Cyber-Kriminalität: Wenig Schutz vor einer großen Gefahr

Es vergeht kaum ein Tag, an dem kein IT-Sicherheitsvorfall bekannt wird – seien es Automobilzulieferer oder Airlines, aber auch Behörden und sogar der Deutsche Bundestag. Dabei handelt es sich häufig um sogenannte Data Breaches oder Datenpannen, bei denen Informationen absichtlich oder versehentlich in unbefugte Hände gelangen.

Laut den Ergebnissen einer aktuellen Studie des Digitalverbandes Bitkom gehören Sabotage, Datendiebstahl oder Spionage mittlerweile zur traurigen Realität vieler Unternehmen in Deutschland. Fast 70 Prozent haben innerhalb der letzten zwei Jahre Cyber-Angriffe auf ihre Systeme registriert. Bei fast der Hälfte aller betroffenen Unternehmen verursachten die Cyber-Kriminellen Schäden mit einer Gesamthöhe von über 43 Milliarden Euro.

In Deutschland existieren zum Schutz gegen Cyber Crime bis dato lediglich vereinzelte rechtliche Regelungen, zu denen etwa das IT-Sicherheitsgesetz gehört. Mit dem EU-Cybersecurity Act und Ergänzungen zum IT-Sicherheitsgesetz stehen jedoch die nächsten gesetzgeberischen Aktivitäten bevor, mit denen dieser wachsenden Problematik der Kampf angesagt werden soll.

DDoS-Attacken legen Unternehmens-Websites lahm

Aber auch gezielte Angriffe auf Unternehmens-Websites und Systeme schaffen es regelmäßig in die Presse. Bei diesen Attacken bombardieren tausende von Systemen, orchestriert durch eine Person oder Gruppe, das ausgewählte Ziel mit Anfragen. Der dadurch hervorgerufene Ausfall bzw. die Nichterreichbarkeit der Website führt häufig zu unmittelbaren wirtschaftlichen Schäden.

Da die Auswirkungen unmittelbar für jedermann sichtbar und kaum zu verhindern sind, werden solche sogenannten DDos-Attacken aber oft auch für politisch motivierte Aktionen genutzt. Dies musste diese Woche auch ein großes deutsches Unternehmen erfahren. Dritten gelang es, zumindest zeitweise, dessen Website lahmzulegen – vermutlich aus Protest gegen das öffentlich in der Kritik stehende Verhalten des Unternehmens.

Klar ist: Mit zunehmender Digitalisierung und Vernetzung steigt die Bedrohungslage für die Sicherheit der IT-Systeme seit Jahren kontinuierlich an. Zwar gehen einzelne Ausprägungen zurück, doch treten neuartige Phänomene auf, etwa Ransomware. Dabei werden missbräuchlich Festplatten verschlüsselt, deren Inhalt der Eigentümer erst zurückerhält, wenn er "Lösegeld" bezahlt. Aber auch von einem systematischen Ausspähen insbesondere innovativer Wirtschaftsunternehmen durch ausländische Staaten und Mitbewerber ist zu lesen. Insofern stellt sich die Frage, mit welchen rechtlichen Regelungen der Staat dieser Bedrohungslage begegnet.

Gesetzliche Regelungen im IT-Sicherheitsrecht: Ein Flickenteppich

Die bestehenden rechtlichen Regelungen, die der Erhöhung der IT-Sicherheit dienen sollen, finden sich über unterschiedliche Gesetze verstreut. Mithilfe der abschreckenden Wirkung des Strafrechts wird versucht, unerwünschtes Verhalten wie die Datenveränderung und Computersabotage (§§ 303a, 303b StGB) oder das Ausspähen und Abfangen von Daten einschließlich der notwendigen Vorbereitungshandlungen zu kriminalisieren (§§ 202a, 202b, 202c StGB).

Vorgaben zur Mindestsicherheit von IT-Systemen und die Pflicht zur Meldung von IT-Sicherheitsvorfällen an staatliche Stellen finden sich in der europäischen Netz- und Informationssicherheitsrichtlinie (NIS-Richtlinie) aus dem Jahr 2016. Dies wurde in Form des IT-Sicherheitsgesetzes in Deutschland, teilweise vorzeitig, umgesetzt. Anders als der Name vermuten lässt, handelt es sich aber nicht um ein einheitliches Gesetz, das bereichsübergreifend für eine Erhöhung der IT-Sicherheit sorgen soll.

Vielmehr enthält es Regelungen in unterschiedlichen Gesetzen, die sich nur an besonders bedeutende Unternehmen aus (lebens-)wichtigen Bereichen, wie etwa der Energie-, Wasser- oder Gesundheitsversorgung richten. Zu diesen Kritischen Infrastrukturen zählen aber auch große Anbieter von digitalen Diensten wie Cloud- und Suchmaschinenanbieter. Auch diesen wird vorgegeben, gewisse Sicherheitsanforderungen zu erfüllen und durch die Meldung von Angriffen zu einer Verbesserung des Wissens über Schwachstellen beizutragen (§ 8c BSI-Gesetz).

