Immer mehr Unternehmen in Deutschland sind von Computerkriminalität betroffen. Der Anteil der Firmen, die Opfer von e-Crime wurden, ist in den vergangenen zwei Jahren drastisch gestiegen, so das Ergebnis einer aktuellen Studie, die KPMG veröffentlicht hat. E-Crime fasst hierbei die Ausführung von wirtschaftskriminellen Handlungen unter Einsatz von Informations- und Kommunikationstechnologien zum Schaden einer Einzelperson, eines Unternehmens oder einer Behörde zusammen. Diese Form der Kriminalität kann sowohl zu einer Schädigung von Sachwerten, zum Beispiel durch Sabotage an Computersystemen, als auch zur Verletzung von Verfügungsrechten an immateriellen Gütern, etwa durch Diebstahl von Quellcodes, Kundendaten oder anderen Informationen, führen. Außerdem können die auf den Systemen basierenden Geschäftsprozesse eines Unternehmens empfindlich beeinträchtigt werden. Informations- und Kommunikationssysteme können hierbei Ziel der Tathandlung, aber auch Tatwerkzeug an sich sein. e-Crime umfasst damit nicht nur Angriffe von außen, die mithilfe von Schadsoftware und unter Ausnutzung von Systemlücken über das Internet erfolgen (landläufig auch als Cybercrime bezeichnet). Vielmehr umfasst e-Crime, im Gegensatz zur landläufigen Definition, Cybercrime sowie das breite Spektrum weiterer Straftaten, die Informations- und Kommunikationstechnologie als Werkzeug einsetzen. Für die diesjährige e-Crime-Studie wurden 505 Unternehmen zu ihren Erfahrungen im Bereich der Computerkriminalität befragt.
90 Prozent bewerten das e-Crime-Risiko als hoch und sehr hoch
Knapp 90 Prozent der Befragten schätzen das generelle Risiko eines deutschen Unternehmens, Opfer von e-Crime zu werden, als hoch beziehungsweise sehr hoch ein, so das Ergebnis der KPMG-Studie. Von einem sehr hohen Risiko gehen sogar 25 Prozent der Befragten aus. Damit ist dieser Anteil noch höher als bei der Studie zur Wirtschaftskriminalität in Deutschland, die KPMG im vergangenen Jahr veröffentlichte. Gerade bereits von e-Crime betroffene Unternehmen zeichnen sich durch eine besonders ausgeprägte Risikowahrnehmung aus (64 Prozent hoch beziehungsweise 33 Prozent sehr hoch). Dies stellt eine Steigerung im Vergleich zur Vorgängerstudie dar. In dieser Studie bewerteten 82 Prozent der Unternehmen das Risiko als hoch beziehungsweise sehr hoch (13 Prozent).
Die mit e-Crime verbundenen Gefahren rücken demnach vermehrt in den Fokus der deutschen Wirtschaft, so die Autoren weiter. Ein Grund hierfür dürfte darin liegen, dass in den vergangenen zwei Jahren 40 Prozent der Befragten tatsächlich von Computerkriminalität betroffen waren. Im Jahr 2013 war es nur ungefähr ein Viertel der Unternehmen. Daraus ergibt sich ein Zuwachs von über 50 Prozent.
Schiefe Risikowahrnehmung für das eigene Unternehmen
Vor dem Hintergrund der stark gestiegenen Betroffenheit fällt auf, dass sich bei der Wahrnehmung des Risikos für das eigene Unternehmen lediglich ein leichter Rückgang zeigt. Von den Studienteilnehmern schätzen 60 Prozent dieses Risiko als niedrig oder sehr niedrig ein (2013: 65 Prozent). Gerade bisher nicht von e-Crime betroffene Unternehmen wiegen sich in einer trügerischen Sicherheit, so die Interpretation der e-Crime-Spezialisten: Drei Viertel dieser Gruppe gehen von einem niedrigen oder sehr niedrigen Risiko aus. Alexander Geschonneck, Leiter des Bereichs Forensic bei KPMG: "Es gibt nicht das typische e-Crime-Delikt. Unternehmen müssen sich deshalb buchstäblich gegen alle möglichen Risiken wappnen. Besorgniserregend ist die Tatsache, dass vor allem Unternehmen, die bisher noch kein Opfer von Computerkriminalität wurden, sich in trügerischer Sicherheit wiegen. Drei Viertel dieser Gruppe gehen von einem niedrigen oder sogar sehr niedrigen Risiko für sich selbst aus."
