In der Geschäftswelt sind Cyberangriffe Teil der Realität geworden und nicht mehr etwas, das „den anderen“ passiert. Die meisten werden nicht öffentlich bekannt, aber zahlreiche Unternehmen haben bereits Produktionsausfälle erlitten, es wurden vertrauliche und sensible Daten kompromittiert, Gelder gestohlen oder mit Ransomware erpresst… Die Liste weiterer katastrophaler Folgen ließe sich fortsetzen. Wir müssen diese Herausforderungen nicht nur technisch, sondern auch unter anderen Gesichtspunkten betrachten.
Wie sollte sich das Management in der neuen Cyber-Realität verhalten?
Die Leitung eines Unternehmens erfordert ein hohes Maß an Sorgfalt und Gewissenhaftigkeit. Manager sollte mit Cyber-Risiken und deren Management vertraut sein und sie verstehen, auch wenn sie vielleicht nicht über das spezifische technische Know-how verfügen. Es ist jedoch lobenswert, dass die Risiken eines Cyberangriffe in vielen Unternehmen bereits als schwerwiegend eingestuft werden.
Reichen Identifizierung und Awareness aus?
Die Sorgfaltspflicht wird von der Geschäftsleitung wahrgenommen, die nicht nur die Risiken eines Cyberangriffs realistisch einschätzt, sondern auch geeignete Maßnahmen einleitet und deren Umsetzung überwacht. Im Zuge der Planung ist es entscheidend, Folgendes zu berücksichtigen: Wie werden wir den Erfolg dieser Maßnahmen messen? „Wir werden nicht angegriffen“ ist nicht der beste Ansatz, da Risiken und Schwachstellen nicht vorhersehbar sind. Es ist eher angebracht zu prüfen, ob das Niveau der Informationssicherheit angemessen erhöht wurde. Trotz aller Bemühungen lassen sich nicht alle Vorfälle verhindern, da es keine absolute Sicherheit gibt. Mit sorgfältig geplanten Maßnahmen ist es jedoch möglich, die Informationssicherheit auf ein Niveau anzuheben, das kritische Vorfälle und die schlimmsten Folgen ausschließen sollte.
Der Zweck von Risikobewertungen und der Umsetzung von Sicherheitsrichtlinien und -maßnahmen besteht nicht darin, Dokumente zu erstellen, sondern praktisch zu handeln: die Hauptakteure im Unternehmen (IT, Management, DSB, Personalabteilung, PR und andere entscheidende Akteure) zusammenzubringen und sie mit angemessenen Ressourcen zu versorgen. Die Cybersicherheit kann nicht allein in der Verantwortung des IT-Teams liegen, sondern ist die Pflicht aller Mitarbeiter, denn das schwächste Glied sind oft uninformierte Nutzer. Im Falle eines Angriffs kann nur eine konzertierte Aktion und koordinierte Reaktion kritische Vorfälle erfolgreich verhindern und negative Folgen begrenzen.
„Die Analyse von Cyberangriffen deckt häufig unzureichend erkannte Risiken, das Versäumnis, angemessene Richtlinien umzusetzen, eine schlechte Koordination der Hauptbeteiligten und einen Mangel an Know-how und Ressourcen auf. Wenn die Geschäftsleitung nachweisen kann, dass sie tatsächlich alles getan hat, was ein sorgfältiger und umsichtiger Unternehmer tun würde, braucht sie sich weniger Sorgen über die rechtlichen Folgen zu machen.“
Jure Planinšek, M.Sc., Leiter der Abteilung Compliance und Recht, NIL (Teil der Conscia-Gruppe)
Was sind die möglichen rechtlichen Folgen einer unzureichenden Sorgfaltspflicht der Geschäftsleitung?
- (a) Auswirkungen auf die geschäftliche und vertragliche Schadenshaftung: In Verträgen mit Kunden oder Lieferanten werden in der Regel die Rechtsfolgen von Verzögerungen festgelegt und die vertragliche Schadensersatzpflicht erweitert. Das bedeutet, dass das Unternehmen im Falle eines Vertragsbruchs verpflichtet ist, Vertragsstrafen zu zahlen und/oder dem Partner gegenüber schadensersatzpflichtig ist. Neben den direkten Schäden verursachen Cyberangriffe oft auch indirekte Schäden, vor allem in Form von Vertrauens- und Reputationsverlusten bei Kunden. Indirekte Schäden sind schwieriger zu messen und übersteigen in vielen Fällen die direkten Schäden.
