Cybercrime – eine weitere Herausforderung für das Management
Dem jüngst veröffentlichten Cybercrime Report 2020 des Bundesministeriums für Inneres zufolge haben die Angriffe auf Daten- oder Computersysteme unter Verwendung von Informations- und Kommunikationstechnik (IKT) in Österreich gegenüber dem Jahr 2019 um 69,4 % zugenommen. Auch die Medien berichten regelmäßig von spektakulären Cybercrime Attacken. Was bedeutet das für die Geschäftsführung und den Vorstand eines Unternehmens?
Der Cybercrime Report 2020 stellt fest: „Cybercrime ist im Aufwind“. Am häufigsten sind Unternehmen von Phising E-Mails, Ransomeware, Datenleaks oder DDoS-Angriffen betroffen. Bekannt sind etwa die sogenannten „Presidential E-Mails“, bei denen ein*e Mitarbeiter*in durch ein vorgeblich von einer*m Vorgesetzten stammenden E-Mail zur Überweisung von Geldsummen angewiesen wird, oder auch jene Phishing Attacke, bei der E-Mails unter der falschen E-Mail-Adresse FinanzOnline@bmf.gv.at Steuerrückerstattungen versprachen und über einen Link persönliche Informationen und Kreditkartendaten eingesammelt wurden. Besonders häufig kommen nunmehr allerdings Ransomeware Attacken vor, bei denen Schadsoftware in das IT-System eines Unternehmens eingeschleust wird, um das System zu blockieren. Gegen ein „Lösegeld“ kann man dann den Schlüssel erwerben, um das eigene System wieder benutzen zu können.
Zwar ist offensichtlich, dass auch sorgfältige Vorkehrungen nicht garantieren können, jegliche Art von Angriffen abzuwehren. Dennoch sind Geschäftsführung und Vorstand gut beraten, die bestehenden gesetzlichen Rahmenbedingungen bei der Organisation des Unternehmens auch vor diesem Gesichtspunkt zu beachten und entsprechende Vorkehrungen zu treffen. Hier ist wieder einmal die Datenschutzgrundverordnung (DSGVO) zu nennen, die Unternehmen dazu verpflichtet, unter Berücksichtigung mehrerer Umstände wie etwa dem Stand der Technik geeignete technische und organisatorische Maßnahmen zu treffen, um die verarbeiteten Daten angemessen zu schützen. Besondere Vorschriften für die IT-Sicherheit gibt es darüber hinaus z.B. für Kreditinstitute (Bankwesengesetz), Versicherungsunternehmen (Versicherungsaufsichtsgesetz) oder Betreiber kritischer Infrastrukturen (Netz- und Informationssicherheitsgesetz).
Aber auch wenn ein Unternehmen weder diesen speziellen Sektoren angehört noch personenbezogene Daten verarbeitet, treffen das Management Verpflichtungen aus dem Aktien- und GmbH-Gesetz.
Im Gegensatz zu der Verpflichtung, ein internes Kontrollsystem einzurichten, fehlen jedoch ausdrückliche Verpflichtungen in Bezug auf die IT-Organisation. Im Rahmen der allgemeinen Organisations- und Schadensabwendungspflicht ist das Management verpflichtet, organisatorisch vorzusorgen, um IT-Sicherheit durch geeignete Maßnahmen zu gewährleisten und das Risiko von Cyber-Angriffen und Datenverlust angemessen zu begrenzen. Erfolgt das nicht, besteht die Gefahr mangelnder Sorgfalt und damit der persönlichen Haftung. Die Geschäftsleiter*innen haben dabei nicht zwingend selbst sämtliche Prozesse zu überwachen und zu dokumentieren, zumal das Management regelmäßig keine vertieften IT-Kenntnisse haben wird. Es ist allerdings deren Aufgabe, entsprechend kompetente Mitarbeiter beizuziehen und taugliche organisatorische Maßnahmen zu etablieren. Bewusstseinsbildung und Gefahrenerkennung sind dabei wesentliche Bausteine dieser Maßnahmen.
Abseits der präventiven Abwehrmaßnahmen gehören zu einer effizienten Struktur jedenfalls auch Pläne für den Fall erfolgreicher Cyber-Angriffe, die neben technischen Aspekten und Fragen der Kommunikation nach innen und außen auch die rechtlich relevanten Punkte umfassen sollten, wie etwa Melde- und Informationspflichten an Behörden. Nach einem Angriff ist schnelles Handeln jedenfalls die oberste Prämisse.
So sind Unternehmen nach der DSGVO verpflichtet, unverzüglich, möglichst binnen 72 Stunden, Verletzungen des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde zu melden.
Betrügerisch veranlasste Überweisungen lassen sich selbst in entfernteste Destinationen oft noch stoppen oder widerrufen, wenn rechtzeitig die richtigen Hebel in Bewegung gesetzt werden. Hier zählt aber buchstäblich jede Sekunde.
Zu den weiteren dringenden Schritten nach einem Angriff zählt auch die interne Aufarbeitung der Attacke, um unverzüglich allfällige Sicherheitslücken identifizieren und gleichartige weitere Fälle verhindern zu können. Auf rechtlicher Ebene stehen verschiedene Instrumente gegen den Angreifer zur Verfügung. Diese reichen von zivilrechtlichen Klagen (insbesondere auf Schadenersatz und Unterlassung) bis hin zu strafrechtlichen Schritten. Inwieweit es Sinn macht, derartige Schritte zu setzen, hängt von vielen Faktoren (Nachverfolgbarkeit des Angreifers, Durchsetzbarkeit von Ansprüchen, Signalwirkung am Markt, Reputation des Unternehmens, etc.) ab, die im Einzelfall sorgfältig zu analysieren sind.
Cybercrime hat sich jedenfalls zu einer reellen und ernstzunehmenden Bedrohung für Unternehmen entwickelt. Hundertprozentigen Schutz gegen kriminelle Umtriebe wird es nie geben, aber ähnlich wie man das Betriebsgelände physisch sichert, um einem Einbruch vorzubeugen, sollte dies auch im Hinblick auf das IT-System erfolgen. Geschäftsführung und Vorstand sind auch im eigenen Interesse angehalten, sich sowohl darum als auch um Notfallpläne für den Ernstfall zu kümmern.
Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.