R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
CB-Standpunkte
06.04.2016
CB-Standpunkte
Dr. Viola Bensinger: Trojaner bergen auch rechtliche Risiken

Zur Zeit wütet der Krypto-Trojaner „Locky“: Über 5 000 Infektionen pro Stunde werden in Deutschland gemeldet, darunter Unternehmen, Krankenhäuser, sogar ein Fraunhofer-Institut. Das Geschäftsmodell ist einfach: Der Trojaner sperrt den Zugriff auf Daten, Programme oder Schnittstellen, und der Nutzer muss ein Lösegeld zahlen – weshalb solche Systeme auch „Ransomware“ genannt werden. Einen anderen Ausweg gibt es nicht, und das FBI rät deshalb zur Zahlung. Bei einem der letzten großen Krypto-Trojaner, „CryptoLocker“, dauerte es fast ein Jahr, bevor das bösartige System gestoppt werden konnte.

Krypto-Trojaner sind nur eine Spielart unter vielen Varianten von Cyber-Attacken – also Angriffen, die über das Internet oder andere IT-Schnittstellen eines Unternehmens zur Außenwelt ausgeführt werden. Eine aktuelle Studie der Allianz prognostiziert für 2016 den weltweit durch Cyberkriminalität verursachten Schaden auf 445 Mrd. US-Dollar. Das Stopfen eines Datenlecks kostet ein Unternehmen durchschnittlich 3,8 Mio. US-Dollar – jedes Mal. Für den (deutschen wie europäischen) Gesetzgeber gehen die Risiken weit über den eigenen Unternehmensbereich und die dort verursachten Schäden hinaus. Entsprechend werden Unternehmen zunehmend dazu verpflichtet, die IT-Sicherheit nach aktuellen Standards zu gewährleisten. Immer strengere und weitreichendere Meldepflichten sollen nicht nur die Betroffenen informieren, sondern zum Kampf gegen Cyberkriminalität beitragen. Bisher gab es im Wesentlichen das Bundesdatenschutzgesetz (BDSG) mit den Verpflichtungen zu technisch-organisatorischen Maßnahmen zum Schutz personenbezogener Daten. Relativ neu sind nun spezifische Verpflichtungen für Betreiber kritischer Infrastrukturen (aber auch für Website-Betreiber) nach dem IT-Sicherheitsgesetz. Noch nicht in Kraft getreten, aber schon von EU-Parlament und Rat beschlossen, ist die „Network and Information Security“ (NIS) Richtlinie, deren Anwendungsbereich noch weiter sein wird.

Entsprechend ist IT-Compliance mittlerweile wohl das meist diskutierte Compliance-Thema. Hierbei geht es nicht nur um alte (BDSG) und neue (IT-Sicherheitsgesetz) Verpflichtungen der Unternehmen. Auch die konkreten und vor allem persönlichen Pflichten von Vorständen und GmbH-Geschäftsführern spielen hier eine große Rolle. Denn schon lange gilt, dass ein „Incident“ im Bereich der IT-Sicherheit in aller Regel kein Akt höherer Gewalt ist, sondern ein Fehler, der hätte vermieden werden können, wären die richtigen Sicherheitsmaßnahmen getroffen und auch eingehalten worden.

Der rasante Zuwachs von Cyberkriminalität hängt unmittelbar damit zusammen, dass Unternehmen heute die Mehrheit ihrer Prozesse einer IT-Infrastruktur anvertrauen. Dabei werden immer mehr vernetzte IT-Strukturen, Cloud-Lösungen oder internetbasierte Produkte eingesetzt. Die externe wie interne Kommunikation ist ohne E-Mail und andere internetbasierte Dienste kaum noch denkbar. Die Gründe für diese Entwicklung liegen auf der Hand: Digitale Lösungen sind einfach, schnell und können Aufgaben bewältigen und Ergebnisse liefern, die analoge Methoden nicht oder nur langsam und aufwendig abarbeiten würden. Und sie sind zudem deutlich preiswerter, wobei die Kosten umso niedriger sind, je standardisierter eine Lösung ist.

Aber Effizienz hat auch ihren Preis und der lautet leider oft: weniger Sicherheit. Zum einen spielt hier das „menschliche Versagen“ eine erhebliche Rolle: Oft sind es die Mitarbeiter selbst, die Cyberkriminalität die Tür öffnen – zum Beispiel bei Locky, der durch das Öffnen eines per E-Mail zugesandten Dokuments und das Aktivieren darin (scheinbar) enthaltener Makros initiiert wird. Solches Verhalten muss ein Unternehmen voraussehen und versuchen, durch klare Richtlinien und regelmäßige Schulungen zu verhindern. Ein anderer Aspekt ist die Nutzung von Systemen, die entweder von Dienstleistern erstellt und beim Unternehmen implementiert werden oder insgesamt von einem Dienstleister „gehosted“ werden. Hier geraten Unternehmen schnell in eine Zwickmühle: Einerseits werden Risiken kumuliert und das Unternehmen gibt die Kontrolle ab, die es eigentlich braucht, um die IT- und Datensicherheit wirklich im erforderlichen Umfang gewährleisten zu können. Auf der anderen Seite sind Outsourcing-Lösungen häufig sicherer als interne, weil im eigenen Unternehmen oft das Knowhow fehlt und die erforderlichen Sicherheitsmaßnahmen für den einzelnen Nutzer viel zu teuer wären. Um Unternehmen zu helfen, eine ausgewogene Balance zwischen IT-Sicherheit und dem Einsatz vernetzter Lösungen zu finden, sind der ständige Austausch der IT-Sicherheitsfachleute und ein dynamisches Zertifizierungssystem daher unerlässlich.

Dr. Viola Bensinger leitet den Bereich Technologie bei der Kanzlei Greenberg Traurig in Deutschland. Sie berät deutsche und internationale Internet-, Technologie- und Medienunternehmen, insbesondere in den Bereichen E-Commerce, Zahlungsdienstleistungen, Lizensierungen, Vertrieb, Insolvenzen, Datenschutz und (IT-)Outsourcing.

stats