Wirtschaftskriminalität am Höchststand

NEW BUSINESS - NR. 2, MÄRZ 2018
Unternehmen und ihre Informationen sind im virtuellen Raum immer mehr Gefahren ausgesetzt. © Pixabay

Phishing, Fake News, Wirtschaftsspionage – die Fülle an wirtschaftlichen Risiken ist so groß wie der Anstieg an Wirtschaftskriminalität selbst ...

... Welche Delikte Unternehmen derzeit am meisten beschäftigen – ein Überblick.

Hacking, Phishing oder Cybermobbing – jährlich werden in Österreich hunderttausende Menschen und Unternehmen Opfer von Cyberkriminalität. In Sachen Wirtschaftskriminalität sieht es weltweit noch trister aus: Im Zuge der aktuellen Global Economic Crime and Fraud Survey von PwC gibt fast jedes zweite Unternehmen an, in den vergangenen zwei Jahren Opfer von Wirtschaftskriminalität geworden zu sein. Die Zahl der gemeldeten Betrugsfälle ist damit um 13 Prozent gestiegen und erreicht einen neuen Höchststand. Unterschlagung liegt dabei mit 45 Prozent bei Unternehmen weiterhin an erster Stelle im Bereich Wirtschaftskriminalität, gefolgt von Cyberkriminalität (31 Prozent), Verbraucherbetrug (29 Prozent) und geschäftlichem Fehlverhalten (28 Prozent). Die diesjährige Umfrage zeigt einen deutlichen Anstieg von sechs auf 52 Prozent bei Fällen von Wirtschaftskriminalität durch interne Betrüger. Auch bei Vorfällen, die der Unternehmensleitung zugeschrieben werden, gab es einen signifikanten Sprung nach oben.

Immer noch blinde Flecken
Kristof Wabl, Senior Manager Forensics bei PwC Österreich, erklärt jedoch dazu: „Wir können einen Anstieg der gemeldeten Vorfälle nicht mit einem tatsächlichen Anstieg von Wirtschaftskriminalität gleichsetzen. Die Studie macht allerdings deutlich, dass das Bewusstsein in Unternehmen im Zusammenhang mit Wirtschaftskriminalität gestiegen ist. Dies gilt vor allem für Cyberkriminalität, wo Unternehmen wesentlich mehr über die Risiken und Möglichkeiten wissen sowie welche präventiven Maßnahmen ergriffen werden können.“ Dennoch gibt über die Hälfte der Befragten an, in den letzten zwei Jahren nicht oder nicht wissentlich mit Wirtschaftskriminalität zu tun gehabt zu haben. „Das zeigt, dass es in vielen Organisationen immer noch blinde Flecken gibt“, sagt Kristof Wabl.

Betrug als eigener Geschäftszweig
Interessant ist, wer sich für die Fälle verantwortlich zeigt: 68 Prozent der externen Täter – welche für 40 Prozent der Betrugsfälle verantwortlich sind – sind sogenannte „Frenemies“ der Organisation (aus „Friend“ und „Enemy“ zusammengesetzt) – also Personen, mit denen Unternehmen zusammenarbeiten, u. a. Vertreter, externe Dienstleister, Lieferanten und Kunden. „Die Betrüger gehen immer strategischer vor, ihre Methoden werden immer ausgefeilter“, so Wabl. „Man kann so weit gehen und behaupten, dass daraus mittlerweile ein eigener Geschäftszweig geworden ist – technologiegestützt, innovativ, opportunistisch und allgegenwärtig – so wie ein Konkurrent, von dem man gar nicht wusste, dass es ihn gibt.“ Teilnehmer der Befragung räumen ein, dass Sekundärkosten für Untersuchungen und Maßnahmen die Gesamtkosten erhöhen können: 17 Prozent der Befragten sagen, dass sie in ihrem schwerwiegendsten Vorfall die gleiche Summe, die sie verloren hatten, nochmals für Ermittlungen und/oder Maßnahmen ausgaben, und 41 Prozent erklären, mindestens das Doppelte des Verlusts durch Cyberkriminalität für Untersuchungen und andere Maßnahmen ausgegeben zu haben.

