„Man sollte Vorfälle nicht unter den Teppich kehren“

Wenn es um das Thema IT-Sicherheit geht, dann ist meist von Hackern und Erpressen, Viren und Schad-Software die Rede. Dabei zeigt sich im Ernstfall schnell, dass mit Cyberattacken oft genug auch Rechtsfragen verbunden sind. Wer haftet bei Fahrlässigkeit? Welche Pflichten haben Unternehmen und Mitarbeiter? Wann gibt es Schadensersatz? Und auf welche Klauseln muss man beim Abschluss einer Cyber-Versicherung achten? Diese und ähnliche Fragen sollten sich alle Unternehmen stellen, die ihre IT-Sicherheit ernst nehmen – und zwar, bevor ein Schadensfall eintritt.

com! professional spricht darüber mit Lasse Konrad, Partner bei Härting Rechtsanwälte in Berlin und Experte für IT-Recht und Datenschutz.

Lasse Konrad: Es gibt relativ viele Gesetze, die in verschiedenen Eingriffstiefen für Unternehmen relevant sind. Zum einen das IT-Sicherheitsgesetz. Hinzu kommt noch das Geschäftsgeheimnisgesetz – das dann als Konsequenz des Sicherheitsvorfalls relevant wird. Ansonsten ist es das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), also wenn ein System gehackt wird und damit etwas angestellt wird. Und dann gibt es die Gesetze, vor denen viele Angst haben in Bezug auf Bußgelder – das Bundesdatenschutzgesetz und die Landesdatenschutzgesetze und natürlich die EU-Datenschutz-Grundverordnung (DSGVO). Dort sind verschiedene Punkte enthalten, zum Beispiel Artikel 25 und 32, die diverse technische und organisatorische Maßnahmen vorschreiben – für alle Verantwortlichen, und das ist im engeren Sinn jeder, der etwas mit Daten macht.

Konrad: Konkrete Maßnahmen, also etwa welche Art der Verschlüsselung man nutzen muss, stehen dort nicht drin. Man muss sich an den sogenannten technischen Stand halten. Das ist nichts, was festgeschrieben ist, sondern sich ständig weiterentwickelt. Es braucht daher eine aufmerksame IT-Abteilung, die über ein konkretes Wissen verfügt, zum Beispiel zu den einschlägigen ISO-Normen. In diesen wird ein wenig mehr beschrieben, was man umsetzen sollte. Kurz: Die IT muss das Wissen zu aktuellen Normen haben und zum aktuellen Stand der Technik. Aber grob gesagt: Alle, die irgendwie am Netz hängen, müssen darauf achten, dass es für die Zugriffe auf die Systeme entsprechende Rollen-Systeme gibt und jeder Mitarbeiter auch nur das sehen darf, was er für seine Arbeit braucht.

com! professional: Und wer haftet im Unternehmen, wenn man diesen Verpflichtungen nicht nachkommt? Muss man als IT-Verantwortlicher damit rechnen, dass man belangt wird? Er ist ja in der Praxis quasi derjenige, der das Ganze umsetzen muss ...

Konrad: Die typische Antwort des Juristen darauf lautet: Es kommt darauf an. Hier muss jeder Einzelfall bewertet werden. Grundsätzlich gelten aber folgende Regeln: Ein IT-Verantwortlicher ist letztlich ein normaler Angestellter, der bestimmten Pflichten unterliegt. Man darf also nicht grob fahrlässig etwas falsch machen und sehenden Auges in den Untergang rennen. Haftbar aber ist letzten Endes der sogenannte Verantwortliche, also das Unternehmen selbst.

An manchen Stellen muss man aber natürlich auch eine bestimmte Person haben, und hier greift dann etwa das Aktien-Gesetz oder das GmbH-Gesetz, nach denen der Vorstand oder der Geschäftsführer haften kann. Hier kommt es aber sehr auf die Details an. Opfer einer Hacker-Attacke kann zum Beispiel jeder werden. Hier braucht es dann schon offenkundige Fehler, etwa ein seit Jahren nicht mehr geändertes Passwort.

Konrad: Wie bei jeder anderen Versicherung muss man hier sehr genau darauf achten, was der Versicherungsschutz alles beinhaltet. Das ist wie bei einer Gebäudeversicherung – wenn zum Beispiel der Rohrbruch zwei Meter zu weit links ist, dann zahlt die Versicherung schon nicht mehr. In den Policen steht dann auch etwas genauer, was die Versicherer unter dem angesprochenen Stand der Technik verstehen. Etwa wird geregelt, wie häufig Backups gemacht werden müssen.

