Unternehmen die Kosten sparen wollen, indem sie auf IT-Sicherheitsmaßnahmen verzichten, sollten ihre Berechnungen anpassen. Denn der Verzicht auf entsprechende Vorkehrungen und Investitionen wird immer teurer, wie aktuelle Beispiele zeigen.
Zuletzt war es beim taiwanischen Unternehmen TSMC nach Angaben des Unternehmens zu einem Ausbruch der WannaCry-Ransomware gekommen. Die Taiwan Semiconductor Manufacturing Company fertigt für viele große Hersteller Prozessoren und Systems-on-a-Chips (SoCs) für Desktoprechner und Smartphones. Das Unternehmen stellt auch die von Apple selbst designten A12-Chips für die kommende iPhone-Generationen her. Bei der Installation eines neuen Rechners im Fertigungsnetzwerk habe sich WannaCry im internen Netzwerk verbreiten können, schreibt das Unternehmen – vermutlich, weil bei dem Rechner vor dem Anschluss an das Netzwerk nicht alle verfügbaren Patches eingespielt worden waren. Der Hersteller hätte in diesem Fall grundlegende Best-Practices aus dem Bereich IT-Security nicht angewendet. Die Folge des Vorfalls: Die Produktion stand an mehreren Standorten fast ein ganzes Wochenende still. TSMC selbst rechnet mit Kosten von rund 3 Prozent des Jahresumsatzes – etwa 170 Millionen US-Dollar. Das Gewinnziel für das Jahr 2018 soll trotzdem noch erreicht werden, dafür müssen aber dann die folgenden Quartale den Verlust auffangen.
Auch die Videoplattform Dailymotion hat Kosten durch mangelhafte IT-Sicherheit erlitten. Der Umfang ist zwar deutlich geringer als bei TSMC, könnte aber wegweisend sein. Denn das Unternehmen muss nach einer Verurteilung durch die französische Datenschutzbehörde CNIL 50.000 Strafe zahlen, nachdem Kundendaten abhanden gekommen waren. Daran ist Dailymotion nach Ansicht der Datenschützer mitschuldig, weil das Administrator-Passwort für ein System des Anbieters im Code-Repository Github zu finden war. Die Angreifer mussten also keine Schwachstellen im System finden oder Phishing von Nutzerdaten betreiben, um Zugriff zu erlangen – sie konnten sich einfach mit vollen Zugriffsrechten einloggen. Die Strafe ist im Vergleich zu den Kosten eines umfassenden Hackerangriffs gering – nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) sind aber weitere solche Strafen gegen Unternehmen zu erwarten, wenn diese nicht ausreichend auf Kundendaten achtgegeben. Die maximale Strafe liegt dann je nach Schwere eines Falles bei bis zu 4 Prozent des globalen Umsatzes eines Unternehmens.
Doch nicht nur die Strafen selbst sind in der Abwägung relevant - denn für Unternehmen ist das Vertrauen der Nutzer in ihre Produkte und Datenschutzpraktiken besonders wichtig für die künftige Geschäftsentwicklung. "Im Zuge der Anpassung ihrer Prozesse an die DSGVO haben viele Unternehmen bereits die Notwendigkeit dauerhafter Investitionen in IT-Sicherheit erkannt," sagt Michael Zimmer von G DATA Advanced Analytics. "IT-Sicherheitsvorfälle führen meist zu Reputationsschäden und diese werden regelmäßig mehr gefürchtet als die hohen Maximalstrafen."
Datenschutzvorfälle müssen den Behörden gemeldet werden
Nach Maßgabe der DSGVO müssen Unternehmen in Europa bestimmte sicherheitsrelevante Vorfälle an die jeweils zuständige Datenschutzbehörde melden. Außerdem müssen betroffene Nutzer informiert werden. Damit dürfte deutlich mehr Transparenz über die Sicherheitspraxis von Unternehmen entstehen – und Kunden könnten sorgfältiger auswählen, welchem Unternehmen sie persönliche Daten anvertrauen wollen. Wie eine Information der Öffentlichkeit in diesem Bereich aussehen könnte, zeigt die Australische Datenschutzbehörde OAIC in ihren regelmäßigen Berichten. Die Zahlen zeigen etwa, dass es nicht nur sehr große Datenlecks mit mehr als 50.000 oder gar 1 Million Datensätzen gemeldet werden, sondern auch zahlreiche kleinere Vorfälle. Etwa, wenn dem Bäcker um die Ecke ein Versehen passiert und die Kundenkartei von unberechtigten Personen eingesehen wird.
