Get in touch
Viele mittelständische Händler glauben, dass das Thema Cybercrime sie nicht tangiert, weil sie zu klein oder zu uninteressant sind. Dabei ist gerade die E-Commerce-Branche für Kriminelle besonders attraktiv. IT-Security kann so schnell zu einem betriebswirtschaftlichen Thema werden, das besonders Betreiber von Webplattformen ganz oben auf ihrer Agenda haben sollten. Steffen Ritter und Steven Bailey zeigen auf, welche wirtschaftlichen Folgen Cyberangriffe haben können und wie sich das Risiko senken lässt.
Mit dem Boom des E-Commerce sind Webportale stärker in den Fokus von Cyberkriminellen geraten. Fast täglich gibt es Meldungen über gehackte Onlineshops, und sowohl das Bundeskriminalamt (BKA) als auch private Studien stellen fest: Cybercrime nimmt drastisch zu.
Davon betroffen sind nicht nur klassische Onlineshops, geht es doch bei den Angriffen häufig um den Diebstahl persönlicher Daten. Daher sind auch die immer komplexeren Web-Applikationen mit umfangreichen geschlossenen Bereichen für Kund:innen, Mitglieder oder Partner beliebte Angriffsziele.
Bei einer Forsa-Umfrage unter kleinen und mittleren Unternehmen im vergangenen April sahen sich mehr als 70 % der Befragten nicht durch Cyberkriminelle gefährdet. Diese Sorglosigkeit ist leichtsinnig.
Alle Betreiber von Webplattformen sollten sich der Auswirkungen bewusst sein, die erfolgreiche – aber auch nicht erfolgreich abgeschlossene Angriffe auf das eigene Geschäft haben können.
Kommt es beispielsweise zu einem Verlust personenbezogener Daten, müssen alle Betroffenen zuverlässig informiert werden. Abhängig von der Branche und den konkreten Auswirkungen kann es auch verpflichtend sein, Cybersecurity-Vorfälle zu melden und mit den zuständigen Behörden zusammenzuarbeiten.
Eine IT-forensische Untersuchung des Vorfalls durch Sachverständige ist häufig nicht abzuwenden. Darüber hinaus können Marketingmaßnahmen oder Krisenkommunikation notwendig werden. All diese ungeplanten, aber unabdingbaren Aktivitäten gehen mit hohen Kosten für das Unternehmen einher.
Gemäß IT-Sicherheitsgesetz sind Betreiber von Onlinepräsenzen dazu verpflichtet, alle technisch möglichen und wirtschaftlich zumutbaren Anstrengungen (technischer, wie auch organisatorischer Art) zu unternehmen, um ihre Plattformen vor Angriffen zu sichern.
Die IT-Security-Studie 2019 des eco - Verbands der Internetwirtschaft hat aufgezeigt, dass 72 % der Webdienste kleiner und mittlerer Unternehmen nicht sicher konfiguriert sind. Eine ordentliche und sichere Konfiguration ist aber technisch möglich und auch für jedes Unternehmen wirtschaftlich zumutbar.
Schadenersatzansprüche von Partnerunternehmen
In vielen Fällen tritt zudem noch eine Schadenshaftungspflicht ein. Üblicherweise sind Schadenersatzforderungen von Kreditkartenunternehmen bzw. Zahlungsanbietern sowie von Lieferanten, Versanddienstleistern, Hosting-Partnern oder Markeninhabern zu erwarten, wenn diesen durch den Angriff Schäden entstanden sind.
Nebenbei bemerkt: Viele Versicherungen schließen grobe Fahrlässigkeit von ihrer Leistungspflicht aus. Das kann dazu führen, dass auch vermeintlich abgesicherte Kostenrisiken plötzlich eintreten.
Ein Hack wirkt sich oft direkt auf den Umsatz aus. Das beginnt schon damit, dass ein Onlineshop durch einen Angriff gegebenenfalls nicht mehr errreichbar oder voll funktional ist. Auch kann es sein, dass der Shop wegen forensischer Untersuchungen abgeschaltet werden muss. Doch das ist noch nicht alles: Durch Zugriff auf die Interna können Angreifer:innen beispielsweise Bestellungen, Preise oder den Zahlungsstatus manipulieren. Das verursacht Verzögerungen im Betriebsablauf durch Dateninkonsistenzen und notwendig werdende Kontroll- oder Korrekturarbeiten.
Im Ergebnis kann dies zu Lieferschwierigkeiten bei "echten Kund:innen" führen – und damit zu Unzufriedenheit, Vertrauensverlust bei Kund:innen und weiteren Umsatzeinbußen.
