- Mehrheit der Unternehmen lässt sich bei Industrie 4.0 nicht von Cyberrisiken abschrecken
- Non-Compliance wird zunehmend zum Wettbewerbsnachteil
- Speak-up-Kultur essenziell für Kriminalprävention
Mit der wachsenden digitalen Vernetzung in der Wirtschaft steigt auch das Risiko für Cybercrime: Das ist vor allem forschungsintensiven Unternehmen bewusst, die um den Verlust ihres geistigen Eigentums fürchten: Rund drei Viertel von ihnen (70 Prozent) geben an, im Zuge der vierten industriellen Revolution einem höheren E-Crime-Risiko ausgesetzt zu sein. 40 Prozent von ihnen gehen das Thema Industrie 4.0 deswegen verhaltener an, während sich die Mehrheit (60 Prozent) nicht davon abschrecken lässt. Das zeigt die Studie „Wirtschaftskriminalität in der analogen und digitalen Wirtschaft“ der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC und der Martin-Luther-Universität Halle-Wittenberg. Deutschlandweit wurden dafür 720 Unternehmen befragt.
„Vor allem forschungsintensive Unternehmen sind zu stark von technologischen Innovationen abhängig, als dass sie sich durch E-Crime-Risiken abschrecken lassen“, sagt Steffen Salvenmoser, Partner bei PwC im Bereich Forensic Services. „Der Aspekt IT-Sicherheit sollte bei jedem Schritt in Richtung Digitalisierung von Beginn an berücksichtigt werden. Nur mit einem wirksamen Schutz vor den wachsenden Cyberrisiken kann Industrie 4.0 gelingen.“
Unternehmen sind sich dessen bereits sehr bewusst. Die Befragten werten das seit Juli 2015 geltende IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) überwiegend positiv: 81 Prozent der Unternehmen, die nach eigener Einschätzung zur kritischen Infrastruktur (KRITIS) gehören – dazu zählen u.a. Firmen aus den Bereichen Energie, Telekommunikation, Gesundheit und Wasserversorgung -, erachten die gesetzlichen Bestimmungen für sinnvoll, nur vier Prozent lehnen die Reform ab. Auch Unternehmen, die nicht unter das Gesetz fallen, stehen der neuen Regelung positiv gegenüber. „Es ist zu hoffen, dass vom IT-Sicherheitsgesetz zusätzliche Impulse zur Erhöhung der Sicherheitsstandards ausgehen, die auch auf Unternehmen ausstrahlen, die nicht zur KRITIS zählen“, so Salvenmoser. „Denn die Gefahr nimmt zu: Mittlerweile verlagert die Organisierte Kriminalität ihre Aktivitäten mehr und mehr in die digitale Welt.“ Dies schätzen auch die befragten Unternehmen so ein. Bei Daten- und Wissensverlust führen die Spuren der externen Täter in 30 Prozent der Fälle zur Organisierten Kriminalität.
