Haftung der Geschäftsführung für IT-Sicherheitslücken

Wie stellt sich die Haftungssituation im Themenkomplex der IT-Sicherheit, insbesondere für Geschäftsleitung (Geschäftsführer und Vorstand), dar? In meinem Vortrag zur Haftung bei IT-Sicherheitslücken, zugeschnitten auf Geschäftsführung und Vorstände, gehe ich auf die relevanten Umstände ein: Nach einer Darstellung allgemeiner Haftungsfragen werden, hierauf aufbauend, konkrete Haftungsfragen für Arbeitnehmer & Vorstand aufgezeigt sowie abschließend, in aller Kürze, Wege der Haftungsbegrenzung dargestellt – bis hin zur Frage, ob es nicht ein Haftungsgrund ist, wenn man als Unternehmen nicht vorsorglich Bitcoin kauft. Im Folgenden stelle ich wesentliche Teile des Vortrags zur Haftung des Vorstands bei IT-Sicherheitslücken vor.

Die IT-Sicherheit ist das Kernthema moderner Informationstechnologie und zunehmend im Fokus auch politischer Entwicklungen – gleichwohl fehlt es bis heute an einem differenzierten verbindlichen Regelwerk; zwar gibt es auf EU-Ebene Vorgaben und erste gesetzliche Regelungen auf nationaler Ebene. Doch gerade im Bereich originärer Probleme, speziell bei der Entwicklung und dem Einsatz von Software oder der Haftung eines Unternehmensvorstands, ergeben sich sofort unklare Haftungssituationen. In der rechtlichen Praxis scheint die IT-Sicherheit als solche zu verkümmern und auf die praktische Anwendung von Teilbereichen der DSGVO hinauszulaufen – tatsächlich aber gibt es unmittelbare Haftungs-Szenarien.

Haftung & IT-Sicherheit bei Software

Ein echtes eigenes Haftungsrecht im Bereich der IT-Sicherheit gibt es derzeit gar nicht. Das bedeutet man muss die bereits bestehenden und teilweise seit Jahrzehnten gefestigten rechtlichen Grundlagen samt zugehöriger Rechtsprechung auf Haftungsfragen der IT-Sicherheit übertragen und versuchen entsprechend anzuwenden.

Zu betonen ist dabei schon jetzt, dass es zwar ein IT-Sicherheitsgesetz gibt, dass auch von großem medialem Echo begleitet wird. Dieses Gesetz ist aber kein tatsächliches eigenes Gesetz, sondern vielmehr ein sogenanntes „Artikel-Gesetz“, mit dem bereits bestehende Regelungen schrittweise angepasst worden sind. Im Fokus der bisherigen Bestrebungen des Gesetzgebers steht dabei weniger die eigentliche Haftung als vielmehr die Unterstützung im Umgang mit Sicherheitslücken sowie die Schaffung von Kompetenzen bei Behörden.

Wenn die Haftung bei Belangen zur IT-Sicherheit eine Rolle spielt, bedeutet dies damit, dass man sich im Kern auf einige rechtliche Bereiche konzentrieren kann, die im Weiteren dann dargestellt werden, bevor dann exemplarisch auf ausgewählte spannende Fragen eingegangen wird:

• Vertragliche Vereinbarungen
• Gesetzliche Schuldverhältnisse
• Datenschutzrecht
• Produkthaftungsrecht

Vertragliche Vereinbarungen

Während vertragliche Vereinbarungen im Bereich der IT-Sicherheit geradezu unter „blauem Himmel“ stattgefunden haben, dabei vorwiegend durch die hergebrachte AGB-Kontrolle geprägt waren, zeichnet sich ab dem 1. Januar 2022 die erste ernsthafte Regulierung durch die neu geschaffenen „Verträge über digitale Produkte“ ab, die grundsätzlich nur für Vertragsverhältnisse für Verbraucher gelten. Allerdings wurde, wie am Beispiel smarter Geräte gezeigt wird, das Kaufrecht allgemein ab 2022 so angepasst, dass mangelnde Sicherheit bei sämtlichen Kaufverträgen einen Sachmangel begründet.

