Die Digitalisierung bringt viele Vorteile: Von schneller Kommunikation bis hin zu permanenter Verfügbarkeit von Daten und Know-how. Gleichzeitig und leider auch schneller entwickelt sich die Vorgehensweise von Cyberkriminellen. Datenschutz, Cybersicherheit und Digitalisierung gehören daher untrennbar zusammen.
„Cybersecurity“ ist in aller Munde und kaum ein Thema hat in den letzten Monaten soviel an Bedeutung gewonnen. Ursache dafür ist, dass fast keine Woche vergeht in der das Wort „Cyberangriff“ nicht in den Schlagzeilen zu lesen ist. Das zeigt auch, dass das Risiko Opfer eines Hackerangriffs zu werden, nicht nur kritische Infrastrukturen, Behörden und Konzerne betrifft, sondern auch klein- und mittelständische Unternehmen sowie Schulen und Universitäten. Cyberangriffe stellen mittlerweile ein hohes Bedrohungspotential dar.
Das Bedrohungspotenzial Ransomware, DDos-Angriffe, Phishing und Hacking ist omnipräsent. Der Schaden für Unternehmen lässt sich kaum einschätzen – sowohl der Reputationsschaden als auch der finanzielle, wie Umsatzeinbußen, entgangene Gewinne, Datenverlust und die Kosten für die Wiederherstellung der Daten und Betriebssysteme.
Laut der Bitkom-Studie 2021 entsteht der deutschen Wirtschaft durch Diebstahl, Spionage und Sabotage jährlich ein Gesamtschaden von 223 Milliarden Euro. Die Schadenssumme ist mehr als doppelt so hoch wie in den Jahre 2018/2019. Neun von zehn Unternehmen (88 %) waren 2020/2021 von Angriffen betroffen.1
Es ist daher wichtig und essenziell sich mit der Frage zu beschäftigten, wie das Risiko minimiert werden kann.
Was sind Schadprogramme?
Zu Schadprogrammen zählen alle Computerprogramme, die schädliche Operationen ausführen können oder andere Programme dazu befähigen, dies zu tun. Schadprogramme gelangen u.a. im Anhang oder über Links in E-Mails auf einen Computer.2
Die einzelnen Schadprogramme unterscheiden sich im Hinblick auf ihre Funktionalität, wobei ein Schadprogramm auch mehrere Funktionalitäten aufweisen kann, z.B.:
- Ransomware: Schadprogramm, die etwa durch Verschlüsselung den Zugang zu Daten oder Systemen einschränken, damit der Angreifer anschließend ein Lösegeld erpressen kann.
- Spam und Malware-Spam: Unerwünscht zugesandte E-Mails werden als Spam bezeichnet. Neben diesen unerwünschten Werbe-E-Mails kann es sich auch um einen Cyberangriff handelt, wie Malware-Spam oder Phishing-Email.
- Botnetze: Unter einem Bot ist ein Schadprogramm zu verstehen, das einem Angreifer den Fernzugriff auf ein infiziertes Systm ermöglich. Den Zusammenschluss mehrere Bots, die von einer zentralen Stelle gesteuert werden, bezeichnet man als Botnetz. (z.B. Emoted).3
Beim Thema Cybersicherheit geht es nicht allein um Computersysteme und Netzwerke. Mindestens ebenso wichtig sind die Nutzer und Nutzerinnen dieser Technologien: der Mensch mit all seinen Stärken und Schwächen. Beim Social Engineering nutzt der Täter den „Faktor Mensch“ als vermeintlich schwächstes Glied der Sicherheitskette aus, um seine kriminelle Absicht zu verwirklichen.4
Wer haftet für den Schaden durch einen Cyberangriff?
Der Schaden der durch einen Angriff entsteht ist nur schwer kalkulierbar. Dies ist vor allem in den unterschiedlichen Vorgehensweisen der Angreifer begründet.
