Neues Forschungsprogramm erfasst materielle, immaterielle und kaskadierende Schäden durch Cyberkriminalität systematisch.
Cyberagentur setzt mit ARCH das Ziel, die Messung von Schäden durch Cyberkriminalität neu zu denken. Neu entwickelt wird eine systematische Erfassung nicht nur finanzieller, sondern vielmehr auch immaterieller und kaskadierender Schäden von Cyberkriminalität in Deutschland. Mit ARCH startet die Agentur für Innovation in der Cybersicherheit GmbH (Cyberagentur) ein Forschungsvorhaben, das die ganzheitlichen Schäden von Cyberkriminalität in Deutschland multidimensional erfassen soll. Neben finanziellen Verlusten rücken psychologische, organisationale und gesellschaftliche Auswirkungen in den analytischen Fokus.
Mit der feierlichen Vertragsunterzeichnung am 30. April 2026 zwischen der Agentur für Innovation in der Cybersicherheit GmbH (Cyberagentur) und der Université de Montréal im Rahmen des Forschungsprogramms „Schäden durch Cyberkriminalität (SCK)“, startet das Projekt „Assessing Risks and Cybercrime Harms“ (ARCH) in die Umsetzungsphase. Den Zuschlag erhielt ein hochkarätiger Forschungsverbund bestehend aus der Université de Montréal (Konsortialführer), Flare Systems, dem Max Planck Institut Freiburg, dem Cyberintelligence Institut und der Freien Universität Berlin. Ziel des Teams ist die Entwicklung eines Modells, das materielle und immaterielle Schäden von Cyberkriminalität in Deutschland systematisch, reproduzierbar und überprüfbar erfasst – über kurze, mittlere und lange Zeithorizonte hinweg. Auch bisher unbeachtete Kaskadeneffekte werden einbezogen. Für die Cyberagentur ist ARCH damit ein weiterer Baustein im Themenschwerpunkt „Cybervigilante Gesellschaft“.
Der wissenschaftliche und sicherheitspolitische Ausgangspunkt ist klar: In Deutschland fehlen bislang Metriken und Methodiken, die Schäden durch Cyberkriminalität ganzheitlich abbilden. Direkte monetäre Verluste erfassen nur einen Teil des Schadensgeschehens und nur einen Teil des Phänomenbereichs. Vertrauensverluste, psychologische Belastungen, Reputationsschäden, Betriebsunterbrechungen, Ressourcendruck in der Wiederherstellung von IT-Infrastrukturen und langfristige Folgekosten bleiben in bisherigen Betrachtungen häufig unterbelichtet. Genau an dieser methodischen Lücke will ARCH ansetzen. „Ohne verlässliche Daten besteht das Risiko, dass Cyberbedrohungen über- oder unterschätzt werden, was zu falschen Prioritäten und ineffizienten Mitteleinsatz führen kann“, meint Dr. Nicole Hartlapp, Leiterin des Themenschwerpunktes „Cybervigilante Gesellschaft“.
ARCH soll erstmals einen multidimensionalen Bewertungsrahmen bereitstellen, der direkte, indirekte und kaskadierende Schäden über verschiedene Betroffenheitsdomänen hinweg zusammenführt und in einer Schadensmatrix abbildet. Damit möchte ARCH nicht nur die Frage nach der Höhe eines Schadens, sondern auch nach dessen Schwere, Dauer und gesellschaftlicher Reichweite beantworten. Mit Hilfe einer dualen Skala sollen Schadensereignisse sowohl eine monetäre Bewertung als auch einen qualitativen Index für immaterielle Schäden erhalten, etwa Stressbelastung oder Vertrauensverlust.
„Die holistische Betrachtung des Schadens von Cyberkriminalität ermöglicht es uns nicht nur, Cybervorfälle genauer einschätzen zu können, sondern erlaubt auch, solche Schäden in den Fokus zu rücken, die bislang zu wenig Beachtung finden und schwer abbildbar sind“, sagt Dr. Nicole Hartlapp, die mit dem Start der Umsetzungsphase den Staffelstab der Programmleitung an Joline Wochnik, Forschungsreferentin im Referat Cybervigilante Gesellschaft, übergibt.
Von besonderer Relevanz ist das Vorhaben für Strafverfolgungsbehörden und andere Institutionen, die Cyberkriminalität nicht nur dokumentieren, sondern strategisch antizipieren und wirksam adressieren müssen. Mit diesem Instrumentarium können auch politische Entscheidungsträgerinnen und Entscheidungsträger Schadensverteilungen besser analysieren, neue Schwerpunkte erkennen und Ressourcen für die Prävention simulationsgestützt priorisieren.
Auch aus wissenschaftlicher Sicht markiert ARCH einen Perspektivwechsel in der Analyse von Cyberkriminalität. „Bei Cyberkriminalität geht es nicht mehr nur um gestohlene Daten – es geht um gestohlenes Vertrauen. Jeder Angriff untergräbt das Vertrauen in unsere Institutionen, schwächt die soziale Widerstandsfähigkeit und hinterlässt psychologische und wirtschaftliche Narben, die weit über den unmittelbaren Verlust hinausgehen“, sagt Prof. David Décary-Hétu, Projektleiter. „Mit dem ARCH-Projekt messen wir endlich das, was wirklich zählt: das gesamte Spektrum der Schäden, die Cyberangriffe für Einzelpersonen, Organisationen und die Gesellschaft verursachen.“ [English version: “Cybercrime is no longer just about stolen data—it’s about stolen confidence. Each attack erodes trust in our institutions, weakens social resilience, and leaves psychological and economic scars that go far beyond the immediate loss,” says Prof. David Décary-Hétu, project leader. “With the ARCH project, we are finally measuring what truly matters: the full spectrum of harm that cyberattacks inflict on individuals, organizations, and society.”]
ARCH verbindet damit wissenschaftliche Präzision, interdisziplinäre Methodik und operative Anwendbarkeit. Begleitend sieht das Vorhaben den Aufbau von Expertise sowie die Einbindung wissenschaftlichen Nachwuchses vor. Aus Sicht der Cyberagentur ist das Projekt ein strategischer Schritt, um Cyberkriminalität künftig nicht mehr nur über Einzelfälle oder punktuelle Schätzungen zu bewerten, sondern über belastbare Evidenz. Auf diese Weise leistet die Cyberagentur einen Beitrag für den gezielten Einsatz öffentlicher Ressourcen im Kampf gegen Cyberkriminalität.