Die Di­gi­ta­li­sie­rung bringt viele Vor­tei­le: Von schnel­ler Kom­mu­ni­ka­ti­on bis hin zu per­ma­nen­ter Ver­füg­bar­keit von Daten und Know-how. Gleich­zei­tig und leider auch schnel­ler ent­wi­ckelt sich die Vor­ge­hens­wei­se von Cy­ber­kri­mi­nel­len. Daten­schutz, Cy­ber­si­cher­heit und Di­gi­ta­li­sie­rung gehören daher un­trenn­bar zusammen.

„Cy­ber­se­cu­ri­ty“ ist in aller Munde und kaum ein Thema hat in den letzten Monaten soviel an Be­deu­tung ge­won­nen. Ursache dafür ist, dass fast keine Woche vergeht in der das Wort „Cy­ber­an­griff“ nicht in den Schlag­zei­len zu lesen ist. Das zeigt auch, dass das Risiko Opfer eines Ha­cker­an­griffs zu werden, nicht nur kri­ti­sche In­fra­struk­tu­ren, Be­hör­den und Kon­zer­ne be­trifft, sondern auch klein- und mit­tel­stän­di­sche Un­ter­neh­men sowie Schulen und Uni­ver­si­tä­ten. Cy­ber­an­grif­fe stellen mitt­ler­wei­le ein hohes Be­dro­hungs­po­ten­ti­al dar.

Das Be­dro­hungs­po­ten­zi­al Ran­som­wa­re, DDos-An­­grif­­fe, Phis­hing und Hacking ist om­ni­prä­sent. Der Schaden für Un­ter­neh­men lässt sich kaum ein­schät­zen – sowohl der Re­pu­ta­ti­ons­scha­den als auch der fi­nan­zi­el­le, wie Um­satz­ein­bu­ßen, ent­gan­ge­ne Gewinne, Da­ten­ver­lust und die Kosten für die Wie­der­her­stel­lung der Daten und Betriebssysteme.

Laut der Bitkom-Studie 2021 ent­steht der deut­schen Wirt­schaft durch Dieb­stahl, Spio­na­ge und Sa­bo­ta­ge jähr­lich ein Ge­samt­scha­den von 223 Mil­li­ar­den Euro. Die Scha­dens­sum­me ist mehr als doppelt so hoch wie in den Jahre 2018/2019. Neun von zehn Un­ter­neh­men (88 %) waren 2020/2021 von An­grif­fen be­trof­fen.1

Es ist daher wichtig und es­sen­zi­ell sich mit der Frage zu be­schäf­tig­ten, wie das Risiko mi­ni­miert werden kann.

Was sind Schadprogramme?

Zu Schad­pro­gram­men zählen alle Com­pu­ter­pro­gram­me, die schäd­li­che Ope­ra­tio­nen aus­füh­ren können oder andere Pro­gram­me dazu be­fä­hi­gen, dies zu tun. Schad­pro­gram­me ge­lan­gen u.a. im Anhang oder über Links in E-Mails auf einen Com­pu­ter.2

Die ein­zel­nen Schad­pro­gram­me un­ter­schei­den sich im Hin­blick auf ihre Funk­tio­na­li­tät, wobei ein Schad­pro­gramm auch mehrere Funk­tio­na­li­tä­ten auf­wei­sen kann, z.B.:

  • Ran­som­wa­re: Schad­pro­gramm, die etwa durch Ver­schlüs­se­lung den Zugang zu Daten oder Sys­te­men ein­schrän­ken, damit der An­grei­fer an­schlie­ßend ein Lö­se­geld er­pres­sen kann.
  • Spam und Malware-Spam: Un­er­wünscht zu­ge­sand­te E-Mails werden als Spam be­zeich­net. Neben diesen un­er­wünsch­ten Werbe-E-Mails kann es sich auch um einen Cy­ber­an­griff handelt, wie Malware-Spam oder Phishing-Email.
  • Bot­net­ze: Unter einem Bot ist ein Schad­pro­gramm zu ver­ste­hen, das einem An­grei­fer den Fern­zu­griff auf ein in­fi­zier­tes Systm er­mög­lich. Den Zu­sam­men­schluss mehrere Bots, die von einer zen­tra­len Stelle ge­steu­ert werden, be­zeich­net man als Botnetz. (z.B. Emoted).3

Beim Thema Cy­ber­si­cher­heit geht es nicht allein um Com­pu­ter­sys­te­me und Netz­wer­ke. Min­des­tens ebenso wichtig sind die Nutzer und Nut­ze­rin­nen dieser Tech­no­lo­gien: der Mensch mit all seinen Stärken und Schwä­chen. Beim Social En­gi­nee­ring nutzt der Täter den „Faktor Mensch“ als ver­meint­lich schwächs­tes Glied der Si­cher­heits­ket­te aus, um seine kri­mi­nel­le Absicht zu ver­wirk­li­chen.

