Wer haftet für einen Cyberangriff auf Unternehmen bzw. für die Folgen einer Cyberattacke? Diese Frage stellt sich mancher Unternehmer, der nicht ausreichend versichert war und nun mit den Folgen des Angriffs klarkommen muss.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Beispiele für aktuelle Cyberangriffe in 2021
Das Jahr 2021 ist noch jung, dennoch gibt es bereits viele Beispiele für Cyberangriffe, die die jeweiligen Unternehmen oder Verwaltungen schädigten oder zumindest für einige Zeit unerreichbar werden ließen.
Für viele Unternehmen bedeutet eine solche Cyberattacke, dass sie enorme Umsatzeinbußen verzeichnen müssen, für einige Zeit nicht am Markt präsent sind oder dass sie gar die Haftung in sechsstelliger Höhe übernehmen müssen, weil mit der Cyberattacke große Schäden einhergegangen sind.
Immer noch scheuen sich aber einige Unternehmen davor, eine schützende Cyber-Versicherung abzuschließen, die sie vor den wichtigsten Cyberrisiken schützen würde.
Beispiel #1: Cyberangriff 2021 auf die Schulcound des Hasso-Plattner-Instituts
Anfang Januar meldete das Hasso-Plattner-Institut, dass die Schulcloud nicht mehr erreichbar sei. Das Jahr begann damit zumindest für die Schüler der Schulen, die auf die Schulcloud des HPI zugriffen, dass der Distanzunterricht nicht wie geplant durchgeführt werden konnte.
Dieses vergleichbare harmlose Beispiel hatte kaum finanzielle Folgen, zeigte aber sehr deutlich, dass die Cyberrisiken vielfach unterschätzt werden. Hier reichte es bereits, eine Vielzahl an Anfragen an das System zu schicken, das daraufhin überlastet war und zusammenbrach.
Die hohe Anzahl an Zugriffen stammte aus dem Ausland, doch woher genau, konnte bislang nicht eindeutig festgestellte werden. Solche Cyberattacken ohne finanzielle Forderungen oder ähnliche Schäden beweisen zumindest, wie leicht es sein kann, vermeintlich geschützte Systeme zu umgehen oder einzunehmen.
Beispiel #2: Cyberattacke 2021 auf die Europäische Arzneimittel-Agentur
Auch die Europäische Arzneimittel-Agentur musste sich bereits so manchen Cyberangriff gefallen lassen, die Ermittlungen dazu dauern noch an.
Nur selten werden solche Cyberattacken wirklich aufgeklärt und die Täter anschließend gefasst. Die Aufklärung erfolgt oft nur teilweise, daraus lassen sich jedoch wichtige Punkte ableiten.
Diese betreffen die Cyberrisiken, die nach wie vor unterschätzt werden. Dabei warnen Datensicherheitsexperten bereits jetzt vor einer IT-Pandemie, vor einer Pandemie also, die von einem Computervirus oder durch einen Cyberangriff ausgelöst werden wird.
Beispiel #3: Cyberangriff 2021 auf Pfizer und Biontech
Vor allem die Angriffe auf die Impfstoffdaten der kooperierenden Hersteller Pfizer und Biontech werden als Vorboten einer neuen Welle gesehen.
Die Daten sprechen für sich und zeigen eine deutliche Zunahme der Cyberangriffe, wobei diese Zunahme nicht erst seit jetzt zu verzeichnen ist. War es längere Zeit ruhig um derartige Cyberattacken geworden, sind sie nun wieder in aller Munde.
Die Hacker haben die IT-Experten in puncto Sicherheit längst wieder überholt und neue Ideen ausgearbeitet, die zu großen Schäden führen können. Eine Cyber-Versicherung ist daher das Mindeste an Vorsorge, das ein Unternehmen leisten kann.
Notwendigkeit Cyber-Versicherung: Wer haftet bei einem Cyberangriff? (Video)
In kaum einem Unternehmen gibt es heute keine IT-Nutzung, die meisten sind gerade seit dem letzten Jahre stärker vernetzt denn je. Das wiederum bietet Hackern neue Möglichkeiten und die Cyberrisiken sind größer denn je.
Nach Schätzung der Münchener Rück wurden allein in 2018 Schäden in Höhe von rund 600 Milliarden US-Dollar verursacht – und das nur durch Cyberattacken!
Jeder kann sich ausrechnen, wie hoch die Schäden in 2020 gewesen sind, wenn von einer Verdoppelung oder sogar von einer Verdreifachung der Schäden gegenüber dem Vorjahr die Rede ist. Angesichts der hohen Kosten, die durch eine Cyberattacke für das Unternehmen entstehen können, stellt sich zu Recht die Frage der Haftung.
Video: Cyberattacken auf Unternehmen | hessenschau
Unternehmen in der Pflicht
Firmen, die zum Beispiel als Versorgungsunternehmen eine große Bedeutung haben, unterliegen einer besonderen Verpflichtung für den Datenschutz. Sie müssen technische und organisatorische Maßnahmen (sogenannte TOMs) ergreifen, mit denen sie die Daten schützen.
