HIC Logo

Verbrechen digital: Kriminalität im Cyberspace

von Sven Tablack

Das Internet wird 1996 kollabieren.

Diese These vertrat Ethernet-Erfinder Robert Metcalfe im Jahr 1990. Er irrte.

Heute, 20 Jahre nach diesem ausgebliebenen Web-Doomsday, ist das Internet alles andere als kollabiert. Es ist schon lange kein Telefonbuch- oder Lexika-Ersatz mehr. Kommunikation und komplexe Geschäfte sind offline kaum noch salonfähig und größtenteils bereits unvorstellbar. Vieles ist durch die Digitalisierung nachweislich einfacher geworden. Doch wie alle durch Menschenhand erschaffenen Erfindungen birgt auch die digitale Welt Risiken. Dazu zählen auch die so genannten Cyberschäden, die ich Ihnen im heutigen Blogbeitrag näherbringen möchte.

Grafik: http://www.smk.ag/
Grafik: http://www.smk.ag/

Cyberschäden? Trifft das nicht nur Großunternehmen und Regierungen?

Allein in Deutschland entstehen pro Jahr Cyberschäden in Höhe von über 50 Milliarden Euro, und jährlich werden es mehr. Eine riesige Zahl, über die die Medien jedoch deutlich weniger berichten als gut und notwendig wäre. Aus Sicht der Medienschaffenden ist das teilweise verständlich, denn Schlagzeilen wie „IT des Deutschen Bundestages gehackt!“ oder „Leck in der Kundendatenbank der Telekom!“ lesen sich deutlich spannender als Überschriften wie „Logistikfirma aus Tornesch hat tagelang keinen Zugriff auf die Auftragslage!“ oder etwa „Rezeptsoftware einer Süßwarenfirma manipuliert – mehrere Tonnen des Produktes müssen entsorgt werden!“.

Was Endverbraucher eher wenig interessieren dürfte, ist für Unternehmer jedoch sehr wichtig. „Warum sollte man meine IT angreifen? Es gibt doch viel interessantere Ziele als mich“, dürfte so mancher Firmeninhaber denken. Das ist ein Trugschluss , denn eine Unterscheidung zwischen interessanten und weniger interessanten Unternehmen gibt es nicht. Es gibt nur Unternehmen, die bereits einen Cyberschaden hatten, und solche, die einen haben werden.

Warum ist das so?

Risikoquellen für Unternehmen bezüglich Cyberschäden sind grundsätzlich Schädiger von außen, die eigenen Mitarbeiter oder der Staat. Schädiger von außen sind zum einen die so genannten Hacker, die ihre Angriffe entweder als kriminellen Akt – Datendiebstahl, Wirtschaftsspionage, Nutzung der fremden Serversysteme für illegale Zwecke – ausüben oder zu Profilierungszwecken in ihrer Szene nutzen. Dabei ist ihr erster Angriff auf ein IT-System in der Regel kein gezielter Angriff, sondern eher ein Schuss ins Blaue. Erst wenn der Übeltäter bei seinem „Ersthack“ durch sein ausgesendetes Signal erfährt, dass etwas zu holen ist, greift er aktiv und gezielt auf das System zu. Und auch ein drittes und viertes Mal.

Weitere Schädiger von außen sind Entwickler von Schadsoftware. Sie ist in der heutigen Zeit viral im Netz unterwegs und wird über die abenteuerlichsten Methoden in die Systeme eingeschleust. Egal ob als E-Mail Anhang oder Portalzugang – jede IP-Schnittstelle ist hier ein potentielles Risiko.

Und hier haben wir den Übergang zur zweiten Schadenquelle – den Mitarbeiter. Egal ob vorsätzlich, ungewollt oder unbewusst: Der Risikofaktor „Mensch“ aus dem eigenen Unternehmen ist weder für die Unternehmensleitung noch für den IT-Spezialisten kalkulierbar und versteckt sich zwischen Online-Portalen, Berechnungssoftware, E-Mail Anhängen oder Websites. (Ex-)Mitarbeiter mit bösen Absichten finden fast immer ihre Mittel und Wege, das IT-System zu verseuchen. Und auf die Frage, wann ein System wirklich hundertprozentig sicher sei, antworten IT-Experten in der Regel mit dem scherzhaften, aber leider auch völlig korrekten Satz: „Wenn weder Netz- noch Netzwerkstecker an der Hardware angeschlossen sind.“

Kommen wir zur letzten Risikoquelle – den Staat. Der Staat ist hierbei zunächst als passiv anzusehen. Aktiv zum Problem für ein Unternehmen wird der Staat nur, wenn ein Schaden durch eine andere Quelle bereits verursacht wurde oder zumindest ein entsprechender Verdacht entsteht. Grund hierfür sind erteilte Auflagen wie zum Beispiel bei dem großen Thema Datenschutz.

Was soll denn schon passieren…?

