Cyber-Sicherheitsschaden - Prof. Dr. Norbert Pohlmann

Was ist ein Cyber-Sicherheitsschaden?

Ein Cyber-Sicherheitsschaden ist ein materieller oder immaterieller Nachteil, den eine Firma, Organisation oder Person durch ein Ereignis, wie z.B. einen Cyber-Sicherheitsangriff erleidet. Der Cyber-Sicherheitsschaden ist immer eine unfreiwillige Einbuße, die der Besitzer an seinen geschützten Rechtsgütern erleidet.
Kriminelle Cyber-Sicherheitsangriffe auf Unternehmen und Nutzer verursachen z.B. Cyber-Sicherheitsschaden. Durch Sabotage, Datendiebstahl oder Spionage entstehen der Gesellschaft sehr hohe Schäden. In Deutschland war der Cyber-Sicherheitsschaden 2017 55 Milliarden Euro, 2019 102,9 Milliarden Euro und 2021 220 Milliarden Euro groß.

Die Schäden sind im Bereich der Cyber-Sicherheit sehr vielfältig:

• sensible digitale Daten werden auf den IT-Systemen gestohlen
• Informations- und Produktionssysteme oder Betriebsabläufe werden digital sabotiert
• digitale Kommunikation wird ausgespäht
• IT- oder Telekommunikationsgeräte werden entwendet
• sensible Daten, die erbeutet werden sind z.B.:
  • vertrauliche E-Mails
  • Finanzdaten
  • Mitarbeiterdaten
  • Kundendaten
  • kritische Geschäftsinformationen wie Marktanalysen oder Preisgestaltung
  • …

Kategorien von Cyber-Sicherheitsschäden

Die Cyber-Sicherheitsschäden lassen sich z.B. in die folgenden Kategorien aufteilen:

Verstoß gegen Gesetze/Vorschriften/Verträge

Verstöße dieser Art können z.B. aus dem Verlust der Vertraulichkeit, der Integrität und der Verfügbarkeit resultieren. Die Schwere des Schadens ist dabei oftmals abhängig davon, ob es sich nur um Bagatellverstöße handelt oder ob daraus rechtliche Konsequenzen für die Institution entstehen können.

Beispiele für relevante Gesetze:
Grundgesetz, Bürgerliches Gesetzbuch, Strafgesetzbuch, Datenschutzgrundverordnung, Sozialgesetzbuch, Handelsgesetzbuch, Personalvertretungsgesetz, Betriebsverfassungsgesetz, Urheberrechtsgesetz, Patentgesetz, Produkthaftungsgesetz.

Beispiele für relevante Vorschriften:

• Organisationsanweisungen
• Dienstvorschriften

Beispiele für Verträge:

• Dienstleistungsverträge im Bereich Datenverarbeitung
• Verträge, die eine Wahrung von Betriebsgeheimnissen vereinbaren
  

Beeinträchtigung der Aufgabenerfüllung

Gerade der Verlust der Verfügbarkeit eines IT-Systems, eines IT-Dienstes oder der Integrität der Daten kann die Aufgabenerfüllung erheblich beeinträchtigen. Die Schwere des Schadens richtet sich hierbei nach der zeitlichen Dauer der Beeinträchtigung und nach dem Umfang der Einschränkungen.

Beispiele:

• verzögerte Bearbeitung von Verwaltungsvorgängen
• verspätete Zahlungen aufgrund verzögerter Bearbeitung von Rechnungen
• das nicht Finden von Material in einem Lager ist nicht möglich, weil die Integrität der Lokalisierungsdaten beschädigt ist
• Verschlüsslung der Daten auf den Endgeräten durch Ransomware
• Die Verhinderung der Nutzung von Internet-Diensten durch DDoS-Angriffe
  

Beeinträchtigung der persönlichen Unversehrtheit

Fehlfunktion eines IT-Systems oder Anwendung kann zu den folgenden Schäden führen:

• Verletzung
• Invalidität
• Tod

Die Höhe des Schadens ist direkt an dem persönlichen Schaden zu messen.

Negative Auswirkung

Durch den Verlust eines Grundwertes (Vertraulichkeit, Integrität, Verfügbarkeit) in einem IT-System und IT-Diensten können verschiedenartige negative Außenwirkungen entstehen.

Beispiele:

• Renommee- und Vertrauensverlust einer Firma, einer Organisation
• Beeinträchtigung der Beziehungen zu kooperierenden Behörden oder Unternehmen
• verlorenes Vertrauen in die Arbeitsqualität
• Zuspielen vertraulicher Daten an die Presse oder andere Organisationen

Die Höhe des Schadens orientiert sich an der Schwere des Vertrauensverlustes und am Verbreitungsgrad der Außenwirkung. Die Ursachen für diese Schäden können vielfältiger Natur sein, zum Beispiel:

• Handlungsunfähigkeit durch IT-Ausfall
• fehlerhafte Veröffentlichungen durch manipulierte Daten
• falsche Berechnungen durch fehlerhafte Kalkulationsprogramme
• Nichteinhaltung von Schweigepflichten durch Vertraulichkeitsverlust von Daten
  

Finanzielle Auswirkungen

Unmittelbare oder mittelbare finanzielle Schäden können durch den Verlust der Vertraulichkeit schutzbedürftiger Daten, die Veränderung von Daten oder den Ausfall eines IT-Systems und -Diensten entstehen.

Beispiele:

• unerlaubte Weitergabe von Kalkulationsergebnissen
• Manipulation finanzwirksamer Daten in einem Abrechnungssystem
• Einsichtnahme in Strategiepapiere oder Planzahlen
• Diebstahl von Entwicklungs- und Kundendaten
• Diebstahl oder Zerstörung von Hardware

Die Höhe des Gesamtschadens ist bestimmt durch die direkt entstehenden finanziellen Schäden und die daraus resultierenden Folgeschäden.

Weitere Informationen zum Begriff “Cyber-Sicherheitsschaden”:

Vorlesungen: „Vorlesungen zum Lehrbuch Cyber-Sicherheit“

Bücher:

Lehrbuch Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download

• Sicher im Internet: Tipps und Tricks für das digitale Leben
• Der IT-Sicherheitsleitfaden
• Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)
Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit

Summary

Article Name

Cyber-Sicherheitsschaden

Description

Ein Cyber-Sicherheitsschaden ist immer eine unfreiwillige materielle oder immaterielle Einbuße, die eine Organisation oder Person durch einen Cyber-Sicherheitsangriff erleidet. Die Kategorien von Cyber-Sicherheitsschäden sind sehr vielfältig.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo