Cyber-Angriffe

Die Datenpanne – Risiko-Indikator oder nur Kostenfaktor?

| Autor / Redakteur: Christoph M. Kumpa* / Stephan Augsten

Sensible Daten gibt es in jedem Unternehmen zu holen, ob Kontruktionspläne, Finanzinformationen oder Kundendaten.
Sensible Daten gibt es in jedem Unternehmen zu holen, ob Kontruktionspläne, Finanzinformationen oder Kundendaten. (Bild: Archiv)

Große Datenpannen sind inzwischen geradezu gang und gäbe. Doch das heißt nicht, dass Datendiebstahl oder -verlust unvermeidlich sind. Auch wenn der Angriff nur eine Frage der Zeit ist, muss man noch lange nicht den Kopf hinhalten.

Es entsteht zunehmend der Eindruck, Datenpannen seien nichts anderes als unvermeidliche Begleiterscheinungen des heutigen Geschäftslebens. Unternehmen müssten die Kosten einfach tragen, die Nachwirkungen schnellstmöglich eindämmen – und dann zur Tagesordnung übergehen.

Eine gewisse Resignation macht sich breit und weiterhin hofft jede Organisation, dass man hoffentlich nicht bald selbst als Opfer in den Medien dasteht. Aber machen wir uns nichts vor: Früher oder später wird jedes Unternehmen zumindest zum Ziel einer Attacke.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor der immer schnelleren Weiterentwicklung von Malware und Angriffstechniken der Cyberkriminellen: „Der Schutz der IT-Systeme durch die Anwender kann mit den oft hoch entwickelten Werkzeugen zur Ausnutzung von Sicherheitslücken nicht immer Schritt halten.”

Erste Reaktion von Unternehmen: Kosten abwägen

Trotz der hohen Kosten, die mit Datenpannen einhergehen, rechnen einige führende Experten vor, dass sie für große Firmen im Vergleich zu deren Umsätzen und Profiten nicht allzu sehr ins Gewicht fallen. Für ein kleineres Unternehmen könnten die Kosten für Haftungsansprüche, Untersuchungen und Sanierung aber natürlich verheerend sein.

Börsennotierte Unternehmen haben nach einer erfolgreichen Attacke ein weiteres Problem mit dem Aktienkurs und der damit verbundenen Marktkapitalisierung. Große Sicherheitspannen drücken den Börsenkurs eines Unternehmens, jedenfalls kurzfristig.

Laut mehrerer Untersuchungen, darunter einer KPMG-Studie von 2015, neigen Investoren und Finanzierungsgesellschaften zum Abzug ihres Investments, wenn sich eine Sicherheitspanne in einem Unternehmen ereignet hat. Oft befürchten sie weitere Sicherheitsverletzung mithilfe von Zugangsdaten oder anderen Informationen, die die Cyber-Kriminellen bei ihrer ersten Attacke vielleicht insgeheim erworben haben.

Auch die längerfristigen Auswirkungen auf die Geschäfte des Unternehmens könnten den Investoren Sorgen bereiten. Diese Befürchtungen gründen sich allerdings vermutlich nicht auf irgendwelche inhärenten Schwachstellen oder auf mangelhafte Sicherheitsverfahren: Denn jedes Unternehmen kann potenziell Opfer eines Netzwerkangriffs werden, sofern es nicht die Fähigkeit besitzt, aktive Angreifer anhand ihrer Aktivitäten zu entdecken, zum Beispiel mittels verhaltensbasierter Angriffserkennung. Über diese Fähigkeit verfügen derzeit aber nur sehr wenige Unternehmen.

Desweiteren könnte eine Datenpanne die Marken- und Kundenloyalität beeinträchtigen, insbesondere in einem wettbewerbsstärkeren Marktumfeld, doch lässt sich dies derzeit nur begrenzt belegen. Der britische Kommunikationsanbieter TalkTalk verlor infolge eines Hackerangriffs eigenen Angaben zufolge mehr als 100.000 Abonnenten, konnte aber dennoch einen Nettozuwachs der Abonnenten verzeichnen.

In einer Umfrage, die Deloitte 2015 durchführte, erklärten 73 Prozent der Konsumenten, sie würden es sich „zweimal überlegen, bei einem Unternehmen zu kaufen, das seine Daten nicht geschützt hat“. Eine CNBC-Studie ergab, dass 15 Prozent der Konsumenten schon einmal aufgehört haben, bei einem Unternehmen einzukaufen oder Dienstleistungen zu beziehen, in dem sich ein Sicherheitsvorfall ereignet hatte. Diese Zahl erhöhte sich auf 25 Prozent bei Personen, denen im Rahmen dieses Sicherheitsvorfalls selbst Daten gestohlen worden waren.

Cyber-Angriffe können zu hohen Bußgeldern für die Opfer führen

Doch während die tatsächlichen Kosten heutiger Datenpannen gerade erst klarer zutage treten, zeichnen sich am Horizont bereits noch größere Bedrohungen ab. Heute geht es bei den meisten spektakulären Sicherheitsverletzungen noch um personenbezogene Daten und damit verbundene Finanz- oder Gesundheitsinformationen.

