Risiken durch Cyberangriffe - Warum Geschäftsführer und Vorstände proaktiv handeln sollten
Cyberrisiken gehören zu den "Toprisiken eines jeden Unternehmens". Mit dieser Einschätzung ist der Präsident der BaFin, Felix Hufeld, sicher nicht alleine. Aktuelle Studien belegen die zunehmenden Schäden durch Hackerangriffe, insbesondere für mittelständische Unternehmen. Zuletzt gerieten verschiedene Kliniken in den Fokus der Hacker. Laut Medienberichten lag allein der Schaden im Klinikum Arnsberg bei mehr als einer Millionen Euro lag. Geschäftsführer und Vorstände sollten daher unbedingt - sofern noch nicht geschehen - die unternehmensspezifische Gefährdungslage analysieren und entsprechende Schutzmaßnahmen ergreifen. Andernfalls sind die Betriebs- und Geschäftsgeheimnisse konkret gefährdet. Hinzu kommt das eigene Haftungsrisiko gegenüber der Gesellschaft. Ein Gastbeitrag von Rechtsanwalt Dr. Karsten Krupna.
Betriebs- und Geschäftsgeheimnisse in Gefahr
Das größte Sicherheitsrisiko liegt nach Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), bei Smartphones. In einem Interview in der Zeitschrift "Die Welt" betonte Schönbohm dabei insbesondere die Gefährdung der Chefetagen. "Wer ihre Smartphones überwacht, kann herausfinden, wo sich die Entscheider aufhalten, wen sie wann treffen. Daraus lässt sich unter Umständen ableiten, ob eine große Firmenübernahme verhandelt wird...". Betriebs- und Geschäftsgeheimnisse sind damit konkret gefährdet.
Anzeige
Zudem ist aufgrund der geringen Aufklärungsquote von Hackerangriffen zukünftig mit einer wachsenden Bedrohung zu rechnen (Krupna, Cyberkriminalität - Zur Strafbarkeit von Hackerangriffen und den Informationspflichten betroffener Unternehmen nach dem Bundesdatenschutzgesetz, S. 814, 827, in: Über allem Menschlichkeit). Im Rahmen der Risikobewertung dürfen Unternehmen allerdings eine weitere Gefahr nicht außer Acht lassen: den (frustrierten) Mitarbeiter. Die von diesem ausgehende Gefahr für die eigenen Betriebs- und Geschäftsgeheimnisse wird leider regelmäßig noch unterschätzt. Nur so ist zu erklären, dass Mitarbeiter häufig und oft sogar ohne Zugriffsbeschränkungen leichten Zugang zu sämtlichen sensiblen Informationen haben. Die Geschäftsleitung ist aufgrund der bestehenden Sicherheitsrisiken daher insgesamt gut beraten, unter Berücksichtigung der Gefahren von "außen" und "innen" angemessene Maßnahmen zum Schutz der wichtigen Unternehmenswerte zu treffen.
Haftungsrisiken für Geschäftsführer und Vorstände
Verletzt die Geschäftsleitung Ihre Pflichten zum Schutz der IT-Infrastruktur, kommen Ansprüche der durch den Hackerangriff geschädigten Gesellschaft nach § 93 Abs. 2 Satz 1 AktG bzw. § 43 Abs. 2 GmbHG in Betracht. Denkbar sind beispielsweise Fälle, in denen der Geschäftsleiter Hinweise auf bestehende technische und organisatorische Defizite zum Schutz personenbezogener Daten erhält und trotzdem untätig bleibt. Hinzu kommt die Pflicht der Geschäftsleitung, angemessene Maßnahmen zur Risikovermeidung oder -minderung zu treffen.
Nach dem am 25.07.2015 in Kraft getretenen IT-Sicherheitsgesetz sind Betreiber von „kritischen Infrastrukturen“, wie etwa Banken, Energieunternehmen oder Krankenhäuser sogar verpflichtet, Mindeststandards für die IT-Sicherheit zu beachten, um ihre Systeme insbesondere vor Cyberangriffen zu schützen. Doch selbst ohne eine gesetzliche Verpflichtung liegt eine Verletzung der Pflicht zur Risikovorsorge zumindest nahe, wenn unter Berücksichtigung einer besonderen Gefährdungslage für das Unternehmen angemessene IT-Sicherheitsstandards nicht erfüllt werden.
Praxishinweis
Unter Berücksichtigung der enormen Risiken für die Betriebs- und Geschäftsgeheimnisse, aber auch zur Vermeidung der eigenen Haftung, sind die bestehenden IT-Sicherheitsmaßnamen regelmäßig zu überprüfen und anzupassen. Dabei sind selbstverständlich auch die gesetzlichen Anforderungen und deren Anwendungsbereich zu beachten. So sieht das vorgenannte IT-Sicherheitsgesetz z.B. nicht nur Sicherheitsstandards und Meldepflichten für Betreiber kritischer Infrastrukturen vor, sondern formuliert auch Pflichten für alle geschäftsmäßig handelnden Onlinedienste zum Schutz der Telekommunikations- und Datenverarbeitungssysteme.
Zusätzlich zu den technischen sollten auch organisatorische Maßnahmen ergriffen und zum Beispiel ein „Präventionsteam Cybercrime“ etabliert werden, das das bestehende Konzept gegen Cyberangriffe zunächst bewertet, sofern erforderlich anpasst und sodann regelmäßig erneut überprüft.
Schließlich kann auch die Prüfung der bestehenden Versicherungsverträge auf deren Deckungsumfang durchaus empfehlenswert sein. Nach Medienberichten war jedenfalls der Millionenschaden des Klinikums Arnsberg über eine spezielle Cyber-Versicherung gedeckt. Neben dem Eigenschaden sollte der Versicherungsschutz allerdings auch weitere Schadenszenarien, wie zum Beispiel die:
- Prüfung und Abwehr von Schadenersatzansprüchen betroffener Personen,
- Prüfung und Durchsetzung von Schadenersatzansprüchen gegen einen Vertragspartner wegen einer Vertragsverletzung,
- Prüfung und Durchsetzung von Schadenersatzansprüchen gegen den Täter sowie die
- Erfüllung vertraglicher und/oder gesetzlicher Meldepflichten
umfassen und eine möglichst kurzfristige Erreichbarkeit des hierfür erforderlichen Expertenteams, bestehend aus spezialisierten Anwälten, IT-Experten und PR-Berater, sicherstellen.
Anzeige
Autor: Rechtsanwalt Dr. Karsten Krupna berät nationale und internationale Unternehmen insbesondere in den Bereichen Datenschutz, IT-Recht und Cybersecurity. Er publiziert regelmäßig in juristischen Fachzeitschriften, ist Autor in einem renommierten Strafrechtskommentar und tritt als Referent bei zahlreichen Vortragsveranstaltungen auf.
Anzeige