Computerkriminalität verursacht Milliardenschäden

70 Prozent nennen ehemalige Mitarbeiter oder Insider als Risikogruppe

Laut einer Analyse der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG ist in den letzten drei Jahren jedes vierte Unternehmen in Deutschland Opfer von Computerkriminalität. Zudem stufen 86 Prozent der befragten 500 Unternehmen in Deutschland die Thematik "e-Crime" (also wirtschaftskriminelle Handlungen unter Einsatz von Computer- oder Kommunikationssystemen) inzwischen als große Gefahr ein, wobei dies insbesondere Unternehmen aus den Branchen Maschinenbau und die Automobilindustrie betraf.

Mit der zunehmenden Präsenz moderner Informations- und Kommunikationstechnologien wachse auch die Angriffsfläche der Unternehmen. Im Verlauf der letzten Jahre haben sich Unternehmen intern wie auch extern zunehmend vernetzt. Egal ob Smartphones, USB-Sticks oder virtualisierte Netzwerklösungen: Die Systeme der Informations- und Kommunikationstechnologie (IKT) sind aus dem Unternehmensalltag nicht mehr wegzudenken. Dabei werden die Grenzen zwischen den Unternehmen und den mit ihnen kommunizierenden externen und internen Mitarbeitern immer durchlässiger. Auf dem Weg zu fortwährend neu eingeführten Funktionalitäten und noch mehr Effizienz der IKT-Systeme entzieht sich das dahinter stehende technische Konstrukt immer weiter dem Verständnis der Mitarbeiterinnen und Mitarbeiter. "Vor allem dort, wo es viel zu holen gibt, treten die häufigsten Delikte auf. Wertvolle Konstruktionsunterlagen können mit dem Handy abfotografiert, Millionen von Kunden- und Mitarbeiterdaten ausgespäht und bequem auf einem USB-Stick oder einem iPod in der Westentasche transportiert werden", warnt KPMG-Partner Alexander Geschonneck, Leiter des Bereichs Forensic Technology.

Computerkriminalität in der Wirtschaft

Die wesentlichen Ergebnisse der Studie lassen sich wie folgt zusammenfassen:

• Ein Viertel der befragten Unternehmen war in den letzten drei Jahren von e-Crime betroffen. Dabei werden der Diebstahl von Kunden- oder Arbeitnehmerdaten als größtes Risiko eingeschätzt.
• Die Schadenshöhen rangieren zwischen 100.000 Euro und Millionenbeträgen pro Einzelfall. Vor allem Datendiebstahl und das Ausspähen von geschäftskritischen Unternehmensinformationen verursachen Schäden von über einer Million Euro pro Vorfall.
• Als Hauptgefahrenquelle identifizieren die Umfrageteilnehmer Mitarbeiter, ehemalige Mitarbeiter und sonstige Insider wie zum Beispiel Geschäftspartner oder Dienstleister. Die Erfahrung der von e-Crime betroffenen Unternehmen bestätigt diese Einschätzung.
• Je vielfältiger und diffiziler die in Unternehmen eingesetzten Technologien sind, desto komplexer werden die e-Crime-Delikte. Dabei werden Schwachstellen in neuen Technologien ausgenutzt, für die es bisher nur unzureichende Schutzmechanismen gibt. Die Umfrageteilnehmer fühlen sich im "Wettrüsten" mit den Angreifern unterlegen.
• Die IT-Abteilung trägt in den meisten Unternehmen, trotz der zunehmend nicht technisch bedingten Schwachstellen, die Hauptverantwortung für die e-Crime-Bekämpfung. Je größer allerdings das Unternehmen ist, desto stärker übernehmen zentrale Bereiche wie zum Beispiel die Interne Revision, das Risikomanagement oder das Compliance Management die Verantwortung für die e-Crime-Bekämpfung.
• Trotz Krise haben die Umfrageteilnehmer die Ressourcen zur e-Crime-Bekämpfung in den letzten zwei Jahren erhöht und sie planen, dies in Zukunft fortzuführen – wenn auch weniger stark.
• Zwar wird viel für die Mitarbeitersensibilisierung getan, die Kontrolle wird aber vernachlässigt.
• Vor allem bei großen Unternehmen spielt "Kommissar Zufall" in der Aufklärung von e-Crime-Delikten – trotz umfangreicher technischer Monitoringsysteme – eine immer noch allzu gewichtige Rolle.
• Die Mehrheit der betroffenen Unternehmen hat e-Crime-Delikte gegen ihr Unternehmen zur Anzeige gebracht. Zumeist blieben Anzeigen aus, wenn Angriffe durch bestehende Sicherheitsmaßnahmen erfolgreich abgewehrt wurden beziehungsweise kein finanzieller Schaden entstanden ist. Dennoch besteht eine gewisse Skepsis bei der Zusammenarbeit mit den Strafverfolgungsbehörden.
• Ein Drittel der von e-Crime betroffenen Unternehmen halten ihre Erstreaktion für nur teilweise angemessen.

