Das Jahr 2020 markierte in vielen Hinsichten einen Wendepunkt für unsere Gesellschaft: Die Covid-19-Pandemie hat unsere Lebensweise schon jetzt tiefgreifend verändert und uns gezwungen, die Art und Weise, wie Unternehmen arbeiten und Mitarbeiter miteinander interagieren, zu überdenken.
Überall war die Forderung zu hören, deutsche Unternehmen und deutsche Behörden müssten nun endlich ihren Rückstand bei der Digitalisierung aufholen. Mehr Homeoffice, mehr Video-Konferenzen, mehr digitale Angebote für Kunden, mehr Cloud-Dienstleistungen. Das allerdings geht häufig auf Kosten der IT-Sicherheit, Digitalisierung macht verwundbar. Und neben betrieblichen Störungen drohen hohe datenschutzrechtliche Bußgelder, Schadensersatzforderungen, Kündigungen von Geschäftspartnern und ein beschädigter Ruf, wenn die Unternehmen falsch auf Cybersecurity-Vorfälle reagieren.
Die Deutsche Bahn, die Hotelkette Marriott, die Düsseldorfer Uni-Klinik, der Pipelinebetreiber Colonial Pipeline, elf kleine Betriebe im oberpfälzischen Weiden, 820 Volksbanken, circa 1.500 deutsche Unternehmen durch den Angriff der „REvil“ genannten Hackergruppe auf die amerikanische IT-Firma Kaseya, der Landkreis Bitterfeld – sie alle wurden Opfer einer Cyberattacke. Und wenn Sie Kunde der Supermarktkette Tegut sind, haben Sie kürzlich Post bekommen.
Nachdem das hessische Unternehmen Ende April Opfer einer Hackerattacke wurde, sich aber weigerte, der Lösegeldforderung nachzukommen, veröffentlichten die Erpresser Teile der erbeuteten Kundendaten im Darknet. Um offen mit der Situation umzugehen und weil die Datenschutzgrundverordnung (DSGVO) dazu verpflichtet, informierte Tegut Zehntausende Kunden über die Veröffentlichung ihrer Daten.
In der Regel geht es den Cyberkriminellen um Erpressung, sie fordern ein Lösegeld. Zu zahlen nicht etwa nachts auf einem Parkplatz, verpackt in einer Plastiktüte, sondern zu überweisen – in Kryptowährung. Erpressungen dieser Art sind in Zeiten der Digitalisierung nichts Besonderes mehr.
BSI sieht größte Bedrohung für Unternehmen und Institutionen
Meistens führen die Hacker einen Ransomware-Angriff (von englisch „ransom“ für Lösegeld), durch. Dabei wird eine Schadsoftware, beispielsweise ein als ein seriöser E-Mail-Anhang getarnter Trojaner, in ein Unternehmensnetzwerk so eingeführt, dass sämtliche Daten einschließlich operativer Steuerungs- und Betriebssysteme verschlüsselt werden und ein Zugriff unmöglich wird. Um den Leidensdruck zu erhöhen, werden auch die Backups verschlüsselt, wenn sie nicht physisch getrennt vom Produktivsystem gespeichert sind.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht diese Angriffe mittlerweile als „die größte Bedrohung für Unternehmen und Institutionen“ im Internet an. Denn die Attacken sind ein lukratives Geschäftsfeld für die organisierte Kriminalität. Sie geschehen deshalb immer öfter, werden immer professioneller ausgeführt. Inzwischen kann man sich derartige Schadsoftware sogar mieten. Ransomware-as-a-Service (RaaS) heißt das neue Geschäftsmodell in Anlehnung an Software-as-a-Service-Angebote wie „Office 365“ oder „Google Workspace“. Personen, die selbst keine Kenntnisse über die Programmierung von Schadsoftware besitzen, können schnell und kostengünstig ein RaaS-Kit buchen und direkt eine Ransomware-Attacke starten.
Diese haben schwerwiegende Folgen für die Betroffenen. Der Stillstand der gesamten Produktion droht. Das kostet viel Geld. Und es führt dazu, dass anders als etwa beim Ausspionieren bestimmter Firmeninterna ein Angriff sich nicht mehr geheim halten lässt, sondern sofort sichtbar und spürbar wird. Um ihrer Forderung Nachdruck zu verleihen und auch glaubhaft zu machen, im Besitz sensibler Daten zu sein, veröffentlichen die Erpresser Teile der erbeuteten Daten im Internet. Die Kriminellen haben damit ein weiteres Druckmittel, gegen das das Opfer ab diesem Zeitpunkt (fast) nichts mehr unternehmen kann. Das geförderte Lösegeld zu zahlen, scheint oft attraktiver als diese Nadelstiche zu ertragen.
Die Lösegeldforderungen sind meist so zugeschnitten, dass sie auch geleistet werden können. Viele Unternehmen sind bereit zu zahlen, weil ein Stillstand der Produktion oder die Veröffentlichung intimer Firmengeheimnisse sie teurer zu stehen kommt, als den Forderungen der Erpresser nachzukommen. Die Sicherheitsbehörden raten naturgemäß dringend ab, das zu tun, weil das kriminelle Geschäftsmodell damit gefördert wird.
