Der Kriminalität im Internet sind kaum Grenzen gesetzt. Die Unternehmen haben Schwachstellen in ihrer Informationstechnik erkannt. Eine Studie zeigt, dass es immer schwieriger wird, Angriffe und Täter überhaupt rechtzeitig zu erkennen. Die grösste Gefahr sehen Unternehmen in mobiler Telekommunikation - also Smartphones oder Tabletcomputern, auf denen Manager und Angestellte Daten mit sich führen und sie übermitteln. Auch die Übertragung von Informationen über E-Mail wird immer noch als Problem gesehen.
Von 100 Schweizer Unternehmen, die in einer Studie der Wirtschaftsprüfungs- und Beratungsfirma KPMG befragt wurden, schätzt die Hälfte zudem das "Bring your own Device" als Risiko ein: Dass Mitarbeiter mit ihrem privaten Laptop arbeiten, ist mittlerweile ein Thema für das Risikomanagement der Firmen. Nach aufsehenerregenden CD-Datenklau-Affären haben besonders die Finanzdienstleister gehandelt. "Gerade die Finanzbranche ist sich der Problematik durchaus bewusst. Es wird viel investiert, aber die Technologie ist manchmal nicht die einzige Lösung", sagt KPMG-Spezialist Dani Romay.
Schwer feststellbar
Die Gefahr, die von USB-Sticks oder CDS ausgehe, habe man früh erkannt, so Romay. Auch mit Fragen wie: "Wie verhindert man, dass Mitarbeiter mit einem Smartphones Fotos machen können? Wie vermeidet man, dass Daten per Copy-paste kopiert werden können?" hätten sich die meisten auseinandergesetzt. Die Unternehmen müssen sich immer wieder auf neue Tricks einstellen, die zudem schwer erkennbar sind. Es sei schwierig, die Ursprünge handfest zu machen, sagt Romay. "Das Problem ist, dass man über das Internet Spuren verwischen oder falsche Spuren legen kann."
Heute seien die Angriffe subtiler und gezielter, was das Problem für betroffene Firmen noch grösser mache. 92 Prozent der von E-Crime betroffenen Schweizer Unternehmen sagten laut der KPMG-Studie, die gezielten Angriffe nähmen zu. 88 Prozent halten es für schwierig, den Angriff überhaupt festzustellen.
Gefährdete KMU
Für KMU mit bescheidenen Mitteln ist es schwieriger, Angriffe zu erkennen, als für Grossbanken, Pharmariesen oder Lebensmittelkonzerne. Die KMU als Zulieferer der Industrie können aber genauso ins Visier von Kriminellen geraten. Wer diese Kriminellen sind, ist jedoch ebenfalls schwer auszumachen. KPMG hat in einer ähnlichen Studie vor drei Jahren noch festgestellt, dass als Täter vor allem aktuelle und ehemalige Mitarbeiter von Firmen vermutet wurden. Heute sind es "externe Unbekannte", die mit dem Computer kriminelle Machenschaften organisieren.
"Bei den Banken vermutet man als Täter vor allem kriminelle Organisationen", sagt KPMG-Risikofachmann Roman Haltinner. In der Industrie sei auch die staatliche Spionage ein Problem. "Es ist unter Fachleuten heute unbestritten, dass Geheimdienste in Cyber-Spionage engagiert sind."
Rufschaden "going viral"
Genaue Zahlen zu den Kosten von E-Crime lassen sich laut KPMG kaum nennen. Prävention ist aber auf jeden Fall billiger, als nach dem Schaden aufzuräumen. Untersuchungen sind aufwendig, und beispielsweise durch Reputationsschäden entgangene Einnahmen oder verlorener Marktanteil gehen die Kosten schnell in die Millionen. Deswegen nehmen die Risikomanager immer mehr die sozialen Netzwerke ins Visier. Über eine Präsenz auf Facebook, Twitter und You-Tube-Kanäle lassen sich über Firmen und Produkte Informationen gewinnen. Zudem besteht das Risiko, dass Mitarbeiter über soziale Netzwerke Daten preisgeben.
Kopfzerbrechen bereitet den Firmen aber auch die Gefahr von Reputationsschäden. Bereits gibt es Fälle von Umweltaktivisten, die über soziale Netzwerke ihre Kritik an bestimmten Produkten, beispielsweise Lebensmitteln, in Windeseile verbreitet haben. Facebook kann aber genauso von Kriminellen oder Konkurrenten benutzt werden, um einen "Sturm der Entrüstung" anzuzetteln.
"Die sozialen Netzwerke ermöglichen es, einen grossen Schaden anzurichten. Entsprechend ist ein aktives Monitoring der Sozialen Netzwerke wichtig, um möglichen Reputationsschäden entgegenzuwirken", sagt Dani Romay. Grosskonzerne arbeiteten heute schon daran. (sda)
