Je umsatzstärker ein Unternehmens, desto häufiger wird es von Cyber-Kriminellen angegriffen. Das geht aus der "E-Crime-Studie 2010 - Computerkriminalität in der deutschen Wirtschaft" hervor, für die der Berliner Berater KPMG rund 500 Führungskräfte befragt hat. Demnach wurden in den vergangenen drei Jahren 31 Prozent der Firmen mit mehr als drei Milliarden Euro Umsatz Opfer von E-Crime. Unter Betrieben mit weniger als 250 Millionen Umsatz waren es "nur" 22 Prozent.
Generell glaubt KPMG, dass Unternehmen im Wettrüsten mit Cyber-Kriminellen meist auf der Strecke bleiben. Zwei Gründe dafür: Die Übeltäter verfügen über mehr Fachwissen und Unternehmen setzen ihre Sicherheitskonzepte nicht konsequent genug um. Für letzteres führt KPMG das Beispiel eines Unternehmens an, dem auf einer Messe ein USB-Stick mit den wichtigsten Produkt- und Kundeninformationen abhanden kam. Bei der Konkurrenz tauchten der Stick wieder auf.
Die Geschäftsführung hatte zwar eine umfassende Verfahrensrichtlinie erlassen, die vorsah, keine sensiblen Daten auf mobilen Datenträgern zu speichern. Das Unternehmen führte aber weder ein durchgängiges Sicherheits- und Verschlüsselungskonzept ein, noch stattete es USB-Sticks mit Verschlüsselungs-Software aus oder sensibilisierte die Mitarbeiter.
Dass das Business teilweise ein verzerrtes Bild von Cyber-Kriminellen hat, lastet KPMG auch den Medien an. Zu häufig propagierten sie das Bild vom externen Hacker. Stattdessen sollten Entscheider die eigene IT-Abteilung unter die Lupe nehmen. These der Studienautoren: Die Gefahr, die von Systemadministratoren ausgeht, wird unterschätzt.
37 Prozent der Befragten nennen Administratoren als "bedeutsame Gefahrenquelle". KPMG kommentiert: "Erfahrungsgemäß übersteigen die Möglichkeiten der Systemadministratoren für potenzielle E-Crime-Delikte die Vorstellungskraft der Unternehmensleitung."
Faktisch erfordern umfangreiche Zugangsrechte, wenig formalisierte Prozesse und hohes fachliches Know-how der IT-Mitarbeiter, dass diese Abteilungen besonders streng kontrolliert werden müssen, so KPMG. Die Studienautoren stützen diese Empfehlung auf Erfahrungen aus ihrer Beratungsarbeit.
Immerhin: 70 Prozent der Unternehmen, die bereits E-Crime-Attacken erlebten, halten eigene Mitarbeiter für ein größeres Risiko als Hacker oder Spione. Dabei spielt auch die Finanzkrise eine Rolle, und zwar dann, wenn krisenbedingte Entlassungen ausgesprochen werden müssen. Insbesondere langjährige, loyale Mitarbeiter fühlen sich möglicherweise ungerecht behandelt.
Geldnot führt zu Fraud Triangle
Hinzu kommt: Arbeitsplatzverlust kann Menschen in Geldnöte bringen. Hat jemand in einer solchen Situation leichten Zugriff auf sensible Daten, erfüllt er die Voraussetzungen des sogenannten "Fraud Triangles": Rechtfertigung, Motivation und Gelegenheit. Das Fraud Triangle geht auf den US-amerikanischen Kriminologen und Soziologen Donald Cressey zurück.
KPMG sieht Cyber-Kriminalität nicht zuletzt in der immer stärkeren Vernetzung begründet. Mobile Endgeräte und virtualisierte Netzwerklösungen bewirken, dass die Grenzen zwischen Unternehmen und externen wie internen Partnern durchlässiger werden.
Die Studienteilnehmer bestätigen das. 82 Prozent erklären, Cyber-Kriminelle nutzten Schwachstellen in neuen Technologien aus, für die es bisher nur unzureichende Schutzmaßnahmen gibt. 86 Prozent haben das Gefühl, Angriffe würden immer komplexer und dadurch weniger gut auf einzelne Täter zurückverfolgbar. 84 Prozent geben an, es werde immer schwerer, E-Crime-Vorfälle überhaupt zu erkennen.
Schäden in zweistelliger Milliardenhöhe
Der wirtschaftliche Schaden durch solche Straftaten ist schwer zu schätzen. Wie KPMG schreibt, rechnen viele Analysten mit einstelligen Milliardenbeträgen. Die Berliner selbst kommen auf höhere Summen: "Würde man nun die in dieser Studie angegebenen Schadenshöhen von durchschnittlich etwa 300.000 Euro pro Delikt mit den in der polizeilichen Kriminalstatistik genannten Fällen der Computerkriminalität multiplizieren, käme man zumindest auf zweistellige Milliardenbeträge", so die Studienautoren.
Generell spricht sich KPMG dagegen aus, die Prävention von Cyber-Kriminalität bei der IT-Abteilung aufzuhängen. Diese Sicht sei zu Technik-fixiert. Zwar habe das IT-Team das beste Verständnis für Hardware, Software und Daten. Das "E" im E-Crime sei letztlich aber nur das Medium für alle möglichen wirtschaftskriminellen Handlungen.