Gesamtkosten:

Transkript

1 gutzuschreiben. Schadenbeispiele Cyber Datendiebstahl Online-Händler Ein Online-Vertrieb mittlerer Größe ist Opfer von Datendiebstahl geworden. Über mehrere Monate konnten sich Hacker rechtswidrigen Zugang zu dem eigentlich streng gesicherten online-basierten Abrechnungssystem für Bezahlkarten verschaffen (Payment Processing Tool). Während dieser Zeit konnten die Hacker über rund 2 Millionen Kundendaten kopieren und unrechtmäßig nutzen. Das Schadensausmaß ist sowohl finanziell als auch reputationsmäßig immens. Die bisher entstandenen Kosten sind wie folgt: Kosten für diverse forensische Arbeiten: Kosten für Rechtsberatung und Rechtsbeistand: Kosten für gesetzliche Informationspflichten: Kosten für Media und PR Arbeiten: Geltend gemachter Vermögensschaden der Payment Card Industry: Gesamtkosten: Kosten Betriebsunterbrechung Durch einen unzufriedenen Mitarbeiter erhalten Hacker Zugriff zum Produktionssteuerungsprozess. Eine Engpassmaschine wird gezielt verseucht. Der Hersteller kann den Virus erst nach 4 Tagen und unter Hinzuziehung von IT-Security-Experten entschärfen. Folgende Kosten sind entstanden: ForensischeKosten: Daten-Wiederherstellung: Betriebs-Unterbrechung: Gesamtkosten:

2 Kosten Diebstahl eines Laptops Bei einem Einbruch in die Büroräumlichkeiten einer Produktions- Einrichtung wurde unter anderem ein Desktop PC gestohlen. Auf diesem Rechner befanden sich Daten von ca. 50 Kunden inclusive den Konstruktionsplänen. Folgende Kosten sind entstanden: Rechtsberatung u. Infopflichten gegenüber Dateninhabern Forensische Dienstleistungen: Kreditüberwachungsdienstleistungen: PR: Gesamtkosten: Kostenbeispiel aus 2014-Versehentliche Bei der Wüstenrot- Württembergischen wurde versehentlich ein mit einer Anlage von über 200 sensiblen Kundendaten an eine falsche - Adresse versendet. Der Mitarbeiter hatte übersehen, dass die Autovervollständigung im Outlook ihm nicht die Adresse seines Außendienstmitarbeiters anzeigte, sondern die eines Dritten. Dieser Dritte informierte sofort die Stuttgarter Lokalpresse. Die Württembergische hat die Betroffenen informiert und der Vorfall war 2 Tage in der Thema in diversen Medien: Kosten für diverse forensische Arbeiten ,00 Kosten für Rechtsberatung und Rechtsbeistand ,00 Kosten für gesetzliche Informationspflichten ,00 Kosten für Media und PR Arbeiten ,00 Gesamtkosten : ,00

3 Schadenfall aus 2014 Verlust von Kreditkarten-Information durch Einsatz infizierter Tastaturen in Hotel/Tagungszentrum Folgende Kosten sind entstanden: Rechtsberatung und Benachrichtigungspflichten gegenüber Dateninhabern Strafzahlungen/Forderungen Kreditkarten-Industrie Forensische Dienstleistungen Kreditüberwachungsdienstleistungen PR Gesamtkosten: Krimineller Mitarbeiter eines Hotels verkauft persönliche Daten Ein ehemaliger leitender Hotelangestellter hat sich unerlaubten Zugriff zur Sicherheitsdatenbank des Hotels mit Kontodaten von mehr als Kunden verschafft. Die Datenbank umfasst auch die Namen und Sozialversicherungsnummern von mehr als Mitarbeitern. Er verkaufte diese Informationen an ein Verbrechernetzwerk. Nachdem der Zugriff durch die IT-Abteilung des Hotels entdeckt wurde, informierte das Hotel die betroffenen Personen über den Vorfall. Als eine der umgehenden Maßnahmen wurde ein Entschädigungsfonds für die Kunden eingerichtet. Dem Hotel sind Kosten in Höhe von mehreren Millionen EUR für die forensischen Ermittlungen, die Kundenkommunikation, das Monitoring und Wiederherstellen von Kunden- und Kontodaten, Public Relations und gerichtliche Abwehrkosten entstanden. Es zahlte außerdem 2,5 Millionen EUR Bußgeld. Notebook Diebstahl Einem Mitarbeiter einer Unternehmensberatung wurde sein dienstlicher Notebook gestohlen. Dieser war nicht verschlüsselt und hatte keinen ausreichenden Passwortschutz. Auf dem Notebook waren die Namen und Finanzdaten sowie Geschäfts- und Privatinformationen von mehr als Kunden gespeichert. Das Unternehmen zahlte 1 Million EUR, um die Kunden zu informieren, die Kundennummern zu ändern, eine PR-Agentur zu konsultieren, ein Call Center einzurichten und Anwälte für die Sicherstellung der Benachrichtigungs- und Compliance-Richtlinien hinzu zu ziehen. Darüber hinaus wurde den Kunden für ein Jahr ein Monitoring Service für EUR bereitgestellt. Nachdem circa EUR für Abwehrkosten aufgewendet wurden, wurde der Rechtsstreit durch einen Vergleich über weitere 2 Millionen EUR beigelegt.