Ein Viertel der befragten Unternehmen von e-Crime betroffen

e-Crime durchzieht weite Teile der Unternehmenslandschaft: Ein Viertel der befragten Unternehmen gab an, in den letzten drei Jahren von e-Crime betroffen gewesen zu sein. Dabei sind große Unternehmen tendenziell mehr im Visier der Kriminellen (31 Prozent) als mittelgroße (26 Prozent) und kleine Unternehmen (22 Prozent).

Branchenschwerpunkte sind die Automobilindustrie (35 Prozent, vgl. Abbildung 1), Elektronik und Software (32 Prozent), Medien und Verlage (32 Prozent) und der Maschinenbau (29 Prozent). Dies lässt sich mit den in diesen Branchen besonders wertvollen immateriellen Vermögensgegenständen erklären, die in den meisten Fällen in elektronischer Form vorliegen, wie beispielsweise als Konstruktionspläne, Prozess- und Verfahrensdokumentationen, Softwarequellcode, Produktspezifikationen, Kundendaten oder geistiges Eigentum in Form von Text, Bild und Ton.

Insgesamt sehen 86 Prozent der Umfrageteilnehmer e-Crime als tatsächliches Risiko für ihre Unternehmen an. Insbesondere die Stützen der deutschen Industrie, der Maschinenbau und die Automobilindustrie, sind hier zu nennen. Auch erwarten 81 Prozent der Umfrageteilnehmer, dass die Risiken in nächster Zeit steigen werden. Gleichzeitig ist die Bedeutung von IT und den damit verarbeiteten Informationen im Unternehmensalltag inzwischen sehr groß: So schätzten 87 Prozent der Umfrageteilnehmer die Abhängigkeit von IKT-Systemen und den durch sie verarbeiteten Daten als hoch oder sehr hoch ein.



Abbildung 1: War Ihr Unternehmen in den vergangenen drei Jahren von e-Crime-Handlungen betroffen ? (nach Branchen) [Quelle: KPMG]


Verletzung von Schutz- und Urheberrechten verursacht hohe Schäden

In der e-Crime-Studie wurde eine differenzierte Betrachtung der Schadenshöhen vorgenommen. Demnach gehe der Schaden, der der deutschen Wirtschaft pro Jahr durch Computerkriminalität entsteht, in den zweistelligen Milliardenbereich und liege damit deutlich höher als bisher angenommen. Insbesondere bei e-Crime-Delikten könnten die Schadenshöhen pro Einzelfall viele Millionen Euro betragen.

Aufgrund der hohen Variabilität und uneinheitlichen Berechnungsmethoden ist eine exakte Analyse der Schadenshöhen je Delikttyp nur schwer möglich, so die Studienautoren. So nennt die Energie- und Maschinenbaubranche den Kundenverlust als wichtigstes Kriterium zur Schadensbestimmung, wobei im Maschinenbau außerdem die Verschlechterung der Wettbewerbs- und Innovationssituation eine erhebliche Rolle spielt. In der Automobil-, Software- und Medienbranche bestimmen die mit e-Crime verbundenen Reputationsschäden wesentlich die Schadenshöhe. Auch wenn viele der genannten Schadenstypen nur schwer auf den Euro genau zu beziffern sind, lassen sich auf der Basis der vorliegenden Ergebnisse einige interessante Schlüsse ziehen.

Zunächst einmal ist festzuhalten, dass die genannten Schadenshöhen in der e-Crime-Studie auf deutlich höhere wirtschaftliche Verluste für die deutsche Wirtschaft hindeuten als bisher angenommen. In diversen Studien und Schätzungen ist die Rede von einstelligen Milliardenbeträgen. Würde man nun die in der e-Crime-Studie angegebenen Schadenshöhen von durchschnittlich etwa 300.000 Euro pro Delikt mit den in der Polizeilichen Kriminalstatistik genannten Fällen der Computerkriminalität multiplizieren, käme man zumindest auf zweistellige Milliardenbeträge. Die Polizeiliche Kriminalstatistik erfasst natürlich nur die tatsächlich gemeldeten Fälle, wie groß die Dunkelziffer ist, lässt sich dagegen nicht genau sagen.

Dabei verursachen die Verletzung von Schutz- und Urheberrechten, die Verletzung von Geschäfts- und Betriebsgeheimnissen und der Datendiebstahl mit Abstand die größten Schäden pro Einzelfall: Bei jedem dieser Delikttypen nannten die Umfrageteilnehmer im Schnitt Beträge von zum Teil deutlich über einer halben Million Euro pro Einzeldelikt (vgl. Abbildung 2).