Sicherheitssysteme werden zu selten extern überprüft
Viele Unternehmen wappnen sich gegen Cyber-Angriffe: Drei Viertel der befragten Unternehmen verfügen über ein internes IT-Sicherheitsmanagement, gut zwei Drittel (67 Prozent) führen interne Sicherheitsaudits durch. Schwachstellen mithilfe eines Penetration-Testing des IT-Systems auszumachen, also der Simulation von typischen Angriffsmethoden, ist bei 53 Prozent üblich. Aber nur eine Minderheit lässt das eigene Sicherheitssystem durch Dritte überprüfen: 39 Prozent verfügen über eine Zertifizierung, doch bei 38 Prozent ist das nicht einmal geplant. „Unternehmen sollten die Chance nutzen, ihre Sicherheitssysteme von externen Experten unter die Lupe nehmen zu lassen und Lücken aufzudecken“, empfiehlt Salvenmoser. „Ohne einen solchen Test wiegen sie sich möglicherweise in falscher Sicherheit.“
Fälle klassischer Wirtschaftskriminalität überwiegen
Trotz der wachsenden Cyberrisiken überwiegen laut der Studie die Fälle klassischer Wirtschaftskriminalität: 34 Prozent der befragten Unternehmen sind in den vergangenen zwei Jahren Opfer von Cyber-Attacken geworden, inklusive konkreter Verdachtsfälle sind es 47 Prozent. Dagegen hatten es 51 Prozent mit klassischer Wirtschaftskriminalität zu tun (inklusive konkreter Verdachtsfälle 57 Prozent). Dazu zählen Vermögensdelikte (37 Prozent der Delikte), Verstöße gegen Patent- und Markenrechte (13 Prozent) sowie Diebstahl vertraulicher Kunden- und Unternehmensdaten (5 Prozent). Bei den digitalen Risiken berichten Firmen am häufigsten über Computerbetrug (13 Prozent), Manipulation von Konto- und Finanzdaten (11 Prozent) und das Ausspähen und Abfangen von Daten wie Passwörter (9 Prozent). „Unternehmen sehen sich heute mit einer doppelten Herausforderung konfrontiert: Sie dürfen keinesfalls die konventionellen Deliktarten vernachlässigen. Doch gleichzeitig müssen sie sich den Risiken der Cyber-Spionage stellen“, so Salvenmoser.
Non-Compliance wird zum Wettbewerbsnachteil
Compliance-Management-Systeme (CMS) sind weit verbreitet: 76 Prozent der befragten Unternehmen verfügen über ein solches Programm, bei Unternehmen mit mehr als 10.000 Mitarbeitern liegt dieser Anteil bei 96 Prozent. „Compliance-Programme sind ein zunehmend geforderter Standard. Der Druck großer Unternehmen auf die Zuliefererkette nimmt zu“, urteilt Salvenmoser. „Non-Compliance wird mehr und mehr zum Wettbewerbsnachteil. Handlungsbedarf besteht jedoch auch hier bei der Zertifizierung.“ Im Vergleich zur IT-Sicherheit gibt es für Compliance-Systeme bisher jedoch keine allgemeingültigen gesetzlichen Leitlinien: 37 Prozent der befragten Unternehmen, die bereits über ein entwickeltes CMS verfügen, halten es für sinnvoll, Mindestaufsichts- bzw. Mindest-Compliance-Standards zur Schaffung von Rechtssicherheit vorzugeben, fast die Hälfte dieser Unternehmen (47 Prozent) hält dies zumindest für überlegenswert.
Mehr als jede dritte Tat wird von Mitarbeitern aufgedeckt
Zu einem effektiven CMS gehören ein im Unternehmen klar formuliertes Bekenntnis zur Compliance und kulturellen Werten. Gerade in diesem Punkt besteht laut Studie jedoch noch Handlungsbedarf. Denn Mitarbeiter sind Schwachstelle und Chance zugleich: Grundsätzlich wird Wirtschaftskriminalität zu 51 Prozent von internen Tätern begangen. Gleichzeitig wird mehr als jede dritte Tat durch einen Hinweis von Mitarbeitern aufgedeckt: „Eine integritätsförderliche Unternehmenskultur ermutigt die Mitarbeiter, Kollegen auf mögliches Fehlverhalten und Compliance-Verstöße anzusprechen und dem Unternehmen gegebenenfalls einen Hinweis zu geben“, betont Kai Bussmann, Professor für Strafrecht und Kriminologie an der Martin-Luther-Universität Halle-Wittenberg. „Eine solche Speak-up-Kultur ist für den Erfolg eines Compliance-Programms essenziell.“
PwC führt seit 2001 alle zwei Jahre eine Umfrage zur Wirtschaftskriminalität durch, seit 2005 gemeinsam mit der Martin-Luther-Universität Halle-Wittenberg. Der Betrachtungszeitraum beträgt jeweils zwei Jahre. Die Befragung erfolgt seit 2005 durch Telefoninterviews, die von TNS Emnid geführt werden.