Rückansicht einer weiblichen Hackerin vor Bildschirmen mit Codierung

Niemals zu unterschätzen: Cyberangriffe

Unternehmen müssen Resilienz gegen Cybercrime aufbauen. Die beginnt mit der Erkenntnis, wie bedroht sie tatsächlich sind.

Nichts in der Unternehmenswelt ist gefährlicher als Cybercrime. Früher galten Betriebsunterbrechungen als größtes Geschäftsrisiko, das hat sich seit 2020 geändert. Weltweit bezeichneten die meisten Unternehmen „Cybervorfälle“ als schlimmste Gefahr. Als 2013 erstmals im Allianz Risk Barometer nach Cyberangriffen gefragt wurde, sahen nur 6 Prozent der befragten Manager und Experten darin eine akute Gefahr. Heute sind es 39 Prozent.

Dieser Prozentsatz wäre wahrscheinlich höher, gäbe es da nicht diese Schere im Kopf. Einerseits: „Ja, die Gefahr ist groß.“ Andererseits: „Nein, wir sind gut geschützt.“ Nur 30 Prozent der Manager sehen das eigene Unternehmen als potenzielles Opfer von Wirtschaftskriminellen – obwohl 78 Prozent die generelle Gefahr als „hoch“ oder „sehr hoch“ einschätzen. Leicht sarkastisch resümieren die Wirtschaftsprüfer von KPMG dieses Ergebnis ihrer Umfrage: „Wirtschaftskriminalität trifft nur die anderen.“

78 %

aller Manager sehen Wirtschafts­kriminalität als Risiko, doch nur 30% als Gefahr für das eigene Unternehmen

video-spacer

Wo ansetzen mit Cybersecurity?

Wie fahrlässig diese Einstellung ist, zeigen aktuelle Zahlen, die das LBBW Research in der Studie „Cybersecurity: zum Schutz des Unternehmens“ gebündelt hat. Jedes dritte deutsche Unternehmen war bereits von Wirtschaftskriminalität betroffen, die jährliche Zahl der polizeilich erfassten Cybercrimes liegt mittlerweile im sechsstelligen Bereich. Wie hoch die Dunkelziffer ist, weiß niemand. Wie teuer solche Cyberangriffe die Unternehmen zu stehen kommen, versucht das US-amerikanische Ponemon Institute in seiner „Cost of a Data Breach“-Studie zu beziffern. Ihr Ergebnis für Deutschland: mehr als vier Millionen US-Dollar. In jedem einzelnen Fall!

Angst vor Angriffen aus dem Cyberspace

Das Problem für die Unternehmen: Absoluten Schutz gegen Cybercrime gibt es nicht. Die Abwehrbollwerke in der IT mögen noch so ausgeklügelt sein – eine schwachbrüstige Technologie ist nur einer der Ansatzpunkte für die Kriminellen. „Cyberkriminalität ist eben auch ein menschliches Problem, da nicht nur IT-Sicherheitslücken ausgenutzt, sondern auch Mitarbeitende im Unternehmen getäuscht werden“, heißt es in der „Cybersecurity“-Studie des LBBW Research.

Wenn der CEO eine E-Mail schreibt …

Das zeigt sich beispielsweise bei der „Fake President“-Masche. Dabei werden E-Mails an zuvor ausgespähte Mitarbeiter geschickt, und zwar vermeintlich im Namen des Chefs. In der E-Mail wird um absolute Diskretion bei einer eiligen Transaktion gebeten, das Geld müsse umgehend auf ein ausländisches Konto überwiesen werden. Wer mag da schon nachfragen? Sobald das Geld auf dem ausländischen Konto landet, wird es sofort abgehoben. Eine Rückverfolgung? So gut wie unmöglich.

Betrüger im Netz

Fälle von Cybercrime in Deutschland, 2019

Quelle: Bundeskriminalamt, LBBW Research

Die Zahl der „Fake President“-Opfer und die Höhe der Schäden steigt rapide, wie der „Internet Crime Report“ des FBI für die USA zeigt. Laut FBI gab es mehr als 23.000 Fake-President-Opfer allein im Jahr 2019, der weltweite Schaden betrug insgesamt 1,7 Milliarden Dollar.

Betrug beim Zahlungsverkehr

Oft nutzen Wirtschaftskriminelle als Besteller eine falsche Identität („Fake Identity“) oder leiten Zahlungen auf ein falsches Konto („Payment Diversion“). Die drei Täuschungsdelikte „Fake President“, „Fake Identity“ und „Payment Diversion“ haben laut Kreditversicherer Euler Hermes bei deutschen, österreichischen und Schweizer Unternehmen und deren ausländischen Töchtern seit 2014 zu Schäden von rund 200 Millionen Euro geführt. Allein beim Zahlungsbetrug gab es im Jahr 2018 (neuere Zahlen liegen noch nicht vor) ein Plus von 24 Prozent, was die Zahl der Fälle angeht.

Um Zahlungsströme umzuleiten, reicht in der Regel eine kurze E-Mail. Das geht ratzfatz.

Ron van het Hof, Deutschland-Chef von Euler Hermes

Beim Zahlungsbetrug geben sich Betrüger als Lieferanten aus und geben eine abweichende Kontoverbindung an – für eine bereits erfolgte Lieferung. „Um Zahlungsströme umzuleiten oder eine abweichende Lieferadresse anzugeben, reicht in der Regel eine kurze E-Mail“, sagt Ron van het Hof, Deutschland-Chef von Euler Hermes. „Die Beträge sind zwar meist geringer, aber dafür geht es ratzfatz – sogar bei mehreren Firmen gleichzeitig.“

Die einzige Chance: Resilienz aufbauen

Was also tun, um Cyberkriminellen nicht auf den Leim zu gehen? Die Analysten des LBBW Research empfehlen, die Resilienz gegen Cyberangriffe zu stärken. „Cyberresilienz ist die Agilität und Schnelligkeit sowohl der Abwehr- als auch der Wiederherstellungskapazitäten“, heißt es in der „Cybersecurity“-Studie. Mit Resilienz ist die Fähigkeit einer Organisation gemeint, „sich auf schadhafte Cybervorfälle einzustellen und diesen entgegenzuwirken – und das nicht reaktiv, sondern proaktiv“.

Cyberresilienz hat laut LBBW Research vier Dimensionen:

  • Bedrohungsschutz (Threat Protection),
  • Anpassungsfähigkeit (Adaptability),
  • Beständigkeit (Durability) und die
  • Fähigkeit zur Wiederherstellung (Recoverbility)

„Die Cyberresilienz von Unternehmen hat sich weltweit im Großen und Ganzen gut entwickelt“, heißt es in der LBBW-Studie. Doch in Sicherheit wiegen sollte sich niemand. „Es ist ein bisschen wie beim Hase-Igel-Spiel“, sagt LBBW-Analyst Andreas Heinemann, „die eine Maßnahme zum Schutz gegen alle Maschen gibt es nicht.“ Die einzige Chance der Unternehmen: Sie müssen sich auf dem Laufenden halten, ihre Mitarbeiter sensibilisieren, sorgfältig bei der Auswahl ihrer Geschäftspartner und Dienstleister sein und moderne Sicherheitstechnologie nutzen. Das ist der beste Schutz vor Cybercrime.