Werden Unternehmen Opfer einer Cyberattacke, stellt sich die Frage, wer dafür haftet. Bei unzureichender Absicherung ist die Rechtslage eindeutig: Entscheider können mit ihrem Privatvermögen zur Verantwortung gezogen werden. Ein Interview mit Dino Huber (CEO), Ferdinand Grieger (CLO) und Andreas Pankow (CEO Switzerland) der Deutschen Gesellschaft für Cybersicherheit über die Pflichten und Aufgaben der Führungsetage bei der IT-Security, die rechtlichen Folgen von Cyberangriffen auf Unternehmen und erfolgreiche Maßnahmen, mit denen Entscheider der Haftungsfalle entgehen können.
Weshalb ist es heute wichtiger denn je, dass sich Geschäftsführer, Vorstände und Aufsichtsräte intensiv mit dem Thema IT-Sicherheit und Cyberangriffen auf Unternehmen beschäftigen?
Dino Huber: Cyberangriffe stellen branchenübergreifend eine substanzielle Bedrohung für Unternehmen jeder Größenordnung dar. Wirtschaftliche Schäden durch Hacker haben in den vergangenen Jahren kontinuierlich neue Höchstwerte erreicht: Ein Beispiel dafür ist der Angriff mit dem Erpressungstrojaner NotPetya, der die international tätige Rederei Møller-Mærsk knapp 300 Millionen US-Dollar kostete. Während der Pandemie ist die Zahl von Sicherheitsvorfällen – auch bedingt durch die verstärkte Remote-Arbeit im Homeoffice und das Vernachlässigen von Sicherheitsmaßnahmen zugunsten einer fortlaufenden Geschäftstätigkeit – weiter rasant angestiegen. Das sollte Entscheidern zu denken geben.
Chief Executive Officer
Deutschland
Ferdinand Grieger: Im Falle eines erfolgreichen Cyberangriffs auf Unternehmen und der Entwendung vertraulicher Daten drohen Reputationsschäden, Umsatzeinbußen und Schadensersatzansprüche von Kunden, Lieferanten und Geschäftspartnern auf Basis vertraglicher und gesetzlicher Anspruchsgrundlagen. Da Cyberangriffe zumeist auch datenschutzrechtliche Auswirkungen mit sich bringen, sind zusätzlich empfindliche Bußgelder oder zumindest Opportunitätskosten durch behördliche Ermittlungen zu befürchten. Vorstandsmitglieder und Aufsichtsräte einer Aktiengesellschaft haften dieser gegenüber für Schäden durch erfolgreiche Hackerangriffe unter Umständen persönlich – so legt es das Aktiengesetz fest. Die Haftung eines GmbH-Geschäftsführers ergibt sich aus dem GmbH-Gesetz. Cyber Security ist auch daher eine nicht delegierbare Chefsache.
Auf welche Herausforderungen sollten sich Unternehmenslenker im Hinblick auf IT-Sicherheit und den rasant fortschreitenden digitalen Wandel einstellen?
Chief Executive Officer
Schweiz
Andreas Pankow: Für Führungskräfte erweist sich der Umstand, dass die Digitalisierung aufgrund ihrer rasanten Entwicklung zunehmend höhere Ansprüche an die IT-Sicherheit stellt als komplexe Doppelaufgabe. Die digitale Transformation und der Einsatz neuer Technologien bieten beträchtliches Potenzial, um das eigene Unternehmen zukunfts- und wettbewerbsfähig aufzustellen. Zugleich müssen mit gleicher Aufmerksamkeit neue Risiken aus der Cyberwelt mitbedacht und komplexer werdende Prozesse, Systeme und Produkte vollumfänglich geschützt werden. Entscheider sind daher gut beraten, Cyber Security zu einem festen Bestandteil der Unternehmensstrategie zu machen. So sind sie imstande, Gefahren aus dem Netz vorausschauend zu begegnen und das Potenzial der Digitalisierung vollumfänglich zu heben.
Ferdinand Grieger: Nach wie vor sind sich viele Entscheider dieser Doppelherausforderung und daraus resultierenden vielschichtigen Aufgaben nicht bewusst. Vielfach besteht noch der Irrglaube, sich durch einen Verweis auf die mangelnde Ressortzuständigkeit, auf Cyberversicherungen oder auf die Auslagerung der IT an externe Dienstleister von der Haftung befreien zu können. Cyber Security liegt aber in der Verantwortung des gesamten Vorstands. Eine haftungsrechtlich relevante Übertragung auf nur ein Mitglied oder auf einen externen Dienstleister ist kaum möglich. Versicherungslösungen weisen oft umfängliche Haftungsausschlüsse und damit im Schadensfall Deckungslücken auf. Die Rechtslage ist eindeutig: Ist ein Unternehmen bei einem Hackerangriff nicht hinreichend abgesichert, haften hierfür sämtliche Führungsorgane.
Daher sollten sie die umfangreichen Aufgaben, die von Organisations- und Überwachungspflichten über Maßnahmen zum Schutz der IT-Infrastruktur bis zur Planung angemessener und schadensmindernder Reaktionen auf eine erfolgte Cyberattacke reichen, besser heute als morgen angehen. Um Meldepflichten gegenüber Behörden, Versicherungen oder betroffenen Personen fristgerecht nachzukommen, braucht es darüber hinaus ein Notfallkonzept, das mit erfahrenen Sicherheitsexperten erarbeitet werden sollte.
Welche konkreten Maßnahmen können Entscheider ergreifen, um Haftungsrisiken bei Cyberangriffen auf Unternehmen zu minimieren?
