Bundesamt für Sicherheit in der Informationstechnik

G 3.107 Rufschädigung

Durch Sicherheitsvorfälle kann es zu einer Rufschädigung der gesamten Institution kommen.

Die verschiedenen Arten von Sicherheitsvorfällen können unterschiedliche direkte Auswirkungen haben, z. B. können dabei sowohl vertrauliche Daten offengelegt als auch finanzrelevante Daten manipuliert werden oder sogar Geschäftsprozesse längere Zeit ausfallen. Wenn Sicherheitsvorfälle publik werden, kann das dazu führen, dass der Ruf der betroffenen Institution geschädigt wird. Je nach Art und Auswirkung eines Sicherheitsvorfalls kann dadurch das Vertrauen der Öffentlichkeit, der Partner, der Kunden, aber auch der Mitarbeiter in die betroffene Institution untergraben werden.

Zu einer Rufschädigung kann es nicht nur durch Sicherheitsvorfälle kommen, die durch höhere Gewalt oder durch Angriffe von Externen verursacht werden, sondern auch durch Fehlverhalten von Mitarbeitern ausgelöst werden, z. B. durch unseriöse Aktivitäten im Internet, Versand von Kettenmails, Sicherheitsvorfälle, die dadurch entstehen, dass Sicherheitsregeln missachtet oder falsch angewandt werden (Laptop mit Kundendaten wird gestohlen, inklusive Kreditkartendaten und Überblick über Bestellungen der letzten Jahre).

Beispiele:

  • Ein Mitarbeiter einer großen Firma hielt sich bei der Nutzung von Internet-Diensten nicht an die von der Institution aufgestellten Richtlinien, sondern fiel in Diskussionsgruppen immer wieder durch einen unangemessenen Tonfall unangenehm auf. Dies löste nicht nur Aversionen gegenüber dieser Person, sondern gegenüber der gesamten Institution aus, da der Mitarbeiter durch seine elektronischen Visitenkarten als Vertreter seiner Firma wahrgenommen wurde. Dies verschaffte der Firma den Ruf, überheblich zu sein und auch fachlich nicht fundiert zu agieren. Es war eine spezielle Marketingkampagne notwendig, um diesen Ruf wieder zu sanieren.
  • Ein Außendienstmitarbeiter verlor bei einer Zugfahrt von ihm unbemerkt einen USB -Stick. Auf diesem Stick befand sich der Überblick über seine Auftragseingänge des letzten Jahres, inklusive Kundenanschriften, Kontodaten und E-Mail-Adressen. Die Daten waren nicht verschlüsselt. Der Finder verkaufte die Daten im Internet. Dies führte bei einigen Kunden zu betrügerischen Abbuchungen. Bei den anschließenden polizeilichen Ermittlungen konnten diese auf den USB-Stick-Verlust zurückgeführt werden, was zu negativen Pressemeldungen und großen Vertrauensverlusten bei Partnern und Kunden führte.
  • Mitte Dezember 2008 erhielt der Chefredakteur einer großen deutschen Zeitung anonym ein Paket, das vertrauliche Daten von 130.000 Kunden einer Bank enthielt. Dazu gehörten Buchungsübersichten von Kreditkartenkunden, Geheimnummern für Bank- und Kreditkarten, Listen von Zahlungsströmen, Auslandsabbuchungen und Rücküberweisungen. Im Paket fand sich außerdem eine Rechnung einer Finanzdienstleistungsfirma an die Bank. Die Zeitung vermutete, dass ein Insider auf Datenschutzprobleme aufmerksam machen wollte und veröffentlichte entsprechende Berichte. Der Vorfall wurde als Datenskandal von anderen Medien aufgegriffen und die betroffene Bank sowie die Finanzdienstleistungsfirma an den Pranger gestellt.
    Nach einer Woche stellte sich heraus, dass der Vorfall auf den Heißhunger zweier Kurierfahrer zurückging. In deren Lieferwagen befand sich neben vielen anderen Paketen eines mit einem Weihnachtsstollen, der als Geschenk für den Chefredakteur gedacht war. Die Kurierfahrer vernaschten den Stollen und versuchten anschließend, dies zu vertuschen, indem sie den zugehörigen Adressaufkleber auf ein anderes Päckchen klebten. Dies war zufällig das Paket mit den Bankkundendaten. Die Kuriere erhielten eine geringe Strafe, der Imageschaden für die Bank war enorm.

Stand: 12. EL Stand 2011