Was müssen IT-Unternehmen zum Schutz vor Cyberschäden tun?

In diesem Beitrag werden Sie erfahren, was Cyberschäden sind, wann Sie für solche Schäden (persönlich) haften und wie Sie sich und Ihr IT-Unternehmen davor schützen können.

Was sind Cyberschäden?

Cyberschäden sind solche, die durch Schadsoftware, gezielte Angriffe oder Fehlverhalten von Mitarbeitern entstehen.

Beispiel 1: Hacker überlasten das IT-System eines Onlinehändlers, sodass die Website mehrere Tage nicht erreicht werden kann. Neue Bestellungen können nicht entgegengenommen, bereits Erteilte nicht bearbeitet und ausgeliefert werden.

Beispiel 2: Ein Virus verschlüsselt das IT-System eines Unternehmens, sodass dieses nicht mehr auf seine Daten zugreifen kann und die Arbeit vorübergehend einstellen muss, bis die Ursache von einem IT-Forensiker ermittelt und beseitigt werden kann.

Beispiel 3: Die IP-Telefonanlage wird in der Nacht gehackt und für massenhaftes Absetzen von Telefonanrufen ins Ausland missbraucht.

Beispiel 4: Nach einem Streit löscht ein Mitarbeiter heimlich wichtige Informationen einer laufenden Produktion, sodass diese am nächsten Tag stillsteht und auch die Mitarbeiter des Zuliefererunternehmens nicht weiterarbeiten können.

Sie sehen, dass es eine Vielzahl von Möglichkeiten gibt, wie Ihr IT-Unternehen Opfer eines Cyberschadens werden kann. Allerdings sind die Schäden nicht immer sofort greif- und erkennbar. Nach einem Wasser- oder Feuerschaden sehen Sie sofort, welche Schäden eingetreten sind. Dies ist bei einer Cyberattacke nicht immer der Fall. Zum Zeitpunkt, in dem Sie erstmalig Kenntnis von einer möglichen Attacke erhalten, weil sich die Systeme plötzlich nicht mehr starten lassen oder der Zugriff auf wichtige Dateien verwehrt ist, ist der Angriff meist schon voll im Gange und die Daten längst gehackt. Nicht selten müssen erhebliche Kosten aufgewendet werden, um die Störung zu ermitteln und zu beseitigen.

Wann haften Unternehmen für Cyberschäden?

Sie mögen sich die Frage stellen, wann Ihr IT-Unternehmen für solche Schäden haften muss. Grundsätzlich muss ein Unternehmen für geeignete Maßnahmen sorgen, um den Fortbestand des Unternehmens gefährdende Entwicklungen frühestmöglich erkennen zu können. Dazu zählt ein ausgereiftes Risikomanagement, bei welchem Sie mittels Risikoanalyse die möglichen Risiken identifizieren, bewerten, behandeln, steuern und überwachen. An dieser Stelle empfiehlt sich eine vollständige Dokumentation, um im Schadensfall diese darlegen und beweisen zu können.

Die Risikoanalyse orientiert sich an den Auswirkungen eines möglichen Vorfalls und dessen Eintrittswahrscheinlichkeit. So kann es unter anderem erforderlich sein, eine Firewall, einen Virenschutz, Maßnahmen zur Datensicherung oder ein Passwortmanagement einzurichten. Für die ebenfalls erforderliche Compliance-Analyse ist es erforderlich, dass Sie Ihre gesetzlichen Pflichten kennen und diese einhalten. Die Nichteinhaltung entsprechender Maßnahmen kann zu erheblichen Sanktionen führen. Sprechen Sie uns gerne an, sodass wir Ihnen bei der Bestimmung der für Sie geltenden Regeln helfen können.

Wird bei einem Cyberangriff nicht nur Ihr Unternehmen, sondern werden auch Ihre Kunden geschädigt, weil die Angreifer die Viren beispielsweise mittels von Ihnen versendeter E-Mails, über Updates von Ihnen oder den von Ihnen bereitgestellten Cloudspeicher einspielen, können Ihre Kunden ggf. Anspruch auf Schadensersatz gegen Sie haben. Hier ist es möglicherweise schon ausreichend, wenn Sie die von Ihnen verwendete Sicherheitssoftware nicht regelmäßig aktualisieren. Zu denken ist in diesen Fällen auch an ein Bußgeld der zuständigen Datenschutz-Aufsichtsbehörde.

