Auf die Aufrüstung und den Schutz der Smartphones von Mitarbeitern sollte nicht vergessen werden. Denn mittels unbemerkt eingeschleuster Apps können Telefongespräche, Emails, Chats und SMS abgehört und gelesen werden. Nicht nur die deutsche Kanzlerin ist ein interessantes Opfer für diese Art der Bespitzelung. Auch geheime, noch nicht geschützte Technologien und vertrauliche Geschäftsbeziehungen mit Lieferanten und Kunden stellen ein begehrtes Ziel für Industriespione dar.
Ein angemessenes Umfeld in der IT, das neben Testumgebungen auch Prozesse definiert, wie Änderungen und Updates zu testen und freizugeben sind, sind darüber hinaus ein wesentlicher Basisbestandteil einer ordentlichen EDV. Einen absoluten Schutz vor Fehlern und Systemausfällen gibt es zwar nicht, aber man kann dadurch das Risiko wenigstens auf ein Mindestmaß reduzieren.
Diese Branchen sind am häufigsten von Computerkriminalität betroffen
Der Branchenverband Bitkom hat Anfang 2015 in 1074 Unternehmen ab 10 Mitarbeitern danach gefragt, ob das jeweilige Unternehmen innerhalb der letzten zwei Jahre von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen war. Gut die Hälfte der befragten Unternehmen gaben an, tatsächlich Opfer von IT-gestützter Wirtschaftskriminalität geworden zu sein.
Quelle: Bitkom/Statista
Stand: 2015
Im Handel wurden 52 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Opfer von Cyber-Kriminalität.
58 Prozent der befragten Unternehmen in der Medien- und Kulturbranche gaben an, in den letzten zwei Jahren Computerkriminalität erlebt zu haben. Ebenso viele Unternehmen aus der Gesundheitsbranche klagten über IT-Kriminalität.
Das Finanz- und Versicherungswesen ist ein lohnendes Ziel für Hacker, Wirtschaftsspione und Datendiebe: 60 Prozent der befragten Unternehmen konnten von Datendiebstahl oder ähnlichem während der vergangenen zwei Jahre berichten.
Fast zwei Drittel der Unternehmen der Chemie- und Pharmabranche hatten in den vergangenen zwei Jahren mit Datendiebstahl, Wirtschaftsspionage oder Sabotage zu kämpfen.
Auf Platz 1: Der Automobilbau. 68 Prozent der Autobauer klagten über Wirtschaftskriminalität in Form von Datendiebstahl, Wirtschaftsspionage oder Sabotage.
Die Sicherheitsvorkehrungen müssen permanent geprüft werden
Und dennoch, sich zurücklehnen und Däumchen drehen ist nicht angesagt, auch wenn man in einem scheinbar perfekten Umfeld mit Richtlinien, geschulten Mitarbeitern und technischen sowie prozessualen Vorgaben arbeitet. Man ist nie vor Fehlern und Angriffen gefeit. Organisationen und Prozesse ändern sich ständig und die IT entwickelt sich unaufhaltsam weiter. Da kann es leicht passieren, dass unbemerkt neue Sicherheitslücken entstehen und das zuvor noch als perfekt eingeschätzte Umfeld brüchig und schwach wird.
In einem so komplexen und von Veränderung getriebenen Umfeld sind Organisationen gefordert, die Angemessenheit der technischen und organisatorischen Sicherheitsvorkehrungen permanent zu überwachen. Aus diesem Grund ist es ratsam, einen eigenen IT-Risiko-Verantwortlichen zu etablieren, die sich mit den Änderungen und ständig neu auftauchenden Risiken beschäftigt und das eigene Umfeld entsprechend aufrüstet. Ein eigener Social-Media-Manager sollte nicht nur für die optimale Darstellung der Organisation in diesen Medien verantwortlich sein, sondern auch prüfen, ob und welche vertrauliche oder negative Nachrichten darüber verbreitet werden und angemessene, gegensteuernde Maßnahmen ergreifen.
