Schäden in Millionenhöhe: Wenn Hacker-Attacken den Softwareentwickler nicht nur den guten Ruf kosten

77 Millionen betroffene Kunden in 59 Ländern – davon rund 32 Millionen allein in Europa: Der Hackerangriff auf das Playstation Network des Technikriesen Sony in der vergangenen Woche ist wohl einer der schwersten Datendiebstähle in der jungen Geschichte des Web 2.0. Am Dienstag dann die nächste Hiobsbotschaft: Auch die Tochter Sony Online Entertainment wurde Opfer von Cyber-Kriminellen. Dabei wurden vermutlich 25 Millionen Daten geraubt – darunter auch Kreditkarten-Informationen von deutschen Kunden.

Der Vorfall hat die Datenschützer auf den Plan gerufen und die Diskussion über IT-Security neu angeheizt. Zudem stellt sich natürlich die Frage, wer für die entstandenen Schäden haftet.

Dieses Szenario will ich weiterdenken, denn was im Großen passiert, kann auch im Kleinen immense Schäden anrichten: Viele freiberufliche Softwareentwickler und kleine Softwareschmieden sind als Dienstleister für die IT-Security von Online-Portalen, Spieleplattformen und Webshops verantwortlich. Doch was passiert, wenn diese Systeme geknackt und Kundendaten missbraucht werden? Wer übernimmt die Verantwortung: der Auftraggeber (und damit der Inhaber dieser Seiten) und/ oder der Softwareentwickler? Und wer haftet im Fall der Fälle?

Hundertprozentige Sicherheit gibt es nicht: Systeme können geknackt werden

Egal, ob es um ein ersteigertes paar neue Schuhe oder das Abonnement eines Multiplayer-Online-Spiels geht: In Zeiten von Web 2.0 gehören E Commerce und Online- Zahlungsverkehr zum Business. Die sensiblen Daten der Kunden dabei zu schützen, ist oberstes Gebot.

Doch Fakt ist: Mit entsprechendem Aufwand kann jedes System geknackt werden. Das belegen auch Statistiken der IT-Sicherheitsfirmen, wonach 70% aller Web 2.0-Applikationen angreifbar sein sollen.

Der Schaden von Hacker-Attacken ist immens – und kann in Millionenhöhe gehen

Für den Betreiber des Service-Onlineportals kann das teure Folgen haben. So auch im Fall Sony: Experten haben berechnet, dass der PSN-Hack Kosten in Höhe von 24 Milliarden US-Dollar verursachen könnte.

Doch egal ob es sich dabei um einen Technikriesen oder den Inhaber eines kleinen Webshops handelt: Der Schaden von Hacker-Attacken kostet mehr als nur den guten Ruf.

• Umsatz- und Gewinnausfall: Wegen der gravierenden Lücken in der IT-Security kann es notwendig werden die Systeme abzuschalten. Je nach Größe des Webshops oder der Online-Plattform kann sich jeder leicht vorstellen, dass dabei beträchtliche Summen durch Umsatz- und Gewinnausfall zusammenkommen können. Übrigens: Auch Sony hat PSN nach dem Hacker-Angriff abgeschaltet – und wird seine Kunden für jeden Tag Ausfall entschädigen.
• Datenmissbrauch: Wenn die Cyber-Kriminellen die geklauten Daten für eigene Zwecke verwenden – z. B. für Kreditkartenmissbrauch – dann können die geschädigten Kunden den Shopbetreiber oder die Online-Plattform dafür haftbar machen.
  Im Fall von Sony lassen viele Kunden ihre Karte nach der Panne vorsichtshalber sperren – was bei den Banken mit rund 20 Euro zu Buche schlägt. Ein Betrag, den Sony vermutlich voll erstatten muss.
• Vermögensschaden durch Imageverlust: Wer den Schaden hat, braucht für den Spott nicht zu sorgen. Von Kriminellen gehackte Daten privater Kunden – das bedeutet für Webshops immer auch einen gravierenden Imageschaden. Dazu kommt, dass sich der verantwortliche Seitenbetreiber eventuell auch wegen Datenschutzverstößen rechtfertigen muss.
• Eigenschaden durch Recherche und Informationspflichten: Nach dem Bundesdatenschutzgesetz BDSG müssen Betreiber einer gehackten Seite ihre Kunden darüber informieren, dass Dritte wiederrechtlich ihre Daten erlangt haben und gegebenenfalls damit Missbrauch betrieben werden kann. Zudem müssen sie recherchieren, welche der Kundendaten betroffen sind. Hierfür gibt es mittlerweile spezielle Forensic Services bzw. Dienstleister.
  In anderen Ländern müssen Unternehmen nach einer Attacke durch Hacker sogenannte Watchlists (deutsch „Beobachtungslisten“) führen. In diesen Listen werden die persönlichen Daten der Kunden über einen gewissen Zeitraum überwacht, um zu prüfen ob z.B. mit einer Sozialversicherungsnummer missbräuchlich eine Kreditkarte beantragt wird. Für derartige Fällte gibt es zum Beispiel gibt es in den USA so genannte „Credit Monitoring Services“.

Am Ende haftet der freiberufliche Softwareentwickler oder die kleine Softwareschmiede

Natürlich will der Shopbetreiber nicht allein auf diesen immensen Schäden sitzenbleiben, vor allem wenn der Shop, das E-Commerce-Modul oder die Betreuung in Sachen IT-Security durch einen externen IT-Experten oder Softwareentwickler bzw. Softwareanbieter erbracht wurde.

Aus Kundensicht ist es ja ganz offensichtlich, dass der Softwareentwickler bei der Programmierung oder Wartung gepatzt hat. Die Folge: Der Auftraggeber nimmt seinen Dienstleister in Regress. Das zieht Schadensummen nach sich, die existenzbedrohend sein können.

Zeitgemäße IT-Haftpflichtversicherung bietet Rundum-Schutz

Deshalb braucht der freiberufliche Softwareentwickler eine bedarfsgerechte IT-Haftpflichtversicherung. Denn sie stellt nicht nur das Kapital für Schadenersatzforderungen zur Verfügung, sondern unterstützt ihn auch bei der Klärung seiner persönlichen Haftungssituation sowie der Höhe der berechtigten Ansprüche.

Zudem trägt der Versicherer die Kosten für Anwälte, Gutachter, Zeugen und Gerichte. Das ist der sogenannte Passive Rechtsschutz der IT -Haftpflichtversicherung.

Wer eine IT-Haftpflichtversicherung abschließt, sollte darauf achten:

• dass Hacker-Schäden mitversichert sind – und der Versicherer auf die sogenannte „Stand der Technik“ Klausel verzichtet: Sie macht den Versicherungsschutz vom Stand der Technik und Methodik abhängig. Damit bietet diese Klausel gerade im Bereich der IT-Security zahlreiche Rückzugsmöglichkeiten des Versicherers.
• dass die Deckungssumme / Versicherungssumme für Vermögensschäden (z.B. durch die Regressforderungen eines Shopbetreibers) ausreichend hoch bemessen ist. Für Softwareentwickler und kleinere Dienstleister sind Summen zwischen 500.000 und 1 Million Euro marktüblich.
• dass die IT-Haftpflichtversicherung dem Softwareentwickler einen weltweiten Versicherungsschutz (insbesondere für USA) bietet – vor allem, wenn die Software im Ausland eingesetzt wird.

Weiterführender Link:

• Datenpannen kosten deutsche Firmen Millionen
• 4. Hiscox Haftpflichttag – Datarisks: Wenn Daten in die falschen Hände gelangen