Gesetzliche Schuldverhältnisse

Bei den gesetzlichen Schuldverhältnissen soll es bei einer Konzentration auf die Fragen der Haftung für unerlaubte Handlungen entsprechend § 823 BGB verbleiben, da sich hier die derzeit wesentlichen Probleme ergeben: durch diese Norm wird ein zweigleisiger Schutz geboten; zum einen schützt der erste Absatz, die sogenannten absoluten Rechtsgüter, wozu insbesondere Leben, Körper, Gesundheit und Freiheit zählen, aber auch das Eigentum.

Daneben besteht ein Schadensersatz-Anspruch (Abs.2), wenn gegen ein Gesetz verstoßen wird, das ausdrücklich den Schutz eines anderen bezweckt. Zum weiteren Verständnis essenziell ist, zu wissen, dass der Haftungsmaßstab dabei gerade nicht nur vorsätzliches Verhalten beschreibt – sondern auch ein fahrlässiges, was auch nur leichte Fahrlässigkeit umfasst. Das bedeutet, dass ohne gesonderte zusätzliche vertragliche Vereinbarung jegliches auch nur leicht fahrlässiges Fehlverhalten zu einer Haftung führen kann.

Hier bedeutsam ist dann ergänzend auch noch, dass das fahrlässige Fehlverhalten nicht nur in einem aktiven Tun, also dem bewussten Handeln in Missachtung von Sorgfaltspflichten vorliegt, sondern dass vielmehr auch durch ein Unterlassen, also etwa dem Ignorieren von vorgegebenen oder zu erwartenden Sorgfaltspflichten vorliegen kann, womit die weiteren – exemplarisch aufzuzählenden – Regelungen relevant werden bei der Frage, ob alle Sorgfaltspflichten erfüllt wurden. Dabei dürfte allgemeinen Pflichten der IT-Sicherheit im Rahmen der Verkehrssicherungspflicht besondere Bedeutung zukommen, was bisher durchaus unterschätzt wird.

Gehobene Bedeutung hat hierbei ein Verstoß gegen Normen des Strafrechts, etwa bei einer fahrlässigen Körperverletzung oder gar Tötung, wie sie zuletzt bei dem geglückten Hackerangriff einer Universität (Düsseldorf) samt Uniklinikum aufgetreten ist. Dieses, zu vertiefende, Beispiel verdeutlicht zugleich in tragischer Weise, wie nicht nur Angreifer, sondern auch Opfer einer „Cyberattacke“ gemeinsam im strafrechtlichen Fokus stehen können: Denn wer eine „Cyberattacke“ erst durch die Missachtung gängiger Sicherheitsstandards ermöglicht, handelt nicht nur zivilrechtlich, sondern auch strafrechtlich, fahrlässig. Dass dies nicht zwingend zu einer Strafbarkeit führen muss, wohl aber zu einer solchen führen kann, wird in einer beispielhaften Betrachtung ausgeführt werden.

Datenschutzrechtliche Regelungen

Bei den datenschutzrechtlichen Regelungen ist selbstverständlich zuvorderst die DSGVO zu nennen. So ist dann Art. 82 DSGVO die unmittelbare Rechtsgrundlage, um immateriellen Schadensersatz bei Verstößen gegen datenschutzrechtliche Grundsätze zu erhalten, wobei dann hier auch Art. 25 DSGVO hineinspielt, der Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen vorsieht. Wie darzustellen ist, handelt es sich hierbei eher um einen „zahnlosen Tiger“, der allerdings gravierend in die Frage fahrlässigen Verhaltens hineinspielen kann.