Durch die neue Datenschutzgrundverordnung der EU drohen ab 2018 Bußgelder bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes, wenn persönliche Informationen ungesichert entwendet wurden. Die Gesetzgeber haben die Strafen extra hoch angesetzt, damit Organisationen in der EU das Thema Datensicherheit grundsätzlich neu bewerten und Angriffe nicht einfach nur aussitzen.

Immer öfter treten jedoch andere Gefahren auf, die für das Überleben eines Unternehmens noch viel bedrohlicher werden könnten. Einige Beispiele dafür sind:

1. Diebstahl geistigen Eigentums

Unternehmen, die wertvolles geistiges Eigentum besitzen, haben bei einem Netzwerkangriff viel zu verlieren. Weltweit blüht der Handel mit gestohlenen oder kopierten Immaterialgütern aus den verschiedensten Bereichen, ob Waffentechnik, Computer-Software, Kommunikationstechnologien oder Arzneimitteldesign.

Anwaltskanzleien werden von ihren Klienten ebenfalls zahlreiche geheime Informationen anvertraut, selbst wenn es sich nicht um geistiges Eigentum im engeren Sinn handelt. Wenn solche Informationen gestohlen würden, wäre die Kanzlei nicht nur mit enormen Schadenersatzforderungen konfrontiert, sondern in ihrem Bestehen gefährdet. Denn wer würde noch einer Anwaltskanzlei vertrauen, die sich als unfähig erwiesen hat, die sensiblen Informationen ihrer Klienten zu schützen? Es gibt schließlich genügend andere Anwälte.

2. Datensabotage und Code-Manipulation

Geistigem Eigentum droht aber auch eine Gefahr, die noch tückischer ist. Statt direkt Geschäftsgeheimnisse zu stehlen, könnten sich Cyber-Kriminelle potenziell Zugriff auf ein softwarebasiertes Produkt verschaffen. Durch eine Hintertür oder andere „Zeitbomben“ können Erpressungsversuche oder Diebstähle in einer Größenordnung gestartet werden, die die Dimensionen eines Diebstahls personenbezogener Daten noch weit übersteigen. Zudem könnten Kriminelle Daten oder Einstellungen in Anwendungen manipulieren.

Im Jahr 2004 gelangte Quellcode von Microsoft Windows 2000 über einen Microsoft-Partner an die Öffentlichkeit. Ganz anders hätte dieser Vorfall ausgehen können, wenn ein Cyber-Krimineller sich heimlich direkten Zugang zum Quellcode verschafft und ihn modifiziert hätte. 2011 erlangten Hacker Zugriff auf technische Informationen zu der Zwei-Faktor-Authentifizierungslösung SecurID von RSA. Auch hier konnte die ganz große Katastrophe noch verhindert werden, doch auch ohne viel Fantasie kann man sich leicht ausmalen, was passieren hätte können.

3. Leib und Leben

Eine extreme Form von Sabotage könnte sogar Leib und Leben in Gefahr bringen. Es gibt bereits Befürchtungen über die Verwundbarkeit medizinischer Geräte. Cyber-Kriminelle könnten potenziell in Netzwerke von Krankenhäusern eindringen, dort heimlich eine Kommandozentrale einrichten und wichtige medizinische Geräte kapern, die sie dann nur gegen Lösegeld freigeben. Ähnliches gilt für die Netzwerke von Versorgungsbetrieben, zum Beispiel Betreibern von Kraftwerken oder Elektrizitätswerken: Cyber-Kriminelle könnten in ihre Netze einbrechen und Lösegelder erpressen.

Fazit

Für Großunternehmen mögen die Folgen eines heutigen Datenangriffs, bei dem personenbezogene Informationen gestohlen werden, vielleicht noch keine vernichtende Katastrophe sein, aber aufatmen können sie deswegen nicht: Es drohen neue kriminelle Aktivitäten, die noch weit größere Auswirkungen auf den Geschäftsbetrieb haben könnten. Die EU und ihre Mitgliedsstaaten haben zusätzlich klargemacht, dass man beim Thema Datensicherheit keinen Spaß versteht.

Kleine und mittelgroße Unternehmen könnten schon durch die heute üblichen Diebstähle personenbezogener Daten in den Ruin stürzen und würden noch gefährlichere Angriffe definitiv nicht überleben. Organisationen aller Größen müssen die Alarmglocken läuten hören. Sie müssen aufwachen und überlegen, wie sie sich mit einem neuen Sicherheitsansatz vor Cyber-Angriffen schützen können.

Christoph Kumpa
Christoph Kumpa (Bild: LightCyber)

Mit neuen Technologien wie verhaltensbasierten Ansätzen (oder Behavorial Attack Detection) verbessern Organisationen die Effizienz ihrer IT-Sicherheit und entlasten IT-Sicherheitsabteilungen. Gleichzeitig erhöhen sie das Schutzniveau und können auch Angriffe mit unbekannter Malware entdecken.

* Christoph M. Kumpa ist Sales Director DACH bei LightCyber.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44265502 / Malware)