Wer gestohlene Kreditkartendaten kaufen will und die nötigen Empfehlungen krimineller Kreise hat, kann das auf der Webseite rescator.cc tun. Dort bieten Datendiebe die Beute aus Einbrüchen in IT-Systemen großer Firmen an. Millionen von Kundendaten der US-Einzelhandelskette Target werden unter dem Label "Tortuga" (Schildkröte) angeboten, mit Geld-zurück-Garantie, wenn die Karten gesperrt sind.
Der Einbruch bei Target Ende 2013 war der bis dahin größte Cyber-Überfall auf ein US-Unternehmen - und ein Wendepunkt in der Wahrnehmung des Risikos durch Unternehmenschefs in aller Welt. Seither sind der Schutz vor solchen Angriffen und eine mögliche Versicherung heiße Themen. Immerhin wurden 40 Millionen Datensätze von Kreditkarten inklusive Geheimzahlen gestohlen, zusätzlich 70 Millionen Einträge aus der Kundendatei. Der Schaden beläuft sich auf mehrere Hundert Millionen Dollar. Banken, Kunden, Dienstleister verlangen Ersatz. Der Vorgang alarmierte sogar den US-Senat: Der Ausschuss für Handel und Transport ließ einen detaillierten Bericht anfertigen.
Die Hacker kamen über einen Dienstleister. Die Firma Fazio Mechanical Services repariert Kühlgeräte in Target-Märkten. Die Rechnungen musste Fazio elektronisch in ein Abrechnungssystem bei Target einstellen. Über gefälschte E-Mails, die Spionagesoftware installierten, holten sich die Diebe bei Fazio die Passwörter für das Target-Abrechnungssystem. Von dort gelangten sie in den Hauptrechner des Handelskonzerns. Das reichte, um im November 2013 in vielen Hundert Registrierkassen der Supermärkte ein kleines Programm zu installieren, das genau dann Daten speichert, wenn die Karte im Gerät steckt und der Kunde die Geheimzahl eingibt. Vom 27. November bis zum 15. Dezember 2013 zeichnete es die 40 Millionen Datensätze auf.
Eine ganze Reihe von Großeinbrüchen
Gleichzeitig richteten die Diebe auf dem Hauptrechner Schadprogramme ein, die für den Abtransport der Daten nötig waren, sogar mit zwei Updates. Ab dem 2. Dezember schickte diese Software nachts elf Gigabyte an gestohlenen Kundendaten an mehrere Server, von denen mindestens einer in Russland stehen soll. Die Sicherheitssoftware bei Target schlug sechsmal an - aber da es oft Fehlalarme gab, missachteten Mitarbeiter die Warnungen.
Seither gelang Datendieben eine Reihe weiterer Großeinbrüche. Opfer waren die Baumarktkette Home Depot mit 56 Millionen gestohlenen Datensätzen, die Großbank JP Morgan Chase mit Einzelheiten von 93 Millionen Konten, außerdem die Handelskette Kmart, die Online-Plattform Ebay und andere. Die Home-Depot-Daten werden bei rescator.cc unter dem Label "American Sanctions" angeboten.
Kein Wunder, dass viele US-Unternehmen inzwischen Cyber-Versicherungen kaufen. Sie wissen: Einen hundertprozentigen technischen Schutz gibt es nicht. Deshalb boomt der US-Markt für die Spezialpolicen. 2013 haben die Versicherer knapp 1,5 Milliarden Dollar (1,2 Milliarden Euro) an Prämien eingenommen, schätzt Robert Parisi, der beim Großmakler Marsh in New York für das Geschäft zuständig ist. Seither habe sich die Nachfrage verdoppelt: "Ich wäre überrascht, wenn wir Ende 2014 nicht drei bis fünf Milliarden Dollar sehen würden."
In Deutschland ist die Zahl der Abschlüsse dagegen bisher überschaubar. Von den Konzernen Bosch und Thyssen-Krupp ist bekannt, dass sie Deckungen gekauft haben. Aber das Interesse ist riesig - weil viele Unternehmen, auch kleine und mittelgroße, inzwischen unangenehme Erfahrungen mit Cyberrisiken gemacht haben. Der spezialisierte Versicherungsmakler Sven Erichsen spricht drei- bis viermal pro Woche mit Kunden. "Von jedem Gesprächspartner hören wir einen Fall." Er berichtet von einem kleinen Unternehmen, dessen E-Mail-Verkehr gehackt wurde. Die Angreifer änderten die Bankverbindung in einer elektronisch verschickten Rechnung und lenkten so 65 000 Euro auf ihr eigenes Konto. Schlimmer noch: Der Lieferant brach die Geschäftsbeziehung ab, weil die Firma als unsicher galt.
Makler Erichsen schätzt, dass hierzulande im ersten Halbjahr 2014 knapp 80 Policen abgeschlossen wurden. Viele Unternehmen überlegen noch. Sein Maklerkollege Achim Fischer-Erdsiek erwartet aber, dass die Versicherer in fünf Jahren mindestens eine halbe Milliarde Euro jährlich mit Cyberpolicen einnehmen wird.
In Deutschland gilt ein anderes Schadenersatzrecht
Aber nicht alle Profis sehen das so. "Das Thema wird derzeit in Deutschland irrsinnig gehypt", sagt Thomas Abel vom Hamburger Makler Funk. Die US-Szenarien seien für viele deutsche Firmen nicht realistisch, schon weil hier ein anderes Schadenersatzrecht gilt als in den USA.
Doch die Zweifler dürften sich kaum durchsetzen - schon weil sich Versicherungseinkäufer und Finanzchefs im Schadensfall von Aufsichtsräten und Aktionären fragen lassen müssen, warum das Unternehmen Millionen für eine verbesserte IT-Sicherheit ausgibt, aber an den vergleichsweise geringen Kosten für die zusätzliche Versicherung spart.
Der US-Einzelhändler Target hatte eine Cyberdeckung. Sie belief sich auf 90 Millionen Dollar und wurde inzwischen ausgezahlt. Der Schaden beträgt aber schon heute 235 Millionen Dollar. Und zahlreiche Klagen laufen noch, unter anderem von Kreditkartenanbietern wegen der Neuausstellungen. Das könnte die Belastung um mehrere Hundert Millionen Dollar nach oben treiben. Bei Target haben die Hacker auch in Chefetage für Opfer gesorgt: Eine Reihe von Top-Managern musste wegen der skandalösen Sicherheitszustände gehen, darunter Konzernchef Gregg Steinhafel.