4 Manipulation von Kartenleser Bei einem Hamburger Tierfuttermarkt manipulierten Unbekannte Anfang 2012 die Kartenleser. Dies ermöglichte den Hackern Daten von 700 Kunden abzugreifen. Dem Unternehmen entstand dadurch ein Millionenschaden. Millionenschaden durch achtloses Benutzen eines USB-Sticks Was ein Spionage-USB-Stick anrichten kann, zeigt der folgende authentische Fall. Der Chef eines mittelständischen Maschinenbauunternehmens hat von einem Experten für IT-Spionage erfahren, dass seine Firma in Bayern Opfer von Wirtschaftsspionen geworden ist. Sämtliche Daten, auch Konstruktionspläne für neueste Maschinenentwicklungen wurden ausspioniert. Der Angriff kam während des Besuchs ausländischer Unternehmer, mit denen man eigentlich über eine Kooperation verhandeln wollte. Mehrere Herren, die die Firma besucht haben, kamen bei einer Besprechung zum Abschluss im Besprechungsraum zusammen. Bei der Besprechung stand einer der Besucher unter dem Vorwand auf er müsse kurz auf die Toilette. In Wirklichkeit ging der vermeintliche Geschäftspartner zu einer Sekretärin im Unternehmen. Und bat, dass man ihm doch schnell etwas von einem USB-Stick ausdrucken würde für das laufende Meeting. Doch auf dem Stick befand sich ein heimtückisches Spionageprogramm, das die Firmendaten per Internet an die Angreifer verschickte. Kriminelle kamen so an sämtliche Passwörter und wichtige Zugangsdaten der betroffenen Firma. Sukzessive wurde das ganze Unternehmen über eineinhalb Monate ausspioniert. Mit der Schlussfolgerung, dass durch den Patentklau andere Produkte in den Markt kamen, und die betroffene Abteilung durch die Wirtschaftsspionage heute geschlossen werden musste.

5 Schadenbeispiele aus verschiedenen Branchen* E-Commerce Ein Online-Shop wurde Opfer einer Denial-of-Service-Attacke. Der Online-Shop war 23 Stunden für Kunden nicht verfügbar Plötzlicher Anstieg des eingehenden Datenflusses Allmähliche Überlastung führt zur Nichtverfügbarkeit der Website Eingehender Datenfluss wird mit Hilfe des Internetanbieters analysiert und gefiltert, um böswillige Datenbewegungen von der normalen Geschäftsaktivität abzugrenzen Schrittweise Rückkehr zur normalen Geschäftstätigkeit Voller Einsatz des IT-Teams (interne Ressourcen) Mitwirken eines Spezialistenteams (Internetanbieter + Forensik) Beeinträchtigung beeinflusst den Umsatz über 48 h Beeinträchtigung des Images und Beeinträchtigung des Ratings Verstärkte Marketingmaßnahmen

6 Telekommunikationsanbieter Bei einem operativen Routinevorgang entdeckt der Telekommunikationsanbieter eine kritische Sicherheitslücke Die Lücke befindet sich im Abrechnungs- und Lastschriftprozess 1,25 Mio. Gesetzlich vorgeschriebene Meldung an die zuständige Aufsichtsbehörde Beschwerden von Spamopfern (Kunden) Gem. BDSG verpflichtende Benachrichtigung der Kunden Nachforschungs- und Ermittlungskosten Spitzenwerte Kündigungseingang Ertragseinbußen Abschlussquote der Neuverträge sinkt drastisch Imageschaden Verstärkte Marketingmaßnahmen Hotel Ein Hacker erlangt Zugang zu den Zahlungsdaten der Hotelkunden 1,53 Mio. Die Web-Site des Hotels wird modifiziert und Trojaner werden eingeschleust Online Zahlungsdaten wurden bei Buchungsabschluss direkt an den Hacker übermittelt Die Datenbank umfasste über Kundendaten, davon wurden 600 Kreditkartendaten missbraucht Nachforschungskosten Rechtsanwaltskosten Kosten für Benachrichtigung der Kunden Monitoringkosten der Kreditkarten kumulierter Diebstahl bei den Kreditkarteninstituten (Ansprücke Kreditkarten-Inhaber) Ertragsverluste durch entgangene

