Warum Cyber-Angriffe teuer werden können

Hierzu zählt die elementare Versorgung mit Strom, Wasser sowie dem Telefon- und Mobilfunknetz. Darauf basierend dürfte bei den meisten Unternehmen die Funktionsfähigkeit der Informationstechnik höchste Priorität haben. Bei einem umfassenden Ausfall aller informationstechnischen Anlagen funktionieren in vielen Firmen weder das Telefon noch die Produktion oder der Zugriff auf wesentliche Firmenunterlagen. Zusätzlich stehen die Verantwortlichen bei einem Cyber-Security-Schaden vor weiteren Problemen. Anzeigepflichten gegenüber Datenschutzbeauftragten und Reputationsverlust bei Kunden sind nur einige davon.

Kriminalität orientiert und entwickelt sich an den Umständen der Gesellschaft. Es werden leichte und lohnende Ziele gesucht. Die Fallzahlen im Bereich der Cyberkriminalität steigen laut Lagebild des Bundeskriminalamts (BKA) seit 2017 kontinuierlich. Vorläufiger Höhepunkt war für das Jahr 2020 der Wert von 108.474 registrierten Fällen. Die Aufklärungsquote sank im gleichen Zeitraum von rund 40 auf nur noch 32,6 Prozent. Besonders bemerkenswert erscheint es, dass die Autoren des Lagebildes von einer regelrechten "Underground Economy" sprechen. Hierzu zählen Erscheinungsformen wie das Bestellen von Cyber-Angriffen zur Störung von Servern (sog. Denial-of- Service-Angriffe) oder das Mieten von Remote-Administration-Tools.

Mögliche Angriffsszenarien

Cyber-Kriminalität ist ein Sammelbegriff für eine Vielzahl an Angriffen mit unterschiedlicher Zielrichtung und Technik. Lange Jahre war das Online-Banking ein Hauptangriffspunkt, da hierbei direkt Geld transferiert werden konnte. Inzwischen gehen Kriminelle aber vermehrt dazu über, ihre Opfer gezielt anzugreifen.

Verbreitete Angriffsformen sind:

• Informationsdiebstahl: Hierbei wird zunächst unbemerkt ein Zugriff auf das Firmennetzwerk geschaffen. Verwendet werden dazu sogenannte "Information Stealer" wie die Schadsoftware Trickbot. Die gewonnenen Informationen können entweder direkt verkauft oder für Folgeaktionen wie Erpressungen oder Betrugshandlungen verwertet werden.

• Denial-of-Service-Attacken: Es wird das Ziel verfolgt, Unternehmensserver gezielt außer Betrieb zu setzen. Hierzu nutzen Angreifer beispielsweise ferngesteuerte Botnetze, die den Server mit Anfragen überfluten (sog. Distributed-Denial-of-Service-Attacks, kurz: DDoS). Handelt es sich beim Ziel etwa um einen Online-Shop, kann dessen Ausfall direkt empfindliche Einnahmeverluste nach sich ziehen. Diese Form des Angriffs ist häufig mit Erpressungen verbunden.

• Ransomware: Der Einsatz von Verschlüsselungstrojanern mit Ziel der Erpressung von Unternehmen und Organisationen ist zu einem hartnäckigen Problem geworden. Dabei werden in der Regel wichtige Unterlagen und Dateien bis hin zur Funktionsunfähigkeit des Systems verschlüsselt. Im Anschluss bieten die Erpresser die Entschlüsselung gegen Lösegelder an. Betroffen waren in der Vergangenheit unter anderem bereits bekannte Unternehmen, Universitäten, Krankenhäuser und Kommunalverwaltungen. Verwendete Schadprogramme in diesem Bereich sind beispielsweise Ryuk, Maze und Doppelpaymer.

