„100 Milliarden Schaden durch Wirtschaftsspionage“. Das hatte 2014 bereits der Verein Deutscher Ingenieure (VDI) ermittelt. Zahlen, die sich mit den Ergebnissen einer vom Center for Strategic and International Studies (CSIS) im Juni 2014 veröffentlichten Studie weitgehend decken. Kurz darauf forderte die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) mehr staatliches Engagement und legte dazu auch gleich einen 5-Punkte-Plan vor. Im Frühjahr dieses Jahres empfahl die Börsenzeitung Unternehmen dringlich sich mit den veränderten Risiken einer digitalisierten Kapitalmarktumgebung auseinanderzusetzen, wenn sie nicht das Nachsehen haben wollten.
Deutsches Know-how ist nach wie vor begehrt. Dieses Wissenskapital liegt nicht selten bei den Hidden Champions des Mittelstands. Ausgerechnet der ist aber bei der realistischen Einschätzung digitaler Risiken wider besseres Wissen erschreckend blauäugig. Teils werden weiterhin unsichere Betriebssysteme genutzt, teils sind die Datensicherungen bei weitem nicht ausreichend oder auf dem aktuellen Stand. Beim Datenschutz werden Insiderbedrohungen gleichermaßen gefürchtet wie regelmäßig unterschätzt. Und zwar unabhängig davon, ob es sich um einen Insider im Unternehmen handelt, der vielleicht die Firma wechseln will und die Kundendatenbank mitnimmt (was - wie wir alle wissen – im Vertrieb ein nicht ganz unübliches Vorgehen ist) oder um einen externen Angreifer, der sich die entsprechenden Zugangsdaten hat beschaffen können. Und sich, ausgestattet mit den entsprechenden Rechten, durch das System bewegt.
Eine Studie des Wirtschaftsprüfungsunternehmens KPMG aus dem Jahr 2014 („Wirtschaftskriminalität in Deutschland 2014“) hat im Wesentlichen fünf große Ergebnisblöcke ermittelt:
- 87 Prozent der Befragten stufen das Risiko für Wirtschaftskriminalität als hoch, wenn nicht sehr hoch ein. Gleichzeitig haben die betreffenden Firmen kaum einen Überblick über die von ihnen verwendeten Daten und schon gar keine ausreichende Kontrolle darüber. Das lässt vermuten, dass viele der tatsächlichen Fälle den Unternehmen gar nicht bewusst sind (oder es viel zu spät erst werden). Alexander Geschonneck, Partner Forensic KPMG, der auch als freier Autor für einschlägige Sicherheitsfachzeitschriften tätig war: „In der Praxis beobachten wir häufig, dass im Zuge von kartellrechtlichen Ermittlungen in den Unternehmen keine Klarheit über die verfügbaren Informationsquellen herrscht. Dies fängt bei der angemessenen Reaktion auf eine kartellrechtliche Untersuchung an und hört bei der Identifikation entsprechender Frühwarnindikatoren in den Daten auf.“ Das deckt sich mit den Ergebnissen einer der jüngsten Studien, die das Ponemon-Institute in Zusammenarbeit mit Varonis verfasst hat: 35 Prozent der befragten Organisationen verfügen nicht über durchsuchbare Aufzeichnungen zu den Dateiaktivitäten im System. Die Folge: Unternehmen sind nicht in der Lage zu ermitteln, welche Dateien von einer Datenschutzverletzung betroffen sind. Nur 25 Prozent der Unternehmen überwachen die E-Mail- und Dateiaktivitäten in Bezug auf sämtliche Mitarbeiter und Dritte, während 38 Prozent Datei- und E-Mail-Aktivitäten überhaupt nicht überwachen.
- Widersprüchlich: 85 Prozent der Befragten sehen ihren eigenen Schutz vor Wirtschaftskriminalität dieser Art als gut und ausreichend an. Und das, obwohl gleichzeitig jedes dritte Unternehmen innerhalb der letzten beiden Jahre Opfer von Wirtschaftskriminalität geworden ist. Und: zwischen den Firmen, die ihre eigenen Schutzmaßnahmen als gut bis sehr gut bezeichnen (34 Prozent) und denen, die sich selbst als eher schlecht vorbereitet einstufen (38 Prozent) sind kaum Unterschiede festzumachen.
- 86 Prozent der befragten Unternehmen sehen sich im Falle einer kartellrechtlichen Untersuchung gut gewappnet und imstande den entsprechenden Überblick zu Dateien und Daten zu geben. Trotzdem sind die Folge- und Ermittlungskosten enorm hoch. KMPG stellt sich die Frage, ob Unternehmen angesichts dieser Diskrepanz tatsächlich in die richtigen Präventionsmaßnahmen investieren.
- Schlussfolgerung: Firmen neigen offensichtlich dazu zu vergessen, dass Prävention kein Selbstzweck ist, sondern eine Bedingung ökonomischen Handelns.
- Fehlende Schulungen und Vorbildfunktion der Geschäftsführung werden als weniger relevant bewertet, obwohl die meisten Befragten den „menschlichen Faktor“ als einen der wichtigsten betrachten. Auch das eher widersprüchlich, denn beide Maßnahmen verzeichnen nachweislich Erfolge.
