ONLINE-SPECIAL: Cybercrime und Recht

Wer die Verantwortung für Cyberangriffe trägt
CDO, CIO und Syndikus rücken enger zusammen, der Grund: die IT-Sicherheit. Sobald der Digitalchef neue Geschäftsmodelle mit personenbezogenen Daten entwickelt, kann es im Fall eines Cyberangriffs richtig teuer werden. Doch auch beim Geschäft mit Maschinendaten steigt das Haftungsrisiko. Ein Blick auf die rechtlichen Aspekte.
TEXT: Eva Rossner

Der Unterschied könnte größer nicht sein: Zwar wächst die Angst vor Cyberrisiken massiv. Immerhin fürchten sich Unternehmen wie nie zuvor vor Hackerangriffen, vor allem ein möglicher Ausfall der IT, Spionage und Datenmissbrauch treiben sie um, berichtet das „Allianz Risk Barometer 2017“. Cybervorfälle sind in Deutschland sogar von Platz 3 auf die Spitzenposition des jährlichen Rankings zu Unternehmensrisiken gerückt und befinden sich auch weltweit unter den Top-3-Risiken. Angesichts dieser Befürchtungen handeln Unternehmen dennoch erstaunlich fahrlässig, wenn es um den Schutz ihrer IT-Sicherheit geht. 

Cyberkriminelle nutzen Fahrlässigkeit

Zumindest vermitteln zahlreiche erfolgreiche Cyberattacken den Eindruck, als fürchteten Unternehmen keine rechtlichen Konsequenzen, wenn sie ihre IT-Sicherheit vernachlässigen. Schnell sind übermächtige Cyberkriminelle verantwortlich, obschon Unternehmen ihnen durch die unzureichende Absicherung ihrer Systeme oftmals den Zutritt gewährt haben. So auch die Anwaltskanzlei Mossack Fonseca im Fall der Panama Papers. Im März 2016 wurde dort ein 2,6 Terrabyte großer Datensatz entwendet, der Informationen über 214.488 Offshore-Firmen enthielt. Die 4,8 Millionen E-Mails, 3 Millionen Datenbank-, 2,1 Millionen PDF- und 320.166 Textdateien enthüllten, wie die Kanzlei ihren Mandanten dabei half, Steuern zu umgehen. Die Firma selbst sieht sich als Opfer eines Hackerangriffs. Bis heute ist nicht abschließen geklärt, wie die Dokumente an die Öffentlichkeit gelangt sind, ob es ein Hackerangriff oder der Leak eines Insiders war. Was indes bewiesen ist: Die Panama-Leaks-Firma gab nicht nur wenig auf das Steuerrecht, IT-Sicherheit war ihr ebenfalls gleichgültig. Das Unternehmen nutzte für interne E-Mails eine Version von Outlook Web Access aus dem Jahr 2009, die seit 2013 nicht mehr mit Updates versorgt worden war. Angreifer hätten auch einfach die Dateistruktur des Servers einsehen können, wie mehrere Sicherheitsforscher berichteten, da Teile des Backends offenbar aufgerufen werden konnten, indem die URLs der betreffenden Seiten geraten wurden. 

Kein Handlungszwang?

Auch aktuelle Meldungen hierzulande erwecken den Eindruck, als hätte Fahrlässigkeit bei der IT-Sicherheit nicht allzu drastische rechtliche Konsequenzen. So können Cyberkriminelle derzeit bei mindestens 1.000 deutschen Onlineshops persönliche Daten der Kunden abgreifen. Dazu wurden schädliche Programmcodes in veraltete Softwareversionen der Shopbetreiber eingeschleust. Die Codes übermitteln sämtliche Zahlungsinformationen, von der Adresse bis zu den Kontodaten der Kundendaten – bei jedem einzelnen getätigten Einkauf. Zu diesem Ergebnis kommt ein bereits im Januar dieses Jahres veröffentlichter Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI). An der Pressemitteilung der Behörde erstaunt mindestens zweierlei: Zum einen die simple Technik der Angreifer, die nur deshalb so effektiv ist, weil es die Betreiber selbst sind, die ihnen Tür und Tor dafür geöffnet haben. „Eine Vielzahl von Shops läuft mit veralteten Softwareversionen, die mehrere bereits bekannte Sicherheitslücken enthalten“, erklärte BSI-Präsident Arne Schönbohm. Zum anderen erstaunt die offenkundige Verweigerung bei der Gewährleistung von IT-Sicherheit, denn das CERT-Bund (Computer Emergency Response Team der Bundesverwaltung) des BSI hat die zuständigen Netzbetreiber längst über die Defizite ihrer Systeme informiert. Aktuellen Erkenntnissen der Behörde zufolge wurde die Spähsoftware von vielen Betreibern bis heute nicht entfernt. 