Das Ergebnis zeigt einmal mehr, das unser (vermeintliches) Wissen über Risiken sehr stark von unserer subjektiven und damit höchst unterschiedlichen Wahrnehmung ab hängt und damit letztlich Vorgang und Ergebnis einer hochkomplexen Reizverarbeitung ist. Die psychologische und neurowissenschaftliche Risikoforschung hat uns in den vergangenen Jahrzehnten gezeigt, dass Menschen dazu neigen, mögliche Ereignisse bzw. Ergebnisse, deren Eintritt als sehr unwahrscheinlich angesehen wird, zu ignorieren. Dies geht soweit, dass die Existenz von Risiken im Allgemeinen zwar eingestanden wird, eine persönliche Betroffenheit aber abgestritten wird (unrealistischer Optimismus).
Immerhin wird – basierend auf den Ergebnissen der Studie – das eigene Risiko in Verbindung mit der gestiegenen Betroffenheit ausgeprägter wahrgenommen als noch im Jahr 2013. Vor zwei Jahren ging lediglich etwas mehr als ein Drittel der Befragten von steigenden Risiken für das eigene Unternehmen aus. Inzwischen rechnen 47 Prozent der Befragten damit, dass die mit e-Crime verbundenen Risiken für das eigene Unternehmen steigen werden, was einem Zuwachs von 30 Prozent entspricht. In Bezug auf die deutsche Wirtschaft insgesamt nehmen 70 Prozent der Studienteilnehmer eine Zunahme des Risikos an.
Die Autoren weiter: "Trotz dieses leicht gestiegenen Risikobewusstseins tritt nach wie vor das schon 2013 festgestellte Phänomen der Risikoverdrängung auf. Das zeigt sich nicht nur hinsichtlich der Risiken von e-Crime, sondern auch von Wirtschaftskriminalität im Allgemeinen."
Datendiebstahl und Computerbetrug stehen oben auf der Agenda
Gegenüber den Ergebnissen der Studie des Jahres 2013 hat sich die deliktspezifische Risikowahrnehmung geringfügig verschoben (vgl. Abbildung). Datendiebstahl und Computerbetrug sind nun die meistgefürchteten Deliktstypen und in der Einschätzung der Befragten an der Verletzung von Geschäfts- und Betriebsgeheimnissen sowie der Verletzung von Urheberrechten vorbeigezogen. Jeweils 83 Prozent der Befragten schätzen das Risiko, Opfer der erstgenannten Delikte zu werden, als hoch beziehungsweise sehr hoch ein. Das entspricht einem Anstieg um elf Prozent für den Deliktstyp Computerbetrug sowie um sieben Prozent für Datendiebstahl.
Abbildung: Vergleich zwischen deliktspezifische Risikowahrnehmung und Betroffenheit [Quelle: KPMG 2015]
Hinsichtlich der Verletzung von Geschäfts- und Betriebsgeheimnissen, der Verletzung von Urheberrechten sowie dem Ausspähen beziehungsweise dem Abfangen von Daten nehmen jeweils rund drei Viertel der Befragten ein hohes beziehungsweise sehr hohes Risiko wahr. Die übrigen Deliktstypen bereiten den Unternehmen deutlich weniger Sorgen.
Der Anstieg in der Risikowahrnehmung von Computerbetrug beruht möglicherweise darauf, dass es sich hierbei nach wie vor um den am häufigsten festgestellten Deliktstyp bei den betroffenen Unternehmen handelt. Insgesamt sind 37 Prozent der Befragten bereits Opfer von Computerbetrug geworden. Maßgebenden Einfluss auf diese Zahl haben insbesondere Vertreter der Handelsbranche, in der sich 54 Prozent der Betroffenen mit Computerbetrug auseinandersetzen mussten.