In diesem Zusammenhang sind auch die besonderen Pflichten für Anbieter von Telemedien darzustellen, vorher geregelt in § 13 Abs.7 TMG und wortgleich inzwischen übernommen in § 19 Abs. 4 TTDSG. Der Fahrlässigkeitsmaßstab wird hier eng zu prüfen sein, was zu Haftungsproblemen in Vorständen führen kann.

Produkthaftungsrecht

Im Bereich des Produkthaftungsrechts ist in aller Kürze der aktuelle Streitstand zur Erfassung von Software darzustellen, der eher willkürlich zwischen Software auf körperlichen Datenträgern und digital vertriebener Software unterscheidet. Dieser Aspekt soll vorwiegend im Hinblick auf das zu reformierende EU-Produkthaftungsrecht angesprochen werden. Dieses wird nach hiesiger Analyse zu einer Verschärfung der Problematik bei Software führen, Unternehmen die Software entwickeln oder vertreiben sollten sich frühzeitig um die eigene Haftung kümmern. Auch bei Lieferketten-Angriffen und Dienstleister-Angriffen wie Solarwinds wird man in Zukunft mit einer gravierenden Haftungsproblematik rechnen dürfen.

Haftung der Verantwortlichen bei Opensource-Software

Haftet man als verantwortlicher Diensteanbieter, nur weil man Opensource-Software einsetzt? Sicherlich nicht, wie ich schon zu Log4J klargestellt hatte! Auch die Tatsache, dass Opensource-Software häufig ehrenamtlich gepflegt wird und zugleich zunehmend eingesetzt wird, ist kein erhöhtes Sicherheitsrisiko, der frei zugängliche und jederzeit prüfbare Quellcode dürfte ein solches „Minus“ immer auffangen. Allerdings treffen Verantwortliche, je nach eigener Rolle, sehr eigene Pflichten, wer etwa Software entwickelt und dabei auf Opensource-Software einsetzt, sollte auf Standard-Tools wie OSS-Fuzz oder Sonarqube setzen, ersteres wurde gerade auch auf Log4J ausgerichtet. Insoweit ist daran zu erinnern, dass seit dem 1.1.22 die Sicherheit im Allgemeinen zum Kriterium für Mangelfreiheit (im Kaufrecht) wurde, was die Pflichten nochmals erhöht.

Insgesamt gilt: Grundsätzlich kommt eine Haftung in Betracht, auch wenn man die Sicherheitslücke nicht verantwortet hat, sondern die Software „nur“ einsetzt. Je nach eigener Rolle steigern sich die eigenen Pflichten, mindestens eine Beobachtungs- und Updatepflicht wird man in jedem Fall haben. Die Updatepflicht im geschäftlichen Verkehr ergibt sich dabei, nach altem wie neuen Recht, erst einmal als vertragliche Nebenpflicht bei einer derart gravierenden Lücke – gegenüber Verbrauchern ist sie seit dem 1.1.22 sogar im Gesetz kodifizierte Hauptpflicht.

IT-Sicherheit ist längst als Thema in der (IT-)Compliance angekommen. Es kann sich allein durch eine schlechte Compliance eine Haftung der Geschäftsführung ergeben – und sich spiegelbildlich eine gute Compliance haftungsprivilegierend auswirken. Die IT-Sicherheit kann hierbei als zentraler Bestandteil betrachtet werden (so etwa ausdrücklich Jacobs in CB 2017, 299, 302). Der Themenkomplex der IT-Sicherheit ist hierbei sowohl Aufgabe des Vorstands als auch, bedingt durch den Überwachungsauftrag, des ggf. vorhandenen Aufsichtsrats.

