Datenleck: Wenn das Unternehmen gehackt wird – was tun?

Das Unternehmen wurde gehackt – welche juristischen Konsequenzen drohen?

Unternehmen gehackt? Angriffe auf Unternehmen sind heute leider Alltag – ebenso wie die Gefahr, die dadurch droht, dass immer noch Unternehmer dieses Risiko unterschätzen. Wer von Angriffen auf Unternehmen hört, denkt schnell an internationale Großkonzerne, die von Wirtschaftsspionage betroffen sind – ein grundlegender Fehler: Angriffe auf die IT-Infrastruktur von Unternehmen sind heute nichts Besonderes mehr, sondern wirtschaftlicher Alltag.

Der Wert von ist inzwischen längst erkannt und es kann jeden treffen. Webshop-Betreiber, deren Server gehackt werden, etwa. Oder Unternehmen, die Daten verarbeiten und bei denen eingebrochen wird, um Daten zu stehlen. Wir haben inzwischen alle Fälle erlebt, in denen Bezahlterminals infiltriert wurden um Daten zu stehlen oder wo aus dem Krankenhaus Daten aus dem PC auf einen USB-Stick kopiert wurden. Eines haben alle Fälle gemeinsam: Einen spürbaren wirtschaftlichen und Image-Schaden für das Unternehmen.

Hinweis: Wir helfen Unternehmen nach einem Hacker-Angriff begleitend neben Polizei und IT!

Unsere auf die Strafverteidigung spezialisierten Fachanwälte für Strafrecht im Raum Aachen sind bei einem echten strafrechtlichen Notfall kurzfristig für eine Beauftragung verfügbar. Unser Strafverteidiger-Notruf: 01751075646 (keine kostenlose Erstberatung, keine SMS, keine garantierte Erreichbarkeit!)

Infos bei uns: Haft oder Haftbefehl | Hausdurchsuchung | Bewährungswiderruf | Pflichtverteidiger gesucht | Beschuldigtenvernehmung | Vermögensarrest | Internationaler Haftbefehl | Anklageschrift erhalten | Strafbefehl

Vorher: Vorsorge vor einem Hack-Angriff

Es sei nur pro Forma erwähnt: Besser als die Nachsorge ist natürlich die Vorsorge, also zu verhindern, dass überhaupt ein erfolgreicher Angriff auftritt. Dies ist inzwischen sogar Pflicht, mit dem IT-Sicherheitsgesetz sind Sie verpflichtet, zumindest grundsätzliche Sicherheitsaufgaben zu erledigen.

Das bedeutet in aller Kürze: Werksseitig vorhandene Passwörter müssen verändert werden, Softwareupdates zeitnah eingespielt werden und Zugangshürden zur Infrastruktur, die man selber einrichten kann, aktiviert werden.

IT-Sicherheit: Der Hacker-Angriff ist gelungen

Wenn ein Unternehmen von einem Angriff betroffen ist und ein „Datenleck“ aufgetreten ist, kollidieren im ersten Moment drei rechtlich relevante Aufgaben, die später Probleme bereiten können:

  1. Um den Schädiger zu suchen, aber auch um Versicherungsansprüche zu sichern, ist die schnell ins Auge gefasst
  2. Die Versicherung braucht schnell eine Schadensmitteilung, wenn man hier zu lange wartet begeht man eine Obliegenheitsverletzung nach VVG
  3. Die Informationspflicht der Betroffenen nach §42a BDSG muss eingehalten werden (dazu hier bei uns im Detail)
  4. Bestimmte Unternehmen und Anbieter haben unter Umständen eine Meldepflicht an das BSI.

Neben diese drei Schritte tritt dann das große Problem: Das Unternehmen wird bedacht darauf sein, jegliches schuldhafte Verhalten auszuschliessen. Wer etwa früh den Verdacht erweckt, grob fahrlässig gehandelt zu haben, sieht sich einmal Schadensersatzforderungen der Betroffenen ausgesetzt (jedenfalls gegenüber Verbrauchern kann durch AGB keine Haftung bei grob fahrlässigem Handeln ausgeschlossen werden, §309 Nr.7b BGB). Daneben tritt das Risiko, dass die Versicherung den Schaden nicht decken möchte. Entsprechend überlegt muss man bereits bei der Abfassung der Strafanzeige handeln und sollte von unüberlegtem Handeln absehen. Wer geschickt ist, verzichtet danach auf umfassende zusätzliche Sachverhaltsschilderungen, sondern nutzt eine juristisch abgestimmte Schilderung neben der Strafanzeige dann sowohl für die Meldung an die Versicherung als auch für die Information nach §42a BDSG. Nicht selten sind es die zusätzlichen öffentlichen Erklärungen, die hinterher für Probleme sorgen.

Für den Anfang soll es bei diesem Hinweis bleiben, die meisten Ressourcen werden ohnehin in das Auffinden und „Stopfen“ der Lücke investiert. Um nicht weitere Schadensersatzforderungen zu provozieren sollte aktive Schadensminimierung betrieben werden, etwa indem gestohlene Account-Daten unbrauchbar gemacht werden („Zurücksetzen des Passworts“). Es sei auch nochmals daran gedacht, dass durch eine Verletzung der Pflicht nach §42a BDSG weiterer Schaden bei Betroffenen entstehen kann, was zu weiteren Schadensersatzforderungen führt.

Spezialfall: Hack der Telefonanlage

Ein ganz besonderer Fall ist der erfolgreiche Hack der Telefonanlage, was zu massiven Kosten führen kann. Zum Hackerangriff auf die Telefonanlage bieten wir einen eigenen Artikel.

Wichtig ist, dass man sich von dem Bild löst, dass solche Probleme „kleine Unternehmen“ nicht treffen – es kann jeden treffen, der im Internet Dienste nutzt und der sein Büro mit dem Internet verbunden hat. Das Unterschätzen des Risikos ist insofern bereits ein erheblicher Teil des Problems.

Weitere Links zum Thema Unternehmen gehackt:

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.