Haftung bei Cybervorfällen

Kommentar von Richard Werner, Business Consultant bei Trend Micro

Wird ein Unternehmen Ziel einer Cyberattacke, sind alle Beteiligten die Opfer skrupelloser Krimineller. Doch ähnlich wie bei anderen Straftaten werden auch diese Angriffe häufig durch Versäumnisse begünstigt. In der IT-Welt zählen nicht gepatchte Sicherheitslücken und/oder schwache Passwörter zu den häufigsten „Kollaborateuren“ von Cybergangstern. Und da oft Millionenschäden damit verbunden sind, stellt sich die Frage, ob dafür einzelne Personen zur Verantwortung gezogen werden können. In einer Trend Micro-Umfrage von 2021 gaben 76% der in Deutschland befragten IT-Manager und 66% der Geschäftsführer an, sich eine veränderte Verantwortungsregelung für IT-basierte Geschäftsrisiken zu wünschen, nämlich dass der jeweils andere die Risiken mittragen solle. Insgesamt 8% der Befragten hätten es sogar lieber, wenn alle Mitarbeiter zur Verantwortung gezogen werden könnten. Dieses kuriose Ergebnis veranlasste uns, in der Neuauflage des juristischen Leitfadens neben der aktuellen deutschen Rechtslage auch der Frage genauer nachzugehen und darzustellen, wer die eigentlichen Risiken trägt und wer wofür die Verantwortung hat oder übernehmen kann.

Geht es in einem Cybervorfall, etwa bei einem Ransomware-Angriff, um schuldhaftes Verhalten auf Opferseite kommt als erstes der Kollege ins Spiel, der auf die Angriffs-Mail hereingefallen ist und einen Link oder einen Anhang geöffnet hat, wodurch die eigentlichen Täter erst in die Unternehmens-IT einsteigen konnten. Eine solche Schuldzuweisung aber ist falsch. Das Problem ist sehr wohl bekannt und auch, dass der Nutzer als das „schwächste Glied in der Sicherheitskette“ gilt. Man müsste einem User schon Absicht beweisen können, um ihn für die Tat zur Verantwortung ziehen zu können.

Ein jedes Unternehmen muss dieses Risiko einkalkulieren und entsprechende organisatorische Gegenmaßnahmen ergreifen. Hierzu zählen vor allem technische Lösungen zur Angriffserkennung und -vermeidung, aber natürlich auch Notfallkonzepte für den Ernstfall. War die bösartige Mail in der Lage, alle diese technischen und organisatorischen Hilfsmittel ohne Entdeckung zu überwinden, fällt es schwer, ausgerechnet den Mitarbeiter dafür zur Verantwortung zu ziehen, dass er den Köder nicht entdeckt hatte.

Spielraum für eigenständiges Handeln

Schafft es eine Ransomware tatsächlich, sich in ein System einzuschleusen, versuchen die Täter sich weiter auszubreiten (Lateral Movement). Hierzu werden Schwachstellen ausgenutzt sowie Hacking Tools wie z.B. CobaltStrike verwendet oder einfach Passwörter erraten oder ausspioniert. Schwache Passwörter und fehlende Patches sind Dauerbrenner. Es fällt in die Zuständigkeit der IT, diese Schwächen auszumerzen. Multifaktor-Authentifizierung sowie starke Policies auf der einen, Patching-Prozesse und Security-Technologie auf der anderen Seite sind Fragen des Aufwands sowohl beim Personal als auch bei Ressourcen. Aber nicht genug damit, es gilt auch Faktoren zu berücksichtigen wie das Knowhow, die vernünftige Steuerung angeschaffter Technologie sowie eine Festlegung in Prozessen, was zu tun ist, sollte etwas nicht funktionieren.

Dies sind organisatorische Herausforderungen. Mitarbeiter in der IT bis hin zum IT-Management haben oft keine Möglichkeit, über diese Rahmenbedingungen frei zu entscheiden. Eine Haftung durch die IT-Sicherheitsabteilung bis hin zum CISO ist deshalb nur dann gegeben sein, wenn wissentlich Unternehmensvorgaben missachtet worden sind. Aber Vorsicht! Das kann tatsächlich schneller passieren, als vielleicht angenommen. Ein Beispiel: Für die IT-Abteilung gibt es die Vorgabe, jeden Patch erst angemessen zu prüfen, bevor er implementiert wird. Während des Testverfahrens stellt sich jedoch heraus, dass der Patch zu Problemen mit anderen Applikationen führt -er wird deshalb nicht implementiert. Dies ist in vielen Unternehmen Alltag — und es zählt zu den unternehmerischen Risiken, solche Entscheidungen zu treffen. Dieses Risiko kann dabei allerdings immer nur die Unternehmensleitung tragen. Sie definiert den Spielraum für das eigenständige Handeln der IT-Abteilung. Entscheidet sie außerhalb dieses Spielraums, oder gibt es keinen definierten Spielraum sondern nur die oben genannte Vorgabe zur Implementierung, kann dies im Ernstfall Haftungsfragen nach sich ziehen. Aber das bedeutet nicht, dass die Abteilung alleinig verantwortlich ist oder gemacht werden kann.

