24. Juli 2017 - Cyberattacken, Spionage, Sabotage und Datendiebstahl – die virtuellen Verbrechen sprengen bald national und international den Rahmen der Bezahlbarkeit. Seit zwei Jahren wurden mehr als die Hälfte der Unternehmen hierzulande Cyber-Opfer. Aber Cyberversicherungen werden nur schleppend abgeschlossen.
Auf rund 55 Milliarden Euro jährlich werden die Schäden geschätzt, die in den vergangenen zwei Jahren durch (digitale) Wirtschaftsspionage, Sabotage oder Datendiebstahl hierzulande entstanden sind. Das ist das Ergebnis einer Studie des Digitalverbands Bitkom (www.bitkom.org), für die 1.069 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Branchen in Deutschland repräsentativ befragt wurden. Verglichen mit der ersten Bitkom-Studie vor zwei Jahren ist der Anteil der Betroffenen nur leicht von 51 auf 53 Prozent gestiegen, doch der Schaden ist zugleich um rund 8 Prozent von 51 auf 55 Milliarden Euro gewachsen.
In jedem sechsten Unternehmen (17 Prozent) wurden in den vergangenen zwei Jahren demnach sensible digitale Daten gestohlen. Vor allem Kommunikationsdaten wie E-Mails (41 Prozent) oder Finanzdaten (36 Prozent) fielen dabei häufig in die Hände der Angreifer. In 17 Prozent der Fälle von Datendiebstahl wurden Kundendaten entwendet, in 11 Prozent Patente oder Informationen aus Forschung und Entwicklung, in 10 Prozent Mitarbeiterdaten.
„Unternehmen müssen viel mehr für ihre digitale Sicherheit tun. Die Studie zeigt, dass die Gefahr für Unternehmen aller Branchen und jeder Größe real ist. Jeder kann Opfer von Spionage, Sabotage oder Datendiebstahl werden“, sagte Bitkom-Präsident Achim Berg bei der Vorstellung der Studie in Berlin. „Die Studie unterstreicht, dass wir in Zeiten von Digitalisierung und Industrie 4.0 unser besonderes Augenmerk auf die Abwehr von Spionageangriffen auf die deutsche Wirtschaft richten müssen. Im Sinne eines ganzheitlichen und nachhaltigen Wirtschaftsschutzes gehören dazu nicht allein IT-bezogene Maßnahmen, sondern risikominimierende Pläne in den Bereichen Organisation, Personal und Sensibilisierung. Wichtig ist aber auch die intensive Zusammenarbeit zwischen Wirtschaft und Behörden sowie den Behörden untereinander - wie in der Initiative Wirtschaftsschutz“, betonte Dr. Hans-Georg Maaßen, Präsident des Bundesamtes für Verfassungsschutz (BfV).
Die Bitkom-Studie machte deutlich, dass die Angreifer es nicht immer ausschließlich oder direkt auf digitale Daten abgesehen haben. Häufigstes Delikt ist demnach der Diebstahl von IT- oder Telekommunikationsgeräten wie Notebooks oder Smartphones. Davon waren 30 Prozent der Unternehmen in den vergangenen zwei Jahren betroffen, wobei in der Regel unklar ist, ob die Täter es auf die Geräte an sich oder auf die darauf gespeicherten Daten abgesehen haben. Rund jedes fünfte Unternehmen berichtet von Social Engineering (Analoges Social Engineering 20 Prozent, Digitales Social Engineering 18 Prozent). Dabei werden Mitarbeiter manipuliert, um an sensible Informationen zu kommen, mit denen dann in einem weiteren Schritt zum Beispiel Schadsoftware auf die Firmenrechner gebracht werden kann.