Info

IT-Ausfälle und Fehlfunktionen kosten ein deutsches Unternehmen durchschnittlich 112.415 Euro pro Jahr. Auf europäischer Ebene treten derzeit im Schnitt drei kritische IT-Events pro Monat auf.

Quelle: Master of Machines III: Mitigating the impact of critical IT Events

Dabei gilt bei Sicherheit meist die Regel: Wer fahrlässig handelt, der haftet. Hausbesitzer, die beispielsweise einen Gehsteig nicht ordnungsgemäß schützen, haften, wenn bei überfrierender Nässe ein Fußgänger zu Schaden kommt. Für Besitzer von Daten gilt das ebenfalls. Übertragen auf Unternehmen, die mit Daten Geschäft machen, heißt das: Wer seine IT-Systeme und -Services fahrlässig absichert, kann im Schadensfall haftbar gemacht werden. 

Anreiz I: höhere Bußgelder bei Geschäftsmodellen mit personenbezogenen Daten

Doch ganz so einfach ist es nicht. In Deutschland gibt es kein allgemeines IT-Sicherheitsgesetz, das Unternehmen Vorschriften bezüglich konkreter Sicherheitsmaßnahmen macht. „Formulierungen sind in diesen Rechtsgebieten sehr allgemein gehalten. Letztendlich muss IT-Sicherheit angemessen sein und den Stand der Technik berücksichtigen“, sagt Rechtsanwalt Reemt Matthiesen. Er ist Partner bei der Wirtschaftskanzlei CMS in München. Sicherheitsmaßnahmen für sogenannte kritische Infrastrukturen wie etwa Kraftwerke seien in Rechtsverordnungen eindeutig definiert. Ansonsten wäre IT-Sicherheit primär Unternehmensinteresse. 

Im Fall der Onlineshopbetreiber könnte sicherlich von einem sorglosen Handeln gesprochen werden, immerhin haben sie bekannte Sicherheitslücken bei erneuter Aufforderung nicht beseitigt. Doch was folgt aus dem erfolgreichen Hack, wenn der entstandene Schaden nicht unmittelbar zu beziffern ist? Nur weil beispielsweise Daten für Dritte offen verfügbar sind, also ein sogenannter Data Breach wie im Fall der Onlineshops vorliegt, können betroffene Kunden nicht gleich einen Schadensersatz geltend machen. Darüber hinaus hat der Angegriffene zwar Ansprüche gegen den Angreifer – der kann allerdings in der Regel nicht ausgemacht werden. Wenn beispielsweise von verschiedenen Unternehmen Systeme gekapert würden, um Angriffe auszuführen, könne es sehr komplex werden, erläutert der Anwalt. „Ganz so einfach kann ein bestimmter Anbieter nicht in Regress genommen werden.“ 

Damit Unternehmen für den besseren Schutz von personenbezogenen Daten sorgen, tritt ab Mai 2018 die EU-Datenschutz-Grundverordnung in Kraft. „Damit wird das deutsche Datenschutzrecht abgelöst. Und viele Unternehmen prüfen ihre Prozesse, da Bußgelder im Fall eines Verstoßes massiv steigen werden.“ Matthiesen sagt, dass die Höhe der Bußgelder bei bis zu 4 Prozent des vorhergegangenen Konzern-Jahresumsatzes liegen kann. „Die größte Lernkurve findet derzeit im Datenschutzrecht statt, weil die Bußgelder ansteigen werden, und diese ‚Message‘ kommt bei den Entscheidern an. Deshalb wurden die Bußgelder ja auch hochgesetzt“, sagt Matthiesen.

Info

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung in Kraft. Sie sieht Strafen von bis zu 4 Prozent des Jahresumsatzes vor, wenn Unternehmen die Kundendaten von EU-Bürgern nicht ausreichend schützen.

Quelle: EU-Kommission

Anreiz II: höhere Haftungsrisiken für die Nutzung von Maschinendaten

Der Anwalt hat im Softwarelizenzkartellrecht promoviert, dann im IT-Recht mit der Rechtsberatung begonnen. Dort erstellte er Ende 2008 ein datenschutzrechtliches Gutachten – damals noch eine exotische Rechtsmaterie. Heute berät er immer mehr deutsche und internationale Unternehmen im Bereich Datenschutzrecht, wo er sich unter anderem mit internationalen Datentransfers, der Verwendung von Beschäftigtendaten oder der Nutzung von Kundendaten befasst. Alles, was personenbezogene Daten betrifft, spiele bei vielen Unternehmen in der industriellen Produktion eine geringere Rolle. „Da geht es – wenn überhaupt – um die Daten der Mitarbeiter“, sagt der Anwalt. 