- (b) Bußgelder: Aufgrund der immer komplexer werdenden Gesetzgebung, die eine Sorgfaltspflicht beim Schutz vertraulicher, personenbezogener und anderer Arten von Daten vorschreibt, können einem Unternehmen als Folge eines Cyberangriffs sehr hohe Bußgelder auferlegt werden. So musste beispielsweise eine bekannte Fluggesellschaft eine Geldstrafe in Höhe von 22 Millionen Euro zahlen, weil sie die personenbezogenen Daten ihrer Kunden nicht angemessen geschützt hatte.
- (c) Lizenzverlust: Im Falle von reglementierten Tätigkeitsbereichen (Banken, Versicherungen, Börsenmakler usw.) kann den Unternehmen die Lizenz oder die Genehmigung für ihre Geschäftstätigkeit entzogen werden, und es können sich weitere Folgen ergeben, die in Sondergesetzgebungen festgelegt sind.
- (d) Strafverfahren: Da Cyberangriffe in der Regel den Tatbestand einer Straftat erfüllen, müssen sie auch den Strafverfolgungsbehörden gemeldet werden. In Ausnahmefällen ist eine strafrechtliche Haftung der Geschäftsleitung nicht völlig ausgeschlossen, wenn grobe Fahrlässigkeit im Spiel war.
- (e) Haftung des Managements für Schäden: Ein Cyberangriff wird von den Aufsichtsbehörden und Eigentümern des Unternehmens nicht einfach übergangen. Möglicherweise wird entschieden, die Geschäftsführung zu ersetzen. Bei unzureichender Sorgfaltspflicht ist die rechtliche Grundlage für Schadensersatzansprüche gegeben, die direkt gegen die Geschäftsleitung geltend gemacht werden können.
Wie kann sich das Management wehren?
In allen oben genannten Beispielen wird die wichtigste rechtliche Frage im Hinblick auf die Professionalität und folglich die Verantwortung des Managements sein, ob ein angemessenes Niveau der Informationssicherheit während eines Cyberangriffs erreicht wurde. Die übliche Verteidigung, dass der Vorfall nicht hätte verhindert werden können, ist nur teilweise akzeptabel. Einem Manager, der nachweislich mit der gebotenen Sorgfaltspflicht gehandelt und für die Umsetzung konkreter Maßnahmen gesorgt hat, kann kein Vorwurf gemacht werden. Bei der Analyse von Cyberangriffen werden häufig unzureichend erkannte Risiken, die Nichtumsetzung geeigneter Maßnahmen, eine schlechte Koordinierung der wichtigsten Beteiligten sowie ein Mangel an Know-how und Ressourcen aufgedeckt. Wenn die Unternehmensleitung nachweisen kann, dass sie tatsächlich alles getan hat, was ein sorgfältiger und umsichtiger Unternehmer tun würde, braucht sie sich weniger Sorgen über die rechtlichen Folgen zu machen.
Welche Vorgehensweise hat sich bewährt?
Eine sorgfältige Planung und Prioritätensetzung machen eine angemessene Cybersicherheit erst möglich. Auch wenn Hacker ständig neue Wege finden, um immer komplexere Informationssysteme anzugreifen, können erfahrene Experten Lösungen implementieren, die die Wahrscheinlichkeit verringern, dass diese Angriffe erfolgreich sind. Aufgrund des Mangels an qualifiziertem Personal und der Kosteneffizienz solcher Lösungen engagieren die meisten Unternehmen erfahrene Partner, die über Zertifikate, Referenzen und praktische Erfahrungen mit Sicherheitsvorfällen verfügen. Dank ihrer Erfahrung können diese Partner auch dann helfen, wenn es tatsächlich zu einem Vorfall kommt und es notwendig ist, die negativen Folgen zu begrenzen und die komplexe Gesetzgebung einzuhalten. Gute Cybersicherheitspläne beschränken sich nicht auf die IT-Abteilung, Softwarelösungen und/oder Versicherungen, die nicht den gesamten Schaden abdecken können (vor allem Haftpflicht und Rufschädigung).
Der Artikel wurde ursprünglich veröffentlicht in AmCham YearBook – Power of Relationships 2022/2023.