Cyber­kri­mi­na­lität IST ein unter­neh­me­ri­sches Risiko

Um belastbare Erkennt­nisse zur Ver­breitung von Cyber­an­griffen gegen Unter­nehmen, den Folgen und mög­lichen Risiko- und Schutz­fak­toren zu gewinnen, wurde das For­schungs­projekt „Cyber­an­griffe gegen Unter­nehmen“ initiiert. Das Projekt wurde vom Kri­mi­no­lo­gi­schen For­schungs­in­stitut Nie­der­sachsen e.V. (KFN) in Zusam­men­arbeit mit dem For­schungs­zentrum L3S der Leibniz-Uni­­ver­­­sität Han­nover durch­ge­führt. Die För­derung erfolgte im Rahmen der Initiative „IT-Sicherheit in der Wirt­schaft“ des Bun­des­mi­nis­te­riums für Wirt­schaft und Energie sowie über eine Zusatz­för­derung der Wirt­schafts­prü­fungs­ge­sell­schaft Pri­ce­wa­ter­hous­e­Coopers und der VHV-Stiftung.

Das Projekt umfasste eine reprä­sen­tative Unter­neh­mens­be­fragung von 5.000 Unter­nehmen im Zeitraum August 2018 bis Januar 2019. Befragt wurden 1.000 kleine Unter­nehmen mit 10–49 Beschäf­tigten, 3.000 mitt­leren Unter­nehmen mit 50–499 Beschäf­tigten sowie 500 große Unter­nehmen ab 500 Beschäf­tigten. Zusätzlich wurden weitere 500 Unter­nehmen der Daseins­vor­sorge (z.B. Energie- und Was­ser­ver­sorgung, Gesund­heits­wesen, Ver­kehrs­be­triebe) und ver­schie­dener Größe mit­ein­be­zogen. Nun liegt der Bericht des For­schungs­pro­jektes vor.

Wer ist von Cyber­an­griffen besonders betroffen

Dem Bericht zufolge waren etwa zwei Fünftel der Unter­nehmen in den letzten zwölf Monaten von min­destens einem Cyber­an­griff betroffen. Berück­sichtigt man die gesamte Ver­gan­genheit erhöht sich der Anteil sogar auf rund zwei Drittel (65 %). Dabei ist fest­zu­halten, dass große Unter­nehmen in der Regel auf­grund ihrer orga­ni­sa­to­ri­schen, per­so­nellen und tech­ni­schen Kom­ple­xität ein höheres Risiko für Cyber-Attacken haben. Aller­dings bedeutet diese Nach­richt keine gene­relle Ent­warnung für kleine und mittlere Unter­nehmen. Denn unter bestimmten Vor­aus­set­zungen kann sich ein ähnlich großes Risiko für Vor­fälle ent­wi­ckeln wie bei großen Unter­nehmen. Zu solchen Vor­aus­set­zungen zählen die Existenz von meh­reren Stand­orten, im In- und Ausland, der Export von Gütern bzw. Dienst­lei­tungen, aber auch Beson­der­heiten des Unter­nehmens wie z.B. besondere Her­stel­lungs­ver­fahren, besondere Pro­dukte oder Kun­den­kreise: „Kleine Unter­nehmen (10–49 Beschäf­tigte) mit Auslandsstandort(en) sind ten­den­ziell sogar stärker betroffen als große Unter­nehmen (ab 500 Beschäf­tigte). Besondere Pro­dukte, Her­stel­lungs­ver­fahren, Repu­ta­tionen oder Kun­den­kreise wirken sich in ähn­licher Art und Weise aus.“ Spe­zi­fische Merkmale sind bei Cyber­an­griffen also ent­schei­dender als die Größe der Unternehmen.