Derzeit bieten jedoch immer mehr Industrieunternehmen Datenanalysen an. Im industriellen B2B-Kontext unterliegen die Nutzungsrechte nicht personenbezogener Daten keinen tatsächlichen rechtlichen Regelungen: Es gibt keine rechtliche Vorschrift, wem diese Daten gehören, da das Datenschutzrecht hier nicht greift. Dennoch sind Unternehmen zur Sorgfalt verpflcihet: „Das muss fachgerecht ausgeführt werden“, sagt Matthiesen. Die Systeme müssen stabil sein, damit die Daten nicht verlorengehen. Hier hat IT-Sicherheit gewissermaßen eine Gewährleistungsfunktion, damit Produkt und Service funktionieren und der Anbieter keine Haftungs- oder Reputationsfragen klären muss. Wenn etwa ein Maschinenbauunternehmen mit digitalen Services sein Geld verdient, muss das Unternehmen sicherstellen, dass es nicht zu Ausfällen kommt. Wenn die Ausfälle und Geschäftsprozesse gestört werden, gehen Aufträge verloren. So können hier schneller Haftungsszenarien entstehen, weil der Einbruch rasch sichtbar wird. „Im Zweifel kann der Kunde Schadensersatz geltend machen“, sagt der Anwalt.

Info

In den vergangenen zwei Jahren wurden 69 Prozent der Industrieunternehmen in Deutschland Opfer von Datendiebstahl, Wirtschaftsspionage oder Sabotage. Im Durchschnitt der Gesamtwirtschaft sind mit 51 Prozent immer noch mehr als die Hälfte aller Unternehmen betroffen. Der Schaden beläuft sich für die deutsche Industrie auf rund 22,4 Milliarden Euro pro Jahr.

Quelle: Bitkom

Anreiz III: Verletzung der Verkehrssicherheitspflicht bei digitalen Plattformen

Plattformbetreiber haben eine besondere Verantwortung, wenn beispielsweise Dritte angegriffen werden. Attackiert ein Hacker beispielsweise selbstfahrende Fahrzeuge, sind nicht mehr Fahrer oder Halter für Unfälle verantwortlich, sondern die Hersteller von Fahrzeug oder Software. Der Betreiber sei zwar nicht der Täter, fungiere dennoch als Werkzeug. Er könne so haftbar aus deliktischen Ansprüchen sein. „Es gibt eine Verkehrssicherungspflicht. Dabei handelt es sich um ein Prinzip, das mit der Pflicht zur Pflege des Bürgersteiges vor dem Haus vergleichbar ist“, argumentiert Matthiesen. Wenn jemand eine Plattform aufbaue und die IT-Sicherheit in eklatantem Maße verletzt habe – ein Angriff wurde möglich, er ist nachweisbar, und dadurch ist ein Schaden entstanden –, dann könne ein Nutzer den Betreiber der Plattform, also das Werkzeug, über diese Verkehrssicherungspflicht in Regress nehmen. „Aber diese Diskussion steht noch am Anfang, insbesondere fehlt es noch an aussagekräftigen Urteilen“, fügt er hinzu. 

Das Thema der Verkehrssicherheitspflicht bei IT-Produkten ist naturgemäß bei jüngeren Unternehmen nicht immer und überall ausreichend präsent, hat Matthiesen beobachtet, insbesondere die Einsicht, dass sie Dritte schädigen könnten, ohne es zu wollen. „Das haben nicht viele auf dem Schirm, obwohl es jedes Unternehmen betrifft“, sagt er. Solange es keine eindeutigen Gesetze oder Urteile gebe, richteten Unternehmen ihr Verhalten tendenziell an dem der Mehrheit aus. Das hält Matthiesen im Fall von IT-Sicherheit nur für bedingt ratsam: „Je größer der Schaden, desto mehr sollte man unternehmen. Und diese Einsicht wächst mit den Angriffen.“ 

Seine Einschätzung: Bei einer so dynamischen Entwicklung wie der Digitalisierung ganzer Organisationen ist es am sinnvollsten, mit solchen Rechtsprinzipien wie der Verkehrssicherheitspflicht zu arbeiten. Bei Haftungsfragen müsse man im Einzelfall prüfen, ob die Sicherheit gewährleistet war oder nicht. IT-Sicherheit lasse sich gesetzlich nicht dauerhaft durch konkrete technische Vorgaben festlegen, sondern nur in Form bestimmter Leitplanken.