Zu den wichtigen Regelungen auf dem Gebiet der Cyber-Security gehört letztlich aber auch die Europäische Datenschutz-Grundverordnung (DS-GVO), die speziell um den 25. Mai 2018 europaweit für großen Wirbel sorgte. Auch wenn diese ihren Fokus nicht auf der IT-Sicherheit hat, dürfte sie nicht unwesentlich dazu beitragen, die IT-Sicherheit generell zu erhöhen. Grund hierfür dürfte sein, dass sehr viele Unternehmen aus Angst vor hohen Bußgeldern bei Verletzungen der Vorgaben zur Datensicherheit (Art. 32 DS-GVO) generell in ein erhöhtes IT-Sicherheitsniveau investierten.

IT-Sicherheitsgesetz 2.0 und EU-Cybersecurity Act

Obgleich staatlicherseits die Haltung erkennbar ist, dass Unternehmen grundsätzlich selbst und aus eigenem Interesse für die Sicherheit ihrer IT-Systeme sorgen sollten, dürfte es zukünftig auch in diesem Bereich zu weiterer gesetzlicher Regulierung kommen. Medienberichten zufolge wird derzeit bereits an einem "IT-Sicherheitsgesetz 2.0" gearbeitet, das noch in dieser Legislaturperiode verabschiedet werden soll. Geplant sein soll auch, die Pflicht zur Meldung von IT-Sicherheitsvorfällen auszuweiten. So sollen zukünftig nicht nur Betreiber Kritischer Infrastrukturen sondern auch andere Unternehmen durch Meldungen zu einem verbesserten Lagebild im Bereich der Cyber Security beitragen.

Aber auch mit Blick auf konkrete Produkte und Dienstleistungen ist mit weiteren gesetzlichen Regelungen zu rechnen. So soll gegebenenfalls sogar noch dieses Jahr der sogenannte EU-Cybersecurity Act erlassen werden. Dieser soll einen gemeinsamen Rahmen für Sicherheitszertifizierungen schaffen und so IT-Produkte und Dienstleistungen generell sicherer machen. Die EU setzt insofern auf eine Kombination aus harmonisierender Rahmensetzung und dem freien Spiel der Marktwirtschaft.

Mit Blick auf Entwicklungen wie Internet of Things und eine weiter wachsende Bedrohungslage ist generell die Tendenz erkennbar, dass zunehmend auch eine branchen- und sektorenübergreifende staatliche Regulierung erfolgt.

Unternehmen können Vorkehrungen treffen

Vor dem Hintergrund der wachsenden Bedrohung und bestehenden und künftigen Regulierung im Bereich der IT-Sicherheit gilt es für Unternehmen, in technische Sicherheitsmaßnahmen zu investieren und dem rechtlichen Bereich zuzuordnende Schritte zu unternehmen. Etwa sollte sichergestellt sein, dass im Unternehmen geeignete Strukturen und Prozesse geschaffen wurden, um die gesetzlichen Vorgaben einzuhalten. Dies mag etwa die fristgerechte Meldung von Data-Breaches gemäß Art. 33 DS-GVO betreffen, bei denen es zu einer Schutzverletzung bei personenbezogenen Daten gekommen ist. Die Einhaltung solcher und vergleichbarer Vorgaben kann, muss aber nicht, dem Bereich der Unternehmens-Compliance zugeordnet sein.

Werden bestehende Verträge angepasst oder neue abgeschlossen, sollten – ein entsprechender Kontext vorausgesetzt – auch Regelungen für den Fall von IT-Sicherheitsvorfällen oder Verpflichtungen auf bestimmte Sicherheitsstandards enthalten sein. So kann beispielsweise der Lieferant einer Komponente nicht nur auf bestimmte optische oder physische Leistungsmerkmale sondern auch auf Sicherheitsstandards oder -Features verpflichtet werden. Oder aber es wird dem Anbieter eines Dienstes die ggf. anteilige Haftung für Schäden auferlegt, die sich aus den Attacken Dritter auf die IT-Systeme ergeben.

Zudem können Unternehmen durch entsprechende Vertrags- und Richtliniengestaltung die rechtlichen Voraussetzungen dafür schaffen, dass missbräuchliches Verhalten von Mitarbeitern durch erlaubte Monitoring-Maßnahmen frühzeitig aufgedeckt wird. Denn gerade daraus erwachsen häufig die größten Schäden, sei es durch den absichtlichen Datendiebstahl oder das unbeabsichtigte Einschleusen von Malware durch das unbedachte Öffnen eines E-Mail-Anhangs. Der eigene Mitarbeiter bleibt nach wie vor das Sicherheitsrisiko Nr. 1 für jedes Unternehmen. Allerdings dürfte daran absehbar auch keine gesetzliche Regulierung etwas ändern können.

Dr. Florian Schneider ist Rechtsanwalt bei der Wirtschaftskanzlei CMS in Deutschland und im Bereich Technology, Media & Communications tätig. Er hat im Bereich des IT-Sicherheitsrechts promoviert und berät Unternehmen regelmäßig zu entsprechenden Fragen.