Andreas Burkert
Die Dunkelziffer ist überaus beunruhigend. Laut einem Bericht des BKA ergab eine vor etwa drei Jahren in Niedersachsen durchgeführte Dunkelfeldstudie ein Dunkelfeld von 91 % aller Cybercrime-Straftaten. Nur ein kleiner Teil der Straftaten wird also zur Anzeige gebracht, obschon die Folgen erheblich sind. Einer im Februar 2015 veröffentlichten repräsentativen Studie des Deutschen Instituts für Wirtschaftsforschung (DIW) [05] zufolge „ist Deutschland mit jährlich 14,7 Millionen Fällen von Internetkriminalität mit einem Gesamtschaden von 3,4 Milliarden Euro belastet“.
Auch wenn davon allein 84 % der Fälle (rund 12,3 Millionen) auf die Bereiche „Phishing, Identitätsbetrug und Angriffe mittels Schadsoftware“ entfallen. Die Angst vor dem Diebstahl von geistigem Eigentum wächst und hält derzeit vor allem forschungsintensive Unternehmen in ihrem Bann. Mit der wachsenden digitalen Vernetzung in der Wirtschaft steigt nämlich auch das Risiko für Cybercrime. Wie gefährdet ist also der Innovationsstandort Deutschland? Das wollten die Analysten der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC und der Martin-Luther-Universität Halle-Wittenberg wissen. Sie befragten deshalb deutschlandweit 720 Unternehmen. Die Ergebnisse finden sich in der Studie „Wirtschaftskriminalität in der analogen und digitalen Wirtschaft“.
An Cybercrime könnte die Industrie 4.0 scheitern
Rund drei Viertel von ihnen (70 Prozent) geben an, im Zuge der vierten industriellen Revolution einem höheren E-Crime-Risiko ausgesetzt zu sein. 40 Prozent von ihnen gehen das Thema Industrie 4.0 deswegen verhaltener an, während sich die Mehrheit (60 Prozent) nicht davon abschrecken lässt.
„Vor allem forschungsintensive Unternehmen sind zu stark von technologischen Innovationen abhängig, als dass sie sich durch E-Crime-Risiken abschrecken lassen“, sagt Steffen Salvenmoser, Partner bei PwC im Bereich Forensic Services und maht: „Der Aspekt IT-Sicherheit sollte bei jedem Schritt in Richtung Digitalisierung von Beginn an berücksichtigt werden. Nur mit einem wirksamen Schutz vor den wachsenden Cyberrisiken kann Industrie 4.0 gelingen.“ Unternehmen sind sich dessen bereits sehr bewusst.
Sicherheitssysteme müssen extern überprüft werden
Und so wappnen sich laut Studie viele Unternehmen gegen Cyber-Angriffe: „Drei Viertel der befragten Unternehmen verfügen über ein internes IT-Sicherheitsmanagement, gut zwei Drittel (67 Prozent) führen interne Sicherheitsaudits durch. Schwachstellen mithilfe eines Penetration-Testing des IT-Systems auszumachen, also der Simulation von typischen Angriffsmethoden, ist bei 53 Prozent üblich.“ Doch wie hilfreich sind diese Maßnahmen?
Denn nur eine Minderheit lässt das eigene Sicherheitssystem durch Dritte überprüfen: 39 Prozent verfügen über eine Zertifizierung, doch bei 38 Prozent ist das nicht einmal geplant. Dazu Salvenmoser: „Unternehmen sollten die Chance nutzen, ihre Sicherheitssysteme von externen Experten unter die Lupe nehmen zu lassen und Lücken aufzudecken. Ohne einen solchen Test wiegen sie sich möglicherweise in falscher Sicherheit.“
Die klassische Wirtschaftskriminalität überwiegt
Trotz der wachsenden Cyberrisiken überwiegen laut der Studie die Fälle klassischer Wirtschaftskriminalität: 34 Prozent der befragten Unternehmen sind in den vergangenen zwei Jahren Opfer von Cyber-Attacken geworden, inklusive konkreter Verdachtsfälle sind es 47 Prozent. Dagegen hatten es 51 Prozent mit klassischer Wirtschaftskriminalität zu tun (inklusive konkreter Verdachtsfälle 57 Prozent). Dazu zählen Vermögensdelikte (37 Prozent der Delikte), Verstöße gegen Patent- und Markenrechte (13 Prozent) sowie Diebstahl vertraulicher Kunden- und Unternehmensdaten (5 Prozent).
Bei den digitalen Risiken berichten Firmen am häufigsten über Computerbetrug (13 Prozent), Manipulation von Konto- und Finanzdaten (11 Prozent) und das Ausspähen und Abfangen von Daten wie Passwörter (9 Prozent). „Unternehmen sehen sich heute mit einer doppelten Herausforderung konfrontiert: Sie dürfen keinesfalls die konventionellen Deliktarten vernachlässigen. Doch gleichzeitig müssen sie sich den Risiken der Cyber-Spionage stellen“, so Salvenmoser. Vor diesem Hintergrund stellt sich die Frage, wie hilfreich dabei Compliance-Management-Systeme (CMS) sind?
Non-Compliance wird zum Wettbewerbsnachteil
Die Autoren der Studie sind auch dieser Frage nachgegangen. Die gute Nachricht: Compliance-Management-Systeme sind weit verbreitet: 76 Prozent der befragten Unternehmen verfügen über ein solches Programm, bei Unternehmen mit mehr als 10.000 Mitarbeitern liegt dieser Anteil bei 96 Prozent. Dazu urteilt Salvenmoser: „Compliance-Programme sind ein zunehmend geforderter Standard. Der Druck großer Unternehmen auf die Zuliefererkette nimmt zu“. So scheint es, als wirkt sich Non-Compliance mehr und mehr zum Wettbewerbsnachteil aus.
Sich allerdings blind auf ein Compliance-Programm zu verlassen genügt heute nicht mehr. „Handlungsbedarf besteht auch hier bei der Zertifizierung“, so Salvenmoser. Im Vergleich zur IT-Sicherheit gibt es für Compliance-Systeme bisher jedoch keine allgemeingültigen gesetzlichen Leitlinien: 37 Prozent der befragten Unternehmen, die bereits über ein entwickeltes CMS verfügen, halten es für sinnvoll, Mindestaufsichts- beziehungsweise Mindest-Compliance-Standards zur Schaffung von Rechtssicherheit vorzugeben, fast die Hälfte dieser Unternehmen (47 Prozent) hält dies zumindest für überlegenswert.
Bekenntnis zur Compliance ist wichtig, wird aber oft vernachlässigt
Zu einem effektiven CMS gehören ein im Unternehmen klar formuliertes Bekenntnis zur Compliance und kulturellen Werten. Gerade in diesem Punkt besteht laut Studie jedoch noch Handlungsbedarf. Denn Mitarbeiter sind Schwachstelle und Chance zugleich: Grundsätzlich wird Wirtschaftskriminalität zu 51 Prozent von internen Tätern begangen. Gleichzeitig wird mehr als jede dritte Tat durch einen Hinweis von Mitarbeitern aufgedeckt: „Eine integritätsförderliche Unternehmenskultur ermutigt die Mitarbeiter, Kollegen auf mögliches Fehlverhalten und Compliance-Verstöße anzusprechen und dem Unternehmen gegebenenfalls einen Hinweis zu geben“, betont Kai Bussmann, Professor für Strafrecht und Kriminologie an der Martin-Luther-Universität Halle-Wittenberg. „Eine solche Speak-up-Kultur ist für den Erfolg eines Compliance-Programms essenziell.“