Unternehmen mit großen Datensammlungen stehen verstärkt im Fokus krimineller Angreifer. Wollen sie Kunden und Geschäftsgeheimnisse schützen und Haftungsrisken minimieren, müssen sie ihre Infrastruktur absichern.
Wien. Nach der erfolgreichen Attacke auf die Zentralbank von Bangladesch hat der Zahlungsdienstleister Swift Mitte Mai vor einer Angriffswelle auf Banken gewarnt. Die erhöhte Alarmbereitschaft sowie die Bestrebungen der EZB zur Einrichtung einer Meldestelle für Cyberangriffe auf Kreditinstitute unterstreichen die Aktualität virtueller Banküberfälle. Doch nicht nur Kreditinstitute oder ausländische Großunternehmen sind von Cybercrime betroffen, wie der jüngste spektakuläre Fall rund um den mithilfe des Fake-President-Tricks beraubten chinesisch-oberösterreichischen Luftfahrtzulieferer FACC belegt.
Seit Jahren bestehen speziell in Bezug auf Cyberangriffe geschaffene Straftatbestände, die bestimmte Angriffe auf IT unter Strafe stellen. Dazu zählen etwa der widerrechtliche Zugriff auf Computersysteme (Hacking), die Störung der Funktionsfähigkeit eines Computersystems (Denial of Service) oder auch das neu geschaffene Ausspähen von Daten eines unbaren Zahlungsmittels (Phishing). Daneben gibt es Äquivalente für im Internet begangene, klassische Straftaten. Darunter fallen etwa Datenbeschädigung, betrügerischer Datenverarbeitungsmissbrauch oder missbräuchliches Abfangen von Daten. Je nach Vorsatz, Intensität und Schadenshöhe variiert die Strafdrohung zwischen sechs Monaten und zehn Jahren Freiheitsstrafe.
Strafurteile relativ selten
Zu Verurteilungen kommt es in der Praxis aber vergleichsweise selten. Dies liegt einerseits daran, dass einige der genannten Delikte nur mit Ermächtigung des Verletzten zu bestrafen sind und viele Unternehmen etwaige Vorfälle aus PR-Gründen nicht publik machen wollen. Andererseits stößt die Rechtsverfolgung bei den üblicherweise grenzüberschreitend begangenen Online-Straftaten und den hoch professionellen, ihre Identität verschleiernden Tätern oft an zeitliche und faktische Grenzen.
Um die Gefahr eines erfolgreichen Angriffs zu minimieren, müssen Unternehmen ihre IT-Infrastruktur hinreichend absichern. Dies nicht nur, um Geschäftsgeheimnisse und Kundendaten zu schützen, sondern auch, um etwaige Haftungsrisiken hintanzuhalten. Bereits auf Basis allgemeiner zivilrechtlicher Vorschriften müssen Unternehmen Vorsorge treffen, um aus Organisations-, Auswahl-, Instruktions-, Kontroll- und Überwachungsverschulden resultierende Haftungen zu vermeiden. Dementsprechend sind nicht nur klare Berichtslinien, krisensichere Speicherung der Daten, sorgfältige Auswahl und Anleitung der Dienstleister und Mitarbeiter, sondern auch effiziente Überwachungsmaßnahmen nötig.
Gerade Letzteres wird in der Praxis sehr selten umgesetzt. Es bedarf daher neben einem erprobten IT-Risk-Management auch eines auf den Tätigkeitsbereich des jeweiligen Unternehmens abgestimmten internen Kontrollsystems. Auch gemäß § 14 Datenschutzgesetz ist eine der Art und dem Umfang der Verarbeitungen wirtschaftlich angemessene Vorsorge gegen unrechtmäßige Zerstörung, Verlust oder Nutzung von Daten zu treffen.
Nach § 14 Abs. 2 DSG ist es dazu zumindest erforderlich, dass a) eine konkrete Aufgabenverteilung erfolgt, b) Mitarbeiter entsprechend geschult sind und c) ein angemessenes Zutritts- und Zugriffsberechtigungssystem eingeführt ist. Mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) wird diesem Punkt durch die in vielen Fällen notwendige, vorab vorzunehmende Datenschutz-Folgenabschätzung eine erhöhte Bedeutung zukommen.
Sofern einem Unternehmen bekannt wird, dass Daten „systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht“, muss es die Betroffenen unverzüglich informieren (§ 24 Abs. 2a DSG). Das kann nur entfallen, wenn der potenzielle Schaden bloß geringfügig ist oder die Information unverhältnismäßige Kosten verursachen würde. Ab Mai 2018 wird auch dieses Regime durch die DSGVO verschärft: So ist zukünftig die zuständige Aufsichtsbehörde möglichst binnen 72 Stunden von jeglicher Verletzung der Datensicherheit detailliert zu informieren. Neben der Art der Verletzung sind auch die Kategorien und Anzahl der Betroffenen und der Daten anzugeben sowie die wahrscheinlichen Folgen und ergriffenen Gegenmaßnahmen.
Dies wird in der gebotenen kurzen Frist nur möglich sein, wenn das Unternehmen proaktiv eine saubere Dokumentation der Verarbeitungsvorgänge nach Art. 30 DSGVO führt. Zusätzlich sind bei voraussichtlich hohem Risiko für die Rechte und Freiheiten der Betroffenen wie bisher auch diese direkt zu informieren. Bei unverhältnismäßigem Aufwand einer Kontaktaufnahme entfällt diese nun aber nicht mehr, sondern hat eine PR-mäßig noch negativere öffentliche Bekanntmachung zu erfolgen.
Regress beim Geschäftsführer
Betroffene haben sowohl nach allgemeinem Zivilrecht bei Nachweis des konkreten Nachteils als auch mit Beweislastumkehr auf Basis des § 33 Abs. 3 DSG hinsichtlich immaterieller Beeinträchtigungen Schadenersatzansprüche gegen das Unternehmen, das die verpflichtenden Sorgfalts- und Vorsorgemaßnahmen schuldhaft außer Acht lässt. Neben etwaigen (Verwaltungs-)Strafen – die mit der DSGVO ebenfalls angezogen werden – drohen den Unternehmen auch massive PR-Schäden und damit Vertrauens- und Kundenverlust. Aber auch die persönlich haftenden Geschäftsführer können vom Unternehmen auf dem Regressweg zur Kasse gebeten werden, sofern sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters schuldhaft außer Acht gelassen haben und so einen Schaden ermöglicht oder nicht minimiert haben.
Unternehmen müssen gegen Cyberangriffe dem Stand der Technik entsprechend und unter Bedachtnahme auf die Sensibilität der von ihnen verarbeiteten Daten vorsorgen. Mit Inkrafttreten der DSGVO wird die Bedeutung von Guidelines, Datenschutzsiegeln und -zertifikaten wohl wachsen, um im Anlassfall belastbare Nachweise der Einhaltung der nötigen Sicherheitsmaßnahmen vorweisen zu können und Haftungen zu vermeiden.
("Die Presse", Print-Ausgabe, 23.05.2016)