Einleitung
Cyberkriminalität zählt unbestritten zu den zentralen Risiken für Wirtschaft, Gesellschaft und Staat. Schlagzeilen über Lösegeldforderungen in Millionenhöhe, spektakuläre Ransomware-Angriffe oder globale Datenlecks sind längst keine Ausnahme mehr, seit kurzem steht fest: Mindestens ein Todesfall ist auf einen erfolgreichen Cyber-Angriff zurückzuführen. All dies sind Ausdruck einer strukturellen Bedrohungslage, die sich in einem technologisierten bzw. digitalisierten Umfeld, und insbesondere im Kontext geopolitischer Konflikte, stetig verschärft. Die öffentliche Debatte über Cybercrime greift diese Entwicklung auf – jedoch häufig mit Begriffen und Analogien, die mehr dramatisieren als erklären, und in der Folge die Bewertung verzerren können. Besonders verbreitet ist die wiederholte Behauptung, Cybercrime stelle – gemessen an den verursachten Schäden – die „drittgrößte Volkswirtschaft der Welt“ dar. Diese Aussage hat Eingang gefunden in Konferenzen, Whitepapers und Medienberichte. Ihre Absicht ist klar: Aufmerksamkeit erzeugen, Handlungsdruck verdeutlichen. Doch ökonomisch ist sie problematisch. Sie verwechselt volkswirtschaftliche Kennzahlen mit Schadenssummen, aggregiert Werte ohne Kontext und inszeniert ein kriminelles Phänomen als wirtschaftlich gleichwertig zu produktiven Sektoren.
Dieser Artikel möchte zu mehr ökonomischer Klarheit beitragen. Wir haben zugrunde liegenden Annahmen der populären Narrative analysiert, und ordnen die tatsächliche Struktur von Cybercrime wirtschaftlich ein. Ziel ist eine differenzierte Bewertung – jenseits von Schlagzeilenlogik und überschwänglicher Bedrohungsrhetorik.
Die populäre Behauptung: Cybercrime als „Volkswirtschaft“
Zahlreiche Studien, vor allem aus dem angelsächsischen Raum, schätzen die weltweiten Schäden durch Cybercrime auf Summen zwischen 6 und 10 Billionen US-Dollar jährlich. Daraus folgt häufig die These: Wenn man diese Summe mit dem Bruttoinlandsprodukt (BIP) von Nationalstaaten vergleicht, wäre Cybercrime die drittgrößte „Volkswirtschaft“ der Erde – nach den USA und China. Diese Behauptung mag eingängig erscheinen, doch sie ist ökonomisch irreführend. Denn sie vergleicht ökonomisch nicht Vergleichbares: Das BIP misst die Wertschöpfung legaler Wirtschaftsaktivitäten innerhalb eines bestimmten Zeitraums. Die Summen, die durch Cybercrime entstehen, sind hingegen keine Wertschöpfung, sondern wirtschaftliche Schäden , wie bspw. Verluste, Erpressungen, Produktionsausfälle, Datenwiederherstellungskosten. Es handelt sich um destruktive, nicht um produktive Effekte.
Schaden ≠ Wertschöpfung
Der zentrale Denkfehler liegt in der Gleichsetzung von aggregiertem Schaden mit ökonomischer Leistung. Ein Beispiel aus der realen Welt verdeutlicht das Problem: Wenn ein Brand ein Industriegebäude zerstört, entsteht wirtschaftlicher Schaden. Wird dieser Schaden durch Versicherungen kompensiert, fließt Geld. Doch niemand käme auf die Idee, die Summe der Brandversicherungen als Indikator wirtschaftlicher Leistung zu werten. Analog verhält es sich mit Cybercrime: Die verursachten Kosten spiegeln nicht die ökonomische Kraft der Täter wider, sondern die Verwundbarkeit der Opfer. Die Umverteilung krimineller Erlöse ist volkswirtschaftlich wertlos – ja, sogar schädlich bis existenzbedrohend, weil sie Reinvestitionen, Innovation und Vertrauen behindert. Cyberkriminelle Aktivitäten entziehen dabei u.a. produktiven Systemen Ressourcen, ohne selbst einen positiven gesamtwirtschaftlichen Effekt zu erzeugen.
Schattenökonomie und systemische Wirkung
Cybercrime ist Teil der globalen Schattenökonomie. Sie operiert außerhalb regulierter Märkte, versteckt sich hinter Pseudonymisierung, geografischer Fragmentierung und technischen Obfuskationstechniken. Ihre Akteure nutzen professionelle Plattformen, setzen auf arbeitsteilige Geschäftsmodelle (Crime-as-a-Service), führen Affiliate-Programme und handeln mit digitalen Gütern, ähnlich legitimen Assets. Makroökonomisch betrachtet fehlt dieser Schattenökonomie jegliche stabilisierende oder produktive Wirkung: Es entstehen weder Arbeitsplätze im formellen Sektor, noch Steuereinnahmen, noch Innovationsimpulse mit gesellschaftlichem Nutzen. Zwar entstehen auf Seiten der Unternehmen Ausgaben zur Abwehr (z. B. für Cybersecurity, Versicherungen, Business Continuity), doch diese Ausgaben sind betriebswirtschaftlich reaktiv und ersetzen häufig wertschöpfende Investitionen. Selbstverständlich entstehen im Bereich der Defence positive Effekte (z.B. durch Weiterentwicklung von Technologien), das gilt jedoch auch für den Katastrophenschutz bzw. Bevölkerungsschutz. Der volkswirtschaftliche Effekt ist allenfalls neutral – oft sogar negativ, da sie selten betrachtete Opportunitätskosten verursachen. Gleichzeitig belasten durch Cybercrime verursachte Schäden auch staatliche Haushalte: über erhöhte Ermittlungsaufwände, forensische Ressourcen, digitale Infrastrukturabsicherung oder den Ausfall potenzieller Steueraufkommen. Die Finanzierungsquellen cyberkrimineller Gewinne – häufig über Kryptowährungen, DeFi-Plattformen oder Offshore-Konten – entziehen sich zudem gezielt der Kontrolle durch Zentralbanken, Steuerbehörden und Aufsichtsinstitutionen. In der Summe untergräbt die Cybercrime-Ökonomie somit auch fiskalische Souveränität und monetäre Integrität.
Cybercrime ist eine Bedrohung, kein Wirtschaftszweig
Cybercrime lässt sich nicht als klassischer Wirtschaftszweig betrachten. Branchen zeichnen sich durch legitime Nachfrage, produktive Arbeitsteilung, regulatorische Einbindung und gesellschaftlichen Nutzen aus. All dies fehlt bei Cybercrime. Ihre Erträge entstehen nicht durch Marktleistung, sondern durch Zwang, Täuschung, Erpressung, Sabotage und anderen kriminellen Aktivitäten. Sie sind nicht Teil eines gesamtwirtschaftlichen Gleichgewichts, sondern dessen Störung. Aus betriebswirtschaftlicher Sicht führt dies zu einer strategisch bedeutsamen Verzerrung: Unternehmen sind gezwungen, signifikante Mittel für reaktive Sicherheitsmaßnahmen, juristische Verteidigung, regulatorische Compliance und Krisenkommunikation bereitzustellen – Mittel, die andernfalls in Forschung, Produktentwicklung oder Markterschließung geflossen wären. Diese Budgetverdrängung hat langfristige Folgen für Innovationskraft und Wettbewerbsfähigkeit. Hinzu kommt eine zunehmende Verschiebung von Risiken in nachgelagerte Stufen der Lieferkette, was zu komplexen Haftungskonstellationen und höheren Transaktionskosten führt.
Der wesentliche Unterschied ist somit nicht nur ein juristischer, sondern ein ökonomischer: Während produktive Volkswirtschaften zur Stabilität, Entwicklung und Resilienz von Gesellschaften beitragen, sind kriminelle Strukturen wie die der Cybercrime-Szene auf Disruption, Angst und ökonomische Ausbeutung angelegt.
Die Macht der Narrative
Warum aber hält sich das Bild der „drittgrößten Volkswirtschaft“ so hartnäckig? Weil es emotional anschlussfähig ist. Es übersetzt komplexe Gefahrenlagen in scheinbar greifbare Größenvergleiche. Es erzeugt Aufmerksamkeit, Zustimmung, Budgetargumente. Doch es birgt Risiken: Wer Cybercrime als systemischen Wirtschaftsfaktor inszeniert, verleiht ihm eine Legitimität, die er nicht verdient. Wer kriminelle Schäden mit produktiver Leistung gleichsetzt, verschleiert ökonomische Zusammenhänge. Narrative sind mächtig. Umso wichtiger ist es, sie auf tragfähigen Fakten und wirtschaftswissenschaftlicher Logik aufzubauen – insbesondere in sicherheitsrelevanten Kontexten.