Abbildung 2: Welche Schadenshöhen würden Sie für die einzelnen e-Crime-Vorfälle ansetzen ? (von e-Crime betroffene Unternehmen) [Quelle: KPMG]

Interessant ist aus Sicht der Studienautoren auch, dass der Datendiebstahl insbesondere bei mittelständischen Unternehmen enorme Schäden verursacht. Während sowohl kleinere als auch große Unternehmen eine durchschnittliche Schadenshöhe von etwa 160.000 Euro angaben, schätzen mittelständische Unternehmen den Schaden pro Einzelfall auf über 1,2 Millionen Euro. "Für ein mittelständisches Unternehmen kann das das Ende seiner Existenz bedeuten", so die Warnunng Geschonnecks.

Suche der Täter im eigenen Haus

Bei der Suche nach den Tätern sollten die Unternehmen im eigenen Hause beginnen. Viel gefährlicher als unbekannte Mächte sind oft wohl vertraute Gesichter, so die KPMG-Experten. So sehen 70 Prozent der von e-Crime betroffenen Unternehmen ehemalige Mitarbeiter oder Insider, die vorsätzlich das vorhandene Wissen missbrauchen, als besonders risikobehaftete Personengruppe an. 46 Prozent der Betroffenen nennen außerdem Teilzeit- oder Leiharbeitskräfte als hochriskante Gruppe. Diese Personengruppen eint, dass sie gleichzeitig Zugang zu den Systemen haben, oft über detaillierte Prozesskenntnisse verfügen, disziplinarisch aber nur schwer einzubinden sind. Die Branchenverteilung zeigt dabei, dass sich Maschinenbauer – unabhängig von der Betroffenheit – der Gefahr am stärksten bewusst sind, die von den ehemaligen Arbeitnehmern und Insidern ausgeht.

Tatsächlich hat die Gefahr, dass aus ehemaligen Mitarbeitern Täter werden, mit der Krise stark zugenommen, so ein Ergebnis der Studie. Insbesondere langjährige und loyale Mitarbeiter fühlen sich durch eine krisenbedingte Entlassung oft unfair behandelt. Gleichzeitig steht so manch einer aufgrund des Arbeitsplatzverlustes unter starkem finanziellem Druck. Wer in einer derartigen Situation auch noch leichten Zugriff auf sensible und potenziell wertvolle Daten hat, erfüllt alle drei Voraussetzungen des sogenannten Fraud Triangles – Rechtfertigung, Motivation und Gelegenheit (siehe Abbildung 3). Das Risiko krimineller Handlungen steigt signifikant an. Dies trifft insbesondere für nur sehr kurzfristig angestellte und oft wechselnde Teilzeitkräfte und Leiharbeiter zu.



Abbildung 3: Das Fraud Triangle zeigt Faktoren, die Fraud begünstigen (nach Donald R. Cressey, US-amerikanischer Soziologe und Kriminologe) [Quelle: KPMG]

Auch auf das mit Unternehmenszukäufen oder -verkäufen verbundene e-Crime-Risiko ist an dieser Stelle hinzuweisen. Wird beispielsweise ein Unternehmensbereich verkauft, ist es von immenser Bedeutung zu verhindern, dass Ex-Mitarbeiter mit vielleicht nicht mehr hundertprozentiger Loyalität weiterhin Zugang zu Systemen haben.

Die Gefahr der "klassischen" Wirtschaftsspionage, also ein Angriff aus fremden Ländern, ist in den einzelnen Branchen sehr unterschiedlich ausgeprägt. Als besonders gefährdet müssen exportintensive Bereiche wie der Maschinenbau, die Automobilindustrie sowie die Elektronik- und Softwarebranche gelten. In der Umfrage werden als Gefahrenquelle vor allem China (89 Prozent der Nennungen) und Russland (69 Prozent der Nennungen) angegeben.

Aufklärungsquote bleibt gering

86 Prozent der Unternehmen beklagen, dass die Angriffe aus dem Netz immer komplexer werden und die Spur immer seltener zum Täter zurückverfolgt werden kann. Dementsprechend gelingt es der Studie zufolge auch nur in gut der Hälfte der Fälle, die Täter zu ermitteln. Wenn Fälle aufgedeckt werden, dann werden sie allerdings auch konsequent sanktioniert. So haben 64 Prozent der von Computerkriminalität betroffenen Unternehmen Delikte zur Anzeige gebracht, bei Großunternehmen lag die Quote sogar bei 72 Prozent.
Um die Gefahren abzuwehren, wurde trotz Finanz- und Wirtschaftskrise viel in die IT-Sicherheit investiert. Im Durchschnitt haben die befragten Unternehmen ihre Stellen in diesem Bereich in den vergangenen zwei Jahren um 50 Prozent aufgestockt. Maßnahmen zur Sensibilisierung der Mitarbeiter sind heute fast überall gang und gäbe. Allerdings überprüfen lediglich 48 Prozent der Unternehmen regelmäßig, ob die Verhaltensregeln auch tatsächlich eingehalten werden.

