Studie: Mittelstand unterschätzt Gefahren von Cyberkriminalität

Im Schutz der Dunkelheit kommt der Dieb, durchbricht alle Sicherheitsvorkehrungen, steckt sich die wertvolle Beute in die Taschen und verschwindet wieder – völlig unerkannt. Was wie der Alptraum jedes Eigenheimbesitzers klingt, müssen auch immer mehr deutsche Unternehmen erleben. Allerdings hinterlassen Cyberkriminelle – ähnlich ihrer analogen „Kollegen“ – Trittspuren oder Fingerabdrücke in Form von digitalen Artefakten, die von IT-Forensikern ausgewertet werden können. Wenn diese rechtzeitig entdeckt werden, können sie dabei helfen, Spuren zu verfolgen und im besten Fall die Täter dingfest zu machen.

Rund 85 Prozent der deutschen Unternehmen können aber nach einer Cyberattacke den Täter lediglich nur der Kategorie „unbekannt extern“ zuordnen. Dies lässt darauf schließen, dass nicht nur Täter unidentifiziert bleiben, sondern auch die Angriffe an sich nicht entdeckt werden. Das zeigen die Ergebnisse der KPMG-Studie zur Computerkriminalität „e-Crime in der deutschen Wirtschaft 2019“. Hierfür wurden 1.001 repräsentativ nach Branche und Umsatz ausgewählte Unternehmen zu ihren Erfahrungen im Bereich der Computerkriminalität befragt.

Dennoch besteht bei deutschen Unternehmen weiterhin eine große Diskrepanz zwischen allgemeiner und individueller Risikowahrnehmung der Computerkriminalität. Zwar nehmen 92 Prozent der Studienteilnehmer für deutsche Unternehmen allgemein ein hohes Risiko wahr. Allerdings sieht nur die Hälfte der Befragten diese Gefahr auch für das eigene Unternehmen. Gerade kleine Unternehmen mit einem Umsatz von unter 250 Millionen Euro wähnen sich seltener gefährdet als umsatzstärkere Unternehmen (47 gegenüber 58 Prozent „hohes Risiko“) – ein gefährlicher Trugschluss. Denn Computerkriminalität macht keinen Unterschied: auch kleinere und mittlere Unternehmen stellen ein attraktives Angriffsziel für Computerkriminelle dar.

Jedes dritte kleinere Unternehmen in Deutschland ist betroffen von Computerkriminalität

Auf den ersten Blick wird die Annahme eines geringeren Risikos für kleine Unternehmen durch die in der Studie festgestellte Betroffenheit unterstützt (klein: 35 Prozent; groß: 45 Prozent). Schaut man sich die Zahlen jedoch genauer an, stellt man fest, dass damit nachweislich immerhin mehr als jedes dritte kleine Unternehmen von Cyberkriminalität betroffen ist. Die Aussage „mein Unternehmen ist klein und daher für Kriminelle uninteressant. Für uns besteht keine Gefahr“ ist somit einfach falsch. Darüber hinaus darf nicht vergessen werden, dass große Unternehmen über deutlich mehr Möglichkeiten zur Detektion und Aufklärung von Angriffen verfügen. Was wiederum bedeutet, dass die Dunkelziffer bei Angriffen auf kleinere Unternehmen wahrscheinlich auch höher liegt.

Um hier fair zu bleiben: Man kann von kleinen und mittleren Unternehmen schon aufgrund der begrenzten Ressourcen nicht erwarten, dass diese ebenso gut gegen Computerkriminalität gewappnet sind wie beispielsweise ein börsennotiertes Großunternehmen. Das zeigt sich beispielsweise bei der Frage, wer für die operative Aufklärung eines Angriffs verantwortlich ist. In kleinen Unternehmen ist dies hauptsächlich die IT-Abteilung (84 Prozent); lediglich etwas mehr als die Hälfte dieser Unternehmensgruppe schaltet auch eine spezialisierte IT-Sicherheitsabteilung ein. Bei umsatzstärkeren Unternehmen ist eine solche nicht nur präsenter (73 Prozent), sondern es werden u. a. darüber hinaus auch häufiger die Compliance- und Rechtsabteilung (63 bzw. 55 Prozent) hinzugezogen.

Mitarbeiterschulungen zur IT-Sicherheit sind essentiell

Das bedeutet nicht, dass kleine und mittlere Unternehmen die IT-Sicherheit nicht ernst nehmen. Aber für diese Unternehmen ist es umso wichtiger, dass sie die Gefahr nicht verkennen, sondern das Maximum aus den vergleichsweisen beschaulichen Ressourcen herausholen. Insbesondere Unachtsamkeit, unzureichende Schulungen und ein mangelndes Risikoverständnis begünstigen Computerkriminalität – auch das hat die diesjährige Studie gezeigt. Nach wie vor fehlt es Mitarbeitern in deutschen Unternehmen zu oft an Verständnis für komplexe Technologien (83 Prozent), um Verdachtsfälle effizient zu beurteilen. IT-Sicherheit fängt aber bei den Mitarbeitern in den Abteilungen an.

Eine täuschend echt aussehende Bewerbung per E-Mail mitsamt Lebenslauf im Anhang: Nur ein unbedachter Klick auf die angehängte Datei reicht aus, schon ist das System infiziert. So oder so ähnlich beginnen beispielsweise viele Ransomware-Angriffe. Diese Art von E-Mail kann bei jedem Mitarbeiter im Unternehmen landen. Zumeist vergeht dann nur wenig Zeit, bis das betroffene System verschlüsselt und auf dem Bildschirm nur noch die Nachricht der Kriminellen zu lesen ist, dass die Entschlüsselung nur gegen Zahlung eines Lösegeldes vorgenommen wird.

Ransomware-Angriffe in all ihren Unterarten sind aktuell wohl die beliebteste Methode Computerkrimineller und dennoch gleichzeitig nur eine Variante unter vielen. Die Methoden Cyberkrimineller entwickeln sich stetig weiter. Um mit der Entwicklung der Täter Schritt zu halten, müssen Unternehmen im Bereich der Prävention ihre Maßnahmen weiter intensivieren und professionalisieren. Hier können beispielsweise auch spezielle Versicherungen gegen e-Crime Abhilfe schaffen, die Unternehmen auch zunehmend nutzen. Während 2017 nur 55 Prozent der Befragten um die Existenz einer solchen Versicherung wussten, sind es nun zwei Drittel. 27 Prozent dieser Unternehmen besitzen mittlerweile eine solche Versicherung und weitere 28 Prozent dieser Teilgruppe erwägen, eine Cyberversicherung abzuschließen.

Über den Autor

Michael Sauermann leitet als verantwortlicher Partner den Bereich Forensic Technology bei KPMG in Deutschland und hat mehr als 14 Jahre Erfahrung auf dem Feld der IT-Forensik. Dabei unterstützt er mit seinem Team seine Kunden bei der Bewältigung von IT-Sicherheits- und Cybercrime-Vorfällen, einschließlich Krisenmanagement und vorgelagerter Incident Readiness. Die Anbahnung von Cyber-Policen moderiert er zwischen Versicherungen, Maklern und Versicherungsnehmen zur Einschätzung des Cyber Security Reifegrads von Unternehmen. Im Rahmen von Zivil- oder strafrechtlichen Verfahren, Sonderuntersuchungen sowie Compliance- oder Revisionsprojekten unterstützt er zudem durch eDiscovery-Services im nationalen und internationalen Kontext.

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels