skip to Main Content

Wie Cyberkriminalität Unternehmen schadet

Hackerangriffe verursachen bei Unternehmen immense Schäden. Bild: © Christian Ohde / dpa

Jedes zweite deutsche Unternehmen wurde zuletzt Opfer einer Cyberattacke. Die Folge sind Schäden in Milliardenhöhe.

Mehr als die Hälfte der Unternehmen in Deutschland (53 Prozent) sind in den vergangenen beiden Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Dadurch ist ein Schaden von rund 55 Milliarden Euro pro Jahr entstanden. Das ist das Ergebnis einer Studie des Digitalverbands Bitkom, für die 1.069 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Branchen repräsentativ befragt wurden.

Verglichen mit der ersten Studie vor zwei Jahren ist der Anteil der Betroffenen nur leicht von 51 auf 53 Prozent gestiegen, der Schaden ist zugleich um rund 8 Prozent von 51 auf 55 Milliarden Euro gewachsen. „Unternehmen müssen viel mehr für ihre digitale Sicherheit tun. Die Studie zeigt, dass die Gefahr für Unternehmen aller Branchen und jeder Größe real ist. Jeder kann Opfer von Spionage, Sabotage oder Datendiebstahl werden“, sagte Bitkom-Präsident Achim Berg. „Die Studie unterstreicht, dass wir in Zeiten von Digitalisierung und Industrie 4.0 unser besonderes Augenmerk auf die Abwehr von Spionageangriffen auf die deutsche Wirtschaft richten müssen.“ Dazu gehöre nicht allein die Umsetzung IT-bezogener Maßnahmen, sondern es brauche auch risikominimierende Pläne in den Bereichen Organisation, Personal und Sensibilisierung.

Diebstahl sensibler Daten

Wie wichtig dieser Schutz ist, zeigen die weiteren Ergebnisse der Studie: Demnach wurden in jedem sechsten Unternehmen (17 Prozent) in den vergangenen zwei Jahren sensible digitale Daten gestohlen. Vor allem Kommunikationsdaten wie E-Mails (41 Prozent) oder Finanzdaten (36 Prozent) fielen dabei häufig in die Hände der Angreifer. In 17 Prozent der Fälle von Datendiebstahl wurden Kundendaten entwendet, in elf Prozent Patente oder Informationen aus Forschung und Entwicklung, in zehn Prozent Mitarbeiterdaten.

Dabei haben es die Angreifer aber nicht immer ausschließlich oder direkt auf digitale Daten abgesehen. Häufigstes Delikt ist der Diebstahl von IT- oder Telekommunikationsgeräten wie Notebooks oder Smartphones. Davon waren 30 Prozent der Unternehmen in den vergangenen zwei Jahren betroffen, wobei in der Regel unklar ist, ob die Täter es auf die Geräte an sich oder auf die darauf gespeicherten Daten abgesehen haben.

Analoge Angriffe eher selten

Etwa jedes fünfte Unternehmen berichtet von Social Engineering (Analoges Social Engineering 20 Prozent, Digitales Social Engineering 18 Prozent). Dabei werden Mitarbeiter manipuliert, um an sensible Informationen zu kommen, mit denen dann in einem weiteren Schritt zum Beispiel Schadsoftware auf die Firmenrechner gebracht werden kann. Jedes achte Unternehmen (12 Prozent) ist Opfer von digitaler Sabotage geworden, durch die zum Beispiel die Produktion gestört wurde.

Acht Prozent berichten vom Ausspähen der digitalen Kommunikation wie E-Mails, sieben Prozent vom Abhören von Telefonaten oder Besprechungen. Klassische analoge Angriffe kommen demgegenüber eher selten vor. So wurden 17 Prozent der Unternehmen Opfer eines klassischen Diebstahls von Dokumenten wie Papieren, Mustern oder Bauteilen, in lediglich vier Prozent der Unternehmen wurden Produktionssysteme oder Betriebsabläufe auf analogem Weg sabotiert und lahmgelegt.

Mitarbeiter als Gefahr

Täter sind besonders häufig aktuelle oder ehemalige Mitarbeiter des Unternehmens. 62 Prozent der Unternehmen, die in den vergangenen zwei Jahren Opfer von Spionage, Sabotage oder Datendiebstahl wurden, haben die Täter in diesem Personenkreis identifiziert. 41 Prozent der betroffenen Unternehmen machen Wettbewerber, Kunden, Lieferanten oder Dienstleister für die Angriffe verantwortlich, 21 Prozent Hobby-Hacker und sieben Prozent Personen aus der organisierten Kriminalität.

