Datendiebstahl: virtuelle Gefahr, echte Schäden

Eine aktuelle EY-Studie zeigt: Digitalisierung erhöht Verwundbarkeit der Unternehmen

Von Bodo Meseke

Beitrag als PDF (Downloard)

Die Warnungen klingen seit Jahren gleich: Vor allem geistiges Eigentum steht im Fadenkreuz von Datendiebstahl, Cyberkriminalität, Ausspähung und staatlicher Spionage. Die Angreifer seien zunehmend professionell organisiert, dafür die Unternehmen umso schlechter vorbereitet. Man müsse neben den Potentialen auch die Risiken der Digitalisierung sehen – so eine sinngemäße Wiedergabe der Stimmen aus IT-Abteilungen und Risikomanagementstellen der deutschen Unternehmen von Mittelstand bis Großkonzern.

Große Beachtung schenkte man den Warnern augenscheinlich nicht. Vielmehr erlitten sie das Schicksal der Kassandra, die in der griechischen Mythologie dazu verflucht war, in die Zukunft sehen zu können, ohne dass ihren Prophezeiungen Glauben geschenkt wurde. Anders sind die Ergebnisse unserer aktuellen EY-Studie zum Thema Datenklau nicht zu erklären, die wir in diesem Beitrag vorstellen und besprechen.

Den Charakter einer Drohkulisse hat das Thema Cyberkriminalität jedenfalls in großen Teilen eingebüßt. Insbesondere der Datenklau hat die deutsche Wirtschaft in den vergangenen zwei Jahren mit voller Härte getroffen – jedoch unter der Oberfläche, ohne dass die Fälle öffentlich sichtbar wurden. Aus dem Risikoszenario am Horizont ist ein massiver Treiber für Wertverlust geworden. Das lässt sich allein schon an der Tatsache ablesen, dass die Unternehmen selbst angeben, immer häufiger Opfer von Angriffen zu werden.

Unserer Befragung zufolge sind 44% der deutschen Unternehmen nach eigenen Angaben in den vergangenen drei Jahren angegriffen worden, das sind gut dreimal so viele wie noch vor zwei Jahren. Großunternehmen mit einem Umsatz von mehr als 1 Milliarde Euro sind besonders stark gefährdet. Hier haben ganze 57% bereits konkrete Attacken festgestellt – vor zwei Jahren gab dies nur jedes fünfte Unternehmen so an. Zur Einordnung: Die Dunkelziffer dürfte noch höher sein, denn in jedem sechsten betroffenen Unternehmen fielen die kriminellen Handlungen nur durch Zufall auf. Nicht zuletzt der hohe Anteil an Zufallsfunden spricht dafür, dass die Unternehmen bisher nicht flächendeckend Systeme installiert haben, mit denen sich Attacken erkennen und nachverfolgen lassen.

Trotz steigender Fallzahlen: Unternehmen fühlen sich sicher

Das sehen zumindest die 450 von uns befragten Führungskräfte in den Unternehmen anders. Der dramatischen Zunahme der Attacken zum Trotz befürchten lediglich 18% ein sehr hohes Risiko, selbst Opfer eines Cyberangriffs zu werden. Acht von zehn Unternehmen halten ihren aktuellen Schutz oder ihre Abwehrmechanismen hinsichtlich Datenklau, Ausspähung, Spionage und Sabotage für ausreichend. Es ist ein widersprüchliches Phänomen zu erkennen: Dass ein Grund zur Besorgnis besteht, bestreiten die Unternehmen in Anbetracht der zahlreichen Fälle wie Erpressungstrojanern oder destruktiver Malware wie NotPetya nicht. Umfassendere Schutzvorkehrungen sind in den Unternehmen hingegen Mangelware: Ein Intru­sion-Detection- oder -Prevention-System, das Hinweise auf die Aktivitäten von Eindringlingen geben kann, leistet sich gerade einmal jedes vierte Unternehmen. Die gängigen Sicherheitsvorkehrungen sind dabei in der Regel eher konventionell: Jeweils mehr als drei von vier befragten Unternehmen setzen zur Vorbeugung von Spionageakten und Cyberattacken auf Firewalls, Antivirensoftware und starke Passwörter. Aus der Sicht des aktuellen Stands digitaler Forensik muss allerdings festgestellt werden, dass Passwörter und Antivirensoftware von Hackern oftmals sehr schnell umgangen und geknackt werden können, sind doch oft Phishing oder Social Engineering viel zielführender als der pure Versuch des Brechens von Schutzwällen. Umfassendere und strengere Sicherheitsvorkehrungen – insbesondere im Bereich Intellectual Property – sind bisher nur in Ausnahmenfällen angewandte Praxis.

