G 2.106 Störung der Geschäftsabläufe aufgrund von IT-Sicherheitsvorfällen
Sicherheitsvorfälle können durch ein singuläres Ereignis oder eine Verkettung unglücklicher Umstände ausgelöst werden und dazu führen, dass Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen und IT-Systemen beeinträchtigt werden. Dies wirkt sich dann schnell negativ auf wesentliche Fachaufgaben und Geschäftsprozesse aus. Auch wenn längst nicht alle Sicherheitsvorfälle anschließend in der Öffentlichkeit bekannt werden, können sie trotzdem zu negativen Auswirkungen in den Beziehungen zu Geschäftspartnern und Kunden führen. Dabei ist es nicht einmal so, dass die beträchtlichsten und weitreichendsten Sicherheitsvorfälle durch die größten Sicherheitsschwachstellen ausgelöst wurden. In vielen Fällen haben kleine Ursachen zu riesigen Schäden geführt, weil verschiedene Faktoren ungeahnte Verkettungen nach sich gezogen haben.
Beispiele:
- Ein Computerproblem führte dazu, dass an allen US-amerikanischen Flughäfen für mehr als zwei Stunden von zwei Fluglinien keine Maschinen starten konnten. Als Ursache wurde eine Fehlfunktion in einer Datenbank genannt, die laufende Informationen über die anstehenden Flüge bereitstellt. Als Folge konnten hunderte Flüge nicht starten, auch im Anschluss gab es massive Verspätungen, mehrere Tausend Passagiere saßen fest.
- Fehlende Plausibilitätskontrollen führen immer wieder dazu, dass kleine Fehler in Benutzereingaben erhebliche Auswirkungen nach sich ziehen. So brach an der Londoner Börse der FTSE-Index um 200 Punkte ein, nachdem ein Broker versehentlich eine Null zuviel an eine Order gehängt hatte.
- Bei einer Hotelkette wurde statt dessen eine Null bei der Eingabe in die Angebotsdatenbank vergessen, was dazu führte, dass Luxusappartements im Südpazifik für ein Zehntel des eigentlichen Preises angeboten wurden.
- Nach einem schiefgelaufenen Software-Update war bei einem großen Unternehmen über 16 Stunden das Netz nicht mehr verfügbar. Dadurch konnten 5000 Mitarbeiter nicht ihren normalen Tätigkeiten nachgehen und 1700 Kundenanfragen nicht bearbeitet werden. Wichtige Termine konnten dadurch nicht eingehalten werden. Neben der ohnehin hohen Belastung für die Administration fielen zusätzlich 6000 Anfragen an den Benutzersupport an.