Für die Studie »E-crime in der deutschen Wirtschaft 2017« von KPMG wurden von September bis November 2016 Führungskräfte aus 504 Unternehmen befragt. 34 Prozent der Unternehmen stammen aus der Industrie, 36 Prozent aus der Dienstleistung, 17 aus dem Handel und bei 13 handelte es sich um Finanzdienstleister. Bei den Befragten handelte es sich hauptsächlich um Führungskräfte aus den Bereichen Interne Revision, Finance & Controlling, Recht bzw. um Geschäftsführer und Vorstandsmitglieder.
Was befürchten Unternehmen und was geschieht wirklich?
88 Prozent der befragten Unternehmen schätzen die Risiken für deutsche Unternehmen, von Cybercrime betroffen zu sein, als hoch bis sehr hoch ein. Auf das eigene Unternehmen bezogen sind es 48 Prozent. Unter »Cybercrime« fallen in dieser Studie Datendiebstahl, das Ausspähen oder Abfangen von Daten, Computerbetrug durch Manipulation von EDV-Systemen, Netzwerksabotagen, Erpressung, die Manipulation von Konto- und Finanzdaten, die Verletzung von Urheberrechten sowie von Betriebsgeheimnissen. Möchte man eine Rangliste erstellen, so liegt – nach Meinung der Befragten – das Risiko besonders hoch, von Datendiebstahl und Computerbetrug (beides jeweils 83 Prozent) betroffen zu sein, gefolgt von Datenausspähung mit 73 Prozent und der Verletzung von Geschäftsgeheimnissen mit 72 Prozent. Auf dem letzten Platz landet das Risiko einer Erpressung mit 49 Prozent. Setzt man diese Werte in Korrelation zueinander, ist interessant zu sehen, dass bisher 36 Prozent der Unternehmen direkt von Computersabotage betroffen waren, einem befürchteten Risiko, das mit 61 Prozent weit hinter z. B. Datendiebstahl (83 Prozent) landet. Von Datendiebstahl waren wiederum nur 19 Prozent der Befragten betroffen. Hier weichen Vorstellung und Realität deutlich von einander ab. Bei Computerbetrug sieht es ähnlich aus. Fürchteten 83 Prozent ihn, waren nur 26 Prozent wirklich betroffen.
Was wollen Cyberkriminelle?
Für Cyberkriminelle sind besonders Bank- und Finanzdaten der Unternehmen von Interesse (43 Prozent). Danach folgen Kundendaten mit 36 Prozent und bereits deutlich abgeschlagen Preis-/Konditionsinformationen mit 17 Prozent. Nur 13 Prozent gaben IT-Daten als Ziel der Kriminellen an. Als Cyberkriminelle oder »gefährliche Personengruppen« gelten vor allem Hacker aus der organisierten Kriminalität, gefolgt von Geheimdiensten und Mitarbeitern bzw. Insidern.
53 Prozent der Mailserver wurden Ziele von Angriffen, gefolgt von Fileservern mit 25 Prozent. Cloud-Services rangieren in der Befragung ganz weit hinten. Sie wurden nur mit 3 Prozent Angriffsziel. Den Kriminellen ging es hauptsächlich darum, die unternehmensinterne IT anzugreifen (Durchschnittswert, basierend auf drei unterschiedlichen Jahresumsatzzahlen: 65 Prozent).
Wer oder was erleichtert Cyberangriffe?
87 Prozent der bereits von Cyberangriffen betroffenen Befragten gaben an, dass für sie hauptsächlich die Unachtsamkeit von Mitarbeitern als begünstigender Faktor für Angriffe gilt. Dem stimmen 89 Prozent der bisher nicht betroffenen Unternehmen zu. An zweiter Stelle folgt die zunehmende Komplexität der eingesetzten Technologien (81 Prozent bei nicht Betroffenen, 80 bei bereits Betroffenen) und auf Platz drei eine mangelnde Sicherheitskultur im Unternehmen (87 Prozent zu 78 Prozent). Wirft man einen detaillierteren Blick auf alle in der Studie genannten begünstigenden Faktoren wird schnell klar, dass der Faktor Mensch die größte Rolle spielt. Unachtsamkeit, Unaufmerksamkeit beim Erkennen erster Anzeichen von Verdachtsfällen, nicht ausreichend geschultes Personal und eine mangelhafte Sicherheitskultur bilden einen guten Nährboden für Angriffe von Cyberkriminellen.
Was planen die Unternehmen zu ihrem Schutz?
Die Hälfte der befragten Unternehmen plant, ihre Investitionen zum Schutz gegen Cyberangriffe zu erhöhen. Auf die Frage, welche Präventionsmaßnahmen vorgenommen werden, antworteten 83 Prozent mit Maßnahmen zur Sensibilisieren und Schulung der Mitarbeiter, was mit Blick auf die Zahlen des letzten Absatzes ein guter Schritt ist. 82 Prozent der Unternehmen wollen ihre Daten/Datenträger Verschlüssen und 78 Prozent planen eine regelmäßige Identifizierung des Schutzbedarfs von Daten und Systemen. Auf dem letzten Platz, jedoch zum ersten Mal seit Beginn dieser Umfrage im Jahr 2010, finden sich Whistleblower-Systeme mit 34 Prozent.
Wie auch im letzten Jahr wird die Aufklärung von Cybercrime-Vorfällen in 79 Prozent der Unternehmen als Aufgabe der IT-Abteilung bzw. einer IT-Sicherheitsabteilung (71 Prozent) begriffen. Während im Jahr 2015 noch 64 Prozent der befragten Unternehmen ihre Compliance-Abteilung hiermit betrauten, waren es diesmal nur noch 42 Prozent.
Als wichtigstes Mittel der Wahl wird zur Aufklärung die elektronische Datenanalyse genutzt (64 Prozent). 55 Prozent der Unternehmen führen Mitarbeiterbefragungen durch und 44 Prozent analysieren E-Mail-Konten ihrer Angestellten.
Auf die Frage, wie vertraut die Unternehmen mit dem IT-Sicherheitsgesetz, das im Juli 2015 in Kraft trat, sind, gaben 53 Prozent an, mit dem Thema vertraut zu sein. 89 Prozent haben bereits Mitarbeiterschulungen durchgefühlt. 86 Prozent haben interne Meldewege optimiert und 84 Prozent einen Ansprechpartner für das BSI benannt. 63 Prozent der Unternehmen führten zudem Übungen zu IT-Sicherheitsvorfällen durch.
Sie haben Fragen zum IT-Sicherheitsgesetz und benötigen Unterstützung? Rufen Sie uns an!
Die Studie zum Download finden Sie hier.