Bundeslagebild 2024: Vermehrte Cyberangriffe verursachen Schäden in Milliardenhöhe

Cyberkriminelle nehmen Deutschland verstärkt ins Visier. Insbesondere die Angriffe aus dem Ausland sind im vergangenen Jahr stark gestiegen: Laut Bundeskriminalamt von 190.000 (2023) auf knapp 202.000 Fälle im Jahr 2024.
Bild: Bluebeam

Die Bedrohung ist ernst und insbesondere die Angriffe aus dem Ausland sind im vergangenen Jahr stark angewachsen: von 190.000 auf knapp 202.000 Fälle. So die Bilanz des im Juni 2025 vom Bundeskriminalamt (BKA) vorgestellten Bundeslagebilds 2024. Der Verband Bitcom bezifferte im Sommer 2024 in seiner Studie Wirtschaftsschutz 2024 den Gesamtschaden durch Cyberattacken in Deutschland auf insgesamt 178,6 Mrd. €. Innerhalb von 12 Monaten sind das nochmals 30 Mrd. € mehr als im Jahr zuvor. Über 1.000 Unternehmen nahmen an der Befragung teil. Rund 80 % von ihnen gaben an, im vorausgegangenen Jahr Opfer einer Attacke geworden zu sein. Ein Alarmzeichen, denn jeder von uns ist täglich – sowohl beruflich wie privat – oft über Stunden im Netz unterwegs, heißt es vom Softwarespezialisten Bluebeam.

Was also tun bei einem virtuellen Angriff? Wer kann über die Gefahren informieren, die auch für die Baubranche lauern, welche Schutzmöglichkeiten haben Auftraggeber, Planungsbüros, Bauunternehmen und Fachhandwerksfirmen? Darüber wurde im Rahmen des „BAU-TALKS“ von Bluebeam mit Laura Lammel, Geschäftsführerin des Bauunternehmens Lammel Bau und Obermeisterin der Bauinnung München-Ebersberg, sowie mit Matthias Börsig, Spezialist für IT- und IoT-Sicherheit, Digitale Forensik, Maschinelles Lernen und KI am FZI Forschungszentrum Informatik in Karlsruhe, gesprochen.

Herr Börsig, wie ernst nehmen die Unternehmen, vor allem kleine und mittelständische, das Thema Cybersicherheit?

Matthias Börsig: Inzwischen ist man sich dieser Gefahr sehr viel bewusster, auch weil mehr darüber geredet wird. Dennoch müssen wir uns die Frage stellen: Warum wird im Bereich Netzwerksicherheit bisher noch so wenig getan? Ich glaube, es liegt hauptsächlich daran, dass IT-Sicherheit erstmal vor allem viel Geld kostet und keinen direkten Mehrwert bringt. Dazu gehört auch, dass man Mitarbeiter schulen muss, die dafür vom Dienst freigestellt werden müssen. Und es gibt darüber hinaus zu wenige Experten, die solche Schulungen anbieten.

Frau Lammel, wie ist Ihr persönlicher Eindruck? Beschäftigen sich die Unternehmen ausreichend mit der Sicherung ihrer Arbeitsdaten?

Laura Lammel: Ich stimme Herrn Börsig vollkommen zu. An erster Stelle muss die Schulung der Mitarbeiter stehen, weil über den richtigen Umgang, z. B. mit Phishing-E-Mails, viel verhindert werden kann. Hier müssen wir auch die Lieferketten im Blick behalten und von oben nach unten, also von den größeren Unternehmen zu den kleinen, das Bewusstsein für das Thema Cybersecurity schärfen. Seitens der Bauinnung bieten wir immer wieder Schulungen und Fortbildungen an. Es lohnt sich, an so vielen Punkten wie möglich anzusetzen.

Können Sie jenseits Ihrer Forschungstätigkeit am FZI auch ganz konkrete Hinweise und Hilfestellungen geben?

Matthias Börsig, Spezialist für IT- und IoT-Sicherheit, Digitale Forensik, Maschinelles Lernen und KI am FZI Forschungszentrum Informatik in Karlsruhe.
Bild: Sandra Göttisheim Photographie

Matthias Börsig: Ja, durchaus. Ein Beispiel ist das vom Land Baden-Württemberg geförderte Projekt Cyberwehr, das als Anlaufstelle gedacht ist, um Unternehmen zu helfen, die gehackt wurden – z. B. dabei, jemanden zu finden, der tiefer in die Systeme „eintaucht“, um dadurch den Angriffsweg zu ermitteln. Das ist vor allem für große Unternehmen sinnvoll. In einem kleinen Handwerksbetrieb mit zwei, drei Rechnern ist vielleicht auch der PC-Doktor ‚um die Ecke‘ passend. Wir als Forschungseinrichtung haben auch sehr viele Direktbeauftragungen. Wir können bspw. einen klassischen Pentest machen. Das heißt, mit den Mitteln, die ein Hacker zur Verfügung hat, versuchen wir, ein System anzugreifen und die Schwachstellen zu finden.

