Credit: shutterstock/yelosmiley; shutterstock/TA design

Sollte es tatsächlich zu einem Cyberangriff gekommen sein, muss das betroffene Unternehmen gleich ein ganzes Bündel an Maßnahmen ergreifen. Dabei werden auch zahlreiche juristische Aspekte relevant.

An erster Stelle im Falle eines Angriffs steht für die Unternehmensleitung die Sicherstellung des fortlaufenden beziehungsweise die umgehende Wiederaufnahme des zwischenzeitlich gestoppten Betriebs. Um die richtigen Maßnahmen ergreifen zu können, ist eine schnelle Feststellung erforderlich, welche Daten und Systeme durch den Angriff betroffen sind. Die Analyse ist das einzig geeignete Mittel, um angemessene und wirksame technische Abwehr- und Wiederherstellungsmaßnahmen zu ergreifen. Auch zur Schadensbegrenzung kann das zügige Ausfindig machen desjenigen Teils des Systems, das zuerst betroffen wurde, einer ungehinderten Ausbreitung auf andere Teile zuvorkommen.

Nicht vergessen: Meldepflichten!

Neben allen technischen und organisatorischen Maßnahmen sind die gesetzlichen Meldefristen nach der Datenschutz-Grundverordnung (DSGVO) zu beachten. Sind von dem Cyberangriff personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO betroffen, muss das Unternehmen prüfen, ob der Angriff der zuständigen Datenschutzaufsichtsbehörde zu melden ist.

Die genannten Gesetze und Bestimmungen

  • DSGVO Datenschutz-Grundverordnung
  • GewO Gewerbeordnung
  • BDSG Bundesdatenschutzgesetz

Besonders wichtig können Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) werden. Fällt das betroffene Logistikunternehmen in den Bereich der kritischen Infrastruktur und liegt ein „erheblicher Sicherheitsvorfall“ vor, muss das Unternehmen dem BSI unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung, von dem erheblichen Sicherheitsvorfall im Anschluss an die „frühe Erstmeldung“ eine sogenannte „Meldung“ über diesen Sicherheitsvorfall machen. Häufig enthalten Logistikverträge auch Klauseln, die Melde- und Benachrichtigungspflichten im Fall eines Cyberangriffs festlegen. Diese Pflichten sind zur Vermeidung von Schadensersatzansprüchen unbedingt zu beachten.

Cyberrisiko-Versicherungen

Der Versicherungsmarkt bietet Cyberversicherungen an. Hat das betroffene Unternehmen eine Versicherung gegen Schäden aus Cyberangriffen abgeschlossen, ist das Unternehmen verpflichtet, mit dem Versicherer zu kooperieren und den Vorfall anzuzeigen. Zu beachten ist, dass Cyberversicherungen zumeist die Erfüllung von Sicherheitsobliegenheiten vor Eintritt des Versicherungsfalls verlangen. Zu den Mindeststandards der IT-Sicherheit gehören meist das Vorhandensein eines Patch-Managements, eines Account-Managements sowie einer Back-up-Strategie. Ein wesentlicher Vorteil einer solchen Versicherung besteht darin, dass der Versicherer dem Versicherungsnehmer im Krisenfall oft kompetentes forensisches Personal zur Verfügung stellt.

IT-Sicherheitsrichtlinie

Sowohl für den Umgang mit einem eingetretenen Schadensfall als auch zur präventiven Vermeidung ist eine Unternehmensrichtlinie zur IT-Sicherheit wichtig. IT-Sicherheit verlangt vom Verantwortlichen im Unternehmen ein systematisches und strukturiertes Vorgehen. Aus mehreren Gründen gehört dazu ein umfassendes IT-Sicherheitskonzept. Die IT-Sicherheitsrichtlinie ist ein Regelwerk, mit dem die Unternehmen gestalten, wie sie Organisation, Technik, Personal und Infrastruktur innerhalb ihres Organisationsbereichs umsetzen. Eine IT-Sicherheitsrichtlinie hat dabei für Unternehmen gleich eine doppelte rechtliche Relevanz:

  1. Sie dient der Unternehmensleitung als Nachweis des Vollzugs bzw. der Kontrolle und hat daher eine pflichterfüllende und entlastende Wirkung zugunsten der Unternehmensleitung. Die Gewährleistung der IT-Sicherheit ist eine Verpflichtung der Geschäftsleitung zur ordnungsgemäßen Geschäftsführung. So ist zum Beispiel der Einsatz von Informationstechnik (etwa Firewalls oder Virenscannern) oder die Umsetzung (nicht-technischer) organisatorischer Maßnahmen mit dem Ziel der Erlangung von Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen innerhalb der Unternehmensorganisation auch zur Vermeidung von Schadensersatzforderungen gegen die Verantwortlichen vorzuschreiben.
  2. Darüber hinaus wendet sich die IT-Sicherheitsrichtlinie an sämtliche betroffenen Arbeitnehmer eines Unternehmens zur Umsetzung der IT-Sicherheitsvorgaben und hat somit auch arbeitsrechtliche Relevanz. Im Verhältnis zwischen Arbeitgeber und Arbeitnehmer kann die IT-Sicherheitsrichtlinie entweder im Arbeitsvertrag vereinbart oder durch den Arbeitgeber im Rahmen seines Direktionsrechts gem. § 106 GewO einseitig angewiesen werden. Da es um elementare Sicherheitsbelange des Unternehmens geht, empfiehlt sich das Mittel des einseitigen Direktionsrechts des Arbeitgebers. Schließlich ist die erfolgte Anweisung an Arbeitnehmer zu Beweiszwecken ausreichend zu dokumentieren. Nur wenn die IT-Sicherheitsrichtlinie wirksam angewiesen wurde, können Verstöße hiergegen zu einer Ermahnung, Abmahnung oder Kündigung führen.

Ohne Sicherheitsrichtlinie drohen Konsequenzen

Eine unterlassene Regelung und Kontrolle der IT-Sicherheit kann für ein Unternehmen drastische Konsequenzen haben:

  • Beweisrechtliche Folgen: Keine Entlastungsmöglichkeit in Schadensersatzprozessen gegen das Unternehmen
  • Reputationsverlust: Negative Medienberichte
  • Maßnahmen der Aufsichtsbehörde: Auflagen der Behörde zur rechtskonformen Unternehmensführung
  • Ansprüche und Rechte von Betroffenen: Schadensersatzklagen und Auskunftsansprüche
  • Strafrechtliche und ordnungswidrigkeitsrechtliche Konsequenzen: Rechtswidrige Datenverarbeitungen zulasten von Mitarbeitern können Straftaten (gem. § 42 BDSG) oder Ordnungswidrigkeiten (gem. Art. 83 DSGVO iVm § 41 BDSG) darstellen. Der Bußgeldrahmen von Art. 83 DSGVO reicht je nach verletzter Vorschrift bis zu 10 oder 20 Millionen Euro oder zwei Prozent beziehungsweise vier Prozent des konzernweiten Jahresumsatzes

Wichtige Informationen und Handlungsempfehlungen hält das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereit: https://www.bsi.bund.de/DE/IT-Sicherheitsvorfall/Unternehmen/unternehmen

Rechtsassessor (Ass. Jur.) Thomas Weik

Er berät seit dem Jahr 2000 Transport- und Logistikunternehmen zu den Schwerpunktthemen Compliance-Management und Risikovermeidung.

Share