Fast jedes Unternehmen ist Umfragen zufolge bereits von Cyberattacken betroffen gewesen. Nach Erkenntnissen des Verbandes der deutschen Informations- und Te­lekommunikationsbranche Bitkom entstehen dadurch Schäden von jährlich über 200 Mrd. Euro – vor allem durch Erpressung, den Ausfall von Informations- und Produktionssystemen sowie die Störung von Betriebsabläufen. Cyberangriffe sind insbesondere eine rechtliche Herausforderung für Unternehmen: Ausreichender Schutz und adäquate Reaktionen im Angriffsfalle sind überlebenswichtig.

Besonders perfide sind sogenannte Ransomware-Angriffe: Die Täter ziehen Informationen aus dem Unternehmen ab und verschlüsseln die Unternehmensrechner. Es wird „angeboten“, gegen Zahlung eines Geldbetrags die Verschlüsselung aufzuheben und die Daten nicht zu veröffentlichen. Den Unternehmen drohen ein kompletter Ausfall ihres Netzwerks und der daran angeschlossenen IT einschließlich der Produktionsanlagen sowie die Publikation von personenbezogenen Daten und Betriebsgeheimnissen.

Neben den unmittelbaren Schäden drohen weitere: Produktions- und Lieferausfälle, Verzug bei der Erbringung geschuldeter Leistungen, Gefährdung von mit dem eigenen Netzwerk verbundenen Partnern, Schadenersatz beziehungsweise Bußgelder wegen Ver­öffentlichung fremder Betriebsgeheimnisse so­wie Verletzung des Datenschutzes. In der Regel stellt sich die Frage, ob das Management wegen Verletzung der Pflichten zur Risikovermeidung haften muss.

Im Zentrum der Vorsorge stehen die ausreichende IT-Sicherheit, die regelmäßig überprüft und laufend aktualisiert werden sollte, sowie die Schulung der Mitarbeiter. Durch ein geregeltes Informationsmanagement, Löschkonzepte und eine Klassifizierung von Unternehmensinformationen verringert man das Gefahrenpotenzial und kann die wichtigsten Informationen besonders schützen, zum Beispiel durch eigene Verschlüsselung.

Die rechtlich erforderlichen Vorsorgemaßnahmen gehen jedoch weiter. Verstöße müssen bei Datenschutzbehörden und – im Fall der Betreiber kritischer Infrastruktur – auch beim Bundesamt für Sicherheit in der Informationstechnik (BSI) im Ernstfall fristgerecht gemeldet werden. Dazu müssen Unternehmensprozesse eingeführt und eingeübt werden. Auch sollte geprüft werden, ob das Unternehmen ausreichend versichert ist, zum Beispiel durch eine spezifische Cyberversicherung. Deren Beiträge steigen derzeit wegen der vielen Fälle übrigens rasant. Für die Geschäftsführung kann eine Abdeckung ihrer Haftungsrisiken durch eine D&O-Ver­sicherung (Directors-and-Officers-Versicherung) interessant sein.

Bei einem Angriff stellen sich unterschiedliche rechtliche Fragen:

Erstens sollte bei der Einschaltung von IT-Sicherheitsfirmen darauf geachtet werden, dass beauftragte forensische Begutachtungen von der Versicherung akzeptiert und später vor Gericht verwendet werden können. Dabei ist zu beachten, ob und wie diese Informationen vor möglichen Anspruchsgegnern geschützt werden können.

Zweitens müssen viele Cyber­angriffe innerhalb von 72 Stunden den Datenschutzbehörden gemeldet werden. Die europäischen Aufsichtsbehörden haben Richtlinien zu diesen Meldepflichten veröffentlicht. Betreiber kritischer Infrastrukturen müssen Meldepflichten gegenüber dem BSI prüfen. Schließlich ist die Cyberversicherung rechtzeitig zu informieren, damit der Versicherungsschutz gewahrt bleibt.

Drittens sollten im Wege einer Strafanzeige die staatlichen Ermittlungsbehörden eingeschaltet und laufend informiert werden. Häufig sind spezialisierte Einheiten bei Staatsanwaltschaften, Landeskriminalämtern oder beim Bundeskriminalamt zuständig.

Viertens sollten für Verhandlungen mit den Hackern erfahrene Experten von Krisenmanagement-Firmen ausgewählt werden. Alternativ stehen erfahrene Verhandlungsteams der Ermittlungsbehörden zur Unterstützung bereit.

Fünftens ist zu entscheiden, ob Dritte wie Kunden und andere Geschäftspartner im Hinblick auf eventuelle Leistungsstörungen so­wie eine Gefährdung durch die Schadsoftware zu informieren sind. Dies sollte mit einer erfahrenen Kommunikationsagentur abgestimmt werden.

Sechstens sollte sich die Ge­schäftsführung für den angedachten Fall der Zahlung einer geforderten Summe strafrechtlich beraten lassen und unter Umständen mit den Ermittlungsbehörden abstimmen. Derartige Zahlungen sind – den Buchstaben der Gesetze nach – mit Strafbarkeitsrisiken wie Unterstützung krimineller Vereinigung oder Geldwäsche verbunden. Zwar ist in der Praxis nicht bekannt, dass Opfer erpresserischer Hackerattacken selber wegen abgepresster Zahlungen strafrechtlich verfolgt wurden – die Rechtslage ist jedoch unsicher und nicht frei von Risiken.