Die Bilanz fällt von Jahr zu Jahr düsterer aus. Die Zahl der gezielten Cyberangriffe auf deutschen Unternehmen und Behörden steigt und steigt. Das zeigt unter anderem der aktuelle Jahresbericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Doch wie konkret und gefährlich die Bedrohungslage tatsächlich ist und welche Unternehmen gerade Opfer einer Hackerattacke geworden sind, darüber schweigt das BSI beharrlich.
Die Öffentlichkeit bleibt im Dunkeln. Wenn überhaupt – wie bei dem von Hackern lahmgelegten Hochofen eines Stahlwerks – werden Angriffe in anonymer Form geschildert. Selbst für die Betreiber kritischer Infrastrukturen wie Energie, Strom und der Finanzsektor sieht das neue IT-Sicherheitsgesetz lediglich eine anonyme Meldepflicht vor. Denn in deutschen Unternehmen gilt weiterhin der Grundsatz: Ob Mitarbeiter, Kunden oder Aktionäre – niemand soll erfahren, wenn Cyberspione wertvolles Know-how abziehen, Hacker die Kundendatenbanken ausspähen oder die Steuerungscomputer in den Fabriken aus dem Takt bringen. Der Vertrauensverlust und Reputationsschaden wäre zu hoch.
Dabei steigen die Schäden in Deutschland kontinuierlich an: Deutschland ist hinter dem Spitzenreiter USA inzwischen das Land mit den zweithöchsten Schadenssummen. Ein durchschnittlicher Datendiebstahl, ermittelte IBM in seinem jüngsten Sicherheitsreport, kostet 3,5 Millionen US-Dollar, mehr als in jedem anderen europäischen Land.
In den USA findet derzeit ein Umdenken statt. Viele Unternehmen folgen inzwischen einer Empfehlung der Börsenaufsicht SEC, die materiellen Schäden von Cyberangriffen und die daraus resultierenden Risikobewertungen in ihre Geschäftsberichte aufzunehmen. Die Aufarbeitung eines Cyberangriffs erfolgt sehr transparent. Cyberangriffe werden als derart relevantes Geschäftsrisiko angesehen, dass Investoren über alle Vorfälle per Adhoc-Mitteilungen und Quartalsberichte umfassend informiert werden. Stärker als in Deutschland ist den Vorständen bewusst, wie schnell ihr Unternehmen durch einen Hackerangriff in Schieflage geraten kann. Solche nicht zu verhindernde Negativ-Schlagzeilen sind für US-Manager eine zusätzliche Motivation, die Investitionen in die IT-Sicherheit zu erhöhen.
Wie hoch können die Schäden eines Hackerangriffs sein?
Der Spitzenreiter kommt aus den USA: Hacker griffen kurz vor Weihnachten 2013 die Datenbanken der US-Warenhauskette Target an und erbeuteten die Kreditkartendaten von 40 Millionen Kunden und die Profile (Name, Adresse, Telefonnummer, E-Mail) von 70 Millionen Kunden. Der Target-Vorstand verspricht vollständige Transparenz bei der Aufklärung des Datendiebstahls und veröffentlicht in seinen Geschäftsberichten die Schadenssummen.
Bis Januar 2015, also ein Jahr danach, hatten sich alle mit der Aufarbeitung des Angriffs entstandenen Kosten auf 252 Millionen US-Dollar summiert. Davon waren lediglich 90 Millionen US-Dollar von Versicherungen gedeckt. Bis Ende Oktober 2015 meldete Target zusätzliche Kosten in Höhe von 38 Millionen US-Dollar.
Mit den bisher aufgelaufenen Schäden in Höhe von 290 Millionen US-Dollar wäre der Angriff auf Target damit der teuerste Cyberangriff aller Zeiten. Allein 67 Millionen US-Dollar zahlte Target an die Kreditkartenorganisation Visa, um die dort aufgelaufenen Schäden etwa durch die Neuausgabe von Kreditkarten abzudecken. In der Summe nicht enthalten sind die Schäden, die den Kunden durch betrügerische Transaktionen mit gestohlenen Kreditkartendaten entstehen. Wenn Datendiebe nur zwei Prozent der 40 Millionen gestohlenen Kreditkarten für fingierte Einkäufe (Schaden pro Transaktion: 300 US-Dollar) einsetzen, erklärt eine Sicherheitsexpertin von Visa während einer Anhörung des US-Kongresses, dann summieren sich diese Schäden um weitere 240 Millionen US-Dollar.
Cyberattacke kostet den Chefposten
Kann ein Cyberangriff ein Unternehmen in den Bankrott treiben?
Ja. Das zeigt ein Fall aus Großbritannien: Ein einziger, gezielter Hackerangriff reicht aus, um einem Unternehmen die Geschäftsgrundlage zu entziehen: Im Juni 2014 legten bisher unbekannte Hacker mit einem Denial-of-Service-Angriff (DDoS-Angriff) die Plattform für Softwareentwickler des britischen Anbieters Code Spaces 48 Stunden lahm. Zudem verschafften sie sich illegal Zugriff auf den Administratorzugang eines bei Amazon Web Services (AWS) angemieteten Cloud-Speicherplatzes.
Chronik: Die größten Datendiebstähle
Der japanische Unterhaltungskonzern Sony meldet das illegale Ausspähen mehrerer Server. Betroffen sind 77 Millionen Nutzer, die sich auf der Plattform der Spielkonsole „Playstation“ registriert hatten.
Hacker erschleichen sich den Zugang zu Rechnern des Online-Bekleidungsshops Zappos und stehlen 24 Millionen Kundendaten. Zappos ist eine 100-prozentige Tochter des Web-Warenhauses Amazon.