Dino Huber: Unternehmensleiter brauchen heute ein abwehrfähiges Information Security Management System, um der Haftungsfalle zu entgehen – hierfür existieren mittlerweile anerkannte Standards. Die vielfältigen Risiken aus dem Netz lassen sich damit jedoch kaum vollständig bannen – für die 360-Grad-Sicherheit eines Unternehmens müssen leistungsfähige Tools und Prozesse implementiert werden. Ergänzend zu simulierten Hackerangriffen (Pentests), mit denen die eigene Cybersicherheit überprüft und mögliche Angriffspunkte entdeckt werden, und der Sensibilisierung von Mitarbeitenden durch Security Awareness Trainings sollte die eigene IT-Infrastruktur einer ständigen Überwachung unterliegen. Der Einsatz von Schwachstellenscannern stellt eine erste Maßnahme zur Prävention von Cyberangriffen auf Unternehmen dar. Der Markt spiegelt den Bedarf einer solchen Lösung mittlerweile gut wider, dem wir mit unserem IT-Security Tool cyberscan.io nachkommen.
Andreas Pankow: Bei der Auswahl des Schwachstellenscanners sollten Entscheider auf Qualität „Made in Germany“ setzen: Dies kann aus Gründen der Rechtssicherheit im Hinblick auf die durch Scans gewonnenen Erkenntnisse relevant sein. Wichtig ist zudem, dass die Analyse der Cybersicherheit mithilfe eines Schwachstellenscanners dauerhaft und wiederkehrend in unternehmensgerechten Intervallen erfolgt. Die Scans sollten eine gewisse „Tiefe“ aufweisen und beispielsweise eine Darknet-Analyse umfassen. Zudem sollten die ermittelten Ergebnisse samt Risikoeinstufung übersichtlich und verständlich dargestellt werden, damit Unternehmen den Status quo der eigenen Cybersicherheit ablesen und entsprechende Gegenmaßnahmen erwägen können.
Gibt es weitere Qualitätskriterien, die bei der Wahl eines Schwachstellenscanners zugunsten der maximalen Sicherheit berücksichtigt werden sollten?
Dino Huber: Um Cyberrisiken umfassend zu identifizieren, ist es wichtig, dass Informationen aus einer Vielzahl von renommierten Quellen in einer eigenen Schwachstellendatenbank zusammenlaufen. In unserer selbst lernenden Datenbank befinden sich bereits mehr als sieben Millionen Bulletins, die per Knopfdruck mit den Daten unserer Kunden abgeglichen werden. Nicht zuletzt zahlt sich die Begleitung durch erfahrene Sicherheitsexperten aus, da diese eine qualifizierte Ergebnisanalyse der ermittelten Schwachstellen sowie eine erfolgreiche Maßnahmenumsetzung gewährleisten können.
Werden die genannten Aspekte bei der Wahl des IT-Sicherheitstools berücksichtigt, lassen sich Schäden durch Hackerangriffe sowie die Inanspruchnahme der für Cybersicherheit verantwortlichen Führungspersonen präventiv vermeiden.
Ein professionelles Schwachstellenmanagement lohnt auch aus Versicherungsgründen: Eine qualifizierte und konstante Schwachstellenanalyse kann dazu beitragen, die Versicherbarkeit bestimmter Risiken für Unternehmen und Versicherungen verbindlicher und sicherer einschätzen zu können.
Falls der Ernstfall eingetreten ist: Ist es notwendig, einen Cyberangriff der Öffentlichkeit oder Behörden gegenüber anzuzeigen? Wie sollten Unternehmen hierbei vorgehen?
Ferdinand Grieger: Unter gewissen Umständen sind Unternehmen zur Mitteilung eines erfolgreichen Cyberangriffs verpflichtet. Tun sie dies nicht, verstoßen sie gegen die europaweit geltende Marktmissbrauchsverordnung (Market Abuse Regulation, kurz: MAR) zur Verhinderung von Insiderhandel. Ähnliche Regelungen finden sich auch in den USA und der Schweiz. Falls ein Unternehmen in diesen Ländern Niederlassungen unterhält, sind auch diese Regelungen zu berücksichtigen. Bei Cyberangriffen ergibt sich für Vorstände deutscher Aktiengesellschaften eine unangenehme Situation: Einerseits gilt es, das aus der MAR erwachsende Unverzüglichkeitsgebot einzuhalten und andererseits, den einem Angriff zugrunde liegenden Sachverhalt lückenlos aufzuklären, um zu ermitteln, ob überhaupt eine meldepflichtige Situation vorliegt.
Chief Legal Officer
Schweiz
Erschwerend kommt hinzu, dass auch die Datenschutzgrundverordnung (Art. 33 DSGVO) weiteren Zeitdruck (Wortlaut: „unverzüglich und möglichst binnen 72 Stunden“) ausübt. Sofern eine Verletzung des Schutzes personenbezogener Daten vorliegt.
Gerade in dieser Situation sind Unternehmen auf Spezialisten angewiesen, die ggf. meldungsrelevante Sachverhalte professionell, unter Beachtung aller Geheimhaltungsstufen, lückenlos und zeitnah aufklären können. Bei der Aufarbeitung von Cyberangriffen sollte auch eine Zusammenarbeit mit Staatsanwaltschaft und Polizei erfolgen. Auch die wichtige Arbeit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist von der zuverlässigen Meldung von IT-Sicherheitsvorfällen abhängig.
Schlussendlich müssen Unternehmen durch vorherige Ausarbeitung und strikte Einhaltung eines Maßnahmenkatalogs und Ablaufplans für solche Situationen vorbereitet sein, um alle wesentlichen Aspekte zu berücksichtigen.
Vielen Dank für das interessante Gespräch!
