Cybercrime

Das Center for Strategic and International Studies (CSIS) beziffert in der aktuellen Studie «Estimating the Global Cost of Cybercrime» die weltweiten Schäden durch Cyberkriminalität auf 375 bis 575 Milliarden US-Dollar. Der Report entstand in Zusammenarbeit mit den Sicherheitsanbietern McAfee und Intel Security. Die Zahlen beruhen grösstenteils auf Schätzungen, da von den Regierungen und Unternehmen keine detaillierten Angaben gemacht werden. Sie sind laut den Autoren auch deshalb mit Vorsicht zu geniessen, weil nicht alle Firmen überhaupt eine Cyberattacke bemerken.

Industrieländer besonders stark betroffen
Mobiles Internet, Cloud-Computing und neue Technologien, wie das Internet der Dinge, haben die Geschäftswelt massiv verändert. Was fehlt, ist das Bewusstsein für die Risiken neuer Technologien. Cybercrime hat sich zu einer ernst zu nehmenden Bedrohung entwickelt. Nur schon durch den Klau von über 800 Millionen Personenprofilen weltweit ergibt sich laut der Studie ein Schaden von 160 Milliarden Dollar. Weiter sei davon auszugehen, dass allein in Europa durch den Diebstahl von Unternehmensgeheimnissen, -strategien und Innovationen bis zu 150 000 Arbeitsplätze verloren gehen könnten. «Cyberkriminalität hat in entwickelten Ländern ernste Auswirkungen auf die Beschäftigung», warnt Jim Lewis, Direktor und Senior Fellow beim CSIS.
Laut der Untersuchung sind die Schäden in Deutschland und den Niederlanden besonders hoch. Nach Schätzungen der Autoren betragen diese 1,6 respektive 1,5 Prozent des Bruttoinlandprodukts. In den USA, in China und Deutschland summieren sich die Schäden auf 200 Milliarden Dollar. Für die Schweiz liegt keine genaue Schätzung vor.
Cyberkriminalität ist ein Geschäft mit hohen Gewinnmargen und vergleichsweise geringem Risiko, erwischt zuwerden. Angesichts der hohen Schadensummen ist für die Autoren der Studie die Untätigkeit vieler Unternehmen und Staaten in diesem Bereich nur schwer nachvollziehbar. Aktuell liegt die Schadensumme mit 0,8 Prozent unter dem globalen Bruttoinlandprodukt. Schwer zu beziffern sind aber schwindendes Vertrauen und Innovationspotenzial oder auch Rufschädigung. Umsatzeinbrüche von einem bis fünf Prozent sind keine Seltenheit. Nicht zu vergessen sind auch die Kosten für die Erholung nach einer Cyberattacke, die häufig höher sind als der direkte Schaden.

Schutzmassnahmen zahlen sich aus
Investitionen in die Sicherheit zahlen sich schnell aus. So hat ein im Jahr 2011 in IT-Sicherheit investierter Dollar bis heute einen Return von 1,25 Dollar gebracht. Als positiver Trend wird das gestiegene Interesse an IT-Sicherheit hervorgehoben. Immer mehr Unternehmen und Verbraucher seien sich der Gefahren bewusst. Sie verlangten zunehmend nach Sicherheitslösungen und würden dafür auch mehr Geld in die Hand nehmen.
Was für die Allgemeinheit eine Bedrohung ist, bietet Unternehmen, die sich auf den Bereich Internetsicherheit spezialisiert haben, eine gute Marktchance. Das Marktforschungsinstitut Allied Market Research prognostizierte der Branche ein jährliches Wachstum von über acht Prozent. Das kommt nicht von ungefähr, denn die Politik ist inzwischen aufgewacht und fordert schärfere Sicherheitsvorkehrungen. Dennoch rechnen die Autoren mit einer weiteren Zunahme der Cyberkriminalität in den nächsten Jahren. Sollten dagegen keine stärkeren Massnahmen eingeleitet werden, seien auch negative Auswirkungen auf das globale Wirtschaftswachstum nicht auszuschliessen. Noch ist es Zeit, um Gegensteuer zu geben.

Unzureichender Schutz
Das Wirtschaftsprüfungs- und Beratungsunternehmen KPMG bestätigt den Vormarsch der Cyberkriminalität auch in der Schweiz. Durch die fortschreitende Digitalisierung des Lebens habe das Thema massiv an Bedeutung gewonnen. Das Forensic Fraud Barometer von KPMG beziffert das Schadenvolumen für 2014 auf 200 Millionen Franken.
Grundsätzlich seien sich die Schweizer Firmen der Gefahren bewusst. 63 Prozent der befragten 64 Unternehmen gaben an, dass ihre Firma durchaus ein attraktives Ziel für Cyberattacken sein könnte. Neben dem Diebstahl von Kundendaten, geistigem Eigentum und Geschäftsgeheimnissen werden zunehmend auch Angriffe, die Geschäfts- und Produktionsprozesse unterbrechen, als Risiken wahrgenommen.
Dennoch verhalten sich die Firmen angesichts der Bedrohungen im Internet nach wie vor zu reaktiv, wie KPMG feststellt. Drei Viertel der Befragten nannten konkrete Vorfälle als wichtigsten Treiber für die Intensivierung von Sicherheitsmassnahmen. Nur knapp die Hälfte der Unternehmen versuchen überhaupt, den aus Cyberattacken entstandenen Schaden zu ermitteln, und 39 Prozent können die bisher erlittenen Schäden nicht beziffern.
Da die Cyberkriminalität eine starke technische Komponente umfasst, begehen viele Unternehmen den Fehler, bei der Bekämpfung primär auf Technologie zu setzen. So geben 61 Prozent der Befragten an, sich auf die Technologie zu konzentrieren und die menschliche Perspektive zu wenig miteinzubeziehen. Obwohl 75 Prozent der Unternehmen ihre Mitarbeiter schulen, um ein stärkeres Bewusstsein für Cyberkriminalität zu erreichen, erfolgen viele erfolgreiche Angriffe unter Ausnutzung des Faktors Mensch.

Joachim Heldt

Die grössten Cybercrime-Trends für 2015
Der Security-Software-Hersteller Eset hat die wichtigsten Cybercrime-Trends für das Jahr 2015 zusammengefasst.
Rasante Zunahme von Advanced Persistent Threats (APT)
APT bedeutet fortgeschrittene, andauernde Bedrohungen und umfasst so ziemlich alle Angriffe, die über das massenhafte Versenden von Schadcode per Mail hinausgehen.
Point-of-Sale-Malware
Damit sind unter anderem Attacken auf Kassensysteme im Verkauf gemeint. Kriminelle konnten hier in der jüngsten Vergangenheit vermutlich Millionen erbeuten.
Datenlecks
Einfache Login-Verfahren (Benutzername und Passwort) erleichtern es den Hackern, in die Systeme einer Firma einzubrechen und Daten zu stehlen.
Schwachstellen
Auch 2015 bedeuten Sicherheitslücken in Software eine grosse Gefahr für die Datensicherheit von Unternehmen.
Internet der Dinge
Mit den smarten Geräten öffnen sich neue Angriffstore, welche die Hersteller im Blick behalten müssen.