Stellungnahme zum Coronavirus

Cyber-Attacken – Virtuelles Risiko oder Haftungsfalle für die Geschäftsleitung?

07.11.2016IT & TelekommunikationCybersecurity, Cyberattacken, IT-Law

Cyber-Attacken sind zum täglichen Risiko geworden. Jedes Unternehmen muss darauf eingerichtet sein, dass die Sicherheit der eigenen IT ständig von Kriminellen „getestet“ wird. Die Zahl der Angriffe hat dabei ebenso zugenommen wie die von diesen, technisch auf höchstem Niveau stehenden Angriffen ausgehende Gefahr. Während es früher häufig dabei blieb, dass Dritte, nicht immer in krimineller Absicht, in die IT-Landschaft von Unternehmen eingedrungen sind, um dort nach Informationen zu suchen, hat die von Cyber-Attacken ausgehende Gefahr mittlerweile ganz neue Formen angenommen: Angriffsziele sind mittlerweile nicht nur Daten, sondern auch technische, d. h. physische, Infrastrukturen (bspw. wurde durch einen Angriff aus einem Internet eine Hochofen in einem Stahlwerk zerstört) zu. Eine weitere noch recht „junge“ Angriffsform ist die Erpressung durch Sperre der gesamten IT (bspw. von Krankenhäusern), ein für jedes Unternehmen kaum verkraftbarer Eingriff in den Betriebsablauf.


Bedrohung durch Cyber-Attacken

Jüngste Umfragen zeigen, dass Cyber-Attacken oder Cybercrimes mittlerweile zum zweithäufigsten Verbrechen, das gegen Unternehmen verübt wird, geworden sind. Im Rahmen einer Umfrage der PwC (die Global Economic Crime Survey 2016) gaben 32 % der befragten Unternehmen an, dass sie bereits Opfer einer Cyber-Attacke geworden seien. Weitere 34 % der Befragten gingen davon aus, dass ihrem Unternehmen dies in den nächsten 2 Jahren widerfahren würde. Erstaunlicherweise sind aber bei weitem nicht alle Unternehmen für die Abwehr von Cyber-Attacken gerüstet. So haben beispielsweise nur 37 % der von PwC befragten Unternehmen entsprechende Planungen zum Abwehr von Angriffen bzw. zum Verhalten bei einem erfolgreichen Angriff. 90 % der Sicherheitsbeauftragten in den Unternehmen sind nach einer Studie von Veracode (beschränkt auf Unternehmen mit mehr als 1000 Beschäftigten) sogar immer noch der Meinung, dass IT-Sicherheitsrichtlinien die Innovationskraft Ihres Unternehmens schädigen. Dies zeigt, dass die Geschäftsleitungen häufig wohl noch nicht verstanden haben (oder wissen wollen), dass die Abwehr von Cyberattacken und die Vorbereitung für den Fall einer erfolgreichen Attacke „Chefsache“ ist.

Dabei sind die Schäden durch Cyber-Angriffe häufig sehr groß. Nach der bereits erwähnten Studie von Veracode ergab sich eine Schadenssumme von EUR 65 Milliarden in den vergangenen 5 Jahren nur für Deutschland. Die produzierende Industrie war hier mit 27 Milliarden EUR der am stärksten geschädigte Bereich. Dies dürfte damit zusammen hängen, dass gerade in diesem Industriezweig die Vernetzung besonders hoch ist. Zugleich ergab diese Studie, dass in den meisten Fällen das Ausnutzen von Schwachstellen in der IT-Sicherheit das größte Problem darstellte. Allein dieser Befund deutet darauf hin, dass es mit der Sicherheit nicht zum Besten steht.

