Cyberangriffe gegen Unternehmen

Projektzeitraum

01.12.2017 – 30.11.2020
(verlängert bis 31.03.2021)

Projektmitarbeitende

Arne Dreißigacker (Projektleiter)

Bennet von Skarczinski

Nicolas Huaman

Dr. Anja Stiller

Kooperationspartner

Förderung

Das Projekt „Cyberangriffe gegen Unternehmen“ ist Teil der Initiative „IT-Sicherheit in der Wirtschaft“ im Förderschwerpunkt Mittelstand-Digital.

Das Mittelstand-Digital Netzwerk bietet mit den Mittelstand 4.0-Kompetenzzentren, der Initiative „IT-Sicherheit in der Wirtschaft“ und Digital Jetzt umfassende Unterstützung bei der Digitalisierung. Kleine und mittlere Unternehmen profitieren von konkreten Praxisbeispielen und passgenauen, anbieterneutralen Angeboten zur Qualifikation und IT-Sicherheit. Das Bundesministerium für Wirtschaft und Energie ermöglicht die kostenfreie Nutzung und stellt finanzielle Zuschüsse bereit. Weitere Informationen finden Sie unter www.mittelstand-digital.de und www.it-sicherheit-in-der-wirtschaft.de.

Zusatzförderung

Projektbeschreibung

Während in Deutschland in den letzten Jahren in vielen Kriminalitätsbereichen sinkende Fallzahlen zu verzeichnen sind, gehören Cybercrime-Delikte zu einem wachsenden Phänomen. Insbesondere Unternehmen stehen dabei im Fokus von Cyberkriminellen. Betroffene Unternehmen erleben häufig enorme finanzielle oder wettbewerbliche Nachteile als Folge. Anders als große Unternehmen mangelt es dabei kleinen und mittelständischen Unternehmen auf der einen Seite oftmals am Bewusstsein für mögliche Gefahren durch Cyberangriffe und auf der anderen Seite an Möglichkeiten, IT-Sicherheit effektiv im Unternehmen zu implementieren.

Auf der Basis eines interdisziplinären Teams von Wissenschaftlern*innen aus den Bereichen der Informatik, Kriminologie, Soziologie und Wirtschaftswissenschaften zielt das Vorhaben des Kriminologischen Forschungsinstituts Niedersachsen e.V. (KFN) und dem Forschungszentrum L3S der Leibniz Universität Hannover darauf ab, die Lage der IT-Sicherheit in Bezug auf Cyberangriffe in Deutschland umfassend zu untersuchen und Handlungsempfehlungen für Unternehmen und staatliche Behörden zu entwickeln. Dabei wird im Rahmen des Projektes eine repräsentative Befragung von 5.000 Unternehmen in Deutschland durchgeführt. Im Fokus dieser Untersuchung steht die Frage danach, wie gut sich Unternehmen vor Cyberangriffen schützen und wie effektiv diese Bemühungen sind. Ferner wird untersucht, wie betroffene Unternehmen auf Angriffe reagieren und welche Rolle dabei staatlichen Behörden wie der Polizei und dem Verfassungsschutz zukommen. Des Weiteren soll in Form von Feldstudien analysiert werden, wie gut bestehende Handlungsempfehlungen von den jeweiligen, für die IT zuständigen Personen in Unternehmen umgesetzt werden können und wie diese bei Vorfällen vorgehen, um Angriffe richtig zu erkennen und entsprechend zu reagieren.

Die Erkenntnisse aus den einzelnen Untersuchungen wurden in einer zweiten Phase des Vorhabens genutzt, um Handlungsempfehlungen zu erstellen und auf unterschiedlichstem Weg kleinen und mittelständischen Unternehmen zugänglich zu machen. Dazu wurde auch das Risikoprognose-Tool CARE (Cyber Attack Risk Estimation) entwickelt. Das CARE Tool (https://www.cybercrime-forschung.de/care) bietet insbesondere kleinen und mittleren Unternehmen eine individuelle Risikoeinschätzung in Bezug auf die Gefährdung durch unterschiedliche Cyberangriffe verbunden mit entsprechenden Handlungsempfehlungen zur Reduzierung der größten Risiken. Die Risikoeinschätzung basiert auf dem Datensatz der repräsentativen Befragung von 5.000 Unternehmen in Deutschland und erfolgt nach der Beantwortung eines zehnminütigen Fragebogens zu verschiedenen Merkmalen des Unternehmens und bereits umgesetzten Sicherheitsmaßnahmen.

CARE wurde zudem in den Sec-O-Mat (https://sec-o-mat.de/) der Transferstelle IT-Sicherheit im Mittelstand integriert, der kleine und mittlere Unternehmen auf dem Weg zu mehr IT-Sicherheit unterstützt.

