Cyberangriff und Datendiebstahl - Welche Gefahren drohen und wie können sich Unternehmen schützen?

08.01.2019
 

In der eigentlich nachrichtenarmen Zeit zu Beginn des Jahres schaffte es immerhin ein Thema in die Schlagzeilen, dem auch sonst deutlich mehr öffentliche Beachtung zusteht: Angriffe durch Hacker, Cyber-Aktivisten und Daten-Leaks. So haben Hacker sensible Daten von Prominenten, insbesondere auch von Politikern auf Twitter veröffentlicht, sog. Doxing.

Was bedeutet das für betroffene Behörden und Unternehmen?

Nach den bislang vorliegenden Informationen waren politisch oder wirtschaftlich sensible Informationen nicht betroffen. Dies ist aber ein reiner Glücksfall und nicht die Regel. Gerade im wirtschaftlichen Kontext haben es Angreifer sehr oft auf sensible Daten, insbesondere Geschäfts- und Betriebsgeheimnisse oder Kundendaten abgesehen. Cyberangriffe sind dabei keine theoretische Gefahr, sondern gewinnen zunehmend an Bedeutung. So waren laut einer Studie unserer Kanzlei zusammen mit dem Center für Corporate Compliance der EBS Law School 36 % der befragten Unternehmen in den vergangenen Jahren von Cyber-Security-Vorfällen, z.B. Hacker-Angriffen, betroffen. Fast 50 % der befragten Unternehmen rechnen in den nächsten Jahren mit entsprechenden Vorfällen.

Was können betroffene Unternehmen tun?

Bei Entwendung von Daten durch Hackerangriffe wie in den aktuell berichteten Fällen drohen Reputationsschäden, Umsatzeinbußen, Bußgelder und Schadensersatzansprüche. Die Geschäftsleitung trägt zudem das Risiko, persönlich für Schäden des Unternehmens zu haften. Um diese Risiken zu minimieren, gilt Folgendes:

Erforderliche Präventionsmaßnahmen („Prevent“)

Kern jeder Abwehr ist Prävention; neben technischen Abwehrmaßnahmen, die auf die spezifische Risikosituation des Unternehmens abgestellt sein sollten, sind auch in rechtlicher Hinsicht wirkungsvolle Maßnahmen geboten, darunter die Folgenden:

  • Erkennen und Bewerten der spezifischen Cyber-Risiken und Angriffspunkte des Unternehmens,
  • Status-Check der bestehenden Service-Level-Agreements mit Dienstleistern auf Sicherheitslücken und ggf. Anpassung,
  • Aufstellen eines Notfallplans für den Fall eines Cyberangriffs inklusive Festlegung von Verantwortlichkeiten im Krisenfall, interner und externer Rechtsberater, IT-Experten und ggf. PR-Profis.
  • Status-Check und ggf. Anpassung des Versicherungsprogramms (ggf. Cyber-Versicherung) mit Fokus auf Deckung der Betriebsunterbrechungskosten, Kosten der Wiederherstellung des IT-Systems, der IT-Forensik und Schäden Dritter.

Sofortige Anspruchssicherung („Detect“)

Um den Schaden nach Eintritt eines Hackerangriffs möglichst gering zu halten, muss das Unternehmen im Falle eines Angriffs umgehend reagieren :

