Unternehmen in Deutschland machen es den Angreifern leicht: Mitarbeiter, die nicht achtsam sind, und eine fehlende Sicherheitskultur öffnen Tätern geradezu die Tür, um Informationen zu stehlen, wie die Wirtschaftsprüfer von KPMG in ihrer Studie "E-Crime 2012" herausfanden.
Die häufigsten Verbrechen
Foto: KPMG
Häufigstes Delikt mit 37 Prozent: Computerbetrug bei Finanzdienstleistern. In allen anderen Branchen ist Datendiebstahl Cybercrime Nummer 1. Im Vergleich zur Studie von 2010 hat die Verletzung von Betriebsgeheimnissen abgenommen, stattdessen spähen Hacker Daten aus und manipulieren Kontodaten. Letzteres ist laut KPMG deutlich angestiegen.
Als Gefahrenquelle identifizierten die Befragten vor allem in einem Mehr an Endgeräten, in Sozialen Netzwerken und im Outsourcing von kritischen Geschäftsbereichen an Dritte. Mehr als die Hälfte (52 Prozent) gab an, vor allem mit Social Media sei vorsichtig umzugehen. Gerade vertrauliche Mitarbeiterinformationen könnten so schnell in die Öffentlichkeit geraten und ein Ziel für Angriffe bieten.
Problemfall Berechtigungsmanagement
Weitergabe von Berechtigungen an Dritte sei ebenfalls ein großes Problem, gaben viele Befragten an. Mehr als zwei Drittel (69 Prozent) sagten, dass dies Angreifern ein leichtes Ziel böte. Die Wirtschaftsprüfer unterstreichen in ihrer Studie, dass die Weitergabe von solchen Kennungen oft erst einen Einstieg in das System böte. Aber ob sich das ändern lässt, daran kamen in der Studie Zweifel auf.
Das Problem mit den Berechtigungen wird aber bestehen bleiben, warnen die Berliner Berater: Es werde immer mehr verschiedene Systeme und Anwendungen geben, die vermehrt ineinander greifen. Ein Berechtigungsmanagement müsste eigentlich auf der Tagesordnung eines jeden Unternehmen stehen - aber das ist komplex und wird durch ständigen Personalwechsel auch nicht eben einfacher.
Wechselnde Zuständigkeiten, Kündigungen, Beförderungen würden sich in den Berechtigungen nicht sofort niederschlagen, so die Analyse von KPMG. Oft hätten entlassene Mitarbeiter noch lange Zeit Zugriff auf Daten und auf der anderen Seite müssten beförderte Angestellte sehr lange auf zusätzliche Berechtigungen warten. Oft geben dann Kollegen die eigenen Kennung weiter - und das wird irgendwann zum Problem. Das verdeutlicht, wie groß die Gefahr eines Angriffs hier ist.
Komplexere Angriffe
Foto: KPMG
Gleichzeitig hätten wohl viele Unternehmen, so die Wirtschaftsprüfer, Probleme damit, überhaupt ein E-Crime zu entdecken. 85 Prozent der betroffenen Unternehmen gaben an, dass die Angriffe in letzter Zeit immer komplexer geworden seien. Das macht es gerade Laien schwer, eine Unregelmäßigkeit als Angriff wahrzunehmen. Immerhin wurden mehr als die Hälfte (54 Prozent) der bekannten kriminellen Übergriffe erst durch Dritte offengelegt. Kunden und Geschäftspartner wiesen die Unternehmen erst durch eine Lücke hin.
Doch im Vergleich zur vergangenen Studie sei wohl das Bewusstsein in den Firmen für Cybercrime gestiegen. Aber solange Mitarbeiter kein Risikobewusstsein für ihr Verhalten haben, können Unternehmen die Einfallstore für Hackerangriffe nicht schließen.
Schwachstelle externe Web- und Mailserver
Am stärksten griffen Hacker auf externe Web- und Mailserver zu, wie die Studie ergab. Das mag aber auch ein Fehler in der Statistik sein, schließlich würden hier die meisten Zugriffe registriert. Großangelegten Datenklau schafften Angreifer nur, wenn sie tatsächlichen Zugang zu externen Webservern hatten. Interessantes Detail: Die Cloud ist davon nicht betroffen.
Angriffe auf die Cloud vermutlich unerkannt
Nur zwei Prozent der Unternehmen berichteten, dass sie Probleme mit Angriffen auf ihre in der Cloud gesicherten Daten gehabt hätten. Erstaunlich wenig angesichts der etwa 30 Prozent an Unternehmen, die ein Form von Cloud Computing nutzen. KPMG geht davon aus, dass die Schäden einfach nicht entdeckt worden sind. Die Sicherungssysteme in Clouds seien einfach noch nicht ausgereift genug: So wenige Verbrechen, das spricht eher für mangelnde Aufdeckung als nahezu perfekte Sicherheit.
Foto: KPMG
Die Wirtschaftsprüfer gehen also davon aus, dass die berichteten Wolken-Vorfälle steigen dürften - genauso wie die Kosten für die Beseitigung von E-Crime. Denn die Aufklärung gestaltet sich in der Zusammenarbeit mit Dritten oft schwierig und wird wohl die Kosten dafür in die Höhe treiben, rechnen die Analysten von KPMG.
Zwei Jahre später finden sich andere Kriminelle in der Studie: Noch 2010 waren die Täter meist im Unternehmen selbst zu finden. Zwar sind ehemalige Mitarbeiter, die ihr Wissen zum Schaden der Firma einsetzen, immer noch eine Bedrohung. Aber die größte Gefahr geht mittlerweile von unbekannten Tätern aus. Erst danach folgen aktuelle Mitarbeiter der Abteilung und Kunden.
Das bestätigt auch eine Studie von Ernst & Young. KPMG geht davon aus, dass zwar die Entdeckung von Cybercrime-Aktivitäten besser geworden ist, dass aber die Aufklärung der Delikte nicht unbedingt besser geworden ist.
Prävention - unklar
Zwei Drittel der Befragten gaben an, dass die Angriffe sich in den kommenden Jahren verstärken würden. Nur sind sich die meisten noch nicht sicher, wie sie mit der Bedrohungslage umgehen sollen. Die Prävention, Aufdeckung und Aufklärung der Fälle ist teuer.
In Einzelfällen rechnen Unternehmen von mehr als einer Million Euro pro Entdeckung und Aufklärung eines Deliktes. Und, so die Analysten von KPMG, die IT-Abteilungen sind zwar eigentlich dafür zuständig. Allerdings sind auch sie nicht in der Lage, Beweise so aufzunehmen, dass sie auch vor Gericht standhalten. Auch die daten- und arbeitsschutzrechtlichen Folgen sind für ITler oft nur schwer abzusehen.
Zu wenig gut geschultes Personal für Sicherheit
Die Wirtschaftsprüfer raten daher zu einer zentralen Steuerung des Vorgehens gegen E-Crime. Einige Unternehmen haben schon eine Zentralstelle: 21 Prozent der befragten, beschäftigen mindestens einen Mitarbeiter, der sich speziell mit den Schäden befasst. Auch hier zeigt sich: Gut geschultes Personal, dass Schaden abwehren kann, ist selten. Offenbar haben Unternehmen auch hier Probleme, Fachkräfte zu finden, die sich nicht nur mit der passiven Schadensabwehr auseinandersetzen. Die IT-Sicherheit bleibt eine große Herausforderung.
Für die Studie befragten die Wirtschaftsprüfer von KPMG Führungskräfte aus 500 Unternehmen aller Branchen und Größen.