Herr Prof. Nolte, Frau Dr. Brune, die Zahl erfolgreicher Cyberattacken auf Unternehmen ist zuletzt rasant gestiegen. Ist es das bekannte Muster?

Nolte: Die aktuellen Cyberangriffe auf Unternehmen aus allen Branchen haben eine ganz neue Qualität. Früher­ wurde von den Hackern häufig der Human Factor ausgenutzt. Man schickte Trojaner-E-Mails und hoffte auf den unaufmerksamen Mitarbeiter­, der über einen Link die Schadsoftware auf seinen Rechner herunterlädt. Die hoch professio­nellen Hackergruppen greifen heute die Systeme direkt an und suchen systematisch nach Schwachstellen – etwa einem unterbliebenen Software-Patch. Etwa 80% der Fälle, die wir sehen, werden so ausgeführt. Zudem wird die Angreiferlandschaft immer unübersichtlicher, seit die großen Hackergruppierungen ihre Software gegen Erfolgsbeteiligung „verpachten“ – Ransomware as a Service.

Was heißt das für Unternehmensvorstände?

Brune: In erster Linie steigen die Anforderungen an die Überwachungs- und Kontrollpflichten des Vorstands. Das Cybersecurity Compliance System im Unternehmen muss regelmäßig an die neuen Herausforderungen angepasst werden. Dazu gehören auch simulierte Angriffe und regelmäßiges Reporting des CISO. Vergleichbar zur Vorbereitung auf Durchsuchungen sind Vorkehrungen für einen Cyberangriff erforderlich, zum Beispiel einen Krisenstab und die Ansprechpartner von externen Experten festzulegen. Im Fall eines Angriffs muss umgehend ein Clearingprozess eingerichtet werden, damit das Unternehmen gegenüber Behörden, Kunden und Mitarbeitern einheitlich kommuniziert. Ob ein Lösegeld gezahlt werden darf und soll, ist dann häufig die „Gretchenfrage“.

Tatsächlich?

Nolte: Richtig. Bei einem Ransom­ware-Angriff, also wenn Daten entwendet oder ganze Systeme verschlüsselt und damit lahmgelegt werden, ist das Unternehmen natürlich in erster Linie Opfer. So sehen das regelmäßig auch Polizei und Staatsanwaltschaften, die Lösegeldzahlungen an Hacker regelmäßig nicht strafrechtlich verfolgen. Wir arbeiten hier meist sehr gut mit den Ermittlungsbehörden zusammen. Transparenz ist Key.

Also würden Sie Unternehmen dazu raten, Lösegeld zu zahlen?

Brune: So einfach ist es nicht. Alle Behörden raten zunächst einmal von Lösegeldzahlungen ab. Es kommt am Ende sehr auf den Einzelfall an: Wenn alle Bänder stillstehen, sieht die Sache anders aus, als wenn ein kurzfristiges Wiederherstellen der Systeme aus dem Back-up möglich ist. Zudem gibt es juristische Fallstricke: Wird Lösegeld an eine Hackergruppe gezahlt, der Verbindungen zu sanktionierten Personen – zum Beispiel aktuell in Russland – nachgesagt werden, lauern hier Strafbarkeitsrisiken, oft auch nach US-Recht. Ich muss dann in jedem Fall mit Experten eine Due Diligence durchführen, bevor die Bitcoins fließen.

Das dürfte ein schwieriges Unterfangen sein.

Nolte: Und am Ende kann ich ja auch gar nicht sicher sein, dass sich die Angreifer an ihr Versprechen halten und die entwendeten Daten tatsächlich löschen. Zudem kursieren im Darknet Listen der Unternehmen, die schon einmal Lösegeld gezahlt haben. Sie sind dann als lukrative Ziele markiert.

Zuletzt haben die Datenschutz­behörden bei Verstößen hohe Bußgelder verhängt. Droht das auch Unternehmen, die Opfer von Cyberangriffen geworden sind?

Nolte: Die Datenschutzbehörden wollen heute immer ganz genau wissen, wie es zu dem Data Leak kommen konnte. Waren die technischen und organisatorischen Maßnahmen ausreichend? Und zudem: Welche Maßnahmen hat das Unternehmen nach dem Angriff ergriffen? Da geht es einmal um die Information potenziell Betroffener, damit diese Schutzmaßnahmen ergreifen können – etwa wenn Bankkartendaten entwendet wurden –, aber auch um die Verbesserung der Robustheit der Systeme. Alles sollte das Unternehmen sorgfältig dokumentieren, um sich in einem etwaigen Bußgeld­verfahren gut verteidigen zu können.

Prof. Dr. Norbert Nolte ist Partner, Dr. Ann-Malin Brune ist Associate im Düsseldorfer Büro von Freshfields Bruckhaus Deringer.

Die Fragen stellte Sabine Wadewitz.