Angriffs­arten und Kosten der Angriffe

Zu den häu­figsten Angriffs­arten auf Unter­nehmen zählen Phishing und der Einsatz sons­tiger Schad­software. Die Höhe der direkten Kosten für Cyber-Angriffe konnte auf­grund feh­lender Angaben bei ca. 1/3 der befragten Unter­nehmen nicht ermittelt werden. Bei den Unter­nehmen, die dazu Angaben gemacht haben, ergab sich ein Durch­schnitt von rund 16.900 EUR direkte Kosten pro Angriff. Aller­dings lagen die berech­neten Gesamt­kosten bei über drei Viertel der Unter­nehmen (78,0 %) unter 5.000 EUR und nur sehr selten bei 50.000 EUR und mehr (3,4 %). Auch wenn die Zahlen auf den ersten Blick nicht sehr beun­ru­higend wirken, muss berück­sichtig werden, dass diese sich lediglich auf einen von mög­li­cher­weise meh­reren Angriffen beziehen. Auch wurden hier alle Angriffs­ver­suche ein­be­zogen, die ent­weder ver­hindert werden konnten oder aber keinen großen Schaden ver­ur­sacht haben. Gänzlich unbe­rück­sichtigt sind hier mög­liche indi­rekte Kosten in Form von Umsatz­ver­lusten auf­grund von Repu­ta­ti­ons­schäden oder erfolg­reicher Pro­dukt­spionage. Tat­sächlich „können ‚erfolg­reiche‘ Cyber­an­griffe gerade für kleine und mittlere Unter­nehmen ein bestands­ge­fähr­dendes Ausmaß annehmen.“

Schutz­maß­nahmen und ihre Wirkung

Der Bericht kon­sta­tiert, dass fast alle Unter­nehmen tech­nische Maß­nahmen der IT-Sicherheit umge­setzt haben: regel­mäßige Backups und deren phy­sisch getrennte Auf­be­wahrung, aktuelle Anti­vi­ren­software, regel­mäßige und zeitnahe Instal­lation ver­füg­barer Sicher­heits­up­dates und Patches sowie eine Firewall. Dennoch waren viele der Unter­nehmen von Angriffen betroffen. Für die die Ver­fasser des Berichts zeigt sich damit, „dass die Wirkung tech­ni­scher Maß­nahmen mit wei­teren Fak­toren zusam­men­hängt. Neben der Qua­lität, dem Rei­fegrad sowie der sach­ge­mäßen Kon­fi­gu­ration und Wartung der tech­ni­schen Maß­nahmen dürften dazu ebenso die Frage des Designs, der Nutz­barkeit und der Ein­bindung in orga­ni­sa­to­rische Abläufe und Pro­zesse zählen: Lassen sich z.B. die mit tech­ni­schen Maß­nahmen ver­bun­denen Ver­hal­tens­regeln pro­blemlos ein­halten bzw. in die jeweilige Arbeits­praxis sinnvoll inte­grieren, ohne dass die eigent­liche Arbeit dar­unter leidet? Oder führen sie sogar zu Miss­achtung und pro­ble­ma­ti­schen Aus­weich­hand­lungen bei den Beschäf­tigten?“ Tat­sächlich sind laut Bericht orga­ni­sa­to­rische IT-Sicher­heits­­­ma­ß­­nahmen weit weniger häufig umge­setzt, spielten aber bei Angriffen fast immer eine Rolle. Vor allem Unter­nehmen, die ihre Richt­linien zur IT-Sicherheit und zum Not­fall­ma­nagement kon­trol­lieren und Ver­stöße gege­be­nen­falls sank­tio­nieren, waren deutlich sel­tener von Angriffen betroffen Unter­nehmen ohne Kon­trollen und Sank­tionen. Laut der Autoren kommt es „also nicht nur darauf an, ent­spre­chende Richt­linien und IT-Sicher­heits­­­ma­ß­­nahmen zu haben, sondern diese auch innerhalb der Unter­nehmen ‚zu leben‘.“

Der hier vor­ge­stellte Bericht ist sowohl in einer langen Fassung sowie als Kurz­version abrufbar.