Zürich (awp) - Schweizer Firmen unterschätzen trotz der fortschreitenden Digitalisierung und der Ausbreitung des "Internets der Dinge" weiterhin die Risiken durch Cyberkriminalität. "Eine bedeutende Anzahl" von Firmen drohe den Anschluss zu verlieren - dabei könnte durch solche Gefahren gar die Fortsetzung der Geschäftstätigkeit gefährdet werden, heisst es in einer Studie der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG.
Etwas über die Hälfte der Firmen sei in den letzten zwölf Monaten Opfer eine Cyberattacke geworden, heisst es in der am Dienstag vorgestellten Studie, die auf einer Umfrage bei 60 Unternehmen aus unterschiedlichen Branchen beruht. Bei 44% der Unternehmen hätten die Angriffe zu einer "gravierenden Störung der Geschäftsprozesse" geführt, gut ein Drittel (36%) erlitt zudem einen finanziellen Schaden. Ein Viertel der betroffenen Firmen glaubt zudem, durch die Attacken einen Reputationsschaden davongetragen zu haben.
Die "vierte industrielle Revolution" und die immer stärkere Vernetzung bringt nach Meinung der KPMG-Experten ein grosses Sicherheitsrisiko mit sich: Durch das "Internet der Dinge" könnten Cyberattacken handfeste Schäden in der Offline-Welt anrichten. Dabei gehe es nicht nur um den "Kühlschrank, der selbst Milch bestellt", sagte Matthias Bossardt, Leiter Cyber Security bei KPMG Schweiz, vor den Medien. 2015 waren weltweit bereits 13,2 Mrd Geräte - darunter etwa Sensoren oder Steuerungsgeräte - mit dem Internet verbunden. Bis 2020 dürfte sich deren Zahl mehr als verdoppeln.
FAKTOR MENSCH ALS RISIKO
Dabei dürften die Unternehmen auch interne Gefahrenquellen nicht unterschätzen, warnten die KPMG-Experten. Viele Cyberkriminelle würden sich den Faktor Mensch zu Nutze machen und so technische Abwehrhürden umgehen. Aus diesem Grund müssten Firmen in Zukunft vermehrt auch weichere Faktoren, wie etwa die Unternehmenskultur in ihren Sicherheitsüberlegungen berücksichtigen und nicht bloss die Komponente Technologie, hiess es.
Am häufigsten hätten die Kriminellen bei ihren Attacken "Phishing" angewendet, gefolgt von Schadsoftware aber von so genanntem Social Engineering, hiess es. Dabei werden die Opfer durch falsche Identitäten, durch das Vorgaukeln von sozialen Netzwerken oder durch das Vorspielen von falschen Chef- oder Amtsfunktionen manipuliert.
GUT ORGANISIERTE ANGREIFER
Punkto Organisationsgrad sehen die KPMG-Experten eine grosse Diskrepanz zwischen den Angreifern und den angegriffenen Unternehmen. "Die Angreifer arbeiten oft sehr organisiert", sagte Bossardt. Für Cyberkriminalität gebe es "Marktplätze" analog etwa zu Amazon, wo solche Dienstleistungen eingekauft werden könnten. Eine "Denial of Service"-(DoS) Attacke, die einen Server 24 Stunden lahmlegen kann, sei etwa für 1200 CHF zu haben. Auch ganze "Call Center" könnten etwa für Attacken auf Unternehmen gemietet werden.
Auf der anderen Seite kämpfe jedes Unternehmen noch zu stark für sich alleine gegen die Gefahren. Zwar komme es vermehrt auch zur Zusammenarbeit, aber meist nur dann, wenn sich die Personen in den entsprechenden Funktionen bilateral vernetzten. Dabei sähen noch immer viele Unternehmen die Sorgen um ihre Geschäftsgeheimnisse als Hinderungsgrund für eine solche verstärkte Zusammenarbeit. "Sinnvolle Kooperationen gibt es wo immer möglich auszubauen", betonte Bossardt.
Einen eher negativen Ruf hätten hierzulande die "Cloud"-Dienstleistungen, dies allerdings oft zu Unrecht, stellte der KPMG-Experte fest. "Es ist nicht der Fall, dass eine selbst betriebene IT sicherer wäre als eine solche von Cloud-Dienstleistern." Im Gegenteil könne wohl gerade ein kleines Unternehmen bezüglich Sicherheitsvorkehrungen mit einem professionellen Cloud-Unternehmen nicht mithalten.
tp/cp
