Ergebnisse von Cybercrime-Studien stark angezweifelt

Laut Studien wird Cyberkriminalität zu einer immer größeren und kostspieligeren Bedrohung besonders für Unternehmen

Es ist eine Gänsehaut erzeugende Zahl: Auf eine Trillion Dollar (eine Billiarde Euro) wird der Schaden geschätzt, der weltweit jährlich durch Cyberkriminalität entsteht. Immer wieder flammt diese Zahl mit Referenz auf eine McAfee-Studie auf und wird auch von mächtigen Leuten wie US-General Keith Alexander, Chef der nationalen Sicherheitsbehörde NSA, gern zitiert. Ebenso wie jene 250 Milliarden Dollar aus einer Symantec-Studie, die US-Unternehmen durch Diebstahl geistigen Eigentums jährlich verlieren.

Viele derartige Schätzungen, die vor einem erschreckenden Ausmaß an Internetgaunerei warnen, sind im Umlauf. Doch der Zweifel daran wächst - und reizte den Non-Profit-Newsdesk für investigativen Journalismus ProPublic der Sache einmal auf den Grund zu gehen. Eines der Ergebnisse: Der 250-Milliarden-Dollar-Verlust durch Cyberspionage und Urheberrechtsverletzungen wurden zwar in einem Report von Symantec erwähnt, stammen aber nicht von dem IT-Sicherheitsunternehmen. Die Quelle ist ein Rätsel.

"Viel, viel zu hoch"

Die Billiarden-Schätzung von Symantec-Konkurrent McAfee wiederum kommt selbst jenen unabhängigen Forscher fragwürdig vor, die McAfee als Autoren der Rohdaten nennt. "Viel, viel zu hoch", zitieren die ProPublic-Journalisten Peter Maass und Megha Rajagopalan Informatikprofesser Eugen Spafford von Purdue Universität. Spafford trug wesentliches Grundlagenmaterial zu dem 2009 erschienen McAfee Report "Unsecured Economies: Protecting Vital Information" bei.

Extrapolierte Zahl

Die Trillion tauchte erstmals in einer Presseankündigung für den Report auf. Im Bericht selbst ist sie nicht erhalten. Das Sicherheitsunternehmen rechtfertigte sich ProPublico gegenüber, man habe die Schätzung seinerzeit aus den vorliegenden Daten extrapoliert, um auf die im Cyberspace lauernden Gefahren hinzuweisen. In einem weiteren McAfee Sicherheitsreport von 2011 wird sie ProPublico zufolge erneut erwähnt.

Kaum jemand zweifele daran, dass Cyberkriminalität, Cyberspionage und Fälle von Cyberwar existierten, betonen Maass und Rajagopalan. Doch ihren Recherchen zufolge kann das genaue Ausmaß aufgrund mangelnder solider Daten nicht seriös kalkuliert werden. Eine Ansicht, die auch das kürzlich veröffentlichte Microsoft Research-Papier "Sex, Lies and Cybercrime Surveys" zum Ausdruck brachte.

Sich auf nicht verifizierbare Zahlen zu verlassen, berge auch die Gefahr, dass Staaten für Maßnahmen gegen Cybercrime Unsummen von Geld ausgeben, das anderswo gebraucht werden könnte, und dass die Beziehungen zu andren Ländern belaste. (Karin Tzschentke, DER STANDARD, 3.8.2012)

Share if you care
12 Postings
Journalisten, auch investigativ tätige

sind nun mal keine Security-Experten und stehen nicht an der Front der täglichen Bedrohungen. Vielleicht sollte man, bevor man Berichte unreflektiert übernimmt, mal in der heimischen Szene (zB security experts group der WKO) mal nachfragen.

Staaten tun zuviel des Guten, Firmen viel zu wenig

Ineffizente, weil viel zu teure Maßnahmen, wie die Vorratsdatenspeicherung erklären alle User für Verdächtige, um Erfolge im zehntel-Promille-Bereich einzufahren. Da werden 3kg Kastanien mit Fernlastzügen herumgekarrt.

Viele Firmen wiederum glauben, sie wären selbst nie betroffen und tun fast gar nichts, außer Virenschutz und Firewall. Dass etliche Pleiten (zb Aufträge gingen an die wohlinformierte Konkurrenz) Folgen von Cybercrime sind, verstehen halt nur wenige. Buchtipp: Mitnick: The Art Of Deception - keine Studie, sondern Berichte aus der Realität.

Gute Studie dazu

http://weis2012.econinfosec.org/papers/An... IS2012.pdf

(der Ross Anderson ist ernsthaft gut, siehe auch seine anderen Paper unter https://www.cl.cam.ac.uk/~rja14/)

DAnke, super Links

Es mag ja sein, dass manche Antimalware-Hersteller gerne furchterregende Studien präsentieren - andererseits diese pauschal zu verdammen, nur weil man bei zwei,drei von hunderten (!) keine guten Quellennachweise gefunden hat, finde ich unseriös.

"Auf eine Trillion Dollar (eine Billiarde Euro)"

Der Wechselkurs ist jetzt schon 10:1?! *scnr*

Das wäre…

1000:1.

Ich hab den Artikel nicht fertig gelesen

weil ich nach dem ersten Satz sowieso nichts geglaubt hätte.
Also: Das amerikanische Wort "trillion" entspricht der deutschen Billion!
Nur weil es um Dollar geht ändert sich nicht die Sprache in der man ihre Anzahl angibt. Und selbst wenn einst eine Billion noch lang keine Billiarde!

im übrigen ist ein dollar auch nicht ein euro...

wenn du Steam fragst schon..

Tja, nur dass "one trillion" auf Deutsch keine Trillion, sondern eine Billion ist, Herr Redakteur.

Verzeihung: Frau Redakteurin.

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.