Täter im eigenen Haus
70 Prozent der Unternehmen nennen in erster Linie ehemalige Mitarbeiter oder Insider als Risikogruppe. Laut Umfrage kamen in 48 Prozent der von e-Crime-Fällen tatsächlich betroffenen Unternehmen die Täter aus dem eigenen Haus. In 24 Prozent der Fälle waren es sonstige Insider, 7 Prozent nannten das Management.
Insbesondere folgende Delikte verüben Mitarbeiter: Datendiebstahl bzw. Verletzung von Geschäfts- und Betriebsgeheimnissen (jeweils 62 Prozent), Erpressung (60 Prozent), Manipulation von Finanzdaten (58 Prozent) und Betrug (55 Prozent).
Unbekannte Externe sind an 47 Prozent der e-Crime-Delikte beteiligt. Sie sind vor allem verantwortlich für Wirtschaftsspionage (70 Prozent), für die Verletzung von Schutz- und Urheberrechten (56 Prozent), für Computersabotage (ebenfalls 56 Prozent) oder für das Ausspähen bzw. Abfangen von Daten (55 Prozent).
Bisher ging man davon aus, dass die größte Gefahr vom Spion aus dem Ausland droht. "Dieses Bild haben die befragten Unternehmen deutlich korrigiert. Das Angriffsrisiko aus fremden Ländern ist jedenfalls in den einzelnen Branchen sehr unterschiedlich", unterstreicht Geschonneck. In der Umfrage werden als Gefahrenquelle vor allem China (89 Prozent) und Russland (69 Prozent) genannt, eine Aussage, die sich mit Einschätzungen des Bundesinnenministeriums deckt.
Nur jeder zweite Täter wird überführt
Der KPMG-Studie zufolge gelingt es praktisch unabhängig von Unternehmensgröße und Branche nur in gut der Hälfte der Fälle, die Täter zu ermitteln Allerdings: Wenn Fälle aufgedeckt werden, dann werden sie auch konsequent sanktioniert. So haben 64 Prozent der von Computerkriminalität betroffenen Unternehmen Delikte zur Anzeige gebracht, bei Großunternehmen lag die Quote sogar bei 72 Prozent.
Prävention hinkt hinterher
Um die Gefahren abzuwehren, haben die Unternehmen trotz Wirtschaftskrise viel in die IT-Sicherheit investiert. Im Durchschnitt haben die befragten Unternehmen ihre personellen Kapazitäten hierfür in den vergangenen zwei Jahren um 50 Prozent gesteigert. Maßnahmen zur Sensibilisierung der Mitarbeiter sind heute fast überall gang und gäbe. Aber nicht einmal jedes zweite Unternehmen (48 Prozent) überprüft regelmäßig, ob die Verhaltensregeln auch tatsächlich eingehalten werden. "Zwar ist das Wissen um die mit e-Crime verbundenen Risiken in den Führungsetagen der Unternehmen angekommen. Aber bei Prävention, Aufklärung und Reaktion gibt es noch erhebliche Defizite", sagt Geschonneck.