← Analysen
article 8 min

Zahlen, die niemand hinterfragt — Die Praktikersicht

Jan Dubs-Banholzer

Drei Zahlen prägen den DACH-Cybersecurity-Diskurs: 202,4 Milliarden Euro Bitkom-Cyber-Schaden, 280.000 BSI-Malware-Varianten pro Tag, 29.151 BACS-Meldungen im zweiten Halbjahr 2025. Sie tauchen in CISO-Decks, Konferenzfolien und LinkedIn-Posts so auf, als bestätigten sie sich gegenseitig. Methodisch messen sie drei grundverschiedene Dinge.

1. Drei Zahlen, drei Methoden

Die Zahlen sind überall. In LinkedIn-Posts der DACH-Branche. In Vortragsfolien auf Konferenzen. In Pressemeldungen. In Newslettern. In CISO-Decks, die mir zur Review zugehen. In RFP-Texten potenzieller Mandanten. Im Pitch eines Cyber-Versicherungsmaklers, der ein Mandanten-Risiko-Profil abklären wollte. Drei Zahlen, mehrere Kanäle, immer dasselbe Muster: brav nebeneinander präsentiert, als wären sie drei voneinander unabhängige Bestätigungen derselben Bedrohungslage.

Das hält keiner Methoden-Kontrolle stand. Bitkom ist eine Survey-Hochrechnung aus 1.002 telefonischen Interviews auf die deutsche Gesamtwirtschaft. BSI ist eine Hash-Count-Messung aus den Rohdaten der AV-Test GmbH, im Hellfeld, ausdrücklich kein Bedrohungsmass. BACS ist ein Eingangsregister, in dem freiwillige Bürger-Meldungen und KRITIS-Pflichtmeldungen aus 27 Subsektoren zwei sehr unterschiedliche Datenklassen sind. Drei Methoden-Typen. Drei Anwendungsbereiche. Auf einer Folie nebeneinander sind sie methodisch nicht addierbar, und sie bestätigen sich auch nicht wechselseitig.

Genau das ist der Stoff der Pilotfolge von ZweiOnCTI. Was hier folgt, ist die Praktikersicht: was ich tatsächlich beobachte, was ich daraus für die nächsten zwölf Monate operativ ableite, und an welchen Stellen die Grenzen der Evidenz offengelegt gehören.

2. Wo das regelmässig auftaucht

Vier Beobachtungen aus CTI-Mandaten und Mandanten-Briefings der letzten achtzehn Monate. Anonymisiert, generalisiert, nicht studiengestützt. Einschätzung aus der Beratungspraxis, Admiralty E5.