Ausländische Nachrichtendienste wurden in 3 Prozent der Unternehmen als Täter identifiziert. Sieben Prozent der Unternehmen geben an, dass die Täter unbekannt waren. Jedes dritte von Angriffen betroffene Unternehmen (37 Prozent) berichtet, dass die Täter aus Deutschland kamen. Der Großteil der Angriffe aber kommt aus dem Ausland: 23 Prozent der Unternehmen berichten von Tätern aus Osteuropa, 20 Prozent aus China und 18 Prozent aus Russland. Erst danach folgen die USA (15 Prozent), die Summe aller westeuropäischen Länder (12 Prozent) und Japan (sieben Prozent).

Angst vor Imageschäden

Betroffenen Unternehmen raten Experten, staatliche Stellen einzuschalten. „Nur wenn Unternehmen Angriffe melden, können die Sicherheitsbehörden ein realitätsnahes Lagebild erstellen und Abwehrstrategien entwickeln“, erklärte Hans-Georg Maaßen, Präsident des Bundesamtes für Verfassungsschutz (BfV). Aus Angst vor Imageschäden machen das aber nur die wenigsten Unternehmen – nur 31 Prozent der betroffenen Betriebe haben Angriffe den Behörden gemeldet.

Immerhin: Inzwischen haben viele Unternehmen Maßnahmen ergriffen, um sich besser gegen Angreifer zu schützen. Problem sei jedoch, dass es sich dabei meist nur um technischen Basisschutz handle. „Anspruchsvollere Maßnahmen sind dagegen selten“, bilanzieren die Studien-Autoren. Großen Nachholbedarf gebe es im Bereich der personellen Sicherheit. Nur sechs von zehn Unternehmen führen Background-Checks bei Bewerbern für sensible Positionen durch, nur jedes zweite hat einen Sicherheitsverantwortlichen benannt oder schult Mitarbeiter zu Sicherheitsthemen. „Wenn man bedenkt, dass Angriffe sehr oft durch aktuelle oder frühere Mitarbeiter erfolgen, so verwundert die Nachlässigkeit bei der Mitarbeiterschulung. Hier ließe sich die Sicherheit in den Unternehmen mit vergleichsweise geringem Aufwand und in kurzer Zeit deutlich verbessern“, so Berg.

Bitkom und Bundesverfassungsschutz geben Unternehmen, die Ihre Sicherheit verbessern wollen, folgende Tipps:

1. Sicherheit zur Chefsache machen

  • Sensibilisierung der Geschäftsführung
  • Initiieren firmenspezifischer Schutzüberlegungen auf Leitungsebene
  • Einrichtung eines Wirtschaftsschutz-Beauftragten oder eines Informations-Sicherheitsbeauftragten

2. Technische IT-Sicherheit steigern

  • Basisschutz ergänzt um Verschlüsselung und spezielle Angriffserkennung
  • Security Information Event Management: Überwachung vernetzter Geräte und Erkennung von Anomalien
  • Security by Design bei allen Schnittstellen und vernetzten Geräten
  • Regelungen zum Umgang mit privaten und geschäftlichen mobilen Endgeräten

3. Organisatorische Sicherheit erhöhen

  • Präventives und permanentes Risikomanagement etablieren: Externe Gefahren identifizieren, interne Schwachstellen aufdecken und rechtzeitig beheben
  • Praxisorientierung aller Sicherheitsregularien
  • Zugriffsrechte auf Daten sowie physische Zugangsrechte für sensible Bereiche
  • Besuchermanagement: Umgang mit Gästen und Delegationen
  • Notfallmanagement: Schnelle Reaktion im Krisenfall mit Notfallplan und Zuständigkeitsregelungen
  • Etablierung einer „clean-desk-policy“: Welche Daten sind am Arbeitsplatz wirklich nötig?

4. Personelle Sicherheit verbessern

  • Etablierung einer Sicherheitskultur
  • Arbeitsplatzspezifische Schulungen/Sensibilisierungen
  • Informationssicherheit auf Geschäftsreisen im Ausland beachten
  • IT-Experten mit Produktions-Know-how

5. Sicherheitszertifizierungen anstreben

Der Beitrag Wie Cyberkriminalität Unternehmen schadet erschien zuerst auf return – Magazin für Transformation und Turnaround.

Back To Top