Zum Hauptinhalt springen

Bei Cyber-Attacken zählt jede Stunde

Von Andrea Möchel

Wirtschaft

Unternehmen, die Angriffe aus dem Internet nicht fristgerecht melden, riskieren künftig bis zu zehn Millionen Euro Strafe.


Wien. Cyber-Delikte verursachen weltweit Schäden in Milliardenhöhe, und auch hierzulande war beinahe jedes zweite Unternehmen bereits Ziel von Internet-Kriminalität. Doch egal, ob die Angreifer Konkurrenten, Ex-Mitarbeiter oder Profi-Gauner sind - es gibt eine goldene Regel, die unbedingt beherzigt werden sollte: "Die ersten 72 Stunden nach einem Cyber-Angriff können für die Rechtsverfolgung entscheidend sein", betont Anwältin Angelika Hellweger von der Wiener Kanzlei Wolf Theiss. "Lässt man sich zu lange Zeit, ist man bald nicht mehr Herr der Lage."

Geschäftsführer haften

Also stehen die "ehestmögliche Kontaktaufnahme" mit einem Anwalt und die Aufstellung eines Notfall-Teams, ganz oben auf der To-do-Liste nach einem Cyber-Angriff. Und: Cyber-Sicherheit muss als wesentlicher Bestandteil des Risikomanagements begriffen werden. "Für Cyber-Sicherheit trägt der Geschäftsführer die Verantwortung", stellt Anwalt und IT-Experte Roland Marko von Wolf Theiss klar. "Je stärker die Abhängigkeit des Unternehmens von Informationssystemen und Daten, desto höher das unternehmerische Risiko von Cyber-Angriffen und damit auch der anzulegende Sorgfaltsmaßstab an die Geschäftsleitung." Das Problem: Österreichische Firmen nehmen die Bedeutung der Informationssicherheit noch recht unterschiedlich wahr.

"Während der Informations- und Cyber-Sicherheit insbesondere in regulierten Branchen, wie etwa im Banken- und Versicherungssektor, bereits ein hoher Stellenwert eingeräumt wird, ist das Thema gerade bei Klein- und Mittelunternehmen noch nicht ganz angekommen", bedauert Marko. Es überrasche daher nicht, dass gerade die KMU oft Opfer von Attacken werden, die schon mit geringem Aufwand abgewehrt werden könnten.

Kritische Frist

Nun bringt die neue Datenschutz-Grundverordnung (DSGVO), die im Mai 2018 in Kraft tritt, künftig eine Verpflichtung zu fristgerechten Meldungen von Cyber-Crime-Vorfällen an die Datenschutzbehörde. Die Meldung hat dann "unverzüglich und möglichst binnen 72 Stunden" zu erfolgen. Die Strafen für Verstöße gegen die Verständigungspflicht werden von bisher zehntausend Euro auf bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Konzernumsatzes drastisch erhöht.

"72 Stunden sind eine harte Deadline", räumt IT-Rechtsexperte Marko ein. Zwar hätten Unternehmen auch jetzt schon unverzüglich zu melden, wenn Daten "systematisch und schwerwiegend unrechtmäßig" verwendet wurden. "Durch den neuen Strafrahmen erhält die Frist von 72 Stunden aber eine völlig neue Dimension", meint Marko.

Bereits die Frage, ab wann von einer Kenntnisnahme auszugehen ist, sei kritisch, da der Betrieb von IT-Systemen oder Anwendungen heute oftmals durch Dritte, sprich IT-Dienstleister, erfolgt. "Die datenschutzrechtliche Verantwortung für Kunden-, oder Mitarbeiterdaten verbleibt jedoch beim outsourcenden Unternehmen", warnt Marko. "Die Kenntnis von einem Sicherheitsvorfall wird dem Unternehmen ab jenem Zeitpunkt zurechenbar sein, in dem der Outsourcing- oder Cloud-Provider selbst Kenntnis vom Sicherheitsvorfall erlangt." Markos Rat: "Es ist daher wesentlich, diese vertraglich auf eine umgehende Informationserteilung an das Unternehmen zu verpflichten."

Notfallplan

Was ist also zu tun, wenn man Opfer eines Cyberangriffs wird? "Wie ein Einbruch in die eigenen vier Wände ist auch eine Cyber-Attacke für ein Unternehmen in erster Linie eine Ausnahmesituation, in welcher die üblichen Geschäftsprozesse nicht greifen", sagt Marko. "Unternehmen sollten daher vorsorgen und entsprechende Notfallpläne vorsehen." Dazu gehört eine sofortige Schadensermittlung, bei der geklärt werden muss, welche Systeme betroffen sind, ob Gelder entwendet und/oder Daten ausgelesen wurden. Neben der umgehenden Einbindung der Behörden müssen dann sofortige Rückholmaßnahmen bei den Banken gestartet werden. Wenn personenbezogene Daten vom Angriff kompromittiert wurden und den Betroffenen daraus Schaden droht, sind diese sofort zu informieren.

"Technisch gesehen sollte bei allem verständlichen Ansporn, zuerst wieder die Betriebsfähigkeit des Unternehmens herzustellen, nicht auf die elektronische Spurensicherung vergessen werden, um mögliche Täter ausforschen und Beweise in einem Prozess vorlegen zu können", stellt Marko klar. "Die Einbindung spezialisierter IT-Dienstleister und Rechtsberater zahlt sich auch hier aus."

Cybercrime-Trends

Zudem sollten betroffene Mitarbeiter so lange dienstfrei gestellt werden, bis geklärt ist, ob diese möglicherweise selbst in die Cyber-Attacke involviert sind. "Neben Angriffen durch Wettbewerber, die Lücken in der IT-Sicherheit von Unternehmen ausnützen, beobachten wir in der Praxis derzeit vor allem Attacken von innen", warnen die Experten von Wolf Theiss.

Einen weiteren Cyber-Crime-Trend stellen sogenannte Cryptoware-Attacken dar. Bei denen werden Verschlüsselungsprogramme eingeschleust und Firmendaten verschlüsselt. Der Code zur Entschlüsselung wird dann, wenn überhaupt, nur gegen Zahlung eines "Lösegelds" zur Verfügung gestellt.

Der finanziell größte Schaden bei einem heimischen Unternehmen wurde laut Roland Marko erst kürzlich durch einen sogenannten Fake President Fraud verursacht. "Dabei wurde die Buchhaltung durch geschicktes Nachahmen der E-Mail-Adresse eines Vorstandes aufgefordert, hohe Summen auf ausländische Konten zu überweisen", erzählt der Anwalt. "Ein simpler, aber hoch effizienter Trick."