  • Niemand schreibt den Methoden-Typ neben die Zahl. In fast jedem CISO-Deck, das mir in den letzten zwölf Monaten zur Review gekommen ist, steht „Cyber-Schaden Deutschland: 202 Mrd." ohne Hinweis darauf, dass es sich um eine hochgerechnete Verbandsbefragung handelt. Wer den Typ nicht beschriftet, behauptet implizit, alle Zahlen seien gleichwertig. Das macht niemand bewusst, trotzdem passiert es regelmässig. Die Korrektur ist mechanisch: Der Methoden-Typ gehört neben die Zahl, jedes Mal.
  • Die operative Reife der Schweizer Meldepflicht ist ungleichmässig verteilt. Die Meldepflicht nach ISG Art. 74a–h ist seit 1. April 2025 verbindlich. Gespräche mit ICT-Verantwortlichen aus einer Reihe meldepflichtiger Schweizer Häuser — querbeet von Energie über Gesundheit bis öffentliche Verwaltung — zeigen ein konsistentes Muster. Die 24-Stunden-Erstmeldung kennt fast jede ICT-Leiterin. Die 14-Tage-Nachmeldung kommt seltener zur Sprache. Die Eingangskanäle (Cyber Security Hub oder die BACS-Meldestelle per Mail) sind im Notfall-Plan häufig als „siehe Anhang" abgehandelt, ohne dass der Anhang den vollständigen Workflow enthält. Das Meldeprotokoll im Wiki ist die einfachere Hälfte. Die schwierigere Hälfte ist die Frage, ob die Stellvertretung den Workflow um 03:00 Uhr morgens kennt, ohne nachzuschauen.
  • Die NIS2-Welle in Deutschland trifft nicht die KRITIS-Veteranen. Klassische deutsche KRITIS-Betreiber mit zehn Jahren Erfahrung nach BSIG § 8b haben den Übergang zum NIS2-Umsetzungsgesetz ohne grössere Friktion gemacht. Die operative Belastung sitzt bei den „wichtigen Einrichtungen" nach NIS2: Mittelständler, die bis Anfang Dezember 2025 keine Bundes-Meldepflicht-Erfahrung hatten und seither mit Meldeschwellen, einer 24-Stunden-Frühwarnung und Bussgeldrahmen bis 10 Millionen Euro umzugehen lernen. Im Februar erwähnte auf einer Branchenveranstaltung in Stuttgart der CFO eines deutschen Maschinenbauers, dass sein Haus zwei Wochen vorher als „wichtige Einrichtung" eingestuft worden war. Er hatte noch keinen Meldeprozess. Das ist nicht der Ausnahmefall.
  • Cyber-Versicherer übernehmen Hochrechnungen ins Underwriting, ohne die Methoden-Kette offen zu legen. Im Frühjahr in einem Routinegespräch mit dem Underwriter eines Schweizer Cyber-Versicherers zum Risiko-Profil eines Mandanten zitierte der Underwriter die Bitkom-202-Mrd. als Branchen-Risiko-Kalibrierung und konnte nicht erklären, wie sich die Zahl von der hochgerechneten Verbandsbefragung in seine Premium übersetzt. Das ist kein Einzelfall. Wenn das Risiko-Niveau über eine Verbandsbefragung erklärt wird, die der Versicherer selbst nicht repliziert hat, ist das eine institutionalisierte Methoden-Verkürzung. Die Versicherten zahlen den Aufschlag, ohne den Inferenz-Schritt zu sehen.

3. Operative Konsequenzen für die nächsten zwölf Monate

Konkret, mit Entscheidungskriterien.

  • Vier-Typen-Filter als erste Spalte im Review. Wenn ein CISO-Deck mit Cybersecurity-Zahlen zur Review kommt, ist der Vier-Typen-Filter die erste Spalte. Vier Wörter neben jeder Zahl: gemessen, berichtet, geschätzt, hochgerechnet. Kein methodisches Doktorat, eine Spalte. Wenn jemand fragt, was die Marker bedeuten, lässt sich das in zwei Sätzen erklären — und das ist genau die erwünschte Anschluss-Frage.
  • Meldepflicht auf der Personen-Ebene prüfen. Wenn ein Mandant einer Meldepflicht unterliegt, dann lautet die Frage nicht nach dem Meldeprotokoll im Wiki, sondern nach dem Workflow auf der Personen-Ebene. „Ein Meldeprozess existiert" ist Vorbereitung. „Drei Verantwortliche kennen die Schwellen, die Fristen und den Eingangskanal aus dem Stand" ist Reife. Die Eröffnungsfrage: „Was passiert um 03:00 Uhr morgens, wenn die diensthabende Operatorin eine Anomalie sieht, die nahe an die Schwelle nach Art. 14 Cybersicherheitsverordnung kommt, und ihr Vorgesetzter im Auslandurlaub ist?" Wenn die Antwort über zwei Sätze geht, ist meistens noch Klärungsbedarf da.
  • Sektor-spezifische Quellen-Stacks im CTI-Briefing. Wenn die Meta-Zahlen nicht zur Branche passen, liegt für das CTI-Briefing ein sektor-spezifischer Quellen-Stack vor. Für ein mittelgrosses Schweizer EVU braucht es nicht Bitkom-202-Milliarden, sondern: BACS-Pflichtmeldungen gefiltert auf den Energiesektor, ENISA-OT-Lageberichte, Volt-Typhoon- oder Sandworm-Bezüge aus aktuellen Mandiant- oder Dragos-Reports. Vier Quellen, vier Methoden-Typen, vier Admiralty-Tags nach NATO AJP-2.1. Drei Folien, ehrlich, operativ, nachprüfbar. Aufwand: ein halber Berater-Tag pro Quartal.
  • Methoden-Kette des Underwriters einfordern. Wenn ein Mandant eine Cyber-Versicherung verhandelt, ist die Methoden-Kette des Underwriters einzufordern. Welche Zahl wird wofür verwendet, welche Annahme treibt die Premium-Berechnung. Das ist keine adversariale Haltung, sondern Due Diligence in beide Richtungen. Underwriter begrüssen die Frage in der Regel, weil sie selber sauberer argumentieren können, sobald sie die Methode benennen.

