gutzuschreiben. Schadenbeispiele Cyber Datendiebstahl Online-Händler Ein Online-Vertrieb mittlerer Größe ist Opfer von Datendiebstahl geworden. Über mehrere Monate konnten sich Hacker rechtswidrigen Zugang zu dem eigentlich streng gesicherten online-basierten Abrechnungssystem für Bezahlkarten verschaffen (Payment Processing Tool). Während dieser Zeit konnten die Hacker über rund 2 Millionen Kundendaten kopieren und unrechtmäßig nutzen. Das Schadensausmaß ist sowohl finanziell als auch reputationsmäßig immens. Die bisher entstandenen Kosten sind wie folgt: Kosten für diverse forensische Arbeiten: 150.000 Kosten für Rechtsberatung und Rechtsbeistand: 525.000 Kosten für gesetzliche Informationspflichten: 2.170.000 Kosten für Media und PR Arbeiten: 253.000 Geltend gemachter Vermögensschaden der Payment Card Industry: 2.000.000 Gesamtkosten: 5.098.000 Kosten Betriebsunterbrechung Durch einen unzufriedenen Mitarbeiter erhalten Hacker Zugriff zum Produktionssteuerungsprozess. Eine Engpassmaschine wird gezielt verseucht. Der Hersteller kann den Virus erst nach 4 Tagen und unter Hinzuziehung von IT-Security-Experten entschärfen. Folgende Kosten sind entstanden: ForensischeKosten: 35.000 Daten-Wiederherstellung: 2.500 Betriebs-Unterbrechung: 150.000 Gesamtkosten: 187.500
Kosten Diebstahl eines Laptops Bei einem Einbruch in die Büroräumlichkeiten einer Produktions- Einrichtung wurde unter anderem ein Desktop PC gestohlen. Auf diesem Rechner befanden sich Daten von ca. 50 Kunden inclusive den Konstruktionsplänen. Folgende Kosten sind entstanden: Rechtsberatung u. Infopflichten gegenüber Dateninhabern 67.368 Forensische Dienstleistungen: 23.747 Kreditüberwachungsdienstleistungen: 11.640 PR: 2.137 Gesamtkosten: 104.882 Kostenbeispiel aus 2014-Versehentliche E-Mail Bei der Wüstenrot- Württembergischen wurde versehentlich ein e-mail mit einer Anlage von über 200 sensiblen Kundendaten an eine falsche e-mail- Adresse versendet. Der Mitarbeiter hatte übersehen, dass die Autovervollständigung im Outlook ihm nicht die Adresse seines Außendienstmitarbeiters anzeigte, sondern die eines Dritten. Dieser Dritte informierte sofort die Stuttgarter Lokalpresse. Die Württembergische hat die Betroffenen informiert und der Vorfall war 2 Tage in der Thema in diversen Medien: Kosten für diverse forensische Arbeiten 10.000,00 Kosten für Rechtsberatung und Rechtsbeistand 25.000,00 Kosten für gesetzliche Informationspflichten 20.000,00 Kosten für Media und PR Arbeiten 153.000,00 Gesamtkosten : 208.000,00
Schadenfall aus 2014 Verlust von Kreditkarten-Information durch Einsatz infizierter Tastaturen in Hotel/Tagungszentrum Folgende Kosten sind entstanden: Rechtsberatung und Benachrichtigungspflichten gegenüber Dateninhabern 50.000 Strafzahlungen/Forderungen Kreditkarten-Industrie 3.000.000 Forensische Dienstleistungen 30.000 Kreditüberwachungsdienstleistungen 120.000 PR 15.000 Gesamtkosten: 3.215.000 Krimineller Mitarbeiter eines Hotels verkauft persönliche Daten Ein ehemaliger leitender Hotelangestellter hat sich unerlaubten Zugriff zur Sicherheitsdatenbank des Hotels mit Kontodaten von mehr als 40.000 Kunden verschafft. Die Datenbank umfasst auch die Namen und Sozialversicherungsnummern von mehr als 1.200 Mitarbeitern. Er verkaufte diese Informationen an ein Verbrechernetzwerk. Nachdem der Zugriff durch die IT-Abteilung des Hotels entdeckt wurde, informierte das Hotel die betroffenen Personen über den Vorfall. Als eine der umgehenden Maßnahmen wurde ein Entschädigungsfonds für die Kunden eingerichtet. Dem Hotel sind Kosten in Höhe von mehreren Millionen EUR für die forensischen Ermittlungen, die Kundenkommunikation, das Monitoring und Wiederherstellen von Kunden- und Kontodaten, Public Relations und gerichtliche Abwehrkosten entstanden. Es zahlte außerdem 2,5 Millionen EUR Bußgeld. Notebook Diebstahl Einem Mitarbeiter einer Unternehmensberatung wurde sein dienstlicher Notebook gestohlen. Dieser war nicht verschlüsselt und hatte keinen ausreichenden Passwortschutz. Auf dem Notebook waren die Namen und Finanzdaten sowie Geschäfts- und Privatinformationen von mehr als 6.000 Kunden gespeichert. Das Unternehmen zahlte 1 Million EUR, um die Kunden zu informieren, die Kundennummern zu ändern, eine PR-Agentur zu konsultieren, ein Call Center einzurichten und Anwälte für die Sicherstellung der Benachrichtigungs- und Compliance-Richtlinien hinzu zu ziehen. Darüber hinaus wurde den Kunden für ein Jahr ein Monitoring Service für 120.000 EUR bereitgestellt. Nachdem circa 250.000 EUR für Abwehrkosten aufgewendet wurden, wurde der Rechtsstreit durch einen Vergleich über weitere 2 Millionen EUR beigelegt.