Die am häufigsten geleakten Informationen sind dem Bericht zufolge Kontaktdetails – also Mail- oder Postadressen. Diese machen 89 Prozent der gemeldeten Vorfälle aus. Auf dem zweiten Platz mit 42 Prozent stehen dann Finanzdaten. Informationen mit Bezug zur Gesundheit waren in 25 Prozent aller gemeldeten Fälle betroffen.
Datenleck durch BCC-Fail
Nicht immer sind Hackerangriffe Ursache von Datenabflüssen. In rund 36 Prozent der Fälle soll menschliches Versagen schuld sein. Beispiele dafür listet der Bericht ebenfalls auf: So wurden persönliche Informationen per E-Mail an die falschen Adressaten zugestellt, in anderen Fällen kam es zum beliebten CC-Fail – eine Mail an viele Personen wurde dann an einen offenen Verteiler gesendet und nicht an per BCC (Blind-Carbon-Copy) maskierte Empfänger. Häufig kommt es auch vor, dass Datenträger oder Papierunterlagen, die persönliche Daten enthalten, unsicher oder nicht fachgerecht entsorgt werden. Die Daten landen dann im schlimmsten Fall in einem öffentlich zugänglichen (Müll-)Container.
In anderen Fällen sind hingegen Angriffe für den Abfluss personenbezogener Informationen verantwortlich. Am häufigsten werden dazu mehrfach verwendete Login-Daten oder aber anderweitig kompromittierte Logins verwendet. Unter HaveIbeenPwned.com können Nutzer einfach überprüfen, ob Zugangsdaten bereits von einem Datenleck betroffen waren. Einen ähnlichen Service bietet das Hasso-Plattner-Institut mit dem Identitiy Leakage Checker an. In 29 Prozent der gemeldeten Fälle wurden Zugangsdaten per Phishing abgegriffen, also über nachgebaute Webseiten-Logins oder Phishing-Kampagnen die über Spam-E-Mails versendet werden. Außerdem können Zugangsdaten mit sehr einfach zu erratenden Passwörtern per Brute-Force-Angriff durch Ausprobieren geknackt werden.
Cybersecurity-Kosten lassen sich berechnen
Über entsprechende Datenlecks ist in den vergangenen Jahren viel berichtet worden. Tatsächlich lösen diese bei den Unternehmen nicht nur Reputationsschäden aus, welche nur schwer finanziell zu bewerten sind, sondern verursachen auch klar bezifferbare Kosten. Das Ponemon-Institut berechnet einmal jährlich im Auftrag von IBM, wie hoch diese sind. Durchschnittlich zahlen Unternehmen demnach rund 3,86 Millionen US-Dollar pro Vorfall. Für jeden illegal kopierten Datensatz fallen durchschnittliche Kosten von 148 US-Dollar an. Diese Daten sind Näherungswerte, können für Unternehmen aber als Grundlage zur Berechnung eigener Risikoanalysen dienen. Eines der größten Datenlecks der jüngeren Geschichte hatte der US-Finanzdienstleister Equifax. Schätzungen zufolge betragen die Kosten dafür rund 439 Millionen US-Dollar. Nur für 125 Millionen Dollar ist Equifax versichert – die Differenz muss das Unternehmen demnach selbst bezahlen. Ursache des Equifax-Hacks war ein nicht gepatchter Apache-Struts Anwendungsserver.
Gegen die geschilderten Risiken können Unternehmen sich mit einem professionellen IT-Management und der richtigen Sicherheitslösung absichern. Business-Kunden von G DATA können auf Wunsch eine Patchmanagement-Lösung buchen, um Betriebssysteme und Software im Unternehmen mit wenigen Klicks auf dem aktuellen Stand zu halten und sich gegen aufkommende Sicherheitslücken schützen. Auch die Endpoint-Protection darf nicht vernachlässigt werden, wenn Nutzer mit einem System interagieren. Die G DATA-Produkte können Bedrohungen durch Ransomware, Tech-Support-Scams und andere Viren oder Trojaner minimieren.