Hier ist im Allgemeinen daran zu erinnern, dass die Leitung eines Unternehmens im Rahmen der Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden hat. Dies gilt heute ganz besonders im Blick auf den Einsatz von IT im Unternehmen, wobei Compliance insbesondere das rechtstreue Verhalten nicht nur gegenüber Mitarbeitern (intern), sondern auch gegenüber Dritten (extern) zu gewährleisten hat. Allerdings darf hier nicht zu pauschal gedacht werden – der Bundesgerichtshof hat etwa hervorgehoben, dass sich aus der schlichten Stellung als Geschäftsführer/Vorstand eben keine Garantenpflicht hinsichtlich Vermögensschäden Dritter ergibt (siehe BGH, VI ZR 341/10).

Diese Verantwortung trifft den Vorstand bzw. die Geschäftsführung insgesamt, auch wenn eine Delegation möglich ist – und verbleibt gerade auch nach der Delegation: Ein jedes Vorstandsmitglied hat eine Überwachungs- und Kontrollpflicht gegenüber „seiner“ Compliance-Sektion sowie auch gegenüber den anderen Vorständen (die korrespondierend damit eine Berichtspflicht trifft; sehr umfangreich dazu Hoffmann/Schieffer in NZG 2017, 401). Das Besondere ist dabei auch eine Prüfpflicht: Wenn ein Vorstandsmitglied den Verdacht hegt, ein anderes würde seine Aufgaben nicht ordentlich ausfüllen, muss es diesem Verdacht nachgehen, sonst liegt allein hierin bereits eine eigene Pflichtverletzung. Es gilt der Grundsatz, dass ein Vorstandsmitglied bei entsprechender Gefahrenlage nur genügt, wenn ein Compliance-System überhaupt installiert ist (instruktiv: LG München I, 5 HK O 1387/10). Ein gutes Compliance-System ist dabei ein Faktor, der sich auf die Frage der Höhe eines Bußgeldes auswirkt (BGH, 1 StR 265/16).

Ein weiteres aufkommendes Thema in Deutschland ist die Thematik kritischer Komponenten: Mit §9b BSIG besteht das Risiko, dass quasi jederzeit für einen Sektor Vorgaben für die IT geschaffen werden – und eingesetzte Komponenten entfernt werden müssen. Ein derzeit bekanntes Beispiel ist die Frage, ob Hardware von Huawei im Bereich Telekommunikation weiter eingesetzt werden kann. Dies droht aktuell in allen kritischen Bereichen und geht auf eine besondere gesetzliche Lage in Deutschland zurück. Hier droht eine persönliche Haftung der Geschäftsleitung, wenn der Einsatz von kritischen Komponenten nicht vorab bewertet wird.

Das Fazit der IT-Sicherheit ist damit im Bereich der Compliance überschaubar: Wenig überraschend wird sein, dass mit Blick auf die allgemeinen Compliance-Grundlagen natürlich eine Haftung bei schlechter IT-Sicherheits-Compliance im Raum steht. Dabei kann sich eine Haftung des Gesamtvorstands bei Delegation weiterhin ergeben; mit Blick auf die wechselseitigen Überwachungspflichten ist es dabei kaum denkbar, dass diese Überwachungsfunktion überhaupt ausgeübt werden kann, wenn nicht bei jedem Vorstand zumindest absolute (überschaubare!) Basics der Grundzüge von IT-Sicherheit vorhanden sind.

Wenn nun ein Compliance-System vorhanden ist und gleichwohl Fehler aufgetreten sind, so ist ein gutes Compliance-System nicht nur ein Faktor zur Bemessung eines Bußgeldes, sondern lässt darüber hinaus bei der Abstufung des Grades der Fahrlässigkeit Diskussionen zu. Hinsichtlich immaterieller Schäden wird man zudem bei den nicht verantwortlichen Vorstandsmitgliedern im Einzelfall die Diskussion der Verantwortlichkeit der Höhe nach suchen müssen.

