Aktuelle Studie

Cyber-Angriffe werden immer gezielter und aggressiver


Cyber-Angriffe werden immer gezielter und aggressiver News

Computerkriminalität wird zu einer immer größeren Bedrohung für deutsche Firmen, so das Ergebnis einer aktuellen Studie. Jedes vierte Unternehmen war in den letzten zwei Jahren Opfer von e-Crime. Besonders betroffen war die Finanzdienstleistungsbranche. Zwei Drittel der Befragten rechnen damit, dass die Bedrohungslage sogar noch weiter zunimmt, so das Ergebnis der Umfrage der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG unter Führungskräften aus 500 Unternehmen aller Branchen und Größen.

85 Prozent der in den letzten beiden Jahren von e-Crime betroffenen Unternehmen gaben an, dass die Angriffe immer komplexer werden, nicht zuletzt durch die zunehmende Verbreitung mobiler Telekommunikation. Die Täter werden dadurch schwerer zu identifizieren. Offenbar ist es für die Unternehmen zunehmend ein Problem, e-Crime-Delikte überhaupt zu erkennen. Immer öfter werden die Angriffe von professionell organisierten Gruppen ausgeführt (laut 77 Prozent der Befragten) und sind ganz gezielt auf einen bestimmten Geschäftsbereich oder auf bestimmte Daten ausgerichtet (laut 74 Prozent der Befragten). Die Attacken kommen verstärkt aus dem Ausland, beklagen 73 Prozent der betroffenen Unternehmen. China wird als die Hauptgefahrenquelle gesehen, gefolgt von Russland und dem restlichen Osteuropa. Durch die Kombination von Professionalisierung, Internationalisierung und neuen Technologien entsteht eine völlig neue Bedrohungskulisse, so die Autoren der Studie.

Phänomen Risikoverdrängung

Mehr als 80 Prozent der Studienteilnehmer sehen für die Gesamtwirtschaft ein hohes bis sehr hohes Risiko, von e-Crime-Vorfällen betroffen zu werden. Jedes vierte Unternehmen gab zudem an, tatsächlich betroffen gewesen zu sein. Vor diesem Hintergrund ist es überraschend, dass nur knapp ein Drittel der Befragten das Risiko, mit dem eigenen Unternehmen von e-Crime betroffen zu werden, als hoch bis sehr hoch einschätzen. Bei den bisher nicht durch e-Crime geschädigten Unternehmen erwartet dies sogar nur ein Viertel. Die Tendenz der Unternehmen, durchaus ein allgemeines Risiko wahrzunehmen, sich selbst jedoch in Sicherheit zu wähnen, ist aber nicht spezifisch für e-Crime: In der Risikowahrnehmung sind es immer die anderen Unternehmen, die tatsächlich von Risikoeintritten betroffen sind.

Aus verhaltenswissenschaftlicher Sicht werden intuitive Risikobeurteilungen als "wahrgenommenes Risiko" (perceived risk) bezeichnet.  Das individuell wahrgenommene Risiko ist dabei weniger von objektiven Merkmalen abhängig als vielmehr ein subjektives und kontextabhängiges Konstrukt, das von kognitiven als auch emotionalen Faktoren bestimmt wird. So neigen Menschen dazu, mögliche Ereignisse bzw. Ergebnisse, deren Eintritt zeitlich weit entfernt ist bzw. deren Eintritt als sehr unwahrscheinlich angesehen wird, zu ignorieren.

Täter: unbekannt

In dieses Bild passt auch eine Verschiebung innerhalb der Tätergruppe. Bei den Tätern besetzen die unbekannten Experten die vorderste Position, gefolgt von Mitarbeitern der betroffenen Abteilung, Kunden sowie sonstigen Geschäftspartnern. Allein die Verletzung von Geschäfts- oder Betriebsgeheimnissen wurden mehrheitlich Mitarbeiter der betroffenen Abteilung als Täter identifiziert. Bei der letzten Umfrage vor zwei Jahren standen noch die Mitarbeiter (aktuelle und ehemalige) an der Spitze der Tätergruppe.

Täter sind typischerweise bei Denial-of-Service-, Skimming- oder Phishing-Attacken schwer zu ermitteln, die wiederum häufig bei den in dieser Studie stark vertretenen Finanzdienstleistungsunternehmen vorkommen.

Datendiebstahl besonders beliebt

Der mit Abstand häufigste Deliktstyp in den letzten beiden Jahren war der Computerbetrug, der bei 37 Prozent aller Unternehmen mit e-Crime-Vorfällen vorkam. Unter Computerbetrug fallen zum Beispiel Rogue Trading, die Ausnutzung von Kontrollschwächen zur Ausführung nicht genehmigter Transaktionen in Finanz-Handelsplattformen, aber auch Phishing, also das Erschleichen von vertraulichen Daten durch gefälschte Emails oder Webseiten. Von Computerbetrug in besonderem Maße betroffen (64 Prozent) war die Finanzdienstleistungsbranche. Betrachtet man nur die übrigen Branchen, ist der Datendiebstahl das nach wie vor am häufigsten festgestellte Delikt. Über alle Branchen hinweg zeigt sich im Vergleich zur Vorgängerstudie, dass die Manipulation von Konto- und Finanzdaten deutlich zugenommen hat.

Angriffsziel Nummer 1: externe Web- und Mailserver

Externe Web- und Mailserver waren in den letzten zwei Jahren Angriffsziel Nummer 1, gefolgt von Laptops sowie Rechnern und Workstations. Allerdings ist hier anzumerken, dass dies auch darauf zurückzuführen ist, dass gerade für diese Geräte ausgefeilte Detektionsmaßnahmen weit verbreitet sind. Im Übrigen ist hier nicht jeder Angriff mit einem Angriffserfolg gleichzusetzen. Als besondere Schwachstelle sehen die Unternehmen eher mobile Technologien wie USB-Sticks oder mobile Endgeräte, zum Beispiel Smartphones und Tablet PCs. Auch soziale Netzwerke und das sich dadurch verstärkende Risiko des Social Engineering werden mit Sorge betrachtet.

Schäden enorm - Prävention lückenhaft

Laut der Studie ist ein Schaden von mehr als 1 Mio. Euro pro e-Crime-Vorfall nicht ungewöhnlich, wobei manche Delikte innerhalb von zwei Jahren mehr als fünfzig Mal festgestellt wurden. Die Ermittlungs- und Folgekosten machen durchschnittlich ein Viertel der Schadenssumme aus und können in Einzelfällen ebenfalls mehr als 1 Mio. Euro betragen. Insbesondere die mit Reputationsschäden verbundenen Risiken werden in diesem Zusammenhang von den Unternehmen deutlich unterschätzt.

Überraschend: 87 Prozent der Unternehmen und sogar 96 Prozent der Finanzdienstleister nennen "Unachtsamkeit" als Hauptfaktor, der e-Crime-Vorfälle begünstigt hat. Mangelndes Risikobewusstsein, das Nichterkennen erster Anzeichen von Verdachtsfällen und eine nicht ausreichende Sicherheitskultur bereiten ebenfalls große Schwierigkeiten. Vor allem aber wiegen sich die Täter ganz offenbar in Sicherheit und rechnen damit, dass ihre Tat nicht sanktioniert wird - ein Wert, der im Vergleich zur letzten Studie sogar noch angestiegen ist.

 

 

[Bildquelle: © pro motion pic - Fotolia.com]

Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.