Kostenfaktoren bei einem Cyber-Security-Schaden

Ein Cyber-Security-Schaden ist vielschichtig und begrenzt sich meist nicht auf die offensichtlichen Faktoren. Bei einer Bewertung der Risiken sollten nachfolgende Punkte nach einem Leitfaden des Branchenverbands bitkom Berücksichtigung finden:

1. Betriebsbeeinträchtigung: Dies umfasst die Kosten, die unmittelbar aus der nicht funktionierenden Infrastruktur verursacht sind. So können bei einem EDV-Ausfall Telefonanlagen und Produktionssysteme betroffen sein. Zugriff auf wichtige Unterlagen ist in der Regel nicht gegeben, so dass Kommunikation mit Kunden eingeschränkt ist. Automatisierte Abläufe werden gestört und müssen später nachgearbeitet werden, etwa das Einpflegen von Anfragen in Ticket-Systemen. Für den nur 48-stündigen Ausfall eines Servers im E-Commerce-Bereich gibt bitkom beispielsweise die Gesamtschadenssumme von 185.000 Euro an, bei einem angenommenen Umsatz von 135.000 Euro in diesem Zeitraum.

2. Schadensermittlung: Grundsätzlich stehen sich hier zwei konkurrierende Interessen gegenüber. Für die Schadensermittlung in Form einer IT-Forensik-Untersuchung müssen Spezialisten flüchtige und nicht-flüchtige Daten sichern. Dies verzögert die Wiederherstellung der Systeme. Neben den Kosten für IT-Forensiker sind also weitere Umsatzverluste zu befürchten. Dennoch muss sauber abgewogen werden, welches Interesse überwiegt. Sind beispielsweise potenziell Kundendaten abgeflossen, etwa im Beispiel der bitkom Kreditkartendaten von vierhundert Kunden eines Restaurants, kann die Schadensermittlung Vorrang haben. Es gilt, Betroffene zu warnen und den Reputationsverlust zu begrenzen. Ein Verheimlichen des Schadenseintritts wäre in einem solchen Fall nicht nur aus rechtlicher Sicht fatal.

3. Management der Schadensbewältigung: Unabhängig von der konkreten Ausgestaltung sollte das betroffene Unternehmen einen Krisenstab für die Abwicklung des Schadens bilden. In diesen müssen häufig externe Mitarbeiter, etwa IT-Spezialisten, Berater und Rechtsexperten, einbezogen werden. Neben den zu treffenden Maßnahmen ist die Kommunikation gegenüber Kunden und eventuell auch der Presse abzustimmen. Zudem sollten Verantwortliche die eigenen Mitarbeiter auf dem Laufenden halten. Unter Umständen wird sogar eine Infrastruktur für die temporäre Kommunikation und Dokumentation erforderlich.

4. Wiederherstellungskosten: Die IT-Infrastruktur muss schnellstmöglich wieder funktionieren. Hierzu kann die Anschaffung von Ersatzhardware notwendig sein. Mindestens aber werden in kurzer Zeit viele IT-Spezialisten benötigt, sofern keine eigene IT-Abteilung entsprechender Größe vorhanden ist. In jedem Fall fällt eine Menge an zu vergütender Arbeitszeit für die internen und externen Experten an. Aufgrund der Eilbedürftigkeit dürften sich die Kosten durch Wochenend- und Nachtzuschläge erhöhen.

5. Lösegeld: Wünschenswert wäre es, wenn kein betroffenes Unternehmen den Lösegeldforderungen nachkommen würde. Nur hierdurch ließe sich das kriminelle Geschäftsmodell eindämmen. Wenn aber die Existenz eines Unternehmens an der Verfügbarkeit von bestimmten Dateien oder der Einsatzfähigkeit eines Servers hängt, wird ein Verantwortlicher unter Umständen keine andere Wahl haben, als den geforderten Betrag zu entrichten. Hierbei sind häufig Summen in fünf- oder sechsstelliger Höhe realistisch.