Eine Inanspruchname des „Hackers“ ist in der Regel kaum möglich wie auch der Rückgriff auf grob fahrlässig handeldende Beschäftigte oder Dienstleister. Letztendlich haftet die Geschäftsführung als Verantwortlicher. Maßgeblich dafür sind, je nach Gesellschaftsform:
- 91 Abs. 2, § 23, § 116 AktG und
- 43 Abs. 2 GmbHG Haftung der Geschäftsführer
„Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.“
Der Gesetzgeber fordert hier eine Sorgfaltspflicht des gewissenhaften und ordentlichen Kaufmanns. Die IT-Sicherheit gehört hier auch zu den Sorgfaltspflichten der Unternehmensführung und zu deren Aufgaben. Dazu zählen ebenfalls das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG), das Hinweisgeberschutzgesetz (HinSchG-E), die Datenschutzrechte (DSGVO, BDSG) und ggf. spezielle Sicherheitsnormen u.a. das IT-SiG 2.0.
Cyberversicherung
Eine Cyber-Versicherung ist eine fakultative Zusatzversicherung für Unternehmen, die Schäden im Zusammenhang mit Hacker-Angriffen oder sonstigen Akten von Cyberkriminalität absichert.
Eine Cyberversicherung ersetzt den unmittelbaren Schaden, der bei einem Cyberangriff entstanden ist. So kommt die Versicherung z.B. für die Kosten für externe IT-Forensiker auf oder für Schadensersatzforderungen geschädigter Dritter. Die Geschäftsführung muss als Voraussetzung allerdings ihrer Aufgabe der Cyber-Compliance nachkommen. Ist diese nicht oder nur unzureichend erfüllt, kann die Unternehmensführung dafür haftbar gemacht werden (Dies zeigt auch das Urteil des Landgerichts München I vom 10.12.2013 (Az.: 5HK O 1387/10)).
Es gilt daher, dass trotz einer sehr guten Versicherung jeder Geschäftsführer selbst dafür sorgen muss, dass die Cyberrisiken so gering wie möglich ausfallen.
Die Geschäftsführung hat einen gewissen Spielraum, der sich allerdings an bestimmten Faktoren bemisst. Vor allem ist das Angemessenheitserfordernis im Rahmen einer Risikoanalyse zu erfüllen. Die Eintrittswahrscheinlichkeit eines Cyberschadens, die zu erwartende Schadenshöhe, die Unternehmensgröße, das Geschäftsfeld und die interne Organisationsstruktur sind dabei zu berücksichtigen.
Cyberversicherungen versprechen grundsätzlich die Absicherung gegen unterschiedliche Arten von Cyberangriffen. Der Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) hat „Allgemeine Versicherungsbedingungen für die Cyberrisiko-Versicherung“ herausgegeben.5
Vielfach geben Versicherungen einen Bewertungskatalog vor und/oder teilweise auch entsprechende technische Maßnahmen, die mindestens implementiert sein müssen.
Risikobewertung
Das Unternehmensführung hat im Hinblick auf ihre Sorgfaltspflicht ein Überwachungssystem einzurichten, sprich ein Risikomanagementsystem. Dabei geht es auch darum, Haftungsbereiche zu lokalisieren und abzusichern. Dabei ist u.a. zu prüfen:
- Welche Szenarien können eintreten und welcher Schaden, kann daraus entstehen?
- Welche technischen und organisatorischen Maßnahmen sind bereits implementiert?
- Welche Sicherheitsmaßnahmen können auf Basis des Soll-/Ist-Vergleichs zur Risikominimierung (noch) ergriffen werden?
- Wie kann deren Einhaltung geprüft werden?
(regelmäßige Überprüfungen durch DSB, IT-Sicherheitsbeauftragter; Zertifizierung)
- Wie kann eine kontinuierliche Verbesserung erreicht werden?
Im Rahmen des Datenschutz-Managementsystems ist hier das prozessorientierte Instrument der Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 33 DSGVO sehr hilfreich, welches den risikobasierten (risk-based approach) aufgreift.
Beispiele für Risikoquellen:
- Interne menschliche Quellen
- Unbeabsichtigtes Handeln (individuelle oder strukturelle Fehler)
- Vorsätzliches Handeln: Schaden für den Betroffenen wird entweder billigend in Kauf genommen oder wird vom Verursacher beabsichtigt (Ziel der Handlung).
- Externe menschliche Quellen
- Unbeabsichtigtes Handeln (individuelle oder strukturelle Fehler)
- Vorsätzliches Handeln: Angreifer oder Verursacher außerhalb der verantwortlichen Stelle mit dem Ziel der Schädigung des Unternehmens oder der betroffenen Personen.
- Nichtmenschliche Quellen
- Intern/Extern: Systemfehler (Software, Hardware) führen zu Verlust, Offenlegung Veränderung oder missbräuchlicher Verwendung personenbezogener Daten.
