Die schnelle Digitalisierung der nigerianischen Wirtschaft zieht nach Einschätzung mehrerer Quellen zunehmend Cyberkriminelle und Finanzbetrüger an. Check Point Software, das nach eigenen Angaben derzeit mindestens 50 aktive Bedrohungsakteure im Land verfolgt, sieht Nigeria seit längerem auf einem erhöhten Angriffsniveau. Hendrik de Bruin, Leiter Security Consulting für Afrika bei Check Point Software, beschreibt die Lage nicht als kurzfristigen Ausschlag, sondern als dauerhaft hohe Belastung: Die Werte schwankten zwar, seien aber nicht wirklich unter ungefähr das Doppelte des globalen Durchschnitts von 2.270 erkannten Bedrohungen pro Woche gefallen.

Die wirtschaftliche Bedeutung des Landes verstärkt die Relevanz dieser Entwicklung. Mit einem geschätzten Bruttoinlandsprodukt von 377 Milliarden US-Dollar ist Nigeria die größte Volkswirtschaft Westafrikas und die drittgrößte des Kontinents. Zugleich befindet sich das Land nach mehreren wirtschaftlich schwierigen Jahren in einer Phase des Umbaus, unter anderem nach der Abschaffung von Kraftstoffsubventionen und der Freigabe des Naira-Wechselkurses.

Bei der Cyberkriminalität zeigt sich ein widersprüchliches Bild. Laut NIBSS gehen die gemeldeten Vorfälle insgesamt zurück, während die Schäden pro Einzelfall steigen. Für 2024 nennt der Bericht einen Sonderfall: Ein einzelner Vorfall verursachte 31,1 Milliarden Naira Schaden und trug dazu bei, dass sich die Jahresverluste auf 52,3 Milliarden Naira summierten. Premier Oiwoh, Managing Director und Chief Executive des NIBSS, machte in einer Stellungnahme zu Beginn dieses Jahres unbeabsichtigte und böswillige Insider mitverantwortlich für die gestiegenen Verluste pro Vorfall. Ermittlungen hätten eine starke Beteiligung von Insidern bestätigt. Zudem entwickelten sich SIM-Swap-Betrug, Kontoübernahmen und Phishing weiter.

Gleichzeitig bleibt die Erfassung der Lage lückenhaft. Im letzten Quartal 2025 sank die Zahl der von nigerianischen Organisationen gemeldeten Vorfälle laut NIBSS um 34 Prozent. Oiwoh kritisierte ausdrücklich, dass einige Institute null Vorfälle gemeldet hätten; Nichtmeldung sei nicht akzeptabel.

Regulatorisch existieren bereits Vorgaben. Anna Collard, CISO Advisor für Afrika bei KnowBe4, verweist darauf, dass Nigerias Data Protection Act Organisationen verpflichtet, Verstöße innerhalb von 72 Stunden an die Nigeria Data Protection Commission (NDPC) zu melden und betroffene Kunden direkt zu informieren, wenn ein hohes Risiko besteht. Nach ihrer Einschätzung liegt das Problem weniger im Gesetz selbst als in der Fähigkeit der Aufsicht, die Regeln konsequent durchzusetzen, sowie in der Compliance-Kultur vieler Unternehmen. Viele Vorfälle seien deshalb nicht von den betroffenen Institutionen selbst, sondern von Forschern oder den Medien bekannt gemacht worden. Ein ergänzender Gesetzentwurf im Parlament solle die Durchsetzung weiter stärken.

Die Regierung will diese Lücke nun mit einem umfassenderen Rahmen schließen. Die National Information Technology Development Agency (NITDA) arbeitet an Cybersicherheits- und Cloud-Souveränitätsrichtlinien. Generaldirektor Kashifu Inuwa erklärte nach einem Treffen mit dem Federal Ministry of Communications, Innovation and Digital Economy (FMCIDE), man warte auf die Leitlinien des Ministeriums für das weitere Vorgehen, insbesondere bei den nationalen Cloud- und Cybersicherheitsrichtlinien. Nach den bisher bekannten Eckpunkten soll der neue Rahmen unter anderem verpflichtende Vorfallmeldungen, Mindestschwellen für Cybersicherheitsausgaben und einen vertieften Austausch von Bedrohungsinformationen zwischen Staat und Privatwirtschaft festlegen.

Im Global Cybersecurity Index der International Telecommunications Union (ITU) lag Nigeria 2024 auf der mittleren, dritten von fünf Reifestufen. De Bruin bewertet den geplanten Rahmen als richtigen Schritt, sieht die entscheidende Aufgabe nun aber in der praktischen Durchsetzung der angekündigten Maßnahmen.