Ein Cyber-Sicherheitsschaden ist ein materieller oder immaterieller Nachteil, den eine Firma, Organisation oder Person durch ein Ereignis, wie z.B. einen Cyber-Sicherheitsangriff erleidet. Der Cyber-Sicherheitsschaden ist immer eine unfreiwillige Einbuße, die der Besitzer an seinen geschützten Rechtsgütern erleidet.
Kriminelle Cyber-Sicherheitsangriffe auf Unternehmen und Nutzer verursachen z.B. Cyber-Sicherheitsschaden. Durch Sabotage, Datendiebstahl oder Spionage entstehen der Gesellschaft sehr hohe Schäden. In Deutschland war der Cyber-Sicherheitsschaden 2017 55 Milliarden Euro und 2019 102,9 Milliarden Euro groß. Die Schäden sind im Bereich der Cyber-Sicherheit sehr vielfältig: - sensible digitale Daten werden auf den IT-Systemen gestohlen
- Informations- und Produktionssysteme oder Betriebsabläufe werden digital sabotiert
- digitale Kommunikation wird ausgespäht
- IT- oder Telekommunikationsgeräte werden entwendet
- sensible Daten, die erbeutet werden sind z.B.:
- vertrauliche E-Mails
- Finanzdaten
- Mitarbeiterdaten
- Kundendaten
- kritische Geschäftsinformationen wie Marktanalysen oder Preisgestaltung
- …
Die Cyber-Sicherheitsschäden lassen sich z.B. in die folgenden Kategorien aufteilen: 1.) Verstoß gegen Gesetze/Vorschriften/Verträge Verstöße dieser Art können z.B. aus dem Verlust der Vertraulichkeit, der Integrität und der Verfügbarkeit resultieren. Die Schwere des Schadens ist dabei oftmals abhängig davon, ob es sich nur um Bagatellverstöße handelt oder ob daraus rechtliche Konsequenzen für die Institution entstehen können. Beispiele für relevante Gesetze:
Grundgesetz, Bürgerliches Gesetzbuch, Strafgesetzbuch, Datenschutzgrundverordnung, Sozialgesetzbuch, Handelsgesetzbuch, Personalvertretungsgesetz, Betriebsverfassungsgesetz, Urheberrechtsgesetz, Patentgesetz, Produkthaftungsgesetz. Beispiele für relevante Vorschriften: - Organisationsanweisungen
- Dienstvorschriften
Beispiele für Verträge: - Dienstleistungsverträge im Bereich Datenverarbeitung
- Verträge, die eine Wahrung von Betriebsgeheimnissen vereinbaren
2.) Beeinträchtigung der Aufgabenerfüllung
Gerade der Verlust der Verfügbarkeit eines IT-Systems, eines IT-Dienstes oder der Integrität der Daten kann die Aufgabenerfüllung erheblich beeinträchtigen. Die Schwere des Schadens richtet sich hierbei nach der zeitlichen Dauer der Beeinträchtigung und nach dem Umfang der Einschränkungen. Beispiele: - verzögerte Bearbeitung von Verwaltungsvorgängen
- verspätete Zahlungen aufgrund verzögerter Bearbeitung von Rechnungen
- das nicht Finden von Material in einem Lager ist nicht möglich, weil die Integrität der Lokalisierungsdaten beschädigt ist
- Verschlüsslung der Daten auf den Endgeräten durch Ransomware
- Die Verhinderung der Nutzung von Internet-Diensten durch DDoS-Angriffe
3.) Negative Auswirkung
Durch den Verlust eines Grundwertes (Vertraulichkeit, Integrität, Verfügbarkeit) in einem IT-System und IT-Diensten können verschiedenartige negative Außenwirkungen entstehen. Beispiele: - Renommee- und Vertrauensverlust einer Firma, einer Organisation
- Beeinträchtigung der Beziehungen zu kooperierenden Behörden oder Unternehmen
- verlorenes Vertrauen in die Arbeitsqualität
- Zuspielen vertraulicher Daten an die Presse oder andere Organisationen
Die Höhe des Schadens orientiert sich an der Schwere des Vertrauensverlustes und am Verbreitungsgrad der Außenwirkung. Die Ursachen für diese Schäden können vielfältiger Natur sein, zum Beispiel: - Handlungsunfähigkeit durch IT-Ausfall
- fehlerhafte Veröffentlichungen durch manipulierte Daten
- falsche Berechnungen durch fehlerhafte Kalkulationsprogramme
- Nichteinhaltung von Schweigepflichten durch Vertraulichkeitsverlust von Daten
4.) Finanzielle Auswirkungen
Unmittelbare oder mittelbare finanzielle Schäden können durch den Verlust der Vertraulichkeit schutzbedürftiger Daten, die Veränderung von Daten oder den Ausfall eines IT-Systems und -Diensten entstehen. Beispiele: - unerlaubte Weitergabe von Kalkulationsergebnissen
- Manipulation finanzwirksamer Daten in einem Abrechnungssystem
- Einsichtnahme in Strategiepapiere oder Planzahlen
- Diebstahl von Entwicklungs- und Kundendaten
- Diebstahl oder Zerstörung von Hardware
Die Höhe des Gesamtschadens ist bestimmt durch die direkt entstehenden finanziellen Schäden und die daraus resultierenden Folgeschäden.
Weitere Informationen zum Begriff “Cyber-Sicherheitsschaden”:
Vorlesungen: „Cyber-Sicherheit – Vorlesung“ Informationen über das Lehrbuch: „Cyber-Sicherheit“ Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI) Zurück zur Übersicht | 
