Die Kosten von Betriebsunterbrechungen – Maersk
Im Jahr 2017 wurde das internationale Schifffahrts- und Logistikunternehmen Maersk Opfer der Ransomware NotPetya. Dadurch wurden IT-Systeme an mehreren Standorten und in mehreren Geschäftsbereichen lahmgelegt. Der zerstörerische „Wiper“-Virus NotPetya zerstörte fast 50.000 Server und PCs, was zu einer Lähmung der Schifffahrts-, Container- und Logistikaktivitäten von Maersk führte.
„Die Kranführer konnten die Waren ihrer Kunden nicht mehr be- oder entladen. Angesichts der riesigen Schiffe mit über 15.000 Containern in den Häfen gab es keine einfache Lösung, um die nächsten Schritte für den Transport der Container entlang ihrer Routen zu koordinieren. Kühlcontainer, die normalerweise schnell von einem Fahrzeug zum anderen umgeladen werden müssen, mussten vorübergehend mit Strom versorgt werden, um Verderb zu vermeiden, während sich die Häfen bald mit Lkw-Fahrern füllten, deren Geduld angesichts der stundenlangen Ungewissheit verständlicherweise langsam schwankte.
Fallstudie der Columbia University zu NotPetya
Die Wiederherstellung der Geräte dauerte 10 Tage, und die vollständige Wiederherstellung nahm fast zwei Monate in Anspruch. Während dieser Zeit war Maersk gezwungen, auf manuelle Prozesse zurückzugreifen, um den Containertransport aufrechtzuerhalten.
Im Abschnitt „Risikomanagement“ des Jahresberichts 2017 von Maersk wurde festgestellt, dass die Wiederherstellung zwar schnell erfolgte, „A.P. Moller-Maersk jedoch innerhalb kurzer Zeit Verluste in Höhe von 250 bis 300 Millionen US-Dollar erlitt, darunter unter anderem Einnahmeausfälle, Kosten für die Wiederherstellung der IT-Systeme und außerordentliche Kosten im Zusammenhang mit dem Betrieb“.
Die Kosten einer Datenpanne – Change Healthcare
Change Healthcare bietet Abrechnungs- und Versicherungsdienstleistungen für Gesundheitsdienstleister wie Krankenhäuser, Apotheken und andere medizinische Einrichtungen im gesamten US-Gesundheitssektor an. Im Februar 2024 wurde Change Healthcare Opfer einer Ransomware-Attacke, die sowohl zu Ausfällen der Change Healthcare-Dienste führte als auch die privaten medizinischen Daten von rund 190 Millionen Amerikanern stahl.
Der Ausfall führte dazu, dass die Abrechnungssysteme in Arztpraxen und Gesundheitseinrichtungen nicht mehr funktionierten und Versicherungsansprüche nicht mehr bearbeitet werden konnten. Es dauerte fast zwei Monate, bis alle relevanten Systeme wiederhergestellt waren. Personen, deren Daten gestohlen wurden, wurden per Brief benachrichtigt und erhielten das Angebot, zwei Jahre lang eine Kreditüberwachung und Unterstützung beim Schutz vor Identitätsdiebstahl in Anspruch zu nehmen. Gegen Change Healthcare wurden außerdem Klagen wegen Sicherheitsmängeln eingereicht.
In ihrem Jahresbericht für 2024 werden die direkten Kosten für den Cyberangriff mit 2,2 Milliarden US-Dollar angegeben, wobei die Gesamtkosten des Cyberangriffs auf über 3 Milliarden US-Dollar geschätzt werden. Spätere Aktualisierungen berichten von weiteren Kosten.
Im Gespräch mit dem US-Ausschuss für Energie und Handel bestätigte Sir Andrew Witty, CEO von United Health, dass das Unternehmen das Lösegeld in Höhe von 22 Millionen US-Dollar gezahlt habe, was die Kriminellen jedoch nicht daran hinderte, einen Teil der gestohlenen Daten zu veröffentlichen. Es ist anzumerken, dass Lösegeldforderungen und -zahlungen in den letzten Jahren generell weiter zugenommen haben. Die größte einzelne Lösegeldzahlung, die jemals geleistet wurde, belief sich laut Berichten aus dem Jahr 2024 auf 75 Millionen US-Dollar, die von einem nicht genannten Fortune-50-Unternehmen an die Ransomware-Gruppe Dark Angels gezahlt wurden.
Die Kosten von CEO-Betrug – FACC
Der letzte Fall betrifft Social Engineering und Betrug. Cyberkriminelle stahlen rund 42 Millionen Euro (47 Millionen US-Dollar) von der Fischer Advanced Composite Components AG (FACC), einem österreichischen Luftfahrtunternehmen, zu dessen Kunden Airbus, Boeing und Rolls-Royce zählen.
Das Unternehmen wurde Opfer eines „CEO-Betrugs”. Ein Mitarbeiter wurde von Betrügern getäuscht und überwies das Geld, nachdem er per E-Mail Anweisungen von jemandem erhalten hatte, der sich als der Geschäftsführer Walter Stephan ausgab. Nachdem das Unternehmen den Fehler bemerkt hatte, unternahm es Schritte, um die Überweisung zu blockieren, konnte jedoch nur 10,9 Millionen Euro stoppen.
Der CEO wurde nach dem Vorfall im Jahr 2016 entlassen, nachdem der Aufsichtsrat zu dem Schluss gekommen war, dass er „seine Pflichten schwer verletzt“ habe. Der Finanzchef wurde später ebenfalls entlassen, obwohl es keine Hinweise darauf gibt, dass einer der beiden Führungskräfte an dem Betrug beteiligt war.
Fazit: Die tatsächlichen Kosten von Cyberangriffen sind oft höher als angegeben.
Die Fälle Maersk, Change Healthcare und FACC zeigen, dass die finanziellen Kosten eines Cyberangriffs in einem Großschadensszenario die angegebenen durchschnittlichen Kosten um das 100-Fache übersteigen und schnell Hunderte Millionen, wenn nicht sogar Milliarden Dollar erreichen können.
Auch wenn es sich hierbei sicherlich um Extremfälle handelt, ist es für Fachleute im Bereich Cyber-Risikomanagement von entscheidender Bedeutung, sowohl die hohen Kosten von Verlusten, die (hoffentlich!) nur selten auftreten, als auch die durchschnittlichen Kosten, die häufiger anfallen können, zu verstehen. Die Quantifizierung von Cyber-Risiken bietet einen Ansatz, um beide Kennzahlen zusammen mit den damit verbundenen Wahrscheinlichkeiten zu quantifizieren.
Unabhängig davon, ob es sich um Betriebsunterbrechungen, Datenschutzverletzungen oder Finanzdiebstahl/-betrug handelt, ist es wichtig, Szenarien für schwerwiegende Vorfälle realistisch zu modellieren, damit Sie nicht nur die potenziellen Kosten verstehen, sondern auch wissen, was passieren könnte und wie Sie damit umgehen müssen.