Alles, was durch Menschenhand erschaffen wurde, kann auch durch Menschenhand überwunden oder manipuliert werden. Es gibt unüberschaubar viele Arten und Möglichkeiten von Cyberschäden – und genau das macht sie so gefährlich. Ein paar Beispiele:

  • Datenmissbrauch: Sensible Kundendaten könnten gestohlen oder unberechtigt kopiert werden. Laut Datenschutzgesetz ist das gehackte Unternehmen dazu verpflichtet, jeden Betroffenen darüber zu informieren.
  • Datenverfälschung: Sämtliche Datensätze könnten verfälscht oder gar verschlüsselt werden.
  • Manipulation: Die IT- oder Produktionssysteme könnten manipuliert und automatisierte Prozesse verändert werden.
  • „Social Hacking“: Eine immer beliebtere Schädigungsmethode, die eine perfekt nachgestellte E-Mail von Entscheidungsträgern an beispielsweise die Buchhaltung versendet, um autorisierte Überweisungen zu erzwingen.
  • Missbrauch der Serversysteme: Die IT des Unternehmens kann als Sprungbrett zur Verbreitung illegaler Uploads (Musik, Pornografie, etc.) dienen. Da diese Straftat auf die IP-Adresse des Unternehmens zurückzuführen ist, richtet sich der Fokus der Justiz zunächst einmal auf das missbrauchte Unternehmen.

Jeder dieser Schäden bringt eine umfangreiche Prüfung und – wenn nötig –Bereinigung der Unternehmens-IT mit sich. Im schlimmsten Fall sind sogar die regelmäßigen Backups betroffen, da sich der „Erreger“ häufig über lange Zeiträume einnistet. Eine Wiederherstellung des Urzustandes kann je nach Ausmaß Tage bis Wochen dauern. Können Sie sich vorstellen, als Unternehmer ohne funktionierende IT zu arbeiten? Wenn nicht, können enorme Ertragsausfälle die Folge sein. Und diese Ausfälle sind aufgrund der Schadenursache nicht über die gewöhnliche Betriebsunterbrechungsversicherung abgesichert.

Haftet der IT-Dienstleister nicht dafür?

Der Jurist antwortet auf diese Frage: Das kommt darauf an! Einige IT-Dienstleister lassen sich mit speziellen Klauseln gänzlich enthaften. Und selbst wenn eine solche Klausel nicht vorliegt, ist der Dienstleister erst dann haftbar zu machen, wenn der Schaden mindestens auf grobe Fahrlässigkeit seinerseits zurückzuführen ist – zum Beispiel, wenn er Firewalls ablehnt, obwohl diese in der heutigen Zeit zwingend notwendig sind. Sollte die Ursache bei einem Mitarbeiter liegen, egal ob vorsätzlich, fahrlässig oder unwissend, kann der IT-Dienstleister gar nicht haftbar gemacht werden.

Diese Gesamtkonstellation macht eventuelle Streitfälle sehr schwierig. Wann wurde der Virus wie und von wem eingefangen? Da sich Schädlinge oft über lange Zeiträume einnisten, lässt sich diese Frage oft nur schwer beantworten. Und selbst wenn der Haftungsanspruch gegenüber dem Dienstleister nach langem Prozessieren schlussendlich durchgesetzt wurde, musste das Schadenvolumen weitaus früher gezahlt und aufgefangen werden.

Und wie sieht das mit IT-Outsourcing aus?

Beim IT-Outsourcing, also der ausgelagerten IT, ist die Fahrlässigkeitsfrage eindeutiger geregelt. Da sich die Hardware in alleiniger Obhut des Dienstleisters befindet, haftet dieser natürlich auch für jeglichen Datenverlust und Datenmissbrauch, der seine Quelle in der örtlichen IT hat. Die Ausnahme: Sollte die Schädigung der ausgelagerten Daten nach einem legitimierten Zugriff seitens des Unternehmens erfolgt sein, also durch Vorsatz eines Mitarbeiters oder durch einen fremden Dritten nach Diebstahl der Zugangsdaten, ist der Dienstleister von der Haftung befreit.

Kann man sich nicht doch irgendwie vor diesen Schäden schützen?

Für ein krankes IT-System gibt es leider kein ärztliches Rezept und auch keine Immunitätsspritze. Aber es gibt versicherungstechnische Möglichkeiten, das Unternehmen im Fall der Fälle vor den finanziellen Folgen eines Cyberangriffs zu schützen.

Gerne ermittelt die HIC – Hamburg Insurance Consulting gemeinsam mit Ihnen den Bedarf Ihres Unternehmens und zeigt Ihnen Lösungsmöglichkeiten auf. Kommen Sie gern auf eine Tasse Kaffee bei uns vorbei oder sprechen Sie mit Ihrem FinanzConcepter einen Termin ab.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*
*
*

Bitte lösen Sie vor dem Senden diese kleine Aufgabe: *