Schutz vor Cyber-Risiken
11.07.2024
Cybercrime, also durchs Internet oder Netzwerke begangene Straftaten, sind längst fester, bedauerlicher Bestandteil unserer Gesellschaft geworden. Die Spielarten der Cyberkriminalität sind inzwischen sehr vielseitig und reichen vom Datendiebstahl bis hin zur digitalen Erpressung. Die Medien berichten nahezu regelmäßig von Fällen, bei denen große Konzerne gehackt wurden – aber auch kleine und mittelständische Firmen sind beliebte Ziele für Angriffe, da Datenmaterial hier im Regelfall schlechter oder gar nicht geschützt ist. Die finanziellen Folgen eines solchen Angriffs können schnell in die Tausende gehen.
Opfer und Mitverursacher
Kann man sich die Schadenhöhe ggf. noch vorstellen, die einem selbst drohen kann, sind die Schadenersatzforderungen, die geschädigte Dritte stellen können, doch immer wieder überraschend. Man hat ja gar nicht aktiv mitgewirkt, weshalb sollte man also zahlen müssen?
Die Rechtsprechung vertritt in dieser Sache aber einen klaren Standpunkt: Wer z. B. durch unzureichende Sicherung seines Datenbestandes die Schädigung eines Dritten begünstigt, ist Mitschuldiger (siehe u. a. auch IT-Sicherheitsgesetz, EU Datenschutz-Grundverordnung, § 202 a ff StGB)!
Ein Schadenbeispiel aus der Praxis
Digitales Desaster für ein Unternehmen: Cyberangriff auf Kanaldienstleister führt zu Betriebsausfall.
Ein kürzlich aufgetretener Cyberangriff hat erhebliche Auswirkungen auf einen Kanaldienstleister in Deutschland. Der Vorfall zeigt, dass auch Unternehmen in der Abwasserbranche nicht immun gegen Cyberbedrohungen sind.
1. Der Cyberangriff:
Unbekannte Hacker nutzten eine Sicherheitslücke in den internen Systemen des Unternehmens aus und verschafften sich Zugang zu den betrieblichen Steuerungssystemen für die Kanalsanierung. Dies führte zu erheblichen Beeinträchtigungen der Betriebsabläufe.
2. Die finanziellen Auswirkungen:
Betriebsunterbrechung und Umsatzverlust: 800.000 Euro (über einen Zeitraum von drei Wochen). Kosten für die Wiederherstellung der Steuerungssysteme: 300.000 Euro.
Reputationsschaden: Potenziell signifikanter Vertrauensverlust bei Kunden und Partnern.
3. Betriebsausfall und Notfallmaßnahmen:
Die Kanalsanierung musste aufgrund der Betriebsunterbrechung für drei Wochen eingestellt werden, was zu Verzögerungen bei laufenden Projekten und Kundenunzufriedenheit führte. Das Unternehmen musste alternative Notfallpläne implementieren, um den Kunden dennoch einen gewissen Service zu bieten.
4. Präventive Maßnahmen und ihre Kosten:
Implementierung von Industrial Control System (ICS)-Sicherheitsmaßnahmen: 150.000 Euro
Schulungen für Mitarbeiter zur Sensibilisierung für Cybersecurity: 50.000 Euro
Notfallwiederherstellungsplan (Business Continuity Plan): 100.000 Euro
5. Gesamtkosten und Lehren:
Die Gesamtkosten des Cyberangriffs belaufen sich auf über 1,3 Millionen Euro. Dieses Beispiel unterstreicht die Notwendigkeit von spezifischen Sicherheitsmaßnahmen für industrielle Steuerungssysteme, um Betriebsausfälle und finanzielle Verluste zu minimieren.
Fazit:
Das betroffene Unternehmen muss nicht nur die finanziellen Schäden bewältigen, sondern auch in gezielte Sicherheitsmaßnahmen für ihre industriellen Steuerungssysteme investieren, um sich vor zukünftigen Cyberangriffen zu schützen. Der Vorfall betont die Dringlichkeit einer umfassenden Cybersecurity-Strategie, selbst für Unternehmen in weniger offensichtlich gefährdeten Branchen.