Die Bedeutung der Sicherheit von Open-Source-Software und die Rolle der Regierungen

Exemplarische rechtliche Fragen zur IT-Sicherheit

Die Updatepflicht

Durch die schon angesprochene Reform im BGB wurde durch den neu geschaffenen § 327f BGB erstmals ausdrücklich klargestellt, dass – nicht näher definierte – „Sicherheitsaktualisierungen“ eine für die vorgesehene Nutzungsdauer, unabhängig vom Vertragstyp, geschuldete Leistung ist. Die Lieferung solcher Aktualisierungen wird über den neuen § 327e BGB Teil des juristischen Mangelbegriffs.

Die Existenz von Software-Updates prägt also zukünftig mit die Frage, wann ein Mangel einer Software vorliegt. Vollkommen offen ist derzeit, ob und inwieweit diese, für Vertragsverhältnisse zu Verbrauchern vorgesehene, Regelung auch in vertragliche (Streit-)Fragen zwischen Unternehmern hineinspielt. Dabei bietet es sich an, bei Fragen der Auslegung von Verträgen auch zwischen Unternehmern die im Gesetz vorgesehenen Definitionen eines Mangels bei digitalen Gütern zumindest ergänzend heranzuziehen, wobei beachtlich ist, dass das Gesetz insoweit auch ausdrücklich die Merkmale der Kompatibilität und Interoperabilität bei der Frage des Mangels heranzieht. Insoweit steht die neue Gesetzesfassung in Einklang mit der bisherigen Rechtsprechung, die speziell an den Beispielen gesetzlicher Veränderungen und auch dem Auftreten von Sicherheitslücken darzustellen ist.

Untersuchung von Software auf Sicherheitslücken zulässig

Dargelegt wird von mir des Weiteren, dass die selbstständige Analyse von Software hinsichtlich Softwaremängel und speziell Sicherheitsprobleme zulässig ist, insbesondere weder Geschäftsgeheimnisschutzgesetz noch Urheberrechtsgesetze einem Reverse Engineering zum Zweck der Prüfung der IT-Sicherheit im Wege stehen. Diese Rechtsprechung wurde zuletzt vom EUGH nochmals leicht vertieft, insgesamt rechne ich damit, dass Reverse-Engineering in Zukunft eher mehr als weniger zulässig sein wird – zugleich aber in extremen Situationen sogar zur Pflicht werden kann, im Maßnahmenkatalog beim Einsatz veralteter oder älterer Software.

Pflicht zu PenTesting?

Eine allgemeine Pflicht zur Durchführung eines Penetration Testing gibt es derzeit nicht, sie ergibt sich zumindest nicht unmittelbar aus den aktuellen rechtlichen Vorgaben.

Meine rechtliche Analyse kommt aber zu dem Ergebnis, dass sich gerade in einem risikoträchtigen Umfeld, speziell dort, wo in erheblichem Umfang mit sensiblen Daten agiert wird, die mittelbare Notwendigkeit der Durchführung eines PenTest ergeben wird, um den gehobenen Sorgfaltspflichten zur Vermeidung eines Fahrlässigkeitsvorwurfs zu begegnen; aber auch um gehobenen Anforderungen der DSGVO zu genügen.

Konkrete Meldepflicht bei Sicherheitslücke

Es gilt der Grundsatz, dass eine Sicherheitslücke für sich noch keine datenschutzrechtliche Meldeverpflichtung auslöst!

Andererseits liegt alleine in der Existenz einer Sicherheitslücke im Fall der Verwendung betroffener Software eine Verletzung der Vorgaben zur Sicherheit der Verarbeitung gemäß Art. 32 DS-GVO. Wenn dann Anzeichen hinzutreten, dass die Schwachstelle ausgenutzt wurde und personenbezogene Daten betroffen sind, wird eine meldepflichtige Datenschutzverletzung nach Art. 33 DSGVO vorliegen, da derart kompromittierte IT-Systeme selten „nicht zu einem Risiko“ für die Rechte und Freiheiten der davon betroffenen Personen führen dürften (so auch die klare Einschätzung des BayLDA zu LOG4J).

