Mit zunehmender Digitalisierung des gesamten Wirtschaftslebens steigt die Bedeutung der in einem Unternehmen genutzten IT-Systeme. Gleichzeitig führt die Digitalisierung auch zu einer zunehmenden Abhängigkeit, weil ohne die genutzten IT-Systeme häufig der Geschäftsbetrieb nicht aufrechterhalten werden kann. Ausfälle der IT-Systeme, insbesondere durch Angriffe von außen, haben schnell gravierende Folgen für das jeweilige Unternehmen und dessen Fortbestand. Es ist daher wichtig, sich rechtzeitig Gedanken über angemessene Schutzmaßnahmen einschließlich geeigneter Notfallpläne zu machen, um auf diese Weise die Gefahr von Cyber-Angriffen einschließlich der damit verbundenen Risiken spürbar zu reduzieren.
Die Folgen von Angriffen auf die eigene IT-Infrastruktur können unterschiedlich sein. Der weit überwiegende Teil der erfolgreichen Angriffe wird dabei öffentlich gar nicht bekannt, weil die betroffenen Unternehmen aus Angst vor einem Reputationsverlust in der Regel nicht freiwillig Auskunft erteilen. Publik werden erfolgreiche Angriffe vor allem dann, wenn sich ihre Auswirkungen nicht mehr verbergen lassen. Betroffen war etwa zuletzt der Automobil-Zulieferer Continental, bei dem Angreifer zahlreiche Daten mit teilweise sensiblem Inhalt abgreifen konnten, ohne dass sich dies allerdings auf das operative Geschäft ausgewirkt hätte. Für Prophete, einstmals der größte deutsche Fahrradhersteller, hatte ein Angriff auf die zentralen IT-Systeme noch größere Auswirkungen. Bedingt durch den Angriff musste das Unternehmen für einen Zeitraum von drei Wochen die Produktion einstellen und konnte auch keine Rechnungen stellen oder Waren ausliefern. Als Reaktion hierauf musste das Unternehmen, das zuvor schon in wirtschaftliche Bedrängnis geraten war, letztlich Insolvenz anmelden.
Unternehmen müssen auf Angriffe vorbereitet sein
Es gibt zahlreiche Faktoren, die ein Unternehmen zu einem lohnenden Ziel für Angriffe werden lassen. Viele Angriffe sind relativ ungezielt und können mit einer Schrotladung verglichen werden. Mit einer möglichst hohen Streuung von Angriffen wird versucht, zumindest bei einzelnen Unternehmen erfolgreich zu sein, indem gezielt allgemein bekannte Schwachstellen ausgenutzt werden. Sind die ersten Versuche erfolglos, wenden sich diese Angreifer häufig anderen potentiellen Opfern zu. Es gibt aber auch maßgeschneiderte Angriffsversuche durch Angreifer, die mit mehr Vorlauf erfolgen und besser vorbereitet sind, weswegen solche Angriffe nur sehr schwer erkannt werden können und teilweise sogar dauerhaft unerkannt bleiben. Neben einer technischen Absicherung der eigenen Systeme ist es immer von großer Wichtigkeit, die eigenen Mitarbeiter im Hinblick auf Maßnahmen zur IT-Sicherheit zu sensibilisieren. Bestandteil der Maßnahmen gegen „Social Engineering“ kann es dabei auch sein, durch eigene Tests zu prüfen, inwieweit die Mitarbeiter anfällig gegen gefälschte Mails sind oder manipulierte Nachrichten öffnen. Mit zunehmender Auslagerung von IT-Diensten zu externen Dienstleistern bzw. „in die Cloud“ steigt auch die Notwendigkeit zur sorgfältigen Auswahl und Überwachung der Dienstleister, was im Falle einer Auftragsverarbeitung (Art. 28 DSGVO) ohnehin rechtlich vorgeschrieben ist. Anhaltspunkte für ein ausreichendes Schutzniveau eines Dienstleisters kann etwa dessen Zertifizierung nach den einschlägigen Vorgaben sein, für Rechenzentren beispielsweise nach ISO 27001. Durch eine gute Vertragsgestaltung können sich auch Regressansprüche im Falle von erfolgreichen Cyberangriffen durchsetzen lassen. Solche Rückgriffsansprüche sind aber von nachrangiger Bedeutung, weil sie die eigentlichen Auswirkungen des Angriffs nicht unmittelbar abwenden können. Das gleiche gilt auch für vermehrt angebotene Versicherungen gegen Cyberangriffe, selbst wenn die Versicherungsangebote auch teilweise Leistungen zur Datenwiederherstellung und zur IT-Forensik, also zur Aufklärung der Angriffe, beinhalten.
Notfallkonzepte sind von entscheidender Bedeutung
Für einen effektiven Schutz gegen die verschiedenen Bedrohungsszenarien, die unterschiedlichen Angriffswege und die vielfältigen möglichen Auswirkungen ist es letztlich von entscheidender Bedeutung, dass Unternehmen systematisch planen, welche Schutzmaßnahmen getroffen werden und diese regelmäßig auch auf ihre Angemessenheit und Wirksamkeit prüfen lassen, gegebenenfalls mit externer Unterstützung. Erster Ansprechpartner im eigenen Unternehmen kann dabei neben der IT-Abteilung auch der Datenschutzbeauftragte sein. Nach Art. 32 DSGVO muss jedes Unternehmen ohnehin angemessene technische und organisatorische Schutzmaßnahmen implementieren und diese gem. Art. 5 Abs. 2 DSGVO auch dokumentieren. Bestandteil der Dokumentation sollte dabei insbesondere ein sogenanntes Notfallkonzept sein. In einem Notfallkonzept wird unter anderem beschrieben, auf welche alternativen Abläufe zurückgegriffen werden kann, wenn zentrale IT-Systeme nicht zur Verfügung stehen oder aus anderen Gründen nicht genutzt werden können. Wenn dieser Notfall tatsächlich eintritt, sei es durch einen Cyberangriff oder durch höhere Gewalt (zum Beispiel einen Blackout der Energieversorgung) dann bleibt selten die Zeit für eine systematische Analyse und für nützliche Vorbereitungsmaßnahmen. Sobald ein Notfallkonzept erstellt wurde, sollte es den relevanten Mitarbeitern vorgestellt werden; außerdem bietet es sich an, es so vorzuhalten, dass im Bedarfsfall ein schneller Zugriff möglich ist. Eine alleinige Ablage des Notfallkonzeptes auf einem eigenen Datenserver ist also nicht die beste Umsetzung. Für die Erstellung eines Notfallkonzeptes können häufig die Fragestellungen bzw. Vorgaben einer Cyberversicherung hilfreich sein, weil diese natürlich im Rahmen der Prüfung eines möglichen Versicherungsschutzes auch bewertet, ob das Unternehmen angemessene Schutzvorkehrungen getroffen hat.
Mit dem Schutz gegen Cyber-Angriffe befasst sich auch ein Beitrag des Autors, der in der aktuellen Ausgabe der NJW erschienen ist (NJW-aktuell 5/2023, S. 19)
