Von Jürgen Hartung*)

Die Bedrohung durch Cyber-Attacken nimmt laut Jahresbericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) stetig zu. 2020 war von Angriffen auf US-Behörden, die Symrise AG oder die Funke Medien Gruppe zu lesen. Hacker dringen oft unbemerkt über Monate in Unternehmensnetzwerke ein, durchsuchen und infiltrieren diese. Die Schäden sind vielfältig und reichen von der Datenzerstörung über die Nichterreichbarkeit der eigenen Dienste bis zum Datendiebstahl. Ein ausreichender Schutz ist essenziell – insbesondere vor rechtlichen Risiken.

Besonders perfide sind sogenannte Ransomware-Angriffe: Die Täter ziehen Informationen aus dem Unternehmen ab und verschlüsseln die Unternehmensrechner. Es wird „angeboten“, gegen Zahlung eines Geldbetrags die Verschlüsselung aufzuheben und die Daten nicht zu veröffentlichen. Den Unternehmen droht ein kompletter Ausfall ihres Netzwerks und der daran angeschlossenen IT einschließlich der Produktionsanlagen sowie die Veröffentlichung von personenbezogenen Daten und Betriebsgeheimnissen.

Cyberangriffe haben gravierende Folgen: Reputationsverluste, finanzielle Schäden durch Produktions- und Lieferausfälle, Verzug bei der Erbringung geschuldeter Leistungen, Gefährdung von mit dem eigenen Netzwerk verbundenen Partnern, Schadenersatz wegen Veröffentlichung fremder Betriebsgeheimnisse sowie Verletzung des Datenschutzes. In der Regel stellt sich die Frage, ob das Management wegen Verletzung der Pflichten zur Risikovermeidung haften muss.

Im Zentrum der Vorsorge stehen die ausreichende IT-Sicherheit, die regelmäßig überprüft und laufend aktualisiert werden sollte, sowie die Schulung der Mitarbeiter. Durch ein geregeltes Informationsmanagement, Löschkonzepte und eine Klassifizierung von Unternehmensinformationen verringert man das Gefahrenpotenzial und kann die wichtigsten Informationen besonders schützen, z. B. durch eigene Verschlüsselung.

Die rechtlich erforderlichen Vorsorgemaßnahmen gehen jedoch weiter: Um die Meldungen von Verstößen bei Datenschutzbehörden und – im Fall der Betreiber kritischer Infrastruktur – auch beim BSI im Ernstfall fristgerecht vornehmen zu können, müssen Unternehmensprozesse eingeführt und eingeübt werden. Schließlich sollte geprüft werden, ob das Unternehmen ausreichend versichert ist, zum Beispiel durch eine spezifische Cyberversicherung. Für die Geschäftsführung kann eine Abdeckung ihrer Haftungsrisiken durch eine D&O-Versicherung interessant sein.

Sofern im Ernstfall ein Cyberangriff erfolgt, ist neben den an erster Stelle stehenden Bemühungen zur Wiederherstellung der IT unmittelbar rechtliches Know-how gefragt.

Erstens sollte bei der Einschaltung von IT-Sicherheitsfirmen darauf geachtet werden, dass beauftragte forensische Begutachtungen von der Versicherung akzeptiert und später vor Gericht verwendet werden können. Dabei ist zu beachten, ob und wie diese Informationen vor möglichen Anspruchsgegnern geschützt werden können.

Zweitens müssen viele Cyberangriffe innerhalb von 72 Stunden gemeldet werden. Die europäischen Aufsichtsbehörden haben jüngst Richtlinien zu diesen Meldepflichten veröffentlicht. Betreiber kritischer Infrastrukturen müssen Meldepflichten gegenüber dem BSI prüfen. Schließlich ist die Cyberversicherung rechtzeitig zu informieren, damit der Versicherungsschutz gewahrt bleibt.

Drittens sollten im Wege einer Strafanzeige die staatlichen Ermittlungsbehörden eingeschaltet und laufend informiert werden. Häufig sind spezialisierte Einheiten bei Staatsanwaltschaften, Landeskriminalämtern oder beim Bundeskriminalamt zuständig.

Viertens sollten für Verhandlungen mit den Hackern erfahrene Experten von Sicherheitsfirmen ausgewählt werden. Alternativ stehen erfahrene Verhandlungsteams der Ermittlungsbehörden zur Unterstützung bereit.

Fünftens ist zu entscheiden, ob Dritte wie Kunden und andere Geschäftspartner im Hinblick auf eventuelle Leistungsstörungen sowie eine Gefährdung durch die Schadsoftware zu informieren sind.

Sechstens sollte sich die Geschäftsführung für den angedachten Fall der Zahlung einer geforderten Summe strafrechtlich beraten lassen und unter Umständen mit den Ermittlungsbehörden abstimmen. Denn derartige Zahlungen sind – den Buchstaben der Gesetze nach – mit Strafbarkeitsrisiken wie Unterstützung einer kriminellen Vereinigung oder Geldwäsche verbunden. Zwar ist in der Praxis nicht bekannt, dass Opfer erpresserischer Hacker-Attacken wegen abgepresster Zahlung strafrechtlich verfolgt wurden – die Rechtslage ist jedoch unsicher und nicht frei von Risiken.

Cyberangriffe sind insbesondere eine rechtliche Herausforderung für Unternehmen. Wer Vorsorge trifft, kann im Ernstfall schneller reagieren und Schäden abwenden. Ein überlegtes und rasches Vorgehen ist dann entscheidend: Nur so können weitere Schäden vermieden werden.

*) Dr. Jürgen Hartung ist Partner bei Oppenhoff und leitet die Taskforce Cybersecurity.