6. Vertragsstrafen und Bußgelder: Wenn Produktionsprozesse nachhaltig beeinträchtigt wurden, sind vertragliche Verpflichtungen unter Umständen nicht einzuhalten. Daher muss das betroffene Unternehmen mit Vertragsstrafen und Schadenersatzansprüchen rechnen. Bei einem erfolgreichen Angriff auf die IT-Infrastruktur eines Unternehmens steht zudem zumindest der Verdacht im Raum, dass Pflichten etwa nach dem IT-Sicherheitsgesetz oder der Datenschutzgrundverordnung (DSGVO) nicht eingehalten wurden. Dies kann mit Bußgeldern geahndet werden, die nicht selten bis in den sechsstelligen Bereich gehen.

7. Nachbereitungskosten: Auch wenn die normalen Betriebsabläufe wieder funktionieren, sind noch einige Punkte in der Nachbereitung zu beachten. Hierzu zählen die Information von Kunden und Geschäftspartnern, Öffentlichkeitsarbeit und die Optimierung der eigenen Geschäftsabläufe. In ungünstigen Fällen muss das Vertrauen von Kunden und Kooperationspartnern wiederhergestellt werden. Zudem sollten erkannte Schwachstellen ausgebessert werden. Dies verringert die Gefahr für einen erneuten Cyber-Security-Schaden.

Gesamtkosten eines Schadensfalls konkret zu beziffern, dürfte aufgrund der unterschiedlichen Voraussetzungen von Unternehmen schwierig sein. In einer Fallstudie für ein produzierendes Unternehmen, das einen Jahresumsatz von 20 Millionen Euro hat und Opfer einer Ransomware-Attacke wurde, rechnet bitkom mit einer Schadenshöhe von ca. 6,6 Millionen Euro.

Haftungsfragen für Fremdschäden

Ein sehr heikler Punkt ist die Haftung gegenüber Dritten nach einem Cyber-Security-Schaden. Wenn Vertragsinhalte nach einem Datendiebstahl publik werden, kann dies Vertraulichkeitsvereinbarungen tangieren. Beim Abfließen von Kundendaten sind deren Persönlichkeitsrechte unter Umständen verletzt. In noch schlimmeren Szenarien können Störungen im Produktionsablauf von Unternehmen für Gefährdungen von Außenstehenden sorgen. Konkret beispielsweise durch Qualitätsschwankungen von Produkten, aber auch durch auftretende Emissionen.

Cyber-Angriffe bleiben dauerhaftes Problem

Es ist illusorisch, davon auszugehen, dass kriminelle Aktivitäten aus dem IT-Bereich noch nachhaltig verbannt werden könnten. Ein absoluter Schutz vor einem Cyber-Security-Schaden ist ebenso wenig realistisch. Daher bleibt Unternehmen und Organisatoren nur, sich bestmöglich auf ein solches Szenario einzustellen und sich so auszurichten, dass der Schaden möglichst gering bleibt. Unterstützende Maßnahmen können sein:

• Erstellen eines Notfallplans für den Fall eines Cyber-Angriffs
• Aufbau und regelmäßiges Testen wirksamer Backup-Strategien für Hard- und Software
• Unterhalten einer Sicherheitsinfrastruktur aus Firewall, Einbruchserkennung und Virenschutz
• Untersuchung der eigenen Systeme auf Sicherheitslücken, etwa durch externes Penetration-Testing
• Regelmäßige Schulung und Sensibilisierung der Mitarbeiter, verbindliches Festschreiben von Arbeitsabläufen in Richtlinien
• Beobachtung der Entwicklung im IT-Security-Bereich, ggf. Beratung durch externe Experten
• Rechtliche Beurteilung von Haftungsfragen im Vorfeld, Absicherung von Risiken durch Versicherungen

Die hierdurch entstehenden Kosten sollten beim gewerblichen Betreiben einer IT-Infrastruktur als feste Ausgaben einkalkuliert werden. Möglicherweise helfen sie, dass ein Cyber-Security-Schaden erst gar nicht eintritt.