Suchen

KPMG-Umfrage zu E-Crime Jeder Zweite wird nicht erwischt

Redakteur: Robert Horn

Computersabotage und Erpressung auf digitalen Wegen hat in den letzten Jahren massiv zugenommen, warnt eine Studie von KPMG. Die Täter kommen dabei in vielen Fällen ungeschoren davon.

Firmen zum Thema

Häufig kommen Cyberkriminelle mit ihren Aktivitäten davon, berichtet KPMG.
Häufig kommen Cyberkriminelle mit ihren Aktivitäten davon, berichtet KPMG.
(Bild: gemeinfrei/Unsplash / CC0 )

Mehr als jedes dritte Unternehmen in Deutschland war in den vergangenen beiden Jahren von einem E-Crime-Vorfall betroffen. Immer mehr werden dabei Opfer von Computersabotage und Systembeschädigungen – oft mit anschließender Erpressung. In knapp der Hälfte der Fälle erfolgen seitens der betroffenen Unternehmen keinerlei Sanktionen. Das sind wesentliche Ergebnisse der „KPMG E-Crime Studie 2017“, für die mehr als 500 repräsentativ nach Branche und Umsatz ausgewählte Unternehmen in Deutschland befragt wurden.

Die am häufigsten festgestellte Deliktsart im Bereich E-Crime waren in den vergangenen zwei Jahren Systembeschädigungen und Computersabotage. Hiervon sind drei Mal so viele Unternehmen betroffen wie zuvor (eine Zunahme von 13 auf 36 Prozent). Bei Erpressung hat sich die Quote sogar vervierfacht (von 5 auf 19 Prozent). Fast jeder vierte Betroffene ist schon mindestens drei Mal erpresst worden, einige Unternehmen sogar bis zu zehn Mal. In manchen Fällen belief sich der Schaden auf über eine Million Euro.

Trend zur Ransomware

Alexander Geschonneck, Leiter des Bereichs Forensic bei KPMG: „Immer häufiger werden Unternehmen Opfer von Ransomware-Angriffen. Dabei gelangt Schadsoftware per E-Mail ins Unternehmen und wird durch das Öffnen von vermeintlich harmlosen Dateianhängen ahnungslos ausgeführt. Anschließend werden Systemdateien auf Unternehmensrechnern verschlüsselt und erst nach Zahlung eines Lösegelds wieder freigegeben. Das ist keine neue Methode, aber ihre Verbreitung und insbesondere Vielfalt hat massiv zugenommen.“

Über die Hälfte der befragten Unternehmen war in den letzten beiden Jahren Ziel eines Ransomware-Angriffs. Vor allem in kleinen Unternehmen (unter 250 Millionen Euro Umsatz) scheint es an angemessenen Schutzvorkehrungen noch zu mangeln.

Risikobewusstsein steigt – Jedes dritte Unternehmen betroffen

Die Sensibilisierung für das Thema E-Crime hat in den vergangenen vier Jahren deutlich zugenommen. Die Hälfte der Befragten sieht ein hohes Risiko, selbst Opfer von wirtschaftskriminellen Handlungen zu werden (2013: 34 Prozent / 2015: 39 Prozent) Tatsächlich von E-Crime-Vorfällen betroffen waren in den vergangenen beiden Jahren 38 Prozent der Unternehmen – nahezu ebenso viele wie 2015. Alexander Geschonneck: „Die tatsächliche Quote dürfte jedoch deutlich höher liegen, da es gerade im Bereich der Computerkriminalität eine sehr hohe Dunkelziffer gibt. Viele kriminelle Handlungen bleiben hier unentdeckt, weil ständig neue Angriffsmuster und -methoden entwickelt werden.“

Schwachstelle Mitarbeiter

Die Befragten geben an, dass es in erster Linie die Unachtsamkeit von Mitarbeitern im Unternehmen ist, die E-Crime begünstigt (87 Prozent der Fälle). Dies liegt nach Einschätzung der Betroffenen vor allem an einer unzureichenden Schulung. KPMG-Partner Michael Sauermann: „Beides hängt natürlich unmittelbar zusammen. Die meisten Unternehmen geben zu, dass es bei ihnen an einer angemessenen Sicherheitskultur mangelt. Erschwerend kommt hinzu, dass die Unternehmen nach wie vor vergleichsweise wenig in Sicherheitsvorkehrungen investieren. Nur jedes fünfte Unternehmen nimmt dafür mindestens 50.000 Euro in die Hand. Der Mehrwert solcher Investitionen wird offenbar noch verkannt.“

Die Sanktionierung von E-Crime-Tätern durch Unternehmen nimmt ab. 43 Prozent der Befragten ziehen keine Konsequenzen aus den Vorfällen. Michael Sauermann: „Möglicherweise liegt das daran, dass bei den neu auftretenden Betrugsmaschen eine Sanktionierung immer schwieriger wird. Aber dass entsprechende Taten nicht einmal mehr zur Anzeige gebracht werden, ist schon besorgniserregend. Denn die Aussicht auf Straffreiheit begünstigt die Entwicklung von E-Crime.“

Unternehmen erkennen ihre Schwachstellen

Immer mehr Unternehmen fassen sich an die eigene Nase und gestehen Versäumnisse bei der Reaktion auf E-Crime-Vorfälle im eigenen Haus ein – insgesamt mehr als ein Drittel. 2015 machte nur ein Viertel ein entsprechendes Eingeständnis. Als Schwachstellen genannt werden vor allem eine unklare Informationslage (20 Prozent), unklare Verantwortlichkeiten und nicht definierte Sofortmaßnahmen (jeweils 18 Prozent) sowie Fehler in der Kommunikationskette (16 Prozent). Alexander Geschonneck: „Wir raten allen Unternehmen, klare und für jeden nachvollziehbare Kommunikations- und Krisenreaktionspläne aufzustellen. Denn vor allem die erste Reaktion auf einen E-Crime-Vorfall ist entscheidend, wenn es darum geht, die Auswirkungen abzusehen und Schäden schnellstmöglich einzudämmen.“

Dieser Beitrag erschien zuerst in unserem Partnerportal Maschinenmarkt.

(ID:44739685)