Cyberattacken sind laut dem Allianz Risiko Barometer das Geschäftsrisiko Nummer Eins noch vor Pandemien, Naturkatastrophen und ähnlichen Problemen. Damit ist die Geschäftsleitung eines jeden Unternehmens in der Pflicht, dieses Risiko zu bewerten. IT- und IT-Security-Abteilungen müssen ihrer Geschäftsleitung entsprechende Entscheidungsgrundlagen vorlegen und einen Überblick über die eigene Lage bieten. Die Geschäftsleitung allein kann entscheiden, welche Risiken sie einzugehen bereit ist, und welche Maßnahmen zu deren Minderung sinnvoll sind. Sie trägt immer die Verantwortung. Doch sie ist dabei auf die Beratung durch die IT-Sicherheitsabteilung angewiesen.

Nicht jedes Risiko kann abgewendet werden. Umso wichtiger ist es, das Thema Cybersicherheit regelmäßig in die Risikobetrachtung einzubeziehen und Entscheidungen zu dokumentieren. Jeder Mensch, auch eine Geschäftsleitung kann sich irren. Wird aber eine Entscheidung ohne zumutbare Einholung von Informationen zur tatsächlichen Lage getroffen oder diese Lage gar ignoriert, kann dies auch zu einer persönlichen Haftung der Geschäftsleitung gegenüber dem Unternehmen führen.

Risikobewertung in deutschen Unternehmen

Wie sieht es damit in deutschen Firmen aus? Einer im Oktober 2021 durch Trend Micro beauftragten Studie zufolge treffen sich 51% der Unternehmensleiter mindestens einmal wöchentlich mit ihren IT–Teams, um die Frage der Cyberrisiken zu diskutieren. Zwar geben 80% der IT-ler an, Risiken zumindest ab und zu herunterzuspielen, um nicht als zu negativ zu gelten, doch es herrscht weitestgehend Einigkeit darüber, dass die Geschäftsentscheider mittlerweile ein akzeptables Verständnis für die Cyberrisiken entwickelt haben (ca. 90%).

Weniger erfreulich ist allerdings, dass nur 25% der befragten Unternehmen Cybervorfälle als Geschäftsrisiko einordnen. 51% rechnen diese zu den IT-Risiken. Befragt danach, wer für das Managen der Geschäftsrisiken innerhalb der IT-Infrastruktur verantwortlich gemacht wird, antworteten deshalb auch 49%, dies sei das operative IT-Team. Dies mag im Innenverhältnis richtig sein. Kommt es allerdings zu Schäden durch einen Cybervorfall, ist es nicht ganz so einfach.

Fazit

Cyberangriffe mögen zwar IT-Risiken sein, aber IT ist geschäftsentscheidend, unabhängig davon, ob ein Unternehmen produziert, verkauft oder Dienstleistungen erbringt. Deshalb ist Cyberkriminalität heute Chefsache, und die Unternehmensleitung kann diese Verantwortung nicht abgeben. Sie muss durch Organisationsmaßnahmen die Möglichkeit schaffen, sich gegen Cyberattacken zu wehren und den fortlaufenden Betrieb des Geschäfts (Business Continuity Management) garantieren. Die Gefahr für Unternehmen hat sich in den letzten Jahren verschärft, weil sich die Kriminalität organisieren konnte und moderne Angriffstechniken aber auch veraltete Verteidigungsmaßnahmen es ermöglichten, viele Opfer zu finden.

Die heutige Situation verlangt von IT-Sicherheitsabteilungen schnelles Reaktionsvermögen und zentralen Überblick. Beides ist gerade in historisch gewachsenen IT-Sicherheitsumgebungen oft nicht gegeben. Damit läuft sie Gefahr, ihre Daseinsberechtigung, nämlich das Unternehmen vor Schäden zu bewahren, zu verlieren. Rechtzeitige Kommunikation aber vor allem eine angemessene Gefahreneinschätzung sind zwingende Voraussetzungen, um die Geschäftsführung adäquat beraten zu können. Nur dann ist diese in der Lage die richtigen Entscheidungen zu treffen.

Leider fühlen sich IT-Sicherheitsabteilungen mit wichtigen Entscheidungen häufig allein gelassen. Es fehlt an Überblick, Mitarbeitern und Budget und oft genug am Interesse der Geschäftsleitung. Letzteres ist nicht optional, sondern eine Haftungsfrage. Kommt es zum Schadensfall sind die Vorwürfe oft gegenseitig und alle leiden darunter.

Hersteller wie Trend Micro können technologisch die IT-Sicherheitsabteilung mit den notwendigen Entscheidungsgrundlagen versehen. Die organisatorische Abbildung können wir zumindest unterstützen. Geschäftsleitung und IT-Security müssen sich allerdings auf den grundsätzlichen Weg einigen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.