Internetkriminalität nimmt zu | KPMG | DE
close
Share with your friends
Internetkriminalität

Internetkriminalität

Kriminelle im Netz

Keyfacts über Internetkriminalität

Internetkriminalität

Cyberkriminelle sind innovativ • Schäden durch Cybercrime werden zunehmen • Interne Gefahrenquellen identifizieren

Kriminelle im Netz sind hoch dynamisch und schädigen nachhaltig

Dass sich ausgerechnet sein glanzvoller Sieg beim Sommerturnier des Tennisklubs in einen solchen Horror verwandeln könnte, das hätte Firmenchef Meier nie für möglich gehalten. Eine Woche nach dem Drei-Satz-Erfolg im Finale hatte ihn eine E-Mail des Klubpräsidenten erreicht. Er hatte ihn nochmals zu seiner Rückhand beglückwünscht und Fotos der Siegerehrung mitgeschickt – wegen der großen Datenmenge praktischerweise in einer ZIP-Datei komprimiert. So viel technisches Verständnis hatte Meier ihm gar nicht zutraut. Als er die Datei jedoch anklickte, passierte gar nichts. Oder besser gesagt: Meier merkte nicht, dass etwas passierte.

Er hatte den Vorfall längst vergessen, als einige Wochen später Kontodaten von Kunden seiner Firma auf einer obskuren Internetseite auftauchten. Ein Team eilig hinzugezogener IT-Experten konnte den Fall nach intensiver Recherche schließlich klären: Die vermeintlich vom Klubpräsidenten stammende E-Mail war eine Fälschung – Unbekannte hatten über die ZIP-Datei ein Spähprogramm auf Meiers Computer geschleust, das ihnen Zugriff auf sämtliche Bereiche der Firmen-IT verschaffte, auf die auch Meier zugreifen konnte. Vermutlich hatten sie über seine Postings in sozialen Netzwerken von seinem Turniersieg erfahren und darin einen Ansatzpunkt für ihre Cyberattacke erkannt.

Die deutsche Wirtschaft wird immer gezielter attackiert und ausspioniert. Jedes vierte Unternehmen in Deutschland, Österreich und der Schweiz ist binnen zwei Jahren Opfer einer Attacke aus dem Internet geworden, wie die E-Crime-Studie 2013 von KPMG ergeben hat. Tendenz: steigend.

Die dabei entstehenden Schäden sind gewaltig, in Einzelfällen können sie eine Million Euro leicht übersteigen. Allein die Folgekosten für die interne Ermittlungsarbeit und die Behebung der Schwachstellen in der Firmen-IT belaufen sich im Schnitt auf 100.000 Euro. Noch nicht mit eingerechnet sind dabei die schwer zu beziffernden Schäden durch den Reputationsverlust, wenn die Angriffe öffentlich bekannt werden.

„Cybercrime zeichnet sich vor allem dadurch aus, dass alles höchst dynamisch ist“, sagt Jörg Ziercke, der Chef des Bundeskriminalamts. Die Täter seien innovativ, extrem anpassungsfähig und nutzten die neuesten Technologien. Es sei absehbar, dass die Schäden für die deutsche Wirtschaft in Zukunft noch zunehmen würden, meint Ziercke.

25% der Unternehmen in Deutschland, Österreich und der Schweiz sind binnen zwei Jahren Opfer einer Attacke aus dem Internet geworden.

Naiver Umgang mit Geschäftsdaten

Das größte Problem ist ein fast schon naiver Umgang mit Geschäftsgeheimnissen und anderen sensiblen Daten, der aus einem mangelnden Risikobewusstsein herrührt. Zwar ist den meisten Firmenleitungen durchaus klar, dass sowohl staatliche Geheimdienste als auch Kriminelle weltweit in erheblichem Ausmaß Industriespionage betreiben und dass die deutsche Industrie eines ihrer bevorzugten Ziele ist. Dass auch ihr eigenes Unternehmen betroffen sein könnte, glaubt der E-Crime-Studie zufolge gerade mal ein Drittel der Geschäftsführungen.

Vor diesem Hintergrund wird klar, warum so manche Firma ihre Daten bedenkenlos und unverschlüsselt auf die Server von Cloud-Anbieter auslagert, ohne sich über deren Sicherheitsstandards zu informieren. Gerade wenn die Server außerhalb der EU stehen, unterliegen sie oft schwachen Datenschutzregelungen. Sollten sie von Kriminellen gehackt werden, haben die Cloud-Anbieter zudem ein Interesse daran, die Attacke unter Verschluss zu halten, um ihre Kunden nicht zu verlieren.

Auch bei Servern von US-amerikanischen Anbietern, die in Europa stehen, ist man nicht immer vor dem Zugriff der US-Behörden geschützt.

Ein weiteres Einfallstor für Kriminelle ist der Einsatz von Laptops, Tablets und Smartphones in Unternehmen. Kam früher ein Aktenordner abhanden, war der Schaden begrenzt. Heute dagegen führt der Mitarbeiter auf seinem Mobilgerät mitunter die komplette Kundenliste samt Korrespondenz und Geschäftsgeheimnissen mit sich. Entsprechend groß ist das Risiko. Nicht nur bei einem Verlust oder Diebstahl des Geräts, sondern auch wenn er sich außerhalb der Firmen-Firewall ungeschützt ins Internet einloggt.Trotzdem sind die Unternehmen den Angriffen nicht völlig wehrlos ausgeliefert. Die Wichtigste: Sie müssen definieren, welche Daten die Kronjuwelen ihres jeweiligen Geschäfts sind. So lässt sich eine klare Strategie für eine hohe Sicherheit ableiten, ohne dass man gleich die gesamte Arbeit lahmlegt.

Gefahr aus den eigenen Reihen

Die Geschäftsleitung muss verstehen, dass die Gefahr auch in der eigenen Firma lauert. Denn häufig sind es die Angestellten oder nahestehende Dienstleister selbst, die Betriebsgeheimnisse stehlen, oder Kriminellen von außen ihr Geschäft erst ermöglichen.Deshalb sollten die Datenzugriffsrechte aller Mitarbeiter auf die Bereiche begrenzt sein, die sie für ihre Arbeit wirklich benötigen. Das bezieht auch die Führungsetage ein. Warum sollte der Chef jederzeit Einblick in sämtliche Bereiche der Firmen-IT haben? Gerade er muss oft auf 50, 100 oder noch mehr E-Mails am Tag reagieren. Da ist die Gefahr groß, dass er irgendwann eine virenverseuchte Datei anklickt. Zumal, wenn die E-Mail vermeintlich von einem Bekannten stammt.