Die Medien berichten laufend über spektakuläre Datenverluste. Der Ex-Präsident der Nationalbank Philipp Hildebrand wurde aufgrund gestohlener Kontodaten zu Fall gebracht. Auch im Steuerkrieg zwischen der Schweiz und Deutschland spielen entwendete Kontodaten eine tragende Rolle. Global Payments, ein amerikanischer Dienstleister im Zahlungsverkehr, hat unlängst den kriminellen Zugriff auf eine Grosszahl der gespeicherten Kreditkartendaten zugeben müssen. Sony hat mit der Information über den Diebstahl der Daten von mehr als hundert Millionen Kunden und Tausenden von Musikdateien Aufsehen erregt. Der Bankgigant Citicorp musste den Raub von 360 000 Kundendatensätzen eingestehen. Der Internet-Champion Google sah seinen von Millionen von Menschen genutzten E-Mail-Dienst Gmail wiederholt erfolgreich von Hackern geknackt.
Spitze des Eisbergs
Und ganz spektakulär zeigt der Fall des amerikanischen Security Think Tanks Stratfor, wie global die Folgen eines Cyberangriffs sein können: Hacker sind in die Stratfor-Systeme eingedrungen und haben Millionen von Datensätzen, Mails und unverschlüsselten Kreditkarteninformationen gestohlen. Diese wurden zur Auswertung an die Enthüllungsplattform Wikileaks weitergeleitet. Betroffen sind auch etliche renommierte Schweizer Unternehmen und Regierungsbeamte, die zum Stratfor-Kundenkreis gehören.
Diese von den Medien verbreiteten Vorkommnisse sind nur die Spitze des Eisbergs einer gewaltigen neuen Gefahr für alle kleinen und grossen Unternehmen. In der Wirtschaft werden laufend geschützte Daten über Personen, Unternehmen, Betriebs- und Geschäftsgeheimnisse, wertvolle Fertigungstechnologien sowie über Schutzrechte wie Patente und Lizenzen gesammelt, übermittelt, verarbeitet und gespeichert. Der Schutz dieser Daten kann im modernen, von Elektronik durchsetzten Leben durch jeden Mitarbeitenden, Kunden, aussenstehenden Dritten, Hacker oder schlicht durch Fehler in den Systemen verletzt werden. Dank des Internets können die sensiblen Daten vom andern Ende der Welt gestohlen, verändert, beschädigt, zerstört oder ausgespäht werden.
Viele Unternehmensverantwortliche glauben, die Gefahr eines Angriffs auf das IT-System und eines Datendiebstahls komme überwiegend aus der grossen weiten Welt. Gefürchtet werden Viren und Malware sowie Angriffe von global tätigen Cyberkriminellen, von korrupten Mitbewerbern oder von beauftragten Wirtschaftsspionen. Unterschätzt wird der potenzielle Täter von innen. Das sind oft «einsame Wölfe», die aufgrund ihrer Funktion leicht Zugriff zu sensiblen Daten haben. Sie verfolgen finanzielle Ziele, wollen dem Unternehmen aus irgendwelchen Gründen bewusst schaden oder werden von aussen motiviert.
Ob von aussen oder von innen verursacht, die Störung des IT-Systems und Datenverluste haben für jedes Unternehmen ein enormes Schadenpotenzial: Unterbruch von Betriebsabläufen und verunmöglichte Leistungen an Kunden, daraus entstehende Reputationsschäden, Haftpflichtansprüche von Dritten, Strafgebühren, finanzielle Verluste, Verlust von intellektuellem Eigentum, Senkung des Unternehmenswerts an der Börse oder auf dem privaten Unternehmensmarkt. Dazu kommt: Die betroffenen Kunden müssen informiert werden. In den USA und in der Europäischen Union besteht dafür eine rechtliche Verpflichtung. In der Schweiz empfiehlt sich dieses Vorgehen, damit der Reputationsverlust begrenzt wird. Namentlich in der Finanzindustrie wachen die Aufsichtsbehörden über die Umsetzung von Sicherheitsstandards. Sie machen Auflagen zur Sicherheitsorganisation und überwachen diese. Bei Zuwiderhandlungen verhängen sie saftige Bussen.