Hackerangriff: Wie Sie sich als Unternehmer schützen können

Ein 20-jähriger Schüler aus dem hessischen Homburg hat Deutschland im vergangenen Monat schmerzhaft demonstriert, wie verwundbar die digitale Infrastruktur bundesweit ist. 

Teils sensible Daten von rund 1000 Politikern, Prominenten und Journalisten erbeutete der junge Mann und veröffentlichte sie später über das Twitter-Konto @_Orbit. Laut Ermittlern reichten klassische Hacker-Methoden und „ein gewisser technischer Sachverstand“ aus, um unter anderem Urlaubsfotos und Handynummern zu stehlen. Seine Motivation: politische Unzufriedenheit.

Doch was ist, wenn ein Cyber-Angriff wirtschaftlichen Interessen folgt?
Können Sie sich als Unternehmer überhaupt wirksam schützen, wenn bereits ein 20 Jähriger den halben Bundestag hackt?

Fest steht: Die Wirtschaft beklagt Milliardenverluste durch Cyberkriminalität. Das Bundesamt für Sicherheit in der Informationstechnik zeichnet  in einem aktuellen Lagebericht auch kein positiveres Bild. Mehr als 800 Millionen Schadprogramme seien im Berichtsjahr im Umlauf gewesen, 200 Millionen mehr als im Vorjahr.

Paradoxerweise sinkt zeitgleich das Risikobewusstsein in den Führungsetagen deutscher Unternehmen, wie eine Studie der Wirtschaftsprüfer von Deloitte feststellt.

60 Prozent der Befragten gaben an, dass Hackerangriffe bei ihnen keine besonders großen Schäden anrichten würden, 2016 seien dies noch 46 Prozent gewesen. Für 43 Prozent der Führungskräfte sei nach einem Hacker-Angriff ohnehin die Schadensbehebung wichtiger als der Know-how-Diebstahl.
Ein Fazit der Studie:

„Aufgrund des geringen Risikobewusstseins von Geschäftsleitungen werden auch nicht alle Möglichkeiten zur Gefahrenabwehr ausgeschöpft“

In einem Report des Spezialversicherers Hiscox werden 77 Prozent der deutschen Unternehmen als "Cyber-Anfänger" bezeichnet. Eine ganzheitliche Cyber-Strategie? Fehlanzeige.

Eine Cyberversicherung ist ein guter Anfang, das finanzielle Risiko eines Hacker-Angriffs aufzufangen. Derartige Versicherungen gehören mittlerweile zum Standard-Programm der meisten Versicherer. Einige davon bieten auch eine individuelle Risikoberatung an, um präventive Maßnahmen zu ergreifen. Für derartige Beratungen gibt es mittlerweile einen ganzen Markt. Ein Anbieter zum Beispiel ist der TÜV-Rheinland (Advanced Persistent Threat). Auf jeden Fall lohnt es sich, einen solchen Dienstleister zu engagieren, wenn das IT-Know-how im eigenen Haus nicht ausreicht. Zwingend notwendig ist es zudem, diejenigen zu schulen, die täglich mit den Daten und Systemen arbeiten: ihre Mitarbeiter.

Aber was ist Ihre rechtliche Handhabe nach einem Angriff?

Zunächst empfiehlt es sich in jedem Fall Strafanzeige zu stellen. Die Paragrafen 202a und 202c Strafgesetzbuch und Paragraf 42 des Bundesdatenschutzgesetzes sehen für Hacker Strafen von bis zu drei Jahren vor. Ist der Täter zweifelsfrei identifiziert, können Sie ihn zivilrechtlich zur Verantwortung ziehen. Mögliche Ansprüche sind hier Schmerzensgeld, Schadensersatz und Unterlassung. Außerdem sollten Sie überprüfen, ob gestohlene Daten online noch abrufbar sind, und Plattformbetreiber und Suchmaschinen zur Löschung auffordern - Paragraf 10 TMG und Art. 17 DSGVO spielen hier eine Rolle.

Was viele Unternehmer bei diesem Thema übrigens ausblenden: Ein unzureichender technischer Hackerschutz kann sie selbst in die Haftung bringen.

Das gilt etwa datenschutzrechtlich, wenn Daten Dritter im Spiel sind. In Art. 5 DSGVO heißt es: Personenbezogene Daten müssen „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung […] durch geeignete technische und organisatorische Maßnahmen“. Insofern sind Sie als Unternehmer nicht nur potentielles Opfer von Angriffen, sondern selbst rechtlich verpflichtet, Ihre Technik möglichst wirksam zu schützen. Ansonsten drohen im Worst-Case nach Art. 83 Abs. 5 DSGVO empfindliche Strafen durch die Aufsichtsbehörden und außerdem Privatklagen betroffener Dritter. Wann rechtlich eine „angemessene Sicherheit“ gegeben ist, steht nicht im Gesetz, sondern hängt vom Einzelfall ab.

Da kein System unhackbar ist, kann kein Gericht derartige Sicherheit erwarten. Nicht ausreichend ist zweifelsfrei aber eine bislang deutschlandweit verbreitete Praxis vieler Unternehmer: die Augen verschließen und den Kopf in den Sand stecken.