Immerhin setzt sich – vermutlich auch aufgrund der vielen Schlagzeilen und Fallbeispiele – zunehmend die Erkenntnis durch, dass die Bedrohung stetig zunimmt: 46% der Manager rechnen mit einer deutlich steigenden Bedeutung von Angriffen auf ihr Unternehmen, bei den Großunternehmen mit mehr als 1 Milliarde Euro Umsatz liegt der Anteil sogar bei 67%.

Immer komplexere Angriffsmuster

Als Ursache und Ausgangspunkt für Cyberkriminalität ist in den vergangenen zwei Jahren neben staatlicher oder geheimdienstlicher Spionage und der Ausspähung durch Wettbewerber vor allem die organisierte Kriminalität auf den Plan getreten. Immer häufiger sind Angriffsmuster zu beobachten, die eigens zu dem Zweck entwickelt und verbreitet wurden, Unternehmen zu erpressen oder anderweitig um Geld oder Waren zu erleichtern. Solche Angriffsmuster müssen nicht alle zwangsläufig digital ablaufen, wie beispielsweise Trojaner oder Ransomware, von der das eigene IT-System als Geisel genommen wird. Eine digital-analoge Mischform stellt das sogenannte Social Engineering dar, in dessen Rahmen Betrüger beispielsweise E-Mail-Adressen von Geschäftsführern fälschen und dann vom hauseigenen Controlling Sofortzahlungen fordern – in vielen Fällen kombiniert mit Telefonanrufen, in denen sie sich als Chef ausgegeben und entsprechend Druck auf Mitarbeiter in geldnahen Unternehmensbereichen aufbauen („CEO-Fraud“). Auch wenn der Modus Operandi dem von Türschwellen bekannten „Enkeltrick“ gleicht: Mit amateurhaften Kleinkriminellen haben es die Unternehmen hier nicht zu tun. Mitunter verfügen die Täter über hohe Organisationskenntnisse und Insiderwissen. Angriffe erfolgen zielgerichtet und werden teilweise mühevoll über lange Zeit vorbereitet und umgesetzt. Auch dies ist eine Erkenntnis aus den vorliegenden Daten: Langfristig angelegte Angriffe, sogenannte Advanced Persistent Threats, sind keine Ausnahmen mehr.

Wo die Gefahr besonders groß ist

Die größte Gefahr geht aus Sicht der Manager von Russland aus: 45% nennen das Land als Region mit dem höchsten Risikopotential, gefolgt von China (40%) und den USA (27%). Zwar ist der Anteil der Banken und Versicherungen, die von Attacken betroffen waren, mit 30% relativ gering, dafür ist aber das Problembewusstsein in dieser Branche besonders stark ausgeprägt: 68% der Unternehmen sehen ein hohes Risiko, attackiert zu werden. 60% rechnen mit einer zunehmenden Bedeutung von Cyberangriffen für das eigene Unternehmen, was im Vergleich einen Spitzenwert darstellt. Das mag auch daran liegen, dass im Finanzwesen bereits wesentliche Geschäftsbereiche digitalisiert durchgeführt werden und somit auch eine entsprechend hohe Zahl von Einfallstoren für digitale Kriminalität existiert.

Branchenunabhängig stehen den Präventionsmaßnahmen Schadensrisiken gegenüber, die nach Angabe der Unternehmen in die Millionen pro Fall gehen können, etwa bei Betriebsausfällen oder Schadensersatzforderungen von geschädigten Kunden. Um für große Schäden gewappnet zu sein, schließen immer mehr Unternehmen Versicherungen gegen Cyberrisiken ab: 27% der befragten Unternehmen haben bereits eine derartige Versicherung abgeschlossen – in der Finanzbranche ist der Anteil mit 48% besonders hoch.

Auch hier ist die Finanzindustrie also Vorreiter einer alarmierten, aber noch nicht ansatzweise adäquat auf eine neue Generation von Risiken aus dem digitalen Raum vorbereitete deutsche Wirtschaft. Die Sorglosigkeit muss verwundern. Schließlich steht mit dem Projekt „Industrie 4.0“ nicht weniger auf dem Spiel als die eigene Zukunftsfähigkeit.

bodo.meseke@de.ey.com