Cyberattacken – vorbeugen oder haften

von Alexandra Schauer | 27.10.2017

Cyberkriminalität hat viele Erscheinungsformen. Eine davon ist Datendiebstahl. In einem Netzwerk gespeicherte Daten stellen ein lukratives Angriffsziel dar. Neben Privatpersonen können auch Unternehmen Opfer von Datendiebstahl sein. Manager unterschätzen dabei oft die sie im Rahmen der Compliance-Organisation treffenden Verpflichtungen zur Schadensvorbeugung – und das Haftungspotenzial einer Pflichtverletzung.

Durch den Einsatz so genannter Ransomware, in Form ‘‘infizierter‘‘ E-Mails, Programme oder Webinhalte, gelingt es Angreifern, in einem Netzwerk gespeicherte Daten zu verschlüsseln. Wenn überhaupt, geben sie diese erst gegen Zahlung von Geldbeträgen, oftmals in Bitcoins oder anderen Kryptowährungen, wieder frei.
Welch globale Bedrohung und welches Risiko auch abseits von solchen ‘‘Lösegeldforderungs-Fällen‘‘ besteht, macht die Anhäufung zahlreicher Hackerangriffe in jüngster Vergangenheit deutlich. So legte im vergangenen Sommer eine Software namens ‘‘WannaCry‘‘ Geldautomaten in China lahm, verursachte Unruhe an deutschen Bahnhöfen, indem es die Bahnfahrpläne durcheinanderbrachte, und stiftete durch Verschlüsselung von Patientendaten Chaos in englischen Krankenhäusern. Dabei handelte es sich um keinen Einzelfall, denn nur kurze Zeit darauf trat ‘‘NotPetya‘‘ nach Angriffen auf ukrainische Stromnetze und sogar Strahlungsmonitore in Tschernobyl von der Ukraine aus seine Weltreise an. Unter den davon Betroffenen befanden sich namhafte Unternehmen wie Rosnef, eine russische Ölfirma, Maersk, eine dänische Reederei und Merck ein amerikanisches Pharmazieunternehmen.

Verpflichtung zur Schadensprävention

Neben dem auf der Hand liegenden Eigeninteresse an einem bestmöglichen Schutz von Unternehmens- und Betriebsgeheimnissen, obliegt Unternehmen eine Verpflichtung zum Schutz sonstiger Daten, die sie verarbeiten. Dies gilt insbesondere dann, wenn es sich um persönliche Daten handelt, die in den Anwendungsbereich einschlägiger Rechtsvorschriften fallen. Auf nationaler Ebene sieht das derzeit geltende Datenschutzgesetz für Unternehmen die Verpflichtung vor, geeignete technische und organisatorische Maßnahmen zu treffen, um sich vor Datendiebstählen zu schützen. Hierzu zählen etwa Zutritts- und Zugriffsbeschränkungen, regelmäßige Datensicherungen und Belehrungspflichten gegenüber Mitarbeitern. Verstöße gegen diese Verpflichtungen können in Fällen gröberer Verfehlungen, Geldbußen bis zu EUR 25.000 nach sich ziehen. Auch die ab Mai 2018 anzuwendende EU-Datenschutzgrundverordnung (DS-GVO) sieht entsprechende Verpflichtungen vor – bei Strafdrohungen in Millionenhöhe. Daneben treten bei schuldhafter Außerachtlassung dieser Verpflichtungen mögliche Ersatzforderungen Geschädigter.

Nicht nur Unternehmen, sondern auch Managern können Konsequenzen drohen. […] Sie müssen eine Compliance-Organisation schaffen, die auch geeignete Maßnahmen zum Schutz von Daten und damit gegen Cyberattacken umfasst.

Doch nicht nur Unternehmen, sondern auch deren Managern können Konsequenzen drohen. Geschäftsführer und Vorstände treffen aufgrund gesellschaftsrechtlicher Vorschriften Leitungs- und Kontrollpflichten. Sie müssen eine Compliance-Organisation schaffen, die auch geeignete Maßnahmen zum Schutz von Daten und damit gegen Cyberattacken umfasst. Diese sollten nicht nur in technischen Maßnahmen, sondern auch in Handlungsanleitungen bestehen. Verletzen sie diese Verpflichtungen, könnten sie persönlich haften. In einem aufsehenerregenden Prozess wurde vor nicht allzu langer Zeit in Deutschland ein ex-Siemens-Vorstand wegen unzureichender Compliance-Maßnahmen zu einer Schadenersatzleistung in zweistelliger Millionenhöhe verurteilt.

Besondere Vorkehrungen für kritische Infrastrukturen

Auch auf Ebene der EU ist man sich der Herausforderungen durch Angriffe aus dem Web bewusst. Neben dem Beschluss der DS-GVO wurde bereits im Juli 2016 die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen verabschiedet. Mit dieser Richtlinie werden Betreiber so genannter „kritischer Infrastrukturen“, also Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, wie z.B. Energieversorger, in die Pflicht genommen für Maßnahmen gegen Hackerangriffe zu sorgen.

Ausblick

All diese Entwicklungen zeigen, dass Angriffe aus dem digitalen Bereich ernsthafte Bedrohungen darstellen. Managern sei geraten, sich das Risiko von Cyberattacken bewusst zu machen und rechtzeitig entsprechende Sicherheitsvorkehrungen zu treffen – dies schon zum Selbstschutz.