Rechtliche Folgen eines Cyberangriffs
25. September 2023
Das IT-Sicherheitsrecht nimmt im Bewusstsein der Unternehmerlandschaft einen immer größeren Stellenwert ein. Das ist erfreulich und gut. Dennoch handeln viele potenziell betroffene Unternehmen noch nicht danach. Dabei sind präventive Maßnahmen zur Verhinderung eines Cyberangriffs wichtig. Welche rechtlichen Folgen ein Hackerangriff nach sich ziehen kann und welche best practises es zur Schadensminimierung gibt, steht in diesem Blogbeitrag.
Lesedauer: ca. 5 Minuten (1020 Wörter)
Die gegenwärtige Bedrohungslage durch Cyberangriffe für Unternehmen ist ernst zu nehmen. In seiner aktuellen Statistik für das Jahr 2022 weist das Bundeskriminalamt knapp 140.000 Fälle von Cybercrime aus. Insgesamt sei ein Schaden von 203 Milliarden Euro entstanden. Hierbei handelt es sich um “helle Zahlen” – die Dunkelziffer dürfte jeweils deutlich höher liegen. Deshalb sind sich IT-Experten jeglicher Couleur auch einig: Die Frage sei nicht, ob es zu einem Hackerangriff auf Unternehmen, Behörden und anderen Einrichtungen käme, sondern vielmehr wann.
Ob diese Wahrscheinlichkeitsprognose die nötige Awareness schafft oder nur Angst schürt, ist bestenfalls unklar. Feststeht jedenfalls, dass mehr und mehr Unternehmen IT-Sicherheitsmaßnahmen ergreifen. Hierzu hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) beispielsweise aktuelle Basismaßnahmen der Cyber-Sicherheit veröffentlicht. Doch welche Ziele verfolgen die Hacker eigentlich?
Welche Angaben in der Meldung?
Es gibt die Fälle der Wirtschaftsspionage. Hierbei wollen die Angreifer möglichst unentdeckt die Daten von Unternehmen ausspähen, um diese zu nutzen. Andererseits gibt es Fälle, bei denen die IT-Systeme per Ransomware infiltriert werden. Dabei werden die Daten verschlüsselt und anschließend wird versucht, ein Lösegeld zu erpressen – bezahlbar in nicht-zurückverfolgbaren Bitcoins. Die Erpressung mittels Ransomware stellt das vorliegende Szenario dar, anhand dessen die rechtlichen Folgen eines Cyberangriffs erläutert werden.
Kommt es zu einem Hackerangriff auf ein Unternehmen, werden dadurch zunächst verschiedene Meldepflichten ausgelöst. Nach dem BSI-Gesetz sind allerdings nur Betreiber kritischer Infrastrukturen (“KRITIS”) sowie Anbieter digitaler Dienste verpflichtet, sog. “Störungen” der IT-Systeme bzw. einen “Sicherheitsvorfall” dem BSI unverzüglich zu melden. Die Meldung muss dabei Angaben u. a. zu dem Angriff, den möglichen Auswirkungen, die (vermutete) Ursache usw. enthalten.
Meldepflicht nach der DSGVO bei Cyberangriff
Welche Unternehmen unterliegen den Meldepflichten? Zu den kritischen Infrastrukturen zählen die Sektoren Energie, Informationstechnik, Telekommunikation, Transport, Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen. Und Anbieter digitaler Dienste erbringen – kurz gesagt – elektronische Dienstleistungen gegen Entgelt. Der Anwendungsbereich der Anbieter digitaler Dienste ist damit sehr weit gefasst, so dass im Ergebnis viele Unternehmen hierunter fallen. Manche KRITIS-Betreiber und Anbieter digitaler Dienste sind jedoch durch eine Bereichsausnahme von der Meldepflicht ausgenommen. Das betrifft Kleinst- (weniger als 10 Mitarbeiter) bzw. Kleinunternehmen (weniger als 50 Mitarbeiter) nach der EU-Definition.
Eine weitere Meldepflicht besteht nach der DSGVO. Kommt es infolge eines Hackerangriffs zu einer “Verletzung des Schutzes personenbezogener Daten” ist innerhalb von 72 Stunden bei der zuständigen Landesdatenschutzbehörde Meldung zu machen. Die Meldung muss ebenfalls bestimmte Angaben enthalten (Art. 33 Abs. 3 DSGVO). Da die DSGVO-Meldepflicht alle verantwortlichen Unternehmen und Auftragsverarbeiter betrifft, ist diese daher auch beim IT-Outsourcing zu beachten. In der Praxis wird dies häufig vergessen. Die Meldepflicht nach der DSGVO trifft damit nahezu jedes Unternehmen in Deutschland, wenn durch den Cyberangriff ein “Risiko für die Rechte und Freiheiten natürlicher Personen” entsteht.
Meldung auch gegenüber betroffenen Personen
Im Anschluss an die erste Meldung treffen die Unternehmen auch Mitwirkungspflichten. So sind sie beispielsweise verpflichtet, Rückfragen der Behörden zum Hackerangriff zu beantworten oder etwaige neue Erkenntnisse mitzuteilen. Die Mitwirkungspflichten hängen von der konkreten Situation ab und sind daher im Vorfeld nicht genau bestimmt.
Unter gesteigerten Voraussetzungen müssen nach der DSGVO ggf. auch die von dem Cyberangriff betroffenen Personen, deren Daten verletzt wurden, benachrichtigt werden. Da diese Benachrichtigung der öffentlichen Bekanntmachung des Vorfalls gleichkäme, sollte zuvor genau geprüft werden, ob dies erforderlich ist. Andererseits droht ein Reputationsverlust.
