Daten weg, Homepage verändert, Rechner blockiert – Cyberattacken nehmen zu und es trifft vermehrt KMUs. Tatsache ist: Die wenigsten sind gewappnet – und das kann teuer werden.
„Attacken funktionieren häufig nach dem Prinzip Schrotkugelhagel und sind damit erfolgreich“ erläutert Michael Fried, Vorstand der Sydys AG, die mittelständische Unternehmen zur Datensicherheit berät.
Die Masse macht’s, deshalb sind kleine und mittelständische Unternehmen von Angriffen nicht ausgenommen. „Im Gegenteil, große Unternehmen sind in der Regel besser vorbereitet und haben ein Sicherheitskonzept. Bei KMUs ist das noch lückenhaft – die Chancen auf Schädigung sind vergleichsweise hoch“, betont Fried.
© etailment.de
© etailment.de
Was bedeutet es konkret im eigenen Unternehmen, wenn das IT-System lahmgelegt wird? Bleiben die Lichter aus? Gehen die Türen gar nicht auf, sind die Kassen blockiert, funktionieren Rechner, Drucker oder Kühlgeräte nicht mehr? Komplette Betriebsunterbrechung? Und vor allem – was kostet das alles?
Die Risikoanalyse von Cyberattacken gehört nicht zur Kernkompetenz der Einzelhändler, dennoch müssen sie sich dringend einarbeiten.
© etailment.de
Die Basis
Es klingt ganz einfach: durchgängiger Virenschutz, Firewallstrukturen an allen Netzübergängen zum Internet, ein abgestuftes Rechtekonzept mit administrativen Kennungen ausschließlich für IT-Verantwortliche und eine wenigstens tägliche Datensicherung auf separaten Systemen oder Datenträgern. Wären allein diese Punkte im Handel überall umgesetzt, würde der Erfolg der digitalen Raubritter drastisch sinken.
© etailment.de
Die potenziellen Kosten im Schadensfall
Für kleine und mittelständische Unternehmen in Deutschland bedeutet es in den letzten 12 Monaten einen Schaden von durchschnittlich 46 000 Euro, bei Großunternehmen summiert er sich auf 342 000 Euro, so der Hiscox-Report 2018.Hanno Pingsmann, CEO der Vergleichsplattform Cyberdirect listet beispielhaft auf, welche Posten im Schadensfall anfallen können.
IT-Forensik
300 Euro/Stunde
Der Einsatz dieser Spezialisten kann mehrere Tage dauern -> bei 50 Stunden ergeben sich 15 000 Euro
Wiederherstellung der IT-Systeme
Unterstützung durch externe IT-Dienstleister des Händlers -> rund 10 000 Euro
Rechtsanwaltliche Beratung bei einem Datenschutzvorfall
400 Euro/Stunde -> bei 50 Stunden ergeben sich 20 000 Euro
Benachrichtigung betroffener Kunden
2,50 Euro pro Datensatz -> bei 20 000 Kundendatensätzen ergeben sich
50 000 Euro
Verletzung von PCI-Vertragspflichten (Kreditkartensicherheit)
Rund 25 000 Euro und mehr
Schadensersatzkosten
Haftpflichtanspruch von Kunden, deren Persönlichkeitsrechte verletzt wurden.
Ertragsausfall
Bestellungen, die über den Online-Shop fünf Tage lang nicht angenommen werden können; Kassen, die im stationären Handel nicht funktionieren: 1–2 Prozent des Jahresumsatzes
Auch wenn man glaubt, mit einer Lösegeldzahlung von 20-40 000 Euro vergleichsweise günstig davonzukommen, lautet die Empfehlung: Ruhe bewahren, nicht bezahlen und die Technikprofis einschalten. „Denn meist werden auf die erste Zahlung nicht alle Daten freigegeben, die Erpressung geht in die zweite Runde“, erklärt Hanno Pingsmann von Cyberdirekt. „Zudem gibt es keine Garantie dafür, dass wieder freigegebene Daten tatsächlich unversehrt sind.“