Der Abschluss einer solchen Versicherung ergibt für die Unternehmen Sinn, die potenziell gefährdet sein können, also zum Beispiel viel mit Kundendaten zu tun haben. Da sollte man sich in jedem Fall mit dem Thema Cyber-Versicherungen beschäftigen. Und da sollte man auch nicht unbedingt die Schmalspurlösung wählen. Je mehr Daten ich habe und darauf angewiesen bin, desto eher sollte man lieber eine höhere Prämie in Kauf nehmen und ist ordentlich abgesichert.

Konrad: Die Prämie einer solchen Versicherung dürfte kaum bezahlbar sein, wenn auch DSGVO-Bußgelder übernommen werden würden. Die Strafe ist nämlich meist deutlich höher als das Lösegeld. Rein rechtlich dürfen Unternehmen übrigens ohnehin kein Lösegeld zahlen. In der Regel dürfte hier der Verdacht der Förderung einer kriminellen Vereinigung bestehen.

Was Cyber-Versicherungen typischerweise abdecken, ist die erwähnte Datenwiederherstellung. Hier sollte man allerdings beachten, dass es nach einem Hacker-Angriff sinnvoll ist, dass gesamte IT-System neu aufzusetzen. In den meisten Fällen findet man nämlich nicht alles, was infiltriert wurde. Und das sind immense Kosten für Server, Dienstleister et cetera.

Ein weiterer Posten, der meist übernommen wird, sind Rechtanwaltskosten, die leider dann auch etwas höher ausfallen können. Der rechtliche Aufwand ist hier immens. Es geht weniger um rechtlich begleitetes Händchenhalten, sondern um Krisenmanagement. Zwar wissen viele Unternehmen etwa der kritischen Infrastruktur, wo sie den Vorfall melden müssen, aber zum Beispiel bei Lösegeldern sollte man immer einen Strafrechtsexperten an seiner Seite haben.

Konrad: Pauschale Aussagen würde ich mir hier nicht anmaßen. In unserer Kanzlei kennen wir einige Fälle, bei denen Cyber-Versicherungen ohne Murren bezahlt haben, auch keine kleinen Summen. Aber die Prämien waren auch dementsprechend hoch. Das waren zwar auch Prämium-Produkte in Sachen Versicherung – aber die Einschätzung, dass nicht gezahlt wird, teile ich nicht. Die Frage ist meist eher, ob ein entsprechender Vorfall auch versichert ist.

Konrad: Das kommt ganz auf die Größe des Unternehmens, die Größe der IT und die Höhe des Umsatzes an. Das sind die drei relevanten Faktoren. Konkrete Zahlen lassen sich hier kaum nennen. Während für ein Großunternehmen zum Beispiel eine Prämie in Höhe von 10.000 Euro gar nichts ist, würde das etwa eine kleine Druckerei nie bezahlen.

Konrad: Grundsätzlich ja. Aber die Frage ist dann: Kann ich beweisen, dass es ein Mangel an der Software ist? Kein Unternehmen dieser Welt wird eine Software oder eine Lizenz verkaufen, bei der in den Bedingungen steht, dass die Software frei von Mängeln ist. Jede Software hat irgendeinen Mangel. Und da ist dann die Frage, wie schwerwiegend er ist.

Relativ einfach ist der Fall, wenn ein Mangel bekannt ist, es aber kein Update dagegen gibt. Also wenn zwischen Bekanntwerden einer Lücke und deren Behebung etwas passiert, dann dürfte man im haftbaren Bereich sein. Aber hier geht es meist um Streitigkeiten in Millionenhöhe und man streitet sich jahrelang.

Konrad: Was stets die allerschlechteste Lösung ist: Sicherheitsvorfälle unter den Teppich kehren! Das Wichtigste ist, so schnell wie möglich die Entscheidungsträger einzubinden und sofort zu informieren.

Man hat sehr kurze Meldefristen etwa in Bezug auf die DSGVO. So sind zum Beispiel 72 Stunden zur Meldung an die Behörde ganz schnell vergangen. Auch Gegenmaßnahmen müssen ganz schnell angegangen werden.