Bei den Deliktarten Datendiebstahl oder Datenmissbrauch, Verletzung von Urheberrechten und Verrat von Geschäfts- und Betriebsgeheimnissen schätzen zwei Drittel der Befragten das Risiko, Opfer solcher Delikte zu werden, als hoch bis sehr hoch ein (Verrat von Geschäfts- und Betriebsgeheimnissen 69 Prozent, Verletzung von Schutz- und Urheberrechten 78 Prozent, Datendiebstahl/Datenmissbrauch 87 Prozent). Beim Thema Datendiebstahl geht sogar ein Drittel der Befragten von einem sehr hohen Risiko aus. Dazu kommen die Bedrohungen durch Insider wie beispielsweise derzeitige oder ehemalige Mitarbeiter. Aber auch Phishing kombiniert mit Social Engineering-Methoden hat einen erheblichen Anteil an erfolgreich lancierten Angriffen. Will man sie in einem frühen Stadium überhaupt als solche identifizieren, liefern Anomalien beispielsweise im Benutzerverhalten einen ersten Anhaltspunkt. Das gilt unter anderem für Ransomware-Angriffe, die in den meisten Fällen so konzipiert sind, dass sie den Radar von Antivirensoftware unterlaufen. Sind Hacker gleich welcher Couleur ins Systeminnere gelangt und tarnen sich als Insider sehen die Systemaktivitäten aus wie die eines legitimen Nutzers. Damit haben wir uns an anderer Stelle bereits beschäftigt.
Zudem vertrauen erstaunlicherweise gerade die als besonders sicherheitsaffin geltenden Deutschen ihren Partnern mehr als die Befragten aus den anderen Nationen. Nur wenige überprüfen, welche Dienstleister wie in ihre Systeme gelangen, geschweige denn welche Zugriffsberechtigungen vergeben worden sind. Das hat eine Umfrage (der „Vendor Vulnerability Survey 2016“) ergeben, bei der mehr als 600 IT-Experten aus Deutschland, Großbritannien, Frankreich und den USA befragt wurden. Warum gerade bei den Deutschen der Anteil der Vertrauensseligen so hoch ist, darüber kann man nur spekulieren. Bei der zitierten Umfrage sind es jedenfalls satte 92 Prozent der Befragten, die ihren Dienstleistern so weit vertrauen, dass sie ihnen weitreichende Privilegien einräumen. Und das, obwohl bei Externen erwiesenermaßen eines der wesentlichen Einfallstore für Angriffe liegt.
Die Studie von KPMG hat ergeben, dass Unternehmen präventive Maßnahmen zu Kontrollzwecken implementiert haben. 73 Prozent der Befragten erfassen und bewerten dabei systematisch besonders schützenswerte Daten. Anschließend werden die damit verbundenen Risiken ermittelt und für das Unternehmen bewertet. Risikomanagement spielt also eine durchaus wichtige Rolle wie auch eine Reihe weiterer Maßnahmen im Bereich der Prozess- und Unternehmensorganisation und deren Struktur. Die befragten Unternehmen sind sich also der Gefahren durchaus bewusst, wenn die Vorkehrungen auch eher in Konzernen und Großunternehmen getroffen werden als in mittelständischen Firmen. Bis Datenklau & Co. allerdings erkannt, aufgedeckt und Gegenmaßnahmen ergriffen werden, vergehen bei dreiviertel der Befragten zwischen Entdeckung und Aufklärung durchschnittlich weniger als zwei Jahre. Wenig überraschend ist, dass es bei Großunternehmen und Konzernen wesentlich länger dauert, bis die Vorkommnisse entdeckt und erkannt werden, als bei überschaubaren Unternehmensgrößen. Aber: Es gibt einen direkten Zusammenhang zwischen entsprechenden Präventionsmaßnahmen/-technologien und der Möglichkeit, den Schaden über den Zeitverlauf hinweg zu begrenzen. Es lohnt sich also in eine frühzeitige Aufdeckung zu investieren.
Barbara Scheben, Partner Forensic: „Es ist bemerkenswert: Bei Delikten in Zusammenhang mit Daten, wie Datendiebstahl und Datenmissbrauch, oder auch beim Verrat von Geschäfts- und Betriebsgeheimnissen schätzen die befragten Unternehmen das Risiko künftig selbst als Opfer betroffen zu sein, als hoch oder sehr hoch ein. Zugleich geben die Unternehmen, die bereits Opfer eines solchen Delikts geworden sind, an, dass sie Schwierigkeiten hatten, den Täter zu ermitteln beziehungsweise ihn nicht ermitteln konnten. Hieraus lässt sich der Schluss ableiten, dass nicht nur die Maßnahmen und Prozesse zur Prävention der Verbesserung bedürfen, sondern auch jene zur Aufdeckung und Aufklärung (...).“
Bei den technischen Sicherheitsmaßnahmen verfügen Unternehmen in Deutschland laut Branchenverband BITCOM zwar über einen guten Basisschutz, bei Investitionen in umfassende Sicherheitsmaßnahmen seien sie aber immer noch zu zurückhaltend: „Nur 29 Prozent der befragten Unternehmen verfügen über eine Absicherung gegen Datenabfluss von innen (Data Leakage Prevention) und nicht einmal ein Viertel (23 Prozent) über spezielle Systeme zur Einbruchserkennung (Intrusion Detection)“ oder darüber hinausgehende und ergänzende Systeme. An dieser Stelle sind die Unternehmen durchaus selbstkritisch. Zwar sehen sich 39 Prozent der Befragten ausreichend gerüstet, dennoch bekennt eine deutliche Mehrheit von 60 Prozent vermutlich nicht umfassend genug gewappnet zu sein.
Anmerkung am Rande. Noch immer kommen die Verhandlungen zwischen Deutschland und China zum geplanten Cyber-Abkommen nicht recht voran. Laut dpa reagiere die chinesische Seite schon seit Monaten nicht auf den Vorschlag. Um Unternehmen besser vor Hackern zu schützen, sieht das Abkommen nämlich einen gegenseitigen Schutz vor Industriespionage vor. Und genau das scheint der Hase im Pfeffer zu liegen.