Der Täter in meinem Büro
14. März 2015
Rund zwei Drittel der deutschen Unternehmen, die die Wirtschaftsberatungsgesellschaft KPMG für ihre aktuelle E-Crime-Untersuchung befragt hat, fürchten sich vor Angriffen durch die Organisierte Kriminalität. Immerhin rund die Hälfte der Unternehmen gab an, sich auch durch Mitarbeiter, ehemalige Angestellte oder durch "Insider" bedroht zu fühlen.
KPMG hat jetzt die Studie "Computerkriminalität in Deutschland 2015" vorgestellt, die auf Daten beruht, die im November und Dezember vergangenen Jahres erhoben worden sind. KPMG hatte das Sozialforschungsinstitut TNS Emnid beauftragt, 505 repräsentativ ausgewählte Unternehmen telefonisch zu befragen. Zuletzt war 2013 eine solche Studie veröffentlicht worden.
Erheblicher Schaden
Seither habe sich eine Menge getan, stellt Alexander Geschonneck, Leiter der Abteilung "Forensic KPMG", im Vorwort der Untersuchung fest. Verantwortlich dafür sei ein gestiegenes Bewusstsein für die Bedrohung, ausgelöst durch Whistleblower wie Edward Snowden oder Medienberichte über zahlreiche spektakuläre Fälle von Datendiebstählen und Cyberangriffen in den vergangenen Jahren.
Geschonneck zufolge könne man die befragten Unternehmen in zwei Gruppen einteilen: Solche, die bereits Opfer von elektronischer Kriminalität geworden seien und solche, die es nur noch nicht geworden sind oder es bislang nicht bemerkt hätten. Zwischen 2013 und Ende 2014 sei die Zahl der geschädigten Firmen deutlich gestiegen: von 26 Prozent auf 40 Prozent der befragten Unternehmen. Überdurchschnittlich oft betroffen seien Finanzdienstleister. Den in den vergangenen beiden Jahren so entstandenen Schaden schätzt KPMG auf 54 Milliarden Euro.
Der Kollege wird mehr gefürchtet als die Geheimdienste
Die größte Gefahr, so die betroffenen Unternehmen, gehe von der Organisierten Kriminalität aus und diese wird, so die Studie, bei 42 Prozent der Unternehmen mit bestimmten Ländern in Verbindung gebracht. Wie schon 2013 nennt ein Viertel der Befragten China und Russland als "gefährliche" Staaten. An dritter Stelle folgen die USA, die von 19 Prozent (2013: 12 Prozent) als Herkunftsland von Cyberangriffen genannt wird. Vor dem Hintergrund der Enthüllungen im Zusammenhang mit dem Prism-Programm oder den Aktivitäten von Geheimdiensten wie der NSA, so KPMG, scheine dieser Zuwachs noch erstaunlich moderat.
Beim Misstrauen gegenüber Geheimdiensten unterscheidet die Studie einerseits nach Diensten und staatlichen Institutionen aus dem Ausland und aus Deutschland andererseits. Im ersten Fall sind mehr als 40 Prozent der Unternehmen auf der Hut, gegenüber deutschen Schlapphüten aber sind sie es deutlich weniger. Kleine Firmen mit einem Umsatz von weniger als 250 Millionen Euro nennen sie in 35 Prozent der Fälle als mögliche Täter, bei großen Unternehmen (Umsatz vom mehr als drei Milliarden Euro) ist es nur jedes vierte: 25 Prozent.
Keine Angst vor der Cloud
Die Studie zeigt, dass die befragten Unternehmen sich ihrer Verantwortung im Umgang mit ihren Daten durchaus bewusst sind. Als Schwachstellen haben die Betroffenen an erster Stelle die Vergabe und Verwaltung von Systemberechtigungen ausgemacht: Rund dreiviertel von ihnen wissen, das es in dieser Beziehung bei ihnen hapert. An zweiter und dritter Stelle sehen sie Nutzung mobiler Endgeräte beziehungsweise mobiler Datenspeicher skeptisch - 58 und 70 Prozent der Firmen stufen dies unter "risikobehaftete Unternehmensabläufe" ein.
Interessant ist, dass erst an letzter Stelle die Speicherung von Daten bei externen Anbietern genannt wird. 42 Prozent der kleinen und 49 Prozent der großen Unternehmen fürchten dabei einen Datendiebstahl. Im Umkehrschluss heißt das: Mehr als jede zweite Firma kennt keine Scheu, Daten "auszulagern", auf einer Daten-Cloud etwa.
Das Risikobewusstsein nimmt zu
Der Vergleich der aktuellen Studie mit der Untersuchung von 2013 zeigt, dass das Problembewusstsein in den deutschen Chefetagen zugenommen hat. Vor zwei Jahren hatte fast jedes Unternehmen (99 Prozent) geantwortet, auf elektronische Angriffe korrekt reagiert zu haben und dass sie sich daher keine Versäumnisse vorzuwerfen hätten. Inzwischen "gesteht ein Viertel der Betroffenen Schwächen ein", so die Studie.
Als Reaktion darauf investieren die befragten Firmen mehr in die Bekämpfung der Computer-Kriminalität. Die KPMG-Untersuchung zeigt aber auch, dass deutsche Unternehmen die Risiken noch immer nicht beherrschen und nennt dafür zwei Hauptursachen: "Einerseits beklagen die Befragten Unachtsamkeit (88 Prozent) und mangelndes Risikoverständnis der Mitarbeiter (77 Prozent)."
Andererseits befürchten die untersuchten Firmen aber, die Angreifer arbeiteten mit immer neuen Technologien: "In dieser Hinsicht empfindet ein Großteil der Unternehmen, dass es noch keine ausreichenden Schutzmaßnahmen gibt."