Fälle wie Bernie Madoff können Unternehmen in Angst und Schrecken versetzen. Um 50 Milliarden US-Dollar prellte der ehemalige Finanzmakler seine Anleger und wurde im vergangenen Jahr in den USA in einem schlagzeilenträchtigen Prozess zu 150 Jahren Haft verurteilt. Derlei Machenschaften können Firmen ausbluten lassen. Da klingt eine Bemerkung im neuen Kriminalitätsreport von Kroll doch ganz tröstlich: „Die erfolgreichsten Parasiten töten ihre Wirte nicht, sondern leben von ihnen.“
Die Risikomanagement-Berater setzen sich in der vom Economist Intelligence Unit durchgeführten Studie mit Wirtschaftsbetrug auseinander, der so breit wie möglich definiert ist. 88 Prozent der weltweit befragten Unternehmen wurden im vergangenen Jahr Opfer von Verbrechen – in der Regel nicht auf die spektakuläre Madoff-Art, sondern in kleinerem Umfang. Insgesamt mussten die Firmen einen Schaden von 1,7 Milliarden US-Dollar hinnehmen – ein Fünftel mehr als im vergangenen Jahr.
Für CIOs ist der Befund von höchstem Interesse, weil die IT mittlerweile die verwundbarste Flanke im Wirtschaftsleben darstellt. Diebstahl von Informationen ist erstmals die am weitesten verbreitete Form von Verbrechen gegen Unternehmen. Ebenfalls zum ersten Mal habe es in diesem Jahr mehr Datenklau als Diebstahl von physischen Gegenständen gegeben, berichtet Kroll. 27,3 Prozent der Unternehmen wurden 2010 Opfer von Datendiebstahl, Datenverlust oder Angriffen auf ihr geistiges Eigentum. Im vergangenen Jahr waren es lediglich 18 Prozent. Demgegenüber sank der Anteil im Bereich gewöhnlichen Diebstahls von 28 auf 27,2 Prozent.
Diese Daten sind umso aufschlussreicher, wenn man sie im Kontext betrachtet. Denn Datenklau spielt mittlerweile eine wesentlich größere Rolle als andere Formen von Wirtschaftskriminalität: Unter finanziellem Missmanagement litten beispielsweise lediglich 13 Prozent der Befragten, unter Compliance-Verstößen 12 Prozent, unter Korruption und Bestechung 10 Prozent und unter Geldwäsche 6 Prozent.
Besonders ausgeprägt ist Datendiebstahl in Branchen wie Finanz- und Personaldienstleistungen. In diesen Zweigen wird die eigene Anfälligkeit auch besonders hoch eingeschätzt – allerdings ist die Lage etwa in Handels-, Medien, Telekommunikations- oder Technologieunternehmen nicht sehr viel besser. Insgesamt geben 37 Prozent der befragten Firmen an, hinsichtlich eines Verlustes wichtiger Informationen verwundbar zu sein.
28 Prozent betrachten IT-Infrastruktur als Risikofaktor
Alles in allem handelt es sich nicht um ein reines IT-Thema, wie Kroll bemerkt – aber fast. Das heißt, dass beträchtlicher Schaden nach wie vor durch den Diebstahl von Unterlagen in Papierform entstehen kann. Eindeutig vorherrschend ist allerdings das Eindringen in IT-Systeme. „Schlecht gesicherte Technologie ist eine immer leichtere Beute für Betrüger“, heißt es in der Studie. Und das gelte gleichermaßen für ausgefeilte Angriffe von Hackern wie für Mitarbeiter, die die gewünschten Informationen einfach auf einen USB-Stick kopieren und unbehelligt aus der Firma spazieren.
28 Prozent der Befragten nennen die Komplexität der IT-Infrastruktur als wichtigsten Risikofaktor in ihrem Unternehmen – keine Antwort auf diese Frage wurde häufiger gegeben. Ein Fünftel berichtete, im vergangenen Jahr Opfer von Phishing-Attacken geworden zu sein. In diesem Punkt ist eine Differenzierung nach Branchen laut Kroll wenig ergiebig, denn dieses Risiko betrifft alle.
Selbstredend sind die Firmen entschlossen, auf die Gefahr zu reagieren. 48 Prozent planen, mehr als bisher für IT-Sicherheit auszugeben. Im vergangenen Jahr waren es sogar 51 Prozent. Das lässt sich wohl so interpretieren, dass die Anstrengungen bisher nur in wenigen Unternehmen von vollem Erfolg gekrönt waren. In jedem Fall bleiben Ausgaben für IT-Security die gebräuchlichste Form von Investitionen zum Schutz vor Wirtschaftsverbrechen.
Die Schädlinge haben also eher aussaugen als ausbluten lassen im Sinn. Aber gibt es keine erfreulicheren Nachrichten von Kroll? Für europäische Unternehmen schon. Denn sie sind zwar von den beschriebenen Gefahren gleichfalls betroffen, stehen aber relativ betrachtet am besten da. 83 Prozent der europäischen Unternehmen wurden im vergangenen Jahr Opfer – sehr viele also, aber so wenige wie nirgends sonst.
Das Datenklau-Risiko stieg in Europa von 17 auf 19 Prozent, liegt aber noch unter der Anfälligkeitswahrscheinlichkeit für physischen Diebstahl (23 Prozent). 51 Prozent der wollen in Europa in die IT-Sicherheit investieren, 2009 waren es 49 Prozent. Die IT-Komplexität nennen 29 Prozent als wichtigsten Treiber für gesteigerte Ausgaben – ein leicht rückläufiger Trend.
Kroll warnt Europäer vor Selbstgefälligkeit
Kein Grund zum Ausruhen sind die relativ guten Daten nach Ansicht von Kroll. „Einige Anzeichen lassen vermuten, dass europäische Unternehmen zum Opfer von Selbstgefälligkeit werden“, heißt es in der Studie. Der eindringliche Rat an die Firmen: Mehr anstrengen anstatt auf ein vermeintlich ruhiges Umfeld vertrauen.
Der „Global Fraud Report 2010“ kann auf der Website von Kroll heruntergeladen werden.