Sie führen seit vielen Jahren ein erfolgreiches Bauunternehmen, Frau Lammel. Welche Strategien verfolgen Sie zum Schutz Ihrer Daten und sensiblen Informationen? Sie selbst sind vor einigen Jahren Opfer eines Cyberangriffs geworden.

Laura Lammel, Geschäftsführerin des Bauunternehmens Lammel Bau und Obermeisterin der Bauinnung München-Ebersberg.
Bild: Michael Schuhmann

Laura Lammel: Meine Mitarbeiter und Mitarbeiterinnen werden in regelmäßigen Abständen geschult. Insbesondere zum Thema E-Mail. Das ist nach wie vor das erste Einfallstor und die Tarnung wird immer besser. Ein weiteres Thema ist, mit unserer IT regelmäßige Updates durchzuführen. Hier haben wir aus dem Angriff gelernt. Denn seinerzeit hatten wir auf ein anstehendes Update einfach nicht schnell genug reagiert. Hier lohnt es sich, zu bestimmten Produktherstellern zu wechseln, die z. B. automatische Updates anbieten. Eine dritte Maßnahme ist, dass wir viele Daten noch direkt bei uns auf dem Server verwalten und dort auch lassen, solange wir nicht sicherstellen können, dass die Cloud-Lösungen auf Serveranlagen in Europa, wenn nicht sogar in Deutschland, zurückgreifen.

Ist das eine gute Strategie, die gerade kleine und mittelständische Unternehmen verfolgen sollten?

Matthias Börsig: Ja, auf jeden Fall ist das ein guter Start. Wie Frau Lammel sagte, sind die zwei größten Einfallstore wirklich veraltete oder schlecht gesicherte Systeme und die Mitarbeiter, die auf bösartige, manipulierte Mails klicken. Insbesondere bei größeren Unternehmen lohnt es sich, einen Experten für die IT-Sicherheit einzustellen, der sich darum kümmert, dass stets alle Updates der Systeme durchgeführt werden. Das kann auch auf meinen eigenen Servern erfolgen, wo ich den größtmöglichen Schutz habe.

Und wie sicher ist die Daten-Auslagerung oder die Nutzung von Cloud-Lösungen?

Matthias Börsig: Zunächst einmal gebe ich damit die Verantwortung ab, mich um die Updates kümmern zu müssen. Ich habe aber das damit verbundene Risiko, die Hoheit über meine Daten zu verlieren. Meine Daten liegen dann auf einem Server, auf den ich unter Umständen keinen Zugriff mehr habe. Das heißt, ich muss dem jeweiligen Anbieter wirklich vertrauen, dass er mit meinen Daten sorgsam umgeht. Was die Sicherheit meiner Daten angeht, würde ich schon sagen, dass diese gegeben ist – weil sich wirklich ein Expertenteam darum kümmert. Allerdings muss man darauf hinweisen, dass solche Cloud-Dienste als Ziele für Angreifer sehr attraktiv sind, was die Menge und Tiefe der Daten auf den Servern angeht. Das sollte man abwägen.

Unterscheiden sich die Sicherheitsanforderungen eines Bauunternehmens, wie es Frau Lammel führt oder eines Architektur- und Planungsbüros, von anderen Unternehmen?

Matthias Börsig: Die grundlegenden Probleme sind die gleichen. Ich sehe in der Baubranche noch das zusätzliche Risiko der Industriespionage. Baupläne oder Ausschreibungsunterlagen müssen vielleicht noch besser geschützt werden, damit sie nicht in die Hände von Konkurrenten gelangen.

Frau Lammel, Sie arbeiten in verschiedenen Gremien. Sie stehen im engen Austausch mit vielen Partnern aus der Planung, mit Bauunternehmen und dem Fachhandwerk. Ist dort die Verunsicherung größer geworden, seitdem sich die Fälle in der Branche häufen?

Laura Lammel: Große Bauunternehmen oder Firmen mit einem hohen Automatisierungsgrad sind durchaus sensibilisiert. Ich sehe die Probleme hier eher bei den kleineren und in den Kleinstbetrieben. Bei denen durchzudringen und immer wieder über die Gefahren zu informieren, halte ich für besonders wichtig.

Konnten Sie den Cyberangriff auf Ihr eigenes Unternehmen jemals aufklären?

Laura Lammel: Nein, das konnten wir nicht. Ich war zwar in der glücklichen Lage, dass ich vor dem Hack eine Cybersecurity-Versicherung abgeschlossen hatte. Doch das ganze Prozedere – mit Anzeige bei der Kriminalpolizei und einem externen Expertenteam, das das Ausmaß des Hackerangriffs analysiert hat – war mühsam. Wir mussten außerdem unser ganzes System neu aufsetzen. Wir können heute von Glück sprechen, dass nicht noch Lösegeldforderungen gestellt wurden.

Cyberkriminelle verfolgen meist das Ziel, Geld von ihren Opfern zu erpressen. Sehen Sie darüber hinaus noch weitere Motive, die dahinterstecken?

