KPMG: Fast jedes zweite Unternehmen schon Opfer von E-Crime
Immer mehr Unternehmen in Deutschland sind von Computerkriminalität („E-Crime“) betroffen. Der Anteil der Firmen, die Opfer von e-Crime wurden, ist in den vergangenen zwei Jahren drastisch gestiegen. Er liegt heute bei 40 % – 2013 waren es erst 26 %. Viele Unternehmen verdrängen noch immer entsprechende Risiken. So sehen zwar 89 % allgemein ein hohes Risiko für deutsche Unternehmen, Opfer von E-Crime zu werden, doch nicht einmal die Hälfte schätzt die eigene Gefährdungslage als hoch ein. Das hat eine repräsentative Umfrage von TNS Emnid im Auftrag von KPMG unter mehr als 500 Unternehmen aller Branchen und Größen ergeben, die am 10.3.2015 in Frankfurt veröffentlicht wurde.
Das häufigste Ziel von E-Crime-Angriffen waren bargeldlose Zahlungssysteme (30 % der Delikte). Betroffen hiervon waren in erster Linie Finanzdienstleister und Handelsunternehmen. Alexander Geschonneck, Leiter des Bereichs Forensic bei KPMG: „Auch Clients und Workstations, Mail- und Webserver wurden von mindestens jedem fünften Befragten als Angriffsziele genannt. Das unterstreicht, dass es nicht ein klassisches E-Crime-Angriffsmuster gibt. Unternehmen müssen umfassend Vorsorge treiben und sich gegen entsprechende Übergriffe wappnen.“
Als häufigste Angreifer vermuten zwei Drittel der Befragten organisierte Kriminelle. Jedes zweite Unternehmen sieht sich durch ehemalige Mitarbeiter oder Insider bedroht. Verstärkt werden inzwischen auch in- und ausländische Geheimdienste als potenzielle Gefahrenquelle genannt (33 bzw. 41 %). Insbesondere Finanzdienstleister sehen in jenen Kunden eine potenziell gefährliche Personengruppe, die Online-Anwendungen nutzen. 90 % der Befragten beobachten, dass die Vorfälle immer komplexer werden, was eine Verfolgung der Täter immer schwieriger macht.
Das Risiko, Opfer von E-Crime zu werden, lässt sich nach Meinung der Unternehmen nicht völlig beherrschen. Dies liegt vor allem am „Faktor Mensch“ im eigenen Haus: Die größten Sorgen bereiten den Unternehmen die Unachtsamkeit der eigenen Mitarbeiter (88 %) und ein mangelndes Verständnis für entsprechende Risiken (77 %). Alexander Geschonneck: „Das ist erstaunlich, weil fast alle Unternehmen eigenen Angaben zufolge ihre Belegschaft sensibilisieren und schulen.“ Die größte Gefahrenquelle sehen die Befragten inzwischen in der Vergabe und Verwaltung von Systemberechtigungen (71 %). Als besonders risikobehaftet schätzen die Unternehmen Mobiltelefone und die dienstliche E-Mail-Kommunikation ein.
Die am häufigsten gefürchteten Delikte sind Datendiebstahl und Computerbetrug (jeweils 83 %), gefolgt von der Verletzung von Geschäftsgeheimnissen und Urheberrechten. Alexander Geschonneck: „Es gibt nicht das typische e-Crime-Delikt. Unternehmen müssen sich deshalb buchstäblich gegen alle möglichen Risiken wappnen. Besorgniserregend ist die Tatsache, dass vor allem Unternehmen, die bisher noch kein Opfer von Computerkriminalität wurden, sich in trügerischer Sicherheit wiegen. Drei Viertel dieser Gruppe gehen von einem niedrigen oder sogar sehr niedrigen Risiko für sich selbst aus.“
Die Qualifikation im IT-Bereich der Unternehmen kann trotz gut gemeinter Schulungsmaßnahmen nur schwer Schritt halten mit der immer größeren Komplexität der IT-Systeme. Vor allem die großen Unternehmen scheinen hier Schwierigkeiten zu haben. 91 % empfinden die komplexe Technik als Risikofaktor für E-Crime-Angriffe. Alexander Geschonneck: „Der Markt für Fachkräfte, die sich im Bereich E-Crime gut auskennen, ist äußerst angespannt. Leider nehmen auch viele Unternehmen erst konkrete Vorfälle zum Anlass, in Präventionsmaßnahmen zu investieren. Oft sind Investitionen daher nicht strategisch ausgerichtet, sondern zufallsgetrieben.“
Dies zeigt sich auch im schwindenden Selbstbewusstsein der Unternehmen, im Ernstfall richtig zu reagieren. In der Studie des Jahres 2013 waren noch 99 % der betroffenen Unternehmen der Ansicht, dass sie korrekt auf E-Crime-Vorfälle reagiert haben und es dementsprechend keine Versäumnisse gab. In der aktuellen Studie gesteht ein Viertel der Betroffenen Schwächen in der Reaktion ein. Alexander Geschonneck: „Die Erfahrungen der letzten zwei Jahre haben Schwächen in der Reaktion aufgezeigt. Der entscheidende Erfolgsfaktor wird zukünftig darin liegen, abstrakte Informationen und Ergebnisse aus unterschiedlichen Identifikations- und Aufklärungsmaßnahmen zu komprimieren und zu einer kaufmännischen Entscheidungsgrundlage zusammenzuführen.“
Die E-Crime-Studie steht unter folgendem Link zum Download bereit:
http://www.kpmg.com/DE/de/Bibliothek/2015/Seiten/e-crime-computerkriminalitaet-deutschen-
(PM KPMG vom 10.3.2015)