Manipulation von Kartenleser Bei einem Hamburger Tierfuttermarkt manipulierten Unbekannte Anfang 2012 die Kartenleser. Dies ermöglichte den Hackern Daten von 700 Kunden abzugreifen. Dem Unternehmen entstand dadurch ein Millionenschaden. Millionenschaden durch achtloses Benutzen eines USB-Sticks Was ein Spionage-USB-Stick anrichten kann, zeigt der folgende authentische Fall. Der Chef eines mittelständischen Maschinenbauunternehmens hat von einem Experten für IT-Spionage erfahren, dass seine Firma in Bayern Opfer von Wirtschaftsspionen geworden ist. Sämtliche Daten, auch Konstruktionspläne für neueste Maschinenentwicklungen wurden ausspioniert. Der Angriff kam während des Besuchs ausländischer Unternehmer, mit denen man eigentlich über eine Kooperation verhandeln wollte. Mehrere Herren, die die Firma besucht haben, kamen bei einer Besprechung zum Abschluss im Besprechungsraum zusammen. Bei der Besprechung stand einer der Besucher unter dem Vorwand auf er müsse kurz auf die Toilette. In Wirklichkeit ging der vermeintliche Geschäftspartner zu einer Sekretärin im Unternehmen. Und bat, dass man ihm doch schnell etwas von einem USB-Stick ausdrucken würde für das laufende Meeting. Doch auf dem Stick befand sich ein heimtückisches Spionageprogramm, das die Firmendaten per Internet an die Angreifer verschickte. Kriminelle kamen so an sämtliche Passwörter und wichtige Zugangsdaten der betroffenen Firma. Sukzessive wurde das ganze Unternehmen über eineinhalb Monate ausspioniert. Mit der Schlussfolgerung, dass durch den Patentklau andere Produkte in den Markt kamen, und die betroffene Abteilung durch die Wirtschaftsspionage heute geschlossen werden musste.
Schadenbeispiele aus verschiedenen Branchen* E-Commerce Ein Online-Shop wurde Opfer einer Denial-of-Service-Attacke. Der Online-Shop war 23 Stunden für Kunden nicht verfügbar 185.000 Plötzlicher Anstieg des eingehenden Datenflusses Allmähliche Überlastung führt zur Nichtverfügbarkeit der Website Eingehender Datenfluss wird mit Hilfe des Internetanbieters analysiert und gefiltert, um böswillige Datenbewegungen von der normalen Geschäftsaktivität abzugrenzen Schrittweise Rückkehr zur normalen Geschäftstätigkeit Voller Einsatz des IT-Teams (interne Ressourcen) 13.000 Mitwirken eines Spezialistenteams 18.500 (Internetanbieter + Forensik) Beeinträchtigung beeinflusst den Umsatz über 48 h 135.000 Beeinträchtigung des Images und Beeinträchtigung des Ratings Verstärkte Marketingmaßnahmen 18.500 185.000
Telekommunikationsanbieter Bei einem operativen Routinevorgang entdeckt der Telekommunikationsanbieter eine kritische Sicherheitslücke Die Lücke befindet sich im Abrechnungs- und Lastschriftprozess 1,25 Mio. Gesetzlich vorgeschriebene Meldung an die zuständige Aufsichtsbehörde Beschwerden von Spamopfern (Kunden) Gem. BDSG verpflichtende Benachrichtigung der Kunden 160.000 Nachforschungs- und Ermittlungskosten 90.000 Spitzenwerte Kündigungseingang Ertragseinbußen 350.000 Abschlussquote der Neuverträge sinkt drastisch 500.000 Imageschaden Verstärkte Marketingmaßnahmen 150.000 1.250.000 Hotel Ein Hacker erlangt Zugang zu den Zahlungsdaten der Hotelkunden 1,53 Mio. Die Web-Site des Hotels wird modifiziert und Trojaner werden eingeschleust Online Zahlungsdaten wurden bei Buchungsabschluss direkt an den Hacker übermittelt Die Datenbank umfasste über 3.000 Kundendaten, davon wurden 600 Kreditkartendaten missbraucht Nachforschungskosten 145.000 Rechtsanwaltskosten 315.000 Kosten für Benachrichtigung der Kunden 210.000 Monitoringkosten der Kreditkarten 60.000 kumulierter Diebstahl bei den Kreditkarteninstituten 750.000 (Ansprücke Kreditkarten-Inhaber) Ertragsverluste durch entgangene 50.000