Weitere Deliktstypen, die von Opfern von e-Crime ähnlich häufig angegeben wurden, sind das Ausspähen oder Abfangen von Daten (32 Prozent) sowie die Manipulation von Konto- und Finanzdaten (29 Prozent). Beide sind im Vergleich zu 2013 geringfügig häufiger vorgefallen.
Der Insider als primäre Gefahrenquellen
Bei der Betrachtung der für e-Crime typischen Gefahrenquellen entsteht der Eindruck, dass bei der Ausnutzung von Prozesslücken im Unternehmen Insider in den Mittelpunkt rücken (vgl. Abbildung). Dafür spricht zum einen, dass inzwischen knapp drei Viertel der Befragten die Vergabe und Verwaltung von Systemberechtigungen als besondere Gefahrenquelle betrachten. Damit ist diese Ursache zur meistgenannten avanciert und hat die Verwendung mobiler Datenträger verdrängt, die nur noch von 62 Prozent der Befragten angeführt wird (2013: 70 Prozent). Zum anderen wird dies dadurch bekräftigt, dass Systemzugang und Datenzugriff durch Systemadministratoren von knapp der Hälfte der Unternehmen mit Sorge betrachtet werden (2013: 41 Prozent). Betroffen sind hier insbesondere Finanzdienstleister, möglicherweise da der Zugang zu Kundendaten und Kernbankensystemen eine besondere "Attraktivität" ausübt.
Abbildung: Risikobehaftete Unternehmensabläufe [Quelle: KPMG 2015]
Dass ein mangelhaftes Berechtigungsmanagement eine andauernde, bislang aber häufig unterschätzte Gefahrenquelle darstellt, stellen die KPMG-Experten vielfach im Rahmen forensischer Untersuchungen fest. Insofern begrüßen die Autoren, dass das Risikobewusstsein größer wird und einen Impuls zur Implementierung angemessener Maßnahmen gibt.
Die Verwendung mobiler Datenträger wird um rund 10 Prozent seltener genannt als noch im Jahr 2013. Die Autoren weiter: "Offenbar sehen sich Unternehmen inzwischen besser auf die Verwendung von USB-Sticks, externen Festplatten und so fort vorbereitet als noch vor zwei Jahren. Der Fakt, dass dennoch über die Hälfte der Befragten mobile Datenträger mit besonderer Sorge betrachtet, belegt jedoch, dass die Risiken noch nicht vollständig beherrscht werden." Somit bleiben auch sie ein Thema, mit dem Unternehmen sich auch zukünftig bei Präventivmaßnahmen auseinandersetzen müssen.
Abgesehen davon zeigt sich die Hälfte der Befragten hinsichtlich der Verwendung ungesicherter Datenverbindungen zu Onlinekunden besorgt. In der Studie des Jahres 2013 waren es lediglich 41 Prozent. Da immer mehr Geschäftsverkehr online abgewickelt wird, ist es nicht überraschend, dass Unternehmen hier besondere Vorsicht walten lassen. Sichere, verschlüsselte Verbindungen sollten heutzutage Standard sein, um sensible Informationen zu schützen. Nicht zuletzt der Fall Snowden hat gezeigt, dass der Mangel an entsprechenden Schutzmaßnahmen immense Risiken bei der Sicherheit von Daten bedeutet.
Bei der Betrachtung von IT-Anwendungen sind es insbesondere die Herausforderungen der mobilen Telekommunikation und mobiler Endgeräte, welche die Befragten besonders beschäftigen. So schätzen, wie bereits im Jahr 2013, knapp zwei Drittel der Befragten mobile Telekommunikation als eine besonders risikobehaftete IT-Anwendung ein. Die Hälfte der Befragten schätzt zudem die dienstliche E-Mail-Kommunikation sowie die Verwendung sozialer Netzwerke als besonders risikobehaftet ein. Die Autoren ergänzen: "Auch wenn die technischen Möglichkeiten für konkrete e-Crime-Delikte bei den genannten Technologien nicht jedem Anwender im Detail bekannt sein werden, bieten sie durch die Fülle an dort gesammelten und auch zum Teil öffentlichen Informationen eine breite Angriffsfläche, die für weitere Delikte genutzt werden kann."