Mögliche Ansprüche des Unternehmens wegen eines Cyberangriffs
Wichtig in diesem Zusammenhang sind auch die möglichen Ansprüche des betroffenen Unternehmens gegenüber Dritten. Sollte der Angreifer oder die Gruppe der Angreifer identifizierbar sein, kommen primär Unterlassungs- und Schadensersatzansprüche in Betracht. In der Realität ist dieser Weg jedoch nahezu ausweglos. Stattdessen kommt der Gedanke auf, eventuell den Hersteller der Anti-Viren-Software oder der Firewall in Regress zu nehmen. Doch auch dieser Weg wird durch vertragliche Gewährleistungs- und Haftungsbeschränkungen des Softwareherstellers in der Regel verbaut sein.
Wenn Mitarbeiter bei der Planung oder Umsetzung eines Hackerangriffs bewusst beteiligt sind, zum Beispiel durch das Verwenden eines infizierten USB-Sticks, können Unterlassungs- Beseitigungs- und Schadensersatzansprüche geltend gemacht werden.
Ansprüche des Unternehmens gegen die Geschäftsleitung
In der Praxis häufiger stellen sich jedoch Fragen nach etwaigen Ansprüchen des Unternehmens gegenüber der Geschäftsleitung. Geschäftsleitung meint primär die Vorstände einer AG oder die Geschäftsführer einer GmbH. Denn der Geschäftsleitung obliegt die allgemeine Pflicht zur Risikovorsorge. Das beinhaltet auch die Pflicht, Cybergefahren abzuwehren. Und ein erfolgreicher Cyberangriff stellt die ordnungsgemäße Pflichterfüllung zunächst einmal in Frage.
Zum Pflichtenkatalog der Geschäftsleitung in Sachen IT-Sicherheitsrecht zählen die folgenden Anforderungen:
- Errichtung einer IT-Sicherheit
- Überwachung der IT-Sicherheit
- Schulungen und Sensibilisierung der Mitarbeiter
- Benennung eines Datenschutzbeauftragten oder IT-Sicherheitsbeauftragten
Wenn es also zu einem erfolgreichen Hackerangriff gekommen sein sollte, ist vonseiten des Unternehmens auch zu prüfen, ob die Geschäftsleitung zuvor gegen die IT-Sicherheitspflichten verstoßen hat.
Haftungsfragen wegen des Cyberangriffs
Eine andere Frage ist es hingegen, ob das betroffene Unternehmen zu allem Übel auch noch zusätzlich in Haftung genommen werden könnte. Entsprechende Überlegungen könnten zumindest von den Lieferanten oder Kunden des Unternehmens verfolgt werden, da vielleicht die bestehenden Verträge nicht mehr eingehalten werden können. Für diese Konstellation wäre sicherzustellen, dass die einschlägigen Verträge die elementaren IT-Sicherheitsklauseln wie eine angepasste Force-majeur-Klausel enthalten. Neben Lieferanten und Kunden könnten auch die Behörden an das Unternehmen herantreten und Bußgelder verhängen. Das Kuriosum hierbei ist: Selbst wenn der Cyberangriff erfolgreich gewesen sein sollte, könnten die IT-Sicherheitspflichten eingehalten worden sein!
Wie wichtig die Einhaltung der Meldepflichten ist, zeigt auch das mögliche Szenario, wonach Mitbewerber das betroffene Unternehmen belangen könnten. Denn wenn die Meldung nicht rechtzeitig abgegeben wurde und die zuständige Behörde daraufhin potenziell andere betroffene Unternehmen nicht mehr rechtzeitig warnen könnte, könnten diese Schadensersatzansprüche gegen das betroffene Unternehmen stellen.
Fazit
Abschließend lässt sich also festhalten, dass geeignete Abwehrmaßnahmen etabliert werden sollten, um den Angreifern die Infiltration des IT-Systems so schwer wie möglich zu machen. Auch für den Ernstfall sollten Vorbereitungen getroffen werden. Die best practises der präventiven Schadensminimierung sind u. a.:
- Zusammenstellung eines Notfallteam
- Erarbeitung eines Notfallplans
- schnelle Widerherstellungsmöglichkeit der Daten
Das aus Experten bestehende Notfallteam sollte bereits im Vorfeld gebildet werden, um den Notfallplan zu entwickeln. Im Ernstfall ist es wesentlich, dass Möglichkeiten geschaffen werden, die verschlüsselten Daten so schnell wie möglich wiederherzustellen bzw. zu ersetzen. Aus rechtlicher Sicht sollte beispielsweise herausgearbeitet werden, an welche Behörde welche Meldung mit welchem Inhalt gerichtet werden müsste. Um möglichen Reputationsschaden zu vermeiden, sollten unnötige Meldungen und Benachrichtigungen betroffener Personen vermieden werden.
Darüber hinaus sind die Beweissicherung, die Verhinderung verfänglicher PR-Kommunikation (Pressemitteilungen), das Stellen einer Strafanzeige sowie die Prüfung möglicher Ansprüche und Haftungsfragen zu beachten.
Sie kommen aus Kiel oder Schleswig-Holstein und sind Opfer eines Cyberangriffs geworden? Oder Sie kommen aus dem übrigen Bundesgebiet und haben Fragen zum IT-Sicherheitrecht? Dann nehmen Sie gerne unter info@anwalt-daum.de Kontakt zu mir auf.
Dr. Oliver Daum
Rechtsanwalt
Fachanwalt für IT-Recht
Zertifizierter Datenschutzbeauftragter (IHK Kiel)
Auch interessant: Ehemalige Arbeitgeberin bei Datenschutzbehörde angezeigt – Ein Fallbericht
- 25.09.2023
- 10:00