Vielleicht noch bedeutsamer als direkt messbare Umsatzverluste ist die langfristige Schädigung der Kundenbeziehung. Selbst wenn der Angriff keine direkten finanziellen oder persönlichen Auswirkungen auf die Kund:innen hatte, erschüttert er das Vertrauen in die Betreiber:innen – und beeinflusst somit die Kundenbindung.
Besonders gravierend ist dies, wenn sensible Daten gestohlen wurden – seien sie persönlicher Natur oder auch Kreditkartendaten. Die Negativfolgen sind umso größer, wenn die Kund:innen den Bedarf unproblematisch auch bei einem alternativen Anbieter:innen decken können.
Verstoßen Betreiber:innen mit ihrer Webpräsenz gegen rechtliche Bestimmungen oder verletzen Schutzrechte Dritter, haben Betroffene das Recht, sie darauf aufmerksam zu machen und Unterlassung zu fordern – allgemein als Abmahnung bekannt.
Das "Gesetz gegen den unlauteren Wettbewerb" definiert Verstöße gegen Rechtsvorschriften als unlauter, was Marktteilnehmer:innen regelmäßig das Recht zur Abmahnung einräumt. Ein Unterlassungsanspruch dürfte sich also unter der gleichen Argumentation ergeben wie zuvor bei Schadenersatz.
Wenn Cyberkriminelle die Inhalte einer Website bewusst verändert haben, kommen u. U. Verstöße gegen UWG, Telemediengesetz (TMG), Datenschutzgrundverordnung (DSGVO), Preisangabenverordnung (PAngV), Urheberrechtsgesetz (UrhG) und weitere infrage.
Bußgelder bei Verstoß gegen DSGVO oder TMG
Darüber hinaus können in diesem Zusammenhang auch Buß- und Ordnungsgelder verhängt werden. Die beiden wohl bekanntesten Gesetze bzw. Verordnungen im Webbereich sind die DSGVO und das TMG.
Während die DSGVO bis zu 4 % des Jahresumsatzes als Bußgeld ermöglicht, sind Ordnungsgelder bei Verstößen gegen das TMG auf 50.000 Euro beschränkt.
Lieferanten, Versand- und IT-Dienstleister, Markeninhaber oder Zahlungsdienstanbieter – alle diese Partner und Dienstleister sind essenziell für das Geschäftsmodell hinter einer Onlineplattform. Sind diese durch einen Angriff auf ein Portal beeinflusst worden, kann es neben den Schadenersatzansprüchen auch zu Vertragsstrafen kommen – oder im "Worst case" gar zur Auflösung der Zusammenarbeit. Letzteres kann ein ganzes Geschäftsmodell zunichtemachen.
In vielen Fällen ist das Webportal nicht das primäre Ziel des Angriffs und nur die erste Stufe eines mehrphasigen Plans. Mit den gewonnenen Daten, internen Dokumenten, Anbindungen an interne Systeme (ERP, Warenwirtschaft o. Ä.) werden Attacken auf weitere Bereiche interner Netzwerke überhaupt erst ermöglicht und bieten die Grundlage für Spear-Phishing-Attacken mittels Social Engineering.
Während die Anbieter:innen mit dem Offensichtlichen beschäftigt ist, können Angreifer:innen im Hintergrund bereits dabei sein, Firmengeheimnisse, Geschäftsgrundlagen, Alleinstellungsmerkmale und Ähnliches zu stehlen, zu veröffentlichen oder zu zerstören.
Unabhängig davon, ob der technische Betrieb in der eigenen IT-Abteilung oder bei einem externen Dienstleister aufgehängt ist, herrscht häufig die Meinung vor, dass die Sicherheit des Webangebots in der Verantwortung der Technik liegt. Dabei ist Cybersecurity zu großen Teilen ein wirtschaftliches und nicht nur ein technisches Thema. Die technischen Risiken sind sogar häufig einfacherer greifbar, quanitifizierbar und mitigierbar.
Statt die Augen vor den Gefahren zu verschließen und zu hoffen, dass schon alles gutgehehen wird, sollten auch kleinere Onlinehändler Verantwortung übernehmen und ihre Risiken realistisch bewerten. Dabei können Dienstleister, die auf Technologie- und Digitalisierungsberatungen spezialisiert sind, helfen eine gründliche Risikobewertung vorzunehmen und zielgerichtet technische und organisatorische Gegenmaßnahmen zu installieren. Am besten, bevor ein Schaden eingetreten ist.
Dieser Artikel erschien zuerst auf "etailment". Wir freuen uns über Ihr Feedback und das Teilen des Artikels.