Kommen sie dieser Verpflichtung nicht nach, können empfindliche Strafen bis hin zu vier Prozent des jährlichen Umsatzes drohen. Leider ist es vor allem der Faktor Mensch, der die größten Cyberrisiken begünstigst und durch den technische Maßnahmen oftmals nutzlos sind. Schulungen der Mitarbeiter gehören daher zu den Pflichtaufgaben, die ein Unternehmen zu bewältigen hat.
Die sogenannten Awareness-Trainings ersetzen aber keine Cyber-Versicherung, die wiederum im Schadensfall die Kosten abfängt. Sie sind eine sinnvolle Ergänzung zu den Konzepten, die speziell auf Cyberrisiken angepasst werden und die die Haftung klären sollen.
Die Cyber-Versicherung ersetzt die Schäden, die bei einem Cyberangriff unmittelbar verursacht worden sind. Sie kommen aber auch für die Kosten für externe IT-Forensiker auf und übernehmen die Schadenersatzforderungen geschädigter Dritter.
Ein modernes Unternehmen, das auf Vernetzung und Digitalisierung setzt, kommt damit heute nicht mehr ohne eine Cyber-Versicherung aus. Das Risiko eines Schadens, der in die Millionenhöhe geht, ist selbst für kleinere Unternehmen extrem, was vor allem an den Verschärfungen des Datenschutzgesetzes liegt.
Wichtig:
Kommt die Geschäftsführung der Aufgabe einer Cyber-Compliance nicht oder nur unzureichend nach, ist sie haftbar zu machen, wie auch das Urteil des Landgerichts München vom Dezember 2013 zeigt.
Auch wenn eine Cyber-Versicherung vorhanden ist, so steht das jeweilige Unternehmen dann plötzlich ohne jeden Versicherungsschutz da, wenn es seinen eigenen Verpflichtungen nicht nachgekommen ist. Daher gilt, dass trotz einer sehr guten Versicherung jeder Geschäftsführer selbst dafür sorgen muss, dass die Cyberrisiken so gering wie möglich ausfallen.
Video: Hacker-Angriffe: Wie sicher ist Deutschland vor Cyber-Kriminellen? | ZDFinfo Doku
Urteile zur Haftung bei einem Cyberangriff
Cyberangriffe sind seit Beginn der aktuellen Krise deutlich häufiger geworden, es wird von Anstiegen von weit mehr als 200 Prozent ab 2020 berichtet. Vor allem die Verlagerung der Unternehmenstätigkeit ins Home Office spielt hier mit hinein.
Hackern wird der Weg ins Firmennetzwerk damit deutlich erleichtert, denn die Sicherheitsvorkehrungen reichen oftmals nicht aus. Die Haftungsfragen wurden bereits mehrfach gerichtlich geklärt, wie die folgenden Urteile belegen.
Urteil des LG München I vom 10.12.2013 (Az.: 5HK O 1387/10)
Mit dem Urteil wurde vom LG München bestätigt, dass ein Geschäftsführer nicht nur ein Compliance-System im Unternehmen einführen muss, sondern dass er dieses auch regelmäßig zu prüfen hat.
Es ist so zu beaufsichtigen, dass keine Cyberangriffe möglich sind und dass auch weder aus- noch inländische Gesetze verletzt werden.
Der Manager war in dem betreffenden Fall zu einer Zahlung von 15 Millionen Euro verurteilt worden. Es ist somit Sache der Geschäftsführer, für die nötige IT-Sicherheit im Unternehmen zu sorgen und diese auch für die gesamte Dauer der Betriebstätigkeit zu garantieren.
Urteil des OLG Köln, Beschluss vom 16.07.2013 (Az.: 19 U 50/13)
Geklagt hatte ein mittelständisches Unternehmen, das von einem Anbieter eine Telefonanlage installiert bekommen hatte. Auf diese Anlage wurden vermehrt Cyberangriffe verübt, das beklagte Unternehmen wies jedoch darauf hin, dass sichere Passwörter zu vergeben seien.
Dieser Aufforderung kam das Unternehmen nicht nach und wurde dann mit einer Telefonrechnung von mehr als 72.000 Euro konfrontiert. Diese wollte das Unternehmen nicht zahlen und klagte gegen den Anbieter der Telefonanlage, der angeblich seiner Wartungspflicht nicht nachgekommen war.
Das OLG Köln wies die Klage zurück und sah keine Veranlassung für eine Vertragsverletzung seitens des Anbieters. Es oblag dem klagenden Unternehmen, die Anlage durch ein sicheres Passwort zu schützen, damit muss es auch selbst die Folgen für einen Hackerangriff tragen.
Urteil des OLG Hamburg vom 18.6.2020 (Az.: 5 U 33/19)
Es klagte ein Fotograf, der seine Bilder auf einer anderen Seite im Internet wiederfand. Weder er selbst noch seine Mitarbeiter hatten das Bild hochgeladen, sondern es war die Folge eines Hackerangriffs.
Der Betreiber der Webseite, auf der das Bild erschienen war, wurde wegen einer Urheberrechtsverletzung verklagt.
Doch das OLG Hamburg sah dies nicht als begründet an und war der Meinung, dass Urheberrechtsverstöße durch Hackerangriffe nicht durch den Betreiber der jeweiligen Internetseite zu verantworten seien.
Zudem war in dem Fall ersichtlich, dass es sich um ein gefälschtes Bild handelte, weil das gesamte Layout anders war als im Original. Die Klage wurde zurückgewiesen.