Mit „Preparedness“ zur erfolgreichen „Incident Response“ IT-Sicherheit als Compliance-Thema

Von Jonas Puchelt, Daniel Hammes

Mängel in der IT-Sicherheit können Unternehmen viel Geld kosten. Dennoch machen die meisten in diesem Bereich zu wenig, bis es das erste Mal zu spät ist. Dabei ist die richtige Vorbereitung auf einen Angriff nicht nur aus juristischen Gründen geboten, sondern auch bei wirtschaftlicher Betrachtung mehr als die halbe Miete. Um die Umsetzung richtig anzupacken, muss geplant vorgegangen werden. Denn IT-Sicherheit ist eine Querschnittsmaterie aus rechtlichen, organisatorischen und technischen Themen. Effektive Maßnahmen kann nur erarbeiten, wer in allen drei Bereichen mit der notwendigen Expertise operiert.

Anbieter zum Thema

Ein Cyberangriff ist auch ein im Minenfeld juristischer Fallstricke. Um sich rechtssicher zu bewegen und gleichzeitig noch eine angemessene Abwehr des Angriffs zu ermöglichen, benötigt man Lösungen, die bereits im Vorfeld erarbeitet wurden.
Ein Cyberangriff ist auch ein im Minenfeld juristischer Fallstricke. Um sich rechtssicher zu bewegen und gleichzeitig noch eine angemessene Abwehr des Angriffs zu ermöglichen, benötigt man Lösungen, die bereits im Vorfeld erarbeitet wurden.
(Bild: Sikov - stock.adobe.com)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht Angriffe auf die IT-Sicherheit als „die größte Bedrohung für Unternehmen und Institutionen“ im Internet an. Solche Angriffe sind ein lukratives Geschäftsfeld für die organisierte Kriminalität und haben schwerwiegende Folgen für die Betroffenen. Der Stillstand der gesamten Produktion droht im Worstcase und häufig ist, anders als etwa beim Ausspionieren bestimmter Unternehmensinterna, ein Angriff nicht geheim zu halten, sondern sofort sichtbar und spürbar.

Geforderte Lösegelder zu zahlen, scheint dann oft als attraktiver Lösungsweg. Denn die Lösegeldforderungen sind heutzutage meist so zugeschnitten, dass sie wehtun – aber geleistet werden können. Die Sicherheitsbehörden raten naturgemäß dringend ab, das zu tun, weil das kriminelle Geschäftsmodell damit gefördert wird. Auch die Rechtslage ist hierzu nicht eindeutig. So steht die „Unterstützung krimineller Vereinigungen“ nach dem Strafgesetzbuch sogar unter Strafe.

Rechtlich ist das allerdings nicht die einzige Frage, die sich Unternehmen stellen müssen. Denn neben der strafrechtlichen Dimension werden bei Angriffen auf die IT-Sicherheit von Unternehmen oft auch Bereiche wie Daten- und Geheimnisschutz oder allgemeine zivilrechtliche Haftung und Versicherung tangiert.

Um sich in diesem Minenfeld juristischer Fallstricke rechtssicher zu bewegen und gleichzeitig noch eine angemessene Abwehr bzw. Aufarbeitung des Angriffs zu ermöglichen, benötigt man Lösungen, die am besten bereits im Vorfeld erarbeitet wurden. Denn während eine Angriffsszenarios, bleibt keine Zeit dazu. Im Falle eines Angriffs auf das IT-System ist eine rasche Reaktion existenziell. Hierbei hilft es, sich zuvor eine Checkliste zu erstellen. Damit im Ernstfall nichts vergessen wird, sollten die Abläufe vorab getestet werden.

Was können Sie bereits vor einem Angriff umsetzen? („Preparedness“)

  • Aufstellung eines schlagkräftigen Teams aus den Bereichen Management, Recht, IT, Datenschutz, Kommunikation und Betriebsrat als Task-Force zur Aufarbeitung des Angriffs
  • Wichtig bei der Zusammensetzung ist, dass die Task-Force entsprechend geschult und entscheidungsbefugt ist – denn hier laufen die Fäden zusammen
  • Erstellung eines Kommunikationskonzeptes sowohl unternehmensintern als auch gegenüber Geschäftspartnern
  • Erarbeitung von Verhaltensrichtlinien für Mitarbeiter – insb. zum Umgang mit Unternehmens-IT
  • Erstellung eines Konzepts zur kontrollierten Abschaltung bzw. Quarantäne betroffener Systeme sowie zum zeitnahen Rückgriff auf Backups und Ersatzsysteme zur Minimierung eines Produktionsausfallrisikos

Was sind wirksame Sofortmaßnahmen bei einem Cyberangriff? („Incident Response“)

  • Aktivieren der unternehmensinternen Task-Force
  • Sofern dafür keine eigene Expertise im Haus vorhanden ist: Beauftragung eines IT-Forensikers zur technischen Aufarbeitung des Angriffs, zur Beweissicherung, Datensicherung und Wiederherstellung der Arbeitsfähigkeit.
  • Kontaktaufnahme zu Staatsanwaltschaft, Kriminalpolizei und ggf. BSI
  • Überprüfung datenschutzrechtlicher Meldepflichten gegenüber den Datenschutzaufsichten (Art. 33 DSGVO) und den Betroffenen (Art. 34 DSGVO). Die Zeitfenster sind hier kurz bemessen (ggü. der Aufsicht nur 72 Stunden)

Was ist sonst noch wichtig?