Gesetzgeber fordert IT-Sicherheit

Der Gesetzgeber scheint demgegenüber die Sicherheit der IT und insbesondere der gespeicherten Daten deutlich ernster zu nehmen. Die Anzahl der einschlägigen Gebote ist kaum überschaubar: Die Regelungen der §§ 2 ff. BSiG, § 9 BDSG, § 33 WPHG, § 11a Abs. a EnWG, §§ 9 TKG, § 145 ff. AO, § 241 Abs. 2 BGB und § 203 ff. StGB stellen nur eine Auswahl dar. Bei allen Unterschieden den Einzelheiten ist den gesetzlichen Vorgaben für die IT-Sicherheit eines gemeinsam: Sie verlangen angemessene Schutzvorkehrungen und die Vernachlässigung dieser Schutzvorkehrungen führt zu einer Sanktion. Dies können ein Bußgeld oder eine zivilrechtliche Haftung sein; in einigen Fällen besteht auch die Möglichkeit einer strafrechtlichen Sanktion.

Risiko für den Geschäftsleiter

Weder die Gewährleistung der IT-Sicherheit noch die möglicherweise drohenden Sanktionen kann ein Geschäftsleiter auf die IT-Fachabteilung „abschieben“. Geschäftsleiter sind nämlich gemäß § 43 Abs. 2 GmbHG und § 93 Abs. 2 Satz 1 AktG verpflichtet, ihr Unternehmen vor Schaden zu bewahren und die entsprechenden Vorkehrungen zu treffen. Sie sind weiterhin verpflichtet, intern ein System zur frühzeitigen Erkennung von Risiken zu etablieren. Und es besteht erst recht die Pflicht, geltende Gesetze einzuhalten. Geschieht dies nicht, müssen die Geschäftsleiter für die daraus dem Unternehmen entstandenen Schäden einstehen. Natürlich muss ein Geschäftsleiter nicht alles selbst machen; er muss jedoch die Voraussetzungen dafür schaffen, dass Sicherheits-Vorschriften geschaffen werden, diese beachtet und gegebenenfalls an neue Bedrohungen angepasst werden. Er muss weiterhin dafür sorgen, dass die notwendige technische Infrastruktur vorhanden ist. Und er muss schließlich sicherstellen, dass Probleme oder Defizite gemeldet werden und er diese Meldungen zur Kenntnis erhält.

Kommt es zu einer erfolgreichen Cyber-Attacke und entsteht dem Unternehmen dadurch ein nennenswerter Schaden, wird sicherlich die Frage nach der Verantwortung gestellt werden. Zwar ist es nicht die Regel, dass der oder die Geschäftsleiter hierfür unmittelbar in Anspruch genommen werden. Ist aber das Verhältnis des betreffenden Geschäftsleiters zum Unternehmen ohnehin „belastet“, kann eine erfolgreiche Cyber-Attacke durchaus Anlass für Maßnahmen gegen den Geschäftsleiter sein. Solche Maßnahmen beinhalten typischerweise einen Regress wegen des Schadens, der dem Unternehmen durch die Attacke entstanden ist. Die prozessuale Situation ist für den Geschäftsleiter bei jedem Rückgriff gegen ihn im Hinblick auf die Verletzung von professionellen Pflichten ohnehin eher ungünstig. Das Unternehmen, für das der Geschäftsleiter arbeitete, muss nur folgendes darlegen und beweisen: (i) ein möglicherweise pflichtwidriges Verhalten des Geschäftsleiters, (ii) Eintritt und Höhe eines Schadens und (iii) die Kausalität der Pflichtverletzung für den Schaden. Schon dabei kommen dem Unternehmen Beweiserleichterungen zugute, weil im Rahmen der Höhe eines Schadens und unter Umständen auch bei der Kausalität gerichtliche Schätzungen ausreichen können. Es ist dann Sache des Geschäftsleiters, sich zu entlasten. Er muss darlegen und beweisen, dass er nicht pflichtwidrig gehandelt hat.

