Imageschaden durch Hacker-Angriffe: Wenn Website-Hacks den Ruf von Unternehmen ramponieren

Hacker-Angriffe sind zur alltäglichen Last im Unternehmensalltag geworden. Wie ernst die Lage heute tatsächlich ist, zeigt der Deloitte Cyber Security Report 2018: Unter den befragten Unternehmen sahen sich 93 % schon einmal einer Cyber-Attacke ausgesetzt, 46 % verzeichneten im letzten Jahr sogar täglich oder zumindest mehrmals pro Woche einen Angriff. Neben der größten Angst, den Kosten für die Schadensbehebung (43 %), fürchten sich auch immer mehr Unternehmen vor den Auswirkungen eines Cyber-Angriffs auf ihr Image (25 %). Den Ergebnissen einer GBB-Blitzumfrage zufolge, wird die Gefahr, einen Imageschaden durch einen Hacker-Angriff zu erleiden, im Banken- und Finanzdienstleistungsbereich mit 25 % sogar als größtes Risiko eingeschätzt – noch vor Datenverlusten (23,8 %) und Daten-Leaks (16,3 %).

Finanzielle Schäden können schnell das Aus bedeuten, gerade wenn es kleine und mittlere Unternehmen betrifft. Aber auch Imageeinbußen können schwerwiegende Folgen haben. Denn wie heißt es so oft: ohne Kunden, kein Umsatz.

Beispiel Facebook: Auf den Hacker-Angriff folgt der Imageschaden und der Nutzerrückgang

Jeder kennt es, doch nicht jeder liebt es: Facebook. Als das soziale Netzwerk im September 2018 bekannt gab, Opfer eines Hacker-Angriffs geworden zu sein, hat sich dieser Umstand nicht gerade verbessert, denn die Empörung war – berechtigterweise – groß. Immerhin hatten sich die Hacker Zugang zu 30 Millionen Nutzerkonten verschafft (anfangs war sogar von 50 Millionen Accounts die Rede). Die betroffenen Nutzer mussten befürchten, dass sensible Daten, wie ihr Benutzername, ihr Beziehungsstatus oder Details zu ihrer Arbeit, gestohlen wurden.

Eine Studie von Hubspot, die bereits wenige Tage nach Bekanntwerden des Vorfalls durchgeführt wurde, hat ergeben, dass die Mehrheit der 754 befragten Internetnutzer (60 %) Facebook erst einmal treu bleibt, dennoch hatte der Imageschaden Konsequenzen: Zwischen 10 und 20 % der Studienteilnehmer haben in Folge des Hacker-Angriffs ihren Facebook-Account gelöscht oder nutzen das soziale Netzwerk zumindest nicht mehr.

Der Fall Yahoo: Vertuschen für einen geringen Imageschaden?

Einen Hacker-Angriff und seine Folgen einfach unter den Teppich kehren? Keine gute Idee. Was passiert, wenn man Probleme verheimlicht, durfte unter anderem schon der einst erfolgreiche Internetkonzern Yahoo am eigenen Leib erleben.

Bereits im Dezember 2014 hatte Yahoo entdeckt, dass sich Hacker Zugang zu Benutzernamen, Passwörtern, E-Mail-Adressen, Telefonnummern, Geburtsdaten und Sicherheitsfragen von – halten Sie sich fest – mindestens 500 Millionen Accounts erlangt hatten. Aber es kommt noch schlimmer: Obwohl das Unternehmen über den Vorfall Bescheid wusste, informierte es die Nutzer nicht. Und auch, dass die gleiche Hacker-Gruppierung noch bis Anfang 2016 Daten abgegriffen hat, verschwieg Yahoo lange Zeit.

Im Sommer 2016 wurde dann bekannt, dass das Unternehmen mit Verizon in Übernahmeverhandlungen steht – und der nächste Fauxpas folgte. Denn Yahoo unterrichtete Verizon zwar über Datenlecks, tat diese aber eher als geringfügig ab. Erschwerend hinzu kam, dass Yahoo es verpasste, dem Kaufinteressenten mitzuteilen, dass wohl sogar die gesamte Datenbank in die Hände von Hackern geraten sein könnte. Erst im September 2016 entschloss sich das Unternehmen dann dazu, den Vorfall gegenüber Verizon und der restlichen Öffentlichkeit publik zu machen.

Schon am nächsten Tag waren die Auswirkungen für Yahoo spürbar: Der Aktienkurs des Unternehmens fiel um 3 %, der Börsenwert fuhr sogar 1,3 Milliarden US-Dollar Verluste ein und die Nutzer fühlten sich hintergangen. Darüber hinaus zeigte sich natürlich auch Verizon nicht sonderlich erfreut über Yahoo’s Handeln. Es kam zwar später noch zur geplanten Übernahme, Yahoo musste dafür aber den Kaufpreis um satte 350 Millionen US-Dollar vermindern.

2017 wurde der Vorfall sogar nachträglich zum größten Datenleck der Geschichte. Nach erneuten Untersuchungen hatte man festgestellt, dass alle drei Millionen Yahoo-Nutzerkonten gestohlen wurden. Dieses Mal wurden die Nutzer aber wenigstens sofort darüber informiert.

Unternehmen schweigen lieber, um einen Imageschaden zu vermeiden

Unternehmen, die mit einem Hack zu kämpfen haben, sollten dies immer melden. In Deutschland haben Betriebe zum Beispiel die Möglichkeit, sich an die Meldestelle für Cyber-Sicherheit des Bundesamt für Sicherheit in der Informationstechnik zu wenden und so zu einem verlässlichen Lagebild beitragen.Wie aber eine gemeinsame Studie der Bitkom und dem deutschen Bundesverfassungsschutz zum Thema “Spionage, Sabotage und Datendiebstahl” bereits 2017 in Erfahrung bringen konnte, sucht nicht einmal ein Drittel der deutschen Unternehmen den Kontakt zu Behörden nach einer Attacke. Als Grund hierfür nannten 41 % die Angst vor einem Imageschaden. Dabei zeigt das Beispiel Yahoo doch: Ein Stillschweigen zahlt sich nicht aus, kann unter Umständen sogar zu noch schlimmeren Konsequenzen führen.Dieses Kommunikationsproblem deutscher Unternehmen will das Innenministerium mit dem IT-Sicherheitsgesetz 2.0 in Zukunft angehen. Die bisherige Gesetzgebung verpflichtet bislang nur Betreiber kritischer Infrastrukturen, etwa Telekommunikationsanbieter oder Energieversorger, dazu, die Behörden über Cyber-Vorfälle in Kenntnis zu setzen. Mit der aktualisierten Version des Gesetzes soll diese Meldepflicht nun auch bald für Unternehmen aus anderen Bereichen gelten. Wann das IT-Sicherheitsgesetz 2.0 kommt und wer genau davon betroffen sein wird, ist allerdings noch nicht bekannt.

Wie Sie sich und Ihren Online-Auftritt vor Hackern schützen können, lesen Sie hier:

So können Sie sich schützen