Dr. Christian SchoopPartner bei DLA PiperJan PohlePartner bei DLA PiperDie Nutzung des Internets ist für Unternehmen in einer zunehmend digitalisierten Welt unverzichtbar – und zugleich mit erheblichen operativen und rechtlichen Risiken verbunden. Es drohen diverse Arten von Cyberattacken, die ein Unternehmen unterschiedlich schwer und dauerhaft beeinträchtigen können. Die weltweit pro Tag in die Millionen gehenden Cyberangriffe stellen eine latente Gefahr für ausnahmslos jedes Unternehmen dar. Mit diesem Gefährdungsszenario verbunden sind erhebliche rechtliche Haftungsrisiken sowohl für das Unternehmen selbst als auch für die im Unternehmen handelnden Personen. Cybersecurity ist Teil von Compliance und damit originäre Vorstandsaufgabe.Die Bandbreite von Cyberattacken ist vielfältig. Beim sogenannten CEO Fraud geben sich die Täter gegenüber Mitarbeitern eines Unternehmens als CEO aus und veranlassen die Überweisung von teils Millionensummen auf ihr Konto. Ebenso ist aber auch eine gefälschte E-Mail eines Zulieferers an die Buchhaltung denkbar, in der behauptet wird, dass sich die Kontodaten geändert haben. Das Unternehmen überweist daraufhin über mehrere Monate hinweg Rechnungsbeträge auf ein falsches Konto, das den Tätern gehört. Daneben sind sogenannte DDoS-Angriffe an der Tagesordnung. Diese führen dazu, dass die Server eines Unternehmens über Stunden hinweg überlastet sind oder zusammenbrechen und Anfragen von Kunden nicht bearbeitet werden können. Die Angriffe durch sogenannte Ransomware sind ebenfalls in jüngster Zeit erheblich angestiegen. Hier werden die Computer eines Unternehmens durch Schadsoftware gesperrt und, wenn überhaupt, erst nach Zahlung eines Lösegeldes wieder freigegeben. Daneben spielen auch sogenannte Fake Online Shops und der Handel mit geklauten Daten, insbesondere Zahlungsdaten, eine erhebliche Rolle. Schließlich ist der Verrat von Betriebs- und Geschäftsgeheimnissen in Gestalt der Mitnahme sensibler Daten gerade bei Mitarbeitern, die zu einem Wettbewerber wechseln, immer wieder von Bedeutung.All diese Verhaltensweisen erfüllen nicht nur in aller Regel verschiedene Straftatbestände, sie führen auch zu erheblichen finanziellen Einbußen bei den betroffenen Unternehmen. Dies so gut als möglich zu vermeiden und Auswirkungen einer Cyberattacke zu minimieren, gehört zu den wesentlichen Aufgaben der Unternehmensleitung. Die Verantwortlichen des Unternehmens sind angehalten, bereits im Vorfeld ausreichende Sicherungsmaßnahmen einzuführen und im Falle einer Attacke ihre Rechtspflichten zu erfüllen, um Rechtsnachteile zu vermeiden, Reputationsschäden zu minimieren und Rechtsansprüche zu sichern.Die Pflicht der Unternehmensleitung, erforderliche und angemessene Maßnahmen zur Vermeidung von Cyberangriffen zu ergreifen sowie die Auswirkungen etwaiger Angriffe zu minimieren, folgt jedenfalls aus ihrer allgemeinen Leitungsverantwortung für das Unternehmen. Teilweise ist diese Verpflichtung auch speziell gesetzlich geregelt. Diese Pflicht gebietet nicht nur, technisch wirksam und angemessen einem Cyberangriff dadurch vorzubeugen, dass IT-Systeme mit Blick auf Struktur und technischen Stand hinreichend gegen Cyberattacken und deren Auswirkungen gesichert sind – mag dies auch Investitionen erfordern. Zusätzlich sind organisatorisch wirksame Maßnahmen zu ergreifen, wie unter anderem die Implementierung und Überwachung einer wirksamen Governance-Struktur. Mitarbeiter sind im Hinblick auf potenzielle Bedrohungen und angemessenes Verhalten bei Cyberattacken zu schulen. Schließlich sollte das Management prüfen, ob und in welchem Umfang Versicherungsschutz für den Fall eines Cyberangriffs besteht. In Teilen greifen hier bestehende Versicherungsprodukte. Ergänzend sollte über eine spezifische Cyberdeckung nachgedacht werden, um die finanziellen Folgen einer Cyberattacke abzumildern. Zum Pflichtenkreis der Unternehmensleitung im Zusammenhang mit Cyberbedrohungen gehört es zudem, ein angemessenes Verhalten in der Cyberkrise sicherzustellen. Erfolgreiche