Onlinereservierungen 1.530.000 Einzelhandel Eine Fehlbedienung korrumpiert Daten des Warenwirtschaftssystems im Hauptlager eines Einzelhändlers 552.000 Durch die Fehleinstellung von Parametern ändern sich die Produktindizes Dies führt dazu, dass irrelevante Warenbestellungen geordert werden und unnötige Lagerbestände aufgebaut werden Waren des täglichen Bedarfs sind nicht verfügbar Fehlender Lagerplatz durch georderte nicht benötigte Produkte sowie Verderb Fehlerfreier Geschäftsbetrieb war nach einer Woche wieder möglich Zusätzliche Kosten resultierend aus: 15.000 Manuelle Warenwirtschaft Inventur nach dem Schaden 10.000 Einstellung von befristeten Arbeitskräften 17.000 Verluste durch beeinträchtigte Kundentreue 130.000 Verluste aus verderblichen Lebensmitteln 160.000 Umsatzeinbußen durch Nichtverfügbarkeit der 220.000 gefragten Produkte 552.000
Produktion Böswillige Löschung der Entwicklungs- daten und Produktionsparameter einer gesamten Produktreihe 1,87 Mio. Durch Personalabbaumaßnahmen wird ein Mitarbeiter der IT-Abteilung entlassen Dieser ist über seine Entlassung so verärgert, dass er Rache an dem Unternehmen übt Er hat Kenntnisse darüber, auf welchen Festplatten sich die sensiblen Produktinformationen einer aktuellen Produktion befinden und löscht diese. Darüber hinaus werden die entsprechenden Backupbänder unbrauchbar gemacht Die Produktion steht 4 Tage still Datenrettung aus verbliebenen Datenfragmente auf den Festplatten 145.000 Forensische Untersuchungen 60.000 Produktionsausfall 940.000 Vertragsstrafen an B2B Kunden 500.000 Aufspielen von Back-up-Daten 40.000 Kosten für Krisenmanager und Rechtsanwalt 90.000 Reputationsschaden (erhöhte B2B-Marketingaktivität) 95.000 1.870.000 Hochregallager Durch einen Virus wird die Datenbank eines Hochregallagers beeinträchtigt. Ein störungsfreier Arbeitsablauf Das Antivirus-Programm hat einen neuen Virus identifiziert und gemeldet ist nicht mehr gewährleistet Entsprechende Sicherheitspatches wurden dem Unternehmen bereits 695.000 zur Verfügung gestellt Diese wurden im üblichen Prozedere auf Kompatibilität geprüft In der Zwischenzeit wurden Server bereits infiziert Die Ortung der eingelagerten
Waren war nicht mehr möglich BU-Schaden aufgrund der kontrollierten Systemabschaltung 300.000 Dekontamination infizierter Daten 45.000 Wiederherstellung der Daten aus Back-up- Sicherungen 15.000 Manuelle Auslagerung und Neuerfassung eines Teils der Lagerware 160.000 Vertragsstrafen aufgrund verspäteter Auslieferung 175.000 695.000 Stadtwerke Ein Hacker dringt in das System der Stadtwerke ein und verursacht einen Stromausfall, der 46 Stunden andauert 3,87 Mio. Die Stadtwerke werden Opfer mehrerer gezielter Hackerattacken Durch das Ausnutzen einer Sicherheitslücke dringt ein Hacker schließlich unbemerkt in die Systeme der Stadtwerke ein Systemdaten werden so modifiziert, dass es zu einer schweren Störung in der Steuerungstechnik kommt und in Folge dessen das Kraftwerk still steht Es kommt zu einem Ausfall der Stromversorgung Die vollständige Behebung der Störung dauert 46 Stunden an Umsatzeinbußen durch Stromausfall 2.300.000 Forensische Untersuchungen 40.000 Vertragsstrafen 1.500.000 Sachverständigenkosten 30.000 3.870.000
Privatklinik Eine Privatklinik wird mit der Veröffentlichung von Kundendaten erpresst. Lösegeldforderung beträgt 1 Mio. 565.000 Eine Mitarbeiterin der Klinik für ästhetische Chirurgie hat irrtümlicherweise anstatt der neuesten Broschüre eine Kundendatei auf der Homepage veröffentlicht Der Fehler wurde sofort bemerkt und behoben Tage später wird der Klinik eine Lösegeldforderung in Höhe von 1 Mio zugestellt Es wird angedroht, die teilweise prominenten Namen der Patienten zu veröffentlichen Die Verhandlungen mit den Erpressern sind erfolgreich und man einigt sich auf eine geringere Lösegeldforderung Bereitstellung des Lösegeldes 400.000 Kosten für Krisenmanager 75.000 Kosten für Rechtsanwälte 25.000 Kosten für forensische Untersuchungen 35.000 Kosten für Detektei 30.000 565.000