Jedes achte Unternehmen Opfer von digitaler Sabotage
Laut Studie ist jedes achte Unternehmen (12 Prozent) Opfer von digitaler Sabotage geworden, durch die zum Beispiel die Produktion gestört wurde. 8 Prozent berichten vom Ausspähen der digitalen Kommunikation wie E-Mails, 7 Prozent vom Abhören von Telefonaten oder Besprechungen. Klassische analoge Angriffe kommen demgegenüber eher selten vor. So wurden 17 Prozent der Unternehmen Opfer eines klassischen Diebstahls von Dokumenten wie Papieren, Mustern oder Bauteilen, in lediglich 4 Prozent der Unternehmen wurden Produktionssysteme oder Betriebsabläufe auf analogem Weg sabotiert und lahmgelegt.
Wie die Studien-Autoren ermittelten, werden besonders häufig aktuelle oder ehemalige Mitarbeiter des Unternehmens als Täter enttarnt. 62 Prozent der Unternehmen, die in den vergangenen zwei Jahren Opfer von Spionage, Sabotage oder Datendiebstahl wurden, haben die Täter in diesem Personenkreis identifiziert. 41 Prozent der betroffenen Unternehmen machen Wettbewerber, Kunden, Lieferanten oder Dienstleister für die Angriffe verantwortlich, 21 Prozent Hobby-Hacker und 7 Prozent Personen aus der organisierten Kriminalität. Ausländische Nachrichtendienste wurden in 3 Prozent der Unternehmen als Täter identifiziert. 7 Prozent der Unternehmen geben an, dass die Täter unbekannt waren. Jedes dritte von Angriffen betroffene Unternehmen (37 Prozent) berichtet, dass die Täter aus Deutschland kamen. Aber der Großteil der Angriffe kommt aus dem Ausland: 23 Prozent der Unternehmen berichten von Tätern aus Osteuropa, 20 Prozent aus China und 18 Prozent aus Russland. Erst danach folgen die USA (15 Prozent), die Summe aller westeuropäischen Länder (12 Prozent) und Japan (7 Prozent).
Cyber-Attacken melden und realitätsnahe Abwehrstrategie entwickeln
Trotz der oft schweren aber diffusen Angriffe und Angreifer schaltet nicht einmal jedes dritte betroffene Unternehmen (31 Prozent) staatliche Stellen ein. Dr. Maaßen: „Es gilt der Grundsatz ‚Need to share‘, wenn wir gemeinsam die deutsche Volkswirtschaft widerstandsfähiger gegen Wirtschaftsspionage machen wollen. Nur wenn Unternehmen Angriffe melden, können die Sicherheitsbehörden ein realitätsnahes Lagebild erstellen und Abwehrstrategien entwickeln.“ Eine interne Untersuchung haben 46 Prozent der Unternehmen eingeleitet, externe Spezialisten wurden von 34 Prozent hinzugezogen. Überhaupt keine Untersuchung wurde nur von 3 Prozent der Betroffenen veranlasst, vor zwei Jahren waren es noch 10 Prozent.
Übrigens ist erster Ansprechpartner für die Unternehmen bei den Behörden die Polizei, an die sich 84 Prozent jener Unternehmen wenden, die überhaupt staatliche Stellen einschalten. Die Staatsanwaltschaft informieren 57 Prozent. An die Datenschutz-Aufsicht oder an das Bundesamt für Sicherheit in der Informationstechnik wenden sich jeweils 15 Prozent, an den Verfassungsschutz 3 Prozent.
Angst vor Imageschäden
Hauptgrund dafür, sich nicht an die Behörden zu wenden, ist die Angst vor Imageschäden. Das geben 41 Prozent der Unternehmen an, die auf das Einschalten staatlicher Stellen verzichtet haben. Jeweils gut jedes dritte Unternehmen gibt an, man habe auf eine entsprechende Information verzichtet, weil man Angst vor negativen Konsequenzen habe (35 Prozent), weil die Täter ohnehin nicht gefasst würden (34 Prozent) oder weil der Aufwand zu hoch sei (29 Prozent).
