18.03.2019

Hackerangriff auf das geschäftliche Netzwerk – Prävention und Haftung

Laut einer Studie des Digitalverbands Bitkom wurde gut die Hälfte aller deutschen Unternehmen in den vergangen zwei Jahren Opfer von digitaler Kriminalität. Häufigstes Angriffsziel waren die IT-Systeme sowie die Kommunikationsinfrastruktur kleiner und mittelständischer Betriebe. Den finanziellen Schaden in Deutschland als Folge digitaler Wirtschaftsspionage, Datendiebstahl und Sabotage beziffert Bitkom auf rund 22 Milliarden Euro pro Jahr.

Trotz dieser Zahlen zeigt die aktuelle Forschung: nicht alle Unternehmen legen ausreichenden Wert auf den Schutz vor Hackern und Kriminellen im Internet. Mangelhafte Sicherheitssysteme und eine fehlende Schulung der Mitarbeiter machen es Cyberkriminellen leicht, sensible Daten auszuspähen und wichtige Betriebsabläufe zu stören. Mit weitreichenden Folgen für das Unternehmen. Lösegeldforderungen, Schadenersatzzahlungen und der Verlust der Reputation: ein Hackerangriff kann für einen kleinen Betrieb schnell zu ernsthaften Konsequenzen führen. Doch wer haftet bei einem Hackerangriff? Wie sollte sich ein Betrieb im Schadensfall verhalten und welcher Hackerschutz sorgt für eine ausreichende Sicherheit?

Schuld und Haftung: die aktuelle Rechtslage in Deutschland

Im Jahr 2015 hat der Deutsche Bundestag strenge Richtlinien für die IT-Sicherheit von Betrieben beschlossen. Demnach sind Betreiber kritischer Infrastrukturen, Telekommunikationsunternehmen und Betreiber von Webangeboten dazu verpflichtet:

  • die für die Erbringung ihrer Dienste erforderliche IT nach dem aktuellen Stand der Technik angemessen abzusichern
  • diese Sicherheit alle 2 Jahre überprüfen zu lassen
  • IT-Sicherheitsmaßnahmen nicht nur zum Schutz personenbezogener Daten, sondern auch zum Schutz vor unerlaubten Eingriffen in die Infrastruktur einzusetzen
  • eine Datenschutzverletzung umgehend der zuständigen Aufsichtsbehörde zu melden

 

Laut Gesetz müssen Unternehmer also die IT-Sicherheit gewährleisten und Prävention gegen Hackerangriffe betreiben. Wenn trotz technisch aktueller Sicherheitsvorkehrungen eine Cyberattacke erfolgt, handelt der Betrieb nicht schuldhaft.

Entspricht die IT-Sicherheit jedoch nicht den Vorschriften, ist das Unternehmen bei einem Hackerangriff in der Schuld für den unlauteren Umgang mit sensiblen Daten. Geschäftspartner, denen durch die Cyberattacke ein Schaden entstanden ist, können den Datenschutzbeauftragten bzw. die Unternehmensleitung in Haftung nehmen.

Internet Hackerangriff: was nun?

Wurde ein Unternehmen trotz ausreichender Sicherheitsvorkehrungen gehackt, ist ein durchdachter Umgang mit der Cyberattacke von großer Wichtigkeit für den Fortbestand des Betriebes. Eine Verharmlosung des Fremdzugriffes auf Firmendaten hat nicht nur wirtschaftliche Folgen, sie stellt auch eine Bedrohung für die Reputation des Unternehmens dar. Im schlimmsten Fall bedeutet ein Hackerangriff die Insolvenz. Laut einer Studie des US-amerikanischen Telekommunikationskonzerns Verizon verursachen bereits 1 Mio. gestohlene Datensätze einen Schaden von rund 430.000 Euro.

Ein Hackerangriff macht also ein sofortiges Handeln der Firmenleitung erforderlich. Diese sollte zunächst Mitarbeiter, Geschäftspartner und Betroffene über den aktuellen Ist-Zustand informieren. Zusätzlich sind eine Anzeige bei der Polizei sowie eine sofortige Überprüfung der IT-Sicherheit notwendig.

Grundsätzlich gilt: Ein schnelles Handeln sowie eine transparente Kommunikation helfen, die wirtschaftlichen Folgen für das Unternehmen zu minimieren.

Hacker: Schutz vor böswilligen Cyberattacken

Wer sein Unternehmen gegen Hacker schützen möchte, muss präventiv handeln. Folgende Maßnahmen verbessern die IT-Sicherheit eines Betriebes und sorgen für einen erhöhten Schutz vor Hackerangriffen:

  1. Die Schulung interner Mitarbeiter
    Im Rahmen von DSGVO-Schulungen werden Mitarbeiter für das Thema IT-Sicherheit sensibilisiert. Das Datenschutzkonzept umfasst den richtigen Umgang mit Phishing- sowie Ransom-Attacken und zeigt technische Maßnahmen im Falle eines Cyberangriffes auf.
  2. Externe Sicherheitsbeauftragte
    Verfügt das unternehmenseigene Personal über wenig Erfahrung im Bereich der IT-Sicherheit, ist die Zusammenarbeit mit externen Sicherheitsberatern empfehlenswert. Diese zeigen mögliche Schwachstellen in der IT auf und entwickeln ein individuelles Sicherheitskonzept, das auf die Anforderungen des jeweiligen Betriebes angepasst wird.
  3. Investition in SIEM-Lösungen
    Das Security Information and Event Management, kurz SIEM, ist ein effektiver Schutz gegen Hacker. SIEM-Tools erkennen ungewöhnliche Verhaltensmuster innerhalb des Rechenzentrums und reagieren mit entsprechenden Gegenmaßnahmen.
  4. Versicherung gegen Cyberattacken
    Eine Cyberversicherung gegen Hackerangriffe ist eine zusätzliche Methode, um folgeschweren Kosten und wirtschaftlichen Schäden vorzubeugen. Eine solche Versicherung lohnt sich in der Regel jedoch nur, wenn die betriebliche IT-Sicherheit den höchsten Standards gerecht wird und den Kriterien des IT-Sicherheitsgesetzes entspricht. Eine Firmen-Rechtsschutzversicherung hilft hingegen bei rechtlichen Auseinandersetzungen als Folge einer Cyberattacke, z. B. bei der Abwehr unberechtigter Ansprüche von Dritten nach dem Bundesdatenschutzgesetz und bei der Durchsetzung eigener Ansprüche gegen Schädiger.

Der eingestellte Blog-Beitrag wurde von unserer Partnerkanzlei TeReBe Rechtsanwalts-AG auf rechtliche Korrektheit überprüft.

Weitersagen