Cybercrime ist ein professionelles Geschäft – mit verheerendem Schadenspotential für Wirtschaftsunternehmen. Die Häufigkeit und die Intensität von Cyberangriffen haben in den letzten Jahren stetig zugenommen und die Täter arbeiten sorgfältig, schnell und effizient.
Cyberkriminalität ist vielschichtig, hochkomplex und besteht in aller Regel aus einem global agierenden Netzwerk, was Nachverfolgung und Aufklärung der Cyberattacken durch Ermittlungs- und Strafverfolgungsbehörden vor besondere Herausforderungen stellt.
Wirtschaftsunternehmen und deren Führungspersonen müssen die von Cyberangriffen ausgehende Bedrohung kennen, im Vorfeld geeignete Schutzvorkehrungen treffen, im akuten Notfall die richtigen Sofortmaßnahmen einleiten und dennoch die Rechtslage mit ihren Haftungsfragen im Überblick behalten.
Ransomware, DDos-Angriffe, Malware - Bedrohungslage durch Cyberattacken
Das Bundeskriminalamt hat am 13.05.2024 das Bundeslagebild Cybercrime 2023 veröffentlicht und bestätigt das, was bereits seit Längerem Gegenstand von Medien, Politik und Justiz ist:
Cybercrime richtet jedes Jahr einen hohen wirtschaftlichen Schaden an, der laut BKA 2023 auf 148 Milliarden Euro beziffert wird. Cyberattacken bestehen aus verschiedenen kriminellen Dienstleistungen, wobei das Geschäftsmodell „Cybercrime-as-a-Service“ nach wie vor die größte Beliebtheit bei subkulturellen Netzwerken erfährt und einer stetig wachsenden Professionalisierung unterliegt. Jedes zweite Wirtschaftsunternehmen nimmt die steigende Bedrohungslage durch Cyberattacken, wie Angriffe mit Ransomware, Malwares, Phisingattacken oder DDos -Angriffe spürbar wahr.
Incidence Responce Plan als individueller Notfallplan
Was ist also zu tun, um sich diesen Cyberbedrohungen bewusst zu werden und im Fall der Fälle entsprechend agieren zu können?
Wichtig ist dabei das Verständnis sowie das Bemühen, sich präventiv vor Cyberangriffen zu schützen. Selbst wenn der eigene Betrieb Zielscheibe einer Cyberattacke wird und sich das Unternehmen mit einem beträchtlichen wirtschaftlichen Schaden konfrontiert sieht, können weitere finanzielle Einbußen durch eine zusätzliche Haftung aufgrund fehlender „Cybercrime-Compliance“ im Unternehmen entstehen.
Technische und organisatorische Sicherheitsmaßnahmen, wie funktionsfähige IT-Systeme, klare Sicherheitsrichtlinien, Sicherheitsschulungen für Mitarbeiter und die Erarbeitung und Anpassung von Notfallplänen sind dabei in einem Wirtschaftsbetrieb unerlässlich.
Gerade die frühzeitige Ausarbeitung eines „Incidence-Response-Plans“ als individueller Notfallplan mit den wichtigsten Handlungsschritten ist im Fall eines echten Angriffs notwendiger Dreh- und Angelpunkt. Dabei ist besonderes Augenmerk auf die Ausarbeitung einer effizienten IT-Compliance zu legen, Verantwortlichkeiten bei Cyberattacken festzulegen, Dokumentations- und Berichtspflichten zu normieren und alternative Handlungs- und Bearbeitungsstränge zu entwickeln, damit der Betrieb nicht gänzlich zum Erliegen kommt.
Besondere Handlungspflichten für die Geschäftsleitung
Daneben treffen die Geschäftsleitung besondere Handlungspflichten. Derzeit müssen bereits Kritische Infrastrukturen (KRITIS) im Fall einer Cyberattacke unverzüglich Meldung beim Bundesamt für Sicherheit und Informationstechnik (BSI) abgeben. Durch die Umsetzung der NIS2-Richtlinie bis Oktober 2024 gelten diese Pflichten dann auch für andere Unternehmen. Aktuell treffen Betriebe und Unternehmen außerhalb dieser Infrastrukturen Meldepflichten nach der DSGVO und unterliegen anderen gesetzlichen Vorgaben, um Haftungsfragen auf ein Minimum zu reduzieren.
Auch wenn gesetzlich keine allgemeinen Handlungspflichten geregelt sind, spielen bei Haftungsfragen nach Cyberangriffen vor allem die Einhaltung von Melde- und Dokumentationspflichten eine entscheidende Rolle:
Art. 5 DSGVO beispielsweise verpflichtet den Betrieb personenbezogene Daten so zu verarbeiten, dass eine angemessene Sicherheit der Daten gewährleistet ist, worunter der Schutz sämtlicher Daten vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor Verlust, Zerstörung oder Schädigung fällt. Es bedarf keiner Erklärung, dass gerade durch Cyberattacken dieser Schutz teilweise oder sogar vollständig ausgehebelt wird und hierdurch erhebliche Haftungsrisiken bei Nicht-Einhaltung entstehen.
Betroffene Unternehmen trifft nach Art. 33, 34 DSGVO die Pflicht, Cyberattacken, Datendiebstahl oder Datenpannen den zuständigen Landesdatenschutzbehörden zu melden sowie betroffene natürliche oder juristische Personen über den unbefugten Zugriff in Kenntnis zu setzen und den Vorfall zu dokumentieren.
Daneben muss die Geschäftsleitung nach § 91 Abs. 2 AktG (analog), geeignete Maßnahmen ergreifen, damit verdächtige Entwicklungen früh erkannt werden, die den Fortbestand der Gesellschaft gefährden. Hieraus leitet sich die Verpflichtung ab, eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation im jeweiligen Betrieb zu verankern. Dies umfasst die Pflicht, auch im Bereich von Cyberbedrohungen breit aufgestellt zu sein und entsprechende Sicherheitsvorkehrungen rechtzeitig und vollumfänglich zu treffen.
Frühzeitige Beratung im Fall der Fälle
Aufgrund der akuten Gefährdungslage und der nicht absehbaren Bedrohung durch Cyberattacken, empfiehlt es sich für Unternehmen, besonderes Augenmerk auf die eigene „Cybercrime-Compliance“, mitunter kostenintensive, funktionsfähige IT-Systeme und organisatorische Sicherheitsmaßnahmen zu legen und hierfür entsprechendes Budget einzuplanen. Auch empfiehlt es sich, sich frühzeitig (datenschutz-)rechtlich beraten zu lassen, damit Haftungsfragen gar nicht erst entstehen.
Ein Schaden durch Cyberattacken fällt in der Regel bereits hoch aus. Zusätzliche Haftungstatbestände aufgrund fehlender oder defizitärer „Cybercrime-Compliance“ können zu einer echten Existenzgefährdung des jeweiligen Betriebs führen.
Kommen Sie gerne auf unsere Datenschutz- und Rechtsexperten bei MKM LEGAL zu, um hier auf der sicheren Seite zu sein und professionellen Cyberangriffen ebenso fachkundig zu begegnen.
Autorin: Elisa Scherg