Hiermit einher geht eine umfassende Dokumentationspflicht hinsichtlich der Feststellungen, ob ein Risiko für die betroffenen Personen besteht oder nicht (Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO).

IT-Sicherheit bei smarten Geräten

Smarte Geräte, die im Kern auf Software basieren, waren in meine Betrachtung einzubeziehen, da sie die Sicherheitsfrage im Zivilrecht seit 2022 demonstrieren: Durch das Gesetz zur Regelung des Verkaufs von Sachen mit digitalen Elementen steht eine erste gesetzliche Regelung vor der Türe, die bei teilweise digitalen Geräten einen konkreten Sachmangel-Begriff definiert in § 475b BGB sowie – ganz neu – den allgemeinen Sachmangel im Kaufrecht um Aspekte der Sicherheit erweitert.

Ich betone insoweit, dass der Verkäufer zukünftig im Kaufrecht ganz allgemein mit einer unmittelbaren Haftung bei Sicherheitsproblemen konfrontiert sein wird.

Verhaltensregeln für Arbeitnehmer

Es gibt tatsächlich unmittelbare Konsequenzen für Arbeitnehmer – so kann sich nicht nur für Arbeitgeber die arbeitsrechtliche Pflicht ergeben, Weiterbildungsmaßnahmen anzubieten; spiegelbildlich dazu ergibt sich für Arbeitnehmer die Pflicht, solche Fortbildungen in Anspruch zu nehmen, soweit dies für die eigene Tätigkeit notwendig ist. Im Zuge der arbeitsrechtlichen Pflichten müssen Arbeitnehmer darüber hinaus jegliches Verhalten unterlassen, das zu Beeinträchtigungen der IT-Sicherheit des Arbeitgebers führen kann, der Arbeitgeber wird im Gegenzug Hilfen anbieten müssen, damit der Arbeitnehmer weiß, was von ihm erwartet wird.

Hinzu kommt, dass die Gefährdung der Rechtsgüter Dritter zugleich eine Gefährdung der wirtschaftlichen Interessen des Arbeitgebers ist – was wiederum in die innerbetrieblichen Fürsorgepflichten hineinspielt. Abschließend wird an ausgewählten Beispielen darzulegen sein, wie Arbeitnehmer mit Anweisungen von Arbeitgebern umgehen müssen, bei denen Bedenken hinsichtlich der rechtlichen Wirksamkeit aufkommen – ein Arbeitnehmer muss Anweisungen nicht befolgen, wenn diese sehenden Auges zur Verletzung Rechtsgüter Dritter führen.

Haftung der Geschäftsleitung für Mängel der IT-Sicherheit

Es ist zu konstatieren, dass Vorstandsmitglieder nicht zwingend denselben Verkehrssicherungspflichten unterliegen wie ihr Unternehmen selbst. Ihre Haftung wird im Außenverhältnis durch ihren jeweiligen Zuständigkeitsbereich rechtlich begrenzt sein; darüber hinaus dort, wo die faktische Einwirkungsmöglichkeit aufhört.

Eine über die Ressortzuständigkeit hinausgehende Verantwortlichkeit von Organmitgliedern ist nur im Ausnahmefall anzunehmen, der etwa bei erheblichen Qualitätsmängeln anzunehmen sein kann. Daneben besteht ein möglicherweise massiv unterschätztes Risiko originärer zivilrechtlicher Haftung für Geschäftsführer, wenn tatsächlich eine strafrechtliche Relevanz im Raum steht – hier könnte, was herauszuarbeiten und an einem Fall exemplarisch zu belegen ist – die Kombination aus § 823 Abs.2 BGB in Verbindung mit § 14 StGB und der verletzten Norm, wie einer fahrlässigen Tötung, ein direkter Durchgriff auf den Geschäftsführer, der Sicherungsmaßnahmen unterlassen hat, existieren.