Matthias Börsig: Eigentlich geht es immer um Geld. Nur ein weitaus kleinerer Teil der Angriffe ist tatsächlich auf Spionage ausgerichtet. Wir haben inzwischen auch festgestellt, dass die Täter wie normale Betriebe organisiert sind, teilweise in identischen Strukturen: Es gibt eine Entwicklungsabteilung, die Viren programmiert, eine andere Abteilung erstellt Phishing-Mails. Wenn jemand erfolgreich infiziert wurde, folgt die nächste Abteilung, die Trojaner einschleust und die Daten im Netzwerk des Geschädigten verschlüsselt. Daraufhin folgt meist der Kontakt durch eine Art „Support-Abteilung“, die eine auf das Unternehmen zugeschnittene Lösegeldforderung stellt, um die IT wieder neu aufzusetzen. Dahinter stecken kriminelle, effiziente Strukturen. Die Zeiten, in denen Kriminelle quasi ‚aus dem Kinderzimmer heraus‘ ein paar Hacks ausprobierten, haben wir schon lange hinter uns gelassen.

Gibt es denn eine Art Checkliste, die Sie uns an die Hand geben können, um zu prüfen, ob ein Unternehmen bereits gut abgesichert ist?

Matthias Börsig: Nein. Es sind immer individuelle Prozesse. Am ehesten ist hierbei das Information Security Management (ISMS) hilfreich. Und haben Sie vielleicht schon vom IT-Grundschutzkatalog des BSI oder der ISO 27001 oder gehört? Diese richtet sich allerdings vorrangig an größere Unternehmen und ist auch mit einer entsprechenden Zertifizierung verbunden. Für eine erste Übersicht kann aber auch die DIN SPEC 27076 helfen. Hierin werden Fragen aufgeworfen, wie: Gibt es einen Datenschutzbeauftragten? An wen kann ich mich wenden, wenn jemand auf meiner Webseite eine Sicherheitslücke findet? Die darin publizierte Liste kann man durchgehen und nach einem Punktesystem einordnen, wo man ungefähr steht bei der Sicherheit im eigenen Unternehmen.

Wo sehen Sie die aktuell größten Herausforderungen beim Thema Cybersicherheit?

Matthias Börsig: Ganz klar in den immer stärker vernetzten Systemen: Ich kann nicht einerseits das Thema Digitalisierung voranbringen wollen und andererseits die Cybersicherheit vernachlässigen.

Ein konkretes Szenario: Mein Netzwerk wurde gehackt, niemand kann auf die laufenden Projekte zugreifen, die Buchhaltung kann nicht arbeiten, auf der Baustelle stehen die Kräne still. Jetzt kommt die Lösegeldforderung. Herr Börsig, soll ich zahlen oder nicht?

Matthias Börsig: Nach Möglichkeit nicht, denn diese kriminellen Unternehmen funktionieren nur solange, wie sie Geld erwirtschaften können. Daher raten wir und die Polizei davon ab, zu bezahlen, sondern zu prüfen, ob nicht doch ältere Backups eingespielt werden können. Wurden allerdings alle Daten verschlüsselt, ist neu abzuwägen. Dann bleibt unter Umständen keine andere Möglichkeit, als auf die Forderungen einzugehen.

Lassen Sie uns an dieser Stelle das Thema Künstliche Intelligenz (KI) beleuchten. Wie beurteilen Sie den potenziellen Nutzen von KI-gesteuerten Lösungen oder Prozessen für die Baubranche? Und welche Auswirkungen hat KI als disruptive Technologie für die Sicherheit im Netz?

Laura Lammel: Hier würde ich differenzieren wollen: In der Bauwirtschaft kommt KI vor allem dort zum Einsatz, wo es um Automatisierung von Prozessen geht. Egal ob auf Baustellen oder in der Vorproduktion. Der Einsatz ist aber noch nicht sehr weit fortgeschritten.

Matthias Börsig: Wenn Sie nach den Auswirkungen für die Cybersicherheit fragen, fange ich gern einmal mit den Vorteilen an: Im Gegensatz zu den gebräuchlichen Virenscannern, erkennt eine speziell trainierte KI eher die Muster der Viren – und somit auch kleine Veränderungen. Das ist ein deutlicher Fortschritt und ein Gewinn im Bezug auf die Sicherheit. Auf der anderen Seite können auch die Hacker entsprechende KI-Tools nutzen. Sprich: Deren Werkzeuge werden parallel auch immer besser. Mit einem KI-Agenten wie „ChatGPT“ kann man z. B. ganz wunderbar Phishing-Mails erzeugen. Ein weiterer Punkt sind sogenannte Schwachstellen-Scanner. Die machen sich Hacker ebenfalls zunutze, um großflächig Sicherheitslücken auszuspionieren.

Welchen Rat geben Sie unseren Leserinnen und Lesern abschließend, damit sie in einer zunehmend digitalen Arbeitswelt weiterhin sicher unterwegs sind?

Laura Lammel: Erstens: Ich kann den Newsletter vom BSI nur wärmstens empfehlen. Und zweitens: Die Kolleginnen und Kollegen schulen, schulen, schulen.

Matthias Börsig: Ich kann darüber hinaus die Transferstelle Cybersicherheit empfehlen. Dort gibt es wertvolle Informationen zur Vorbeugung von Attacken und wo ich bei einem Hack wertvolle Hilfe bekomme.