Wer haftet für den Schaden durch einen Cyberangriff?

Der Schaden der durch einen Angriff ent­steht ist nur schwer kal­ku­lier­bar. Dies ist vor allem in den un­ter­schied­li­chen Vor­ge­hens­wei­sen der An­grei­fer begründet.

Eine In­an­spruch­na­me des „Hackers“ ist in der Regel kaum möglich wie auch der Rück­griff auf grob fahr­läs­sig han­del­den­de Be­schäf­tig­te oder Dienst­leis­ter. Letzt­end­lich haftet die Ge­schäfts­füh­rung als Ver­ant­wort­li­cher. Maß­geb­lich dafür sind, je nach Gesellschaftsform:

  • 91 Abs. 2, § 23, § 116 AktG und
  • 43 Abs. 2 GmbHG Haftung der Geschäftsführer
    „Ge­schäfts­füh­rer, welche ihre Ob­lie­gen­hei­ten ver­let­zen, haften der Ge­sell­schaft so­li­da­risch für den ent­stan­de­nen Schaden.“

Der Ge­setz­ge­ber fordert hier eine Sorg­falts­pflicht des ge­wis­sen­haf­ten und or­dent­li­chen Kauf­manns. Die IT-Si­cher­heit gehört hier auch zu den Sorg­falts­pflich­ten der Un­ter­neh­mens­füh­rung und zu deren Auf­ga­ben. Dazu zählen eben­falls das Gesetz zum Schutz von Ge­schäfts­ge­heim­nis­sen (GeschGehG), das Hin­weis­ge­ber­schutz­ge­setz (HinSchG-E), die Da­ten­schutz­rech­te (DSGVO, BDSG) und ggf. spe­zi­el­le Si­cher­heits­nor­men u.a. das IT-SiG 2.0.

Cy­ber­ver­si­che­rung

Eine Cyber-Ver­­­si­che­rung ist eine fa­kul­ta­ti­ve Zu­satz­ver­si­che­rung für Un­ter­neh­men, die Schäden im Zu­sam­men­hang mit Hacker-An­­grif­­fen oder sons­ti­gen Akten von Cy­ber­kri­mi­na­li­tät absichert.

Eine Cy­ber­ver­si­che­rung ersetzt den un­mit­tel­ba­ren Schaden, der bei einem Cy­ber­an­griff ent­stan­den ist. So kommt die Ver­si­che­rung z.B. für die Kosten für externe IT-Fo­­ren­­si­ker auf oder für Scha­dens­er­satz­for­de­run­gen ge­schä­dig­ter Dritter. Die Ge­schäfts­füh­rung muss als Vor­aus­set­zung al­ler­dings ihrer Aufgabe der Cyber-Com­­pli­­an­ce nach­kom­men. Ist diese nicht oder nur un­zu­rei­chend erfüllt, kann die Un­ter­neh­mens­füh­rung dafür haftbar gemacht werden (Dies zeigt auch das Urteil des Land­ge­richts München I vom 10.12.2013 (Az.: 5HK O 1387/10)).

Es gilt daher, dass trotz einer sehr guten Ver­si­che­rung jeder Ge­schäfts­füh­rer selbst dafür sorgen muss, dass die Cy­ber­ri­si­ken so gering wie möglich ausfallen.

Die Ge­schäfts­füh­rung hat einen ge­wis­sen Spiel­raum, der sich al­ler­dings an be­stimm­ten Fak­to­ren bemisst. Vor allem ist das An­ge­mes­sen­heits­er­for­der­nis im Rahmen einer Ri­si­ko­ana­ly­se zu er­fül­len. Die Ein­tritts­wahr­schein­lich­keit eines Cy­ber­scha­dens, die zu er­war­ten­de Scha­dens­hö­he, die Un­ter­neh­mens­grö­ße, das Ge­schäfts­feld und die interne Or­ga­ni­sa­ti­ons­struk­tur sind dabei zu berücksichtigen.

Cy­ber­ver­si­che­run­gen ver­spre­chen grund­sätz­lich die Ab­si­che­rung gegen un­ter­schied­li­che Arten von Cy­ber­an­grif­fen. Der Ge­samt­ver­band der Deut­schen Ver­si­che­rungs­wirt­schaft e.V. (GDV) hat „All­ge­mei­ne Ver­si­che­rungs­be­din­gun­gen für die Cy­­ber­ri­­si­­ko-Ver­­­si­che­rung“ her­aus­ge­ge­ben.5

Viel­fach geben Ver­si­che­run­gen einen Be­wer­tungs­ka­ta­log vor und/oder teil­wei­se auch ent­spre­chen­de tech­ni­sche Maß­nah­men, die min­des­tens im­ple­men­tiert sein müssen.

Ri­si­ko­be­wer­tung

Das Un­ter­neh­mens­füh­rung hat im Hin­blick auf ihre Sorg­falts­pflicht ein Über­wa­chungs­sys­tem ein­zu­rich­ten, sprich ein Ri­si­ko­ma­nage­ment­sys­tem. Dabei geht es auch darum, Haf­tungs­be­rei­che zu lo­ka­li­sie­ren und ab­zu­si­chern. Dabei ist u.a. zu prüfen:

  • Welche Sze­na­ri­en können ein­tre­ten und welcher Schaden, kann daraus entstehen?
  • Welche tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men sind bereits implementiert?
  • Welche Si­cher­heits­maß­nah­men können auf Basis des Soll-/Ist-Ver­­­gleichs zur Ri­si­ko­mi­ni­mie­rung (noch) er­grif­fen werden?
  • Wie kann deren Ein­hal­tung geprüft werden?

(re­gel­mä­ßi­ge Über­prü­fun­gen durch DSB, IT-Si­cher­heits­­­be­auf­­tra­g­­ter; Zertifizierung)

  • Wie kann eine kon­ti­nu­ier­li­che Ver­bes­se­rung er­reicht werden?

Im Rahmen des Da­ten­­­schutz-Ma­­na­ge­­men­t­­sys­­tems ist hier das pro­zess­ori­en­tier­te In­stru­ment der Da­ten­­­schutz-Fol­­gen­a­b­­schä­t­­zung (DSFA) gemäß Art. 33 DSGVO sehr hilf­reich, welches den ri­si­ko­ba­sier­ten (risk-based ap­proach) auf­greift.

Bei­spie­le für Risikoquellen:

  • Interne mensch­li­che Quellen 
    • Un­be­ab­sich­tig­tes Handeln (in­di­vi­du­el­le oder struk­tu­rel­le Fehler)
    • Vor­sätz­li­ches Handeln: Schaden für den Be­trof­fe­nen wird ent­we­der bil­li­gend in Kauf ge­nom­men oder wird vom Ver­ur­sa­cher be­ab­sich­tigt (Ziel der Handlung).
  • Externe mensch­li­che Quellen 
    • Un­be­ab­sich­tig­tes Handeln (in­di­vi­du­el­le oder struk­tu­rel­le Fehler)
    • Vor­sätz­li­ches Handeln: An­grei­fer oder Ver­ur­sa­cher au­ßer­halb der ver­ant­wort­li­chen Stelle mit dem Ziel der Schä­di­gung des Un­ter­neh­mens oder der be­trof­fe­nen Personen.
  • Nicht­mensch­li­che Quellen 
    • Intern/Extern: Sys­tem­feh­ler (Soft­ware, Hard­ware) führen zu Verlust, Of­fen­le­gung Ver­än­de­rung oder miss­bräuch­li­cher Ver­wen­dung per­so­nen­be­zo­ge­ner Daten.

Be­son­de­re Anforderungen

Zur Erhöhung der Si­cher­heit so­ge­nann­ter in­for­ma­ti­ons­tech­ni­scher Systeme wurde das „Zweite Gesetz zur Erhöhung der Si­cher­heit in­for­ma­ti­ons­tech­ni­scher Systeme“ (IT-SiG 2.0) im Frühjahr 2021 vom deut­schen Ge­setz­ge­ber be­schlos­sen. Seit Ende Mai 2021 es ist es in­zwi­schen in Kraft. Es bringt die In­for­ma­ti­ons­si­cher­heit auf ein neues Level.