Schadensersatzansprüche gegen Ihr Unternehmen aufgrund von Cyberschäden können sich auch in den Fällen ergeben, in denen Sie die Wartung für eine von Ihnen vertriebene Software übernehmen und Sicherheitslücken in dieser Software zu Schäden führen. In diesem Zusammenhang haben Sie die Pflicht, den Markt zu beobachten und Gefahren von der von Ihnen in Verkehr gebrachten Software abzuwehren. Nicht abschließend geklärt ist jedoch die Frage, ob die bloße Warnung an Ihre Kunden hierbei ausreichend ist oder sogar ein Update bereitgestellt werden muss.

Sie selbst haben natürlich einen Schadensersatzanspruch gegen den Angreifer, wobei sich natürlich Herausforderungen bei der praktischen Durchsetzbarkeit ergeben. Oftmals ist gar nicht bekannt, wer den Angriff durchgeführt hat. Gegebenenfalls können sich auch Ansprüche gegen Mitarbeiter (siehe Beispiel 4) ergeben, weil diese interne Zugangspasswörter weitergeben oder mutwillig Daten verfälschen oder löschen. Wichtig ist jedoch, dass Arbeitnehmer nur eine eingeschränkte Haftung trifft, wenn sie den Schaden fahrlässigerweise im Rahmen einer betrieblich veranlassten Tätigkeit herbeigeführt haben.

Wie können Sie sich vor Haftung schützen?

Neben der Tatsache, dass Schäden (und die damit verbundenen Kosten) für Ihr eigenes Unternehmen schon immens hoch sein können, können daneben (wie oben beschrieben) auch Forderungen Ihrer Kunden auf Sie zukommen. Sicherlich stellen Sie sich an dieser Stelle die Frage, wie Sie sich davor schützen können.

Zunächst wäre da die Überlegung, Ihre Haftung möglichst weit vertraglich zu beschränken. Vorsatz und grobe Fahrlässigkeit lassen sich in keinem Fall ausschließen; die leichte Fahrlässigkeit unter gewissen Umständen. Beachten Sie aber auch, dass Sie den Vertragspartner in Allgemeinen Geschäftsbedingungen (AGB) nicht unangemessen benachteiligen dürfen. Greifen Sie also lieber zu individualvertraglich vereinbarten Haftungsausschlussklauseln. Lesen Sie ausführliche Ausführungen zur Haftungsbegrenzung an anderer Stelle in diesem Blog. Auch die Überlegung der vertraglichen Freistellung sollte sich Ihnen stellen, damit Sie nicht auch noch Ansprüche dritter Vertragspartner Ihrer Kunden gegen sich geltend machen lassen müssen. Hierzu habe ich bereits in der Vergangenheit etwas hier im comp/lex Blog geschrieben.

Neben den vertraglichen Abreden besteht darüber hinaus auch noch die Möglichkeit, eine Cyberversicherung abzuschließen. Eine solche Versicherung deckt Eigen- und Fremd-/Drittschäden infolge eines gezielten Hackerangriffs, böswilliger Handlungen durch Innentäter oder auch einer ungezielten Ransomware-Attacke ab. Zusätzlich werden in der Regel Eingriffe aufgrund von Phising-Attacken, Schadprogrammen sowie Denial-of-Service-Angriffe und Ausfälle eines Cloud-Dienstleisters versichert.

Eine solche Versicherung ist vor allem für all solche Unternehmen relevant, die mit einer Vielzahl an vertraulichen und sensiblen Daten arbeiten oder bei einer Betriebsunterbrechung mit hohen finanziellen Einbußen zu rechnen haben. Achten Sie beim Abschluss einer solchen Versicherung darauf, dass der Schadensfall möglichst weit definiert ist und sie sowohl für Eigen- als auch Drittschäden greift. Achten Sie außerdem auf Haftzeiten, mögliche Höchstbeträge, die Selbstbeteiligung und mögliche Ausschlüsse. Gerne sind wir Ihnen bei der Suche nach der für Sie passenden Cyberversicherung behilflich. Sprechen Sie uns gerne an.

AGB-Änderungen im laufenden Vertrag gestalten sich in der Praxis oft schwierig. In unserem E-Book zeigen wir Ihnen an einem Formulierungsbeispiel, wie AGB-Änderungen in der Praxis wirksam vereinbart werden – für reibungslose AGB-Änderungen jetzt und in Zukunft:

Wann haften Geschäftsführer / Vorstände persönlich für Cyberschäden?

