IT-Unternehmen wider Willen – Sicherheit ist kein Kinderspiel

foto (c) vtech storiomax

foto (c) vtech

Die Meldung schlug hohe Wellen: Unbekannte Hacker sind in das System des Spielzeugherstellers VTech eingedrungen und haben dabei Passwörter, E-Mail-Adressen und Postanschriften erbeutet. Besonders brisant wird der Fall dadurch, dass den Gaunern auch die Namen und Geburtstage von Kindern in die Hände gefallen sind. Trey Ford, Global Security Strategist bei Rapid7, kommentiert den Vorfall. Für ihn ist der Datendiebstahl wenig überraschend, da viele Unternehmen, die ursprünglich völlig andere Kernkompetenzen und Geschäftsfelder hatten, plötzlich massiv mit dem Thema IT-Sicherheit konfrontiert werden.

»Der IT-Sicherheitsvorfall bei VTech ist ein weiterer Beleg für ein Problem, auf das wir dank dem ›Internet der Dinge‹ in Zukunft noch häufiger stoßen werden: Firmen jeglicher Art, also auch Spielzeughersteller, werden plötzlich zu IT-Anbietern. Jedoch fehlt ihnen eben das Know-how in Sachen Cybersicherheit, über welches die etablierten IT-Anbieter nach jahrelanger Arbeit in diesem Bereich verfügen.

Es ist extrem schwierig, einerseits ein Spielzeughersteller zu sein und zugleich das ausgereifte Sicherheitsprogramm eines etablierten IT-Anbieters zu erfüllen. Hier liegt die Verantwortung nicht nur bei den Unternehmen, die unverhofft in Berührung mit den Herausforderungen der IT-Sicherheit kommen. Ebenso groß ist nun die Verantwortung der etablierten IT-Sicherheitsanbieter, diese Unternehmen mit Rat und Tat zu unterstützen. Unterm Strich profitieren dann allen Beteiligten von einem höheren Niveau an IT-Sicherheit – auch bei Kinderspielzeug.«

»Eine Cyber-Attacke versetzt ein ganzes Unternehmen in den Ausnahmezustand« – Cyber-Experte kommentiert rund 900 000 erbeutete personenbezogene Daten in Deutschland

Erneut findet sich ein Unternehmen wegen eines Cyber-Angriffs in den deutschen Schlagzeilen: Unbekannte Angreifer hatten sich kürzlich Zugang zu den Datenbanken des Spielzeugherstellers VTech verschafft. Allein in Deutschland seien knapp 391.000 Eltern-Konten und rund 509.000 Kinder-Daten betroffen, erklärte das Unternehmen. Die erbeuteten personenbezogenen Daten enthalten nach aktuellen Informationen den Namen, das Geschlecht und das Geburtsdatum der Kinder.

Ole Sieverding, Cyber-Experte beim Spezialversicherer Hiscox erklärt, was auf betroffene Unternehmen zukommt: »Ein Cyber-Vorfall kann schnell ein ganzes Unternehmen in den Ausnahmezustand versetzen: Neben forensischen Dienstleistungen und der Behebung der Sicherheitslücken müssen die Systeme neu aufgerüstet werden. Zudem hat das Unternehmen die Pflicht, alle Kunden über den Vorfall zu informieren. Zu den Kosten für Rechtsbeistand und PR-Maßnahmen, um das Vertrauen der Kunden wiederzugewinnen und den Vorfall zu erklären, muss das Unternehmen in der Regel auch Umsatzeinbrüche in Kauf nehmen. In einem Fall wie bei VTech kann sich die Schadensumme schnell im siebenstelligen Bereich bewegen. Trotz solcher Summen sind die Unternehmen in Sachen Schadenminimierung oft noch grob fahrlässig und kümmern sich zwar um die Abwehr von Angriffen bzw. investieren in die Sicherheit der IT, nicht aber um die Schadenminimierung im Krisenfall bzw. um einen Krisenplan. Dabei ist das Thema einer zweiten Verteidigungslinie in Form einer Cyber-Versicherung und Assistance-Leistungen in Krisenfällen ebenso wichtig, um den Schaden für Unternehmen und Kunden möglichst gering zu halten«.

Dass ein Cyber-Angriff für ein Unternehmen enormen Schaden verursachen kann, hatte Anfang November auch der Fall von TalkTalk gezeigt. Bei dem britischen Internet- und Mobilfunkprovider waren neben personenbezogenen Daten auch Zahlungsdaten der Kunden erbeutet worden. Die Geschäftsführung schätzte den Schaden für das Unternehmen auf 30 bis 35 Millionen britische Pfund, meldete BBC News.