Neben der IT-Si­cher­heits- und Mel­de­pflich­ten für Be­trei­ber kri­ti­scher In­fra­struk­tu­ren be­stimmt das Gesetz über das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSIG) (wie auch die NIS-RL) be­son­de­re An­for­de­run­gen an An­bie­ter di­gi­ta­ler Dienste. An­bie­ter digta­ler Dienste sind gemäß § 2 Abs. 11 BSIG u.a. Online-Mark­t­­plä­t­­ze, Online-Such­­ma­­schi­­nen und Cloud-Computing-Dienste.

  • 8c BISG be­stimmt für diese An­bie­ter eigene Si­cher­heits- und Mel­de­pflich­ten, die weit­ge­hend den Pflich­ten der §§ 8a, 8b BISG entsprechen:
  • 8c BSIG Be­son­de­re An­for­de­run­gen an An­bie­ter di­gi­ta­ler Dienste

(1) An­bie­ter di­gi­ta­ler Dienste haben ge­eig­ne­te und ver­hält­nis­mä­ßi­ge tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men zu treffen, um Risiken für die Si­cher­heit der Netz- und In­for­ma­ti­ons­sys­te­me, die sie zur Be­reit­stel­lung der di­gi­ta­len Dienste in­ner­halb der Eu­ro­päi­schen Union nutzen, zu be­wäl­ti­gen. Sie haben Maß­nah­men zu treffen, um den Aus­wir­kun­gen von Si­cher­heits­vor­fäl­len auf in­ner­halb der Eu­ro­päi­schen Union er­brach­te di­gi­ta­le Dienste vor­zu­beu­gen oder die Aus­wir­kun­gen so gering wie möglich zu halten.

(2) Maß­nah­men zur Be­wäl­ti­gung von Risiken für die Si­cher­heit der Netz- und In­for­ma­ti­ons­sys­te­me nach Absatz 1 Satz 1 müssen unter Be­rück­sich­ti­gung des Stands der Technik ein Si­cher­heits­ni­veau der Netz- und In­for­ma­ti­ons­sys­te­me ge­währ­leis­ten, das dem be­stehen­den Risiko an­ge­mes­sen ist. Dabei ist fol­gen­den Aspek­ten Rech­nung zu tragen:

  1. der Si­cher­heit der Systeme und Anlagen,
  2. der Er­ken­nung, Analyse und Ein­däm­mung von Sicherheitsvorfällen,
  3. dem Betriebskontinuitätsmanagement,
  4. der Über­wa­chung, Über­prü­fung und Erprobung,
  5. der Ein­hal­tung in­ter­na­tio­na­ler Normen.

[…]

Die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO) nor­miert, tech­no­lo­gie­neu­tral, u.a. im Art. 32 Si­cher­heit der Ver­ar­bei­tung, die Da­ten­si­cher­heit, für per­so­nen­be­zo­ge­ne Daten wie folgt:

(1) Unter Be­rück­sich­ti­gung des Stands der Technik, der Im­ple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Um­stän­de und der Zwecke der Ver­ar­bei­tung sowie der un­ter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwere des Risikos für die Rechte und Frei­hei­ten na­tür­li­cher Per­so­nen treffen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter ge­eig­ne­te tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risiko an­ge­mes­se­nes Schutz­ni­veau zu ge­währ­leis­ten; diese Maß­nah­men schlie­ßen ge­ge­be­nen­falls unter anderem Fol­gen­des ein:

    1. die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
    2. die Fä­hig­keit, die Ver­trau­lich­keit, In­te­gri­tät, Ver­füg­bar­keit und Be­last­bar­keit der Systeme und Dienste im Zu­sam­men­hang mit der Ver­ar­bei­tung auf Dauer sicherzustellen;
    3. die Fä­hig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
    4. ein Ver­fah­ren zur re­gel­mä­ßi­gen Über­prü­fung, Be­wer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men zur Ge­währ­leis­tung der Si­cher­heit der Verarbeitung.

(2) Bei der Be­ur­tei­lung des an­ge­mes­se­nen Schutz­ni­veaus sind ins­be­son­de­re die Risiken zu be­rück­sich­ti­gen, die mit der Ver­ar­bei­tung ver­bun­den sind, ins­be­son­de­re durch – ob un­be­ab­sich­tigt oder un­recht­mä­ßig – Ver­nich­tung, Verlust, Ver­än­de­rung oder un­be­fug­te Of­fen­le­gung von be­zie­hungs­wei­se un­be­fug­ten Zugang zu per­so­nen­be­zo­ge­nen Daten, die über­mit­telt, ge­spei­chert oder auf andere Weise ver­ar­bei­tet wurden.

[…]

Eine Nach­­weis- und Do­ku­men­ta­ti­ons­pflicht ergibt sich aus Art. 5 Abs. 2 DSGVO („Re­chen­schafts­pflicht“), welche auch von anderen Normen wie z.B. dem Ge­schäfts­ge­heim­nis­ge­setz, dem Hin­weis­ge­ber­schutz­ge­setz und vom Re­gie­rungs­ent­wurf des Ver­bands­sank­tio­nen­ge­setz ge­for­dert werden.

Fazit

Eine gute recht­li­che Ab­si­che­rung kann bereits dadurch ge­schaf­fen werden, in dem der Ver­ant­wort­li­che den Soll- und Ist-Stand der Da­ten­si­cher­heit im Un­ter­neh­men unter Be­rück­sich­ti­gung der ge­setz­li­chen An­for­de­run­gen ana­ly­siert, er­grif­fe­ne Maß­nah­men do­ku­men­tiert und Haf­tungs­ri­si­ken in ein­zel­nen Be­rei­chen kon­se­quent angeht.

Die Cy­ber­ver­si­che­rung sollte sorg­fäl­tig und auf die Be­dürf­nis­se des Un­ter­neh­mens aus­ge­wählt werden. Un­ge­ach­tet dessen gilt, dass trotz einer sehr guten Ver­si­che­rung die Un­ter­neh­mens­füh­rung selbst dafür sorgen muss, dass die Cy­ber­ri­si­ken so gering wie möglich aus­fal­len und die im­ple­men­tier­ten Maß­nah­men auch ein­ge­hal­ten werden.

Ein er­folg­rei­ches Com­­pli­­an­ce-System ist daher sehr wichtig. Maß­geb­lich sind au­ßer­dem die Vor­bild­funk­ti­on von Fach- und Füh­rungs­kräf­ten sowie den Lei­tungs­or­ga­nen, die Kom­mu­ni­ka­ti­on von Werten und das kom­pro­miss­lo­se Sank­tio­nie­ren von „Non-Com­­pli­­an­ce“.

Com­pli­ance ist eine zen­tra­le Vor­aus­set­zung für lang­fris­ti­gen und nach­hal­ti­gen un­ter­neh­me­ri­schen Erfolg. Und mi­ni­miert das Haf­tungs­ri­si­ko – denn die beste Ver­si­che­rung ist die, die man nicht in An­spruch nehmen muss.

 

AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Datenschutz.

 

Nach­trag: 15. No­vem­ber 2021:
Mi­cro­soft warnt vor An­grif­fen auf Ex­ch­an­ge Server trotz Multifaktor-Authentifizierung
https://www.zdnet.de/88397760/microsoft-warnt-vor-angriffen-auf-exchange-server-trotz-multifaktor-authentifizierung/amp/ 

 

Wei­ter­ge­hen­de Informationen:

Zweites Gesetz zur Er­hö­hung der Si­cher­heit in­for­ma­ti­ons­tech­ni­scher Systeme https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl121s1122.pdf#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl121s1122.pdf%27%5D__1636451545770

BSI – Tipps für Cyber-Si­cher­heit in Un­ter­neh­men: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Unternehmen-allgemein/10-Tipps-zur-Cyber-Sicherheit-fuer-Unternehmen/10-tipps-zur-cyber-sicherheit-fuer-unternehmen_node.html

BSI Die Lage der IT-Si­cher­heit Deutsch­land 2021 https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

1 Vgl. https://www.bitkom.org/Presse/Presseinformation/Angriffsziel-deutsche-Wirtschaft-mehr-als-220-Milliarden-Euro-Schaden-pro-Jahr (zuletzt ab­ge­ru­fen am 09.11.2021)

2 Vgl. Die Lage der IT-Si­cher­heit in Deutsch­land 2021, Ge­fähr­dungs­la­ge, S. 10, Bun­des­amt für Si­cher­heit in der Informationstechnik

Ebenda S. 19

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!