Nahezu täglich werden neue Fälle von Datenklau, Computerbetrug oder anderen Datendelikten bekannt. Die meisten Unternehmen glauben dennoch nicht, dass es sie einmal selbst treffen könnte. Das zeigt die Untersuchung „e-Crime 2015“ von KPMG, für die die Wirtschaftsprüfungsgesellschaft die Einschätzungen von Vertretern aus gut 500 deutschen Unternehmen aller Branchen und Größen ausgewertet hat.
Die Antworten zeigen eine beachtliche Diskrepanz zwischen eigener Betroffenheit und genereller Risikoeinschätzung: Demnach sehen 89 Prozent der Teilnehmer ein hohes oder sehr hohes Risiko für andere Unternehmen, Opfer von Cybercrime zu werden – allerdings fürchten nur 39 Prozent, dass das eigene Unternehmen betroffen sein könnte. Dieser Wert ist gegenüber einer vorangegangenen Umfrage von KPMG vor zwei Jahren gerade einmal um 5 Prozentpunkte gestiegen.
Finanzdienstleiter häufig Opfer von Cybercrime
Gleichzeitig hat die Anzahl der registrierten Fälle allerdings überproportional zugenommen: War vor zwei Jahren gerade jeder vierte Betrieb in Deutschland von Datenkriminalität betroffen, sind es heute schon 40 Prozent. Das attraktivste Ziel für die Täter sind Finanzdienstleister: Sie werden mit einer Betroffenheit von 55 Prozent der befragten Unternehmen deutlich überdurchschnittlich häufig Ziel von Angriffen.
Dass die Bedrohung dennoch für die breite Masse bislang abstrakt ist, lässt sich vor allem mit Nichtwissen erklären, sagt Alexander Geschonneck, Leiter des Bereichs Forensic bei KPMG und verantwortlich für die Studie: „Die Medienpräsenz von datenbezogenen Themen ist enorm. Aber Unternehmen können sich häufig nicht vorstellen, in welcher Form es sie treffen könnte. Sie kennen oftmals auch gar nicht die Wege, über die Daten sich digital verbreiten können.“ Daran, dass Datendelikte sich immer weiter ausbreiten werden, hat er aber keinen Zweifel. „Nach unserer Einschätzung wird e-Crime früher oder später jeden treffen.“
Erst der Schaden, dann die Investition
Wenn es so weit ist, wird es schnell empfindlich teuer: Den Gesamtschaden pro Datendelikt beziffert die Studie im Durchschnitt auf 372.000 Euro – dieser Wert umfasst nicht nur die eingetretenen Verluste und Bußgelder, sondern auch Kosten für die interne Ermittlung und Aufklärung. Ist der Schaden erst da, steigt auch die Investitionsbereitschaft, um sich gegen zukünftige Vorfälle abzusichern: Im Schnitt investieren betroffene Unternehmen 115.000 Euro mehr in den Kampf gegen Cyberkriminalität als bislang nicht betroffene.
„Die Investitionen sind immer noch vorfallsgetrieben und nicht strategisch“, resümiert Geschonneck, bescheinigt aber wenigstens den gebrannten Kindern auch einen gewissen Lerneffekt: „Betroffene Unternehmen tendieren mittlerweile dazu, nicht nur in die Aufklärung zu investieren, sondern auch in die Prävention. Wenn man sich nicht vorbereitet, indem man zum Beispiel die Informationsbeschaffung und die Zuständigkeiten im Ernstfall definiert, kann man hinterher auch nicht angemessen reagieren.“