Wie zu erläutern ist, wäre in einem solchen Fall mit der BGH-Rechtsprechung nur durch geeignete Compliance-Maßnahmen vorzubeugen. Andernfalls bestehen existenzbedrohende und nicht zu eliminierende Haftungsrisiken.

Verständnis von IT-Sicherheit

Wer sich mit Haftung und IT-Sicherheit in Vorstand und Geschäftsführung auseinandersetzt, muss fordern, dass ein grundlegendes Verständnis der IT-Sicherheit vorhanden sein muss. Diese Forderung wird zu Recht immer lauter.

Vorstand mit IT-Verständnis

Ein Vorstand kann Risiken und Gegenmaßnahmen nicht sinnvoll bewerten, wenn er gar kein Verständnis der Problematik hat. Allerdings geht es nicht darum, dass man im Detail verstanden hat, wie etwa eine SQL-Injection funktioniert oder man dies gar selber umsetzen kann. Vielmehr geht es darum, dass „Vokabeln“ sitzen, man rudimentär verstanden hat, was zumindest übliche Angriffsszenarien sind und man versteht, was hierzu übliche Verhaltensweisen sind.

Empfohlene Maßnahmen der Erkennung von Angriffen

Cyber-Angriffserkennung bezieht sich auf Maßnahmen, die helfen, bösartige Cyber-Aktivitäten in Ihrem Netzwerk aufzudecken. Hier müssen die „Vokabeln“ in jedem Fall sitzen und das folgende, von der ENISA benannte, Grundportfolio muss im Betrieb existieren – ein Geschäftsführer / Vorstand sollte in der Lage sein, zumindest grundsätzlich eine solche Liste inhaltlich zu begreifen (dazu auch bei uns: Wie schützt man sich vor einem Hackerangriff):

• Implementieren Sie eine robuste Sammlung von Protokollen und überprüfen Sie regelmäßig die von den Sicherheitskomponenten ausgelösten Warnungen. Sie können sich auf den ENISA Leitfaden zur proaktiven Erkennung beziehen, der Telemetriequellen umfassend behandelt. Es wird besonders empfohlen, Ereignisprotokolle im Zusammenhang mit der unbefugten Erstellung, Änderung, Verwendung und Änderung von Berechtigungen für privilegierte Konten zu sammeln und Netzwerkverbindungen aus IP-Bereichen zu überprüfen, die mit unternehmensfremden VPN-Gateways und ähnlichen Diensten verbunden sind.
• Überwachen Sie die Aktivitäten der Geräte in Ihrem Netzwerk mit geeigneten Tools wie Endpoint Detection and Response (EDR) und User and Entity Behaviour Analytics (UEBA), da ein erheblicher Teil des Netzwerkverkehrs heutzutage verschlüsselt ist. Dies gilt sowohl für Server als auch für Endgeräte. Stellen Sie unbedingt sicher, dass Ihr EDR in den Warnmodus wechselt, wenn die Überwachung oder Berichterstattung deaktiviert wird oder wenn die Kommunikation mit einem Host-Agenten länger als eine angemessene Zeit unterbrochen ist.
• Nutzen Sie sorgfältig kuratierte Cyber-Bedrohungsdaten, um Ihre Protokolle proaktiv nach möglichen Anzeichen einer Bedrohung zu durchsuchen.
• Erkennen Sie Spuren von Kompromittierungen in Ihrem Netzwerk durch eine gut durchdachte, regelmäßige Bedrohungsjagd, z. B. auf der Grundlage des MITRE ATT&CK®-Frameworks.
• Verwenden Sie Intrusion Detection Signatures und NetFlow, um verdächtigen Datenverkehr an den Netzwerkgrenzen zu erkennen und Bedingungen zu identifizieren, die auf Softwaremissbrauch oder Datenexfiltration hindeuten könnten.
• Verhinderung und Erkennung von PowerShell-basierten Angriffen [28], um zu verhindern, dass Angreifer die vollständige Kontrolle über eine Windows-basierte Infrastruktur oder geschäftsbezogene Benutzerkonten erlangen.
• Investieren Sie in die Erkennung von Seitwärtsbewegungen, die NTLM- und Kerberos-Protokolle in einer Windows-Umgebung ausnutzen.
• Weisen Sie Ihre Benutzer an, verdächtige Aktivitäten sofort an Ihr lokales Cyber-Sicherheitsteam zu melden.

