Datenleck: Wenn das Unternehmen gehackt wird – was tun?

Angriffe auf Unternehmen sind heute leider Alltag – ebenso wie die Gefahr, die dadurch droht, dass immer noch Unternehmer dieses Risiko unterschätzen. Wer von Angriffen auf Unternehmen hört, denkt schnell an internationale Großkonzerne die von Wirtschaftsspionage betroffen sind – ein grundlegender Fehler: Angriffe auf die IT-Infrastruktur von Unternehmen sind heute nichts Besonderes mehr sondern wirtschaftlicher Alltag.

Der Wert von Kundendaten ist inzwischen längst erkannt und es kann jeden treffen. Webshop-Betreiber, deren Server gehackt werden etwa. Oder Unternehmen, die Daten verarbeiten und bei denen eingebrochen wird um Daten zu stehlen. Wir haben inzwischen alle Fälle erlebt, in denen Bezahlterminals infiltriert wurden um Daten zu stehlen oder wo aus dem Krankenhaus Daten aus dem PC auf einen USB-Stick kopiert wurden. Eines haben alle Fälle gemeinsam: Einen spürbaren wirtschaftlichen und Image-Schaden für das Unternehmen.

HinweisBeachten Sie zur IT-Sicherheit unsere Übersichtsseite mit weiteren Informationen!

Vorher: Vorsorge vor einem Hack-Angriff

Es sei nur pro Forma erwähnt: Besser als die Nachsorge ist natürlich die Vorsorge, also zu verhindern, dass überhaupt ein erfolgreicher Angriff auftritt. Dies ist inzwischen sogar Pflicht, mit dem IT-Sicherheitsgesetz sind Sie verpflichtet, zumindest grundsätzliche Sicherheitsaufgaben zu erledigen.

Das bedeutet in aller Kürze: Werksseitig vorhandene Passwörter müssen verändert werden, Softwareupdates zeitnah eingespielt werden und Zugangshürden zur Infrastruktur, die man selber einrichten kann, aktiviert werden.

IT-Sicherheit: Der Hacker-Angriff ist gelungen

Wenn ein Unternehmen von einem Angriff betroffen ist und ein „Datenleck“ aufgetreten ist, kollidieren im ersten Moment drei rechtlich relevante Aufgaben, die später Probleme bereiten können:

  1. Um den Schädiger zu suchen, aber auch um Versicherungsansprüche zu sichern, ist die Strafanzeige schnell ins Auge gefasst
  2. Die Versicherung braucht schnell eine Schadensmitteilung, wenn man hier zu lange wartet begeht man eine Obliegenheitsverletzung nach VVG
  3. Die Informationspflicht der Betroffenen nach §42a BDSG muss eingehalten werden (dazu hier bei uns im Detail)
  4. Bestimmte Unternehmen und Anbieter haben unter Umständen eine Meldepflicht an das BSI.

Neben diese drei Schritte tritt dann das große Problem: Das Unternehmen wird bedacht darauf sein, jegliches schuldhafte Verhalten auszuschliessen. Wer etwa früh den Verdacht erweckt, grob fahrlässig gehandelt zu haben, sieht sich einmal Schadensersatzforderungen der Betroffenen ausgesetzt (jedenfalls gegenüber Verbrauchern kann durch AGB keine Haftung bei grob fahrlässigem Handeln ausgeschlossen werden, §309 Nr.7b BGB). Daneben tritt das Risiko, dass die Versicherung den Schaden nicht decken möchte. Entsprechend überlegt muss man bereits bei der Abfassung der Strafanzeige handeln und sollte von unüberlegtem Handeln absehen. Wer geschickt ist, verzichtet danach auf umfassende zusätzliche Sachverhaltsschilderungen, sondern nutzt eine juristisch abgestimmte Schilderung neben der Strafanzeige dann sowohl für die Meldung an die Versicherung als auch für die Information nach §42a BDSG. Nicht selten sind es die zusätzlichen öffentlichen Erklärungen, die hinterher für Probleme sorgen.

Für den Anfang soll es bei diesem Hinweis bleiben, die meisten Ressourcen werden ohnehin in das Auffinden und „Stopfen“ der Lücke investiert. Um nicht weitere Schadensersatzforderungen zu provozieren sollte aktive Schadensminimierung betrieben werden, etwa indem gestohlene Account-Daten unbrauchbar gemacht werden („Zurücksetzen des Passworts“). Es sei auch nochmals daran gedacht, dass durch eine Verletzung der Pflicht nach §42a BDSG weiterer Schaden bei Betroffenen entstehen kann, was zu weiteren Schadensersatzforderungen führt.

Spezialfall: Hack der Telefonanlage

Ein ganz besonderer Fall ist der erfolgreiche Hack der Telefonanlage, was zu massiven Kosten führen kann. Zum Hackerangriff auf die Telefonanlage bieten wir einen eigenen Artikel.

Wichtig ist, dass man sich von dem Bild löst, dass solche Probleme „kleine Unternehmen“ nicht treffen – es kann jeden treffen, der im Internet Dienste nutzt und der sein Büro mit dem Internet verbunden hat. Das Unterschätzen des Risikos ist insofern bereits ein erheblicher Teil des Problems.

Weitere Links zum Thema Unternehmen gehackt:

Rechtsanwalt & Fachanwalt für Informationstechnologierecht Jens Ferner: Ihr Anwalt in Alsdorf für die Region Aachen, Heinsberg & Düren im gesamten IT-Recht & Datenschutzrecht. Zu meiner Kerntätigkeit gehören als Fachanwalt für IT-Recht das Softwarerecht, Domainrecht, IT-Vertragsrecht, sowie mit Bezügen zur IT das Urheberrecht und Markenrecht.

Besprechungstermin vereinbaren: 02404-92100 | Anwalt für IT-Recht

Beachten Sie, dass wir ausnahmslos keine Beratung per Mail anbieten und dass wir nicht tätig sind, wenn sich Gerichtsstand oder Auftraggeber ausserhalb der Regionen Aachen, Heinsberg, Düren, Düsseldorf oder Köln befinden.