Cyberattacken kann keine noch so besonnen handelnde Unternehmensleitung ausschließen. Die jüngsten Attacken mittels der Schadsoftware Petya bzw. Non-Petya haben dies anschaulich belegt. Allerdings müssen für solche Fälle Notfallpläne erarbeitet werden. Hier sind konkrete Vorgaben für das Vorgehen über Unternehmensabteilungen hinweg zu beschreiben. Ferner sind die notwendigen internen und externen personellen Ressourcen und deren Verfügbarkeit festzulegen. Auch muss das Unternehmen einen Überblick darüber haben, welche rechtlichen Pflichten insbesondere gegenüber Behörden, Kunden und Versicherern in der Cyberkrise bestehen. Dies zumal dann, wenn es international agiert. Denn die jeweiligen Rechtspflichten sind über Ländergrenzen hinweg, aber auch innerhalb einzelner Staaten, wie den USA, nicht selten unterschiedlich ausgestaltet. Es genügt nicht, sich erst dann Gedanken über geeignete Forensiker, die weitere Behandlung der IT, notwendige Entscheidungskanäle im Unternehmen und etwaige rechtliche Pflichten zu machen, wenn die Cyberattacke bereits im Gang ist. Denn dann ist bereits schnelles und effizientes Handeln zur Vermeidung weiterer finanzieller Schäden oder Rechtsnachteile geboten. Zu den zu berücksichtigenden Fragen gehört auch die Thematik, ob die Staatsanwaltschaft eingeschaltet werden soll. Die Ermittlungsbehörden sind in den letzten Jahren erheblich gestärkt worden. Sie können mit ihren Ermittlungsergebnissen wesentlich bei der Verfolgung von Rechtsansprüchen unterstützen. Zudem steht das erst vor kurzem ausgebaute Bundesamt für Sicherheit in der Informationstechnik als kompetenter Ansprechpartner in der Krise zur Verfügung.Allerdings ist jede technische oder organisatorische Maßnahme zur Vermeidung eines Cyberangriffs und jede Notfallplanung nur so gut, wie sie auch praxistauglich ist. Dies lässt sich außer durch die Cyberattacke selbst nur durch Testläufe verproben. Das Management kann nur so sicherstellen und dokumentieren, dass es sich ein Bild über die Wirksamkeit der ergriffenen technischen und organisatorischen Maßnahmen und die erstellten Notfallpläne verschafft hat – und damit, ob es den ihm als Unternehmensleitung obliegenden Pflichten nachgekommen ist. Entsprechend sind die von Unternehmensleitung und Fachabteilungen implementierten technischen oder organisatorischen Maßnahmen sowie erarbeitete Notfallpläne durch die Simulation geeigneter Cyberattacken im eigenen Interesse des Managements zu testen. Kommt die Unternehmensleitung dieser Verantwortung nicht nach, kann ihr ein Organisationsverschulden zur Last fallen – mit entsprechenden potenziellen rechtlichen, insbesondere haftungsrechtlichen Konsequenzen für das Management gegenüber dem Unternehmen im Krisenfall. Verstöße gegen datenschutzrechtliche Vorgaben und Meldepflichten gegenüber Behörden können empfindliche Bußgelder nach sich ziehen. Doch damit nicht genug: Führt ein Cyberangriff faktisch zum Stillstand eines Unternehmens, können auch Regressansprüche von Kunden wegen nicht erfüllter Lieferverpflichtungen im Raum stehen. Eigene Regressansprüche gegenüber Mitarbeitern sind in Fällen des CEO Fraud erheblich geschmälert, wie soeben vom Sächsischen Landesarbeitsgericht entschieden (Az.: 3 Sa 556/16, Revision eingelegt unter dem Az. 8 AZR 379/17). Schließlich kann auch durch unsachgemäßes Verhalten in der Cyberkrise der gerade für diesen Fall eingekaufte Versicherungsschutz gefährdet werden.Das Bewusstsein über diese Risiken kommt erst langsam in der Wirtschaft an. Vielfach besteht noch die Hoffnung, es werde einen schon nicht treffen. Die Wahrscheinlichkeit, dass diese Hoffnung angesichts der unaufhaltsamen weiteren Digitalisierung unserer Lebens- und Arbeitswelt und der täglich zunehmenden Zahl von Cyberattacken trügt, ist hoch. Will die Unternehmensleitung das Unternehmen schützen und eine eigene Haftung vermeiden, muss sie sich der Gefährdungslage Cyberangriff und den sich hieraus ergebenden Handlungspflichten stellen und die vorstehend beschriebenen Maßnahmen ergreifen.