Mögliche Szenarien einer Haftungsbegrenzung

Die Begrenzung der aufgezeigten Haftung ist möglich und wird im Vortrag in wenigen ausgewählten Beispielen aufgezeigt. Zuvorderst ist immer an vertragliche Vereinbarungen zu denken, die letztlich aber einer rigiden gerichtlichen Kontrolle durch die Vorgaben zulässiger AGB-Klauseln im BGB unterliegen. Zu Bedenken ist, dass neben den rechtlichen auch die tatsächlichen typischen Fehler verhindert werden müssen, etwa durch interne Compliance-Maßnahmen, die Arbeitnehmer hart binden und damit ein effektives Kontrollinstrument darstellen. Zu vermeiden sind insbesondere diese Fehler:

• kein Ignorieren eines Sicherheitsereignisses, ohne zu untersuchen, was es ausgelöst hat und welche Auswirkungen es haben könnte;
• präventives Blockieren oder Auskundschaften der von Bedrohungsakteuren genutzten Infrastruktur (Ping, DNS-Abfragen, Browsing usw.);
• betroffene Systeme sollten im Regelfall nicht gesäubert werden, bevor IT-Forensiker Beweise sammeln und/oder sichern können;
• kein Ignorieren von Telemetriequellen wie Netzwerk-, System- und Zugriffsprotokollen;
• kein schlichtes Beseitigen der Symptome, Ignorieren der Ursachen und nur teilweise Eindämmung und Wiederherstellung;
• kein Verzicht auf eine detaillierte Aufzeichnung der ergriffenen Maßnahmen und des zeitlichen Ablaufs des Ereignisses;

Kurz wird dabei aufgezeigt, warum im Zweifelsfall grundsätzlich von allgemeinen Geschäftsbedingungen auszugehen sein wird und gerade nicht von individuell ausgehandelten Vertragsklauseln; hiernach wird dargestellt, warum sinnvollerweise die sich damit ergebende Lücke zwingend durch den Abschluss geeigneter Cyberversicherungen zu schließen ist. Ebenso, warum dies aus Sicht der Geschäftsleitung zwingend ist, um eine persönliche Haftung – selbst bei geeigneter gewählter Rechtsform – im „Fall der Fälle“ zu vermeiden.

Im Szenario einer Haftungsbegrenzung muss auch thematisiert werden, ob es nicht Aufgabe der Unternehmensleistung ist, die – bei Kapitalgesellschaften ohnehin zwingend zu bildenden – Rücklagen zum Teil in Bitcoin zu bilden. Der Gedanke ist, dass wenn günstig Bitcoin eingekauft werden, diese letztlich einer Wertsteigerung unterliegen und im Fall von Ransomware dann zur Verfügung stehen, wobei die zwischenzeitlich eingetretene Wertsteigerung dann teilweise kompensatorischen Effekt hat.

Bei der Frage, ob eine solche Lösegeldzahlung eine eigene Strafbarkeit begründet, vertrete ich die Auffassung, dass hier eine Strafbarkeit im Raum steht, die erst im Einzelfall, durch zielgerichtete Verhandlungsführung und Schadensmanagement, beseitigt werden kann. Wer auf ersten Zuruf sofort zahlt macht sich nach meiner Analyse strafbar (hierzu folgt ein eigener Artikel). Ein juristisch begleitetes Vorgehen verhindert insoweit eine Strafbarkeit des Vorstands bzw. der Geschäftsführung, etwa wegen Terrorismusfinanzierung oder Geldwäsche.