Geschäftsführer und Vorstände sollten unbedingt beachten, dass die Gesellschaft ggf. einen Anspruch auf Ersatz des entstandenen Schadens gegen sie hat, wenn diese ihren Pflichten nicht nachgekommen sind. Die Rede ist vom sog. Organisationsverschulden. Der Gesetzgeber schreibt vor, dass bei der Geschäftsführung „die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden“ ist. So sind vor allem Maßnahmen zu treffen, gefährliche Entwicklungen für das Unternehmen früh zu erkennen und vorbeugende Maßnahmen zu treffen. Die Einleitung besonderer Maßnahmen kann sich dann noch aus spezielleren Gesetzen wie der DSGVO ergeben, welche „geeignete technische und organisatorische Maßnahmen“ zum Schutz der Daten verlangt. (Ob Ihr Unternehmen DSGVO-konform aufgestellt ist, erfahren Sie in unserer DSGVO-Checkliste für IT-Unternehmen.)

Daneben greifen auch allgemein anerkannte Standards, wie beispielsweise der IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik). Sämtliche Vorschriften haben das Ziel, dass Unternehmensleiter den Herausforderungen der Cybersicherheit im Rahmen von Risikovorsorge und Compliance in angemessener Weise begegnen müssen. Zusätzlich gilt die Legalitätspflicht, also die Pflicht, die gesetzlichen Bestimmungen für Ihr Unternehmen einzuhalten. Treffen Sie aber unternehmerische Entscheidungen, die sie aufgrund der Ihnen vorliegenden Informationen zum Wohle des Unternehmens getroffen haben, gilt dies nicht als vertragliche Pflichtverletzung. Sie müssen folglich nicht jedes kleine Risiko berücksichtigen und dafür Abwehrstrategien entwickeln. Sie können sich in einem solchen Fall auf den Grundsatz unternehmerischen Ermessens (Business Judgement Rule) berufen.

Unbedingt beachten sollten Sie außerdem, dass Sie die Pflicht zur Maßnahmentreffung bezüglich der Cybersicherheit bzw. die Verantwortung darüber nicht auf Mitarbeiter oder andere Dritte abwälzen können, um der Haftung zu entgehen. Organisationsentscheidungen dürfen nur von Ihnen selbst getroffen werden. Unabhängig davon dürfen Sie sich selbstverständlich bei Beratern und Mitarbeitern fachlichen Raten einholen.

Neben der bereits oben angesprochenen Risikoevaluierung ist außerdem zu empfehlen, einen Notfallplan mit Organisationsvorgaben auszuarbeiten, der genau dann greift, wenn das Unternehmen einen sicherheitsrelevanten Vorfall erlitten hat. Dieser Plan sollte wesentliche Vorgänge – vor allem was Meldungen an entsprechend vorgeschriebene Stellen angeht – beinhalten, stets aktuell und verfügbar sein und jedem Beteiligten im Unternehmen bekannt sein. Ob und welche Meldepflichten für Sie bestehen können, können wir gerne für Sie ermitteln. Zögern Sie nicht, uns anzusprechen.

Wie schützen sich Geschäftsführer / Vorstände gegen die persönliche Haftung bei Cyberschäden?

Wie oben bereits ausgeführt, ist eine Cyberversicherung zu empfehlen. Diese ersetzt jedoch keinesfalls Ihre Pflicht, gesetzlich gebotene Sicherheitsmaßnahmen zu treffen, sondern wirkt allenfalls ergänzend. Häufig verlangen auch Versicherer die Einhaltung dieser Legalitätspflicht. Sie wollen das Risiko eines Schadenseintritts damit möglichst geringhalten. Oft ist auch davon die Rede, die Vorkehrungen auf dem „Stand der Technik“ zu halten, nach dem die entsprechenden IT-Systeme mit entsprechenden technischen Vorkehrungen und Sicherheitsverfahren zu schützen sind.

Ob Sie eine solche Versicherung abschließen sollten, bleibt letztendlich Ihnen überlassen. Wichtig ist aber, dass Sie sich in jedem Fall Gedanken darüber machen, ob der Abschluss einer Cyberversicherung notwendig ist oder nicht. Sollten Sie hierzu Fragen haben oder Hilfe benötigen, sind wir gerne für Sie da. Nehmen Sie dazu gerne Kontakt mit uns auf.

Sie möchten mehr über uns und unsere Leistungen im IT- und Datenschutzrecht erfahren? Das geht ganz einfach:

  • Abonnieren Sie unsere Tipps und Tricks.
  • Lesen Sie unsere kostenlosen E-Books.
  • Informieren Sie sich über unsere Leistungen.
  • Werfen Sie einen Blick in unseren Wegweiser. Darin finden Sie alle unsere Blog-Beiträge thematisch geordnet.
  • Haben Sie noch ein anderes Anliegen? Nehmen Sie jederzeit gerne Kontakt zu uns auf.

Ihre Ansprechperson


Themen:

Ähnliche Artikel: