Digitale Verwundbarkeit ist längst kein Randthema mehr, sondern eine sicherheitspolitische Kernfrage. Genau hier setzt die schriftliche Anfrage des Abgeordneten Florian von Brunn (SPD) an. „Ohne ein umfassendes Lagebild droht der Freistaat im Umgang mit dieser zentralen Sicherheitsherausforderung im ‚Blindflug‘ zu agieren.“

Von Brunn kritisiert eine „massive Diskrepanz“ zwischen offiziell erfassten Schäden und externen Schätzungen, fehlende Meldepflichten und ein großes „Dunkelfeld“, das Polizei und Strafverfolgung kaum erreichen. Die Staatsregierung widerspricht teilweise, hält jedoch an der Wirksamkeit der eigenen Strukturen fest.

Dunkelfeld als Streitpunkt

Im Fokus steht die Frage, warum polizeilich erfasste Schäden bayerischer Unternehmen 2023 rund 74 Millionen Euro betrugen, während der Digitalverband Bitkom für die deutsche Wirtschaft über 267 Milliarden Euro schätzt. Die Regierung erklärt die Differenz: Polizeiliche Kriminalstatistik enthält nur bekannte Straftaten, Hochrechnungen auf das Dunkelfeld erfolgen nicht. Zudem seien polizeiliche Schadenssummen „erste grobe Schätzungen“ und beschränkten sich meist auf Lösegeldforderungen, während Bitkom auch Produktionsausfälle, IT-Forensik, Datenwiederherstellung und Reputationsschäden einrechne.

Formell ist das nachvollziehbar, politisch bleibt die Frage, ob ein Staat sich damit zufriedengeben darf, nur das „Hellfeld“ zu kennen. Von Brunn spricht von einer „strukturellen Schwachstelle“, weil Trends nicht erkannt und Maßnahmen nicht rechtzeitig entwickelt werden könnten. Die Staatsregierung verweist auf die „Bayerische Cybersicherheitsstrategie 2.0“ und Maßnahmen zur „Dunkelfeldaufhellung“.

Prävention, Polizei und Statistikgrenzen

Die Regierung nennt die „Zentrale Ansprechstelle Cybercrime“ beim LKA, Quick-Reaction-Teams seit 2021 rund um die Uhr und die Zentralstelle Cybercrime Bayern bei der Generalstaatsanwaltschaft Bamberg mit 30 spezialisierten Staatsanwälten und vier IT-Forensikern. Gleichzeitig räumt sie ein, dass Justizstatistiken kaum helfen, Cyberkriminalität systematisch abzubilden – sie seien „reine Verfahrensstatistiken“ ohne Tatmodalitäten. Bundesgesetzgebung begrenzt zudem Bayerns Spielraum.

Für Kommunen außerhalb des Behördennetzes gibt es keine generelle Meldepflicht. Das Landesamt für Sicherheit in der Informationstechnik geht dennoch von „ausreichendem Überblick“ aus. 2024 hätten über 98 Prozent der Kommunen kostenlose Angebote des LSI genutzt. Bei Krankenhäusern greift Bundesrecht: Meldepflicht für kritische Infrastruktur, Fördermittel aus dem Krankenhauszukunftsfonds von 590 Millionen Euro, mindestens 15 Prozent für IT-Sicherheit. Messbare Ergebnisse liegen jedoch noch nicht vor, da Projekte „noch in Umsetzung“ sind.

Zwischen Selbstbewusstsein und offenen Fragen

Die Staatsregierung zeichnet ein Bild handlungsfähiger Behörden, klarer Zuständigkeiten und steigender Investitionen. Zugleich bestätigt sie Kritikpunkte: fehlende Hochrechnungen, begrenzte Statistik, geringe Aufklärungsquoten bei Auslandstaten von 2,1 Prozent. Von Brunns Diagnose vom „Blindflug“ ist zugespitzt, aber nicht unbegründet. Bayern fliegt nicht völlig ohne Instrumente – doch die Sicht bleibt eingeschränkt. (loh)