„Warum ausgerechnet ich?“ Du sitzt mit offenem Mund vor dem Rechner, Dir wird heiß und kalt: Deine IT-Infrastruktur wurde von Cyber-Kriminellen gehackt. Das Alptraumszenario für jeden Webshop-Betreiber ist Realität geworden. Tausend Dinge gehen Dir jetzt durch den Kopf. Dennoch: Beruhige Dich so schnell wie möglich! Gute Nerven sind jetzt das A und O – und die Liste an Dingen, die Händler nach dem Daten-Super-GAU beachten müssen, ist lang.
Leider muss ich feststellen, dass Online-Händler mittlerweile zum bevorzugten Opferkreis von Cyber-Gangstern gehören. In der Hoffnung, dass sie nie zum Einsatz kommt, möchte ich allen Shop-Betreibern diese ToDo-Liste für den Worst Case an die Hand geben, die ich auf der Seite der „IT-Recht Kanzlei München“ entdeckt habe.
Richtig handeln – vor und nach dem Schaden
Die Zahlen sprechen eine deutliche Sprache: Nach einer Studie der Beratungsgesellschaft PricewaterhouseCoopers (PwC) wurde jedes fünfte Unternehmen in Deutschland schon einmal Opfer eines Hacker-Angriffs. Weil sich nicht jeder „kleine“ Webshop-Betreiber komplexe Sicherheitstechnik leisten kann, um sich vor Datenverlust zu schützen, sind sie für die Täter leichte Beute.
In seinem Fachbeitrag gibt der juristische Mitarbeiter der IT-Recht Kanzlei Sebastian Segmiller Betroffenen Hilfestellung für den Fall, dass das Kind schon in den Brunnen gefallen ist.
Wusstet Ihr, dass jeder „hackergeschädigte“ Webshop-Betreiber nach dem Bundesdatenschutzgesetz eine Informationspflicht bei der zuständigen Behörde hat? Segmillers ToDo-Liste für den Ernstfall liefert unter anderem Hinweise zu Punkten wie Schadenanalyse, Informationspflicht nach dem Bundesdatenschutzgesetz und Konsequenzen bei Verstößen gegen diese Informationspflicht.
Zusätzlich wird auch über Vorsorgemaßnahmen informiert, damit die Eintrittswahrscheinlichkeit eines Angriffs so gering wie möglich gehalten wird. An erster Stelle steht dabei, die Sicherheit des Shops durch Installieren der Updates aktuell zu halten.
Das interessante an der Sache: Der Gesetzgeber will zukünftig alle Betreiber von Internetseiten zur Sicherung ihrer Systeme verpflichten. Ein entsprechender Gesetzesentwurf wurde Mitte August 2014 veröffentlicht.
Sicherheitslücken sind kaum bekannt
Wie man es dreht und wendet – Cyber-Crime ist und bleibt die größte Bedrohung für Online-Händler. Man unterscheidet bei Hacker-Attacken zwei Angriffsarten:
- Beim Denial-of-Service-Angriff (DoS) wird der Webshop durch eine Überforderung (Flooding) des Servers mit Mails lahmgelegt. Die Folge: Kunden können nicht mehr auf den Shop zugreifen und bestellen. Es wird kein Umsatz mehr generiert.
- Vom viel gefährlicheren Datendiebstahl bekommt der Online-Händler häufig nichts mit. Durch das so genannte „Cross Site Scripting“ kann der Täter die Oberfläche des Shops manipulieren. Dem Kunden erscheint dann zum Beispiel ein gefälschtes Login-Feld, worüber dann Benutzernamen und Passwörter ausgespäht werden können (Phishing). Es ist davon auszugehen, dass den wenigsten Shopbetreibern diese Sicherheitslücke bewusst ist.
Dreifachschlag: Wenn was passiert, wird’s richtig teuer
Nicht nur der Kunde muss jetzt zittern. Für ihn ist die Angst, dass sich die Hacker Zugriff auf sein Bankkonto verschaffen, schon groß genug. Auch der Händler hat einen immensen Eigenschaden: Wird der Shop lahmgelegt, erhöht sich sein Verlust mit jeder Bestellung, die nicht eingeht.
Laut der PwC-Studie verzeichnet jeder dritte geschädigte Betrieb Verluste bis zu 100.000 Euro. Webshop-Betreiber leben vom Vertrauen der Kunden in die Sicherheit des Systems. Kommt zum Ausfall des Shops durch ein DoS ein Datenverlust hinzu, sind wir auch gleich beim Imageverlust.
Die Kosten für die Beseitigung und Klärung des Schadens mittels Computer-Forensikern, PR-Beratern und Anwälten kann sich dann schnell zu einem sechsstelligen Betrag zusammen addieren.
» Hier geht’s zum Beitrag der IT-Recht Kanzlei
Weiterführende Informationen
- Lösegeldforderungen in Zeiten des Web 2.0: Entführung von Daten und andere Wege von Datenverlust
- Hacker manipulieren WordPress: Freiberufler soll für illegal veröffentlichte Inhalte zahlen
- Wenn der Hacker zum Hörer greift: Haftungsrisiken im Telekommunikations-Bereich
- Wie sich Freiberufler vor Datenverlust und Datenmissbrauch schützen können. Rechtsexperten im Interview