Dies lässt sich besonders gut auf einer erfolgreichen Cyber-Attacke demonstrieren: Will das Unternehmen Rückgriff bei dem Geschäftsleiter nehmen, wird es darlegen und beweisen, dass infolge einer Cyber-Attacke ein erheblicher Schaden entstanden ist und dieser Schaden bei Erfüllung der gesetzlichen Pflichten und darüber hinaus bei sorgfältiger Organisation der IT nicht eingetreten wäre. Es ist dann Aufgabe des Geschäftsleiters, das Gericht davon zu überzeugen, dass die Cyber-Attacke entweder durch auf dem aktuellen Stand befindliche technische Vorkehrungen nicht abzuwehren oder aus anderen Gründen ein Schaden nicht zu verhindern war. Das beinhaltet die Darlegung, dass im Unternehmen selbst sämtliche Schutzvorkehrungen getroffen waren und im Rahmen der Frage, ob ein Schutz angemessen ist, begründete Abwägungen vorgenommen wurden. Dies muss der Geschäftsleiter durch entsprechende Dokumente belegen.

Kann er dies nicht, wird er mit großer Wahrscheinlichkeit zur Zahlung von Schadensersatz verurteilt werden. Es bleibt dann nur noch die Frage, ob er über eine ausreichende Versicherungsdeckung im Rahmen einer D&O-Versicherung verfügt. Die persönliche Beanspruchung durch einen solchen Regress-Prozess und die damit verbundene (und natürlich für andere potentielle Arbeitgeber erkennbare) Einschränkung bei der Möglichkeit, andere Aufgaben wahrzunehmen, kann aber auch eine D&O-Versicherung nicht ausgleichen.

Was ist zu tun?

Will ein Geschäftsleiter das dargestellte Risiko vermeiden oder zumindest reduzieren, muss er folgendes tun:

  •  Ist er (mittelbar oder unmittelbar) für die IT-Sicherheit im Unternehmen zuständig, muss er dafür sorgen, dass der Stand der Absicherung ermittelt und dokumentiert wird. Diese Dokumentation sollte dann von einem externen Berater daraufhin überprüft werden, ob sie wirklich ausreicht. Die eigene Fachabteilung neigt erfahrungsgemäß dazu, ihr eigenes Handeln nicht infrage zu stellen oder sogar Defizite zu nennen.
  • Selbst wenn der Geschäftsleiter nicht für die IT-Sicherheit zuständig ist, sollte er das Thema in einer entsprechenden Sitzung aufnehmen und den zuständigen Kollegen in der Geschäftsleitung auffordern, hier eine entsprechende Dokumentation vorzulegen oder zu erstellen. Dies gilt insbesondere vor dem Hintergrund bereits erfolgter Angriffe auf das Unternehmen.
  • Liegt die Dokumentation über den Ist-Zustand vor, muss entschieden werden, ob dieser Ist-Zustand verbessert werden muss. Häufig wird man in diesem Zusammenhang feststellen, dass nicht nur technische Verbesserungen, sondern vor allem Verbesserungen bei Information und Anweisung der Mitarbeiter erforderlich sind. Zusätzlich muss ein System geschaffen werden, das die Einhaltung von Vorgaben kontrolliert und Defizite zuverlässig anzeigt.
  • Die gesamten Maßnahmen (Ermittlung des Ist-Zustands, Einführung von Verbesserungen, Überwachung der Einhaltung von Vorgaben) müssen sorgfältig dokumentiert werden. Diese Dokumentation ist nicht nur für die Abwehr möglicher Regresse wegen Schadensersatzes von Bedeutung, wenngleich der Gedanke an die eigene Absicherung schon genug Motivation sein sollte. Nach der EUDatenschutz- Grundverordnung, die ab dem 25. Mai 2018 unmittelbar gilt, sind Datenschutz und Datensicherheit ausdrücklich zur Aufgabe der Geschäftsleitung gemacht worden. Und darüber hinaus kann schon die unzureichende Dokumentation dazu führen, dass dem Unternehmen ein Bußgeld von bis zu € 20 Millionen droht. Bei einer mangelhaften Dokumentation dürfte auch der Nachweis, dass ein solcher Schaden für das Unternehmen unabwendbar war, nicht mehr gelingen. Der erfolgreiche Regress gegen den Geschäftsleiter ist dann vorprogrammiert.

 

Dr. Jochen Lehmann
Dr. Jochen Lehmann
Rechtsanwalt und Partner,
GÖRG Partnerschaft von Rechtsanwälten mbB