Die Grafik zeigt die durchschnittliche Schadenshöhe pro E-Crime-Fall bei Unternehmen in Deutschland.
In den vergangenen zwei Jahren waren 40 Prozent der Unternehmen in Deutschland von Computerkriminalität betroffen, so die Studie “e-Crime 2015″ der Wirtschaftsprüfungsgesellschaf KPMG. Die Mehrheit der Befragten schätzt das generelle Risiko eines deutschen Unternehmens, Opfer von Straftaten unter Ausnutzung von Informations- und Kommunikationstechnik zu werden, als hoch oder sehr hoch ein.
Computerkriminalität wird zu einer realen Gefahr für Unternehmen. Die Zahl der Delikte hat deutlich zugenommen: Bei einer Vorstudie aus dem Jahr 2013 hatten 27 Prozent der befragten Firmen angegeben, in den vergangen zwei Jahren Opfer von Straftaten wie Datendiebstahl, Computerbetrug, Sabotage und Verletzung von Betriebsgeheimnissen geworden zu sein. In der aktuellen Studie “e-Crime 2015” hatte sich diese Zahl auf 40 Prozent erhöht. Besonders Finanzdienstleister müssen sich vorsehen. 55 Prozent der Branchenvertreter berichteten von Angriffen. Außerhalb des Finanzsektors waren es immerhin noch 33 Prozent.
Ist ein Unternehmen zum Ziel von Cyberkriminellen geworden, wird es meist teuer. Die durchschnittliche Gesamtschadenssumme über alle Delikte hinweg beläuft sich demnach auf rund 371.000 Euro. Im Einzelfällen können aber auch schnell Schäden von über einer Million Euro auflaufen.
Studienergebnisse (Bild: Statista, KPMG) – Mehr Statistiken finden Sie bei Statista
Die meisten Unternehmen tun sich inzwischen zwar leichter damit, die Straftaten aufzudecken. Wenn es darum geht, sich zu schützen oder die Täter zu verfolgen, wird es allerdings schwierig. 90 Prozent der Befragten befürchten, dass die Erfassung der Täter in Zukunft noch schwerer werden wird, da die Handlungen komplexer werden.
Die Autoren der Studie führen dies auf die stärkere Professionalisierung der Kriminellen zurück, die anscheinend auch immer häufiger international agieren, was die Ahndung der Delikte zusätzlich erschwert. Zum Kreis der Verdächtigen gehören neben den Mitgliedern der organisierten Kriminalität auch Geheimdienste und Insider.
Das steigende Bewusstsein für diese Risiken lässt das Selbstvertrauen der Unternehmen bröckeln. Waren 2013 noch 99 Prozent überzeugt, dass sie bei einer Attacke richtig und schnell reagieren würden, zweifelt nun im Schnitt ein Viertel der Befragten – je nach Branche, im Industriebereich sind es 18 Prozent. Die häufigsten Versäumnisse gehören demnach unklar verteilte Verantwortlichkeiten, fehlende Informationen sowie unzureichende oder mangelhaft umgesetzte Sofortmaßnahmen.
Zum Selbstschutz gehören auch Sensibilisierungs- und Schulungsmaßnahmen für die Beschäftigten, die etwa 86 Prozent der Befragten anbieten. Allerdings beklagen dennoch 88 Prozent Unachtsamkeit und 77 Prozent mangelndes Risikoverständnis der Mitarbeiter. Dies sind die zwei Hauptursachen dafür, dass sich Unternehmen schwertun, die Risiken von Computerkriminalität in den Griff zu bekommen. Dazu kommt, dass die Kriminellen die Schwachstellen neuer Technologie ausnutzen, gegen die es keine ausreichenden Schutzvorrichtungen gibt.
Mit dem IT-Sicherheitsgesetz, das noch 2015 verabschiedet werden soll, haben sich viele Befragte bislang nicht tiefer gehend beschäftigt. Die Mehrheit derer, die sich schon damit befasst haben, rechnen damit, auch betroffen zu sein. Denn das Gesetz ist auf Betreiber von “kritischer Infrastruktur” fokussiert. Dies sind Unternehmen, die “die für das Funktionieren unseres Gemeinwesens zentral sind”, wie es im Gesetzentwurf heißt.
Konkret werden voraussichtlich rund 2000 Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen verpflichtet, ein Mindestmaß an IT-Sicherheit einhalten und bei Vorfällen Meldung zu erstatten. Von denen, die sich bereits informiert haben, rechnen 91 Prozent damit, dass ihnen durch das Gesetz hohe Kosten und hoher bürokratischer Aufwand entstehen werden. Allerdings hegt die Gruppe der Informierten auch Hoffnungen, was die Wirksamkeit des Gesetzes angeht: 84 Prozent glauben, dass Unternehmen durch eine zentrale Sammlung von Angriffsmustern effektiver vor Bedrohungen gewarnt werden können. do