Weitere Informationen und News finden Sie auf der Webseite des Projekts – https://www.cybercrime-forschung.de

Projektbezogene Publikationen

Skarczinsky, B. v., Raschke, M. & Teuteberg, F. (2023). Modelling maximum cyber incident losses of German organisations: an empirical study and modified extreme value distribution approach. Geneva Pap Risk Insur Issues Pract.
https://doi.org/10.1057/s41288-023-00293-x

Skarczinski, B. v., Dreißigacker, A. & Teuteberg, F. (2022). More Security, less Harm? Exploring the Link between Security Measures and Direct Costs of Cyber Incidents within Firms using PLS-PM. Wirtschaftsinformatik 2022 Proceedings. 2.
https://aisel.aisnet.org/wi2022/it_strategy/it_strategy/2

Skarczinski, B.v., Dreißigacker, A. & Teuteberg, F. (2022). Towards enhancing the information base on direct costs of cyber-attacks on organizations: Implications from literature and a large-scale survey. Organizational Cybersecurity Journal: Practice, Process and People (OCJ).
DOI: 10.1108/OCJ-08-2021-0020.

Dreißigacker, A., Skarczinski, B. v. & Wollinger, G. R. (2022). Unternehmen als Opfer von Cyberkriminalität. In: T. G. Rüdiger & P. S. Bayerl (Hrsg.): Handbuch Cyberkriminologie. Wiesbaden: Springer VS.
DOI: 10.1007/978-3-658-35450-3_43-1.

Dreißigacker, A., Fahl, S., Huaman, N., Skarczinski, B. v., Stransky, C., Wollinger, G. R. (2021). Cyberangriffe gegen Unternehmen. Projektabschlussbericht. Hannover: KFN.
Download

Huaman, N., Krause, A. Skarczinski, B. v., Wermke, D., Stransky, C., Acar, Y., Dreißigacker, A. & Fahl, S. (2021). Cybercrime in Small and Medium-sized Enterprises. SOUPS 2021 Posters.
Verfügbar unter: https://www.usenix.org/system/files/soups21-poster62-huaman-cybercrime.pdf (zuletzt geprüft am 17.12.2021)

Wollinger, G. R. & Dreißigacker, A. (2021). Unternehmen müssen wissen, welche Vorteile eine Anzeigeerstattung im Bereich Cybercrime hat. Zentrale Ergebnisse einer deutschlandweiten repräsentativen Unternehmensbefragung. Newsletter für Führungskräfte der Polizei NRW.

Wollinger, G. R. & Dreißigacker, A. (2021). Cyberangriffe gegen Unternehmen in Deutschland. Ausmaß und Entwicklung. Justiz Newsletter der Führungsakademie im Bildungsinstitut des niedersächsischen Justizvollzuges, 18 (34), S. 7-11.

Dreißigacker, A.; von Skarczinski, B. & Wollinger, G. R. (2021): Cyberangriffe gegen Unternehmen in Deutschland. Ergebnisse einer Folgebefragung 2020. (KFN-Forschungsberichte No. 162). Hannover: KFN.
Download

Skarczinski, B. v.; Boll, L. & Teuteberg, F. (2021): Understanding the adoption of cyber insurance for residual risks – An empirical large-scale survey on organizational factors of the demand side. In: European Conference on Information Systems (ECIS 2021), Research Papers, 72.
Verfügbar unter: https://aisel.aisnet.org/ecis2021_rp/72

Huaman, N.; Skarczinski, B. v.; Wermke, D.; Stransky, C.; Acar, Y. Dreißigacker, A.; Fahl, S. (2021): A Large-Scale Interview Study on Information Security in and Attacks against Small and Medium-sized Enterprises. In: Proceedings of the 30th USENIX Security Symposium, USENIX Security ’21.

Dreißigacker, A.; von Skarczinski, B.; Wollinger, G. R. (2020): Cyber-attacks against companies in Germany. Results of a representative company survey 2018/2019. (KFN-Forschungsberichte No. 158). Hannover: KFN.
Download

Stiller, A.; Boll, L.; Kretschmer, S.; Wollinger, G. R. & Dreißigacker, A. (2020). Cyberangriffe gegen Unternehmen in Deutschland. Ergebnisse einer qualitativen Interviewstudie mit Experten.
(KFN-Forschungsberichte No. 155). Hannover: KFN.
Download

Dreißigacker, A.; von Skarczinski, B.; Wollinger, G. R. (2020): Cyberangriffe gegen Unternehmen in Deutschland. Ergebnisse einer repräsentativen Unternehmensbefragung 2018/2019. (KFN-Forschungsberichte No. 152). Hannover: KFN.
Download

Kriminologisches Forschungsinstitut Niedersachsen e.V.  (2020):  Cyberangriffe  gegen  Unternehmen.  Ergebnisse  einer  repräsentativen  Unternehmensbefragung  in Deutschland 2018/2019. Kurzbericht. Hannover: KFN.
Download

Dreißigacker, A.; von Skarczinski, B.; Wollinger, G. R. (2020): Im Visier: Repräsentative Studie zur Cyberkriminalität in deutschen Unternehmen. iX – Magazin für professionelle Informationstechnik (6/2020), S. 78-81. Verfügbar unter: https://www.heise.de/select/ix/2020/6/1910510321680924430 (zuletzt geprüft am 11.06.2020).