Überraschenderweise wird die geschäftliche (Mit-)Nutzung von Privatgeräten (sogenanntes "Bring your own Device", BYOD), vergleichbar zur vergangenen Studie, lediglich von einem Drittel der Befragten mit Sorge betrachtet.
Den Antworten der Befragten zufolge stellen diese sicher, dass Smartphones, Tablets und Ähnliches von Unternehmen gestellt werden und Richtlinien implementiert sind, die den korrekten Gebrauch dieser Geräte festlegen oder es besteht ein grundsätzliches Verbot der Verwendung von Privatgeräten. In diesem Zusammenhang lässt sich insbesondere feststellen, dass Finanzdienstleister BYOD eine sehr geringe Bedeutung beimessen. Im Gegensatz dazu empfinden rund 40 Prozent der sonstigen Dienstleister und der Industrie BYOD als besonders risikobehaftet.
Risikofaktor Mensch steht weiterhin im Mittelpunkt
Nach wie vor ist ein Mix aus Präventionsmaßnahmen notwendig, so das Ergebnis der Studie. Den Unternehmen gelingt es weiterhin nicht, die Sensibilisierungsmaßnahmen auf ein Niveau zu heben, das die Unachtsamkeit – den e-Crime nach ihrer Wahrnehmung begünstigenden Hauptfaktor – von ihrer Spitzenposition verdrängt. Diese Tatsache überrascht, da 86 Prozent der Befragten angeben, dass sie Sensibilisierungs- und Schulungsmaßnahmen für die Mitarbeiter durchführen. Alexander Geschonneck weiter: "Das ist erstaunlich, weil fast alle Unternehmen eigenen Angaben zufolge ihre Belegschaft sensibilisieren und schulen."
Dies gilt sogar unabhängig von der Größe der Unternehmen. Möglicherweise sind die Maßnahmen daher nicht ausreichend, sei es auf qualitativer oder quantitativer Ebene. Ein anderer Grund könnte darin liegen, dass die Personalsituation doch kritischer ist als angegeben.
Neben Schulungsmaßnahmen gehören die Verschlüsselung von Daten und Datenträgern (89 Prozent) sowie die regelmäßige Überprüfung des Schutzbedarfs von Daten und Systemen (87 Prozent) zu den standardmäßig implementierten präventiven Maßnahmen (siehe Abbildung).
Abbildung: Präventionsmaßnahmen im Kontext e-Crime
Knapp drei Viertel der Unternehmen (80 Prozent der Betroffenen) führen eine automatische Anomalieerkennung durch. Abgesehen davon zeigt sich zwischen betroffenen und nicht betroffenen Unternehmen lediglich der Unterschied, dass bereits betroffene Unternehmen häufiger die Möglichkeit ergreifen, sich mit anderen Unternehmen über aktuelle Bedrohungen auszutauschen.
Auf Umsatz basierende Unterschiede können erstaunlich selten festgestellt werden. Dies gilt mit Ausnahme der Durchführung von Penetration Tests. Große Unternehmen nehmen sie zu 71 Prozent vor, kleine Unternehmen nur zu 55 Prozent. Die größten Unterschiede treten zwischen den einzelnen Branchen auf. Es bestätigt sich ein weiteres Mal, dass Finanzdienstleister umfangreicher gegen e-Crime gewappnet sind als andere Branchen und die sonstigen Dienstleister im Vergleich am schlechtesten vorbereitet sind.
Download der Studie
[Quelle: KPMG (2015): e-Crime - Computerkriminalität in der deutschen Wirtschaft (Studie), Berlin 2015.]