Künstliche Intelligenz zur Betrugsbekämpfung
Neben der gesunkenen Toleranz der Öffentlichkeit gegenüber Fehlverhalten von Unternehmen und Personen sowie der Stärkung interner Kontrollmechanismen geben viele Befragte an, dass Betrugsbekämpfung durch Initiativen im Zusammenhang mit Stärkung der Unternehmenskultur – über interne oder externe Hinweise und Hotlines – thematisiert wird. Dies führte zur Aufdeckung von 27 Prozent der Betrugsfälle. Sie geben auch an, dass der Einsatz von Technologien wie Künstlicher Intelligenz  und hoch entwickelten Analysen zur Betrugsbekämpfung und -überwachung dazu gehört: Denn 27 Prozent der Organisationen in den Wachstumsmärkten verwenden derzeit oder planen die Verwendung von Künstlicher Intelligenz im Kampf gegen Wirtschaftskriminalität. Trotz weit verbreiteter Kenntnisse und Meldungen im Zusammenhang mit Wirtschaftskriminalität geben 46 Prozent an, dass ihr Unternehmen noch immer keine Risikoeinschätzung im Bereich Wirtschaftskriminalität durchgeführt hat. Darüber hinaus ist der Prozentsatz derer, die angeben, ein Unternehmensethik- und Compliance-Programm zu haben, von 82 auf 77 Prozent gesunken. „Wirtschaftskriminalität ist komplex und das Resultat von menschlichen Beweggründen, die nur bedingt von Maschinen in Angriff genommen werden können”, erläutert Kristof Wabl. „Während die Technologie in der Überwachung und Aufdeckung eine wichtige Rolle spielt, sind menschliche Initiativen oft wirkungsvoller als die Investition in zusätzliche Technologie. Das ist vor allem wichtig, wenn man bedenkt, dass ein beträchtlicher Teil der externen Täter Drittparteien sind, mit denen Unternehmen regelmäßig Kontakt haben, also Vertreter, Lieferanten, externe Dienstleister oder auch Kunden. Jeder im Unternehmen muss aufmerksam sein, wem Zutritt zu unternehmensinternen Systemen und Prozessen gestattet wird.“

Spionage und Fake News als ernstzunehmende Gefahr
Unserem Nachbarn Deutschland machen in Sachen Wirtschaftskriminalität derzeit Spionage und gezielte Falschmeldungen, sogenannte Fake News, stark zu schaffen, wie die jüngste Umfrage „Future Report“ der renommierten Münchner Sicherheitsberatung Corporate Trust ergab. Rund ein Drittel der befragten Firmen waren demnach bereits Opfer von Spionage und gefälschten Nachrichten. „Gestohlenes Know-how und manipulierte Nachrichten sind eine ernstzunehmende existenzielle Gefahr für unsere Wirtschaft“, sagt Christian Schaaf, Geschäftsführer von Corporate Trust in München. „Informationen entscheiden heute über Erfolg und Misserfolg von Unternehmen und Projekten. Der Kampf darum ist bereits in vollem Gange“, warnt Schaaf. „Gefälschte Nachrichten können zum Beispiel Börsenkurse beeinflussen, den Ruf eines Unternehmens schädigen sowie geplante Projekte oder Firmenübernahmen torpedieren“. Dass Know-how „Made in Germany“ ein gefragtes Gut in der Welt ist, wird immer wieder deutlich: Knapp ein Drittel der befragten Unternehmen wurden in den letzten drei Jahren Opfer von Spionage oder Informationsabflüssen. „Dies sind Zahlen, die schonungslos offenlegen, dass Unternehmen viel mehr für die digitale Sicherheit tun müssen“, sagt Martin Ehling, Leiter Vertrieb Deutschland Industrie und Handel der Brainloop AG. „Um sich gegen das moderne Raubrittertum zu wehren, müssen Firmen ihre Sicherheit stärken, sowohl in technischer Hinsicht als auch im Bewusstsein ihrer Mitarbeiter“, appelliert Ehling.