4. Gegenargumente und Position

Drei Einwände, die regelmässig kommen.

„Hochrechnungen sind legitim, weil sie Cyber-Risiko am Vorstandstisch und im Plenum argumentierbar machen."

Stimmt. Die Bitkom-Zahl wurde am 13. November 2025 im Bundestag während der NIS2-Debatte zitiert, vom SPD-Abgeordneten Johannes Schätzl als politisches Mobilisierungsargument. Das BfV co-signiert die Studie als Wirtschaftsschutz-Kommunikationsinstrument. Keine dieser Verwendungen ist falsch. Die Zahl ist nicht gelogen. Sie ist ein politisches Signal. Der Fehler entsteht, wenn das politische Signal in eine operative Risiko-Analyse wandert, ohne dass jemand den Methoden-Typ benennt. Gesamt-Hochrechnung für die Politik, Sektor-Zahlen für die operative Risiko-Argumentation. Zwei Werkzeuge. Kein Wettbewerb.

„Methodenkritik ist akademische Nabelschau, Praktiker brauchen Handlungsorientierung."

Wenn sie nur Kritik bleibt, ja. Wenn sie in einen Vier-Typen-Filter mündet, der eine Vorstands-Folie binnen einer Stunde sortiert, produziert sie mehr Handlungsorientierung — falsche Handlungen werden abgewählt, bevor sie Budget binden.

„Wir nehmen einfach die Bitkom-Zahl, weil unser Vorstand eine grosse Zahl will."

Wenn der Vorstand wirklich nur die Grössenordnung als Mobilisierungs-Argument braucht, dann gehört diese Einordnung in die Folie selbst. „Politisches Signal, B3-Quelle, Bitkom-Hochrechnung aus 1.002 CATI-Interviews auf die deutsche Gesamtwirtschaft." Das ist ehrlich, und es lässt offen, ob die Folie in dieser Form trägt oder ob ein anderes Gespräch nötig wird.

5. Offengelegte Grenzen

Vier Punkte, an denen die Offenlegung Teil der Methode ist, nicht ein Mangel an ihr.

