Cyberkriminalität: Mitarbeiter sind großer Risikofaktor
Wer bei den Verursachern von Cyberkriminalität als erstes an sonnenentwöhnte, ungeduschte Hobby-Hacker denkt, die nächtelang in einem dunklen Keller vor vier Bildschirmen sitzen und sekundenschnell in die Systeme von Firmen eindringen, der irrt. Dieses aus vielen Filmen wohlbekannte Szenario trifft in der Realität nämlich nur auf etwa 17 Prozent der IT-basierten Straftaten zu, die deutsche Unternehmen in den vergangenen zwei Jahren zu verzeichnen hatten. Der größte Täterkreis – das hat der Branchenverband BITKOM im Rahmen einer repräsentativen Studie mit 1.074 Unternehmen herausgefunden – sind mit immerhin 52 Prozent aktuelle oder ehemalige Mitarbeiter. 39 Prozent der Täter stammen aus dem Umfeld des Unternehmens: Wettbewerber, Kunden, Lieferanten und Dienstleister gehören dazu.
Mitarbeiter als Einfallstor für Cyberkriminalität
Nicht nur bei der Gruppe der Täter, auch bei den zu verzeichnenden Delikten sind die eigenen Mitarbeiter – vorwiegend aufgrund von Unvorsichtigkeit und Unbedarftheit – ein wichtiger Faktor. Bei jedem fünften Unternehmen wurde in den vergangenen zwei Jahren das sogenannte Social Engineering angewendet. Dabei versuchen z. B. als Dienstleister getarnte Externe am Telefon oder in persönlichen Gesprächen an Informationen über Namen und Tätigkeitsfelder von Mitarbeitern heranzukommen. In einem zweiten Schritt werden an diese Mitarbeiter täuschend echte E-Mails geschickt, mit denen die Adressaten dazu gebracht werden sollen, mit Trojanern infizierte Dateianhänge zu öffnen, fingierte Rechnungen zu bezahlen oder persönliche Informationen preiszugeben. BITKOM-Präsident Prof. Dieter Kempf plädiert daher dafür, die Schulung der Mitarbeiter beim Sicherheitskonzept in den Unternehmen mit zu berücksichtigen. Dabei gehe es nicht um Misstrauen, sondern um die Etablierung einer Sicherheitskultur, so der Vorstandsvorsitzende der DATEV eG.
Mittelstand stark betroffen von Cyberkriminalität
51 Prozent der befragten Unternehmen sind in den vergangenen zwei Jahren Opfer von Datendiebstahl, digitaler Wirtschaftsspionage oder Sabotage geworden. 51 Milliarden Euro Schaden entstehen der deutschen Wirtschaft dadurch pro Jahr. Am häufigsten betroffen ist mit 61 Prozent der Vorfälle der Mittelstand. Diese Firmen hätten meist weniger Kapazitäten für die Abwehr von Cyberattacken zur Verfügung als größere, erläutert BITKOM-Präsident Kempf. Dadurch könnten sie als Einfallstor dienen, um an Geschäftsgeheimnisse von Großkonzernen zu gelangen, mit denen sie durch Zulieferungsketten verbunden sind. Mit 68 Prozent am stärksten von Cyberkriminalität betroffen ist laut Studie die Automobilindustrie. Die Branche sei in Deutschland besonders innovativ und stark. Nach der Chemie- und Pharmaindustrie mit 66 Prozent folgt an dritter Stelle mit 60 Prozent der Finanzsektor, in dem häufig Identitätsdiebstähle zu verzeichnen sind.
Imageschaden durch Cyberkriminalität?
Tritt der Ernstfall ein, wenden sich nur wenige Unternehmen (20 Prozent) an staatliche Stellen, um das Delikt untersuchen zu lassen. 30 Prozent beauftragen externe Spezialisten mit der Recherche, 53 Prozent der betroffenen Firmen beschränken sich auf interne Analysen. Die Gründe für die Zurückhaltung bei der Zusammenarbeit mit den zuständigen Behörden sind vielfältig: 35 Prozent befürchten negative Konsequenzen wie die Beschlagnahmung von Computern, 31 Prozent verweisen auf den hohen Aufwand und 23 Prozent haben Angst vor einem Imageschaden. Dieter Kempf plädiert dennoch dafür, sich im Schadensfall an die Kriminalbehörden zu wenden. Dies sei wichtig, damit ein vollständiges Bild von der Bedrohungslage entstehe.
Um Cyberkriminalität zu verhindern, treffen Unternehmen derzeit noch zu wenige Vorkehrungen, entnimmt der BITKOM-Präsident den Studienergebnissen: „Die berühmte Burgmauer reicht heute nicht mehr aus.“ Man könne sich nicht ausschließlich auf präventive Maßnahmen wie Virenscanner und Firewalls verlassen, sondern müsse sich auch um organisatorische Sicherheitsmaßnahmen und ein effektives Notfallmanagement kümmern, so Dieter Kempf.