In einer digitalen Wirtschaft wird Cybercrime zu einer Dienstleistung. Die Organisierte Kriminalität setzt dabei auf anonyme Netzwerke – und die Schäden sind nicht nur finanzieller Art, sondern beeinträchtigen auch die Reputation des Opfers.

E-Crime hemmt Innovationen

Für die betroffenen Unternehmen sind die Folgen von Wirtschafts­kriminalität keinesfalls nur direkter finanzieller Art, vielmehr sind zahlreiche indirekte Konsequenzen wie Schadensersatz­forder­ungen, straf- bzw. bußgeldrechtliche Haftungsrisiken oder Reputations­schäden zu berücksichtigen, die sich jedoch nur sehr schwer beziffern lassen. Gleichwohl haben wir auch in der vorliegenden Studie wiederum den finanziellen Verlust aufgrund von Wirtschaftskriminalität erhoben, wobei auch die indirekten Kosten wie Managementkosten, Ausgaben für Untersuchungen und Rechtsverfahren sowie Stakeholder-Management berücksichtigt wurden.

Im Einzelfall kann jede Deliktsart zu erheblichen Schäden führen. Nach den Erfahrungen der betroffenen Unternehmen verursachen Vermögensdelikte allerdings den höchsten direkten und indirekten Schaden.

Der durchschnittliche Schaden beläuft sich auf 1,55 Millionen Euro je Unternehmen. Hierbei dürfte es sich jedoch vor allem aufgrund der schwer bestimmbaren indirekten Schäden um eine zu niedrige Schätzung handeln. Außerdem hängt die durchschnittliche Schadenshöhe stark von der Größe der Unternehmen ab, wie die nachfolgende Abbildung veranschaulicht:

1,55 Mio. Euro

betrug 2015 der durchschnittliche Schaden durch Wirtschafts­kriminalität

Laut dem United Nations Office on Drugs and Crime (UNODC) sind über 80 % der Cyberangriffe organisiert und werden strukturiert und zielorientiert durchgeführt. Aufgrund der fortschreitenden Digitalisierung von Gesellschaft und Wirtschaft verlagert mittlerweile auch die Organisierte Kriminalität (OK) ihre Aktivitäten vermehrt in die digitale Welt und wird somit zu einer zunehmenden Bedrohung für die Privatwirtschaft. In der digitalen Wirtschaft liegen leichter zugängliche Felder für kriminelle Aktivitäten, da diese von nahezu jedem Ort der Welt ausgeführt werden können. Hinzu kommt, dass wir uns von der Vorstellung, es handele sich bei OK-Strukturen um hierarchische Gebilde, lösen müssen. Vielmehr breiten sich lose netzwerkförmige Strukturen aus. Solche loseren Netzwerkstrukturen können sich Veränderungen des Umfelds flexibler und schneller anpassen. Auch kennen sich Netzwerkmitglieder untereinander häufig nicht, wodurch die Wahrscheinlichkeit einer effektiven Strafverfolgung sinkt.

Immer handelt es sich dabei um Akteure, die nach ähnlichen Prinzipien wie legale Unternehmen handeln, sich an den gleichen Gesetzen des Angebots und der Nachfrage am Markt orientieren und somit vergleichbaren Marktmechanismen ausgesetzt sind. Sie kennen daher auch Einheiten zur Forschung und Entwicklung.

Nach den Ergebnissen unserer Studie müssen wir von einem sehr hohen Bedrohungspotenzial durch OK ausgehen. 30 % der Fälle von Daten- und Wissensverlust werden von den betroffenen Unternehmen auf OK zurückgeführt. Damit steht fest: Die Erfolgsrezepte in der legalen Marktwirtschaft werden auch in der illegalen eingesetzt. Dies macht OK für Staat und Wirtschaft so gefährlich. Zu dieser Einschätzung kommt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht 2015:

„Die Teilnehmer der Cyber-Sicherheitsumfrage 2015 der Allianz für Cyber-Sicherheit benennen weiterhin Organisierte Kriminalität und Wirtschaftskriminalität als Angreifergruppe mit dem höchsten Bedrohungspotenzial in den kommenden Jahren.“

„Der bestehende Markt, auf dem die Schwachstellen, Angriffsmethoden oder die Durchführung von Cyber-Angriffen offeriert werden, sorgt dafür, dass die Gefährdungslage unübersichtlicher wird. So bieten Organisationen ihre Fähigkeiten und Leistungen auch anderen interessierten Kreisen im Rahmen von Auftragsarbeiten an (‚Cybercrime-as-a-Service‘). Damit werden hochwertige Angriffe auch für Organisationen und Staaten verfügbar, die diese Expertise bisher nicht eigenständig bzw. aufgrund mangelnder Fähigkeiten grundsätzlich nicht ausbauen können.“

Die Bedrohung ist daher sehr viel größer, als es sich aus den derzeit berichteten Schäden ablesen lässt. Der durchschnittliche Schaden betrug je Unternehmen 337.000 Euro. Die höchsten Schäden weisen Unternehmen mit mehr als 10.000 Mitarbeitern auf. Berücksichtigen wir hingegen den Median, so bewegt sich die typische Schadenssumme in der Größenordnung von 30.000 Euro. E-Crime-Vorfälle führen somit bisher überwiegend zu eher geringen finanziellen Schäden.