  • Bitkom-Hochrechnungsformel. Der Studienbericht dokumentiert Stichprobe und Erhebungszeitraum sauber. Die Gewichtungsvariablen der Projektion und die Behandlung von Item-Non-Response bei den Schadenshöhen sind nicht vollständig öffentlich. Der Punkt richtet sich nicht gegen Bitkom, sondern ist eine Beobachtung über die Klasse der hochgerechneten Self-Report-Surveys, deren strukturelle Outlier-Fragilität Florêncio und Herley (2011) bei Microsoft Research dokumentiert haben.
  • Admiralty-Skala, empirische Inkonsistenz. Kelly, Budescu, Dhami und Mandel (2025) zeigen empirisch, dass Analystinnen dieselbe Quelle und dieselbe Aussage zu verschiedenen Zeitpunkten unterschiedlich graduieren. Irwin und Mandel (2019) dokumentieren kommunikative und kriteriale Schwächen für zivile OSINT-basierte CTI. Die Skala dient deshalb als Disziplinierungswerkzeug — sie erzwingt die Trennung von Quellen- und Aussage-Bewertung; die Inkonsistenz wird in jedem Briefing on-air benannt statt überklebt.
  • Wirksamkeit von Typ-Labels in Vorstands-Decks. Eine peer-reviewte Längsschnittstudie, die misst, ob das Hinzufügen einer Marker-Spalte „gemessen / berichtet / geschätzt / hochgerechnet" zu besseren Investment-Entscheidungen führt, liegt bisher nicht vor. Die Position ruht auf Beratungspraxis (Admiralty E5) über mehrere DACH-Mandate hinweg und wird als solche ausgewiesen. Ein Studien-Setup, das diesen Effekt längsschnittlich misst, wäre ein willkommener Beitrag zur Methoden-Literatur.
  • AJP-2.1 Edition C 2023. Dieser Beitrag zitiert Edition B (2016) der NATO-Doktrin AJP-2.1. Edition C wird in Sekundärliteratur erwähnt; die Zitation hier bleibt bei der Fassung, die gegen das NATO Standardization Office verifizierbar ist.

6. Literatur

DACH-Lageberichte und Rechtstexte (Primärquellen):

  • Bitkom Wirtschaftsschutz 2025: 1.002 CATI-Interviews KW 16–24 2025, hochgerechnet auf die deutsche Gesamtwirtschaft.
  • BSI Lagebericht 2025: Hellfeld-Hash-Count, 280.000 Varianten pro Tag (Berichtszeitraum Juli 2024 – Juni 2025).
  • BACS Halbjahresbericht 2025/2: H2 2025, 29.006 freiwillige plus 145 pflichtige Meldungen.
  • BSIG § 8b: KRITIS-Meldepflicht in Deutschland seit 25. Juli 2015 (durch das NIS2-Umsetzungsgesetz substanziell überarbeitet).
  • NIS2-Umsetzungsgesetz: Inkrafttreten 6. Dezember 2025, ca. 29.500 Einrichtungen.
  • Schweizer ISG, Art. 74a–h: Meldepflicht seit 1. April 2025.
  • NISG 2026 Österreich: Inkrafttreten 1. Oktober 2026, ca. 4.000 Einrichtungen.
  • BaFin-DORA-Übersicht: Meldekaskade Finanzsektor seit 17. Januar 2025.
  • CERT.at Jahresberichte: 70 NIS-Meldungen 2024 (23 Pflicht plus 47 freiwillig).
  • NATO AJP-2.1, Allied Joint Doctrine for Intelligence Procedures, Edition B 2016.

Methoden-Literatur (Primärarbeiten, direkte PDFs wo verfügbar):

  • Anderson, Barton, Böhme, Clayton, Hernandez Ganan, Grasso, Levi, Moore, Vasek (2019), Measuring the Changing Cost of Cybercrime, WEIS — PDF.
  • Florêncio, Herley (2011), Sex, Lies and Cyber-crime Surveys, Microsoft Research MSR-TR-2011-75 — Publikationsseite.
  • CISA Office of the Chief Economist (2020), Cost of a Cyber Incident: Systematic Review and Cross-ValidationPDF.
  • Vergara Cobos, Cakir; Weltbank (2024), A Review of the Economic Costs of Cyber IncidentsPDF.
  • Atlantic Council (2025), Counting the Costs: A Cybersecurity Metrics Framework for PolicyPDF.
  • Irwin, Mandel (2019), Improving Information Evaluation for Intelligence Production, Intelligence and National Security 34(4), 503–525 — DOI 10.1080/02684527.2019.1569343.
  • Kelly, Budescu, Dhami, Mandel (2025), The effect of source reliability and information credibility on judgments of information quality in intelligence analysis, Judgment and Decision Making — Cambridge Core.

Begleit-Blog zur ZweiOnCTI-Pilotfolge S1E00 — „Zahlen, die niemand hinterfragt". Zur Folge: Podcast. TLP:CLEAR.