7 Onlinereservierungen Einzelhandel Eine Fehlbedienung korrumpiert Daten des Warenwirtschaftssystems im Hauptlager eines Einzelhändlers Durch die Fehleinstellung von Parametern ändern sich die Produktindizes Dies führt dazu, dass irrelevante Warenbestellungen geordert werden und unnötige Lagerbestände aufgebaut werden Waren des täglichen Bedarfs sind nicht verfügbar Fehlender Lagerplatz durch georderte nicht benötigte Produkte sowie Verderb Fehlerfreier Geschäftsbetrieb war nach einer Woche wieder möglich Zusätzliche Kosten resultierend aus: Manuelle Warenwirtschaft Inventur nach dem Schaden Einstellung von befristeten Arbeitskräften Verluste durch beeinträchtigte Kundentreue Verluste aus verderblichen Lebensmitteln Umsatzeinbußen durch Nichtverfügbarkeit der gefragten Produkte

8 Produktion Böswillige Löschung der Entwicklungs- daten und Produktionsparameter einer gesamten Produktreihe 1,87 Mio. Durch Personalabbaumaßnahmen wird ein Mitarbeiter der IT-Abteilung entlassen Dieser ist über seine Entlassung so verärgert, dass er Rache an dem Unternehmen übt Er hat Kenntnisse darüber, auf welchen Festplatten sich die sensiblen Produktinformationen einer aktuellen Produktion befinden und löscht diese. Darüber hinaus werden die entsprechenden Backupbänder unbrauchbar gemacht Die Produktion steht 4 Tage still Datenrettung aus verbliebenen Datenfragmente auf den Festplatten Forensische Untersuchungen Produktionsausfall Vertragsstrafen an B2B Kunden Aufspielen von Back-up-Daten Kosten für Krisenmanager und Rechtsanwalt Reputationsschaden (erhöhte B2B-Marketingaktivität) Hochregallager Durch einen Virus wird die Datenbank eines Hochregallagers beeinträchtigt. Ein störungsfreier Arbeitsablauf Das Antivirus-Programm hat einen neuen Virus identifiziert und gemeldet ist nicht mehr gewährleistet Entsprechende Sicherheitspatches wurden dem Unternehmen bereits zur Verfügung gestellt Diese wurden im üblichen Prozedere auf Kompatibilität geprüft In der Zwischenzeit wurden Server bereits infiziert Die Ortung der eingelagerten

9 Waren war nicht mehr möglich BU-Schaden aufgrund der kontrollierten Systemabschaltung Dekontamination infizierter Daten Wiederherstellung der Daten aus Back-up- Sicherungen Manuelle Auslagerung und Neuerfassung eines Teils der Lagerware Vertragsstrafen aufgrund verspäteter Auslieferung Stadtwerke Ein Hacker dringt in das System der Stadtwerke ein und verursacht einen Stromausfall, der 46 Stunden andauert 3,87 Mio. Die Stadtwerke werden Opfer mehrerer gezielter Hackerattacken Durch das Ausnutzen einer Sicherheitslücke dringt ein Hacker schließlich unbemerkt in die Systeme der Stadtwerke ein Systemdaten werden so modifiziert, dass es zu einer schweren Störung in der Steuerungstechnik kommt und in Folge dessen das Kraftwerk still steht Es kommt zu einem Ausfall der Stromversorgung Die vollständige Behebung der Störung dauert 46 Stunden an Umsatzeinbußen durch Stromausfall Forensische Untersuchungen Vertragsstrafen Sachverständigenkosten

10 Privatklinik Eine Privatklinik wird mit der Veröffentlichung von Kundendaten erpresst. Lösegeldforderung beträgt 1 Mio Eine Mitarbeiterin der Klinik für ästhetische Chirurgie hat irrtümlicherweise anstatt der neuesten Broschüre eine Kundendatei auf der Homepage veröffentlicht Der Fehler wurde sofort bemerkt und behoben Tage später wird der Klinik eine Lösegeldforderung in Höhe von 1 Mio zugestellt Es wird angedroht, die teilweise prominenten Namen der Patienten zu veröffentlichen Die Verhandlungen mit den Erpressern sind erfolgreich und man einigt sich auf eine geringere Lösegeldforderung Bereitstellung des Lösegeldes Kosten für Krisenmanager Kosten für Rechtsanwälte Kosten für forensische Untersuchungen Kosten für Detektei

11