  • Einschaltung der Versicherung, insbesondere wenn IT-Sicherheitsvorfälle vom Versicherungsschutz erfasst sind
  • Abwehr von Ansprüchen Dritter (Kunden / Lieferanten)
  • Prüfung von Ansprüchen gegen eingesetzte IT-Provider
  • Verhinderung zukünftiger Angriffsrisiken durch technische Härtung der genutzten Infrastruktur, Schulung von Mitarbeitern in Bezug auf Sicherheitsrisiken sowie gegebenenfalls die kontinuierliche Simulation von Angriffsszenarien („Penetrationstests“)

Die Verknüpfung von IT- Sicherheit, Unternehmensdatenschutz und Compliance

Viele dieser Maßnahmen fallen unter den Überbegriff „Compliance“. Doch Compliance steht für „mehr“ und rückt zunehmend in den Fokus der Unternehmensführungen. Compliance ist kein feststehender Rechtsbegriff, sondern eine Sammelbezeichnung für alle notwendigen Maßnahmen eines Unternehmens, die zur Einhaltung sämtlicher für das Unternehmen geltenden Gesetze und Richtlinien erforderlich sind. Zwar gibt es in Deutschland kein Gesetz, das konkrete Pflichten und Vorgaben für den Schutz von Unternehmensdaten oder die IT- Sicherheit aufstellt. Kommen aber beispielsweise sensible Kundendaten, Geschäftsgeheimnisse oder ähnliches aufgrund unzureichender IT- Sicherheit abhanden, kann dies erhebliche Schadenersatzforderungen auslösen, von dem damit einhergehenden Reputationsschaden ganz zu schweigen. Unternehmensdatenschutz bedeutet also immer auch Kundendatenschutz und stellt daher schon aus Haftungsgründen ein enorm wichtiges Compliance- Thema dar.

Verantwortlichkeit der Geschäftsleitung

Vor diesem Hintergrund stehen die Unternehmensführungen – beispielsweise Geschäftsführer:innen – in der Verantwortung, das Unternehmen so zu organisieren, dass datenschutzrechtliche Bestimmungen eingehalten werden und das Unternehmen angemessen vor Angriffen auf die IT-Sicherheit geschützt ist. Selbstverständlich müssen sie sich um diese Angelegenheiten nicht selbst kümmern. Vielmehr müssen sie dafür Sorge tragen, dass entsprechende Fachbereiche im Unternehmen eingerichtet und anschließend darauf überwacht werden, dass sie ihre Aufgaben ordnungsgemäß erfüllen. Werden diese Organisations- und Überwachungspflichten aber unzureichend erfüllt und nimmt das Unternehmen deshalb Schaden, steht auch eine persönliche Haftung der Geschäftsführer:innen im Raum.

Diese Wechselwirkung aus Unternehmensdatenschutz, Kundendatenschutz und persönlicher Verantwortung der Geschäftsleitung einerseits sowie der potentiellen (Reputations-) Schäden andererseits bedingen die herausragende Bedeutung einer funktionierenden, sicheren IT-Infrastruktur.

Nicht zu vernachlässigen: Der Mitarbeiterdatenschutz

Im Gegensatz zu dem Schutz von Unternehmensdaten, ist der Schutz personenbezogener Daten umfassend kodifiziert – insbesondere in der DSGVO. Verstöße können empfindliche Bußgelder nach sich ziehen. Im Arbeitsverhältnis werden beispielsweise ständig personenbezogene Mitarbeiterdaten verarbeitet. Der Schutz dieser Daten entsprechend der bestehenden gesetzlichen Vorgaben, zählt deshalb neben einer Vielzahl anderer Arbeitsrechtsmaterien – wie z.B. das Arbeitszeitrecht, das Arbeitsschutzrecht, das Arbeitnehmerüberlassungsrecht, das Sozialversicherungsrecht oder das Lohnsteuerrecht – zu den gesetzlichen Pflichten, deren Einhaltung Unternehmen im Rahmen ihrer Compliance-Organisation beachten müssen. Gleichzeitig beeinflusst der Mitarbeiterdatenschutz die Umsetzung bestehender Compliance-Regeln. So müssen beispielsweise unternehmensinterne Whistleblower-Systeme, mit denen Mitarbeiter:innen auf bestehende Missstände aufmerksam machen können, so ausgestaltet sein, dass die Mitarbeiter:innen bei ihren Hinweisen auch wirklich anonym bleiben. Insofern beeinflusst der Mitarbeiterdatenschutz auch die Ausgestaltung und Umsetzung von Compliance- Richtlinien und lässt sich schon aus diesem Grund hiervon nicht trennen.

Über die Autoren

Jonas Puchelt ist Fachanwalt für Informationstechnologierecht und Zertifizierter Datenschutzbeauftragter (DSC) bei der Kanzlei FPS. Er ist auf die Beratung nationaler und internationaler Unternehmen im Rahmen technologischer Fragestellungen spezialisiert. Sein Beratungsschwerpunkt liegt im IT- und Datenschutzrecht mit einem besonderen Fokus auf juristische Fragestellungen des IT-Projektgeschäfts und der IT-Security. Herr Puchelt ist zudem Lehrbeauftragter an der Technischen Hochschule Mittelhessen.

Daniel Hammes ist als Rechtsanwalt bei FPS tätig. Er berät und vertritt nationale und internationale Unternehmen in allen Angelegenheiten des Arbeitsrechts. Zu seinen Tätigkeitsschwerpunkten zählen die Gestaltung von Anstellungsverträgen, die Verhandlung und Ausarbeitung von Aufhebungs- und Abwicklungsverträgen, sowie das Führen von Kündigungsschutzverfahren. Darüber hinaus berät er insbesondere zu den Themenbereichen Arbeitnehmerüberlassung und Statusfeststellungsverfahren.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48206485)