Das Emnid-Institut hat im Auftrag von KPMG Führungskräfte aus Unternehmen aller Größen und Branchen zum Thema Computerkriminalität befragt. Die e-Crime-Studie (PDF, 1.9 MB) zeigt: Jedes vierte Unternehmen war in Deutschland in den vergangenen drei Jahren Opfer von Computerkriminalität.
Noch alarmierender: 86 Prozent der Unternehmen stufen e-Crime inzwischen als echtes Risiko ein, allen voran die Stützen der deutschen Industrie, der Maschinenbau und die Automobilindustrie.
Datendiebstahl macht Unternehmen zu schaffen
Unter e-Crime werden wirtschaftskriminelle Handlungen unter Einsatz von Computer- oder Kommunikationssystemen verstanden. Da solche Systeme in der Wirtschaft immer präsenter sind und zugleich die globale Vernetzung zunimmt, wachsen auch die Angriffsflächen der Unternehmen.
Häufigstes Delikt ist der Diebstahl von Kunden- oder Arbeitnehmerdaten. 61 Prozent der von e-Crime betroffenen Unternehmen waren in den vergangenen drei Jahren Opfer von Datenraub. Ein weiteres hohes Risiko ist mit dem Diebstahl von geschäftskritischem Know-how verbunden: Jedes zweite Unternehmen (52 Prozent) war davon betroffen.
Enorme Schadenshöhen
Die in der KPMG-Studie ermittelten Schadenshöhen bei e-Crime-Delikten können im Einzelfall bei hohen Millionenbeträgen liegen. Das gilt vor allem für die Verletzung von Schutz- und Urheberrechten, das Ausspähen von geschäftskritischen Unternehmensinformationen und Datendiebstahl. "Für ein mittelständisches Unternehmen kann das das Ende seiner Existenz bedeuten", sagt KPMG-Partner Alexander Geschonneck, Leiter des Bereichs Forensic Technology.
Anders als in früheren Untersuchungen bietet die e-Crime-Studie nicht nur Angaben zu Schäden durch Systemausfälle, sondern beziffert auch betriebswirtschaftliche Verluste. Geschonneck: "Der Schaden, der der deutschen Wirtschaft pro Jahr durch Computerkriminalität entsteht, geht in den zweistelligen Milliardenbereich."
Täter im eigenen Haus
70 Prozent der Unternehmen nennen in erster Linie ehemalige Mitarbeiter oder Insider als Risikogruppe. Laut Umfrage kamen in 48 Prozent der von e-Crime-Fällen tatsächlich betroffenen Unternehmen die Täter aus dem eigenen Haus. In 24 Prozent der Fälle waren es sonstige Insider, 7 Prozent nannten das Management.
Insbesondere folgende Delikte verüben Mitarbeiter: Datendiebstahl bzw. Verletzung von Geschäfts- und Betriebsgeheimnissen (jeweils 62 Prozent), Erpressung (60 Prozent), Manipulation von Finanzdaten (58 Prozent) und Betrug (55 Prozent).
Unbekannte Externe sind an 47 Prozent der e-Crime-Delikte beteiligt. Sie sind vor allem verantwortlich für Wirtschaftsspionage (70 Prozent), für die Verletzung von Schutz- und Urheberrechten (56 Prozent), für Computersabotage (ebenfalls 56 Prozent) oder für das Ausspähen bzw. Abfangen von Daten (55 Prozent).
Bisher ging man davon aus, dass die größte Gefahr vom Spion aus dem Ausland droht. "Dieses Bild haben die befragten Unternehmen deutlich korrigiert. Das Angriffsrisiko aus fremden Ländern ist jedenfalls in den einzelnen Branchen sehr unterschiedlich", unterstreicht Geschonneck. In der Umfrage werden als Gefahrenquelle vor allem China (89 Prozent) und Russland (69 Prozent) genannt, eine Aussage, die sich mit Einschätzungen des Bundesinnenministeriums deckt.
Nur jeder zweite Täter wird überführt
Der KPMG-Studie zufolge gelingt es praktisch unabhängig von Unternehmensgröße und Branche nur in gut der Hälfte der Fälle, die Täter zu ermitteln Allerdings: Wenn Fälle aufgedeckt werden, dann werden sie auch konsequent sanktioniert. So haben 64 Prozent der von Computerkriminalität betroffenen Unternehmen Delikte zur Anzeige gebracht, bei Großunternehmen lag die Quote sogar bei 72 Prozent.
Prävention hinkt hinterher
Um die Gefahren abzuwehren, haben die Unternehmen trotz Wirtschaftskrise viel in die IT-Sicherheit investiert. Im Durchschnitt haben die befragten Unternehmen ihre personellen Kapazitäten hierfür in den vergangenen zwei Jahren um 50 Prozent gesteigert. Maßnahmen zur Sensibilisierung der Mitarbeiter sind heute fast überall gang und gäbe. Aber nicht einmal jedes zweite Unternehmen (48 Prozent) überprüft regelmäßig, ob die Verhaltensregeln auch tatsächlich eingehalten werden. "Zwar ist das Wissen um die mit e-Crime verbundenen Risiken in den Führungsetagen der Unternehmen angekommen. Aber bei Prävention, Aufklärung und Reaktion gibt es noch erhebliche Defizite", sagt Geschonneck.
e-Crime: Risiken reduzieren, Schäden vermeiden
Mit folgenden Maßnahmen können Unternehmen das Risiko und den Schaden durch e-Crime-Delikte möglichst gering halten:
1. Schaffen Sie Transparenz zu allen geschäftskritischen Informationen und sensiblen Daten und erstellen Sie damit ein Risikoprofil für Ihr Unternehmen.
2. Beziehen Sie den potenziellen Innentäter mit in Ihr Schutzkonzept ein und schaffen Sie insbesondere dort gesonderte Schutzmaßnahmen, wo der interne Zugriff auf geschäftskritisches Know-How möglich ist.
3. Verlassen Sie sich nicht nur auf technische Schutzmaßnahmen, sondern schaffen Sie ein ausgewogenes Verhältnis zwischen "Tone at the Top", Sensibilisierung, Kontrolle und Sanktionierung unter Einbeziehung aller unternehmerischen Geschäftsbereiche.
4. Führen Sie regelmäßige Schutz- und Kontrollmaßnahmen durch und bringen Sie diese durch Notfalltests und Schulungs- und Kommunikationsmaßnahmen in das Bewusstsein aller Mitarbeiter, Geschäftspartner und Kunden.
5. Etablieren Sie klare Prozesse in Ihrem Unternehmen, um auf einen e-Crime-Verdacht oder auf konkrete Vorfälle schnell und professionell reagieren zu können.
Weitere Informationen und Kontakt:
Alexander Geschonneck, Partner KPMG, Berlin, E-Mail: ageschonneck@kpmg.com