Der Mittelstand nicht genug geschützt
Es ist eine Frage der Ressourcen, ob ein Unternehmen einen IT-Sicherheitsbeauftragten einsetzt und das Rechenzentrum zertifizieren lässt. Viele Mittelständler nehmen die IT-Sicherheit nicht ernst genug und können daher leichter Opfer werden. So gaben nach einer Studie von PwC 41 Prozent der deutschen Unternehmen an, im vorhergehenden Jahr Opfer eines Cyberangriffs geworden zu sein, gleichzeitig schätzten aber 69 Prozent der Unternehmen das Risiko eines ungezielten Angriffs und 93 Prozent das Risiko eines gezielten Angriffs als unwahrscheinlich ein. Cybersecurity wird noch immer überwiegend als Kostentreiber und nicht als Notwendigkeit angesehen. Dies erklärt, warum Hardware und Software oft nicht auf dem neuesten Stand sind.
Die offene Flanke eines Unternehmens ist oftmals aber nicht allein die IT, sondern der Mensch. Das Social-Engineering ist eine der gefährlichsten Entwicklungen des Digitalzeitalters und beschreibt die Kontaktaufnahme der Cyberkriminellen mit Mitarbeitern, um sie zur Preisgabe von vertraulichen Informationen wie Passwörter zu bewegen oder auf verseuchte Links zu klicken. Und man kann es kaum glauben, auch im Jahr 2021 ist die Zahlenfolge „123456“ noch immer das beliebteste Passwort der Deutschen, dicht gefolgt von „1234567“ und dem Passwort „Passwort“. Solche Passwörter werden in weniger als einer Sekunde geknackt. Dagegen ist das Geburtsdatum oder der Hochzeitstag geradezu originell – aber trotzdem innerhalb kürzester Zeit überwunden.
Die Unternehmensleitungen müssen verinnerlichen, dass Cybersicherheit die Voraussetzung für eine erfolgreiche Digitalisierung ist. Neben der Investition in sichere Hard- und Software einschließlich einem professionellen Patchmanagement und getrennten Backupsystemen führt an einem regelmäßig wiederkehrenden Sicherheitstraining für Mitarbeiter zur Erhöhung der Sensibilität für die Gefahren von Cyberattacken kein Weg vorbei.
Datenschutzrechtliche Anforderungen an die IT-Sicherheit
Um die Sicherheit personenbezogener Daten zu gewährleisten, müssen Unternehmen technische und organisatorische Schutzmaßnahmen nach dem Stand der Technik einsetzen. Wurde ein Unternehmen Opfer eines Cyberangriffs, spricht der erste Anschein dafür, dass die getroffenen Maßnahmen nicht ausreichend waren. Daher drohen den geschädigten Unternehmen zusätzlich noch Bußgelder der Datenschutzbehörden. So hat die britische Datenschutzaufsicht der Hotelkette Marriott ein Bußgeld von 110 Millionen Euro auferlegt.
Sofortmaßnahmen bei Cyberangriffen
Im Falle eines Cyberangriff auf das IT-System ist eine rasche Reaktion existentiell. Hierbei hilft es, sich zuvor eine Checkliste zu erstellen. Zu den Sofortmaßnahmen der ersten Stunden gehören:
- Aufstellung eines kleinen Teams aus den Bereichen Management, Recht, IT, Datenschutz Presse und Betriebsrat
- Beauftragung eines spezialisierten IT-Sicherheitsunternehmen zur Unterstützung bei der Abwehr des laufenden Angriffs, der Beweissicherung, der Datensicherung und Wiederherstellung der Arbeitsfähigkeit
- Erstellung des Konzeptes für die Krisenkommunikation nach innen und außen
- Aufstellung von Verhaltens- und Kommunikationsrichtlinien für Mitarbeiter und Führungskräfte
- Gegebenenfalls Beteiligung von Staatsanwaltschaft, Kriminalpolizei und BSI
- Prüfung einer Meldepflicht gegenüber den Datenschutzbehörden (Artikel 33 DSGVO) innerhalb von 72 Stunden und den Betroffenen (Artikel 34 DSGVO)
- Verhinderung zukünftiger Angriffsrisiken
- Kontaktaufnahme mit der Versicherung, sofern eine Cyberpolice vorhanden ist
- Abwehr möglicher Haftungsansprüche von Kunden
- Geltendmachung von Ansprüchen gegenüber Dienstleistern
Dringend zu empfehlen ist es, den Ablauf einmal zu testen, damit im Ernstfall und unter großem Druck nicht vergessen wird.
Autoren sind Hauke Hansen, Fachanwalt für IT-Recht und Datenschutzbeauftragter (TÜV) in der Kanzlei FPS Rechtsanwälte, und Enno Münster, Head of Environment, Occupational Safety, Security (HESS) bei der DB Fernverkehr AG.