Anreiz IV: Einführung einer Versicherungspflicht

Wenn die Legislative nicht für klare Linien sorgt, wer dann? Womöglich andere Institutionen, wie Versicherungen, in diesem Fall Cyberversicherungen. So wirbt beispielsweise der Versicherungskonzern Allianz mit einem ganzen Portfolio an Dienstleistungen für Cyberschutz. Neben Haftpflichtansprüchen und Eigenschäden der angegriffenen Firmen deckt die Police auch die Kosten für Bußgeldverfahren der Behörden ab. Für die Institute sicherlich eine kluge Strategie, denn die Haftung verlagert sich im industriellen Kontext zunehmend vom Individuum auf die Maschine. Der Rückversicherer Munich Re geht davon aus, dass der weltweite Markt für Cyberpolicen bereits 2020 ein Volumen von 8 Milliarden US-Dollar erreichen könnte. Doch auch hierzulande ziehen die Unternehmen nach: Aggressive Cyberattacken veranlassten beispielsweise Deutschlands größten Stahlkonzern Thyssen Krupp, sich gegen Produktionsausfälle durch Cyberattacken im zweistelligen Millionenbereich zu versichern. 

Für Sebastian Schreiber, Geschäftsführer des IT-Sicherheitsunternehmens Syss, ist das eine willkommene Entwicklung. Er plädiert gar für eine verpflichtende Absicherung für Unternehmen. „Ich darf nur ein Haus betreiben, wenn ich es versichere.“ Ein Ansatz wäre eine entsprechende Versicherungspflicht für Unternehmen, die IT-Systeme betreiben, sagt er. Derzeit würden zahlreiche IoT-Devices auf den Markt gebracht, doch nur selten verstünden die Betreiber die damit einhergehende Sorgfaltspflicht in puncto Sicherheit. „Wir müssen lernen, mit den verbundenen Risiken umzugehen. Wir müssen sie messen und überlegen, wer die Verantwortung trägt“, sagt der IT-Forensiker.

Info

Erst jedes zehnte Industrieunternehmen (11 Prozent) hat in Deutschland eine Versicherung gegen Hackerangriffe und andere IT-Risiken abgeschlossen. Weitere 9 Prozent planen den Abschluss einer Versicherung, und 26 Prozent diskutieren das zumindest. Für fast die Hälfte der befragten Unternehmen (49 Prozent) ist eine Cybercrime-Police aber aktuell kein Thema.

Quelle: Bitkom

Anreiz V: Reputationsschäden vermeiden

Womöglich sind es aber nicht Bußgelder oder Haftungsfragen, die die Kosten eines Cyberangriffs in die Höhe treiben und Unternehmen zu mehr Risikobewusstsein zwingen. Allen voran dürften es Reputationsschäden sein. Allein eine als mangelhaft bezeichnete IT kann dazu führen, dass Unternehmen beispielsweise strengere Vorschriften zur Eigenkapitalquote gemacht werden, aktuell im Fall der Kfw Bank. Die Bafin zeigt sich beunruhigt über einige nicht weiter ausformulierte IT-Mängel, wie das „Handelsblatt“ berichtete, weshalb die Finanzaufsicht derzeit höhere Kapitalforderungen prüft. Im Fall von Yahoo sackte gleich der Unternehmenswert in den Keller. Aktuell steht der Internetpionier zum Verkauf, der Mobilfunkkonzern Verizon ist der Käufer. Verizon zahlt 350 Millionen US-Dollar weniger für die Akquisition, der Grund für den Nachlass: Schäden aus Cyberattacken. Und Yahoo kann sich wohl noch glücklich schätzen, nach den Sicherheitspannen forderte Verizon während der Verhandlungen zum Verkaufswert zeitweise einen Preisnachlass von einer Milliarde US-Dollar. 

Info

IT-Ausfälle und Störungen greifen die Reputation und die Marke eines Unternehmens an. Nahezu jedes zweite Unternehmen in Deutschland gibt an, dass sich noch kein kritisches IT-Ereignis negativ auf das Image ausgewirkt habe. Bei der anderen Hälfte ist das mindestens einmal der Fall gewesen.

Quelle: Master of Machines III: Mitigating the impact of critical IT Events