Interne Revision spielt große Rolle
Eine nicht unerhebliche Rolle im Zusammenhang mit IT-Risiken sollte auch die Interne Revision spielen. Da diese an den Prüfungsausschuss oder den Aufsichtsrat berichtet, kann sie in relativer Unabhängigkeit agieren und über Schwächen berichten. Aus den Daten vom IT-System für die Enterprise Resource Planung (ERP) können Prozesse analysiert und Kontrollschwächen identifiziert werden. Schwächen, wie zum Beispiel Bestellungen, die erst am Tag der Lieferung generiert wurden, Lieferungen ohne Bestellungen, Rechnungsfreigaben durch den selben Mitarbeiter, der auch die Bestellung generiert und die Lieferung angenommen hat, können mittels Datenanalyse eruiert werden. Es ist anzunehmen, dass auch im Datendschungel der Société Générale Hinweise auf nicht ordnungsgemäß genehmigte oder zumindest fragwürdige Transaktionen zu finden gewesen wären.
“Datenklau 2015” - Die Ergebnisse im Überblick
Für die Studie “Datenklau 2015” hat die Prüfungs- und Beratungsgesellschaft Ernst & Young Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz von 450 deutschen Unternehmen befragt. Die Befragung wurde im Mai / Juni 2015 vom Marktforschungsinstitut Valid Research durchgeführt.
Quelle: Ernst & Young - Datenklau 2015
Jedes fünfte Unternehmen mit mehr als einer Milliarde Euro Umsatz hat in den vergangenen drei Jahren einen Angriff auf die eigenen Daten bemerkt, zeigt die EY-Studie. 18 Prozent der Betroffenen registrierten sogar mehrere Attacken. Mittlere (ab 50 Millionen Euro Umsatz) und kleinen Unternehmen (bis zu 50 Millionen Euro Umsatz) erlebten seltener Angriffe: 16 beziehungsweise zehn Prozent haben Hinweise auf Spionage oder Datenklau entdeckt.
Nicht nur die Größe entscheidet, wer ins Visier der Hacker gerät. Unternehmen der Energie- (17 Prozent ) und der Finanzbranche (16 Prozent) werden am häufigsten Opfer von Spionage und Datenklau. In der Industrie wurden 15 Prozent der Unternehmen bereits zum Opfer.
In den meisten Fällen (48 Prozent) ließ sich der Täter nicht zuordnen. In 18 Prozent der Fälle konnten laut EY Hackergruppen als Täter identifiziert werden. In 15 Prozent war es ein konkurrierendes ausländisches Unternehmen.
Die größte Gefahr geht aus Sicht der Manager von China aus: “46 Prozent nennen das Land als Region mit dem höchsten Risikopotenzial, dahinter folgen Russland (33 Prozent) und die USA (31 Prozent)”, wertet Ernst & Young aus.
Hinter den Angriffen vermuten die Manager in erster Linie den Versuch an Wettbewerbsvorteile oder finanzielle Vorteile (je 29 Prozent) zu gelangen. Reputationsschädigung (8 Prozent), Racheaktion (6 Prozent) und die Störung des Geschäftsbetriebs (3 Prozent) werden deutlich seltener hinter den Attacken vermutet.
In drei von vier Fällen (74 Prozent) handelte es sich bei den Attacken um Hackerangriffe auf die EDV-Systeme, in 21 Prozent wurden IT-Systeme vorsätzlich lahmgelegt. Deutlich seltener wurden Kunden- oder Arbeitnehmerdaten abgegriffen (elf Prozent), Mitarbeiter abgeworben oder Datenklau durch eigene Mitarbeiter begangen (jeweils zehn Prozent).
Die technischen Risiken sind heute so komplex, dass die Interne Revision eines durchschnittlichen Unternehmens wahrscheinlich nicht über das Know-how verfügt, um alle Einzelheiten testen und aufdecken zu können. Deshalb ist es ratsam, externe Berater zu engagieren, die einen geregelten und überwachten „Hackerangriff“ auf das Netzwerk der Organisation vornehmen. Knackpunkt dafür wird sein, die wesentlichen Risiken angemessen zu erkennen und zu beurteilen. Dies sollte von der Internen Revision gemeinsam mit den relevanten Stakeholdern definiert werden, um dann den richtigen Anbieter mit dem richtigen Know-how auszuwählen.