  • Am wichtigsten sind die datenschutzrechtlichen Anzeigepflichten binnen 72 Stunden nach Art. 33, 34 DSGVO. Werden diese nicht befolgt, kann das empfindliche Rechtsfolgen für das Unternehmen nach sich ziehen.
  • Soweit Cyberkriminelle ein KRITIS-Unternehmen angegriffen haben (§ 2 Abs. 10 BSIG), sind die Vorschriften des BSIG sowie weitere Spezialgesetze einzuhalten; insbesondere gelten besondere Berichtspflichten.
  • Es sollte zudem geprüft werden, ob Anzeige erstattet werden soll. Inzwischen  gibt es in vielen Bundesländern besondere Staatsanwaltschaften, die auf Cyber Crime spezialisiert sind, z.B. die Zentralstelle Cyber Crime Bayern oder die Zentral- und Ansprechstelle Cyber Crime Nordrhein-Westfalen. Diese Spezialisierung setzt sich auf Polizeiebene fort. Auch wenn nicht zwingend die Angreifer strafrechtlich belangt werden können, sind von Ermittlungsbehörden gesicherte Beweise oft sehr wertvoll für spätere Regressansprüche gegen Dritte (Dienstleister, Versicherer, Organe).
  • Wichtig ist auch die frühzeitige Einschaltung des Versicherers, um die Obliegenheiten aus dem Versicherungsvertrag einzuhalten und den Versicherungsschutz nicht zu gefährden.
  • Einschaltung von IT-Forensikern kann auch neben den Ermittlungsbehörden sinnvoll sein, um die Spur der Hacker aufzunehmen.
  • Unverzügliche Abstimmung mit ‑ ggf. ausländischen ‑ Rechtsanwälten, um einen Zugriff auf im Ausland belegene Vermögenswerte oder Daten sicherzustellen.

Anspruchsdurchsetzung („Respond“)

Im Fall des Datendiebstahls bei Unternehmen gilt es zudem, nicht nur rasch aufzuklären und Ansprüche umgehend zu sichern, sondern aktiv zu verfolgen und so langfristig Schaden vom Unternehmen, seinen Gesellschaftern und Mitarbeitern abzuwenden. Folgende Maßnahmen bieten sich dabei an:

  • Bei kurzfristiger Reaktion können noch Gelder gesichert werden. Neben dem Strafverfahren bieten sich hier Verfahren im einstweiligen Rechtsschutz an. Empfehlenswert ist die umgehende Einbindung spezialisierter Rechtsanwaltskanzleien, die entsprechende Maßnahmen umsetzen können, ggf. koordiniert mit ausländischen Kollegen.
  • Man sollte prüfen, ob für die Einbeziehung kostenaufwendiger Unterstützung Versicherungsschutz besteht.
  • Wichtig ist auch die Vorbereitung auf eine Verteidigung gegen Ansprüche auf Schadensersatz von Dritten, soweit deren persönliche oder vertrauliche Daten entwendet worden sind, z.B. von Kunden oder Geschäftspartnern.
  • Zu prüfen ist auch, ob ggf. Ansprüche gegen die IT-Serviceprovider geltend zu machen sind, soweit eine vertragliche Grundlage hierfür vorliegt.

Haftung der Organe?

Zwar sind in Deutschland noch keine Fälle bekannt, in denen die Geschäftsleitung infolge von Cyberattacken in Anspruch genommen worden ist. Allerdings ist eine Haftung wegen sorgfaltspflichtwidriger Verletzung von IT-Sicherheitspflichten durchaus denkbar. Eine Inanspruchnahme liegt auch deswegen nahe, weil die üblichen D&O-Versicherungspolicen keinen Ausschluss für solche Pflichtverletzungen vorsehen. Eine Ausnahme wird aktuell in den USA diskutiert: Soweit ein ausländischer Staat hinter einer Cyberattacke – hier „NotPetya“ – steht, könnte sich die Versicherung auf einen Ausschluss für hoheitliche Angriffe berufen.

Fazit

Es gibt keinen absoluten Schutz vor Hackerangriffen. Die Unternehmen sollten sich aber maximal absichern. Insoweit gilt in der Compliance-Beratung etablierte Dreiklang aus „Prevent, Detect, Respond“. Unzureichende Maßnahmen können dagegen schwerwiegende Folgen für das Unternehmen und ihre Geschäftsleitung haben. Um Schäden vom Unternehmen abzuwenden, ist eine Auseinandersetzung mit den unternehmensspezifischen Cyber-Risiken unerlässlich. Hiermit hat sich auch und gerade die Geschäftsleitung zu befassen, will sie eigene Haftung vermeiden.

 

Haben Sie Fragen? Kontaktieren Sie gern: Martin Schorn, Sarah Schmidt-Versteyl
Practice Groups: Litigation, Compliance, IT-Outsourcing, Insurance