Sicherheitsrisiko Nummer 1 - die eigenen Mitarbeiter

Die eigenen Mitarbeiter helfen, IT-Sicherheitsvorfälle aufzuklären, sind aber am häufigsten auch die Täter. 62 Prozent der Unternehmen, die in den vergangenen zwei Jahren Opfer von Spionage, Sabotage oder Datendiebstahl wurden, haben die Täter im Kreis aktueller und ehemaliger Mitarbeiter identifiziert. Gut vier von zehn betroffenen Unternehmen (41 Prozent) machen Wettbewerber, Kunden, Lieferanten oder Dienstleister für die Angriffe verantwortlich, 21 Prozent Hobby-Hacker und sieben Prozent Personen aus der organisierten Kriminalität. Ausländische Nachrichtendienste wurden in drei Prozent der Unternehmen als Täter identifiziert. Sieben Prozent der Unternehmen gaben an, dass die Täter unbekannt waren.

Welche Gefahren deutschen Unternehmen durch die Aktivitäten US-amerikanischer Geheimdienste drohen, lesen Sie in unserer dreiteiligen Serie:

NSA-Report Teil 1: Wikileaks und die Folgen für die IT-Sicherheit in Deutschland

NSA-Report Teil 2: Wie die NSA zentrale IT-Systeme angreift – und wie Sie sich schützen!

NSA-Report Teil 3: Deutschland auf Cyber-Angriffe schlecht vorbereitet

Ein gutes Drittel der von Angriffen betroffenen Unternehmen (37 Prozent) berichtete, dass die Täter aus Deutschland kamen. Der Großteil der Angriffe wird jedoch aus dem Ausland gesteuert: 23 Prozent der Unternehmen identifizierten die Täter in Osteuropa, 20 Prozent in China und 18 Prozent in Russland. Danach folgen die USA (15 Prozent), westeuropäische Länder (12 Prozent) und Japan (sieben Prozent).

Behörden bleiben außen vor

Bemerken die Unternehmen, dass Cyber-Kriminelle in die eigene IT-Infrastruktur eingedrungen sind, werden diese Fälle untersucht - das zumindest ist eine gute Nachricht. Lediglich drei Prozent der Unternehmen räumten ein, entsprechenden Sicherheitsvorfälle auf sich beruhen zu lassen und keinerlei weitere Untersuchungen anzustoßen. Vor zwei Jahre reagierte noch jedes zehnte Unternehmen mit einer solchen Vogel-Strauß-Politik. 46 Prozent der Unternehmen leiten eine interne Untersuchung ein, externe Spezialisten wurden von 34 Prozent hinzugezogen.

Als kritisch wird von Experten allerdings die häufig gewählte Strategie beurteilt, keine Behörden einzuschalten. Nicht einmal jedes dritte betroffene Unternehmen (31 Prozent) wendet sich laut der Bitkom-Umfrage an Behörden und bittet um Unterstützung bei der Aufklärung. Hauptgrund dafür, sich nicht an die Behörden zu wenden, ist die Angst vor Imageschäden, hat die Studie ergeben. Das gaben 41 Prozent der Unternehmen an, die auf das Einschalten staatlicher Stellen verzichtet haben. Jeweils gut jedes dritte Unternehmen erklärte, man habe auf eine entsprechende Information verzichtet, weil man Angst vor negativen Konsequenzen habe (35 Prozent), weil die Täter ohnehin nicht gefasst würden (34 Prozent) oder weil der Aufwand zu hoch sei (29 Prozent).

"Nur wenn Unternehmen Angriffe melden, können die Sicherheitsbehörden ein realitätsnahes Lagebild erstellen und Abwehrstrategien entwickeln", kritisierte Verfassungsschutz-Chef Maaßen dieses Vorgehen. "Es gilt der Grundsatz 'Need to share', wenn wir gemeinsam die deutsche Volkswirtschaft widerstandsfähiger gegen Wirtschaftsspionage machen wollen."