Der Preis eines Datenlecks
Blog geschrieben von
Die Opferrolle zieht nicht mehr
Anfang der 2010er-Jahre, als Cyberangriffe auf kleine und mittelständische Unternehmen erstmals ernsthafte öffentliche Aufmerksamkeit erhielten, kamen Firmen oft mit nichts weiter als einem Imageschaden davon. In vielen Fällen betrachteten Aufsichtsbehörden und Gerichte sie schlicht als Opfer eines Verbrechens. Die Geschichte war einfach: „Hacker haben uns angegriffen, wir haben gelitten – es ist nicht unsere Schuld.“ Und eine Zeit lang funktionierte diese Nummer.
Doch die Zeiten haben sich geändert. Seit Einführung der EU-Datenschutzgrundverordnung (DSGVO) im Jahr 2018 und mit zunehmendem Druck der Aufsichtsbehörden in ganz Europa schützt die Opferkarte niemanden mehr.
Heute machen Behörden und Gerichte unmissverständlich klar: Sie sind verantwortlich für den Schutz personenbezogener Daten. Es spielt keine Rolle, ob Hacker über simples Phishing oder über hochentwickelte Exploits eingedrungen sind. Wenn keine vorbeugenden Sicherheitsmaßnahmen getroffen wurden, werden Sie zur Verantwortung gezogen.
Selbst wenn Sie sich als armes Opfer eines ausgeklügelten Angriffs darstellen – Gerichte interessiert das nicht mehr. Behörden interessiert das nicht mehr.
Digitale Handschellen
Ein einziger Vorfall kann den gesamten Kurs Ihres Unternehmens verändern.
Und glauben Sie uns: Den Behörden ist längst klar, dass Sie ein lohnendes Ziel sind.
Wenn Sie keine proaktiven Maßnahmen ergreifen, enden die Folgen nicht beim Reparieren Ihrer IT-Systeme. Die Aufsichtsbehörden werden Sie nicht nur mit hohen Geldstrafen belegen, sondern Sie möglicherweise auch persönlich für den Schaden Ihrer Kunden haftbar machen.
Warum kleine Unternehmen am härtesten getroffen werden
Großkonzerne können eine Datenpanne in Millionenhöhe abfedern.
Sie verfügen über die Ressourcen, um Juristenteams, PR-Berater und Sicherheitsexperten einzuschalten, die den Schaden begrenzen.
Kleine Unternehmen können das nicht. Für sie potenziert sich der finanzielle Schlag durch Bußgelder, endlose Prüfungen und den plötzlichen Vertrauensverlust ihrer Kunden.
Wir haben es immer wieder gesehen: Unternehmen, die nach nur einem Cyberangriff ihre Türen schließen mussten – einem Angriff, der hätte verhindert oder zumindest abgeschwächt werden können.
Sie ertrinken in Regeln, Bußgeldern und Prüfungen –
außer Sie handeln zuerst
Nach dem ersten Vorfall ist es nicht vorbei.
Hacker werden Sie erneut ins Visier nehmen.
Behörden werden Sie erneut prüfen und bestrafen.
Sich zu erholen, macht Sie nicht sicherer – es macht Sie zu einem noch größeren Ziel. Sobald Ihr Unternehmen eimal kompromittiert wurde, geraten Sie in einen Kreislauf, in dem jede Handlung überwacht, jede Schwachstelle ausgenutzt und jeder Fehler von den Behörden bestraft wird.
Irgendwann überfordern die Compliance-Anforderungen Ihr eigentliches Kerngeschäft, sodass es schlicht nicht mehr praktikabel ist, weiterzuarbeiten.
Routerfisher
Vertraue niemals Cybersecurity von jemandem, dessen Leidenschaft nicht im Kinderzimmer begonnen hat.Gründer · Autor · Security Researcher