Hinter e-Crime steckt immer ein Mensch

Das Fazit der KPMG-Studie ist eindeutig: Kein Unternehmen kann sich der fortschreitenden IT-Durchdringung aller Geschäftsprozesse entziehen, denn ohne Ausnutzung der damit einhergehenden Effizienzgewinne wären weder Großkonzerne noch mittelständische Unternehmen wettbewerbsfähig.

Die Kehrseite der Medaille: Mit der einhergehenden Vernetzung der Unternehmenslandschaft sind sensible Informationen immer schwerer zu schützen. Die eCrime-Studie zeigt sehr deutlich, dass die einhergehenden Gefahren real sind: Ein Viertel der befragten Unternehmen ist in den letzten drei Jahren Opfer von e-Crime-Delikten geworden. Und dies trotz signifikanter Investitionen in Informationssicherheit. Der Grund: Die Angreifer sind im "Wettrüsten" immer einen Schritt voraus, Schwachstellen neuer Technologien werden ausgenutzt, bevor ein entsprechender Schutz am Markt vorhanden ist.

Hauptgefahrenquelle ist dabei nicht der sich aus fernen Ländern "einhackende" Spion, sondern bekannte Gesichter: Die Umfrageteilnehmer nennen Mitarbeiter, ehemalige Mitarbeiter und sonstige Insider wie Geschäftspartner oder Dienstleister als häufigste Täter. Hintergrund ist nicht zuletzt die Wirtschaftskrise, die zu zahlreichen – oft als ungerecht empfundenen – Entlassungen von Know-how-Trägern geführt hat. Unter finanziellem Druck stehend, nutzen diese ehemaligen Mitarbeiter ihr Fach- und Prozesswissen durch den Verkauf sensibler Informationen aus. Hier spielen als Abnehmer dann neben deutschen Konkurrenten häufig ausländische Konkurrenzunternehmen eine zunehmend wichtige Rolle.

Die Studienautoren weisen darauf hin, dass die Hauptverantwortung in der Praxis weiterhin auf die IT-Abteilungen "abgewälzt" wird. Dies sei kritisch zu beurteilen. Wichtig wäre, dass die unternehmerischen Geschäftsbereiche wie Interne Revision, Compliance und nicht zuletzt die Geschäftsführung stärker involviert werden. Zwar verfügt die IT-Abteilung über das notwendige technische Fachwissen, dies allein ist in der e-Crime-Bekämpfung allerdings nicht ausreichend. Denn dank fortschreitender technischer Entwicklung ist für e-Crime-Delikte ein Informatikstudium längst keine Voraussetzung mehr: Die notwendigen Programme kann jeder versierte Laie aus dem Internet herunterladen, oft liegt die entsprechende Software sogar seriösen Computerzeitschriften bei.

Aus der Perspektive der Forensic-Experten wird es daher immer wichtiger, dass e-Crime aus strategischer, also betriebswirtschaftlicher Perspektive, angegangen wird. Insbesondere die Sensibilisierung der Mitarbeiter ist dabei von wesentlicher Bedeutung.  Hier tun die Umfrageteilnehmer zwar schon viel, gleichzeitig wird aber die Kontrolle vernachlässigt – ein ausgewogenes Verhältnis zwischen "Tone at the Top", Sensibilisierung, Kontrolle und Sanktionierung besteht bei den meisten Unternehmen noch nicht.

Ohne einen einhergehenden Kulturwandel in den Unternehmen ist die präventive Wirkung unzureichend, so die Autoren. e-Crime muss weniger technisch gedacht werden. Denn im Endeffekt handelt es sich bei dem "e" in e-Crime nur um eine Methode: Hinter den Delikten stehen immer tatsächliche Menschen, deren Motive stärker in den Vordergrund der e-Crime-Prävention, -Entdeckung und -Aufklärung rücken müssen.

Die komplette Studie können Sie hier herunterladen:


[Bildquelle oben: iStockPhoto, Textquelle: Der Text basiert auf der "e-Crime-Studie 2010: Computerkriminalität in der deutschen Wirtschaft" der KPMG AG Wirtschaftsprüfungsgesellschaft]