Dies kann sich künftig drastisch ändern. Schon jetzt betrug der Schaden bei 5 % der betroffenen Unternehmen mehr als eine Million Euro. Auch dürften viele Unternehmen das wahre Ausmaß des Schadens infolge eines E-Crime-Angriffs nicht zu quantifizieren vermocht haben. Dies gilt insbesondere für Reputations- und Vertrauensschäden.

Im Unterschied zur herkömmlichen Wirtschaftskriminalität werden die höchsten finanziellen Schäden bei E-Crime nicht primär durch eine Deliktsart verursacht, sondern durch eine Vielzahl von Angriffen auf die Informations- und Kommunikationstechnik. Drei Delikte bestimmen das Schadensbild: Die befragten Unternehmen nannten am häufigsten Computerbetrug (23 %), die Manipulation von Konto und Finanzdaten (18 %) sowie das Ausspähen und Abfangen von Daten (16 %). Hiervon zielen jedoch mindestens zwei auf das Vermögen des Unternehmens ab, sodass es sich wiederum um Vermögensdelikte handelt, die auch bei den E-Crime-Delikten die höchsten Schäden verursachen.

E-Crime als Innovationshemmnis

Die E-Crime-Schadensrisiken werden auch aufgrund der weiteren technischen Entwicklung zwangsläufig deutlich zunehmen. Die vierte industrielle Revolution – auch Industrie 4.0 genannt – zielt vor allem auf selbstoptimierende Verfahren und eine stärkere Verzahnung von Produktionsschritten und -technologien ab. Mit der wachsenden digitalen Vernetzung wächst zugleich das Bedrohungspotenzial durch E-Crime, wenn dieser Gefahr nicht durch geeignete IT-Sicherheits­maßnahmen entschieden begegnet wird.

Viele der befragten Unternehmen erkennen diese mit Industrie 4.0 verbundenen neuen Risiken. Man muss sich auf höhere Risiken einstellen, antworteten sinngemäß vor allem forschungsintensive Unternehmen. Rund drei Viertel dieser Unternehmen (70 %) sehen in der vierten industriellen Revolution ein erhöhtes Risiko für E-Crime.

Die hohe Risikobewertung vieler Unternehmen, insbesondere der forschungsintensiven Unternehmen, deckt sich mit dem Risikoszenario des BKA, das in seinem Lagebild zu Cybercrime – auch mit Blick auf (digitale) Erpressungsrisiken – ebenfalls zu einer alarmierenden Risikobeurteilung gelangt:

70%

sehen in Industrie 4.0 ein erhöhtes Risiko für E-Crime

„Die zunehmende Vernetzung, die Abhängigkeit vernetzter, sich selbst steuernder Produktionsprozesse und Logistikketten von der Verfügbarkeit der Netze und die Problematik der Trennung/Abschottung dieser Netze zum Internet, stellen dabei eine große Herausforderung dar. […] Eine Schädigung der IT-Infrastruktur von Unternehmen kann mittlerweile nicht mehr nur zur Störung der Kommunikation führen, sondern vielmehr auch zum kompletten Produktionsstillstand, was enorme Verluste für Unternehmen nach sich ziehen würde. Insbesondere die Gefahr der digitalen Erpressung von Unternehmen steigt dadurch.“

Diese Bedenken lassen etwa die Hälfte der befragten Unternehmen, die für sich ein hohes Risiko sehen, zögern, Schritte in Richtung Industrie 4.0 zu gehen. Die Haltung eines Teils der forschungsintensiven Unternehmen zeigt jedoch, dass IT-Risiken gegen Wettbewerbschancen abzuwägen sind und auch als bewältigbar gesehen werden können. Vor allem forschungsintensive Unternehmen sind zu stark von technologischen Innovationen abhängig, als dass sie sich von damit verbundenen E-Crime-Risiken von der Nutzung abhalten ließen (60 %).

Allerdings zeigen unsere Ergebnisse auch, dass 40 % der forschungsintensiven Unternehmen aufgrund höherer E-Crime-Risiken das Tempo in Richtung Industrie 4.0 zumindest drosseln. Dies ist angesichts der Herausforderungen im internationalen Wettbewerb kritisch zu sehen. Unsere Ergebnisse zeigen vielmehr, dass die Vorteile von Industrie 4.0 durch entsprechende Investitionen in die IT-Sicherheit abgesichert werden müssen.

Bildnachweis: kutubQ/Istockphoto, PwC (2)

Newsletter abonnieren

Mit dem Newsletter verpassen Sie keine Ausgabe der next: Das Magazin für Vorausdenker

Anmelden
Experten kontaktieren

Sie haben Fragen oder möchten mit einem unserer Experten zu diesem Thema sprechen? Melden Sie sich gerne bei uns.

Kontaktieren
Diesen Beitrag teilen

Hier können Sie den Beitrag über soziale Medien teilen.

Teilen