Bereits Maßnahmen gegen Angreifer ergriffen
Viele Unternehmen haben bereits Maßnahmen ergriffen, um sich besser gegen Angreifer zu schützen. So setzen alle Unternehmen einen technischen Basisschutz wie etwa Passwörter auf allen Geräten, Firewalls und Virenscanner ein und fertigen regelmäßig Backups ihrer Daten an. Anspruchsvollere Maßnahmen sind dagegen selten, etwa Intrusion Detection Systeme (20 Prozent) oder Penetrationstests (17 Prozent).
Auch im Bereich der organisatorischen Sicherheit sind Standardmaßnahmen weit verbreitet, etwa die Festlegung von Zugriffsrechten für bestimmte Informationen (99 Prozent), die eindeutige Kennzeichnung von Betriebsgeheimnissen (85 Prozent) oder die Festlegung von Zutrittsrechten in bestimmte Unternehmensbereichen (81 Prozent). Dagegen setzt nur eine Minderheit auf Sicherheits-Zertifizierungen (43 Prozent) oder regelmäßige Sicherheits-Audits durch externe Spezialisten (24 Prozent).
Großer Nachholbedarf im Bereich der personellen Sicherheit
Großen Nachholbedarf gibt es im Bereich der personellen Sicherheit. Nur 6 von 10 Unternehmen (58 Prozent) führen Background-Checks bei Bewerbern für sensible Positionen durch, nur jedes zweite hat einen Sicherheitsverantwortlichen benannt (54 Prozent) oder schult Mitarbeiter zu Sicherheitsthemen (53 Prozent). „Wenn man bedenkt, dass Angriffe sehr oft durch aktuelle oder frühere Mitarbeiter erfolgen, so verwundert die Nachlässigkeit bei der Mitarbeiterschulung. Hier ließe sich die Sicherheit in den Unternehmen mit vergleichsweise geringem Aufwand und in kurzer Zeit deutlich verbessern“, so Berg.
Bitkom und der Bundesverfassungsschutz stellen in der Studie zum Wirtschaftsschutz auch zahlreiche Präventionsmaßnahmen (https://www.bitkom.org/Presse/Anhaenge-an-PIs/2017/07-Juli/Bitkom-Charts-Wirtschaftsschutz-in-der-digitalen-Welt-21-07-2017.pdf) vor.
Durchschnittlicher Schaden von 1,8 Millionen Euro in Großunternehmen
Wie viele der durch Cyberkriminalität zu Schaden gekommenen Unternehmen in Deutschland auch Cyberschutz von Versicherern eingekauft haben, wurde nicht ermittelt. Es wurde aber an anderer Stelle errechnet, dass ein erfolgreicher Hacker-Angriff auf ein Großunternehmen einen durchschnittlichen wirtschaftlichen Schaden von mindestens 1,8 Millionen Euro verursacht. Aber selbst bei kleinen und mittelständischen Unternehmen liegt der Durchschnittswert schon bei mindestens 70.000 Euro. Trotz wachsendem Angebot der Assekuranzen, ist es in Deutschland noch eher die Ausnahme, wenn Unternehmen über eine eigene Cyber-Versicherung gegen die Risiken der Internetkriminalität verfügen. Unter US-amerikanischen Firmen sind diese speziellen Versicherungen dagegen bereits relativ verbreitet: So beträgt das Prämienvolumen für Cyber-Versicherungen in den USA derzeit schon mehr als 1 Milliarde US-Dollar (entspricht weit mehr als 856 Millionen Euro) jährlich. Dass das Bewusstsein für die Gefahren der Cyberkriminalität auch hierzulande langsam steigt, zeigt die weltweit zunehmende Anzahl an Versicherungslösungen auf dem Markt. (-el / www.bocuel-news.de)
Achtung Copyright: Die Inhalte von bocquel-news.de sind nach dem Urheberrecht für journalistische Texte geschützt. Die Artikel sind ausschließlich zur persönlichen Lektüre und Information bestimmt. Abdrucke und Weiterverwendung - beispielsweise zum kommerziellen Gebrauch auf einer anderen Homepage / Website oder Druckstücken - sind nur nach persönlicher Rücksprache mit der Redaktion (info@bocquel-news.de) gestattet.
