angriffe im Internet nimmt stetig zu (Tagesspiegel, 2011). Die Zahl der Unternehmen, die schon einmal von einem Angriff auf ihre Systeme betroffen waren, zeigt, dass IT-Sicherheitsrisiken für fast alle Unternehmen – und damit auch für ihre Kunden – ein ernstzunehmendes Problem darstellen. So gaben dem Sicherheitsreport 2012 zufolge zwei Drittel der Unternehmen an, bereits einen IT-Angriff erfahren zu haben (T-Systems, 2012). Dabei scheint der Diebstahl sensibler Kunden- und Unternehmensdaten das größte Problem zu sein. Laut einer Umfrage von TNS Emnid waren davon schon 61 Prozent der befragten Unternehmen betroffen (KPMG, 2010). Auch viele namhafte Unternehmen waren schon Opfer von Hacker-Angriffen, so haben Hacker Millionen geheimer Kundendaten von Sony gestohlen (Süddeutsche, 2011), EADS und ThyssenKrupp ausspioniert (Spiegel Online, 2013 a) sowie Microsoft angegriffen (Spiegel Online, 2013 b).

Unter diesen Umständen scheint die Besorgnis der Bevölkerung nicht ganz unbegründet zu sein. Der Lagebericht „IT-Sicherheit 2011“ des Bundesamtes für Sicherheit in der Informationstechnik macht das Problem noch einmal deutlich. Die aktuellen Gefährdungen wie Cyber-Angriffe, Angriffe auf mobile Endgeräte und Attacken, die auch außerhalb der klassischen IT greifen, sind eine große Herausforderung für Politik, Wirtschaft und Gesellschaft (Bundesamt für Sicherheit in der Informationstechnik, 2011). Daher warnen sogar neun von zehn Experten vor den wachsenden Risiken im Internet (Statistiko, 2012). Das Risiko bei der Nutzung von Smartphones sei dabei besonders hoch, da ihre Nutzer nicht ausreichend sensibilisiert und geschult sind, um das Einschleusen von Schadprogrammen sicher auszuschließen.

Doch können Firmen überhaupt etwas gegen diese Risiken unternehmen, um insbesondere die Daten ihrer Kunden zu schützen? Ein Blick auf Umfragen zu den in Unternehmen vorhandenen Sicherheitsmaßnahmen macht schnell klar, dass Verbesserungsbedarf vorhanden ist. Denn nicht immer sind die technischen Systeme in Unternehmen auf dem neuesten Stand. Unter 800 Unternehmen, die der IT-Verband BITKOM vergangenes Jahr befragte, schätzte jedes dritte seine IT-Sicherheit als unzureichend ein (Süddeutsche, 2012). Und das liegt nicht etwa daran, dass das Geld für hochmoderne kostenintensive Sicherheitslösungen fehlt, sondern vielmehr an der mangelnden Sorgfalt im Umgang mit IT-Sicherheitsmaßnahmen. Viele setzen veraltete Software ein und sichern sensible Daten entweder gar nicht oder nur mit schwachen Passwörtern (Süddeutsche, 2012). Unter diesen Umständen sind Unternehmen sehr leicht angreifbar.

Die Ergebnisse der Umfragen zeigen, dass die Bevölkerung in Deutschland ein relativ hohes subjektives Risiko-Empfinden in Bezug auf das Internet aufweist. Ob beim Online-Shopping, beim Online- Banking oder der Kommunikation über das Internet, die größte Angst liegt im möglichen Missbrauch persönlicher Daten. Diese Risiko-Wahrnehmung ist allerdings subjektiv und könnte aufgrund von Medienberichterstattungen über Datenskandale verzerrt sein. Daher ist es wichtig, neben der subjektiven Risiko-Wahrnehmung der Bevölkerung auch die tatsächliche Risiko-Lage zu erfassen, was allerdings nicht hinreichend möglich ist. Es gibt zwar viele Statistiken, die den Eintritt tatsächlicher Schäden und deren Ausmaß erfassen, aber diese können lediglich als Indizien für das tatsächlich vorhandene Risiko im Internet dienen. So zeigt sich, dass bereits viele Internet-Nutzer negative Erfahrungen im Internet gemacht haben und Opfer eines Datenmissbrauchs wurden. Zudem scheint sich kaum ein Unternehmen vor den Angriffen von Hackern in Sicherheit wiegen zu können. Cyber-Kriminalität steigt stetig und nimmt immer neue Dimensionen an, was die Angst der Bevölkerung nicht ganz realitätsfern erscheinen lässt.