Besondere Anforderungen
Zur Erhöhung der Sicherheit sogenannter informationstechnischer Systeme wurde das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-SiG 2.0) im Frühjahr 2021 vom deutschen Gesetzgeber beschlossen. Seit Ende Mai 2021 es ist es inzwischen in Kraft. Es bringt die Informationssicherheit auf ein neues Level.
Neben der IT-Sicherheits- und Meldepflichten für Betreiber kritischer Infrastrukturen bestimmt das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) (wie auch die NIS-RL) besondere Anforderungen an Anbieter digitaler Dienste. Anbieter digtaler Dienste sind gemäß § 2 Abs. 11 BSIG u.a. Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste.
- 8c BISG bestimmt für diese Anbieter eigene Sicherheits- und Meldepflichten, die weitgehend den Pflichten der §§ 8a, 8b BISG entsprechen:
- 8c BSIG Besondere Anforderungen an Anbieter digitaler Dienste
(1) Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.
(2) Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:
- der Sicherheit der Systeme und Anlagen,
- der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,
- dem Betriebskontinuitätsmanagement,
- der Überwachung, Überprüfung und Erprobung,
- der Einhaltung internationaler Normen.
[…]
Die Datenschutz-Grundverordnung (DSGVO) normiert, technologieneutral, u.a. im Art. 32 Sicherheit der Verarbeitung, die Datensicherheit, für personenbezogene Daten wie folgt:
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
-
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
[…]
Eine Nachweis- und Dokumentationspflicht ergibt sich aus Art. 5 Abs. 2 DSGVO („Rechenschaftspflicht“), welche auch von anderen Normen wie z.B. dem Geschäftsgeheimnisgesetz, dem Hinweisgeberschutzgesetz und vom Regierungsentwurf des Verbandssanktionengesetz gefordert werden.
Fazit
Eine gute rechtliche Absicherung kann bereits dadurch geschaffen werden, in dem der Verantwortliche den Soll- und Ist-Stand der Datensicherheit im Unternehmen unter Berücksichtigung der gesetzlichen Anforderungen analysiert, ergriffene Maßnahmen dokumentiert und Haftungsrisiken in einzelnen Bereichen konsequent angeht.
Die Cyberversicherung sollte sorgfältig und auf die Bedürfnisse des Unternehmens ausgewählt werden. Ungeachtet dessen gilt, dass trotz einer sehr guten Versicherung die Unternehmensführung selbst dafür sorgen muss, dass die Cyberrisiken so gering wie möglich ausfallen und die implementierten Maßnahmen auch eingehalten werden.
Ein erfolgreiches Compliance-System ist daher sehr wichtig. Maßgeblich sind außerdem die Vorbildfunktion von Fach- und Führungskräften sowie den Leitungsorganen, die Kommunikation von Werten und das kompromisslose Sanktionieren von „Non-Compliance“.
Compliance ist eine zentrale Voraussetzung für langfristigen und nachhaltigen unternehmerischen Erfolg. Und minimiert das Haftungsrisiko – denn die beste Versicherung ist die, die man nicht in Anspruch nehmen muss.
AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.
Nachtrag: 15. November 2021:
Microsoft warnt vor Angriffen auf Exchange Server trotz Multifaktor-Authentifizierung
https://www.zdnet.de/88397760/microsoft-warnt-vor-angriffen-auf-exchange-server-trotz-multifaktor-authentifizierung/amp/
Weitergehende Informationen:
Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl121s1122.pdf#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl121s1122.pdf%27%5D__1636451545770
BSI – Tipps für Cyber-Sicherheit in Unternehmen: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Unternehmen-allgemein/10-Tipps-zur-Cyber-Sicherheit-fuer-Unternehmen/10-tipps-zur-cyber-sicherheit-fuer-unternehmen_node.html
BSI Die Lage der IT-Sicherheit Deutschland 2021 https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html
1 Vgl. https://www.bitkom.org/Presse/Presseinformation/Angriffsziel-deutsche-Wirtschaft-mehr-als-220-Milliarden-Euro-Schaden-pro-Jahr (zuletzt abgerufen am 09.11.2021)
2 Vgl. Die Lage der IT-Sicherheit in Deutschland 2021, Gefährdungslage, S. 10, Bundesamt für Sicherheit in der Informationstechnik