Was wäre eine angemessene ökonomische Einordnung?
Statt Cybercrime als „Volkswirtschaft“ zu bezeichnen, sollte man es als das benennen, was es ist: ein wachsendes, transnational organisiertes Sicherheitsrisiko mit gravierenden Auswirkungen auf Wirtschaft, Verwaltung und Gesellschaft. Seine ökonomische Bedeutung liegt nicht in seiner „Leistung“, sondern in der Schwere seiner Externalitäten: Produktionsausfälle, Reputationsschäden, Investitionsverzögerungen, sinkende Innovationsdynamik, steigende Versicherungskosten und Unsicherheit in Lieferketten. Ökonomisch sinnvoller wäre es, Cybercrime in Risiko- und Schadensmodellen zu verorten – vergleichbar mit Naturkatastrophen, Pandemien oder geopolitischen Krisen. Hierbei geht es nicht um „Wertschöpfung“, sondern um Risikominimierung, Resilienzsteigerung und gesamtwirtschaftliche Stabilität. Unternehmen wiederum sollten stärker auf betriebswirtschaftlich fundierte Risikotransferinstrumente zurückgreifen – insbesondere in Form spezialisierter Cyberversicherungen. Diese bieten nicht nur finanziellen Schutz bei Schadenereignissen, sondern wirken auch als disziplinierende Instanz: Versicherer fordern zunehmend den Nachweis funktionierender Sicherheitsmaßnahmen, Incident-Response-Pläne und technischer Standards. Damit fördern sie mittelbar die Professionalisierung der Sicherheitsarchitektur in Unternehmen.
Fazit: Für mehr ökonomische Klarheit in der Cyberdebatte
Cyberkriminalität ist zweifellos eine der drängendsten sicherheits- und wirtschaftspolitischen Herausforderungen des digitalen Zeitalters. Die Professionalität, Vernetzung und Schadenswirkung krimineller Akteure haben in den vergangenen Jahren ein Niveau erreicht, das jede Organisation – unabhängig von Branche oder Größe – zwingt, ihre digitale Resilienz strukturell zu hinterfragen und kontinuierlich auszubauen. Doch gerade weil die Bedrohung real ist, braucht ihre Einordnung besondere Präzision. Die immer wieder kolportierte Darstellung von Cybercrime als „drittgrößte Volkswirtschaft“ der Welt ist ökonomisch unhaltbar und strategisch fragwürdig. Sie verkennt den fundamentalen Unterschied zwischen produktiver Wertschöpfung und aggregiertem Schaden. Cybercrime mag sich marktförmig organisieren, technologische Innovationskraft zeigen und globale Netzwerke ausbilden – doch es fehlt ihr jede Form legitimer, gesellschaftlich relevanter Funktion. Sie ist ein parasitäres, destruktives Phänomen, das reale Werte vernichtet, ohne selbst welche zu schaffen.
Wer dies verschleiert oder rhetorisch umkehrt, riskiert Fehlanreize – in der Wahrnehmung, in der Prioritätensetzung und letztlich auch in der politischen Steuerung von Sicherheitsstrategien. Stattdessen braucht es eine aufgeklärte Debatte, die Gefahren klar benennt, aber nicht verklärt. Die wirtschaftliche Tragweite von Cyberkriminalität sollte präzise beziffert, aber nicht inflationär überhöht werden. Denn nur auf einer soliden faktischen und ökonomischen Grundlage lassen sich tragfähige Antworten entwickeln – politisch, strategisch, technologisch.
Unternehmenssicherheit ist kein finaler Zustand, sondern ein fortlaufender Prozess. Wer ihn mit Weitsicht gestalten will, braucht mehr als spektakuläre Zahlen. Er braucht ein tiefes Verständnis für ökonomische Zusammenhänge, für technologische Realitäten – und für die gesellschaftliche Verantwortung, beides differenziert zu vermitteln.
Fakten und Mythen über Cybercrime behandeln wir in einem separaten Artikel.
Wünschen Sie mehr Informationen zum Umgang mit Bedrohungen wie Cybercrime oder benötigen Sie Unterstützung in der Behandlung von Risiken für Ihre Unternehmenssicherheit?
Sprechen Sie uns unverbindlich an.
