Was tun, wenn das Unternehmen gehackt wird? Maßnahmen aus rechtlicher Sicht.

Bei einem Hackerangriff versuchen Personen unberechtigt auf fremde PCs, Notebooks, Smartphones, Tablets oder auch ganze Unternehmensnetzwerke zuzugreifen.

Ein solcher Hackerangriff erfolgt meist mittels Schadsoftware. Das sind idR kleine, unscheinbare Programme, die auch als Trojaner, Viren oder Würmer breiter bekannt sind. Die Angreifer können dadurch auf das fremde IT-System zugreifen und es so entweder beschädigen, ausspähen oder durch Löschung oder Verschlüsselung überhaupt komplett den Eigentümern entziehen.

Die Angreifer agieren meist weltweit und sind daher sowohl im In- als auch im Ausland aktiv. Die Motive der Hacker sind unterschiedlich und reichen von bloßem Spaß am Können über Protestaktionen (meist ehemaliger Mitarbeiter) bis hin zu Spionage und Erpressung. Meist zielt ein Angriff aber auf finanziellen Gewinn ab. Dieser soll dabei vom angegriffenen Unternehmen bezahlt werden.

Gegenmaßnahmen

Da die Häufigkeit solcher Angriffe im vergangenen Jahr in Europa massiv zugenommen hat, betrachten wir im Folgenden den erfolgreichen Hackerangriff von Aussen, der die betroffenen Systeme so verschlüsselt, dass das Unternehmen überhaupt nicht mehr auf sein System zugreifen kann. In unserer anwaltlichen Praxis sehen wir mehrere Herausforderungen, die auf ein betroffenes Unternehmen zukommen, bevor wieder Normalbetrieb einkehrt:

Identifikation des Hackerangriffs

Ein erfolgreicher Hackangriff zeigt sich in der Regel zuerst in der IT-Abteilung des Unternehmens, die ungewöhnlich gehäufte Ausfälle wichtiger IT-Systeme gemeldet bekommt. Die Analyse zeigt oft, dass auf die betroffenen Bereiche gar nicht weiter zugegriffen werden kann. Dies eben, weil die Unternehmensdaten von den Angreifern gelöscht oder so verschlüsselt wurden, dass das betroffene Unternehmen keinen Zugriff mehr auf seine eigenen Daten hat.

Einrichtung eines Krisenstabs

Nach Feststellung des erfolgreichen Hackerangriffs ist ein Gremium zur Bewältigung des Hackerangriffs und seiner Folgen einzurichten. Dieser Krisenstab besteht aus Spezialisten aller benötigen Fachgebiete. Im Bedarfsfall können externe Berater / Spezialisten zur Bewältigung hinzugezogen werden, va. Computer Emergency Response Teams (CERT), IT-Forensiker, Rechtsanwälte und Kommunikations-Verantwortliche (intern va. zu Mitarbeitern und extern va. zu Kunden und ggf. Medienanfragen). Der Krisenstab tritt regelmäßig zu Meetings zusammen und berät die Geschäftsführung bei der Abwehr der Krise. Nach Rückführung in die Normallage löst sich der Krisenstab wieder auf und der Normalbetrieb tritt wieder in Kraft.

Datenschutzrechtliche Meldepflichten

Die DSGVO versteht unter Verletzung des Schutzes personenbezogener Daten „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Dies sind insbesondere betriebliches Know-how, Geschäftsgeheimnisse, Kundendaten oder Mitarbeiterdaten sowie alle weiteren personenbezogenen Daten, aber auch alle sonstigen als vertraulich klassifizierten Informationen.

Ist eine Folge des Hackerangriffs eine solche Verletzung des Schutzes personenbezogener Daten, sind folgende Melde- und Benachrichtigungspflichten zu beachten:

  • Meldung an die zuständige Aufsichtsbehörde binnen 72 Stunden ab Bekanntwerden der Verletzung, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, und
  • Benachrichtigung der betroffenen Person, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.

Diese Benachrichtigungen haben klar definierte Informationen als Mindestinhalte zu enthalten. Die Informationen sind mit der zuständigen Datenschutzbehörde und ggf. auch mit der Datenschutzbehörde zu erörtern.

Bei Verstößen gegen diese Melde- und Benachrichtigungspflichten drohen Geldbußen von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des letzten abgeschlossenen Geschäftsjahres.

Wiederherstellung aller IT-Systeme

Das CERT soll kurzfristig eindämmend wirken: Unterbindung des weiteren Zugangs der Angreifer zum kompromittierten System, Vermeidung weiterer Schäden und Begrenzung des entstandenen Schadens. Weiters müssen Schwachstellen bereinigt werden, um gleichartige Vorfälle zukünftig zu verhindern.

Vor einer Aufnahme des Systembetriebs muss jedoch die Wiederherstellung des Systems und der Unternehmensdaten abgeschlossen sein. Die Komplexität hängt wesentlich davon ab, ob und in welcher Form unversehrte Backups der Unternehmensdaten vorhanden sind oder nicht. Bei der Wiederaufnahme des Systembetriebs kommt dem Krisenstab die Aufgabe zu, die Anforderungen für die Wiederanlaufpläne festzulegen.

Forensik

Die IT-Forensiker sichern die elektronischen Spuren, die die Aufklärung und Aufarbeitung des Hackerangriffs ermöglichen sollen. Dabei sind spezielle technische Vorgehensweisen erforderlich, um den Verlust meist flüchtiger elektronischer Datenspuren zu verhindern und deren Beweiswert gerichtsfest zu dokumentieren. Nach unserer praktischen Erfahrung können die Angreifer jedoch meist nicht ausgeforscht oder einer nationalen Gerichtsbarkeit zugeführt werden. Jedenfalls sind die Datensicherheitsmaßnahmen der Unternehmens-IT in weiterer Folge zu überarbeiten und anzupassen.

Kommunikation

Selbstverständlich sind auch bei Hackerangriffen die allgemeinen Regelungen zur Krisenkommunikation zu berücksichtigen. Allerdings stellen verschiedene Krisentypen unterschiedliche Anforderungen an die Krisenkommunikation. Daher ist es sinnvoll, im Vorfeld Überlegungen zu verschiedenen Krisentypen, anzustellen. Insbesondere können Betroffene mit Pressestatements informiert werden, die jedoch auch vorab aus rechtlicher Sicht geprüft werden sollten, um Haftungsrisiken zu minimieren.

Soforthilfe und Prävention

Die Schindhelm Allianz berät ihre Mandanten bereits seit einigen Jahren bei akuten Hackerangriffen. Durch unsere Erfahrung und Expertise iZm der grenzüberschreitenden anwaltlichen Vertretung und Beratung haben wir die Möglichkeit, auch in solchen Krisen zu unterstützen und rechtliche Konsequenzen für unsere Mandanten bestmöglich zu vermeiden.

Darüber hinaus beraten wir auch gerne präventiv und unterstützen bei der Erstellung von Notfallplänen genauso wie bei der Abhaltung von Trainings für Ihre Mitarbeiter.



Autor: Philipp Reinisch