Vodafone zeigt den Diebstahl von zwei Millionen Kundendaten in Deutschland an. Ein Hacker stahl von Rechnern des Mobilfunkkonzerns Namen, Adressen und Kontodaten.
Hacker dringen in Datenbanken des US-Softwareherstellers Adobe ein und stehlen Listen mit 152 Millionen Nutzerdaten. Sie konnten dabei auch die verschlüsselt gespeicherten Passwörter knacken.
In Datenbanken der US-Warenhauskette Target dringen Hacker ein und stehlen 110 Millionen Kundendaten, darunter knapp 40 Millionen Kredit- und EC-Kartendaten.
Die Datenbank des Online-Auktionshauses Ebay wird angezapft. Die Hacker, die über gestohlene Mitarbeiterzugänge eindrangen, kommen in den Besitz von 145 Millionen Daten inklusive Passwörter und weiteren persönlichen Daten.
Bei der US-Baumarktkette Home Depot knacken Hacker die Sicherheitsvorkehrungen von Zahlungssystemen. Die Kreditkartendaten von 56 Millionen Kunden werden ausspioniert.
Die US-Bank JP Morgan wird Opfer eines groß angelegten Cyberangriffs. Daten von 76 Millionen Privatkunden und sieben Millionen Firmenkunden fallen in die Hände von Hackern. Ausgespäht wurden Name, Adresse, Telefonnummer und E-Mail-Adresse.
Das Ziel der Attacke: Lösegeld erpressen. Die Geschäftsführung lehnte die Zahlung ab. Deshalb begannen die Angreifer umgehend, Daten zu löschen. Dabei gingen nahezu alle Daten inklusive der Sicherheitskopien verloren. Das Unternehmen sah sich gezwungen, seinen Betrieb einzustellen. Die finanziellen Belastungen bei der Wiederherstellung der gelöschten Daten und die Entschädigungsforderungen der betroffenen Kunden wären zu hoch gewesen.
Hat ein Konzern seine Wettbewerbsfähigkeit verloren, weil er von der Konkurrenz erfolgreich ausspioniert wurde?
Ja. Für den Niedergang des kanadischen Netzausrüsters Nortel ist nach Ansicht von Sicherheitsspezialisten ein erfolgreicher Spionageangriff verantwortlich. Seit dem Jahr 2000, damals war Nortel noch ein kanadisches Vorzeigeunternehmen mit einem Börsenwert von 225 Milliarden Euro, sind offenbar chinesische Hacker in den IT-Systemen ein- und ausgegangen. Sie konnten wichtige Firmeninterna und –geheimnisse absaugen, darunter technische Dokumentationen, Entwicklungsprojekte und Geschäftspläne. Insider meinen, es sei kein Zufall, dass mit dem Abstieg von Nortel der Aufstieg des chinesischen Konkurrenten Huawei begann.
Erstmals aufgefallen war das Spionageprogramm im Jahr 2004, doch das Unternehmen unternahm zunächst wenig und änderte nur einige Passwörter von Führungskräften. Noch 2009, als das Unternehmen Insolvenz anmeldete, in seine Einzelteile zerschlagen und an mehrere Konkurrenten, darunter Ericsson, verkauft wurde, hielten sich die chinesischen Hacker in den IT-Systemen von Nortel versteckt und schlachteten das Unternehmen aus.
Konnten Hacker schon Vorstandsvorsitzende abschießen ?
Jahrelang sah es so aus, als seien allein die Sicherheitschefs für die Abwehr von Cyberangriffen verantwortlich. Doch die Zeiten sind vorbei. Inzwischen stehen auch die Konzernchefs nach einem Hackerangriff im Kreuzfeuer der Kritik und müssen persönlich die Verantwortung für die Sicherheitslücken und Pannen übernehmen. Erst recht, wenn Unternehmen wie die US-Warenhauskette Target viel in die IT-Sicherheit investieren, aber niemand auf die Warnungen reagiert. Die internen Sicherheitssysteme meldeten zwar am 12. November 2013 einen Angriff. Doch erst vier Wochen später, nach einer Information aus dem US-Justizministerium über rätselhafte Bezahltransaktionen einzelner Kunden, nahm Target die internen Ermittlungen auf.
Nach dieser Panne kann der Aufsichtsrat nicht nur „Bauern“ opfern. Am 5. Mai 2014, also vier Monate nach dem Angriff, musste der Vorstandsvorsitzende Gregg Steinhafel seinen Chefsessel räumen. Quasi zeitgleich wurden alle direkt für IT und für die Cybersicherheit verantwortlichen Vorstandsposten neu besetzt.
Mittlerweile musste ein zweiter Vorstands-Chef seinen Posten räumen. Anfang August 2015 zog der Geschäftsführer des amerikanischen Seitensprungportals Ashley Madison (Slogan: „Das Leben ist kurz, gönn Dir eine Affäre“), Noel Biderman, die Konsequenzen aus einem erfolgreichen Cyberangriff. Hacker waren in die IT-Systeme seiner Betreiberfirma Avid Life Media (ALM) eingedrungen und konnten die persönlichen und zum Teil intimen Daten von 32 Millionen Nutzern absaugen und veröffentlichen. Von den Hackern ebenfalls erbeutete interne E-Mails erweckten den Verdacht, dass Biderman die Profile von Traumfrauen gefälscht hat, um möglichst viele Männer anzulocken.
Um den Vertrauensschaden zu begrenzen und einen Neuanfang ohne Altlasten zu starten, sah sich ALM gezwungen, Biderman zu feuern.