Cybersecurity in Österreich mangelhaft, Führungskräfte müssen mehr Verantwortung übernehmen
In Österreich ist nach wie vor das Thema Cybersecurity brisant, denn die heimischen Unternehmen hinken hier enorm hinterher: 84 Prozent verfolgen keine IT-Sicherheitsstrategie. Auch die Bewusstseinsbildung der Mitarbeiter findet laut der PwC Studie „Global State of Information Security® Survey 2018“ (GSISS) nicht in ausreichendem Maß statt: Nur 27 Prozent der Unternehmen verfügen über ein spezifisches Mitarbeitertrainingsprogramm. Käme es zu einer Cyberattacke, so hätten die meisten Betroffenen Schwierigkeiten, die Täter eindeutig zu identifizieren. Lediglich 14 Prozent der österreichischen Befragten vertrauen auf ihre Fähigkeit, einen Vorfall richtig einzuordnen. „Bisher verursachten Cyberattacken nur relativ geringe Schäden, dennoch wird die destruktive Kraft solcher Angriffe immer stärker spürbar. In Österreich gibt es hier eindeutig Aufholbedarf. Unternehmen sollten ihre Sicherheitsstrategie neu überdenken und proaktiv in die Hand nehmen“, so Christian Kurz, Senior Manager und Cybersicherheitsexperte bei PwC Österreich.
Dass es ein effizientes Kontrollsystem sowie ein proaktives Risikomanagement gibt, liegt im Verantwortungsbereich der Unternehmensleitung. Dennoch zeigt die GSISS 2018, dass lediglich 24 Prozent der Top-Manager in Österreich proaktiv an der Gestaltung einer Gesamtsicherheitsstrategie des Unternehmens mitarbeiten. „Führungskräfte sollten jetzt die Gelegenheit nutzen und sinnvolle Maßnahmen für ihr Unternehmen in die Wege leiten. So können sie die Widerstandskraft ihrer Organisation gegenüber Cyberrisiken stärken und eine nachhaltig sichere digitale Gesellschaft schaffen“, empfiehlt Kurz.

IoT als große Schwachstelle – CISO ­gewinnt zunehmend an Bedeutung
Parallel zum digitalen Fortschritt brauchen Organisationen entsprechende Führung und Prozesse, um die notwendigen Sicherheitsmaßnahmen umzusetzen. Viele Unternehmen stehen dabei erst am Anfang. „Besonders die steigende Anzahl unsicherer Geräte in Verbindung mit dem ‚Internet of Things‘ (IoT) führt zu weitreichenden Schwachstellen bei der Cybersicherheit. Zunehmende Bedrohungen der Datenintegrität könnten bewährte Systeme untergraben, kritische Infrastruktur beeinträchtigen und so zu physischen Schäden führen“, warnt der PwC-Experte.­
„Umso wichtiger ist es, dass sich Unternehmen professioneller aufstellen. Hier gewinnt die Position des CISO immer stärker an Bedeutung.“ Der Chief Information Security Officer (CISO) hat Sicherheitslücken aufzudecken und hervorzuheben, damit die Unternehmensleitung ihre Aufgabe im Hinblick auf das Verständnis für und die Auseinandersetzung mit potenziellen Risiken für das Unternehmen wahrnehmen kann.

Gebündelte Kräfte zur Risikominimierung
Um gegen Cyberattacken besser gewappnet zu sein, sind gemeinsame Anstrengungen aller Stakeholder, ein besserer Informationsaustausch sowie eine gute Koordination untereinander notwendig. Dadurch wird es möglich sein, potenzielle Risiken neuer Technologien aufzudecken. Nur knapp die Hälfte (49 Prozent) der heimischen Unternehmer gibt an, formell mit anderen Akteuren ihrer Branche, einschließlich Mitbewerbern, zusammenzuarbeiten, um Bedrohungen zu verringern.
„Glaubwürdige, zeitgerechte und verwertbare Informationen zu Cyberbedrohungen sind entscheidend für eine kurze Reaktionszeit und die Widerstandsfähigkeit eines Unternehmens“, so Christian Kurz. „Um auf Cyberattacken zu reagieren, braucht es über alle Organisationen, Branchen, Regionen und Länder hinweg gemeinsame Anstrengungen, deren Effektivität von der Bereitschaft zur Zusammenarbeit abhängt.“ (VM)