Cyberkriminalität
© stockadobe

Netzkrimininalität

Wer haftet nach einem Cyberangriff?

Kommt es durch einen Cyberangriff zu einem Schadenfall, rückt schnell die Frage in den Vordergrund, ob die zuständigen Organe ihren Pflichten ausreichend nachgekommen sind. Rechtsanwalt Marius Klotz gibt im KOMMUNAL-Gastbeitrag Tipps, was kommunale Unternehmen beachten sollten.

Kaum ein Unternehmen kann heutzutage zur Erfüllung seiner Aufgaben noch auf eine funktionsfähige IT verzichten. Der Einsatz moderner Technologien der Datenverarbeitung bringt aber neben allen damit verbundenen Vorteilen auch Gefahren mit sich. Cyberangriffe haben nach Schätzungen der Münchener Rück allein 2018 weltweit Schäden in Höhe von 600 Milliarden US-Dollar verursacht – Tendenz steigend.

Cyberangriff - Haftungsforderungen als mögliche Folge

In die breite Medienöffentlichkeit gelangen zumeist besonders aufsehenerregende Schadenfälle, wie etwa die vielbeachteten Schadprogramme „NotPetya“ und „Wannacry“. Längst aber richten sich Cyber-Angriffe nicht nur gegen die vermeintlich „Großen“.

Auch mittelständische Unternehmen und städtische Gesellschaften rücken in den Fokus von Hackern. Für städtische Strom- und Wasserversorger stellt sich das Thema-Cybersicherheit dabei mit besonderer Dringlichkeit. Gemäß § 11 Abs. 1a EnWG haben die Betreiber von Energieversorgungsnetzen von Gesetzes wegen einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme herzustellen.

Strenge Anforderungen an Stadt-und Gemeindewerke

Größere Stadt- und Gemeindewerke können sogar als Betreiber kritischer Infrastrukturen eingestuft werden und infolgedessen den nochmals strengeren Anforderungen des Gesetzes über das Bundesamt für Sicherheit in der   Informationstechnik (BSIG) unterliegen. Werden personenbezogene Daten verarbeitet, bekommt das Thema außerdem eine datenschutzrechtliche Dimension.

Gemäß Art. 32 der Datenschutz-Grundverordnung (DS-GVO) haben Unternehmen, die personenbezogenen Daten erheben, verarbeiten oder nutzen „angemessene technische und organisatorische Maßnahmen“ zu treffen. Verstöße hiergegen können empfindliche Sanktionen nach sich ziehen. So können nach der DS-GVO Bußgelder bis zur Höhe von 4 Prozent  des jährlichen Umsatzes verhängt werden.

Rechnung getragen werden kann den Anforderungen nach EnWG, BSIG und DS-GVO letztlich nur durch die Einrichtung eines sogenannten Informationssicherheits-Management-Systems (ISMS), dessen Umfang und Ausgestaltung vom Risikoprofil des Unternehmens und den möglichen Folgen eines Cyber-Angriffs abhängt.

Nachlässiger Umgang mit Pishing-E-Mails

Neben naheliegenden technischen Schutzmaßnahmen steht dabei der Faktor „Mensch“ im Mittelpunkt. Denn nach wie vor werden viele Angriffe erst durch den nachlässigen Umgang mit Phishing-E-Mails ermöglicht. Schulungen von Mitarbeitern in sogenannten Awareness-Trainings kommt daher eine zentrale Bedeutung zu. Auch der Abschluss spezieller Cyber-Versicherungen kann eine sinnvolle Ergänzung des unternehmensinternen Risikokonzepts sein.

Eine solche Cyber-Versicherung ersetzt im Schadenfall nicht nur die unmittelbar durch die Schadsoftware verursachten Schäden, sondern kommt auch für die Kosten externer IT-Forensiker auf und stellt das Unternehmen von etwaigen Schadensersatzansprüchen Dritter frei.

Für die Geschäftsführung städtischer Gesellschaften gehört das Thema Cybersicherheit schließlich auch im eigenen Interesse auf die Tagesordnung. Denn Cyber-Angriffe stellen nicht nur eine Gefahr für die betroffenen Unternehmen dar. Sie begründen auch ein erhebliches Haftungsrisiko für die verantwortlichen Organe. Die Gewährleistung von IT-Sicherheit ist nach heute kaum noch bestrittener Auffassung Kernpflicht der Geschäftsleitung.

Auch Aufsichtsräten kann eine Haftung drohen

Erleidet das Unternehmen einen Schaden, weil die Pflicht zur Einrichtung eines angemessenen ISMS missachtet worden ist, droht eine Haftung aus § 43 Abs. 2 GmbHG bzw. § 93 Abs. 2 AktG. Gleiches gilt für die Mitglieder des Aufsichtsrats, denn diese haben die Geschäftsführung bei der Erfüllung ihrer Aufgaben zu überwachen und somit auch die von der Geschäftsführung getroffenen Maßnahmen auf Tauglichkeit hin zu prüfen.

Auf den Schutz der inzwischen auch im kommunalen Bereich weit verbreiteten D&O-Versicherung können die handelnden Akteure dabei nicht in jedem Fall vertrauen. Denn bei Vorliegen einer „wissentlichen Pflichtverletzung“ ist der Versicherungsschutz regelmäßig ausgeschlossen.

Versicherungsschutz gefährdet

Zählt man Cyber-Compliance – wie dies vielfach getan wird – zu den „Kardinalpflichten“ der Geschäftsleitung, dann liegt es aus Sicht des Versicherers nahe, die Gewährung von Versicherungsschutz unter Hinweis auf die vermeintlich bewusste Missachtung organschaftlicher Pflichten abzulehnen. Der Betroffene steht dann ohne Versicherungsschutz da.

Vorausschauendes Risikomanagement gegen Cyber-Angriffe

Fakt ist: Einen absoluten Schutz gegen Cyber-Angriffe kann es nicht geben. Mithilfe eines vorausschauenden Risikomanagements können aber die Gefahr eines erfolgreichen Cyber-Angriffs erheblich reduziert und die Folgen eines Angriffs begrenzt werden. Voraussetzung hierfür ist, dass Geschäftsführung und Aufsichtsrat dem Thema Cybersicherheit frühzeitig die erforderliche Aufmerksamkeit widmen. Dies liegt nicht zuletzt im Interesse der Verantwortlichen selbst. Kommt es zu einem Schadenfall, rückt schnell die Frage in den Vordergrund, ob die zuständigen Organe ihren Pflichten ausreichend nachgekommen sind. Falls nicht, drohen mit Blick auf das mitunter zweifelhafte Eingreifen der D&O-Versicherung existenzbedrohende Haftungsrisiken.

Dr. Marius Klotz, LL.M. ist Rechtsanwalt der Kanzlei Dr. Ganteführer, Marquardt & Partner mbB (Düsseldorf). Er beschäftigt sich schwerpunktmäßig mit Themen des Haftungs- und Versicherungsrechts.